![]() ![]() ![]() |
La Seguridad debe ser considerada desde la fase
de diseño de un Sistema, como parte integral del mismo.
Debe darse mayor importancia a la toma de
medidas de seguridad, teniendo siempre presente que es indispensable, no
sólo para el buen funcionamiento sino también para el mantenimiento del
sistema.
Las políticas de seguridad deben ser definidas
por los funcionarios de alto nivel, los cuales deben ser motivados de manera
que tengan un rol importante.
Los encargados de soporte, aquellos que son
responsables de gestionar la seguridad informática en la organización, han
de considerar las siguientes medidas:
l Distribuir
las reglas de seguridad. Escribir en una lista las reglas básicas de
seguridad que los usuarios han de seguir, para mantener la seguridad y
ponerlas en un lugar público destacado. Se puede incluir un dibujo en un
póster para dar mayor referencia. Se debe considerar la posibilidad de
distribuir las reglas por todas las computadoras personales.
l Hacer
circular regularmente avisos sobre la seguridad. Utilice ejemplos de daños y
problemas procedentes de periódicos, revistas, para ilustrar la necesidad de
la vigilancia por mantener la seguridad. Intente que estos avisos sean
interesantes, sin entrar en muchos detalles, ya que en caso contrario podría
inspirar imitaciones.
l Establecer
incentivos para la seguridad. Las personas que rompen la seguridad poseen un
incentivo para hacerlo. Dé a las personas de su organización un incentivo
para mantenerla. Establezca premios para las ideas que supongan trucos de
seguridad y que apoyen las medidas de seguridad oficiales. Haga que los
responsables ofrezcan recompensas sustanciosas a los ganadores
l Establezca
una línea de comunicación sobre seguridad. El personal debe conocer dónde
puede obtener consejos sobre los temas de seguridad. También deben de poder
informar sobre violaciones de la seguridad o actividades sospechosas de
forma anónima. Por otro lado, ofrezca recompensas por informar de las
violaciones de seguridad.
Las normas de seguridad también describen el
modo de funcionamiento de los dispositivos de seguridad y su administración.
Por ejemplo, supongamos un dispositivo simple de bloqueo de teclado. En las
normas de seguridad se podría indicar:
Todos los usuarios bloquearán su teclado cada
vez que dejen sin atención su sistema.
Pero ésto no es suficiente. Debe estar
reglamentado quién ha de disponer de la llave principal y quién ha de
controlar las copias. 4.1 Responsables de la
Seguridad
l Definición de responsabilidades para la Seguridad de Datos, Sistemas
y Programas. l
Definición de responsabilidades para
la Seguridad de Datos, Sistemas y Programas.
Las responsabilidades específicas para la
protección de los datos, sistemas, programas, unidades de equipo, etc. deben
ser firmemente mantenidos si se desea una seguridad adecuada.
En general, la persona con el control físico en
un activo (datos, sistemas y programas), debe ser el responsable inmediato
de su protección. En el caso de datos del Centro de Procesamiento de Datos,
esta persona es el Jefe de dicho Centro.
Los Auditores internos y el personal de
seguridad deben revisar que se les dé una adecuada protección a los datos.
Debido a que ellos no tienen control físico sobre ésto, no pueden tener la
responsabilidad principal de su cuidado, pero sí del cumplimiento de las
normas y procedimientos de seguridad.
Hasta el grado permitido por el tamaño de sus
operaciones, la responsabilidad de escribir, procesar o autorizar un
programa, trabajo o específicamente un cambio, debe ser asignado a
diferentes personas. La separación efectiva de funciones sensitivas
relacionadas, ayudará a reducir los errores y el riesgo de actos no
autorizados cometidos deliberadamente por el personal de Procesamiento de
Datos.
Las normas se han de trasladar en la jerarquía
para que las personas clave, implementen las medidas de seguridad dadas y
ejecuten las acciones adicionales necesarias. Por ejemplo:
Cualquiera que utilice una computadora personal deberá grabar su trabajo y desconectar la computadora, siempre que la deje de usar.
El responsable del servicio de informática
realizará comprobaciones puntuales para asegurar que las copias de seguridad
se realizan según el plan aprobado.
Cuando se elabora la política de seguridad, también se debe tener muy en cuenta :
Es necesario que el personal de Procesamiento de
Datos esté enterado de cómo afecta su rol clave, en cada una de las áreas
que soporta. Esto puede ayudarlos a entender la magnitud de los problemas
que pueden crear, si no están continuamente alertas a la necesidad de
proteger los datos encargados a ellos.
Cuando la gente de Procesamiento de Datos esté
consciente de la importancia de sus actividades, la organización entera
puede
beneficiarse.