SEGURIDAD OPERACIONAL EN EL ÁREA DE
INFORMÁTICA
Generalmente, los sistemas de
información incluyen todos los datos de una compañía y también el material y
los recursos de software que permiten a una compañía almacenar y hacer circular
estos datos. Los sistemas de información son fundamentales para las compañías y
deben ser protegidos.
LA SEGURIDAD TIENE CINCO OBJETIVOS:
-Integridad:
garantizar que los datos sean los que se supone que son.
-Confidencialidad: asegurar que sólo los
individuos autorizados tengan acceso a los recursos que se intercambian.
-Disponibilidad:
garantizar el correcto funcionamiento de los sistemas de información.
-Evitar el rechazo:
garantizar de que no pueda negar una operación realizada.
-Autenticación:
asegurar que sólo los individuos autorizados tengan acceso a los recursos.
La
seguridad operacional radica en las diferentes políticas y procedimientos realizados
por la administración de la instalación computacional. Un aspecto crítico es la
selección y organización del personal:
1.- ¿se
puede confiar en la gente?.
2.-
El tratamiento que generalmente se da al problema es la división de
responsabilidades:
·
Se otorgan distintos conjuntos de
responsabilidades.
Aplicar controles operativos en un
ambiente de Procesamiento de Datos, la máxima autoridad del Área de Informática
de una empresa o institución debe implantar los siguientes controles que se
agruparan de la siguiente forma:
1.- Controles de Preinstalación.
2.- Controles de Organización y
Planificación.
3.- Controles de Sistemas en Desarrollo
y Producción.
4.- Controles de Procesamiento.
5.- Controles de Operación.
6.- Controles de uso de
Microcomputadores.
1.-Controles de Preinstalación
Hacen referencia a procesos y actividades
previas a la adquisición e instalación de un equipo de computación y obviamente
a la automatización de los sistemas existentes.
Objetivos:
Garantizar que el hardware y software se logren
siempre y cuando tengan la seguridad de que los sistemas computarizados suministraran
mayores beneficios que cualquier otra alternativa.
Garantizar la opción adecuada de equipos
y sistemas de computación
2.- Controles de organización y
Planificación
Se refiere a la ilustración clara de
funciones, línea de autoridad y responsabilidad de las diferentes unidades del
área PAD, en labores tales como:
·
Diseñar un sistema
·
Elaborar los programas
·
Operar el sistema
·
Control de calidad
Se debe evitar que una misma persona
tenga el control de toda una operación. CONTROLES OPERATIVOS
3.- Controles de Sistema en Desarrollo y
Producción
Se debe demonstrar que los sistemas han
sido la mejor opción para la empresa, bajo una relación costo-beneficio que faciliten
oportuna y efectiva información, que los sistemas se han desarrollados bajo procesos
planificados y se encuentren debidamente documentados.
4.- Controles de Procesamiento.
Lo fundamental para la seguridad interna
es controlar el acceso a los datos almacenados y procesador.
Los
derechos de acceso definen qué acceso tienen varios sujetos o varios objetos.
Los sujetos acceden a los objetos.
Los objetos son entidades que contienen
información.
Los objetos pueden ser:
·
Concretos:
Ej.: discos, cintas, procesadores,
almacenamiento.
·
Abstractos:
Ej.: estructuras de datos, de
procesos.
Los objetos están protegidos contra
los sujetos.
5.-Controles de Operación
Comprenden
el ambiente de la operación del equipo central de computación y dispositivos de
almacenamiento, la administración de la cintateca y la operación de terminales
y equipos de comunicación por parte de los usuarios de sistemas on line. En los
cuales esta Prevenir o detectar errores
accidentales que puedan ocurrir en elSede de Cómputo, así como detectar el
manejo de datos con fines fraudulentos,certificar la integridad de los recursos
informáticos.
6.-Controles en el uso del
Microcomputador:
Es
eltrabajo más dificultoso pues son equipos más vulnerables, de fácil acceso, de
fácil explotación pero los controles que se implanten ayudaran a garantizar la
integridad y confidencialidad de la información.
ELEMENTOS DE LA SEGURIDAD OPERACIONAL
·
Alcance de las políticas, incluyendo
facilidades, sistemas y personal sobre la cual aplica.
·
Objetivos de la política y descripción clara
de los elementos involucrados en su definición.
·
Responsabilidades por cada uno de los
servicios y recursos informáticos aplicado a todos los niveles de la
organización.
·
Identificar peligros.
·
Asegurar que se aplican las medidas
correctivas necesarias.
·
Prever una supervisión permanente y una
evaluación periódica.
·
Tener como meta mejorar continuamente el
nivel global de seguridad operacional.
RIESGOS EN LA SEGURIDAD OPERACIONAL
·
Análisis de riesgos: Analizamos los riesgos
para determinar los factores relacionados con la severidad de los riesgos y su
probabilidad.
·
Evaluación de riesgos: Se evalúa el riesgo
general a los efectos de su aceptabilidad.
·
Control de riesgos: Cuando sea necesario se
formulan los controles para eliminar los peligros o para reducir sus efectos en
la organización
IMPACTO EN LA ORGANIZACIÓN DE LA SEGURIDAD
OPERACIONAL
·
Conflictos en las rutinas y procesos de la
organización con posibles consecuencias a su capacidad operativa.
·
Pérdida de la credibilidad y reputación de la
organización por parte del consejo directivo de la organización, público en
general, medios de información, entre otros.
·
Costo político y social derivado de la
divulgación de incidentes en la seguridad informática.
·
Violación por parte de la organización a la
normatividad acerca de confidencialidad y privacidad de datos de las personas.
·
Multas, sanciones o fincado de
responsabilidades por violaciones a normatividad de confidencialidad.
·
Pérdida de la privacidad en registros y
documentos de personas.
IMPACTO EN EL ASPECTO ECONÓMICO DE LA
SEGURIDAD OPERACIONAL
La economía de la seguridad informática
estudia los aspectos económicos de la privacidad y la seguridad en cómputo e
información. La economía de seguridad informática busca comprender las
decisiones y comportamientos individuales u organizacionales con respecto a la
seguridad y la privacidad como decisiones de mercado.
En resumen, la seguridad operacional
en el área de informática pretende
identificar las amenazas y reducir los riesgos al detectar las vulnerabilidades
incapacitando o minimizando así el impacto o efecto nocivo sobre la
organización.
y como llamarían a un sistema que tiene seguridad física y seguridad operacional ..??
ResponderEliminarSaludos