INTRODUCCIÓN

El admirable y maravilloso "mundo de las computadoras" ha proporcionado un verdadero avance en diferentes áreas y en ellas es menester realizar gestiones de manera dinámica, eficiente y precisa. Al aplicarse esta tecnología en todo tipo de gestiones automatizadas, se establece un gran paso en la creación de mejores métodos y procedimientos que ayuden al hombre a desempeñar más eficientemente las tareas que realiza en serie y, lo mas común, aquellas de rutina.

Durante algunos años, la computadora ha sido una buena excusa para realizar publicidad sensacionalista acerca de las diversas experiencias que trae aparejada el uso de tal tecnología.

Una consecuencia inmediata de este uso es la gran cantidad de artículos, revistas, bibliografía, cursos, conferencias y seminarios que sobre el tema se ofrecen en el mercado.

Por otra parte las empresas especializadas en servicios de asesoría sobre seguridad informática han proliferado, pero no son todavía del todo eficaces puesto que este es un tema que no se considera en forma apropiada.
En las compañías y empresas, actualmente existe un factor nuevo de preocupación a nivel departamental: los sistemas de información operan en un ambiente que esta lleno de peligros latentes.

Los sistemas de información computarizados son vulnerables a una diversidad de amenazas y atentados por parte de:

• Personas tanto internas como externas de la organización.

• Desastres naturales.

• Por servicios, suministros y trabajos no confiables e imperfectos.

• Por la incompetencia y las deficiencias cotidianas.

• Por el abuso en el manejo de los sistemas informáticos.

• Por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción de las actividades de cómputos.

Todos estos aspectos hacen que sea necesario replantear la seguridad con que cuenta hasta ahora la organización, aunque también hay algunas entidades que están haciendo un trabajo prominente en asegurar sus sistemas informáticos.

Es fundamental que los directivos de las organizaciones que no se han ocupado lo suficiente en implementar un estricto sistema de seguridad se preocupen en:

• Reconocer la necesidad de establecer normas de seguridad para los datos, políticas, normas y directrices.

• Comprender que el papel que desempeñan en la organización, esta relacionado con la seguridad del ciclo de vida del sistema de información.

• Establecer una planificación formalizada para la seguridad informática.

• Gestionar los medios necesarios para administrar correctamente la función de la seguridad informática.

Hasta que la sección directiva de la compañía no tome conciencia de esto y no lo lleve a la practica, seguirán completamente abiertas las puertas y ventanas de sus sistemas informáticos.

Seguidamente veremos otros riesgos que afectan a la protección informática puesto que aumentan los puntos de vulnerabilidad de los sistemas

1. CONCENTRACION DE PROCESAMIENTO DE APLICACIONES MAS GRANDES Y DE MAYOR COMPLEJIDAD

Una de las causas más importantes del incremento en los riesgos informáticos probablemente sea el aumento en la cantidad de aplicaciones o usos que se le da a las computadoras y la consecuente concentración de información y tecnología de software para el procesamiento de datos.

Además, la tendencia creciente hacia la incorporación de sistemas informáticos más complejos, dan lugar a una nueva etapa en la ingeniería del software, la era del "FATWARE". Estos robustos programas involucran procesamiento en línea, en tiempo real y sistemas operativos de redes distribuidas, en conjunción con el uso frecuente de bases de datos relacionales, las cuales están compuestas por gran cantidad de voluminosos archivos con estructuras y esquemas de relación altamente sofisticados, y, en consecuencia, conlleva a que su administración se gestione por medio de un sistema también complejo, el DBMS (Data Base Management System), constituyendo de esta forma un problema adicional al del FATWARE. El uso de tales sistemas administradores está cada vez más difundido y gran cantidad de información confidencial se almacena de este modo, por ejemplo, en oficinas de crédito, dependencias gubernamentales, administradoras de fondos de jubilaciones y pensiones, cuentas bancarias, etc. por mencionar algunas.

En contraste con una organización que usa un archivo manual donde la información se diversifica a través de toda la institución, otra, que usa ampliamente las computadoras, cuenta con la información y los programas concentrados en las manos de pocas personas. Como consecuencia de ello, la institución computarizada corre el riesgo de sufrir lo que en la jerga de seguridad informática suele denominarse "Amnesia Corporativa" debido a algún desastre ocurrido en las computadoras, y de quedar expuesta a una suspensión prolongada del procesamiento y por ende el mal funcionar de la compañía generándose una situación de caos para la misma y en todos los niveles de la organización.

La mayor conciencia de este riesgo y algunos desastres publicitados ampliamente generan mayor preocupación por la seguridad para las compañías con sistemas informáticos.

2. DEPENDENCIA EN EL PERSONAL CLAVE

Además del peligro que encierra algún desastre en los sistemas informáticos, existen otras situaciones potencialmente riesgosas de las cuales la más importante es, quizá, la dependencia hacia individuos clave. Si bien es cierto que la situación existe en todas las funciones de una compañía, la relativa novedad de la experiencia con computadoras y la brecha respecto a la comunicación entre los técnicos expertos y la gerencia, además de otras áreas usuarias, crea problemas específicos y de considerable magnitud.

La dependencia en individuos clave, algunos de los cuales poseen un alto nivel de desempeño técnico, con frecuencia pone a la compañía en manos de relativamente pocas personas, siendo que éstas por lo general son externos a la organización y bregarán por realizar "SU NEGOCIO" en primera instancia.

Los productos de software, especialmente en estos últimos años, se vuelven cada vez más complejos, por lo que una persona que disponga de conocimientos técnicos de programación y/o del equipo y de "falsos contactos" o debilidades del sistema, se encuentra invariablemente en una posición de control única. Este tipo de conocimiento ha conducido a situaciones donde las empresas se han visto expuestas al chantaje, la extorsión, mal uso y fraudes en la explotación de los sistemas informáticos.

La amenaza no solo se restringe al abuso del tipo descrito aquí. Este personal especializado con frecuencia posee el conocimiento único y no registrado de las modificaciones o el funcionamiento de las aplicaciones. La supervisión y el control de su trabajo resulta difícil como lo es el conocimiento de lo que si funcionaría sin contar con las habilidades del especialista.

3. DESAPARICION DE LOS CONTROLES TRADICIONALES

La importancia de las habilidades técnicas se fortalece con la desaparición de los controles tradicionales y de las auditorías en muchas instalaciones.
La amplia brecha en la comunicación entre el personal técnico, los gerentes de línea y el personal externo, como los auditores antes mencionados, suele causar dificultades para formular las implicaciones practicas de este desarrollo en los términos convencionales.

La brecha en la comunicación también se extiende a otros expertos como el personal de seguridad. Los gerentes de seguridad rara vez son expertos en computación, por lo que afrontan dificultades al aplicar sus evaluaciones ya establecidas sobre seguridad y riesgo a la actividad de las computadoras.

Muchas de las nuevas y extensas aplicaciones omiten las auditorías tradicionales y los controles impresos por razones de volumen. Las aplicaciones contienen verificadores automáticos que aseguran la integridad de la información que se procesa. Este gran cambio en el criterio sobre el control de los empleados y las brechas respecto a la comunicación, crean situaciones de seguridad totalmente diferentes.

4. HUELGAS, TERRORISMO E INESTABILIDAD SOCIAL

El nivel actual de riesgo en computación se debe revisar también dentro del contexto de inestabilidad social en muchas partes del mundo. Ha habido ataques físicos a diversas instalaciones, sin embargo algunas veces se trata de la incursión de personal interno y no de agitadores. Este tipo insidioso de riesgo es, en potencia, la fuente de más alto perjuicio para la institución. Este riesgo, solo, genera una amplia posibilidad de nuevas amenazas ante las cuales hay que responder.

Los ataques internos por parte del personal de una institución pueden tomar la forma de huelga; ésta, aunque no sea violenta, puede ser tan perjudicial como el ataque físico. Las huelgas han sucedido en grandes instalaciones que operan en línea en diferentes partes del mundo y por tanto en nuestro país también.

5. MAYOR CONCIENCIA DE LOS PROVEEDORES

Hasta hace pocos años este tema no constituía motivo de gran preocupación para los proveedores, pero la conciencia acerca de la exposición a los riesgos los ha obligado a destinar presupuestos considerables para la investigación acerca de la seguridad. Como resultado, se dispone de un mayor número de publicaciones de alta calidad para los usuarios, lo que permite mejorar la estructura y el enfoque para la seguridad de las computadoras; asimismo, ha intensificado el interés por reducir en forma progresiva el riesgo causado por un desastre en las computadoras.

Por último, la investigación y el apoyo por parte de los proveedores se han incrementado en el área de la seguridad.

En efecto, las principales áreas en que habitualmente ha incursionado la seguridad en los centros de cómputos han sido:

• Seguridad física o edilicia.

• Control de accesos.

• Protección de los datos.

• Seguridad en las redes.

Por tanto se ha estado descuidando otros aspectos intrínsecos de la protección informática y que no dejan de ser importantes para la misma organización, como por ejemplo

• ORGANIZACION Y DIVISION DE RESPONSABILIDADES

• CUANTIFICACION DE RIESGOS

• POLITICAS HACIA EL PERSONAL

• MEDIDAS DE HIGIENE, SALUBRIDAD Y ERGONOMIA

• SELECCION Y CONTRATACION DE SEGUROS

• ASPECTOS LEGALES Y DELITOS

• ESTANDARES INGENIERIA, PROGRAMACION Y OPERACION

• FUNCION DE LOS AUDITORES TANTO INTERNOS COMO EXTERNOS

• SEGURIDAD DE LOS SISTEMAS OPERATIVOS Y DE RED

• PLAN DE CONTINGENCIA

Otra falencia es desconocer las relaciones existentes entre los elementos y factores de la seguridad. El resultado a todo esto es: "una perspectiva limitada de la seguridad informática para la organización".

A los fines de llevar una revisión completa y exhaustiva de este tema, se propone que los especialistas en seguridad informática apliquen un enfoque amplio e integral, que abarque todos los aspectos posibles involucrados en la temática a desarrollar, identificando aquellos concernientes a garantías y resguardos, y, después de haber efectuado un análisis exahustivo de los mismos, presentarlos en detalle y agrupados convenientemente.

CONCLUSIÓN

Por todo lo expuesto, resulta mas que obvio la necesidad de un nuevo modelo de seguridad que cubra tanto los aspectos conocidos o clásicos como aquellos no convencionales, además de que los tratados que se han desarrollado sobre seguridad enfocan su atención únicamente en aquellos aspectos tradicionales dejando por consiguiente una brecha de vulnerabilidad en la organización al no cubrir por completo los aspectos de protección relacionados a la misma.

Podemos entonces aseverar que este accionar trae consigo que la compañía sea vulnerable.