1. Republica Bolivariana de Venezuela
Ministerio de Poder Popular para la Educación Universitaria
Instituto Universitario de Tecnología Maracaibo
Extensión Machiques
Guía de Seguridad de la información para PYMES
Presentado por:
Gerardo A. Páez L.
14945791
Machiques, Enero del 2013.
2. ACTIVIDAD
PRESENTACIÓN RESUMIDA DEL TEXTO
Las PYME son pequeñas y medianas empresas que operan en una área
geográfica bien delimitadas, y su radio de acción se extiende exclusivamente en
regiones o localidades, son empresas que por no contar con una infraestructura
tecnológica lo suficientemente robusta y confiable son vulnerables a los ataques, lo
que conlleva a que la integridad, disponibilidad, y confiabilidad de la información del
negocio se vean comprometidas. Debido a estas premisas se crea esta guía de
seguridad para que estas empresas tengan un manejo confiable y seguro de la
información, estos mecanismos se basan principalmente en tres elementos básicos
que funcionando de manera conjunta garantizan el uso de las medidas tecnológica
mientras se supervise su funcionamiento y las actuaciones de las personas que
utilizan estos recursos.
La seguridad de la información no solo se ve comprometida por factores o
personas externas a la organización, algo que también influye es la calidad del
software y del hardware utilizado, asimismo las personas que hacen uso de estos
sistemas son un factor de inseguridad que comprometen la integridad de los datos. Es
allí donde radica la importancia de identificar las amenazas sin importar su origen
para estimar el impacto que esto puede causar en los activos de la empresa, esto es de
gran ayuda ya que sirve para definir las políticas de seguridad, y la aplicación de
controles que ayuden a mitigar los peligros y riesgos asociados al manejo y
almacenamiento de la información. En la actualidad existe una norma internacional
que es la ISO 17799 la cual esta orientada a preservar los principios de la seguridad
informática los cuales son la confidencialidad, la integridad y la disponibilidad.
Para garantizar un buen manejo de la información al momento de
solicitar el servicio de una empresa externa o de un empleado es importante
establecer y divulgar acuerdos de confidencialidad que avale el buen uso de los
datos suministrados, ya que es en esta etapa donde la información es más
susceptible, el comité de seguridad es el responsable de definir las estrategias y
linimientos para el manejo de la información ya que el uso no autorizado de los
datos conlleva a acciones legales y penales dependiendo de su gravedad. Otra
medida que se aplica para el resguardo de la información esta relacionada
directamente con las funciones ejercidas por un empleado, esto quiere decir que
mientras menor sea su rango dentro de la empresa tienes menos acceso a los
datos, aunque sin importar la función de un empleado es muy importante
interiorizar las normas para el manejo de la información.
3. RESUMEN ANALÍTICO
Tomando en cuenta que los sistemas de información en la actualidad forman
parte integral de cualquier empresa u organización sin importar a la actividad
económica en la que esta se desarrolle, se entiende entonces la importancia de que
estos sistemas garanticen la confidencialidad de la información ya que estos son datos
estratégicos que serán utilizados para el crecimiento de las empresas.
Indiscutiblemente no hay que dejarle toda la responsabilidad del resguardo de la
información a estos sistemas ya que ellos son solo una herramienta que sirven para
aumentar la eficiencia, hay que tomar en cuenta el factor humano que es el eslabón
débil de esta cadena ya que una mala practica de las políticas de seguridad pueden
llevar a una fuga de información.
Para garantizar un manejo estandarizado de la información se crea en
diciembre del año 2000 la norma ISO 17799, con la finalidad de desarrollar un marco
de seguridad sobre el cual trabajen las organizaciones. El objetivo es asegurar los
datos que permitan la continuidad de las operaciones de las empresas, para así reducir
al mínimo los daños que pudiesen ser causados por alguna contingencia, así como
también optimizar la inversión en tecnologías de seguridad ya sea software o
hardware. Esta norma internacional permite crear y aplicar procedimientos y políticas
adaptadas a las necesidades especificas de una empresa por lo cual permitirán crear
reglas claras que ayuden minimizar el mal uso o perdida de la información vital sin
importar su que sean pequeñas o medianas empresas.
La aplicación de controles es otro paso importante que deben se tomados en
cuenta por las empresas para poder así mitigar los riesgos que están relacionados con
la pérdida de información, estos controles pueden ser aplicado en las diferentes fases
de desarrollo o producción de un bien o servicio y pueden estar dirigidas a todo el
personal que labora dentro de una empresa tanto los que se encuentra autorizado para
ingresar a los espacios físicos donde existe almacenamiento y procesamiento de
datos, como los permisos que tiene cada usuario dentro de la red de una empresas y el
acceso a los archivos que se encuentren contenidos en las carpetas de un servidor. La
divulgación de las políticas de seguridad, el conocimiento de los procedimientos
principalmente por parte el personal que maneja esos datos, los acuerdos de
confidencialidad entre la empresa y los empleados o con empresas consultoras
externas también garantiza que la información almacenada permanezca disponible
para su uso en el momento que sea requerida.
4. Para ser más específicos con respecto a uso de controles se deben considerar
varios factores que inciden directamente en un resguardo efectivo tanto de los
dispositivos físicos de almacenamiento como de los datos que estos almacenan,
principalmente las creación y adecuación de un espacio exclusivo que contengan
todos estos datos llámese cuarto de servidores o sala de datos con el acceso
restringido solo para personal autorizado que se encarga de ejecutar actividades
dentro de ese espacio únicamente cuando sea necesario y la aplicación de sistemas de
seguridad me minimicen los riesgos de incendio y perdida abrupta de la los sistemas
de potencia ya que estos son factores que pueden causar daños irreparable a estos
sistemas.
Por otra parte realizar mantenimiento, pruebas y monitoreo continuo del
estado de los equipos de soporte para garantizar su buen funcionamiento en caso de
una contingencia, mantener actualizado el backup de la data y resguardarlo un lugar
diferente y bien identificado, además de controlar minuciosamente su traslado fuera
del área de seguridad establecido previamente. El uso restringido de los dispositivos
de almacenamiento portátiles ya que estos dispositivos son fáciles de usar y
actualmente tienen una gran capacidad de almacenamiento, estos son algunos de los
controles más importantes que deben ser tomados en cuenta para el resguardo seguro
de la información, estos y otros controles sen encuentran bien especificados en la
norma ISO 17799, si bien es cierto que estos controles previenen el hurto de
información también hay otra alternativas que puede ser utilizas como lo son
deshabilitar los puertos USB, la unidad de CD, de los equipos computarizados.
Antes de realizar la compra de un software se debe analizar exhaustivamente
las necesidades del negocio y buscar el que mejor se adapta, otro aspecto importante
en que este software debe cumplir con requisitos mínimos de seguridad que permita
garantizar el resguardo seguro de la información, tiene que ser un software que
permita el mejoramiento continuo con un buen soporte por parte del fabricante y que
su actualización no afecte en gran medida el funcionamiento normal del sistema.
Aparte de esto es importante contar con un antivirus que proteja los equipos para que
agentes externos no se aprovechen de las posibles debilidades de la red e inicien
ataques al sistema, la utilización de servidores Proxy que restrinjan el acceso a
páginas que no tengan relación con el negocio y reduzcan la productividad del
empleado, el uso de fireWire para restringir el acceso desde redes externas y evitar así
la sustracción de información confidencial del negocio a menos que sea por
conexiones por VPN con cuantas autorizadas dentro de las empresa, uso exclusivo de
correos corporativos todo esto con la finalidad de restringir la salida de información.
5. Las aplicaciones que se utilizan en estas empresas tienen que poder ser
auditados en su totalidad ya que esto permite un control preciso de las tareas realizada
por los usuarios en cada paso de una operación y facilitan la investigación en caso de
existir alguna violaciones, de seguridad de ser necesario estas auditorias además
también pueden contener el control de registro de acceso a la red, archivos o
carpetas del sistema. Otro aspecto de seguridad que debe de poseer estas aplicaciones
es la de limitar los permisos del usuarios en el sistema dependiendo de su rol dentro
de la empresa, esto quiere decir que dependiendo de su clasificación son los
privilegios que tiene para acceder a la información y el uso de dispositivos dentro de
la red.
En esta guía se expresan claramente las normas de seguridad para pequeñas y
medianas empresas, estas pautas no son más que un régimen que es utilizado para
aplicar las mejores prácticas en cuanto a seguridad de la información se refiere y
define claramente cuales las opciones que existen en la actualidad y que deben ser
implementadas, así como también los procedimientos y requisitos mínimos para
garantizar una buena seguridad de la información
En este resumen se puede observar que existe infinidades de alternativas para
el resguardo de la información de una empresa, además que están establecidas en una
normas que las convierte en estándares internacionales y los mas importante aun es
que son aplicables a pequeñas y medianas empresas sin discriminar a que se
dediquen, existen dispositivos tanto físicos y lógicos que permiten un control y
monitoreo de las actividades de los datos y los usuarios dentro de los sistemas lo cual
facilita un monitoreo constante del manejo de la información e incrementa
exponencialmente la seguridad dentro y fuera de estas redes, pero por muy eficaces
que pudieran ser estos sistemas que pueden ser aplicados hay uno mas y que es el
mas importante y es el ser humano que en el cual deben prevalecer los valores éticos
y morales, ya que es el capas de desarrollar estas y otras medidas para incrementar la
seguridad de la información, pero también es capaz de desarrollar contra medidas
para hacer mal uso de la información.
"Las organizaciones gastan millones de dólares en firewalls y dispositivos de
seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más
débil de la cadena de seguridad: la gente que usa y administra los ordenadores"
-- Kevin Mitnick.
6. ANÁLISIS CRÍTICO
Para comenzar realizaré una breve descripción de las funcionalidades mas
destacadas del proyecto que actualmente se esta desarrollando para la biblioteca del
Instituto Tecnológico Universitario de Maracaibo extensión Machuiques, este
proyecto se pretende implementar principalmente para optimizar el proceso de
prestamos de libros además de mantener el inventario del material bibliográfico
actualizado, adicionalmente este sistema permitirá la inscripción de los proyectos
socio tecnológicos que serán realizado por los alumnos de esta institución, y como
complemento será capaz de ofrecer información referente al contenido de los PNF
(Programa Nacional de Formación) así como también de los servicios con los que
cuentan los estudiantes.
Es importante destacar que al inicio del diseño y desarrollo de este sistema se
tomo como premisa la seguridad de información que se encontrara almacenada en la
base de datos del sistema, garantizando así la confidencialidad de los datos
suministrados por los usuarios de este sistema, esto se logra definiendo claramente los
permisos de acceso a cada rol de usuario en el sistema, este principio es el que avala
que la información que séle presentara a cada usuario depende directamente de los
privilegios que tiene asociado en la cuenta del sistema.
En el mismo orden de ideas este sistema cuenta con la opción de auditar todas
las operaciones realizadas en el, especificando el usuario, fecha, tipo de operación
realizada, esto ofrece una gran ventaja ya que guarda estos registros que pueden ser
utilizados a momento de que se detecte una violación en la seguridad, es por ello la
importancias de que las asignaciones de las claves a los usurarios de tipo
administrador sean personalizadas ya que son estos los que tienen el segundo nivel de
acceso mas alto dentro del sistema.
Debido a la versatilidad de este sistemas podemos realizar actualizaciones
constantes del contenido almacenado en el, bien sea modificando los existentes o
agregando nuevos contenidos de interés para la comunidad docente o estudiantil,
además de esto otro beneficio adicional es que este sistema al ser desarrollado en
software libre cuenta con una gran comunidad que lo soporta a nivel mundial.
7. Por otra parte el cambio en la metodología de trabajo que se pretende
implementar hace indispensable reflexionar sobre la importancia de que debe existir
un sistema de backup constante, confiable y seguro de los datos, ya la información
que se manejara será digital en su totalidad lo que implica un alto factor de riesgo al
momento de que ocurra una contingencia ya que si se llegase a presentar un evento
inesperado existe la posibilidad de la perdida total o parcial de la información lo que
se traduce en posibles perdidas del material bibliográfico que se encuentra en calidad
de préstamo para ese momento en particular.
Es importante destacar que dependiendo la capacidad de almacenamiento que
tenga el equipo que será utilizado para alojar este sistema depende el mantenimiento
que hay que realizar al sistema, ya que esto permitirá que el sistema funcione mejor y
que la información almacenada en su base de datos sea confiable y actualizada.
Debido a que este sistema tiene la opción de poder almacenar la información de
interés de los usuarios en dispositivos de almacenamiento extraíbles es importante
que el equipo cuente con un buen software para la detección de amenazas ya que
estos dispositivos de almacenamiento extraíble generan vulnerabilidad en la
seguridad tanto para el sistema de información como para el equipo que se utilice.
En este mismo orden de ideas cabe resaltar que los software maliciosos no son
los únicos que pueden afectar el rendimiento del sistema ya que existen otros agentes
externos y que no son controlables que inciden en su funcionamiento, como por
ejemplo las fallas eléctricas son un factor de riesgos ya que interrumpen
abruptamente el funcionamiento normal de los equipos, los que puede traer como
consecuencia un daño irreparable a los equipos y por ende la perdida de la
información almacenada en ellos es por ello que se recomienda la implementación de
un sistema de respaldo de energía que garantice un suministro constante y confiable.
Ya para finalizar antes de iniciar el diseño y desarrollo de este sistema se
realizó un análisis de las necesidades de la biblioteca, para adaptar el software a las
necesidades específicas de la biblioteca con esto se pretende lograr la elaboración de
un sistema ligero en cuanto al uso de los recursos de las computadoras y sencillo de
utilizar tanto para los usuarios eventuales como para los administradores del sistema.