Elba
- 1. Republica Bolivariana de Venezuela Ministerio de Poder Popular para la Educación Universitaria Instituto Universitario de Tecnología Maracaibo Extensión Machiques Guía de Seguridad de la información para PYMES Presentado por: Gerardo A. Páez L. 14945791 Machiques, Enero del 2013.
- 2. ACTIVIDAD PRESENTACIÓN RESUMIDA DEL TEXTO Las PYME son pequeñas y medianas empresas que operan en una área geográfica bien delimitadas, y su radio de acción se extiende exclusivamente en regiones o localidades, son empresas que por no contar con una infraestructura tecnológica lo suficientemente robusta y confiable son vulnerables a los ataques, lo que conlleva a que la integridad, disponibilidad, y confiabilidad de la información del negocio se vean comprometidas. Debido a estas premisas se crea esta guía de seguridad para que estas empresas tengan un manejo confiable y seguro de la información, estos mecanismos se basan principalmente en tres elementos básicos que funcionando de manera conjunta garantizan el uso de las medidas tecnológica mientras se supervise su funcionamiento y las actuaciones de las personas que utilizan estos recursos. La seguridad de la información no solo se ve comprometida por factores o personas externas a la organización, algo que también influye es la calidad del software y del hardware utilizado, asimismo las personas que hacen uso de estos sistemas son un factor de inseguridad que comprometen la integridad de los datos. Es allí donde radica la importancia de identificar las amenazas sin importar su origen para estimar el impacto que esto puede causar en los activos de la empresa, esto es de gran ayuda ya que sirve para definir las políticas de seguridad, y la aplicación de controles que ayuden a mitigar los peligros y riesgos asociados al manejo y almacenamiento de la información. En la actualidad existe una norma internacional que es la ISO 17799 la cual esta orientada a preservar los principios de la seguridad informática los cuales son la confidencialidad, la integridad y la disponibilidad. Para garantizar un buen manejo de la información al momento de solicitar el servicio de una empresa externa o de un empleado es importante establecer y divulgar acuerdos de confidencialidad que avale el buen uso de los datos suministrados, ya que es en esta etapa donde la información es más susceptible, el comité de seguridad es el responsable de definir las estrategias y linimientos para el manejo de la información ya que el uso no autorizado de los datos conlleva a acciones legales y penales dependiendo de su gravedad. Otra medida que se aplica para el resguardo de la información esta relacionada directamente con las funciones ejercidas por un empleado, esto quiere decir que mientras menor sea su rango dentro de la empresa tienes menos acceso a los datos, aunque sin importar la función de un empleado es muy importante interiorizar las normas para el manejo de la información.
- 3. RESUMEN ANALÍTICO Tomando en cuenta que los sistemas de información en la actualidad forman parte integral de cualquier empresa u organización sin importar a la actividad económica en la que esta se desarrolle, se entiende entonces la importancia de que estos sistemas garanticen la confidencialidad de la información ya que estos son datos estratégicos que serán utilizados para el crecimiento de las empresas. Indiscutiblemente no hay que dejarle toda la responsabilidad del resguardo de la información a estos sistemas ya que ellos son solo una herramienta que sirven para aumentar la eficiencia, hay que tomar en cuenta el factor humano que es el eslabón débil de esta cadena ya que una mala practica de las políticas de seguridad pueden llevar a una fuga de información. Para garantizar un manejo estandarizado de la información se crea en diciembre del año 2000 la norma ISO 17799, con la finalidad de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. El objetivo es asegurar los datos que permitan la continuidad de las operaciones de las empresas, para así reducir al mínimo los daños que pudiesen ser causados por alguna contingencia, así como también optimizar la inversión en tecnologías de seguridad ya sea software o hardware. Esta norma internacional permite crear y aplicar procedimientos y políticas adaptadas a las necesidades especificas de una empresa por lo cual permitirán crear reglas claras que ayuden minimizar el mal uso o perdida de la información vital sin importar su que sean pequeñas o medianas empresas. La aplicación de controles es otro paso importante que deben se tomados en cuenta por las empresas para poder así mitigar los riesgos que están relacionados con la pérdida de información, estos controles pueden ser aplicado en las diferentes fases de desarrollo o producción de un bien o servicio y pueden estar dirigidas a todo el personal que labora dentro de una empresa tanto los que se encuentra autorizado para ingresar a los espacios físicos donde existe almacenamiento y procesamiento de datos, como los permisos que tiene cada usuario dentro de la red de una empresas y el acceso a los archivos que se encuentren contenidos en las carpetas de un servidor. La divulgación de las políticas de seguridad, el conocimiento de los procedimientos principalmente por parte el personal que maneja esos datos, los acuerdos de confidencialidad entre la empresa y los empleados o con empresas consultoras externas también garantiza que la información almacenada permanezca disponible para su uso en el momento que sea requerida.
- 4. Para ser más específicos con respecto a uso de controles se deben considerar varios factores que inciden directamente en un resguardo efectivo tanto de los dispositivos físicos de almacenamiento como de los datos que estos almacenan, principalmente las creación y adecuación de un espacio exclusivo que contengan todos estos datos llámese cuarto de servidores o sala de datos con el acceso restringido solo para personal autorizado que se encarga de ejecutar actividades dentro de ese espacio únicamente cuando sea necesario y la aplicación de sistemas de seguridad me minimicen los riesgos de incendio y perdida abrupta de la los sistemas de potencia ya que estos son factores que pueden causar daños irreparable a estos sistemas. Por otra parte realizar mantenimiento, pruebas y monitoreo continuo del estado de los equipos de soporte para garantizar su buen funcionamiento en caso de una contingencia, mantener actualizado el backup de la data y resguardarlo un lugar diferente y bien identificado, además de controlar minuciosamente su traslado fuera del área de seguridad establecido previamente. El uso restringido de los dispositivos de almacenamiento portátiles ya que estos dispositivos son fáciles de usar y actualmente tienen una gran capacidad de almacenamiento, estos son algunos de los controles más importantes que deben ser tomados en cuenta para el resguardo seguro de la información, estos y otros controles sen encuentran bien especificados en la norma ISO 17799, si bien es cierto que estos controles previenen el hurto de información también hay otra alternativas que puede ser utilizas como lo son deshabilitar los puertos USB, la unidad de CD, de los equipos computarizados. Antes de realizar la compra de un software se debe analizar exhaustivamente las necesidades del negocio y buscar el que mejor se adapta, otro aspecto importante en que este software debe cumplir con requisitos mínimos de seguridad que permita garantizar el resguardo seguro de la información, tiene que ser un software que permita el mejoramiento continuo con un buen soporte por parte del fabricante y que su actualización no afecte en gran medida el funcionamiento normal del sistema. Aparte de esto es importante contar con un antivirus que proteja los equipos para que agentes externos no se aprovechen de las posibles debilidades de la red e inicien ataques al sistema, la utilización de servidores Proxy que restrinjan el acceso a páginas que no tengan relación con el negocio y reduzcan la productividad del empleado, el uso de fireWire para restringir el acceso desde redes externas y evitar así la sustracción de información confidencial del negocio a menos que sea por conexiones por VPN con cuantas autorizadas dentro de las empresa, uso exclusivo de correos corporativos todo esto con la finalidad de restringir la salida de información.
- 5. Las aplicaciones que se utilizan en estas empresas tienen que poder ser auditados en su totalidad ya que esto permite un control preciso de las tareas realizada por los usuarios en cada paso de una operación y facilitan la investigación en caso de existir alguna violaciones, de seguridad de ser necesario estas auditorias además también pueden contener el control de registro de acceso a la red, archivos o carpetas del sistema. Otro aspecto de seguridad que debe de poseer estas aplicaciones es la de limitar los permisos del usuarios en el sistema dependiendo de su rol dentro de la empresa, esto quiere decir que dependiendo de su clasificación son los privilegios que tiene para acceder a la información y el uso de dispositivos dentro de la red. En esta guía se expresan claramente las normas de seguridad para pequeñas y medianas empresas, estas pautas no son más que un régimen que es utilizado para aplicar las mejores prácticas en cuanto a seguridad de la información se refiere y define claramente cuales las opciones que existen en la actualidad y que deben ser implementadas, así como también los procedimientos y requisitos mínimos para garantizar una buena seguridad de la información En este resumen se puede observar que existe infinidades de alternativas para el resguardo de la información de una empresa, además que están establecidas en una normas que las convierte en estándares internacionales y los mas importante aun es que son aplicables a pequeñas y medianas empresas sin discriminar a que se dediquen, existen dispositivos tanto físicos y lógicos que permiten un control y monitoreo de las actividades de los datos y los usuarios dentro de los sistemas lo cual facilita un monitoreo constante del manejo de la información e incrementa exponencialmente la seguridad dentro y fuera de estas redes, pero por muy eficaces que pudieran ser estos sistemas que pueden ser aplicados hay uno mas y que es el mas importante y es el ser humano que en el cual deben prevalecer los valores éticos y morales, ya que es el capas de desarrollar estas y otras medidas para incrementar la seguridad de la información, pero también es capaz de desarrollar contra medidas para hacer mal uso de la información. "Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores" -- Kevin Mitnick.
- 6. ANÁLISIS CRÍTICO Para comenzar realizaré una breve descripción de las funcionalidades mas destacadas del proyecto que actualmente se esta desarrollando para la biblioteca del Instituto Tecnológico Universitario de Maracaibo extensión Machuiques, este proyecto se pretende implementar principalmente para optimizar el proceso de prestamos de libros además de mantener el inventario del material bibliográfico actualizado, adicionalmente este sistema permitirá la inscripción de los proyectos socio tecnológicos que serán realizado por los alumnos de esta institución, y como complemento será capaz de ofrecer información referente al contenido de los PNF (Programa Nacional de Formación) así como también de los servicios con los que cuentan los estudiantes. Es importante destacar que al inicio del diseño y desarrollo de este sistema se tomo como premisa la seguridad de información que se encontrara almacenada en la base de datos del sistema, garantizando así la confidencialidad de los datos suministrados por los usuarios de este sistema, esto se logra definiendo claramente los permisos de acceso a cada rol de usuario en el sistema, este principio es el que avala que la información que séle presentara a cada usuario depende directamente de los privilegios que tiene asociado en la cuenta del sistema. En el mismo orden de ideas este sistema cuenta con la opción de auditar todas las operaciones realizadas en el, especificando el usuario, fecha, tipo de operación realizada, esto ofrece una gran ventaja ya que guarda estos registros que pueden ser utilizados a momento de que se detecte una violación en la seguridad, es por ello la importancias de que las asignaciones de las claves a los usurarios de tipo administrador sean personalizadas ya que son estos los que tienen el segundo nivel de acceso mas alto dentro del sistema. Debido a la versatilidad de este sistemas podemos realizar actualizaciones constantes del contenido almacenado en el, bien sea modificando los existentes o agregando nuevos contenidos de interés para la comunidad docente o estudiantil, además de esto otro beneficio adicional es que este sistema al ser desarrollado en software libre cuenta con una gran comunidad que lo soporta a nivel mundial.
- 7. Por otra parte el cambio en la metodología de trabajo que se pretende implementar hace indispensable reflexionar sobre la importancia de que debe existir un sistema de backup constante, confiable y seguro de los datos, ya la información que se manejara será digital en su totalidad lo que implica un alto factor de riesgo al momento de que ocurra una contingencia ya que si se llegase a presentar un evento inesperado existe la posibilidad de la perdida total o parcial de la información lo que se traduce en posibles perdidas del material bibliográfico que se encuentra en calidad de préstamo para ese momento en particular. Es importante destacar que dependiendo la capacidad de almacenamiento que tenga el equipo que será utilizado para alojar este sistema depende el mantenimiento que hay que realizar al sistema, ya que esto permitirá que el sistema funcione mejor y que la información almacenada en su base de datos sea confiable y actualizada. Debido a que este sistema tiene la opción de poder almacenar la información de interés de los usuarios en dispositivos de almacenamiento extraíbles es importante que el equipo cuente con un buen software para la detección de amenazas ya que estos dispositivos de almacenamiento extraíble generan vulnerabilidad en la seguridad tanto para el sistema de información como para el equipo que se utilice. En este mismo orden de ideas cabe resaltar que los software maliciosos no son los únicos que pueden afectar el rendimiento del sistema ya que existen otros agentes externos y que no son controlables que inciden en su funcionamiento, como por ejemplo las fallas eléctricas son un factor de riesgos ya que interrumpen abruptamente el funcionamiento normal de los equipos, los que puede traer como consecuencia un daño irreparable a los equipos y por ende la perdida de la información almacenada en ellos es por ello que se recomienda la implementación de un sistema de respaldo de energía que garantice un suministro constante y confiable. Ya para finalizar antes de iniciar el diseño y desarrollo de este sistema se realizó un análisis de las necesidades de la biblioteca, para adaptar el software a las necesidades específicas de la biblioteca con esto se pretende lograr la elaboración de un sistema ligero en cuanto al uso de los recursos de las computadoras y sencillo de utilizar tanto para los usuarios eventuales como para los administradores del sistema.