2.1.2.9. Clase de Riesgo: Robo de Datos

Grado de Negatividad: Grave

Frecuencia de Evento: Aleatorio

Grado de Impacto: Grave

Grado de Certidumbre: Probable

Situación actual Acción correctiva

Las Oficinas tienen disponible disqueteras, quemadoras de CD/DVD, puertos USB, pero no se lleva un control sobre la información que ingresa y/o sale del ordenador. Personal de Planta debe manejar información delicada de la Oficina.

El servicio de Internet es potencialmente una ventaja abierta para el robo de información electrónica Existen políticas que regulan el uso y acceso del Servicio de Internet.

Los documentos impresos (informes, reportes, contratos, etc.) normalmente están expuestos al robo por que no se acostumbra guardarlos como debe ser. Si no se toma conciencia que esta es una manera de atentar contra el Sistema Informático del UNP el problema persistirá. Resguardar la información en archivos. Destruir los reportes malogrados, sobre todo de contenido relevante. (existen papeleros que convierten el papel en picadillo).

El acceso a los terminales se controla, mediante claves de acceso, de esta manera se impide el robo de información electrónica. A través de las políticas se seguridad se impide el ingreso a los Servidores. Se cumple parcialmente

El Robo de datos se puede llevarse a cabo bajo tres modalidades:

 La primera modalidad consiste en sacar “copia no autorizada” a nuestros archivos electrónicos aun medio magnético y retirarla fuera de la institución.

 La segunda modalidad y tal vez la mas sensible, es la sustracción de reportes impresos y/o informes confidenciales.

 La tercera modalidad es mediante acceso telefónico no autorizado, se remite vía Internet a direcciones de Correo que no corresponden a la Gestión Empresarial.

2.1.2.10. Clase de Riesgo: Manipulación y Sabotaje

Grado de Negatividad: Grave

Frecuencia de Evento: Aleatorio

Grado de Impacto: Grave

Grado de Certidumbre: Probable

Situación actual Acción correctiva

Existe el problema de la inestabilidad laboral, la misma que podría obligar a personas frustradas, o desilusionadas a causar daños físicos y lógicos en el sistema de información de la institución. Esto se puede traducir desde el registro de operaciones incorrectas por parte de los usuarios finales, hasta la operación de borrar registros en el sistema y conductas de sabotaje La protección contra el sabotaje requiere:

Una selección rigurosa del personal.

Buena administración de los recursos humanos

Buenos controles administrativos

Buena seguridad física en los ambientes donde están los principales componentes del equipo.

Asignar a una persona la responsabilidad de la protección de los equipos en cada área.

No se comunica el movimiento de personal al CIT, para restringir accesos del personal que es reubicado y/o cesado de la UNP. Es conveniente la comunicación anticipada del personal que será reubicado y/o cesado con el objeto de retirar los derechos de operación de escritura para otorgarle los derechos de consulta antes de desactivar la cuenta.

Existe el antecedente de origen sabotaje interno. Como es el caso de trabajadores que han sido despedidos y/o están enterados que van a ser rescindidos su contrato, han destruidos o modificado archivos para su beneficio inmediato o futuro. Hay que protegerse también ante una posible destrucción del hardware o software por parte de personal no honrado.

El peligro mas temido por los centros de Procesamiento de Datos, es el sabotaje. Instituciones que han intentado implementar Programas de Seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un trabajador o un sujeto ajeno a la propia institución. Un acceso no autorizado puede originar sabotajes.

Los riesgos y peligros deben ser identificados y evaluados, para conocer las posibles pérdidas y para que pueda ponerse en práctica los adecuados métodos de prevención.

Una mejora en la seguridad produce, a menudo, importantes beneficios secundarios. Por ejemplo, el cambio de metodología aplicada a determinadas operaciones conduce frecuentemente a una reducción del índice de errores, a una mejora en calidad, a una mejor planificación y a resultados más rápidos.

No existen un plan idóneo o una recomendación simple para resolver el problema de la seguridad. Realmente no es una situación estática u un problema “puntual”, sino que requiere un constante y continuo esfuerzo y dedicación.

Resumen de la Clase de Riesgos