“Uno de los grandes retos que enfrenta cualquier empresa de hoy es cómo implementar una estrategia efectiva para almacenar los datos importantes. “
Puntos Críticos de la Seguridad Empresarial (Una visión informática) por Ricardo Arce Sandí En la era del conocimiento, resalta la importancia que se le otorga a la información, hasta el punto de afirmarse que “el que tiene la información posee el poder” o en otros términos se le califica como activo de la organización. Esta percepción se ve reafirmada cuando un creciente número de empresas, con el advenimiento de Internet, cambio de siglo (Y2K) e inversiones en tecnología de comercio electrónico, ha llegado a considerar los sistemas de información como el corazón del negocio y base para competir. Toda empresa que emplee sistemas (manuales, informáticos, manufactura, etc.), requiere, utiliza o genera información que es dirigida a las gerencias para la toma de decisiones. Por lo anterior, en aras de identificar los puntos críticos de la seguridad, como primer paso se establecerá las cualidades o requerimientos que la organización espera de la información. En esta tarea se recurrirá a la investigación realizada por la Fundación de Auditores de Sistemas de Información y Control 1 (ISACF ) creadora del marco de referencia COSO: Objetivos COBIT Organizacionales del (Objetivos de Control Interno Control para la Efectividad y eficiencia información y en las operaciones. Tecnología Confiables reportes Relacionada), financieros. quienes a través de la Cumplimiento con revisión de leyes y regulaciones. los cuerpos normativos de mayor trascendencia mundial, entre ellos COSO, llegó a establecer que la información debe cumplir con ciertos requerimientos del negocio, a saber:
1
ISACF: Siglas en inglés para identificar a la Information Systems Audit and Control Foundation, radicada en Estados Unidos de América.
Una vez determinados los requerimientos de información pasamos a establecer los recursos de tecnología que intervienen para poseer un panorama más amplio. Es así como nuevamente recurrimos a la investigación de la ISACF cuyo resultado identifica los siguientes recursos: a) datos, b) aplicaciones, c) tecnología, d) instalaciones y e) personal. Objetivos del negocio Oportunidades de negocio Requerimientos externos Regulaciones Riesgos
Información -Efectividad -Eficiencia -Integridad -Disponibilidad -Cumplimiento Confidencialidad -Confiabilidad
Con los recursos involucrados en la generación de información y las características que ésta debe ostentar para cumplir con las expectativas gerenciales, se cuenta con los insumos necesarios para iniciar el análisis de los riesgos más importantes que impactan la seguridad de la información. Vulnerabilidades y riesgos, que al ser identificados y dimensionados serán la materia prima para una adecuada estrategia de atención a los puntos críticos de la seguridad empresarial.
A mayor complejidad tecnológica en una organización más fácilmente se sobrepasa los límites de la percepción del riesgo, obligando a los legisladores, auditores, administradores y clientes a preguntarse sobre cuáles son esos riesgos y como asegurarse de que sean correctamente administrados. Por esto, formal o informalmente, un rol inherente a la administración es la de manejar riesgos. Para orientar la evaluación de los riesgos informáticos se partirá del resultado de un 2 simposio organizado por Gartner Group en la exposición de tecnología de información (SymposiumIT/xpo) celebrada en San Diego, donde en conjunto con miles de profesionales del campo provenientes de compañías de Estados Unidos como fuera del continente generaron una lista con los 11 aspectos de seguridad más importantes (top-10-plus-one list) para las empresas durante el año 2003, los cuales se resumen en:
Seguridad en los servicios Web: Se recomienda cautela en la medida que los estándares de seguridad están todavía en estado de consolidación. Seguridad en las redes inalámbricas: Conforme se avanza en la seguridad de las redes inalámbricas crece el uso de las mismas con la consecuente exposición al robo de información. Identidad del negocio: Es crucial que las compañías tengan identidad y provean esquemas para prevenir el robo de la misma así como que eduquen a los trabajadores en los peligros de ese crimen. Rol de las plataformas de seguridad y sistemas de detección de intrusos: Los sistemas de seguridad han ido evolucionando desde la detección de hechos después de que ocurren hasta prevenirlos, aspecto que es positivo.
3 2
Artículo “Gartner Outlines Top Enterprise Security Treats For 2003”
Correlación de eventos para reportar/monitorear/administrar: Las empresas deben considerar la distribución de programas de correlación de datos para prevenir intrusiones o ataques que desde un punto de la empresa puedan afectar a otros. El próximo virus: Los dos últimos ataques del virus Code Red/Nimda costo muchos millones de dólares en datos y tiempo a las empresas, por lo que se deberá hacer lo posible por minimizar la vulnerabilidad, incluyendo la adopción de políticas administrativas sobre el tema. Seguridad de mensajes instantáneos: Los programas de mensajería instantánea provocan huecos en las defensas de la red. También, al abrir un video o archivo musical, estos se conectan y activan automáticamente sin permiso del usuario a sitios web, exponiendo la red empresarial al ataque de virus o hackers. Por correo electrónico se posibilita la transmisión de virus a través de correspondencia electrónica, los cuales hay tan avanzados que sin necesidad de darles doble-clic se propagan afectando diferentes plataformas (equipos). También, los trabajadores frecuentemente utilizan poco su acceso a Internet en asuntos de trabajo, sino que descargan juegos, películas y música afectando la productividad. De la seguridad táctica a la de infraestructura: Se recomienda que la compañías muevan sus estrategias de seguridad de lo estrictamente táctico a 3 soluciones que cubran la insfraestructura . Protección de la propiedad intelectual: Proteger los activos de información (propiedad de datos o patentes) debe ser considerada una prioridad de seguridad para todas las empresas, para prevenir el espionaje industrial. Algo tan inocente como que un empleado tome una importante información de la empresa y la incluya en un correo electrónico la cual sin un nombre específico la remita a su casa, amigo o competidor, es un ejemplo de estos riesgos. Transacciones confiables y auditoría: Recientes escándalos como los de la firma Enrón, muestran que las empresas deben Infraestructura: Conjunto de elementos o servicios que se consideran necesarios para la creación y funcionamiento de una organización cualquiera.
mejorar la confiabilidad de sus transacciones y proveer pistas de auditoría. Se omite este último por relacionarse directamente con la legislación norteamericana.
Los riesgos identificados por el Simposio se pueden relacionar con los requerimientos de información: confidencialidad, integridad, cumplimiento (de leyes), confiabilidad y disponibilidad; así como con los recursos personal, infraestructura, aplicaciones, tecnología y datos. Con la información anterior, y manteniendo como referencia los requerimientos de información y recursos se tiene que la organización presenta otros puntos de exposición o escenarios de riesgo cuyos resultados indeseables podrían impedir u obstaculizar el funcionamiento exitoso de los sistemas y la calidad de los productos o servicios que estos generan, como son:
Ausente o deficiente planeamiento y organización de los servicios de información cuya orientación no esté alineada con las estrategias de la empresa. Eventos que afecten la continuidad de las operaciones para lo cual debe contarse con planes que aseguren la protección de las personas y activos así como la pronta recuperación del negocio. Daños a los activos de información cuyos montos no dejan de ser importantes, hace obligatorio tomar previsiones para la seguridad ambiental y física. Violaciones a la seguridad lógica o controles de acceso a los datos, programas y equipos (aquí se incluye los aspectos de seguridad en Internet). Omisión o incumplimiento de estándares o sanas prácticas en materia de administración de proyectos, desarrollo de sistemas y contratación de terceros “outsourcing”. Incumplimiento de regulaciones, leyes o reglamentos externos o internos de la organización. Divulgación o alteración no autorizada de información empresarial o de carácter confidencial incluida la de los clientes.
Conclusión: Establecer los puntos críticos de la seguridad en una empresa dependerá de la complejidad tecnológica que ostente y la importancia económica de la información que administran las aplicaciones (impacto). Para identificar las áreas de mayor exposición al riesgo o críticas se sugiere iniciar el análisis tomando en consideración los requerimientos de información y los recursos de tecnología involucrados, ya que será a partir de ellos que se estará en posición de establecer los elementos que tendrán mayor importancia para la organización y por ende donde interesa enfocar la protección, orientando de esta manera más racionalmente los esfuerzos y recursos limitados. Finalmente, los escenarios de riesgo presentados y un marco general aceptado de sanas prácticas en materia de tecnología, guiarán la identificación de acciones o procedimientos de revisión que ayuden al mejoramiento del sistema de control interno en materia de información o tecnología. MBA. Ricardo Arce Sandí, CISA. Auditor de Sistemas de Información en la Auditoría Interna del Instituto Nacional de Seguros. Cuenta con experiencia en los campos de auditoría y la informática.