Introducción

En un mundo regido por la informática, la gestión de la información, de los sistemas de información y de las comunicaciones, tiene una importancia crítica para el éxito y la supervivencia de las organizaciones. Este carácter crítico surge por causa de:

—  la dependencia creciente de la información, así como de los sistemas y comunicaciones a través de los cuales fluye éstas;

—  el alto nivel y el coste de las inversiones, presentes y futuras, en información;

—  el potencial que tiene la tecnología para cambiar drásticamente las organizaciones y las costumbres de las empresas, para crear nuevas oportunidades y para reducir los costes.

Muchas organizaciones reconocen el filón de ventajas que pueden obtener de la tecnología. Las organizaciones de mayor éxito, no obstante, saben además como entender y gestionar las nuevas tecnologías. La dirección de la empresa tener una apreciación y una comprensión básica de los riesgos y condicionantes de la tecnología de la información, para así conseguir una gestión y unos controles eficaces.

Esta Guía tiene el objetivo de ayudar a la dirección a implantar las políticas y los procedimientos dentro de un marco global del control interno. Cuando la dirección trate de implantar los principios contenidos en esta Guía, puede necesitar ayuda técnica adicional.

Esta Guía basada en las mejores prácticas recomendadas por las publicaciones más importantes y selectas del Departamento de Comercio e Industria (Reino Unido), del Departamento de Comercio (Estados Unidos de América), del Gobierno de Gales del Sur (Australia) y de la Organización para la Cooperación y el Desarrollo Económico (OCDE).

Resumen general

¿Por qué?

1. En la sociedad mundial de la información, donde ésta viaja a través del ciberespacio de forma rutinaria, está ampliamente aceptado el papel y el significado de los términos "información" e "informática". Además, tanto la información como los sistemas informáticos y de comunicaciones que la transmiten se encuentran muy extendidos en las organizaciones, desde las plataformas de usuario hasta las redes de área local o extendida y a los servidores en forma de grandes computadores. De acuerdo con ello, la dirección de empresa tiene la responsabilidad de asegurar que la organización provee a todos los usuarios de un entorno de sistemas informáticos seguros. Una seguridad de carácter muy sólido es fundamental para conseguir esta tranquilidad en la organización. Es más existente una necesidad en las organizaciones de protegerse ellas mismas contra los riesgos inherentes al uso de los sistemas informáticos, a la vez que reconocen las ventajas que se pueden derivar de que éstos sean seguros. Por tanto, a medida que aumenta la dependencia de los sistemas informáticos, la seguridad es reconocida universalmente como una cualidad, cuya necesidad es crítica.

¿Qué?

2. El concepto de seguridad es aplicable a todo tipo de información. La seguridad, de forma genérica, tiene relación con la protección de los activos de valor contra los de daños, las pérdidas y el conocimiento no deseado por parte de terceros. En este contexto, los activos de valor son los datos o la información registrada, procesada, almacenada, compartida, transmitida o recuperada a través de algún procedimiento electrónico. Los datos o información deben estar protegidos de daños procedentes de amenazas que puedan suponer su pérdida, inaccesibilidad, alteración o recuperación errónea. La protección se consigue por medio de una serie de niveles de salvaguardas de tipo tecnológico y no tecnológico, tales como las medidas físicas de seguridad, las comprobaciones básicas, los identificadores de usuario, los códigos de paso, las tarjetas inteligentes, las pruebas biométricas, los cortafuegos, etc. La seguridad se aplica, así, a todo tipo de información. El concepto de seguridad se resume en el objetivo de la seguridad.

OBJETIVO DE LA SEGURIDAD: el objetivo de la seguridad informática es la protección de los intereses de todos los que confían en la información, así como en los sistemas informáticos y de comunicación que distribuyen la información, de los daños que pudieran producirse como consecuencia de los fallos de la disponibilidad, confidencialidad e integridad ⁽¹⁾ .

Este objetivo de la seguridad está sustentado por ocho principios básicos.

PRINCIPIOS BÁSICOS

¿Cómo?

3. Es necesario un enfoque continuo e integrado para cumplir con el objetivo de la seguridad, así como para desarrollar y mantener los controles adecuados, de acuerdo con los principios básicos generalmente aceptados.

ENFOQUE

Desarrollo de políticas: El objetivo de seguridad, y los principios básicos que lo desarrollan, suministran un marco para el primer paso crítico que debe afrontar una organización: el desarrollo de una política relativa a la seguridad.

Funciones y responsabilidades: Para que la seguridad sea eficaz, es imperativo que las funciones, responsabilidades y autoridades individuales sean claramente comunicadas y comprendidas por todos.

Diseño: Una vez que la política general ha sido aprobada por el órgano de gobierno de la organización, y han sido asignadas las funciones y responsabilidades, es necesario desarrollar un marco de seguridad y control, compuesto por normas, medidas, guías de comportamiento y procedimientos.

Implantación: Una vez que ha sido aprobado el diseño de las normas, medidas guías de comportamiento y procedimientos de seguridad, cada una de las soluciones debe ser puesta en práctica en el momento oportuno, y mantenida a partir de entonces.

Supervisión: Es necesario establecer medidas de supervisión para detectar los cumplimientos relacionados con la seguridad y asegurar su corrección, de forma que todos los incumplimientos reales y potenciales sean identificados a tiempo, investigados y corregidos, y de este modo asegurar el cumplimiento continuo de las políticas, normas y prácticas aceptables relacionadas con la seguridad.

Conciencia, entrenamiento y educación: Tanto la conciencia sobre la necesidad de proteger la información, como el entrenamiento en las habilidades necesarias para manejar los sistemas de forma segura y por supuesto la educación en la medidas y guías de comportamiento relacionadas con la seguridad, son de importancia crítica para el éxito del programa de seguridad de cualquier organización.

¿Cuándo?

4. Con un entorno tecnológico en cambio permanente, lo que se considera hoy en vanguardia estará mañana obsoleto, pero la seguridad debe conservarse en medio de tales cambios. La seguridad debe ser considerada como una parte integral del proceso de desarrollo de los ciclos de vida de los sistemas, y abordada de forma explícita en cada una de las fases de este proceso. La seguridad debe ser tratada de una forma activa y anticipatoria para ser efectiva. La característica de oportunidad resulta crítica para asegurar la seguridad de la información.

¿Quién?

5. Tanto la dirección como los profesionales de la seguridad informática, los propietarios de los datos y de los procesos, los suministradores de tecnología y los auditores de sistemas informáticos tienen funciones y responsabilidades a la hora de asegurar la efectividad en la seguridad informática. Todos los individuos implicados en la gestión, uso, diseño, desarrollo, mantenimiento, explotación o supervisión de los sistemas de información deben ejercer sus funciones con la debida diligencia.

Definiciones-clave

6. Disponibilidad es la característica inherente a los datos, la información y los sistemas informáticos que implica ser accesibles y utilizables en su debido tiempo y forma.

Comunicación es la transmisión y la recepción d señales, e incluye tanto las de voz como las de datos.

Confidencialidad es la característica de los datos y de la información de no ser relevados más que personas y entidades autorizadas, así como procesados en el momento y la forma debidamente autorizados.

Ciberespacio es la red de información y comunicación mundial, donde el tiempo, la distancia y el espacio no constituyen limitación alguna.

Datos son la representación formalizada de hechos, conceptos o instrucciones, susceptibles de ser utilizados para comunicación, interpretación y procesamiento, ya sea por parte de personas o de forma automática.

Sistemas de información son los ordenadores, los instrumentos de comunicación, las redes de ordenadores y comunicación, así como los datos y la información que puede ser registrada, procesada, almacenada, compartida, transmitida o recuperada por ellos, incluyendo también los programas, las especificaciones y los procedimientos para su explotación, uso y mantenimiento.

Auditor de sistemas de información es un auditor, estreno o interno, que posee el conocimiento, habilidades y capacidad para revisar y evaluar el desarrollo, mantenimiento y explotación de los componentes de los sistemas informáticos.

Integridad es una característica y de los datos de información, que consiste en ser exactos y completos, y también es la preservación de esta exactitud y completitud mediante la protección de los datos y de la información de cualquier modificaciones no autorizada, no prevista o no deseada.

¿Por qué es importante la seguridad en la informática?

7. En la sociedad mundial de la información, donde ésta viaja a través del ciberespacio de forma rutinaria, está ampliamente aceptado el papel y el significado de los términos "información" e "informática". Además, tanto la información como los sistemas informáticos y de comunicaciones que la transmiten se encuentran muy extendidos en las organizaciones, desde las plataformas de usuario hasta las redes de área local o extendida y a los servidores en forma de grandes computadores. Las organizaciones dependen de que la información llegue a tiempo, sea exacta, completa, válida, consistente, relevante y fiable. De acuerdo con ello, la dirección tiene la responsabilidad de asegurar que la organización suministra, a todos los usuarios, un entorno de sistemas informáticos seguros.

8. Del uso de los sistemas de información se derivan ventajas tanto directas como indirectas. Pero también se presentan directos e indirectos relacionados con los sistemas informáticos. Tales riesgos han llevado a una disparidad entre la necesidad de proteger los sistemas y el grado de protección aplicada. Esta disparidad ha sido causada por:

—  el amplio uso de la tecnología;

—  la interconectividad de los sistemas;

—  la eliminación de las restricciones de distancia, tiempo y espacio;

—  la desigualdad del cambio tecnológico;

—  la autonomía de la gestión y el control;

—  el atractivo de llevar a cabo ataques electrónicos no convencionales contra las organizaciones, en lugar de otros ataques físicos más convencionales, y

—  otros factores extremos, tales como los desarrollos tecnológicos y las exigencias de tipo legislativo o regulador.

9. Los fallos de seguridad pueden producir tanto pérdidas financieras como otras más intangibles , tales como la revelación no autorizada de información sensible o referida a datos sobre política de competencia.

10. Las amenazas de seguridad a los sistemas informáticos pueden venir de actos intencionados o involuntarios, que a su vez pueden proceder de fuentes internas o externas. Las citadas amenazas pueden emanar, entre otras procedencias, de condiciones técnicas (errores de programas, fallos de disco), de accidentes (fuego, inundaciones), de condiciones ambientales (subidas de tensión eléctrica), de factores humanos (falta de formación, errores y omisiones), de accesos no autorizados (piratería) o de la presencia de virus informáticos. Además de las anteriores, existen algunos otros peligros, tales como la dependencia de otras empresas (por ejemplo en operaciones subcontratadas o cuando se utilizan portadores externos para las comunicaciones), que pueden producir eventualmente pérdidas en el control de la gestión, por lo que la supervisión de los mismos es muy importante.

11. Tomar las medidas adecuadas para tener seguridad en la información, a la vez que protege a la organización de las pérdidas o las situaciones embarazosas producidas por los fallos en la seguridad.

¿Qué es la seguridad informática?

12. La seguridad, está relacionada con la protección de los activos de valor contra daños, pérdidas o conocimiento no deseado por parte de terceros. La dotación de medidas de seguridad, a los activos de valor, contra las posibles amenazas, el sabotaje o los desastres naturales es una cuestión generalmente bien entendida y solucionada en muchas organizaciones, utilizando salvaguardas de tipo físico tales como llaves, vallas o pólizas de seguros. No obstante, la seguridad debe expandirse para incluir salvaguardas de tipo lógico y técnico, tales como identificadores de usuario, códigos de paso, cortafuegos, etc., medidas todas ellas que en ocasiones no se entienden tan bien como las de tipo físico que antes se ha citado. En las organizaciones donde se han experimentado ataques contra la seguridad, la eficacia de las políticas y procedimientos debe ser reconsiderada.

13. Este concepto de seguridad, por tanto, se aplica a todo tipo de información. En este contexto, los activos de valor son los datos o la información registrada, procesada, almacenada, compartida, transmitida o recuperada por algún procedimiento electrónico. Los datos o la información se protegen de los daños que pueden suponer su pérdida, inaccesibilidad, alteración o recuperación errónea. La protección se consigue por medio de una serie de niveles de salvaguardas de tipo tecnológico y no tecnológico, tales como las medidas físicas de seguridad, las comprobaciones básicas, los identificadores de usuario, los códigos de paso, las tarjetas inteligentes, las pruebas biométricas, los cortafuegos, etc.

OBJETIVO DE LA SEGURIDAD:  el objetivo de la seguridad informática es "la protección de los intereses de todos los que confían en la información, así como en los sistemas informáticos y de comunicación que distribuyen la información, de los daños que pudieran producirse como consecuencia de los fallos de disponibilidad, confidencialidad e integridad".

Para algunas organizaciones, se cumple con el objetivo de la seguridad informática cuando:

—  los sistemas de información están disponibles y pueden ser usados cuando se necesitan (disponibilidad);

—  los datos y la información son accesibles sólo para quien tiene derecho a conocerlos (confidencialidad), y

—  los datos y la información están protegidos contra modificaciones no autorizadas (integridad).

La prioridad relativa y el propio significado de los términos disponibilidad, confidencialidad e integridad, varían de acuerdo con el sistema informático y el contexto de actividad en el que están siendo utilizados.

¿Cuáles son los principios de la seguridad en la información?

14. El objetivo de seguridad informática está sustentando en ocho principios básicos: responsabilidad, conciencia, Multidisciplinariedad, coste eficacia, integración, reconsideración, oportunidad y factores societarios. Cada uno de estos principios se discute, de forma breve, a continuación.

RESPONSABILIDAD: La responsabilidad debe quedar explícita.

15. La seguridad informática exige un reparto expreso y oportuno de la responsabilidad entre los propietarios de los datos, los propietarios de los procesos, los suministradores de la tecnología y los usuarios. Esta responsabilidad debe quedar formalizada y ser comunicada a los interesados.

Entre los problemas a considerar se encuentran los siguientes:

—   especificación de la propiedad de los datos y de la información;

—   identificación única para los usuarios y para otros que accedan al sistema;

—   registro de actividades a través de la realización de una auditoría de accesos efectuados.

—   asignación de responsabilidades por el mantenimiento de los datos y la información, y

—   institución de procedimientos de investigación y corrección cuando tenga lugar una violación, o un intento de violación, de la seguridad informática.

CONCIENCIA: La conciencia de los riesgos y las medidas tomadas en lo que se refiere a la seguridad, debe estar ampliamente extendida.

16. Para promover la confianza en la información, tanto los propietarios de los datos, como los propietarios del proceso y los suministradores de tecnología, usuarios y terceros, todos ellos con intereses legítimos de aprender o ser informados, deben ser capaces de informarse sobre la existencia u alcance general de los riesgos a los que se enfrenta la organización en sus sistemas informáticos, así como de las medidas y exigencias de seguridad que ésta tiene establecidos. Las medidas de seguridad sólo pueden ser efectivas si todos los implicado son conscientes de lo que significa su funcionamiento adecuado, así como de los riesgos con los que se enfrentan.

Entre los problemas a considerar se encuentran los siguientes:

—  el nivel de detalle de los datos a los que se acceda no debe comprometer la seguridad;

—  el conocimiento apropiado estará disponible para todos los que tengan un derecho legítimo a estar informados, no solamente a los usuarios;

—  la conciencia será una parte de los programas de introducción para los empleados nuevos en la organización, de manera que se desarrolle una "conciencia de la seguridad" como parte integrante de la cultura empresarial, y

—  reconocimiento de que mantener la conciencia de seguridad es un proceso continuo.

MULTIDISCIPLINARIEDAD: La seguridad debe ser afrontada teniendo en consideración los problemas y las soluciones de tipo tecnológico y no tecnológico.

17. La seguridad es algo más que pura tecnología. también se extiende a problemas de orden administrativo, organizativo, operativo y legal. De acuerdo con esto, deben desarrollarse normas técnicas y códigos de conducta que las refuercen, auditorías; exigencias legislativas y de regulación; así como conciencia, educación y entrenamiento de los temas de seguridad.

Entre los problemas a considerar se encuentran los siguientes:

—   valor empresarial o sensibilidad ante el activo denominado "información";

—   impacto de los cambios disponibles para cumplir los objetivos de seguridad;

—   exigencias de la legislación y normas del sector industrial, y

—   exigencias para tratar con el cuidado que requieren las técnicas se seguridad avanzadas.

COSTE-EFICACIA: La función de seguridad debe guardar una adecuada relación coste-eficacia.

18. Pueden ser necesarios diferentes niveles y tipos de seguridad para afrontar los riesgos de la información. Los niveles de seguridad, y los costes asociados con ellos, deben guardar relación con el valor que la información en cuestión posea.

Entre los problemas a considerar se encuentran los siguientes:

—  valor para la organización de cada activo de información concreto, y dependencia que supone para ésta;

—  valor de los datos o de la información en sí, a partir de los niveles definidos de confidencialidad o sensibilidad;

—  amenazas a la información, incluyendo en cada caso la seriedad y la probabilidad asociada a cada una de ellas;

—  salvaguardias que puedan minimizar o eliminar los peligros o amenazas, considerando explícitamente el coste de implantar cada una de ellas;

—  costes y beneficios de incrementos adicionales en los niveles de seguridad;

—  salvaguardias que puedan proporcionar un equilibrio óptimo entre los daños que surgen por una violación de la seguridad y los costes asociados con su implantación, y

—  cuando estén disponibles y sean apropiadas, el beneficio de adoptar medidas mínimas de seguridad preestablecidas, siempre que su adopción sea mejor que sopesar los costes y riesgos de otras alternativas.

INTEGRACIÓN: La seguridad debe estar coordinada e integrada.

19.  Los procedimientos, guías de comportamiento y medidas concretas de seguridad informática deben estar coordinados e integrados, tanto entre ellos mismos como con otras reglas del mismo carácter existentes en la organización, así como con los terceros de los que puedan depender los procesos llevados a cabo con ella, de manera que se cree un sistema coherente de seguridad. Esto exige que todos los niveles del ciclo de la información (a saber, recolección, registro, procesamiento, almacenaje, distribución compartida, transmisión, recuperación y borrado) estén adecuadamente cubiertos por la función de seguridad.

Los problemas a considerar incluyen los siguientes extremos:

—  política sobre y gestión de la seguridad incluidas como parte integrante de la gerencia global de la organización;

—  desarrollo simultáneo de los sistemas informáticos y los sistemas de seguridad correspondientes o, al menos, armonización de todos los procesos de seguridad para que suministren un marco coherente en el desarrollo de la misma;

—  revisión de los sistemas interrelacionados, para asegurar que sus niveles de seguridad son compatibles; y

—  riesgos relativos a los terceros de los que puedan depender algunos de los procesos de las actividades de la organización.

OPORTUNIDAD: Los procedimientos de seguridad deben suministrar respuestas en el tiempo oportuno, para poder ser utilizados en la supervisión de los sistemas.

21.  Las organizaciones deben establecer procedimientos para supervisar y responder adecuadamente a los intentos de violación, o a las violaciones efectivas, de la seguridad, en el tiempo oportuno y de forma proporcionada al riesgo asumido. En las condiciones actuales de interconectividad en tiempo real, superación de las fronteras y creciente potencia de daño inmediato para la información, se exige que las organizaciones tengan la capacidad de reaccionar rápidamente.

Los problemas a considerar incluyen los siguientes extremos:

—  carácter irrevocable e instantáneo de las transacciones de la empresa;

—  volumen de información generado por los sistemas de información cada vez más complejos e interconectados;

—  herramientas automáticas para supervisión en el momento y tras los ataques de seguridad, y

—  conveniencia de ataques escalonados, hasta llegar al nivel de toma de decisiones apropiado.

FACTORES SOCIETARIOS: Debe ser fomentada la conducta ética, mediante el respeto a los derechos e intereses de los demás.

22. La información y la seguridad informática deben ser suministradas de manera que se respeten los derechos e intereses de los demás, y que el nivel de seguridad sea coherente con el uso y el flujo de información que es distintivo de una sociedad democrática.

Los problemas a considerar incluyen los siguientes extremos:

—  uso y presentación éticos de los datos o la información obtenida de terceros;

—  presentación fiel de los datos o la información de los usuarios, y

—  destrucción segura de los datos o la información que no se necesita y es de naturaleza sensible.

¿Cuál es la mejor manera de implantar la seguridad informática?

23. Para cumplir con el objetivo de la seguridad, y a la vez desarrollar y mantener los controle adecuados, cumpliendo con los principios básicos generalmente aceptados, se necesitan una forma de actuar integrada. Es esencial el apoyo de la dirección, y especialmente del director general, para el desarrollo, diseño, implantación y supervisión de los controles de seguridad.

24. DESARROLLO DE POLÍTICAS: El objetivo de seguridad, y los principios básicos que lo desarrollan, suministran un marco para el primer paso crítico que debe afrontar una organización: el desarrollo de una política relativa a la seguridad (véase en el Anexo A un ejemplo de declaración de políticas sobre seguridad informática). La política de seguridad debe apoyar y completar el resto de las políticas existentes en la organización. La fuerza de la declaración de políticas debe estar en el reconocimiento del valor subyacente, y a la vez de la dependencia, de la información dentro de la organización. La política de seguridad informática debe contener los siguientes extremos:

—  La importancia de la seguridad informática dentro de la organización.

—  Una declaración, procedente del director general o del consejero delegado, en apoyo de los objetivos y principios de una seguridad informática efectiva.

—  Declaraciones específicas que indiquen las normas mínimas y las exigencias de cumplimiento de cada una de las áreas específicas:

—  clasificación de activos;

—  seguridad de datos;

—  seguridad de personal;

—  seguridad de las máquinas, de los programas y del entorno informático;

—  seguridad en las comunicaciones;

—  exigencias contractuales, legales y de las entidades reguladoras;

—  exigencias del ciclo vital de desarrollo y mantenimiento del sistema;

—  planificación de la continuidad o no interrupción de las actividades;

—  conciencia, entrenamiento y formación en la seguridad;

—  detección de violaciones de la seguridad, con las exigencias pertinentes de información al respecto, y

—  normativa obligatoria en caso de violaciones de la seguridad.

—  Identificación de responsabilidades por la seguridad particular para áreas específicas;

—  Sistema de información o de comunicación particular para áreas específica;

—  Procedimientos y responsabilidades en cuanto a la información sobre los temas de seguridad.

25. FUNCIONES Y RESPONSABILIDADES: Para que la seguridad sea eficaz, es imperativo que las funciones, responsabilidades y autoridades individuales sean claramente comunicadas y comprendidas por todos. Puesto que cada organización puede tener sus propias necesidades específicas, no es posible dar aquí una fórmula genérica. Las organizaciones deben asignar las funciones relativas a la seguridad de una forma apropiada a los empleados escogidos. Las responsabilidades a considerar incluyen las siguientes:

—  Dirección de la empresa: tiene la responsabilidad genérica sobre la seguridad informática.

—  Profesionales de los sistemas de seguridad informática: son los responsables del diseño, implantación, gestión y revisión de la política de seguridad de la organización, así como de las normas, medidas, guías de comportamiento y procedimiento relacionados con aquélla.

—  Propietarios de los datos: son responsables de determinar la sensibilidad o los niveles de clasificación de los datos en cuanto a la seguridad, así como de mantener la exactitud e integridad de los datos que almacenen en sus respectivos sistemas informáticos.

—  Propietarios de los procesos: son responsables de asegurar que, en sus respectivos sistemas, está presente la seguridad apropiada y es coherente con la política de seguridad global de la organización.

—  Suministradores de tecnología: son responsables de ayudar en la implantación de la seguridad informática.

—  Auditores de los sistemas informáticos: son responsables de suministrar, de forma independiente, un nivel de confianza a la dirección que le indique si son apropiados los objetivos marcados para la seguridad informática, así como verificar si la política, las normas, las medidas, las guías de comportamiento y los procedimientos en este área son los apropiados y cumplen con los objetivos que la organización tiene en materia de seguridad.

26. DISEÑO: Una vez que la política general ha sido aprobada por el órgano de gobierno de la organización, y han sido asignadas las funciones y responsabilidades, es necesario desarrollar un marco de seguridad y control. Este marco estará compuesto por normas, medidas, guías de comportamiento y procedimientos, todos los cuales se introducen y mantienen en los sistemas individuales.

27. Al diseñar o mejorar las normas, medidas, guías de comportamiento y procedimientos para la seguridad informática, es importante considerar las exigencias individuales de cada empresa y los riesgos relacionados con un sistema en particular, a fin de identificar sus exigencias concretas en cuanto a los técnicos, así como el análisis de los objetivos, las normas y las técnicas necesarias para suministrar un marco integrado de control.

28. El proceso concluye con el diseño de un sistema integrado, que ha de ser compatible con las necesidades de la organización, teniendo en cuenta las restricciones técnicas y económicas.

29. IMPLEMENTACIÓN: Una vez que ha sido aprobado el diseño de las normas medidas, guías de comportamiento y procedimientos de seguridad, cada una de las soluciones a problemas concretos debe ser puesta en práctica en el momento oportuno, y mantenida a partir de entonces. Las normas, medidas, guías de comportamiento y procedimientos de seguridad han de cubrir diferentes áreas, entre las que se incluyen:

—  controles de gestión. tales como la envergadura del control, la separación de responsabilidades y las comprobaciones básicas, así como la conciencia, entrenamiento y formación del personal, para asegurar que éste actúa de forma apropiada para prevenir, detectar o corregir los problemas;

—  controles de identificación y autentificación, con el fin de establecer las diferentes responsabilidades, así como para prevenir que accedan al sistema personas no autorizadas a través, por ejemplo, de códigos de paso o contraseñas;

—  controles de responsabilidad ejercidos a través de registros para auditorías de accesos efectuados, donde se mantienen las grabaciones relativas a todos los usuarios y la actividad del sistema;

—  controles sobre la información transmitida y almacenada, tales como el uso de la criptografía, para asegurar la confidencialidad, autenticidad, integridad y ausencia de rechazo;

—  controles sobre el proceso del ciclo vital de desarrollo de los sistemas, para asegurar que se considera a la seguridad como una parte integrante de este proceso, y que tiene la importancia debida en cada una de las fases del mismo;

—  controles físicos y de entorno ambiental (que abarcan el acceso físico, la detección y prevención de incendios, la continuidad en el suministro eléctrico y de aire acondicionado, nivel de ruidos y la seguridad física de las líneas de transmisión), a fin de asegurar que se toman las medidas adecuadas contra los peligros y amenazas derivados del entorno ambiental físico;

—  controles de operación y de apoyo informático, para asegurar que las actividades rutinarias que son críticas (apoyo al usuario, apoyo en programas informáticos, gestión del cambio, gestión de la configuración, controles de los periféricos, copias de seguridad, documentación y mantenimiento), refuerzan el nivel de seguridad del sistema informático, y

—  controles sobre la planificación de la continuidad de las actividades, para asegurar que la organización puede prevenir su interrupción, así como recuperar y retornar el proceso en caso de parada parcial o total en el funcionamiento de los sistemas informáticos.

30. SUPERVISIÓN: Los sistemas informáticos están sujetos a una gran variedad de incidentes perjudiciales, que pueden presentar diferentes grados de intensidad. Los procesos de la empresa que dependen de esos sistemas y del entorno en el que unos y otros operan, están sujetos también de forma continua al cambio, así como a riegos nuevos.

31. No siempre es factible ni económico el establecimiento de medidas preventivas para minimizar las pérdidas, la filtración o los daños en los datos. Por tanto, es necesario establecer medidas de supervisión para detectar los incumplimientos relacionados con la seguridad y asegurar la corrección de las violaciones que se produzcan, de forma que todos los incumplimientos reales y potenciales puedan ser identificados a tiempo, investigados y corregidos, y de este modo asegurar el cumplimiento continuo de las políticas, normas y prácticas aceptables relacionadas con la seguridad.

32. El beneficio inmediato de establecer medidas y procedimientos de supervisión sobre los sistemas, procesos y su correspondiente entorno, es la posibilidad de identificar rápidamente los fallos, limitar los daños sufridos y acelerar la recuperación. En consecuencia, el beneficio más importante es que se realza la capacidad de prevenir los daños y los inconveniente futuros, a la vez que se incrementa la posibilidad de prevenir actuaciones que impliquen fallos o violaciones d la seguridad. Otro beneficio asociado es el propio valor disuasorio de los procesos de supervisión eficaz. Las actuaciones que se pueden derivar de las prácticas de supervisión son las siguientes:

—  actuaciones disciplinarias o correctivas;

—  minimización y recuperación de las pérdidas;

—  refinamiento de los distintos niveles de seguridad;

—  cambios en la política o las normas de seguridad;

—  cambios en el diseño e implantación de la seguridad;

—  inicio de programas de reevaluación, incluyendo el análisis de causas y patrones;

—  introducción de sistemas de supervisión inteligente, con procesos interactivos de realimentación, y

—  inicio de estudios de penetración de sistemas o de redes.

33. La puesta en práctica de la seguridad es tan importante como su implantación, especialmente a la luz de los nuevos desarrollos tecnológicos, ya sean los adoptados por el propietario del sistema o los que están disponibles para uso de terceras personas. Entre los problemas que deben afrontarse para conseguir una supervisión eficaz están los siguientes:

—  el nombramiento de un gerente responsable, que cuente con los recursos y las herramienta apropiadas;

—  la ejecución de evaluaciones objetivas e independientes de los controles de seguridad, por ejemplo mediante auditorías de la seguridad;

—  el establecimiento de procedimientos claros y convenientes de investigación;

—  la cantidad masiva de información sobre registros de accesos que puede ser necesario examinar, procedente de los diferentes componentes del sistema;

—  la oportunidad de procesos escalonados cuando las transacciones electrónicas son prácticamente instantáneas, y

—  el entorno dinámico y siempre cambiante de las actividades de la organización y de los sistemas informáticos.

34. CONCIENCIA, ENTRENAMIENTO Y FORMACIÓN: A menudo, las personas son el eslabón más débil de la seguridad informática. Por ello, tanto la conciencia sobre la necesidad de proteger la información, como el entrenamiento en las habilidades necesarias para manejar los sistemas de forma segura y la formación en las medidas y guías de comportamiento relacionadas con la seguridad, son de importancia crítica para el éxito del programa de seguridad de cualquier organización.

35. Los más importantes beneficios de la conciencia, el entrenamiento y la formación están en la mejora del comportamiento y las actitudes de los empleados hacia la seguridad informática, así como en aumentar la capacidad de aquéllos en cuanto a ser responsables de sus propias acciones.

36. Se puede aumentar el nivel de conciencia colectiva de la organización, en lo tocante a los temas de seguridad, a través de diferentes modalidades formativas (vídeos, circulares y cartas, carteles, anuncios cortos, etc.). Para resultar efectiva, la campaña debe ser creativa y se deben cambiar los mensajes frecuentemente.

37. La formación y la comunicación sobre temas de seguridad está centrada, normalmente, sobre temas relacionados con las habilidades desarrolladas en el puesto de trabajo, y persiguen estimular prácticas tales como la protección del área física de trabajo y del equipo (por ejemplo tener cuidado de ciertos recursos, como por ejemplo los disquetes), proteger códigos de paso e informar de las violaciones en la seguridad. Puede necesitarse una formación más avanzada para los gestores, así como una formación especializada para los administradores y los auditores de sistemas informáticos.

38. La educación de los profesionales de la seguridad informática es más profunda y va dirigida especialmente a obtener una mayor pericia en el desarrollo de sus funciones. Se consigue normalmente a través de programas extremos y debe ser considerada como una parte del desarrollo profesional de aquéllos.

ANEXO A
EJEMPLO DE DECLARACIÓN DE POLÍTICAS SOBRE SEGURIDAD INFORMÁTICA

Firmado:__________________________________________________________

cargo: _________________________________________ Fecha:____________________