ANTOLOGÍA
PUNTOS CRÍTICOS DE LA SEGURIDAD EMPRESARIAL.
En la era del conocimiento, resalta la importancia que se le otorga a la información, hasta el punto de afirmarse que “el que tiene la información posee el poder” o en otros términos se le califica como activo de la organización. Esta percepción se ve reafirmada cuando un creciente número de empresas, con el advenimiento de Internet, cambio de siglo (Y2K) e inversiones en tecnología de comercio electrónico, ha llegado a considerar los sistemas de información como el corazón del negocio y base para competir. Toda empresa que emplee sistemas (manuales, informáticos, manufactura, etc.), requiere, utiliza o genera información que es dirigida a las gerencias para la toma de decisiones. Por lo anterior, en aras de identificar los puntos críticos de la seguridad, como primer paso se establecerá las cualidades o requerimientos que la organización espera de la información. En esta tarea se recurrirá a la investigación realizada por la Fundación de Auditores de Sistemas de Información y Control 1 (ISACF ) creadora del marco de referencia COSO: Objetivos COBIT Organizacionales del (Objetivos de Control Interno Control para la información Efectividad y eficiencia y Tecnología en las operaciones. Relacionada), Confiables reportes quienes a financieros. través de la revisión de Cumplimiento con los cuerpos leyes y regulaciones. normativos de mayor trascendencia mundial, entre ellos COSO, llegó a establecer que la información debe cumplir con ciertos requerimientos del negocio, a saber:
recursos: a) datos, b) aplicaciones, c) tecnología, d) instalaciones y e) personal.
Una vez determinados los requerimientos de información pasamos a establecer los recursos de tecnología que intervienen para poseer un panorama más amplio. Es así como nuevamente recurrimos a la investigación de la ISACF cuyo resultado identifica los siguientes
Objetivos del negocio Oportunidades de negocio Requerimientos externos Regulaciones Riesgos
Información -Efectividad -Eficiencia -Integridad -Disponibilidad -Cumplimiento Confidencialidad -Confiabilidad
Con los recursos involucrados en la generación de información y las características que ésta debe ostentar para cumplir con las expectativas gerenciales, se cuenta con los insumos necesarios para iniciar el análisis de los riesgos más importantes que impactan la seguridad de la información. Vulnerabilidades y riesgos, que al ser identificados y dimensionados serán la materia prima para una adecuada estrategia de atención a los puntos críticos de la seguridad empresarial. A mayor complejidad tecnológica en una organización más fácilmente se sobrepasa los límites de la percepción del riesgo, obligando a los legisladores, auditores, administradores y clientes a preguntarse sobre cuáles son esos riesgos y como asegurarse de que sean correctamente administrados. Por esto, formal o informalmente, un rol inherente a la administración es la de manejar riesgos. Para orientar la evaluación de los riesgos informáticos se partirá del resultado de un 2 simposio organizado por Gartner Group en la exposición de tecnología de información (SymposiumIT/xpo) celebrada en San Diego, donde en conjunto con miles de profesionales del campo provenientes de compañías de Estados Unidos como fuera del continente generaron una lista con los 11 aspectos de seguridad más importantes (top-10-plus-one list) para las empresas durante el año 2003, los cuales se resumen en:
Seguridad en los servicios Web: Se recomienda cautela en la medida que los estándares de seguridad están todavía en estado de consolidación. Seguridad en las redes inalámbricas: Conforme se avanza en la seguridad de las redes inalámbricas crece el uso de las
1
ISACF: Siglas en inglés para identificar a la Information Systems Audit and Control Foundation, radicada en Estados Unidos de América.
2
Artículo “Gartner Outlines Top Enterprise Security Treats For 2003”