Usuario discusión:David Suria

Contenido de la página no disponible en otros idiomas.
De Wikipedia, la enciclopedia libre

SEGURIDAD LOGICA DE LOS SISTEMAS INFORMATICOS.[editar]

El crecimiento y desarrollo de muchas entidades, instituciones y organizaciones de nuestros días ha conllevado a que éstas incrementen notablemente sus actividades, haciéndose necesaria la búsqueda y utilización de los recursos que permitan agilizar las mismas; en ese sentido y sin lugar a duda hay que mencionar que también pero en mayor medida, el desarrollo tecnológico ha propiciado el equipo y los medios requeridos para cumplir con tal fin.


No obstante, si bien es cierto que muchas entidades buscan una mayor eficiencia en sus operaciones mediante la implementación de recursos tecnológicos complejos y sofisticados, también es importante tener en cuenta la seguridad que se debe dar a éstos, así como a la información que en los mismos se encuentre, como ejemplo los sistemas de información, tal es el caso de las computadoras y sus respectivos sistemas operativos, bases de datos, programas, aplicaciones y archivos, en los que puede estar contenida una gran cantidad de información sumamente valiosa.


Es ahí donde interviene y se vuelve importante la seguridad lógica de cualquier sistema de información, pues debe recordarse que para muchas instituciones la información es considerada como uno de los activos mas valiosos, ya que constituye la mejor base y fundamento para la toma de decisiones siempre y cuando sea integra.



Sin embargo para hablar de la seguridad lógica de los sistemas de información, antes hay que considerar ciertas relaciones y algunas definiciones previas que procuren un mejor entendimiento y comprensión de la temática.


Estas relaciones son las siguientes:

1. La seguridad lógica como componente y campo análogo al control interno común.

Con ello se pretende quede bien claro que la seguridad de los sistemas de información se divide en dos grande partes que son: la seguridad física y la seguridad lógica, pero ambas son componentes y a la vez campos análogos a un sistema de control interno, con la diferencia de orientarse al área de la informática, no obstante para fines del presente texto, se delimita nada mas al estudio de la segunda.


2. El control interno y su relación con la auditoria.

Algunos escritores sobre la materia consideran que son campos análogos porque buscan los mismos fines, pero la verdad es que la tendencia de sus relación en la mayoría de entidades siempre ha sido de tipo complementaria, dado que con el control interno se busca salvaguardar de una manera razonable los bienes, derechos y demás activos, en cambio la auditoria evalúa que tan adecuado es éste, y en que mediada ayuda a cumplir el propósito para el cual se ha establecido.


3. La seguridad lógica de los sistemas de información y su relación con la auditoria.

Su relación surge a partir de que al igual que en el control interno común, enfocado más que todo a procesos de protección de activos como el efectivo, los inventarios, entre otros; requiere ser evaluado por una auditoria común para verificar el cumplimiento de ello. Así mismo la seguridad lógica de los sistemas de información como control interno orientado para tal caso a la protección de otro activo, que es la información; requiere ser evaluada, derivando de ahí la auditoria de sistemas.


La exposición de estas tres relaciones, es en razón de no perder de vista el fin último de la seguridad lógica, así como el entorno donde se desarrolla, en complemento con el papel que juega la auditoria de sistemas.


Pero para completar los conocimientos previos, se presentan en breve las definiciones de tres de los elementos primordiales sobre el tema en discusión.


• Control Interno:

Es cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos.


• Seguridad Lógica:

Es todo lo relacionado con la seguridad de los bienes intangibles de los centros informáticos, tales como software(aplicaciones, sistemas operativos y lenguajes), así como lo relacionado con los métodos y procedimientos de operación, los niveles de acceso a los sistemas y programas institucionales, el uso de contraseñas, los privilegios y restricciones de los usuarios, la protección de los archivos e información de la empresa y las medidas y programas para prevenir y erradicar cualquier virus informático.


• Auditoria de Sistemas:

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.


Luego de abordar los aspectos generales de la seguridad lógica, que permitan una mayor comprensión de la misma, se exponen las condiciones bajo las cuales deben implementarse dentro de las organizaciones.


De tal manera, que para el establecimiento de medidas de seguridad lógica, previamente hay que también, tomar en cuenta tres factores que son: a que nivel de la organización se desean implementar, sobre que tipo de información y recursos y por ultimo el tipo de medida a adoptar; lo cual debe hacerse debido a lo siguiente: porque hay información que tiene que estar disponible para determinado nivel de la organización, pero no para otro, obviamente de menor escala jerárquica, y porque dependiendo de que tan valiosa sea ésta así como los recursos donde se encuentre tales como sistemas operativos, programas, aplicaciones, bases de datos, archivos; así será finalmente la rigidez de las medidas de seguridad que se adopten.


Desde luego existen muchos mas motivos secuenciales que conlleven a la implantación de controles en el área de informática, como la facilidad para el manejo de los equipos de computo, el numero de personas con conocimientos en la materia, sin dejar de lado el interés que éstas pueden tener en conseguir algún tipo de información de forma ilegal, así como los objetivos y propósitos que persiguen con su consecución y manipulación; en otras palabras el uso que le pretenden dar a la información y consecuentemente los daños que pueden ocasionar con ello, a la institución propietaria de tal información.


Por supuesto aquí no se presentan todas las medidas de seguridad lógica, existentes para el área, ni a un nivel bien especifico, mas sin embargo se exponen algunas de las mas conocidas y mayormente implementadas en toda entidad u organización de nuestros días, así mismo no es con un enfoque detallado a todos los recursos componentes de un sistema de información, pero si a los mas comunes de ellos, tales como sistemas operativos, bases de datos, programas, aplicaciones, entre otros.


A continuación se enuncian algunas medidas de seguridad adoptadas para determinados componentes de un sistema de información y se explican diversos aspectos relacionados con las mismas.


Los Antivirus.


El uso y constante actualización de éstos, busca la protección de algunos recursos que son como muy vulnerables a los famosos virus, pero también muy importantes, tal es el caso del sistema operativo, pues este recurso es el proveedor de las herramientas básicas para operar una computadora; por otra parte no hay que olvidar la susceptibilidad de otros recursos, pues la infección y daño de un virus puede ir desde la simple obstrucción de realizar de manera eficiente las actividades, hasta la destrucción total de toda la información o registros almacenados en archivos o bases de datos, sin mencionar la importancia que ésta puede tener y las consecuencias de no tenerla en el momento requerido, siendo esto uno de los problemas que se busca erradicar, mediante los ya conocidos Backups o respaldos que en seguida son abordados.


Pero retomando el presente apartado, no se pueden obviar de igual manera los efectos producidos por la eliminación o alteración de programas y aplicaciones, aunque respecto de éstos, mas que hablar de sus consecuencias, decir que en muchas ocasiones cuando se trata de copias piratas o adquiridas de forma ilegal, son las principales vías para la adquisición de un virus, pues de acuerdo con José Echenique García, autor del texto Auditoria en Informática, la mayor parte de virus actúa en forma de “Caballos de Troya”, es decir que se encuentran escondidos dentro de algún programa, y actúan a determinada indicación; puestos normalmente por sus diseñadores para castigar a quienes violentan los derechos de autor en el área de la informática, es por ello que parte importante de la auditoria de sistemas es la fiscalización de que se tengan las respectivas licencias y permisos de todos sus programas.


En resumen son éstos y otros motivos mas, la razón bajo la cual deben adoptarse como controles de seguridad los antivirus, puesto que no solamente lo ya mencionado constituye una fuente de contagio, ya que en ese mismo sentido no se pueden dejar de lado los servidores de correo que también son una de las principales vías para adquirir un virus, sin olvidar la gran cantidad de “Spams” que pueden filtrarse, si no se esta protegido o utiliza un antispam, saturando con ello la red; por otra parte los antivirus han resultado ser una protección efectiva en cierta medida, sobretodo cuando el virus no es tan letal o perjudicial.


Los Backups (Respaldos).


Como bien se sabe la disposición de la información integra y verdadera en el momento oportuno, es algo determinante para que las decisiones que se tomen no sean equivocas o erróneas, sin embargo es de considerar que pasaría, si ésta no se tuviese en el momento que se necesita, fuese alterada o se perdiera definitivamente, sea por fallos en el sistema, desastres naturales, porque ha sido sustraída o eliminada ilegalmente por personas no autorizadas.


Como medida de seguridad para contrarrestar tales sucesos, es que se recomienda la creación de los backups o respaldos que son copias de seguridad, efectuadas con el propósito de recuperar un buen porcentaje de la información o al menos en parte, en caso de suceder el hecho.


Ahora bien la periodicidad o la frecuencia con que se efectúen los respaldos dependerá algunas veces de la magnitud o capacidad de creación de información o registros que se puedan almacenar en una base de datos por parte de la institución en determinado periodo de tiempo, así como en archivos, programas o aplicaciones, siendo por lo tanto, recomendable realizar regularmente copias de seguridad de los datos ya que cualquier error en el sistema o un fallo humano puede hacer perder días, semanas o meses de trabajo, pudiendo por tanto realizarse copias de seguridad de forma semanal, mensual, trimestral o semestral; todo dependerá de la necesidad de la entidad, pero si es a nivel de un sistema operativo podrá depender de las modificaciones que a éste se efectúen, de tal manera que en caso de fallas en el sistema, éste se pueda recuperar hasta el estado en que se encontraba antes de hacer alguna modificación o adaptación de nuevos dispositivos, ya que en ciertas ocasiones son el origen de los problema a nivel de sistema operativo.


Por otra parte cada organización o entidad tendrá que evaluar el costo beneficio de estar creando constantemente copias de respaldo, ya que uno de los grandes motivos por los cuales se pierde la información es por la falta de backups, pues algunas personas aunque saben como crearlos, no lo hacen por el tiempo que ello implica; por consiguiente otra cuestión es, que tan seguro es el lugar donde son creados, pues algunas opciones son los CD’s, unidades de disco removibles o incluso en la Web, en hostings que cuentan con backups. En todo caso lo importante es que el lugar donde se encuentren las copias sea lo mas seguro posible y accesible en el momento en que se requiere la información.


Los Password (Contraseñas).


Es una medida de seguridad orientada primordialmente a delimitar el nivel de acceso de los usuarios y personal del área de los sistemas no autorizado, permitiéndosele nada mas el uso del sistema, sus archivos y su información por medio de la implantación de contraseñas o palabras claves de acceso, restringiendo el uso de programas y archivos de contenido confidencial y que por ende se concentra solo en las manos de unas pocas personas. Con ello se pretende evitar que la información sea utilizada por personas ajenas a la institución, con fines distintos a los de ésta o saboteada por los empleados como un acto de fraude.


Los Ficheros.


De manera similar a los password, el uso y empleo de los ficheros son implementados en muchas empresas, a fin de que el usuario de la información no pueda hacer mas de lo que se le esta permitido, denominándose por ello como una medida de seguridad establecida de forma administrativa, lo cual quiere decir, que hay una persona que es el administrador, quien es el único que posee todos los privilegios respecto de la información; en ese sentido menester aclarar que se distinguen tres categorías de usuarios en este tipo de información, la cual se maneja mayormente a nivel de redes, o lo que es llamado Recursos Compartidos, que es lo mismo, así como a nivel de base de datos; y los cuales se mencionan a continuación:



1. Los de solo lectura o consulta. 2. Los de lectura o consulta y modificación. 3. Los de lectura o consulta, modificación y eliminación, conocidos como administradores de bases de datos (DBA), cuando se trata de bases de datos, o simplemente administradores.


En conclusión tanto los password, como los ficheros pueden ser implementados a nivel de redes como de bases de datos.


En suma, son toda una diversidad de medidas de seguridad lógica las que se pueden implementar para un sistema de información, las cuales van desde las mas simples hasta la adopción de aquellas que son sumamente complejas, pues como ejemplos de medidas ya un poco mas sofisticadas se pueden mencionar como contramedidas, tanto para los password y ficheros, la utilización de algún programa, que supervise el numero de intentos fallidos y permitidos al usuario al momento de ingresar su password o contraseña y posiblemente dar una alerta a las autoridades correspondientes de la organización sobre posibles problemas para el acceso por parte del usuario, o posibles intentos de acceso por personas no autorizadas; o algún otro programa que monitoree en el caso de los recursos compartidos o las bases de datos, el numero de accesos por parte de los usuarios a la información, la hora, fecha, entre otras cosas.


En fin son toda una serie de medidas que por sencillas que parezcan son parte de la seguridad lógica, y pueden ser implementas por una entidad para la protección de su información; pues partiendo de ese punto de vista, habría que considerar como tal, hasta el simple bloqueo de un programa, aplicación o la misma computadora durante el transcurso mas mínimo de tiempo en el cual el usuario no esta trabajando o se encuentra ausente; finalizando en conclusión, que no se concibe la implementación y utilización de un sistema de información sin la adopción de las correspondientes medidas de seguridad física y obviamente lógica, en complemento con la realización de la oportuna auditoria de sistemas.


BIBLIOGRAFIA CONSULTADA.

Echenique García; José Antonio, Auditoria en Informática, Mc Graw-Hill, México, 1990.

Piattini; Mario G., Auditoria Informática, Un Enfoque Practico, Grupo Editor Alfaomega, México D.F., 1998.

Muñoz Razo; Carlos, Auditoria en Sistemas Computacionales, Peerson Educación, México, 2002.

Obtenido de «https://es.wikipedia.org/w/index.php?title=Usuario_discusión:David_Suria&oldid=12153014»