EL RÉGIMEN JURÍDICO DE LA SEGURIDAD INFORMÁTICA EN EL SISTEMA EMPRESARIAL CUBANO. UNA VISIÓN ACTUAL
Rogelio Meléndez Carballido y Manuel José Pérez Calderón
Esta página muestra parte del texto pero sin formato.
Puede bajarse el libro completo en PDF comprimido ZIP (89 páginas, 165 kb) pulsando aquí
No obstante los esfuerzos realizados y que se continúan realizando, y los años transcurridos, nuestro país en general y nuestro sistema empresarial en lo particular, enfrentan el terrible desafío que representa el uso de las tecnologías de la información y las comunicaciones así como el universo infinito de violaciones, en sus mas diversas formas de manifestación que se materializan a través o mediante el uso de estas avanzadas tecnologías, todo lo cual representa sin lugar a dudas y, a nuestro juicio uno de los mayores retos para el empresariado cubano en la lucha por el perfeccionamiento del mismo, a fin de lograr la competitividad requerida ante los embates presentes y futuros de este mundo globalizado. Mundo este en el cual, la Seguridad Informática, juega un papel preponderante y definitorio.
Todo lo cual requiere sin lugar a dudas del perfeccionamiento de todas las infraestructuras de nuestro sistema, para enfrentar los cambios cotidianos, elevar los niveles de preparación técnica no solo del personal directamente vinculado al uso de estas tecnologías, sino a todos los que de una forma u otra posean o puedan poseer relación con las mismas, pero enfocados en primer orden hacia la importancia vital que desempeña y desempeñará en el futuro , la seguridad informática para nuestro empresariado y para nuestro país.
En este contexto, consideramos oportuno proponer, los elementos y estructura que a nuestro juicio y derivados de la experiencia practica del autor, han de tomarse como punto de partida para la implementación de un sistema de seguridad informática en nuestro sistema empresarial, a partir de las disposiciones legales vigentes para tales fines. El mismo deberá contener.
1. Alcance. El mismo se hará extensivo a cada una de las personas con acceso a los medios informáticos que se relacionen en dicho plan.
2. Caracterización del Sistema Informático. Donde se definirán las Características de las Computadoras haciendo énfasis en las que se conectarán a INTERNET así como el Software y el hardware de cada una de ellas.
3. Resultado del análisis de Riesgo Para realizar este Plan de Seguridad Informática se deberá llevar a cabo el estudio y análisis de los riesgos que implicaría la conexión a Internet con el objetivo de identificar los recursos que se afectarían por las violaciones de seguridad y las amenazas a las que están expuestos dichos recursos, de forma tal que dicho análisis nos brinde la información siguiente.
o Determinación precisa de los recursos sensibles de la organización.
o Identificación de las amenazas del sistema.
o Identificación de las vulnerabilidades específicas del sistema.
o Identificación de posibles pérdidas.
o Identificación de la probabilidad de ocurrencia de una pérdida.
o Derivación de contramedidas efectivas.
o Identificación de herramientas de seguridad.
o Implementación de un sistema de seguridad eficiente en costes y tiempo.
4. Las políticas de Seguridad. Resultara indispensable, establecer claramente una política de seguridad que garantice.
• La confidencialidad, integridad y disponibilidad de la información.
• La seguridad requerida de las tecnologías de información de la entidad.
• Neutralizar la recepción o transmisión de informaciones de carácter nocivo.
• Que ningún trabajador operará máquinas o equipos sin estar previamente adiestrado de acuerdo a los planes de adiestramiento vigente y autorizado
• Que el activo informático estará a disposición del personal que esté debidamente autorizado para realizar las auditorias informáticas.
De la misma forma dicha política deberá definir entre otros aspectos.
• La obligación de los trabajadores, respecto al uso de dichos medios técnicos.
• Las prohibiciones relativas al uso de los medios técnicos.
• El o los procedimientos para la implantación de toda nueva versión de un sistema.
• La especificación de no colocar información clasificada en las maquinas con acceso a Internet.
5. Sistema de seguridad informática, En este aspecto, se definirán las áreas a proteger y dentro de estas una especial atención a aquella destinada a la navegación de Internet. De la misma forma se ha de incluir en este acápite el tratamiento a:
Los Recursos Humanos, donde se establecerán como requisitos previos el adiestramiento, la evaluación y la autorización del personal, para el uso de las tecnologías informáticas. De igual forma la obligación del Responsable de Seguridad Informática de elaborar y mantener actualizado el Registro de Software Autorizado (Registro) para las máquinas de Internet, el listado nominal de los trabajadores con acceso a internet así como las responsabilidades tanto de los encargados del control de todo lo concerniente a la seguridad informática en la entidad (Comisión de Seguridad Informática) como los trabajadores con acceso a internet.
Los Recursos o Medios Técnicos, se realizara un análisis detallado y de la misma forma se establecerá el control de cada uno de los medios técnicos de la entidad.
Medidas y Procesamientos de Seguridad Informática y dentro de estas.
• De Protección Física. Dirigidas a las áreas con tecnología instaladas, a las tecnologías de la información, y a los soportes de información Por tales motivos, se debe tener en cuenta los siguientes aspectos.
Anclajes a mesas de trabajo.
Cerraduras.
Tarjetas con alarma.
Etiquetas con adhesivos especiales.
Bloqueo de portadiscos.
Protectores de teclado.
Tarjeta de control de acceso al hardware.
Suministro ininterrumpido de corriente.
Toma de tierra
Eliminación de estática.
• De Protección Técnica o Lógica. Entendiendo como tal al conjunto de medidas que se implementen mediante el empleo de programas o medios tecnológicos encaminados a proteger las tecnologías informáticas, y sus soportes tecnológicos de información. Entre las cuales tenemos
• Identificación de Usuarios.
• Autenticación de Usuarios.
• Control de Acceso a los Activos y Recursos.
• Integridad de los Ficheros y Datos.
• Auditorias y alarmas.
• De Seguridad de las Operaciones. Aquí se definirán los criterios para la selección de os mecanismos de seguridad
• Sistemas de salva de respaldo. En este caso se debe establecer la obligatoriedad de todos de la realización de salvas diarias de la información obtenida, que permita la actualización del banco de datos, y por ende la restauración del sistema ante posibles daños.
• Mantenimiento y reparación de las tecnologías de información. El Responsable de Seguridad Informática, deberá establecer un plan de mantenimiento de los medios técnicos, exigiendo por su cumplimiento, enfatizando que la realización de los mismos, siempre se hará en presencia del administrador de la Red.
• Control del uso, traslado y entrada de tecnologías de información. Deberá garantizarse el cumplimiento de las medidas de seguridad, así como las salvas de las informaciones, de la misma forma ha de mantenerse actualizado el control de los medios, y los componentes.
• Pruebas de inspección. Las mismas se realizaran periódicamente, para comprobar los registros especiales, listado de usuarios conectados, cumplimiento de las medidas de seguridad.
• Registros. Como sistemas de registros para el control de los diferentes procesos que se realicen, se han de establecer para el obligatorio cumplimiento los siguientes:
• Registro de Software de nueva adquisición.
• Registro de inspecciones:
• Registro y control de los soportes:
• Registro de incidencias de la Seguridad Informática:
Este registro es muy importante porque nos permitirá tener un control de todas las incidencias más relevantes ocurridas durante el día, ya que se registran hechos como: Traslado de los medios, roturas, trabajo de personal ajeno a la entidad, visitas, violaciones, existencia de virus, salvas, etc. Se establece con carácter obligatorio la anotación en el "Libro de Incidencias" por el Responsable de Seguridad Informática e INTERNET.
• Registro de Control de los Medios Técnicos de Computación:
• De Recuperación ante Contingencias
Planes de contingencia. Análisis pormenorizado de las áreas que componen la organización que nos servirá para establecer una política de recuperación ante un desastre, lo que además de aumentar la seguridad, permitirá un conocimiento mayor de las fortalezas y debilidades del sistema. El mismo, se referirá exclusivamente al activo informático que se posea y al grupo encargado de ejecutar dicho plan.
En el mismo se realizara una determinación de las vulnerabilidades, entre las que estarán.
• Contaminación con virus informáticos.
• Destrucción o modificación del Sistema Operativo.
• Publicación de información Clasificada o Sensible.
• Fallas del fluido eléctrico.
• Fallas de las comunicaciones.
• Fallas del Hardware.
• Roturas de los Equipos de climatización.
• Denegación del Servicio.
Definiendo para cada caso en particular las acciones a realizar para el enfrentamiento a cada una de estas vulnerabilidades en el caso de ocurrencia de alguna de ellas así como los responsables y las responsabilidades de cada uno de ellos.
Además de lo cual se incluirán medidas educativas y de concientizacion, encaminadas a divulgar los aspectos claves que permitan garantizar la seguridad informática, los programas de preparación, las sanciones a aplicar por la violación o inobservancia de lo contenido en el plan en correspondencia a la legislación vigente en materia de disciplina laboral, con independencia a cualquier otra responsabilidad derivada del caso.
Concluida esta exposición de los elementos que de forma general y a nuestro criterio, deberá contener un plan de Seguridad Informática. Haremos referencia a una estructura lógica del mismo.
1. Alcance.
2. Característica del Sistema Informático.
3. Resultados del Análisis de Riesgo.
4. Políticas de Seguridad.
5. Sistema de Seguridad Informática
Medios Humanos.
Medios Técnicos.
Medidas y Procesamientos de Seguridad Informática.
Medidas de Protección Física.
A las Áreas con Tecnología Instaladas
A las Tecnologías de Información.
A los Soportes de Información.
Medidas Técnicas o Lógicas.
Identificacion de Usuarios.
Autenticación de Usuarios.
Control de Acceso a los Activos y Recursos.
Integridad de los Ficheros y Datos.
Auditorias y Alarmas.
Medidas de Seguridad de las Operaciones.
Medidas de Recuperación ante Contingencias.
6. Anexos
Programa de Seguridad.
Listado Nominal de Usuarios con Acceso a Redes de Alcance Global (Internet).
Registros.
Código de Etica
Con esta estructura, consideramos que se da cumplimiento al propósito inicial de poner en manos de nuestro empresariado, una herramienta útil de trabajo, que permita facilitar en cierta medida, la implementación de un sistema de seguridad informática, abarcador de los postulados fundamentales y de las necesidades reales de protección y enfrentamiento a las disímiles violaciones que en este campo se generan y puedan generarse en medio del progresivo avance de las tecnologías de la información .