Caso de Estudio – Seguridad

La difícil tarea de la seguridad informática.

Análisis de un caso en una organización típica
La Historia.
La información procesada, almacenada y consultada por los medios tecnológicos
actuales es un recurso más de cualquier organización. En este contexto, la jefatura de
una empresa ha confiado en una persona, el Lic. Juan Seguro, la responsabilidad de la
seguridad informática. Antes de asumir esta tarea, él había ingresado al organismo
como analista y programador de sistemas, pero siempre se había manifestado
interesado en la seguridad informática por su tesis de graduación y algunos cursos e
investigaciones que estaba realizando.
Después de dos años de asumir la tarea, Juan se enfrentó con un serio problema: la
seguridad de la información es un concepto nuevo en la empresa y por lo tanto
observa que existe una “Falta de conciencia generalizada sobre la seguridad de los
datos por parte de todos los usuarios”.

2. La inversión
¿Juan deberá esperar que suceda otro incidente de seguridad para que se aprueben
nuevas inversiones?
R. Juan debe presentar informe sobre posibles amenazas, planificando en un Plan
Operativo Anual la inversión y justificar la inversión con un Plan de Prevensión.

3. ¿Qué es lo que debemos proteger?

¿Quién tiene la responsabilidad de definir qué información es crítica y sensible y
definir sus accesos? ¿Quién es realmente el dueño de los datos?
R. Se deben Definir los documentos básicos como TXT,DOC,PPF, etc, e incluirlos en una
política de propiedad de información de la empresa. Para archivos especiales como
Audio y video que podrían ser importancia según el área (Marketing por ejemplo),
deben ser definidos por los jefes de área coordinados con área de seguridad de
información.

4. ¿Debería permitir el uso libre de Internet? ¿Bajo qué condiciones?

R. Debe estar sujeto a políticas de uso del internet aprobados por gerencia, donde
debe detallarse según las funciones de las áreas y según los cargos jerarquicos los
accesos y restricciones.
¿Debe permitirse el uso del Chat y del correo electrónico personal?
R. Esto depende de las políticas de protección de información empresarial, y las
funciones de áreas, el chat podría ser un medio de comunicación para ciertas áreas.

5. Software y licencia de uso.

¿Debería volver atrás con la desinstalación de los programas? ¿Cómo debe hacer
frente a todas las críticas?
R. Si Juan siguío un plan de protección contra virus y malware debidamente respaldado
por las políticas de seguridad y aprobadas por gerencia, no debería desinstalar.
Además debería difundir las políticas y planes de protección con todo el personal.

6. Los dispositivos removibles

Página 1 de 2
¿Debería permitir el uso de medios removibles?
R. Si puede permitir considerando algunas medidas de seguridad como:
 Mantener los sistemas operativos actualizados (KB en el caso de Windows),
para evitar virus o problemas de seguridad.
 Hacer uso de Antivirus Corporativos administrados por servidor, con algún
módulo de protección y control de dispositivos removibles.
 Realizar el uso y monitoreo por servidor mediante herramientas de auditoría de
objetos para controlar la copia o eliminación de contenido auditado,

7. Las claves de acceso.

¿Cómo debería capacitar a los empleados en este aspecto?
R. Concientizar al personar (Capacitaciones, Difundiendo información) sobre la
importancia de claves de seguridad y protección accesos no autorizados, sobre la
responsabilidad sobre la información empresarial que tiene cada persona.
¿De quién es la responsabilidad de la confidencialidad de las claves?
R. La responsabilidad es de cada individuo que haga uso de un determinado equipo.

8. Conflicto de intereses.
¿Qué organismo, área, unidad organizativa se debería crear? ¿Qué nivel de jerarquía
debería tener?

R. Los planes, reglamentos y políticas pueden ser creadas y aprobadas por gerencias
que deberían tener igual poder ejecutivo. Por otro lado si se crease un área debería ser
el de "Área de Seguridad Informática", que debe estar a un nivel jerárquico horizontal,
y a nivel gerencial, puesto que las acciones que se realizan son de desición y ejecución.

Página 2 de 2