Riesgo Proximidad o posibilidad de un daño, peligro, etc.
Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.
Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.
Seguridad
Cualidad o estado de seguro
Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo.
Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administración estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilación; se financia con aportaciones del Estado, trabajadores y empresarios.
Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de seguridad.
Consideraciones Inmediatas para la Auditoría de la Seguridad
A continuación se citarán las consideraciones inmediatas que se deben tener para elaborar la evaluación de la seguridad, pero luego se tratarán las áreas específicas con mucho mayor detalle.
Uso de la Computadora
Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:
- tiempo de máquina para uso ajeno
- copia de programas de la organización para fines de comercialización (copia pirata)
- acceso directo o telefónico a bases de datos con fines fraudulentos
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a:
- nivel de seguridad de acceso
- empleo de las claves de acceso
- evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo
Cantidad y Tipo de Información
El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que:
- la información este en manos de algunas personas
- la alta dependencia en caso de perdida de datos
Control de Programación
Se debe tener conocer que el delito más común está presente en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:
- los programas no contengan bombas lógicas
- los programas deben contar con fuentes y sus ultimas actualizaciones
- los programas deben contar con documentación técnica, operativa y de emergencia
Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:
- la dependencia del sistema a nivel operativo y técnico
- evaluación del grado de capacitación operativa y técnica
- contemplar la cantidad de personas con acceso operativo y administrativo
- conocer la capacitación del personal en situaciones de emergencia
Medios de Control
Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.
Rasgos del Personal
Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que pueden surgir:
- malos manejos de administración
- malos manejos por negligencia
- malos manejos por ataques deliberados
Instalaciones
Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:
- la continuidad del flujo eléctrico
- efectos del flujo eléctrico sobre el software y hardware
- evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
- verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones
Control de Residuos
Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja.
Establecer las Areas y Grados de Riesgo
Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la función informática y los medios de prevención que se deben tener, para lo cual se debe:
Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio)
Este estudio se realiza considerando el costo que se presenta cuando se pierde la información vs el costo de un sistema de seguridad.
Para realizar este estudio se debe considerar lo siguiente:
- clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
- identificar las aplicaciones que tengan alto riesgo
- cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un alto riesgo
- formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera
- la justificación del costo de implantar las medidas de seguridad
Costo x perdida Costo del
de información sistema de seguridad
Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en áreas de riesgo que pueden ser:
Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es importante considerar responder las siguientes cuatro preguntas:
1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema depende de la aplicación por completo se debe definir el nivel de riesgo. Por ejemplo citemos:
- Un sistema de reservación de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo.
- Una lista de clientes será de menor riesgo.
- Un sistema de contabilidad fuera del tiempo de balance será de mucho menor riesgo.
2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algún modo de cómo se soluciono este problema en el pasado.
3. ¿Existe un procedimiento alternativo y que problemas ocasionaría? Se debe verificar si el sistema es único o es que existe otro sistema también computarizado de apoyo menor. Ejemplo: Sí el sistema principal esta diseñado para trabajar en red sea tipo WAN quizá haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturación en red, si esta cae, quizá pudiese trabajar en forma distribuida con un módulo menor monousuario y que tenga la capacidad de que al levantarse la red existan métodos de actualización y verificación automática.
4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando:
- Que exista un sistema paralelo al menos manual
- Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado).
- Si hay sistemas de energía ininterrumpida UPS.
- Si las instalaciones eléctricas, telefónicas y de red son adecuadas (se debe contar con el criterio de un experto). - Si se cuenta con un método de respaldo y su manual administrativo.
Conclusión
Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, señalando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades.
Consideración y Cuantificación del Riesgo a Nivel Institucional (importante)
Ahora que se han establecido los riesgos dentro la organización, se debe evaluar su impacto a nivel institucional, para lo cual se debe:
- Clasificar la información y los programas de soporte en cuanto a su disponibilidad y recuperación.
- Identificar la información que tenga un alto costo financiero en caso de perdida o pueda tener impacto a nivel ejecutivo o gerencial.
- Determinar la información que tenga un papel de prioridad en la organización a tal punto que no pueda sobrevivir sin ella.
Una vez determinada esta información se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensión en el procesamiento y que cuantifiquen el impacto que podrían causar estas situaciones.
Disposiciones que Acompañan la Seguridad
De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar:
- Obtener una especificación de las aplicaciones, los programas y archivos de datos.
- Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso.
- Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
- Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de operación ni viceversa.
- Que los operadores no sean los únicos en resolver los problemas que se presentan.
Higiene
Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las áreas involucradas de la organización (centro de computo y demás dependencias), pues esto ayudará a detectar problemas de disciplina y posibles fallas en la seguridad. También podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulación de desperdicios y limita las posibilidades de accidentes. (ejm del rastrillo)
Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal.
Cultura Personal
Cuando hablamos de información, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podría definir la existencia o no de los más altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo.
Conclusión
El fin de este punto es encontrar y evitar posibles situaciones de roce entre el recurso humano y la organización y lograr una mejor comunicación entre ambos.
Consideraciones para Elaborar un Sistema de Seguridad Integral
Como hablamos de realizar la evaluación de la seguridad es importante también conocer como desarrollar y ejecutar el implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa: “planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.”
Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad.
Sistema Integral de Seguridad
Un sistema integral debe contemplar:
- Definir elementos administrativos
- Definir políticas de seguridad
- A nivel departamental
- A nivel institucional
- Organizar y dividir las responsabilidades
- Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)
- Definir prácticas de seguridad para el personal:
- Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extinguidores.
- Números telefónicos de emergencia
- Definir el tipo de pólizas de seguros
- Definir elementos técnicos de procedimientos
- Definir las necesidades de sistemas de seguridad para:
- Hardware y software
- Flujo de energía
- Cableados locales y externos
- Aplicación de los sistemas de seguridad incluyendo datos y archivos
- Planificación de los papeles de los auditores internos y externos
- Planificación de programas de desastre y sus pruebas (simulación)
- Planificación de equipos de contingencia con carácter periódico
- Control de desechos de los nodos importantes del sistema:
- Política de destrucción de basura copias, fotocopias, etc.
- Consideración de las normas ISO 14000
Etapas para Implementar un Sistema de Seguridad
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:
• Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
• Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales.
• Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:
Plan de Seguridad Ideal (o Normativo)
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
- El plan de seguridad debe asegurar la integridad y exactitud de los datos
- Debe permitir identificar la información que es confidencial
- Debe contemplar áreas de uso exclusivo
- Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
- Debe asegurar la capacidad de la organización para sobrevivir accidentes
- Debe proteger a los empleados contra tentaciones o sospechas innecesarias
- Debe contemplar la administración contra acusaciones por imprudencia
Un punto de partida será conocer como será la seguridad, de acuerdo a la siguiente ecuación.
Riesgo
SEGURIDAD = ---------------------------------------------
Medidas preventivas y correctivas
Donde:
Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc)
Medidas pre.. (políticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc)
Consideraciones para con el Personal
Es de gran importancia la elaboración del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto al sistema, que lleve a la persona a:
• Asumir riesgos
• Cumplir promesas
• Innovar
Para apoyar estos objetivos se debe cumplir los siguientes pasos:
Motivar
Se debe desarrollar métodos de participación reflexionando sobre lo que significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual.
Capacitación General
En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo. Este proceso incluye como práctica necesaria la implantación la ejecución de planes de contingencia y la simulación de posibles delitos.
Capacitación de Técnicos
Se debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas preventivas y correctivas.
Ética y Cultura
Se debe establecer un método de educación estimulando el cultivo de elevados principios morales, que tengan repercusión a nivel personal e institucional.
De ser posible realizar conferencias periódicas sobre: doctrina, familia, educación sexual, relaciones humanas, etc.
Etapas para Implantar un Sistema de Seguridad en Marcha
Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos:
1. Introducir el tema de seguridad en la visión de la empresa.
2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
4. Designar y capacitar supervisores de área.
5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.
Beneficios de un Sistema de Seguridad
Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
• Aumento de la productividad.
• Aumento de la motivación del personal.
• Compromiso con la misión de la compañía.
• Mejora de las relaciones laborales.
• Ayuda a formar equipos competentes.
• Mejora de los climas laborales para los RR.HH.
Disponible en la pagina de internet: http://www.mitecnologico.com/Main/EvaluacionSistemasDeAcuerdoAlRiesgo
No hay comentarios:
Publicar un comentario