CALIDAD Y SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA INFORMÁTICA

Transcripción

1 UNIVERSIDAD CARLOS III DE MADRID ESCUELA POLITÉCNICA SUPERIOR INGENIERÍA TÉCNICA DE INFORMÁTICA DE GESTIÓN CALIDAD Y SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA INFORMÁTICA Curso Leganés, 23 Noviembre de 2009 Autora: Esmeralda Guindel Sánchez Tutor: Miguel Ángel Ramos González

2 A mi madre, a quien este proyecto debe mucho más de lo que parece

3 ÍNDICES - 2 -

4 ÍNDICE TEMÁTICO 1. Consideraciones previas Pág Introducción Pág Concepto de calidad Pág Evolución histórica Pág Algunos conceptos Pág Calidad del software Pág Concepto de seguridad Pág Seguridad de la información Pág Seguridad informática Pág Calidad del soporte lógico Pág En la elección y aplicación del método Pág Decisión Pág Implantación del método Pág Respecto a la empresa Pág La organización interna Pág Las personas Pág Propuestas de estructura Pág Canalización de las demandas de los usuarios Pág Resolución de conflictos Pág Plan de contingencia Pág Objetivo Pág Características Pág Calidad técnica Pág Elementos para la evaluación Pág Criterios para evaluar la calidad del software Pág Calidad en la explotación Pág Normas Pág Organización internacional para la estandarización Pág Concepto de normalización Pág Normas en calidad de explotación Pág Controles internos Pág Evaluación de resultados Pág Seguridad Pág Objetivos de las medidas de seguridad Pág Consideraciones sobre seguridad Pág Normas obligatorias Pág

5 4.5.4 Errores más frecuentes Pág Pasos a dar para la gestión de un problema Pág Técnicas avanzadas de gestión de la calidad Pág Benchmarking Pág La reingeniería de procesos Pág El área de calidad informática Pág Inserción en la estructura de la empresa Pág Dependencia Pág Su composición Pág Jefatura Pág Integrantes Pág Perfiles Pág Funciones y responsabilidades Pág Descripción Pág Infraestructura de la calidad Pág Calidad, Seguridad y auditoría Pág Introducción histórica Pág Definición Pág Alcance y objetivos de la auditoría Pág Objetivo fundamental de la auditoría informática Pág Actividades a ser realizadas en una auditoría Pág Su relación con el área de calidad informática Pág Ámbito de actuación Pág Respecto a las áreas informáticas Pág En el entorno informático Pág Síntomas de auditoría Pág Tipos y clases de auditorías (no es interna y externa) Pág Auditoría de explotación Pág Auditoría de desarrollo Pág Auditoría de sistemas Pág Auditoría de comunicaciones Pág Auditoría de seguridad Pág Requisitos de auditoría informática Pág Auditoría interna y/o externa Pág Externa: bases para la contratación Pág Auditorías externas de calidad Pág Interna: dependencia y funciones Pág Auditorías internas de calidad Pág

6 7.7.3 Diferencias entre auditoría interna y externa Pág Revisión de controles de la gestión informática Pág Perfil del auditor informático Pág Capacidad, conocimientos, formación Pág Requisitos de una auditoría de calidad Pág Plan de auditorías Pág Manual de las auditorías Pág Personas que intervienen en las auditorías Pág Fases de una auditoría de calidad Pág Auditoría de la seguridad informática Pág Políticas de seguridad informática (SEG) Pág Generalidades Pág Definición de políticas de seguridad informática Pág Elementos de una política de seguridad informática Pág Parámetros para establecer políticas de seguridad Pág Razones que impiden la aplicación de las políticas de seguridad informática Pág Privacidad en la red y control de intrusos Pág Privacidad en la red Pág Generalidades Pág Definición de privacidad de las Redes Pág Requisitos para mantener la privacidad de las redes Pág Riesgos o amenazas a la privacidad de las redes Pág Detección de intrusos Pág Generalidades Pág Factores que propician el acceso de intrusos a la redes y sistemas Pág Medidas para controlar el acceso de intrusos Pág Principales actividades de los intrusos o piratas informáticos Pág Virus y antivirus (V/A) Pág Virus Pág Generalidades Pág Definiciones Pág Características Pág

7 Quiénes hacen los virus? Pág Síntomas más comunes de virus Pág Clasificación Pág Ciclo de infección Pág Medidas de protección efectivas Pág Antivirus Pág Generalidades Pág Definición de antivirus Pág Los antivirus más buscados Pág Antivirus al rescate Pág Conozca bien su antivirus Pág Importancia del antivirus Pág Seguridad Pág Generalidades Pág Seguridad del correo Pág Cómo puede elaborar un protocolo de seguridad antivirus? Pág Etapas para implantar un sistema de seguridad Pág Beneficios de un sistema de seguridad Pág Disposiciones que acompañan la seguridad Pág Herramientas y técnicas para la auditoría informática Pág Cuestionarios Pág Entrevistas Pág CheckList Pág Trazas y/o Huellas Pág Software de Interrogación Pág Metodologías para la aplicación de las auditorías de la calidad Pág Desarrollo de las auditorías Pág Métodos para la realización de auditorías Pág Metodología de trabajo de auditoría Pág Estudio inicial Pág Organización Pág Entorno operacional Pág Aplicaciones bases de datos y ficheros Pág Determinación de recursos de la auditoría informática Pág Recursos materiales Pág

8 Recursos humanos Pág Actividades de la auditoría informática Pág Informe final Pág Errores más comunes en las auditorías de calidad Pág Auditoría en el marco de LOPD Pág Quién está obligado a la auditoría de la LOPD Pág Cada cuánto tiempo hay que hacerla Pág Quién la hace y a quién se le comunica Pág Qué ocurre si no la hago Pág Qué contenido tiene la auditoría Pág Artículos relacionados con la auditoría en el marco de LOPD Pág Medidas en LOPD Pág CRMR Pág Definición de la metodología CRMR Pág Supuestos de aplicación Pág Áreas de aplicación Pág Objetivos Pág Alcance Pág Información necesaria para la evaluación del CRMR Pág Caso práctico de una auditoría de seguridad informática (ciclo de seguridad) Pág Ciclo de seguridad Pág FASE 0: Causas de realización de una auditoría de seguridad Pág FASE 1: Estrategia y logística del ciclo de seguridad Pág FASE 2: Ponderación de sectores del ciclo de seguridad Pág Pesos técnicos Pág Pesos políticos Pág Pesos finales Pág FASE 3: Operativa del ciclo de seguridad Pág FASE 4: Cálculos y resultados del ciclo de seguridad Pág Confección del informe del ciclo de seguridad Pág Algunas vulnerabilidades respecto a la seguridad de la información Pág Las veinte vulnerabilidades más importantes en internet Pág

9 9.2 Concepto de neutralidad de red Pág Desarrollo histórico Pág Diferentes posturas Pág Argumentos de cada postura Pág Tendencias en auditoría y seguridad informática Pág El riesgo de predecir lo que pasará Pág Evoluciona la ciberguerra fría Pág Se transforma la inseguridad en las aplicaciones Pág Se acentúa la amenaza de incidente de seguridad interno Pág Las iniciativas normativas y regulatorias se hacen más evidentes Pág Muchos estándares, muchos procedimientos, poco gobierno y poca interiorización en seguridad de la información. Pág Tendencias en auditoría informática Pág Tendencias en seguridad informática Pág Qué nos depara el malware en el futuro? Pág. 170 Conclusiones generales Pág. 173 Apéndice A: Lista de normas ISO Pág. 176 Apéndice B: ISO Pág. 179 Introducción Pág. 180 Origen Pág. 180 La serie Pág. 181 Contenido resumido Pág. 183 Beneficios Pág. 187 Cómo adaptarse? Pág. 188 Arranque del proyecto Pág. 188 Planificación Pág. 189 Implementación Pág. 190 Seguimiento Pág. 191 Mejora continua Pág. 192 Aspectos clave Pág. 192 Fundamentales Pág. 192 Factores de éxito Pág. 193 Riesgos Pág. 193 Consejos básicos Pág. 194 Apéndice C: ISO Pág. 195 Organización Pág

10 Certificación Pág. 197 Qué es ISO 20000? Pág. 197 Las ventajas de la norma ISO Pág. 197 Estructura Pág. 198 Propósito Pág. 199 Qué encontramos en común con la ISO 27000? Pág. 201 Conclusiones Pág. 201 Relación con ITIL Pág. 202 Apéndice D: Gestión de servicio TI Pág. 203 Apéndice E: Aplicación - cuestionario ISO Pág. 206 Especificaciones funcionales Pág. 207 Especificaciones técnicas Pág. 212 Código del programa Pág. 213 Glosario Pág. 227 Bibliografía Pág

11 ÍNDICE DE IMÁGENES Imagen 1: Evolución histórica Pág. 18 Imagen 2: Método planificar-realizar-comprobar-actuar para los procesos de gestión del servicio Pág. 24 Imagen 3: Ejemplo de estructura de una empresa Pág. 30 Imagen 4: Ejemplo de organización de una empresa Pág. 30 Imagen 5: Mapa mundial de estados con comités miembros de la ISO Pág. 38 Imagen 6: Gráfico de barras: Segmentos, secciones y subsecciones Pág. 150 Imagen 7: Diferentes posturas Pág. 161 Imagen 8: Historia ISO Pág. 181 Imagen 9: ISO Cómo adaptarse? Pág. 188 Imagen 10: ISO Arranque del proyecto Pág. 188 Imagen 11: ISO Planificación Pág. 189 Imagen 12: ISO Implementación Pág. 190 Imagen 13: ISO Seguimiento Pág. 191 Imagen 14: ISO Mejora continua Pág. 192 Imagen 15: Procesos de gestión de servicios de la norma Pág. 199 Imagen 16: Relación entre ISO e ITIL Pág. 202 Imagen 17: Cuestionario ISO 20000: Transacción Pág. 207 Imagen 18: Cuestionario ISO 20000: Requisitos del sistema de gestión Pág. 208 Imagen 19: Cuestionario ISO 20000: Planificación e implementación de la gestión del servicio y planificación e implementación de servicios nuevos o modificados Pág. 208 Imagen 20: Cuestionario ISO 20000: Procesos de provisión de servicio Pág. 209 Imagen 21: Cuestionario ISO 20000: Procesos de provisión de servicio y procesos de relación Pág. 210 Imagen 22: Cuestionario ISO 20000: Procesos de resolución Pág. 210 Imagen 23: Cuestionario ISO 20000: Procesos de control Pág. 211 Imagen 24: Cuestionario ISO 20000: Proceso de entrega Pág. 211 Imagen 25: Cuestionario ISO 20000: Resultado final Pág. 212 Imagen 26: Ejemplo diseño gráfico de una dynpro Pág

12 ÍNDICE DE TABLAS Tabla 1: Áreas específicas de la auditoría informática Pág. 74 Tabla 2: Ejemplo de matriz de riesgo Pág. 83 Tabla 3: Diferencias auditoría externa/interna Pág. 86 Tabla 4: Métodos para realizar auditorías, tabla de respuestas Pág. 124 Tabla 5: Grado de cumplimiento / nivel de riesgo Pág. 124 Tabla 6: Perfiles profesionales de los auditores informáticos Pág. 129 Tabla 7: Ciclo de seguridad Pág. 143 Tabla 8: Pesos finales Pág. 143 Tabla 9: Control de accesos: autorizaciones Pág. 145 Tabla 10: Control de accesos: controles automáticos Pág. 146 Tabla 11: Control de accesos: vigilancia. Pág. 146 Tabla 12: Control de accesos: registros. Pág. 147 Tabla 13: Ciclo de seguridad: segmento 8, seguridad física Pág. 148 Tabla 14: Ciclo de seguridad: evaluación y pesos de segmentos Pág. 149 Tabla 15: Especificaciones técnicas Pág. 212 Tabla 16: Especificaciones técnicas objetos z Pág

13 ÍNDICE DE ESQUEMAS Esquema 1: Alcance de la auditoría Pág. 63 Esquema 2: Auditorías externas de calidad Pág. 84 Esquema 3: Auditorías internas de calidad Pág

14 CAPÍTULO 1: CONSIDERACIONES PREVIAS

15 CONSIDERACIONES PREVIAS Cada día son más las empresas que perciben su información como el motor del negocio que es, un activo estratégico que diariamente es sometido a nuevos y más graves riesgos imposibilitando que de manera efectiva, la información aporte el valor que tiene, siendo necesario vencer la inseguridad y la desconfianza que esto genera. Virus, hackers, averías, incendios, personal descontento, errores humanos, son miles las amenazas que tienen efectos devastadores, y que generan: Indisponibilidad: No poder acceder a la información cuando es vital y necesaria para la toma de decisiones, por inoperatividad de las infraestructuras tecnológicas. Falta de confidencialidad: Información accedida por personas no autorizadas. Robo de datos de clientes, espionaje, filtraciones, fraude. Pérdida de integridad: alteración de la información intencionada o por error al no existir controles. Falta de confianza en las transacciones electrónicas con terceros, al no existir mecanismos de autenticidad y repudio. Afrontar estas situaciones, controlando la inseguridad de nuestros sistemas de información dentro de límites aceptables por el negocio sólo es posible mediante la integración de medidas organizativas y técnicas en el marco del desarrollo de una Cultura de la Seguridad y Calidad de la Información en la empresa. No es posible eliminar las amenazas pero sí debemos reducir la posibilidad de que actúen y el perjuicio que pueden ocasionar: Es decir, controlar el riesgo para generar seguridad y confianza, aportando veracidad y calidad a la información que se está tratando. En una sociedad en la que los cambios se producen de manera vertiginosa, y donde la información, la tecnología y su continua innovación son el propulsor principal de una espiral de oportunidades, nuevos riesgos amenazan permanentemente a las organizaciones: la complejidad de la tecnología, información de deficiente calidad, confidencialidad comprometida etc., cuyos efectos son cada vez más graves: pérdida de confianza y oportunidad, costes económicos... Por ello es necesario proteger la información de las organizaciones y la confianza de sus clientes ayudando al desarrollo de una verdadera cultura de la seguridad en la empresa, desarrollar un proceso de mejora continua y maduración, a través de la evaluación, metodologías de calidad, la auditoría Informática y ayudar a las empresas en el cumplimiento de las normativas. Actualmente todas las entidades que realizan software comienzan a prestar una gran atención en la calidad y seguridad de sus productos. Esto se debe, en parte, a que los clientes cada vez son más exigentes. Además, el no tener calidad y seguridad, implica la pérdida de clientes puesto que acudirán a aquellas empresas que les ofrezcan una calidad especificada por alguna norma y una seguridad a su producto. La calidad pretende obtener el cumplimiento de las expectativas pactadas con el/los cliente/s siguiendo los estándares establecidos para garantizar así el éxito. La calidad depende fundamentalmente de las expectativas de los clientes, ya que son ellos quienes finalmente perciben o evalúan la calidad. Bajo este prisma, la calidad puede ser definida como la brecha entre el desempeño real y el desempeño esperado. A menor brecha, mayor calidad. Para lograr una buena calidad, es decir para que el desempeño del producto o

16 servicio sea mayor o igual que las expectativas de los clientes, la clave está en conocer y comprender cuáles son esas expectativas. El principal impacto de una mala calidad es la pérdida de rentabilidad y competitividad. Toda empresa que logra un buen nivel de calidad logra aumentar el valor de sus productos, sus ventas y su participación de mercado. Si además logra reducir sus costos, entonces la competitividad de la empresa será aún mayor. Los datos de alta calidad deben ser completos, consistentes, exactos y actualizados. La necesidad de este tipo de datos es cada vez mayor ya que las compañías cada vez necesitan ser más eficientes en su operativa, cumplir con las normativas vigentes y contar con capacidades de monitorización que permitan que la calidad de datos se gestione como una iniciativa global. La calidad comienza con una decisión estratégica que sólo puede ser tomada por la alta gerencia, la cual, es la decisión de competir como una compañía de categoría mundial. La calidad se concentra en lograr un desempeño de alta calidad en cada una de las facetas de la empresa. La Seguridad informática no comprende únicamente características técnicas, sino que tiene que incorporar al personal, tanto interno como externo, a la gestión y a la organización. Debido a la sensación de inseguridad que planea sobre la sociedad en general, también en el campo de la informática se requiere cada vez más un aumento de los niveles de Seguridad por parte de todos. La Auditoría de Sistemas de Información comprende la revisión y la evaluación independiente y objetiva, abarcando todo o algunas de las áreas de los sistemas de información, sus estándares y procedimientos en vigor, para determinar si el sistema salvaguarda los activos, mantiene la integridad de la información y el cumplimiento de los objetivos fijados por la organización. Teniendo en cuenta lo mencionado anteriormente, se puede observar la importancia de la Calidad y Seguridad en los entornos informáticos. De esta importancia surge este proyecto, cuya finalidad es profundizar en el conocimiento de la calidad y de la seguridad de la información. Se trata de relacionar ambas características, a la luz de los principales estándares aplicables, así como la auditoría como herramienta para las revisiones. Se busca desarrollar una cultura de calidad y seguridad en el lector. Se tratan los conceptos de calidad, seguridad y auditoría informática. La aplicación de estándares para su puesta en marcha y se dan detalles sobre su contenido. Con todo esto se pretende dar al lector un conocimiento más amplio de aquellas normas que afectan directamente a la calidad, a la seguridad y a la auditoría informática, que le permita saber que norma aplicar. Se profundiza en estos conceptos, aplicándolos a las empresas y a la situación actual del mercado, evaluando las tendencias de la seguridad, auditoría y calidad en un futuro. Se puede observar la importancia de estos términos. Además se le da gran importancia a la auditoría informática relacionada con la calidad y la seguridad. El fin último es que cada persona implicada en labores informáticas esté convencida de que un trabajo bien hecho es aquel que cumple los requisitos de calidad y de seguridad necesarios, no sólo cuando ya está finalizado, sino durante toda su ejecución

17 CAPÍTULO 2: INTRODUCCIÓN

18 2. INTRODUCCIÓN 2.1 CONCEPTO DE CALIDAD El término calidad es ambiguamente definido y pocas veces comprendido, esto se debe a que: La calidad no es una sola idea, es un concepto multidimensional; La dimensión de calidad incluye el interés de la entidad, el punto de vista de la entidad, y los atributos de la entidad; Por cada concepto existen diferentes niveles de abstracción; Varía para cada persona en particular. Una definición que se podría dar de calidad sería: Conjunto de propiedades y de características de un producto o servicio, que le confieren aptitud para satisfacer unas necesidades explícitas o implícitas Evolución Histórica Inspección/detección de errores: hasta los años 40. Inicialmente el trabajo era artesanal y el control existente era individual, independiente de cada tarea. En el año 1918, Ford Motor Company, monta la Primera cadena de montaje y en 1930 Laboratorios Bel la pone en marcha. Control (estadístico) de calidad: hasta los años 80. El mercado es poco competitivo. Precio de venta es fijado por el fabricante en función de los costes. La principal función es impedir que el producto defectuoso llegue al cliente. Se persigue conseguir uniformidad de servicio. El concepto de control de calidad es igual a problema a resolver. Se utilizan técnicas estadísticas para controlar la calidad del departamento de producción. Se destacan en este periodo: Japón y Calidad total ( ). Deming, Ishikawa, Juran, Crosby, Garantía de calidad: a partir de los 80. El mercado se caracteriza por ser competitivo y de oferta. El precio de venta es fijado por el mercado. Entran en juego la planificación y medida de la calidad. Se implantan modelos de calidad que afectan a todos los departamentos Interés por la calidad en los EEUU. TQM Premio Malcom Baldrige Quality Award ISO A partir de las normas británicas Premio Europeo a la calidad de la EFQM

19 Gestión de calidad hoy. Se busca un impacto estratégico y la oportunidad de ventaja competitiva. Tienen relevancia conceptos como: Planificación, fijación de objetivos, coordinación, formación, adaptación de toda la organización. La calidad afecta a la sociedad en general: directivos, trabajadores, clientes. Se toma como una filosofía, una cultura, una estrategia, un estilo de gerencia de la empresa. Mejora de la calidad Mejora Mejora continua contínua Calidad total Garantía de calidad Prevenir defectos Control de calidad Detectar defectos Imagen 1: Evolución Histórica Tiempo Algunos conceptos Calidad: Conjunto de propiedades y características de un producto o servicio que le confieren su aptitud para satisfacer unas necesidades explícitas o implícitas Control de calidad: Conjunto de técnicas y actividades de carácter operativo, utilizadas para verificar los requerimientos relativos a la calidad del producto o servicio. Garantía de calidad: Conjunto de acciones planificadas y sistemáticas necesarias para proporcionar la confianza adecuada de que un producto o servicio satisfará los requerimientos dados sobre calidad. Gestión de la calidad: Aspecto de la función de gestión que determina y aplica la política de la calidad, los objetivos y las responsabilidades y que lo realiza con medios tales como la planificación de la calidad, el control de la calidad, la garantía de calidad y la mejora de la calidad. La gestión de la calidad es responsabilidad de todos los niveles ejecutivos, pero debe estar guiada por la alta dirección. Su realización involucra a todos los miembros de la organización. En la gestión de la calidad, se tienen en cuenta también criterios de rentabilidad. Sistema de gestión de la calidad: Conjunto de la estructura de la organización, de responsabilidades, procedimientos, procesos y recursos que se establecen para llevar a término la gestión de calidad

20 Debe tener el volumen y alcance suficiente para conseguir los objetivos de calidad. Está fundamentalmente previsto para satisfacer las necesidades internas de la organización.). Para finalidades contractuales o vinculantes en la valoración de la calidad, se puede exigir que se ponga de manifiesto la realización de ciertos elementos del sistema de gestión de la calidad Calidad del Software La calidad del software es el grado con el que un sistema, componente o proceso cumple los requerimientos especificados y las necesidades o expectativas del cliente o usuario. (IEEE, Std ). Concordancia del software producido con los requerimientos explícitamente establecidos, con los estándares de desarrollo prefijados y con los requerimientos implícitos no establecidos formalmente, que desea el usuario (Pressman, 1998). Factores que determinan la calidad del software: Se pueden clasificar en dos grandes grupos (Pressman): Factores que pueden ser medidos directamente. Factores que sólo pueden ser medidos indirectamente. Se centran en tres aspectos importantes de un producto software (McCall): Características operativas: Corrección, fiabilidad, eficiencia, seguridad (Integridad) y facilidad de uso. Capacidad de soportar los cambios: Facilidad de mantenimiento, flexibilidad y facilidad de prueba. Adaptabilidad a nuevos entornos: Portabilidad, reusabilidad e interoperabilidad. 2.2 CONCEPTO DE SEGURIDAD Seguridad de la Información La seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, disrupción o destrucción no autorizada. Los términos Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información. Sin embargo, entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma que los datos puedan tener: electrónicos, impresos, audio u otras formas

21 Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, la investigación y la situación financiera. La mayor parte de esta información es recolectada, tratada, almacenada y puesta a la disposición de sus usuarios, en ordenadores y transmitida a través de las redes a otros ordenadores. En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o la nueva línea de productos caigan en manos de un competidor o se vuelva pública en forma no autorizada, podría causar la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma. Por lo que proteger la información confidencial es un requisito del negocio, y en muchos casos también un imperativo ético y una obligación legal. Para el individuo común, la Seguridad de la Información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la Seguridad de la Información ha crecido y evolucionado considerablemente en los últimos años. Convirtiéndose en una carrera acreditada a nivel mundial. La misma ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, Planificación de la continuidad del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de Seguridad por nombrar algunos. La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información. Confidencialidad: La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. Integridad: Para la Seguridad de la Información, la integridad es la propiedad que busca mantener a los datos libres de modificaciones no autorizadas. Disponibilidad: La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones Seguridad Informática La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Objetivos de la seguridad informática: Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos: Información: Es el objeto de mayor valor para una organización. El objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico. Equipos que la soportan: Software, hardware y organización. Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información

22 Análisis de riesgos El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. Los medios para conseguirlo son: Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. Puesta en marcha de una política de seguridad Generalmente se ocupa exclusivamente de asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos. Las amenazas Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables,