2. OBJETIVO DE LA PROPUESTA.

Transcripción

1 78 CAPITULO IV MODELO DE SEGURIDAD INFORMATICA QUE GARANTICE LA CONTINUIDAD DEL SISTEMA DE DATOS DE LAS INSTITUCIONES FINANCIERAS NO BANCARIAS DE SAN SALVADOR. 1. GENERALIDADES. La información es uno de los principales tipos de recursos con que cuentan las instituciones. La información puede manejarse igual que cualquier otro recurso y el interés a este tema se deben a dos influencias. Primera, los negocios se han vuelto más complejos. Segunda, las capacidades de las computadoras han aumentado. La información que las computadoras producen es de utilidad para gerentes y no gerentes, y demás personas y organizaciones dentro del entorno de la compañía. La primera aplicación importante de las computadoras fue el procesamiento de datos contables. Esa aplicación fue seguida de otras cuatros: los sistemas de información gerencial, los sistemas de apoyo o decisiones, la oficina virtual y los sistemas basados en conocimientos. Estas cinco aplicaciones constituyen el sistema de información basados en computadoras. Las compañías establecen una organización de servicios de información formada por Especialistas en Información que saben como crear sistemas basados en computadoras. En estos especialistas se incluyen analistas de sistemas, administradores de bases de datos, especialistas en redes, programadores y operadores. Es muy difícil demostrar el valor económico de una aplicación de computadora, por que se realizan análisis extensos para justificar cada proyecto potencial. Los recursos de información de la empresa incluyen más que la información; también incluyen hardware, instalaciones, software, datos, especialistas en información y usuarios de la información. Hoy en día la importancia de la información dentro y fuera de la institución esta confirmado, es por ello que las instituciones buscan la manera de mantener su información resguardada ante cualquier acontecimiento que podría hacer que se

2 79 perdiera o se dañara. Pero las instituciones van más allá y buscan que la información este disponible en cualquier momento, y que sus sistemas brinden una alta disponibilidad de ella. Anteriormente se hablaba de un Plan de Recuperación de Desastres (DPR), hoy en día la tecnología ha cambiado, la forma de hacer negocios, y el pensamiento del cliente ha evolucionado; es así como los Gerentes de Informática ven más importancia en el hecho de Continuidad del Negocio, que en la recuperación de desastres. Nuestra propuesta va encaminada principalmente a la búsqueda de la continuidad del negocio, lo que se espera es brindar a las instituciones financieras no bancarias un modelo que permita estar preparados para cualquier percance que se presente, una manera de evitar problemas o de hacerles frente si estos se presentan, de manera que las operaciones de la empresa no se vean afectadas y se mantenga la continuidad del negocio. 2. OBJETIVO DE LA PROPUESTA. 2.1General. Diseñar un Modelo de Seguridad Informática que garantice la Continuidad del Sistema de Datos de las Instituciones Financieras no Bancarias ubicadas en el municipio de San Salvador. 2.2 Específicos. Garantizar a los usuarios del Sistema de Datos la continuidad del negocio en todo momento, mejorando los tiempos de respuesta ante las fallas que pueda presentar este. Implementar métodos de seguridad que garanticen la integridad de los datos y de la información de los Sistemas en caso de falla. Establecer las políticas y directrices necesarias para la administración y la continuidad de las operaciones del Sistema de Datos.

3 80 3. IMPORTANCIA Y BENEFICIOS DE LA PROPUESTA. Cuánto cuesta no contar con el sistema de datos?, Cuáles son los riesgos?, Qué consecuencias conlleva para la empresa el no contar con el sistema de datos?, Esta la empresa lo suficientemente protegida ante un intruso en sus sistemas?, Cuenta con los parámetros necesarios para establecer una robusta seguridad en los sistemas? La contestación a cada una de estas preguntas es necesaria para poder determinar la importancia y los beneficios que presenta nuestra propuesta. Entre los beneficios que obtendrán las instituciones al implementar el modelo de Seguridad Informática propuesto es el de minimizar los tiempos de respuesta ante una falla del sistema, resguardar el sistema de datos de cualquier daño, falla, pérdida, tratando de esta manera de asegurar la continuidad del negocio y la integridad de los datos en todo momento. La flexibilidad que ofrecerá nuestro modelo permitirá que pueda ser implementado por un amplio número de instituciones. Así las instituciones decidirán la práctica que mejor se adapte a sus Sistemas y recursos, cumpliendo con sus requerimientos y posibilidades técnicas y financieras. Otro de los beneficios con el que contará las instituciones es el de un cambio cultural y de pensamiento, en donde se pasará de un estado de esperar que suceda algo para actuar, a un estado de preparación ante cualquier problema, falla o contingencia que se dé, lo que permitirá reducir los tiempos de respuesta. Los nuevos retos de la globalización van dirigidos hacia la eficiencia de las empresas, y los datos son una clave para ello, la toma de decisiones de las empresas se centran en los datos que puedan tener en el momento preciso. Lo importante en esto no es tanto si las empresas se pueden permitir una tecnología de solución que les permita mantener el sistema de datos funcionando bajo cualquier circunstancia, como si pueden permitir no tenerla. El coste de una hora de inactividad puede justificar el coste de una solución. Supongamos que un servidor tiene 10 usuarios, siete de ellos conectados al sistema cuando, la unidad de disco falla; cinco de ellos no tienen asignada otra tarea (su trabajo depende del sistema de datos). El administrador del sistema sustituye la unidad por una de repuesto, recupera los datos de la copia de seguridad de la noche anterior y vuelve el servidor a su estado normal

4 81 de funcionamiento después de unos cuantos minutos u horas, dependiendo de muchos factores (si se tiene disco duro disponible en el momento, tamaño de las bases de datos, velocidad del sistema para restaurar los backup, etc.), siete empleados deben de recrear las dos horas de datos que se habían creado desde la copia de seguridad más reciente. Debemos de considerar costes de sueldos, de transacciones no efectuadas, de información no disponible a tiempo, usuarios disgustados, clientes insatisfechos, todo eso puede justificar claramente la necesidad de implementar el Modelo de Seguridad Informática del Sistema de Datos. 4. ESQUEMA DEL MODELO. Esquema del Modelo de Seguridad Informática, que garantice la Continuidad del Sistema de Datos de las Instituciones Financieras No Bancarias ubicadas en el municipio de San Salvador. La esquematización tiene como objetivo representar de una manera más simple y comprensible cada una de las etapas a desarrollar en la implementación de un modelo. El esquema esta estructurado en cuatro fases: Diagnóstico, Desarrollo, Implementación y Mantenimiento, se presenta de una manera sencilla las etapas a desarrollar para la implementación del Modelo de Seguridad Informática del Sistema de Datos. Seguidamente se da una breve explicación de cada una de las etapas a desarrollar en la creación del Modelo, en el desarrollo del presente capítulo se irá ahondando en cada uno de las fases por separada y de una manera más amplia.

5 82 MODELO DE SEGURIDAD INFORMATICA DE SISTEMA DE DATOS. Fase de Diagnóstico Diagnostico de la Empresa Fase de Desarrollo. Determinación de Necesidades. Delimitación de Espacio. Determinación de Recursos. Procedimiento de Adquisición de Recursos. Desarrollo del Modelo. Fase de Implementación. Revisión del Modelo. Aprobación del Modelo. Comunicación y Capacitación. Fase de Mantenimiento. Monitoreo del Modelo. Mantenimiento del Modelo. Figura 4-1. Esquema del Modelo.

6 83 FASE DE DIAGNOSTICO. Esta fase esta diseñada para que la empresa tenga conocimiento sobre las vulnerabilidades de los sistemas de datos, sobre todo los aspectos informáticos del entorno de la empresa de esta manera se pueden desarrollar herramientas que vayan encaminadas a disminuir y/o eliminar dichas vulnerabilidades. FASE DE DESARROLLO En la fase de desarrollo se llevarán acabo cada uno de los pasos que permitirán el desarrollo del Modelo de Seguridad Informática del Sistema de Datos, el cual esta integrado por: Políticas de Seguridad, Solución Tecnológica y Planes de Contingencia. FASE DE IMPLEMENTACION. La revisión y Aprobación del Modelo son parte de la fase de implementación, así como también la comunicación y capacitación del personal de la institución, estos dos últimos puntos son de suma importancia para el éxito del Modelo. FASE DE MANTENIMIENTO. La fase de mantenimiento busca la manera de mantener vigente el Modelo dentro de la institución, esto se logrará con un monitoreo constante del modelo y de los cambios que puede tener la organización, la tecnología. 5. PLANTEAMIENTO DEL MODELO. 5.1 Definición. Es un conjunto de estándares, normas, políticas y procedimientos que ayudan al administrador del Sistema de Datos a asegurar la Seguridad Informática y a mantener la continuidad del negocio. Características del Modelo: El Modelo propuesto es un conjunto de varios componentes, en la búsqueda de minimizar el riesgo que rodea a los sistemas de datos, se ha pensado en tres momentos importantes, presentados de la siguiente manera: antes de la falla, en el momento de la falla y después de la falla.

7 84 Permitirá ser implementado bajo cualquier plataforma de software, lo que asegura que la empresa no tendrá que incurrir en gastos fuera del Modelo propuesto. Con la implementación del modelo se busca la continuidad de las operaciones, lo que permitirá la optimización de la productividad administrativa del personal. Establecimiento de normas y políticas que ayudan al administrador del sistema de datos a minimizar los riesgos de fallas en los sistemas de datos, a través de un Plan de Seguridad y Contingencia. Este modelo permitirá brindar un eficiente servicio al cliente, mediante el uso del modelo que garantiza la continuidad de las operaciones. 5.2 Resultados esperados. Mediante la puesta en marcha de este modelo se espera que las instituciones cuenten con un conjunto de herramientas que le permita resguardar el sistema de datos frente a cualquier amenaza, falla y daño, de esta manera se busca mantener la continuidad de las operaciones del sistema de datos y por lo tanto la continuidad del negocio. 6. PRESENTACION DEL MODELO. La continuidad de las operaciones, tolerancia a fallos, tal y como se conoce hoy en día, se basa fundamentalmente en un concepto: redundancia y seguridad. La mejor forma de asegurar la disponibilidad del sistema de datos y de mantener la continuidad del negocio, es la duplicación de todos los elementos críticos y la disposición de los elementos del software y hardware necesarios para que los elementos redundantes actúen cooperativamente, bien sea de forma activa - activa o activa - pasiva, pero siempre en forma transparente para el usuario final. La propuesta en si es un conjunto de componentes que forma un solo modelo que esta diseñado para diferentes momentos del sistema de datos, el primero la prevención de la falla por medio de políticas de seguridad informática, en el momento de la falla la cual representa una solución tecnológica, y después de la falla si las dos

8 85 anteriores fallan se debe de estar preparados con un plan de contingencia, de esta manera la propuesta busca presentar los principales elementos de riesgo de un sistema informático, la forma de evitar la pérdida de datos y la forma de cómo enfrentar los daños si estos se dan. Se desarrollan dos propuestas tecnológicas ha presentar a las instituciones; la elección de la propuesta estará en responsabilidad de la institución que la desarrollará, esta elección deberá de hacerse a partir del cumplimiento de una serie de parámetros. A la par de esta propuesta tecnológica se ha planteado una serie de herramientas que se vuelve un solo conjunto con la parte tecnológica, y que buscan dar respuesta al problema de cada una de las instituciones en su búsqueda de mantener la continuidad de las operaciones del sistema de datos. 6.1 Fase de Diagnostico. Cada vez que nos encontremos en una actividad que requiere la presentación de una propuesta de solución para un determinado problema, es necesario siempre la revisión exhaustiva de cada uno de los componentes, que conforman nuestro sistema por esto se hace necesario una etapa de diagnostico para poder asegurar que las acciones de solución propuesta tengan un fundamento realista. El problema más frecuente es que las amenazas a las que están expuestos los sistemas de datos, no se conocen hasta que se materializa el riesgo y causa daños a la institución, en la oportunidad o capacidad de respuesta del negocio y en la veracidad de la información que posee, entre otros Diagnósticos de Vulnerabilidades. Lo primero que una institución debe de saber es cuales son los puntos vulnerables, donde la amenaza es mas latente, y el alcance de dicha amenaza si esta se materializa. Esto se logra por medio de un diagnóstico que se puede realizar por medio de la contestación de un test, al cual hemos llamado test de vulnerabilidad, este permite presentar los puntos vulnerables en materia de seguridad informática en un momento dado y sirve como punto de partida a la institución para realizar una permanente gestión de la seguridad informática. El propósito de realizar un diagnostico de vulnerabilidad es el identificar los huecos de seguridad en la infraestructura tecnológica de la institución.

9 86 Entre los beneficios que obtendrán las instituciones será de contar con información sobre la situación actual en términos de seguridad informática, que le permitirá tomar decisiones preventivas y correctivas para disminuir riesgos. A continuación se presenta un test de Vulnerabilidades el cual busca como objetivo el brindar una herramienta para determinar las debilidades en cuanto a seguridad de los sistemas de datos de la institución. Test de Diagnostico de Vulnerabilidades. El siguiente es un test de diagnostico de Vulnerabilidades que debe aplicar el departamento de informática, para medir los niveles de riesgo en materia de seguridad de la información, del equipo, instalaciones, etc. A. Seguridad Física. 1. Existe una persona responsable de la seguridad? 2. Existe vigilancia en el departamento de cómputo las 24 horas? 3. Sé permite el acceso a los archivos y programas a los programadores, analistas y operadores, bajo supervisión y monitoreo? 4. El edificio donde se encuentra el centro de cómputo esta situado a saldo de, de cualquier incidente natural o no natural (inundación, fuego, terremoto, sabotaje, etc.) 5. Existen alarma(s) dentro del edificio donde se encuentra situado el centro de cómputo: 6. La alarma es perfectamente audible?

10 87 7. Las alarmas están conectadas a puestos de policías, estación de bomberos, u otro ente que sea capaz de colaborar en caso de un siniestro. 8. Existen extintores de fuego?. 9. Se ha adiestrado el personal en el manejo de extintores?. 10. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 11. Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos? 12. Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia ocasionado por fuego? 13. Existe salida de emergencia? 14. Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de puestas y ventanas del centro de cómputo, si es que existen? 15. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? 16. Se ha tomado medidas para minimizar la posibilidad de fuego, tales como evitando artículos inflamables, prohibiendo fumar, vigilando el mantenimiento al sistema eléctrico, etc.?. 17. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo?

11 Se limpia con frecuencia el polvo acumulado en el equipo de cómputo? 19. Se cuenta con copias de los archivos en lugar distinto al del departamento de cómputo. 20. Se tienen establecidos procedimientos de actualización a estas copias? Puntuación: Si responde Si a las 20 preguntas su Seguridad Física es Excelente. Si responde Si a 15 preguntas su Seguridad Física es Buena. Si responde Si a 10 preguntas su Seguridad Física es Regular. Si responde Si a 5 preguntas su Seguridad Física es Deficiente. B. Seguridad de Software. 1. Cuándo se efectúan modificaciones a los programas, se realiza con autorización de la persona responsable del departamento de informática? 2. La solicitud de modificaciones a los programas se hace de forma escrita, en un formulario especial para dicha tarea? 3. Una vez efectuadas las modificaciones. Se presentan las pruebas a los interesados? 4. Existe control estricto en las modificaciones? 5. Se revisa que tengan fecha de las modificaciones cuando se hayan efectuado?

12 89 6. Se verifica identificación de la terminal y del usuario que efectúa la modificación? 7. Se han establecidos roles para cada uno de los usuarios. 8. Se ha establecido un número máximo de violaciones en sucesión para que la computadora cierre esa terminal y se de aviso al responsable de ella? 9. Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? 10. Existen controles y medidas de seguridad sobre las siguientes operaciones, Información confidencial, Programas, Respaldos de información, Acceso de personal, Passwords y Seguros del Activo Informático? Puntuación. Si responde Si a las 10 preguntas su Seguridad de Software es Excelente. Si responde Si a 7 preguntas su Seguridad de Software es Buena. Si responde Si a 4 preguntas su Seguridad de Software es Deficiente. C. Correo Electrónico. 1. Utiliza la empresa el correo electrónico para el envío de documentos a destinatarios internos de la empresa? 2. Utiliza la empresa el correo electrónico para el envío de documentos a destinatarios externos de la empresa? 3. Dispone la empresa de normas de uso del correo electrónico?

13 90 4. Se establece en ellas la prohibición del uso de correo electrónico para fines particulares? 5. Existen recomendaciones para prevenir el engaño por correo electrónico a los trabajadores de la empresa para que divulguen datos confidenciales? 6. Existen medidas técnicas para impedir la entrada de virus informáticos en la red local y los ordenadores de la empresa? 7. Existen medidas técnicas para impedir la entrada de caballos de Troya a través del correo electrónico. Puntuación: Si responde Si a las 7 preguntas su manejo y seguridad sobre el Correo Electrónico es Excelente. Si responde Si a 4 preguntas su manejo y seguridad sobre el Correo Electrónico es Regular. D. Navegación por Internet 1. Disponen los empleados de su empresa de accesos a Internet. Si su respuesta es NO, pase al apartado F. 2. Dispone la empresa de normas de Internet 3. Existen medidas técnicas para impedir la instalación no consentida de spyware? 4. Existen medidas técnicas para impedir la entrada de caballo de Troya a través de la visita de páginas Web.

14 91 Puntuación: Si responde Si a las 4 preguntas su manejo y seguridad sobre el Internet es Excelente. Si responde Si a 2 preguntas su manejo y seguridad sobre el Internet es Regular. Si no responde a ninguna pregunta SI su manejo y seguridad sobre Internet es Deficiente. E. Programas P2P y mensajería Instantánea 1. Existen medidas técnicas para impedir el uso de programas de intercambio de ficheros a través de programas P2P 2. Existen medidas técnicas para detectar el uso de programas de intercambio de ficheros a través de programas P2P. 3. Existen medidas técnicas para impedir el uso de programas de mensajería instantánea tipo Messenger. 4. Existen medidas técnicas para detectar el uso de programas de mensajería instantánea. Puntuación: Si responde Si a las 4 preguntas su manejo y seguridad sobre Programas P2P y mensajería instantánea es Excelente. Si responde Si a 2 preguntas su manejo y seguridad sobre Programas P2P y mensajería instantánea es Regular. Si no responde a ninguna pregunta SI su manejo y seguridad sobre Programas P2P y mensajería instantánea es Deficiente.

15 92 F. Error Humano 1. Existen medidas preventivas para limitar los errores derivados de la impericia en el uso de las nueva tecnologías? 2. Existen medidas preventivas para limitar los errores derivados de métodos de trabajo incorrectos. 3. Existen medidas preventivas para limitar los errores derivados de actos repetitivos? 4. Existen medidas preventivas para limitar los errores derivados de comunicaciones defectuosas o incompletas. Puntuación: Si responde Si a las 4 preguntas su manejo y seguridad sobre Error Humano es Excelente. Si responde Si a 2 preguntas su manejo y seguridad sobre el Error Humano es Regular. Si no responde a ninguna pregunta SI su manejo y seguridad sobre el Error Humano es Deficiente. G. Acceso Remoto 1. Es accesible desde el exterior la red de la empresa 2. Existen normas de seguridad especificas para los trabajadores que realizan accesos remotos a la red corporativa?

16 93 H. Activos Inmateriales 1. El contrato laboral contiene una cláusula de confidencialidad? 2. El contrato laboral contiene una cláusula de propiedad intelectual. 3. Se pactan plazos de permanencia en la empresa cuando el trabajador recibe formación especializada. I. Seguridad Informática 1. Dispone la empresa de un documento con que se describen las medidas de seguridad de la empresa? 2. Existen evidencias documentales de la aplicación de las medidas de seguridad por la empresa? 3. Existe un plan de continuado y certificado por terceros de formación y sensibilización del personal en materia de seguridad? 4. Existen planes de contingencia en caso de desastres en la empresa. 5. Cuentan los operadores con alguna documentación en donde se guarden las instrucciones actualizadas para el maneja de restauraciones? Puntuación: Si responde Si a las 5 preguntas su Seguridad Informática es Excelente. Si responde Si a 3 preguntas su Seguridad Informática es Regular. Si responde Si a 1 su Seguridad Informática es Deficiente.

17 94 Después de haber analizado cada uno de las áreas antes mencionadas, usted estará en condiciones de tomar acciones en cuanto a los aspectos de seguridad que deberá reforzar en su empresa, o el tipo de seguridad a implementar y aspectos a considerar a la hora de implementar políticas de seguridad. Además es importante tener la siguiente información siempre a la mano: 1. Descripción de puestos y funciones con relación al sistema de datos. 2. Listado de bienes que produce la empresa según el orden de importancia por la generación de beneficios. Si la empresa produce más de un servicio la prioridad será determinada según el criterio de los directivos. 3. Listado de empresas o instituciones que abastecen de energía, comunicación, agua y otros servicios resaltando la importancia de ellos en el sistema de datos y verificando la seguridad de los servicios. 4. Inventario de recursos informáticos se realizará por dependencias y en forma clasificada: Hardware, Programas, Aplicativos informáticos, Otros equipos (centrales telefónicas, cajas registradoras, lectores de código de barras, etc.) 5. Esto inventarios deberán hacerse a través de formularios sistemáticamente elaborados. 6. Análisis de las operaciones. En todas las instituciones existen, centenares de procesos que se realizan diariamente. Más del 80% de éstos son repetitivos, cosas que hacemos una y otra vez. Estos procesos repetitivos (áreas administrativas, manufactureras e intermedias) pueden y deben controlarse Identificación de Riesgos El objetivo principal de la Identificación de Riesgo, es el de realizar un análisis de impacto económico y legal, determinar el efecto de fallas de los principales sistemas de datos de la institución o empresa.

18 95 Para nuestro modelo hemos dividido diez áreas específicas vulnerables a la ocurrencia de los riesgos y que deben de ser analizadas para tomar las acciones pertinentes: a) Edificio. Materiales de Construcción. Localización Geográfica. Localización del Centro de Cómputo en el edificio. Localización de cañerías de aguas, drenajes, si el edificio se encuentra cerca de zonas de inundación. Areas Urbanas potencialmente conflictivas. b) Ambiente del Centro de Procesamiento. Aire Acondicionado. Energía Eléctrica. Falta de UPS o planta propia. Inadecuado mantenimiento del equipo. Inadecuado señalamiento de los dispositivos. Protección contra fuego. Detectores de humo inadecuados. Sistema no probado regularmente. Insuficiente extintores manuales. Falta de monitoreo de las alarmas. Falta de entrenamiento contra incendios. Procedimientos inadecuados de evacuación. Existencia de interruptores de energía para casos de emergencia. Iluminación inadecuada. Existencias de reglas de seguridad o señales de peligro. Red de distribución no revisada con regularidad. c) Control de Ingreso. Ineficiencia o falta de vigilancia. No se hace uso de registro de vigilantes.

19 96 Falta de tarjetas de identificación. Identificación requerida de visitantes. Puertas y Ventanas inseguras. Falta de control de vehículos que ingresan o salen. Inadecuado control de acceso al Centro de Cómputo. Areas del Centro de Cómputo inseguras (sin llave). d) Personal. Existe comprobación adecuada de experiencia del nuevo personal. Existencia de Contrato de Trabajo, debidamente firmado por ambas partes (Contratante y contratado). Inadecuada revisión de procedimientos de entrenamiento del grupo o rotación del trabajo. Carencia de personal competente o está mal pagado. Existencia de personal mal intencionado. Existencia de baja moral de trabajo. e) Administración. No se hace un análisis regular de los riesgos. Existen adecuadas políticas de seguridad. Los fraudes y otros problemas no son comunicados a las autoridades respectivas. No hay personal dedicado al manejo de desastres. f) Plan de Contingencias. Existe un Plan de Contingencias. Se cuenta con un sitio alterno de operaciones. El plan esta desactualizado o no ha sido probado. Existe un adecuado control de los activos y de los suministros. Existe identificación de los sistemas críticos.

20 97 g) Datos y Programas. Se establece un calendario para el respaldo de las aplicaciones o programas críticos. Los lugares de almacenamiento dentro del Centro de cómputo son seguros. Se tienen establecidas políticas adecuadas para el manejo de los datos importantes. Se le permite al personal hacer sus trabajos personales (utilizar el equipo). Existe documentación de cada uno de los programas y/o aplicaciones. Se tiene programas obsoletos en uso. Se destruye la información importante que no se usa. Se tiene control sobre los medios de almacenamiento. Se tiene controles de calidad para los nuevos sistemas. Existen controles de acceso a los programas o sistemas. Están definidos los privilegios de los usuarios. h) Hardware (equipo) Existe inventario completo del hardware. Se brinda un adecuado mantenimiento al hardware. Hay equipo obsoleto en uso. Existe comunicación de datos (teleproceso). Para la comunicación de datos se utilizan líneas dedicadas. Las líneas de comunicación son inseguras o con fallas. Las terminales se restringen para usuarios específicos o tareas específicas. Inadecuado o carencia total de control de claves de acceso. i) Organización Interna. Se almacena documentación importante en medios inseguros. Existen control sobre documentación o material importante. Existen respaldos de documentación importante.

21 98 Reportes incompletos o con error de las fallas del equipo. Inadecuada documentación de los sistemas, programas y sistema operativo. Procedimiento de encendido y apagado del equipo definidos. Existen restricciones sobre ciertos hábitos en el centro de Cómputo (comer, fumar, almacenar material inflamable, etc.) Falta de higiene en el lugar. j) Auditoría. No existen procedimientos o programas de auditoría. Se revisan los reportes de auditoría. Existen controles internos adecuados en los sistemas. Una vez realizada la identificación de los riesgos usted tiene pleno conocimiento de cuales son las debilidades y donde se encuentran, con ello tenemos lo necesario para saber donde centrar parte del Modelo y que áreas son a las que se les debe poner mayor atención. 6.2 Fase de Desarrollo. El objetivo de esta fase es de dar por resultado un Manual de Políticas de Seguridad Informática, una Solución Informática y un Plan de Contingencias. Es importante estar conscientes de algunos aspectos: De la importancia de la Seguridad Informática. Considere el Sistema de Datos como un activo de la institución. Considere el Sistema de Datos como un recurso para alcanzar objetivos estratégicos. El Modelo de Seguridad Informática debe de tener como propósito por lo menos alguno de los siguientes objetivos Mantener el Sistema de datos actualizados y accesibles desde cualquier punto.

22 99 Mantener el servicio del Sistema de Datos a todos los usuarios interno y externo de la institución. Estar preparados ante cualquier contingencia que se presente y que represente un peligro al Sistema de Datos. Resguardar el Sistema de Datos de cualquier amenaza, intruso o falla que pueda ser provocada por entes internos o externos a la institución y que puedan dañar el sistema de datos Determinación de necesidades. Cada empresa es diferente, es por ello que sus necesidades en cuanto a sistemas de datos son variadas, cada una de ellas tiene objetivos variados y va desear que su sistema se adapte a sus necesidades y cumpla con los objetivos establecidos por la institución, no es lo mismo una empresa comercial que una empresa que brinde servicios financieros. Otro punto a considerar es el tamaño de su estructura organizativa, número de empleados y los roles dentro del Sistema de Datos. Pero además del número de empleados, se debe de considerar el número de sucursales o agencias con que cuenta la Institución. Debemos de establecer cuales son las necesidades de cada uno de los miembros de la institución, las prioridades y cual es el objetivo que perseguimos con la implementación del modelo. Para el caso del Modelo Tecnológico, ya no es necesario solo el establecimiento de la disponibilidad que necesitaremos y del coste que tendrá la solución; es importante saber si se hará un uso intensivo de los discos de escritura, si se realizarán lecturas de grandes bloques de datos en una forma secuencial, o si la lectura se hará de una forma aleatoria y de tamaños variables. Además debemos determinar si el sistema de Replicación contendrá el sistema de datos o solo los datos por si mismos.