NUEVOS RIESGOS, MEJORES CONTROLES En un mundo globalizado, tecnificado y conectado, el efectivo manejo de la informacin es un elemento clave para el xito

y la supervivencia de las organizaciones; la seguridad de la informacin es un factor preponderante para un efectivo manejo de la funcin gerencial, particularmente con el actual contexto de una creciente utilizacin de sistemas de informacin, que cursan parte de sus transacciones por medio de redes de acceso pblico como la Internet, extendiendo as las operaciones m!s all! de las fronteras de las propias organizaciones" El alcance global de estos sistemas #ace aumentar la cantidad de los puntos de acceso a los sistemas de computacin; la actividad econmica por medio de transacciones cursadas a travs de la Internet u otras redes pblicas crean nuevos riesgos" $odos estos nuevos escenarios introducen mayores riesgos que atentan contra la seguridad y acentan la necesidad de desarrollar sistemas y procedimientos seguros para operar en un ambiente con escasas posibilidades de controles globales" POLTICA DE SEGURIDAD %as decisiones que se tomen con relacin a la materia, determinan qu tan segura o insegura es la estructura inform!tica de la organizacin, qu funcionalidad ofrece los procesos y qu tan f!ciles de utilizar son los sistemas y la tecnolog a empleada" &in embargo, no se pueden tomar buenas decisiones sobre seguridad sin primero determinar cu!les son los objetivos que se quieren alcanzar en la materia" 'asta que se determinen cu!les son los objetivos de seguridad, no se puede #acer un uso efectivo de algn conjunto de #erramientas de seguridad, simplemente porque uno no conoce qu controlar y qu restricciones imponer" (or ejemplo, los objetivos de control de la seguridad de un vendedor de productos ser!n muy diferentes a los de una organizacin financiera" )na empresa productora seguramente realizar! de la forma m!s simple posible la configuracin de sus procesos, algunas veces puede implicar configuraciones por defecto *default+ de sus valores de seguridad para que todo est lo m!s accesible que sea posible *v"g" inseguro+" ,uc#as veces los objetivos de control de la seguridad estar!n determinados por un balance de distintos factores claves Servicios ofrecidos vs. Seg rid!d provista- .ada servicio ofrecido a los usuarios posee su propio riesgo de seguridad; para algunos servicios los riesgos son m!s importantes que el beneficio del servicio ofrecido y en estos casos, #asta se podr a elegir desactivarlos, en lugar de brindarle un esquema de mayor seguridad"

"#ci$ de %i$i&!r vs. Seg rid!d' )n sistema muy f!cil de usar podr a permitir el acceso a cualquier usuario sin tener que requerirle una clave de seguridad en todos los casos, por lo que podr a no ser del todo seguro" El requerir claves de seguridad en los sistemas pueden #acerlos menos convenientes, pero si m!s seguros; colocarles dispositivos espec ficos para #abilitar su utilizacin los transformar a muc#o m!s dificultosos de usar, pero muc#o m!s seguros" Cos%o de $! seg rid!d vs. E$ riesgo de $! ()rdid!' Existen muc#as clases de costos para la seguridad- costos econmicos por la adquisicin de dispositivos, #ard/are, soft/are, 0ire/all, etc"; costos de rendimiento *performance+, como ser el tiempo del cifrado y el descifrado de mensajes *encripcin+, etc" $ambin existen muc#os niveles de riesgos- prdida de privacidad, prdida de datos, corrupcin de la informacin, prdida de servicio; cada uno de estos posee un mayor grado de importancia con respecto al otro"

%uego de que se #aya realizado un minucioso an!lisis y tomado las decisiones correctas, los objetivos deber an ser comunicados a toda la comunidad de usuarios de los sistemas de informacin, ya si se traten de los internos de la organizacin u externos a los que se le brinden servicios, por medio de un conjunto de reglas bien definidas, a las que podemos denominar 1(ol tica de &eguridad2" Es m!s adecuado la utilizacin de este trmino que el de 1(ol tica de &eguridad Inform!tica2, ya que la primera deber a incluir todos los tipos de tecnolog as de la informacin, y los datos almacenados y manejados por dic#as tecnolog as" DE"INICI*N + PROP*SITO DE LA POLTICA DE SEGURIDAD )na 1(ol tica de &eguridad2 deber a ser un documento formal que contenga las reglas a las cuales deber!n atenerse las personas que est!n teniendo acceso a la tecnolog a e informacin de una organizacin" El propsito principal de una 1(ol tica de &eguridad2 es el informar a los usuarios de la obligatoriedad de cumplir con los requisitos de proteger los activos de tecnolog a e informacin" Esta deber a especificar los mecanismos y procedimientos por los cuales requerimientos son alcanzados; otro propsito ser a el tomarla como base para la adquisicin, la configuracin y el desarrollo de los sistemas, como tambin para auditar el cumplimento de la misma en todos los procesos, sistemas y redes inform!ticas utilizadas" ,UI-N DE.ERA ESTAR INVOLUCRADO EN LA REALI/ACI*N DE LA POLTICA DE SEGURIDAD (ara que la 1(ol tica de &eguridad2 sea apropiada y efectiva, es necesario que tenga la aceptacin y el apoyo de todos los niveles dentro de la organizacin" Esto

es verdaderamente importante, pues la pol tica deber! tener aplicacin en todos los procesos de la organizacin; de no ser as , tendr! muy poca oportunidad de alcanzar el impacto deseado" %a siguiente es una lista m nima del personal que deber an formar parte y estar involucrado en la creacin y revisin del documento que constituir! finalmente la 1(ol tica de &eguridad2 de toda la organizacin 3irectivos y4o representantes de los accionistas de la organizacin" 5dministrador de la seguridad" El staff de las !reas de tecnolog a" 6epresentantes de la comunidad usuaria" 7erentes de las distintas !reas" 5uditor a Interna" 5sesor legal"

Esta lista es solamente para establecer los participantes que m nimamente deber!n formar parte, pero no necesariamente representa a la totalidad de participantes que puedan estar incluidos para los distintos tipos de organizaciones" %o fundamental es que a mayor representatividad de todas los sectores de la organizacin, mayor ser! el grado de aceptacin que la (ol tica tenga, y por ende mayor su efectividad" PRINCIPALES COMPONENTES DE UNA POLTICA DE SEGURIDAD %os componentes m nimos con que deber! contar una adecuada 1(ol tica de &eguridad2, incluyen (autas para la adquisicin de tecnolog a inform!tica, que indiquen las preferencias o dispositivos relacionados con la seguridad que deben poseer" .riterios de privacidad que definan razonablemente el alcance de las actividades de monitoreo *revisin+ del correo electrnico, control del acceso de los usuarios, etc" 8ormas de acceso, que especifiquen los privilegios y derec#os de accesos; para proteger los activos de informacin de la prdida o su divulgacin" 3eber a proveer pautas b!sicas sobre las conexiones externas, comunicacin de datos, conexin de dispositivos a redes pblicas o a Internet, la adicin de nuevos sistemas, etc" 8iveles de responsabilidad, que definan las misiones y las funciones de los usuarios, el staff o la gerencia en las revisiones de auditorias, donde se determine las acciones a seguir y las notificaciones pertinentes en el caso de deteccin de intromisiones no deseadas"

(autas de autenticacin, que definan los mecanismos a utilizar para la identificacin y validacin de los usuarios" 8ormas de disponibilidad, que estipulen las expectativas de los usuarios para la disponibilidad de los recursos" 5qu deber an enunciarse en forma general los requerimientos de continuidad operativa, como as tambin los tiempos m!ximos tolerados de no operacin" (autas sobre el reporte de violaciones, que indiquen las acciones a tomar para cada una de las violaciones detectadas a cuestiones de privacidad, confidencialidad, etc", ya sean de fuentes internas o externas" (autas sobre la provisin de informacin, que especifiquen los canales a seguir y el tipo de informacin que se podr! proveer en caso que agentes externos #agan solicitud de ella"

CONCLUSI*N %a 1&eguridad de la Informacin2 es un tema especialmente importante que va en aumento, con el incremento de la tecnificacin, la diversidad de las redes de computacin, la explotacin de los servicios m!s variados por la Internet, el advenimiento del comercio electrnico y el mayor nmero de negocios que dependen de la informacin para sus operaciones diarias, #acen que el contar con una adecuada 1(ol tica de &eguridad2 sea un requerimiento infaltable para la salud de la organizacin"

Los puntos de vista y opiniones son de los autores y no necesariamente representan los puntos de vista de las organizaciones a las cuales pertenecen. La informacin provista aqu es de naturaleza general y de carcter informativo.
Marcelo Hctor Gonzlez, !!, "#! . m$gonzalez%movi.com.ar &ice 'residente sociacin de uditora y "ontrol de !istemas de #nformacin. ( "!# ) #! " "$apter *uenos ires. #nspector General de uditora +,terna de !istemas de +ntidades -inancieras. !uperintendencia de +ntidades -inancieras y "am.iarias. *anco "entral de la /ep0.lica rgentina.