2.3.1. Seguridad de información

La Seguridad de información y por consiguiente de los equipos informáticos, es un tema que llega a afectar la imagen institucional de las empresas, incluso la vida privada de personas. Es obvio el interés creciente que día a días se evidencia sobre este aspecto de la nueva sociedad informática.

Ladrones, manipuladores, saboteadores, espías, etc. reconocen que el centro de cómputo de una institución es su nervio central, que normalmente tiene información confidencial y a menudo es vulnerable a cualquier ataque.

La Seguridad de información tiene tres directivas básicas que actúan sobre la Protección de Datos, las cuales ejercen control de:

 La lectura

Consiste en negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, al cual también se le puede llamar protección de la privacidad, si se trata de datos personales y mantenimiento de la seguridad en el caso de datos institucionales.

 La escritura

Es garantizar el acceso a todos los datos importantes a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad que se les ha confiado.

 El empleo de esa información

Es Secreto de logra cuando no existe acceso a todos los datos sin autorización. La privacidad se logra cuando los datos que puedan obtenerse no permiten el enlace a individuos específicos o no se pueden utilizar para imputar hechos acerca de ellos.

Por otro lado, es importante definir los dispositivos de seguridad durante el diseño del sistema y no después. Los diseñadores de sistemas deben entender que las medidas de seguridad han llegado a se criterios de diseño tan importantes como otras posibilidades funcionales, así como el incremento de costos que significa agregar funciones, después de desarrollado un Sistema de Información.

2.3.1.1. Acceso no autorizado

Sin adecuadas medidas de seguridad se puede producir accesos no autorizados:

 Control de acceso al CIT

La libertad de acceso al CIT puede crear un significativo problema de seguridad. El acceso normal debe ser dado solamente a la gente que trabaja en esta oficina. Cualquier otra persona puede tener acceso únicamente bajo control.

Debemos mantener la seguridad física de la Oficina como primera línea de defensa. Para ello se toma en consideración el valor de los datos, el costo de protección, el impacto institucional por la perdida o daño de la información. La forma propuesta de implantar el Control de Acceso al CIT, seria la siguiente:

o Para personas visitantes, vigilancia otorgara el Credencial de Visitante.

o Para personal de la UNP, con autorización del encargado de la Oficina

 Acceso limitado computadoras personales y/o terminales de la red.

Los terminales que son dejados sin protección pueden ser mal usados. Cualquier Terminal puede ser utilizado para tener acceso a los datos de un sistema controlado.

 Control de acceso a la información confidencial.

Sin el debido control, cualquier usuario encontrara la forma de lograr acceso al Sistema de Red, a una base de datos o descubrir información clasificada. Para revertir la posibilidad de ataque se debe considerar:

Programas de control a los usuarios de red

El sistema Operativo residente en los servidores del CIT es Windows 2003 Server. A través del Servicio de “Active Directory” permite administrar a los usuarios y sus derechos de acceso, ya sea por grupos o individualmente.

Palabra de acceso (password)

Es una palabra o código que se ingresa por teclado antes que se realice un proceso.

Constituye un procedimiento de seguridad que protege los programas y datos contra los usuarios no autorizados. La identificación del usuario debe ser muy difícil de imitar y copiar.

El Sistema de Información debe cerrarse después que el usuario no autorizado falle tres veces de intentar ingresar una clave de acceso. Las claves de acceso no deben ser largas puesto que son más difíciles de recordar. Una vez que se obtiene la clave de acceso al sistema, esta se utiliza para entrar al sistema de Red de Información vía Sistema Operativo.

La forma común de intentar descubrir una clave es de dos maneras:

o Observando el ingreso de la clave

o Utilizando un método de ensayo y error para introducir posibles claves de acceso y lograr entrar.

En todo proceso corporativo es recomendable que el responsable de cada área asigne y actualice de forma periódica el “password” a los usuarios.

No se puede depender de un operador o responsable de terminal, que trabe la operatividad normal del UNP, por lo que será necesario establecer el procedimiento para tener un duplicado de Claves de Acceso, bajo el esquema de niveles jerárquicos en sobre lacrado.

El administrador de Redes deberá entregar al Jefe del CIT, las claves de acceso de su personal en un sobre lacrado, debiendo registrar en un Cuaderno de Control, la fecha y motivo de algún cambio.

Niveles de Acceso

Las políticas de acceso aplicadas, deberá identificar los usuarios autorizados a emplear determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que existen en los niveles de acceso están referidas a la lectura o modificación en sus diferentes formas. Cada palabra clave deberá tener asignado uno de los niveles de acceso a la información o recursos de red disponibles en la UNP.

La forma fundamental de autoridad la tiene el Administrador de Redes con derechos totales. Entre otras funciones puede autorizar nuevos usuarios, otorgar derechos para modificar estructuras de las Bases de Datos, etc.

De acuerdo a ello se tienen los siguientes niveles de acceso a la información:

Nivel Concepto

Consulta de la información El privilegio de lectura esta disponible para cualquier usuario y solo se requiere presentaciones visuales o reportes. La autorización de lectura permite leer pero no modificar la Base de Datos.

Mantenimiento de información Permite el acceso para agregar nuevos datos, pero no modifica los ya existentes, permite modificar pero no eliminar los datos.

Para el borrado de datos, es preferible que sea responsabilidad del CIT.