Seguridad en un sistema de Información

Importancia de la
Información

Cuando se habla de la función informática generalmente se tiende a hablar
de tecnología nueva, de nuevas aplicaciones,
nuevos dispositivos hardware, nuevas formas de
elaborar información más consistente,
etc.

Sin embargo se suele pasar por alto o se tiene muy
implícita la base que hace posible la existencia de
los anteriores elementos. Esta base es la
información.

Es muy importante conocer su significado dentro la
función informática, de forma esencial cuando su
manejo esta basado en tecnología moderna,
para esto se debe conocer que la información:

• esta almacenada y procesada en
  computadoras
• puede ser confidencial para algunas personas o
  a escala
  institucional
• puede ser mal utilizada o
  divulgada
• puede estar sujeta a robos, sabotaje o
  fraudes

Los primeros puntos nos muestran que la información esta centralizada y que puede
tener un alto valor y lo s
últimos puntos nos muestran que se puede provocar la
destrucción total o parcial de la información, que incurre directamente en su
disponibilidad que puede causar retrasos de alto costo.

Pensemos por un momento que hay se sufre un
accidente en el centro de computo
o el lugar donde se almacena la información. Ahora preguntémonos:
¿Cuánto tiempo
pasaría para que la
organización este nuevamente en
operación?

Es necesario tener presente que el lugar donde se
centraliza la información con frecuencia el centro de
cómputo puede ser el activo más valioso y al mismo
tiempo el
más vulnerable.

Véase diapositiva 1 y véase
diapositiva 2

Para continuar es muy importante conocer el
significado de dos palabras, que son riesgo y seguridad.

Riesgo

Proximidad o posibilidad de un daño,
peligro, etc.

Cada uno de los imprevistos, hechos
desafortunados, etc., que puede cubrir un seguro.

Sinónimos: amenaza, contingencia,
emergencia, urgencia, apuro.

Seguridad

Cualidad o estado de
seguro

Garantía o conjunto de garantías
que se da a alguien sobre el cumplimiento de
algo.

Ejemplo: Seguridad
Social Conjunto de organismos, medios,
medidas, etc., de la administración estatal para prevenir o
remediar los posibles riesgos,
problemas y
necesidades de los trabajadores, como enfermedad, accidentes
laborales, incapacidad, maternidad o jubilación; se
financia con aportaciones del Estado,
trabajadores y empresarios.

Se dice también de todos aquellos
objetos, dispositivos, medidas, etc., que contribuyen a hacer
más seguro el
funcionamiento o el uso de una cosa: cierre de seguridad,
cinturón de seguridad.

Con estos conceptos claros podemos avanzar y
hablar la criminología ya ha calificado los "delitos hechos
mediante computadora"o
por "sistemas de
información" en el grupo de
delitos de cuello
blanco.

Crónica del crimen (o delitos en
los sistemas de
información)

Delitos accidentales e
incidentales

Los delitos cometidos
utilizando la computadora
han crecido en tamaño, forma y variedad.

En la actualidad (1994) los delitos cometidos
tienen la peculiaridad de ser descubiertos en un 95% de forma
casual. Podemos citar a los principales delitos hechos por
computadora o
por medio de computadoras
estos son:

• fraudes
• falsificación
• venta de información

Entre los hechos criminales más famosos
en los E.E.U.U. están:

• El caso del Banco Wells
  Fargo donde se evidencio que la protección de archivos era
  inadecuada, cuyo error costo USD
  21.3 millones.
• El caso de la NASA donde dos alemanes
  ingresaron en archivos
  confidenciales.
• El caso de un muchacho de 15 años que
  entrando a la
  computadora de la Universidad
  de Berkeley en California destruyo gran cantidad de archivos.
• También se menciona el caso de un
  estudiante de una escuela que
  ingreso a una red canadiense con un
  procedimiento
  de admirable sencillez, otorgándose una
  identificación como un usuario de alta prioridad, y tomo
  el control de
  una embotelladora de Canadá.
• También el caso del empleado que
  vendió la lista de clientes de una
  compañía de venta de
  libros, lo
  que causo una perdida de USD 3 millones.

Conclusión

Estos hechos y otros nos muestran claramente que
los componentes del sistema de
información no presentaban un adecuado nivel de
seguridad. Ya que
el delito se
cometió con y sin intención. Donde se logró
penetrar en el sistema de
información.

Virus
informático

Definición: El virus
informático es un programa
elaborado accidental o intencionadamente, que se introduce y se
transmite a través de diskettes o de la red telefónica de
comunicación entre ordenadores, causando
diversos tipos de daños a los sistemas
computarizados. Ejemplo: el virus llamado
viernes trece o Jerusalén, que desactivó el
conjunto de ordenadores de la defensa de Israel y que
actualmente se ha extendido a todo el mundo.

Históricamente los virus
informáticos fueron descubiertos por la prensa el 12 de
octubre de 1985, con una publicación del New York Times
que hablaba de un virus que fue se
distribuyo desde un BBS y aparentemente era para optimizar los
sistemas IBM
basados en tarjeta gráfica EGA, pero al ejecutarlo
salía la presentación pero al mismo tiempo borraba
todos los archivos del
disco duro,
con un mensaje al finalizar que decía
"Caíste".

Bueno en realidad este fue el nacimiento de su
nombre, ya que los programas con
código integrado, diseñados para hacer cosas
inesperadas han existido desde que existen las computadoras.
Y ha sido siempre la obra de algún programador delgado de
ojos de loco.

Pero las primeras referencias de virus con fines
intencionales surgieron en 1983 cuando Digital Equipament
Corporation (DEC) empleo
empleó una subrutina para proteger su famoso procesador de
textos Decmate II, que el 1 de abril de 1983 en caso de ser
copia ilegal borraba todos los archivos de su
unidad de disco.

Los principales casos de crímenes cometidos
empleando por virus
informáticos son:

12 de diciembre de 1987. El virus de
Navidad Una tarjeta navideña digital enviada por
medio de un BBS de IBM atasco las instalaciones en los EE.UU. por
90 minutos. Cuando se ejecutaba el virus este tomaba
los Adress Book del usuario y se retransmitía
automáticamente, ademas que luego colgaba el ordenador
anfitrión.

Esto causo un desbordamiento de datos en la
red.

10 de enero de 1988. El virus
Jerusalén se ejecuta en una universidad
hebrea y tiene como fecha límite el primer viernes 13 del
año, como no pudieron pararlo se sufría una
disminución de la velocidad cada
viernes 13.

20 de septiembre de 1988 en Fort Worth,
Texas, Donald Gene un programador de 39 años será
sometido a juicio el 11 de julio por cargos delictivos de que
intencionadamente contaminó el sistema de por
ser despedido, con un virus
informático el año 85. Sera la primera persona juzgada
con la ley de sabotaje
que entro en vigor el 1 de septiembre de 1985. El juicio duro 3
semanas y el programador fue declarado culpable y condenado a
siete años de libertad
condicional y a pagar USD. 12000.

Su empresa que se
dedicaba a la bolsa sufrió borro de datos,
aproximadamente 168000 registros.

4 de noviembre de 1988 Un virus invade
miles de computadoras
basadas en Unix en
universidades e instalaciones de investigación militares, donde las
velocidades fueron reducidas y en otros casos paradas.
También el virus se propagó a escala
internacional.

Se estableció que la infección no
fue realizada por un virus sino por un programa
gusano, diseñado para reproducirse así mismo
indefinidamente y no para eliminar datos. El
programa se
difundió a través de un corrector de errores para
correo
electrónico, que se movió principalmente en
Internet
(Arpanet) y contamino miles de computadoras
en todo el mundo contando 6000 computadoras
en centros militares en los EE.UU. , incluyendo la NASA, la
Fuerza
Aérea, el MIT, las universidades de Berkeley, Illinois,
Boston, Stanford, Harvard, Princeton, Columbia y otras. En
general se determino que la infección se propago en las
computadoras VAX de DEC (digital equipament corp) y las
fabricadas por Sun Microsystems, que empleaban Unix.

Se halla al culpable Robert Morris, estudiante de
23 años, que declara haber cometido un error al propagar
el gusano. Morris era el hijo de un experto en seguridad
informática del gobierno.

El caso fue investigado por el FBI. Posiblemente
se sentencie a Morris por 5 años de prisión y una
multa USD. 250000.

23 de marzo del 89 virus ataca sistemas
informáticos de hospitales, variando la lectura de
informes de
laboratorio.

Y los últimos pero recordados vaccina,
hacker, cpw543,
natas, antiexe, etc.

Conclusión

Estos casos y muchos otros nos muestran que al
realizar la auditoría se debe estudiar con mucho
cuidado lo que significan los virus. Y conocer los diferentes
tipos como ser: caballo de troya, gusano, trampilla, bomba de
tiempo,
bomba lógica y los recientes macro
virus.

Pero como principal punto de partida se debe
observar que el sistema:

• No tenga copias ilegales o
  piratas
• Que no exista la posibilidad de
  transmisión de virus al realizar conexiones remotas o de
  redes
• El acceso de unidades de disco flexible sea
  restringido solo a quienes las necesitan

Observación

Es muy importante manejar con discreción
los resultados que se obtengan de los aspectos de seguridad, pues
su mala difusión podría causar daños
mayores. Esta información no debe ser divulgada y se la
debe mantener como reservada.

Ambiente propicio para el cultivo del
crimen

En la actualidad se nota que los fraudes crecen en
forma rápida, incluso mayor que los sistemas de
seguridad. Se sabe que en los EE.UU. se cometen crímenes
computarizados denunciados o no por más de 3 mil millones
de dólares.)

Es importante para el auditor conocer las causas
para que se cometan delitos, ya que una vez encontrado el
problema se debe observar la raíz para sugerir su
solución, entre las causas podemos citar, dos grupos:

Mayor riesgo

• Beneficio personal
• Síndrome de Robín
  Hood
• Odio a la
  organización
• Mentalidad turbada
• Equivocación de ego
• Deshonestidad del
  departamento
• Problemas financieros de algún
  individuo
• Fácil modo de
  desfalco

Menor riesgo

• Beneficio de la
  organización
• Jugando a jugar

Conclusión

Al ingresar al área de seguridad se debe
contemplar muy estrechamente las relaciones que hay entre los
aspectos: tecnológicos, humano – sociales y
administrativos.

Paradigmas Organizacionales en Cuanto a
Seguridad

Paradigma: Modelo o
ejemplo de algo, En filosofía: Conjunto de ideas
filosóficas, teorías científicas y normas
metodológicas que influyen en la forma de resolver los
problemas en
una determinada tradición científica.

Sinónimo: prototipo, muestra,
canon.

Los paradigmas
desempeñan un papel
importante en la actual filosofía de la ciencia, a
partir de la obra de Thomas S. Kuhn "La estructura de
las revoluciones científicas" (1962).

Del paradigma se
desprenden las reglas que rigen las investigaciones.
Cuando dentro de un paradigma
aparecen anomalías excesivas, se produce una revolución
científica que consiste precisamente en el cambio de
paradigma

Es muy importante que el auditor conozca los
paradigmas que
existen en las organizaciones
sobre la seguridad, para no encontrarse con un contrincante
desconocido.

Entre los principales paradigmas que
se pueden encontrar veamos los siguientes:

• Generalmente se tiene la idea que los procedimientos
  de auditoría es responsabilidad del personal del
  centro de
  computo, pero se debe cambiar este paradigma y
  conocer que estas son responsabilidades del usuario y del
  departamento de auditoría
  interna.
• También muchas compañías
  cuentan con dispositivos de seguridad física para los
  computadores y se tiene la idea que los sistemas no
  pueden ser violados si no se ingresa al centro al centro de
  computo, ya que no se considera el uso terminales y de
  sistemas remotos.
• Se piensa también que los casos de
  seguridad que tratan de seguridad de incendio o robo que "eso
  no me puede suceder a mí" o "es poco probable que
  suceda".
• También se cree que los computadores y
  los programas son
  tan complejos que nadie fuera de su organización los va a entender y no les
  van a servir, ignorando las personas que puedan captar y usarla
  para otros fines.
• Los sistemas de seguridad generalmente no
  consideran la posibilidad de fraude
  interno que es cometido por el mismo personal en el
  desarrollo
  de sus funciones.
• Generalmente se piensa que la seguridad por
  clave de acceso es inviolable pero no se considera a los
  delincuentes sofisticados.
• Se suele suponer que los defectos y errores son
  inevitables.
• También se cree que se hallan fallas
  porque nada es perfecto.
• Y la creencia que la seguridad se aumenta solo
  con la inspección.

El siguiente cuadro es una forma apta para llevar
este tipo de información. Aunque no puede ser la mejor,
pero permite distinguir las ideas que se pretender
explicar.

Conclusión

Se deben analizar estos y otros paradigmas de
la
organización, también es muy importante que el
auditor enfrente y evalúe primero sus propios paradigmas y
sus paradigmas académicos.

Consideraciones Inmediatas para la Auditoría de la
Seguridad

A continuación se citarán las
consideraciones inmediatas que se deben tener para
elaborar la evaluación
de la seguridad, pero luego se tratarán las áreas
específicas con mucho mayor detalle.

Uso de la Computadora

Se debe observar el uso adecuado de la computadora
y su software que
puede ser susceptible a:

• tiempo de máquina para uso
  ajeno
• copia de programas de
  la
  organización para fines de comercialización (copia
  pirata)
• acceso directo o telefónico a bases de datos
  con fines fraudulentos

Sistema de Acceso

Para evitar los fraudes computarizados se debe
contemplar de forma clara los accesos a las computadoras de
acuerdo a:

• nivel de seguridad de acceso
• empleo de las claves de
  acceso
• evaluar la seguridad contemplando la
  relación costo, ya
  que a mayor tecnología de acceso mayor
  costo

Cantidad y Tipo de
Información

El tipo y la cantidad de información que se
introduce en las computadoras debe considerarse como un factor de
alto riesgo ya que
podrían producir que:

• la información este en manos de algunas
  personas
• la alta dependencia en caso de perdida de
  datos

Control de Programación

Se debe tener conocer que el delito más
común está presente en el momento de la programación, ya que puede ser cometido
intencionalmente o no, para lo cual se debe controlar
que:

• los programas no
  contengan bombas
  lógicas
• los programas deben
  contar con fuentes y
  sus ultimas actualizaciones
• los programas deben contar con
  documentación técnica, operativa y de
  emergencia

Personal

Se debe observar este punto con mucho cuidado, ya
que hablamos de las personas que están ligadas al sistema de
información de forma directa y se deberá
contemplar principalmente:

• la dependencia del sistema a nivel
  operativo y técnico
• evaluación del grado de capacitación operativa y
  técnica
• contemplar la cantidad de personas con acceso
  operativo y administrativo
• conocer la capacitación del personal en
  situaciones de emergencia

Medios de Control

Se debe contemplar la existencia de medios de
control para
conocer cuando se produce un cambio o un
fraude en el
sistema.

También se debe observar con detalle el
sistema ya que podría generar indicadores
que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una
especificación del sistema.

Rasgos del Personal

Se debe ver muy cuidadosamente el carácter
del personal
relacionado con el sistema, ya que pueden
surgir:

• malos manejos de
  administración
• malos manejos por
  negligencia
• malos manejos por ataques
  deliberados

Instalaciones

Es muy importante no olvidar las instalaciones
físicas y de servicios, que
significan un alto grado de riesgo. Para lo
cual se debe verificar:

• la continuidad del flujo
  eléctrico
• efectos del flujo eléctrico sobre el
  software y
  hardware
• evaluar las conexiones con los sistemas
  eléctrico, telefónico, cable,
  etc.
• verificar si existen un diseño, especificación
  técnica, manual o
  algún tipo de documentación sobre las
  instalaciones

Control de
Residuos

Observar como se maneja la basura de los
departamentos de mayor importancia, donde se almacena y quien la
maneja.

Establecer las Areas y Grados de
Riesgo

Es muy importante el crear una conciencia
en los usuarios de la
organización sobre el riesgo que
corre la información y hacerles comprender que la
seguridad es parte de su trabajo. Para esto se deben conocer
los principales riesgos que
acechan a la función informática y los medios de
prevención que se deben tener, para lo cual se
debe:

Establecer el Costo del
Sistema de Seguridad (Análisis Costo vs
Beneficio)

Este estudio se realiza considerando el costo
que se presenta cuando se pierde la información vs el
costo de un sistema de seguridad.

Para realizar este estudio se debe considerar lo
siguiente:

• clasificar la instalación en
  términos de riesgo (alto,
  mediano, pequeño)
• identificar las aplicaciones que tengan alto
  riesgo
• cuantificar el impacto en el caso de
  suspensión del servicio
  aquellas aplicaciones con un alto riesgo
• formular las medidas de seguridad necesarias
  dependiendo del nivel de seguridad que se
  requiera
• la justificación del costo de implantar
  las medidas de seguridad

Costo x perdida Costo
del

de información sistema de
seguridad

Cada uno de estos puntos es de mucha importancia
por lo que se sugiere clasificar estos elementos en
áreas de riesgo que pueden
ser:

Riesgo
Computacional

Se debe evaluar las aplicaciones y la
dependencia del sistema de
información, para lo cual es importante considerar
responder las siguientes cuatro preguntas:

1. ¿Qué sucedería si no
se puede utilizar el sistema? Si el sistema depende de la
aplicación por completo se debe definir el nivel de
riesgo.

Por ejemplo citemos:

• Un sistema de reservación de boletos
  que dependa por completo de un sistema computarizado, es un
  sistema de alto riesgo.
• Una lista de clientes
  será de menor riesgo.
• Un sistema de contabilidad fuera del tiempo de
  balance será de mucho menor riesgo.

2. ¿Qué consecuencias
traería si es que no se pudiera acceder al sistema?
Al considerar esta pregunta se debe cuidar la presencia de
manuales de
respaldo para emergencias o algún modo de cómo se
soluciono este problema en el pasado.

3. ¿Existe un procedimiento
alternativo y que problemas
ocasionaría? Se debe verificar si el sistema es
único o es que existe otro sistema también
computarizado de apoyo menor. Ejemplo: Sí el sistema
principal esta diseñado para trabajar en red sea tipo WAN
quizá haya un soporte de apoyo menor como una red LAN o
monousuario. En el caso de un sistema de facturación en
red, si esta
cae, quizá pudiese trabajar en forma distribuida con un
módulo menor monousuario y que tenga la capacidad de que
al levantarse la red existan métodos
de actualización y verificación
automática.

4. ¿Qué se ha hecho en casos de
emergencia hasta ahora? Para responder esta pregunta se
debe considerar al menos las siguientes situaciones, donde se
debe rescatar los acontecimientos, las consecuencias y las
soluciones
tomadas, considerando:

• Que exista un sistema paralelo al menos
  manual
• Si hay sistemas duplicados en las
  áreas críticas (tarjetas de
  red, teclados, monitores,
  servidores,
  unidades de disco, aire
  acondicionado).
• Si hay sistemas de energía
  ininterrumpida UPS.
• Si las instalaciones eléctricas,
  telefónicas y de red son adecuadas (se debe contar con
  el criterio de un experto).
• Si se cuenta con un método de respaldo y su manual
  administrativo.

Conclusión

Cuando se ha definido el grado de riesgo se debe
elaborar una lista de los sistemas con las medidas preventivas
que se deben tomar y las correctivas en casi de desastre,
señalando la prioridad de cada uno. Con el objetivo que
en caso de desastres se trabajen los sistemas de acuerdo a sus
prioridades.

Consideración y
Cuantificación del Riesgo a Nivel Institucional
(importante)

Ahora que se han establecido los riesgos
dentro la
organización, se debe evaluar su impacto a nivel
institucional, para lo cual se debe:

• Clasificar la información y los
  programas de soporte en cuanto a su disponibilidad y
  recuperación.
• Identificar la información que tenga un
  alto costo financiero en caso de perdida o pueda tener impacto
  a nivel ejecutivo o gerencial.
• Determinar la información que tenga un
  papel de
  prioridad en la organización a tal punto que no pueda
  sobrevivir sin ella.

Una vez determinada esta información se
la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles
administrativos que sean afectados por la suspensión
en el procesamiento y que cuantifiquen el impacto que
podrían causar estas situaciones.

Disposiciones que Acompañan la
Seguridad

De acuerdo a experiencias pasadas, y a la mejor
conveniencia de la organización, desde el punto de vista de
seguridad, contar con un conjunto de disposiciones o cursos de
acción para llevarse a cabo en caso de presentarse
situaciones de riesgo. Para lo cual se debe
considerar:

• Obtener una especificación de las
  aplicaciones, los programas y archivos de datos.
• Medidas en caso de desastre como perdida total
  de datos, abuso y
  los planes necesarios para cada caso.
• Prioridades en cuanto a acciones de
  seguridad de corto y largo plazo.
• Verificar el tipo de acceso que tiene las
  diferentes personas de la organización, cuidar que los
  programadores no cuenten con acceso a la sección de
  operación ni viceversa.
• Que los operadores no sean los únicos en
  resolver los problemas
  que se presentan.

Higiene

Otro aspecto que parece de menor importancia es
el de orden e higiene, que
debe observarse con mucho cuidado en las áreas
involucradas de la organización (centro de
computo y demás dependencias), pues esto
ayudará a detectar problemas de
disciplina y
posibles fallas en la seguridad.

También podemos ver que la higiene y el
orden son factores que elevan la moral del
recurso humano, evita la acumulación de desperdicios y
limita las posibilidades de accidentes.
(ejm del rastrillo)

Ademas es un factor que puede perjudicar el
desarrollo
del trabajo tanto a nivel formal como
informal.

Cultura Personal

Cuando hablamos de información, su riesgo
y su seguridad, siempre se debe considerar al elemento humano,
ya que podría definir la existencia o no de los
más altos grados de riesgo. Por lo cual es muy
importante considerar la idiosincrasia del personal, al
menos de los cargos de mayor dependencia o
riesgo.

Conclusión

El fin de este punto es encontrar y evitar
posibles situaciones de roce entre el recurso humano y la
organización y lograr una mejor comunicación entre
ambos.

Consideraciones para Elaborar
un

Sistema de Seguridad
Integral

Como hablamos de realizar la evaluación
de la seguridad es importante también conocer como
desarrollar y ejecutar el implantar un sistema de
seguridad.

Desarrollar un sistema de seguridad significa:
"planear, organizar coordinar dirigir y controlar las actividades
relacionadas a mantener y garantizar la integridad física de los
recursos
implicados en la función informática, así como el resguardo
de los activos de
la
empresa."

Por lo cual podemos ver las consideraciones de un
sistema de integral de seguridad.

Sistema Integral de
Seguridad

Un sistema integral debe
contemplar:

• Definir elementos
  administrativos
• Definir políticas de seguridad
• A nivel departamental
• A nivel institucional
• Organizar y dividir las
  responsabilidades
• Contemplar la seguridad física contra
  catástrofes (incendios,
  terremotos,
  inundaciones, etc.)
• Definir prácticas de seguridad para el
  personal:
• Plan de emergencia (plan de
  evacuación, uso de recursos de
  emergencia como extinguidores.
• Números telefónicos de
  emergencia
• Definir el tipo de pólizas de
  seguros
• Definir elementos técnicos de
  procedimientos
• Definir las necesidades de sistemas de
  seguridad para:
• Hardware y software
• Flujo de energía
• Cableados locales y externos
• Aplicación de los sistemas de seguridad
  incluyendo datos y archivos
• Planificación de los papeles de los
  auditores internos y externos
• Planificación de programas de desastre y
  sus pruebas
  (simulación)
• Planificación de equipos de contingencia
  con carácter periódico
• Control de desechos de los nodos importantes
  del sistema:
• Política de destrucción de
  basura
  copias, fotocopias, etc.
• Consideración de las normas ISO
  14000

Etapas para Implementar un Sistema de
Seguridad

Para dotar de medios
necesarios para elaborar su sistema de seguridad se debe
considerar los siguientes puntos:

• Sensibilizar a los ejecutivos de la
  organización en torno al tema
  de seguridad.
• Se debe realizar un diagnóstico de la situación de
  riesgo y seguridad de la información en la
  organización a nivel software,
  hardware,
  recursos
  humanos, y ambientales.
• Elaborar un plan para un
  programa de
  seguridad. El plan debe
  elaborarse contemplando:

Plan de Seguridad Ideal (o
Normativo)

Un plan de seguridad
para un sistema de seguridad integral debe
contemplar:

• El plan de
  seguridad debe asegurar la integridad y exactitud de los
  datos
• Debe permitir identificar la información
  que es confidencial
• Debe contemplar áreas de uso
  exclusivo
• Debe proteger y conservar los activos de
  desastres provocados por la mano del hombre y los
  actos abiertamente hostiles
• Debe asegurar la capacidad de la
  organización para sobrevivir
  accidentes
• Debe proteger a los empleados contra
  tentaciones o sospechas innecesarias
• Debe contemplar la administración contra acusaciones por
  imprudencia

Un punto de partida será conocer como
será la seguridad, de acuerdo a la siguiente
ecuación.

Riesgo

SEGURIDAD =
———————————————

Medidas preventivas y
correctivas

Donde:

Riesgo (roles, fraudes, accidentes,
terremotos,
incendios,
etc)

Medidas pre.. (políticas,
sistemas de seguridad, planes de emergencia, plan de resguardo,
seguridad de personal, etc)

Consideraciones para con el
Personal

Es de gran importancia la elaboración del
plan considerando el personal, pues se debe llevar a una conciencia para
obtener una autoevaluación de su comportamiento
con respecto al sistema, que lleve a la persona
a:

• Asumir riesgos
• Cumplir promesas
• Innovar

Para apoyar estos objetivos se
debe cumplir los siguientes pasos:

Motivar

Se debe desarrollar métodos
de participación reflexionando sobre lo que significa la
seguridad y el riesgo, así como su impacto a nivel
empresarial, de cargo y individual.

Capacitación
General

En un principio a los ejecutivos con el fin de
que conozcan y entiendan la relación entre seguridad,
riesgo y la información, y su impacto en la empresa. El
objetivo de
este punto es que se podrán detectar las debilidades y
potencialidades de la organización frente al
riesgo.

Este proceso
incluye como práctica necesaria la implantación
la ejecución de planes de contingencia y la simulación de posibles
delitos.

Capacitación de
Técnicos

Se debe formar técnicos encargados de
mantener la seguridad como parte de su trabajo y que
esté capacitado para capacitar a otras personas en lo
que es la ejecución de medidas preventivas y
correctivas.

Ética y
Cultura

Se debe establecer un método
de educación estimulando el cultivo de
elevados principios morales, que tengan
repercusión a nivel personal e
institucional.

De ser posible realizar conferencias
periódicas sobre: doctrina, familia,
educación
sexual, relaciones
humanas, etc.

Etapas para Implantar un Sistema de
Seguridad en Marcha

Para hacer que el plan entre en vigor y los
elementos empiecen a funcionar y se observen y acepten las nuevas
instituciones,
leyes y
costumbres del nuevo sistema de seguridad se deben seguir los
siguiente 8 pasos:

1. Introducir el tema de seguridad en la
   visión de la
   empresa.
2. Definir los procesos de
   flujo de información y sus riesgos en
   cuanto a todos los recursos
   participantes.
3. Capacitar a los gerentes y directivos,
   contemplando el enfoque global.
4. Designar y capacitar supervisores de
   área.
5. Definir y trabajar sobre todo las áreas
   donde se pueden lograr mejoras relativamente
   rápidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de
   mayor riesgo corporativo y trabajar con ellas planteando
   soluciones
   de alto nivel.
8. Capacitar a todos los trabajadores en los
   elementos básicos de seguridad y riesgo para el manejo
   del software,
   hardware y con
   respecto a la seguridad física.

Beneficios de un Sistema de
Seguridad

Los beneficios de un sistema de seguridad bien
elaborado son inmediatos, ya que el la organización
trabajará sobre una plataforma confiable, que se refleja
en los siguientes puntos:

• Aumento de la productividad.
• Aumento de la
  motivación del personal.
• Compromiso con la misión
  de la compañía.
• Mejora de las relaciones
  laborales.
• Ayuda a formar equipos
  competentes.
• Mejora de los climas laborales para los
  RR.HH.

Elaborado por Jose Alfredo
Jimenez