La seguridad informática y el control interno en Cuba. Experiencias de la división Copextel Villa Clara

Autor: MsC. Antonio Rodríguez Pérez y Lic. Olga Lidia León Burguera

Tecnología e internet

14-07-2009

Descargar Original

La Seguridad Informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. Los riesgos que se enfrentan han llevado a que muchas empresas desarrollen documentos y directrices que orientan el uso adecuado de las TICs y de la Seguridad Informática.

En el trabajo se aborda la Seguridad Informática, sus antecedentes y los aspectos que la distinguen, de igual manera son tratados los elementos de las Políticas de Seguridad Informática y los aspectos a tener en cuenta al formular las citadas Políticas. Definimos el concepto de Seguridad Informática, tratando además la importancia de la Auditoría de Seguridad Informática, sus fases, clasificación, evaluación y etapas de los Sistemas de Seguridad, haciendo especial énfasis en la vulnerabilidad de estos, así como las principales modalidades delictivas en los Sistemas de Seguridad Informática. Abordamos además en nuestra investigación la Seguridad Informática, su legislación y el Control Interno en Cuba, deteniéndonos en las experiencias que COPPEXTEL Villa Clara ha acumulado sobre estos temas. Aportamos cinco conclusiones y cinco recomendaciones como resultado de la investigación previa a este trabajo.

OBJETIVOS

General

Mostrar a partir de la experiencia de la División Copextel Villa Clara los avances y las insuficiencias que sobre la Seguridad Informática y el Control Interno presenta la empresa cubana actual.

Específicos

1. Puntualizar el significado que la aplicación de las TICs y las regulaciones sobre la Seguridad Informática tienen para la sociedad contemporánea actual. dado el desarrollo científico – técnico y los avances alcanzados en la informatización.

2. Mostrar el reordenamiento del soporte normativo para el control de la Seguridad Informática operado en Cuba, a través del Ministerio de la Informática y las Comunicaciones.

3. Exponer la necesidad de que el Control Interno en las entidades cubanas abarque las temáticas relacionadas con las TICs y con la Seguridad Informática.

4. Conocer si los resultados del Control Interno en la División COPEXTEL Villa Clara cumplimenta las exigencias internacionales y la legislación nacional sobre Seguridad Informática.

I. INTRODUCCIÓN

La automatización de la sociedad moderna y de sus empresas, partiendo del principio de que no será moderna la sociedad cuyas empresas no lo sean, necesita la aplicación y el control de las tecnologías de la información a la actividad empresarial cotidiana, incluyendo aquellas donde no aparece información oficial clasificada y donde la complejidad incluso del empleo de los software, resulta en esencia sencilla.

De esta formula básica parte la política de que resulta muy necesaria la automatización, su control y auditor en la actividad empresarial y social, como vía de obtención de mejores y más rápidos resultados.

El proponer o identificar una política de seguridad requiere un alto compromiso con la organización, y agudeza técnica para establecer fallas y debilidades, además de constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea hoy día a las organizaciones modernas.

Resulta vital que los directivos y el resto del personal comprendan e interioricen la importancia de la seguridad informática, dominando su alcance y acatando conscientemente las decisiones tomadas en relación con este tema.

La Auditoría Informática, también conocida como Auditoría de Sistemas, surge debido a que la información se ha convertido en uno de los activos más importantes de las empresas actuales, significando su deterioro o destrucción una perdida fatal y difícilmente recuperable.

La utilización inadecuada de la computadora para usos ajenos a la organización, la copia inescrupulosa de programas y el acceso por vía telefónica a bases de datos son algunos de los peligros a los que se enfrentan las administraciones de hoy.

El empresario o responsable, como figura rectora del trabajo de la entidad, resulta ser el eje principal de la acción preventiva y necesariamente tiene que crear mecanismos que le faciliten la obtención de los resultados deseados.

En Cuba los avances alcanzados en los últimos años en la informatización de la sociedad, a partir del incremento de tecnologías de la información en todos los sectores y en particular de las redes informáticas y sus servicios asociados, y el impulso orientado por la dirección del país al desarrollo acelerado de programas que multipliquen dichos logros, han impulsado la adopción de medidas que garantizan un adecuado nivel de seguridad, de protección y de ordenamiento.

En nuestro país la seguridad de las organizaciones, sistemas y redes de información están constantemente amenazadas por diversas fuentes que incluyen ataques de distintos tipo y origen; la ocurrencia de catástrofes, errores de operación y negligencias, aumentan los riesgos a que están expuestos los servicios y protocolos utilizados, así como el contenido de la información tratada en dichos sistemas, todo lo cual afecta severamente la confidencialidad, integridad y disponibilidad de la información.

Se trabaja por consolidar los logros alcanzados, por superar o erradicar las deficiencias que aun existen y por profundizar en la temática, con la intensión de acorralar oportunamente cada nueva brecha.

El presente trabajo persigue el objetivo de mostrar a partir de la experiencia de la División Copextel Villa Clara los avances y las insuficiencias que sobre la seguridad informática y el control interno presenta la empresa cubana actual.

Para ello hemos recurrido a literatura y legislación sobre el tema pero especialmente, a la práctica que sobre las TICs, la seguridad informática y el control interno, hemos acumulado.

II. DESARROLLO

2.1 La Seguridad Informática, antecedentes y elementos que la distinguen

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.

Los riesgos que se enfrentan ha llevado a que muchas empresas desarrollen documentos y directrices que orientan el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, factor que puede ocasionar serios problemas a sus bienes, servicios y operaciones.

En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, una política de seguridad informática es una forma de comunicarse con los usuarios, si partimos de que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello y cómo lograrlo, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

La política de seguridad debe orientar las decisiones que se toman en relación con la seguridad y se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.

2.1.1 Elementos de las Políticas de Seguridad Informática.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:

• Alcance, incluyendo facilidades, sistemas y personal sobre la cual aplica.
• Objetivos y descripción clara de los elementos involucrados en su definición.
• Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
• Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
• Definición de violaciones por no cumplir con las políticas.
• Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Las políticas de Seguridad Informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.

Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.

Por último, y no menos importante, es que las políticas de seguridad, deben seguir un proceso de actualización periódica (implementación) sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio diversificación del área de negocios, etc.

2.1.2 Aspectos a tener en cuenta al formular las Políticas de Seguridad Informáticas

Es importante que al momento de formular las Políticas de Seguridad Informática, se consideren como mínimo los siguientes aspectos:

• Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa.
• Reunirse con los departamentos responsables de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.
• Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
• Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos de su área.
• Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
• Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas Políticas de Seguridad Informática.

Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los responsables de Informática o los especialistas en seguridad.

Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen. Ante esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.

Si se quiere que las Políticas de Seguridad Informáticas sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.

Es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la organización, ellas deben responder a intereses y necesidades organizacionales basadas en la visión de negocio, para que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización.

2.1.3 Seguridad Informática

Según las estadísticas del CERT (Computer Emergency Response Team), desde el año 1998 puede apreciarse un increíble aumento en los incidentes de seguridad reportados, que año tras año se duplican en cantidad. Aún cuando estos incidentes son una parte pequeña del total, reflejan una tendencia clara y son una muestra de por qué las empresas deben tomar la seguridad informática como un objetivo a seguir seria y sistemáticamente.

La no previsión o el descontrol en la Seguridad Informática ha sido determinante en los resonantes fracasos de muchas empresas, dado que sus consecuencias operativas y económicas resultan insuperables. El riesgo por los incidentes de seguridad no se limitan a empresas altamente desarrolladas, si no a cualquier organización donde los sistemas informáticos desempeñen algún rol crítico en las actividades operativas, como por ejemplo: comunicaciones, bases de datos, estaciones de trabajo. Por ello, la forma en cómo las empresas y organizaciones encaren su propia seguridad, podrá ser -y de hecho ha sido- un factor determinante entre el éxito o el fracaso de su misión.

2.2 Auditorías de Seguridad Informática

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoría.

Las auditorías de seguridad Informática permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. Abarca los conceptos de seguridad física y lógica. La seguridad física se refiere a la protección del hardware y los soportes de datos, así como la seguridad de los edificios e instalaciones que los albergan. El auditor informático debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.

Por su parte, la seguridad lógica se refiere a la seguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.

Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede considerarse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.

El estándar para la Seguridad de la Información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la [British Standards Institution] (BSI).

En el año 2004 se publicó, en España, la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) elaborada por el comité técnico AEN/CTN 71, en adaptación nacional a la norma británica British Standard BS 7799-2:2002. Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502.

Para España la implantación de ISO/IEC 27001, en una organización, es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( SGSI) elegido. En general recomiendan la ayuda de consultores externos y que el equipo de proyecto de implantación esté formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por esos consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión.

Los españoles conciben la certificación de un SGSI como un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

A diferencia de lo que creen muchas empresas, los auditores internos no resuelven todos los problemas de control. Los sistemas de seguridad, permiten o deniegan el acceso a las aplicaciones y datos pero no controlan lo que hacen los usuarios autorizados.

Así, las empresas necesitan obtener una pista completa de las aplicaciones utilizadas; cumplir regulaciones de protección de datos; tener controles detallados en los sistemas "legacy" (esto requiere de conocimiento y recursos que normalmente no están disponibles o son muy costosos) y realizar un control y seguimiento sobre los accesos malintencionados.

Los sistemas más avanzados de Seguridad Informática permiten, por ejemplo, analizar la actividad del usuario a través de múltiples plataformas, reconstruir las pantallas y acciones realizadas, identificar transacciones efectuadas, seguir patrones de comportamiento y generar alertas sobre excepciones en tiempo real.

Resulta imprescindible definir el término de auditoría, ya que el mismo se ha usado principalmente para referirse a una revisión cuyo único fin es detectar errores, fraudes y señalar fallas, no obstante la auditoría es un concepto mucho más amplio, es "El proceso sistemático para evaluar y obtener de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados". El fin del proceso consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como determinar si dichos informes se han elaborado observando los principios establecidos para el caso". Toda auditoría y cualquier tipo de auditoria "es una actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas."

Hasta hace poco tiempo, la comprobación de la gestión y control de la actividad económica y financiera de las organizaciones, se hacía solamente por medio de la Auditoría Financiera, sin embargo, por el grado de informatización de las empresas, la misma no era suficiente y se hizo necesario conocer qué ocurría dentro de los sistemas de información, ya que la Auditoría Financiera podía llegar a conocer la información de entrada al sistema y el resultado obtenido, pero no podía determinar lo que sucedía entre el momento de entrada de la información y los resultados o salida de la misma, es decir se conocían los "inputs" y los "outputs" pero se desconocían cómo se habían generado estos últimos y si habían sido objeto o no de alguna manipulación. El examen de lo que acontece realmente en los Sistemas de Información, se puede realizar gracias a la Auditoría Informática.

Pero, ¿Qué es la Auditoría Informática? No existen definiciones oficiales sobre la misma, y algunas de las que aparecen en libros o se dan en cursos y seminarios tienen la influencia y criterio personal de su autor, no obstante, a continuación mencionamos las que consideramos más importantes:

Una definición podría ser la siguiente: "Se entiende por Auditoría Informática una serie de exámenes periódicos o esporádicos de un sistema informático cuya finalidad es analizar y evaluar la planificación, el control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura informática de la empresa".

Otros consideran que "La Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, por parte de personas independientes y teóricamente competentes del entorno informático de una entidad, abarcando todo o algunas de sus áreas, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los contratos y las normas legales aplicables, el grado de satisfacción de usuarios y directivos, los controles existentes y el análisis de riesgos".

Para Fernando Catacora Carpio, Especialista en Sistemas de Información Gerencial y profesor de esta cátedra en la Universidad Católica Andrés Bello de Caracas, Venezuela "La Auditoría Informática es aquella que tiene como objetivo principal la evaluación de los controles internos en el área de PED (Procesamiento Electrónico de Datos).

Otra definición nos indica que la Auditoría Informática es aquella que tiene como objetivos evaluar los controles de la función informática, analizar la eficiencia de los sistemas, verificar el cumplimiento de las políticas y procedimientos de la empresa en este ámbito y revisar que los recursos materiales y humanos de esta área se utilicen eficientemente. El auditor informático debe velar por la correcta utilización de los recursos que la empresa dispone para lograr un eficiente y eficaz Sistema de Información.

Finalmente, de forma sencilla y gráfica podemos decir que la Auditoría Informática es el proceso de recolección y evaluación de evidencia para determinar sí un sistema automatizado:

1. Salvaguarda los activos (daños, destrucción, uso no autorizado, robo)
2. Mantiene la integridad de los datos (oportuna, precisa y confiable)
3. Alcanza metas organizacionales (contribución de la función informática)
4. Consume recursos eficientemente (utiliza los recursos adecuadamente en el procesamiento de la información).

Así pues, debemos reafirmar que la Auditoría Informática, surge debido a que la información se convierte en uno de los activos más importantes, lo cual se puede confirmar si consideramos el hecho de que si se queman las instalaciones físicas de cualquier organización, sin que sufran daños los ordenadores, servidores o equipo de cómputo, la entidad podría retomar su operación normal en un menor tiempo, que si ocurre lo contrario.

A raíz de esto, la información adquiere gran importancia en la empresa moderna debido a su poder estratégico y a que se invierten grandes sumas de dinero y tiempo en la creación de sistemas de información con el fin de obtener una mayor productividad.

Otro factor que influyó grandemente en el nacimiento de la Auditoría Informática fue el uso de la tecnología y sistemas computarizados para el procesamiento de la información, lo cual ha tenido una importante repercusión sobre la disciplina contable, pues la mayoría de las operaciones financieras han recibido la influencia de la informática.

El alcance de la Auditoría Informática es la precisión con que se define el entorno y los límites en que va a desarrollarse la misma y se complementa con los objetivos establecidos para la revisión. El alcance de la Auditoría Informática deberá definirse de forma clara en el Informe Final, detallando no solamente los temas que fueron examinados, sino también indicando cuáles se omitieron.

2.2.1 Importancia de la Auditoría de Seguridad Informática.

La Auditoría Informática, es importante en las organizaciones por las siguientes razones:

• Evita difundir y utilizar resultados o información errónea si la calidad de datos de entrada es inexacta o los mismos son manipulados, lo cual abre la posibilidad de que se provoque un efecto dominó y afecte seriamente las operaciones, toma de decisiones e imagen de la empresa.

• Las computadoras, servidores y los Centros de Procesamiento de Datos se han convertido en blancos apetecibles para fraudes, espionaje, delincuencia y terrorismo informático.

• La continuidad de las operaciones, la administración y organización de la empresa no deben descansar en sistemas mal diseñados, ya que los mismos pueden convertirse en un serio peligro para la empresa.

• Las bases de datos pueden ser propensas a atentados y accesos de usuarios no autorizados o intrusos.

• Asegurar la Ley de Derecho de Autor, prevenir la piratería de softwares y el uso no autorizado de programas, con las implicaciones legales y respectivas sanciones que esto puede tener para la empresa.

• Evitar el robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.

• Evitar la mala imagen e insatisfacción de los usuarios porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en plazos razonables, es decir, el usuario percibe que está abandonado y desatendido permanentemente.

• Incremento desmesurado de costos, inversiones injustificadas o desviaciones presupuestarias significativas.

• Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad.

• Los recursos tecnológicos de la empresa incluyendo instalaciones físicas, personal subalterno, horas de trabajo pagadas, programas, aplicaciones, servicios de correo, internet, o comunicaciones; son utilizados por el personal sin importar su nivel jerárquico, para asuntos personales, alejados totalmente de las operaciones de la empresa o de las labores para las cuales fue contratado.

2.2.2 Fases de la Auditoría de Seguridad Informática

Con independencia de la norma a que nos ajustemos todos los servicios de auditoría constan de las siguientes fases:

• Enumeración de redes, topologías y protocolos
• Identificación de sistemas y dispositivos
• Identificación de los sistemas operativos instalados
• Análisis de servicios y aplicaciones
• Detección, comprobación y evaluación de vulnerabilidades
• Medidas específicas de corrección
• Recomendaciones sobre implantación de medidas preventivas.

2.2.3 Clasificación de la Auditoría de Seguridad Informática

También se señala que los servicios de auditoría pueden ser clasificados atendiendo a diferentes codificaciones.

• Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno.

• Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores.

• Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.

• Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperatividad del sistema, el análisis se denomina análisis post mortem.

• Auditoría de páginas Web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

• Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado.

• Auditoría de redes. mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información.

Generalmente se han establecido divisiones en la Auditoría Informática: Explotación u Operación, Desarrollo de Proyectos, de Sistemas, de Comunicaciones y Redes y de Seguridad.

A continuación nos detendremos brevemente en cada una de ellas.

Auditoría Informática de Producción o Explotación:

Se ocupa de revisar todo lo relacionado con los resultados informáticos, listados impresos, ficheros soportados magnéticamente, ordenes automatizadas para lanzar o modificar procesos, etc.

Auditoría Informática de Desarrollo de Proyectos:

Abarca áreas como, pre requisitos del usuario y del entorno, análisis funcional, diseño, análisis orgánico (pre programación y programación), pruebas entrega a explotación o producción y alta para el proceso. Estas fases deben estar sometidas a un exigente control interno, ya que en caso contrario, los costos pueden excederse, puede producirse la insatisfacción del usuario.

Auditoría Informática de Sistemas

Se ocupa de analizar y revisar los controles y efectividad de las técnicas de sistemas en todas sus facetas y se enfoca principalmente en el entorno general de sistemas, el cual incluye sistemas operativos, software básicos, aplicaciones, administración de base de datos, etc.

Auditoría Informática de Comunicaciones y Redes

Se enfoca en las redes, líneas, concentradores, multiplexores, etc. Para este tipo de auditoría se requiere un equipo de especialistas y expertos en comunicaciones y redes. Debe inquirir sobre los índices de utilización de las líneas contratadas, solicitar información sobre tiempos de desuso. Es necesario obtener información sobre la cantidad de líneas existentes, cómo son y donde están instaladas, sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas, pues la contratación e instalación de líneas va asociada a la instalación de los puestos de trabajo correspondientes (pantallas, servidores de redes locales, computadoras, impresoras, etc.).

Resulta sin embargo extraordinariamente importante cumplimentar las etapas que debe conformar toda auditoria de Seguridad Informática, estas son:

• Alcance y Objetivos de la Auditoría Informática.
• Estudio inicial del entorno auditable.
• Determinación de los recursos necesarios para realizar la auditoría.
• Elaboración del plan y de los Programas de Trabajo.
• Actividades propiamente dichas de la auditoría.
• Confección y redacción del Informe Final.

2.3 Evaluación de los Sistemas de Seguridad

Cuando hablamos de realizar una evaluación de la seguridad es importante conocer cómo desarrollar y ejecutar la implantación de un sistema de seguridad.

Desarrollar un sistema de seguridad significa "planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa".

Las consideraciones de un Sistema Integral de Seguridad deben contemplar:

• Definir elementos administrativos
• Definir políticas de seguridad
   - A nivel departamental
   - A nivel institucional
• Organizar y dividir las responsabilidades
• Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)
• Definir prácticas de seguridad para el personal.
• Orientar un plan de emergencia, plan de evacuación y uso de recursos de emergencia como extinguidores.
• Definir el tipo de pólizas de seguros.
• Definir elementos técnicos de procedimientos.
• Definir las necesidades de sistemas de seguridad para hardware y software
• Determinar el Flujo de energía.
• Definir los cableado locales y externos
• Aplicar los sistemas de seguridad incluyendo datos y archivos.
• Planificar los papeles de los auditores internos y externos.
• Planificar los programas de desastre y sus pruebas (simulación).
• Planificar los equipos de contingencia con carácter periódico.
• Controlar desechos de los nodos importantes del sistema. (Ejemplo HDD)
• Definir la Política de destrucción de basura, copias, fotocopias, etc.
• Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
• Realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos y ambientales.
• Elaborar un plan para un programa de seguridad.

2.3.1 Etapas para implantar un Sistema de Seguridad

Para que el Plan de Seguridad Informática entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres relacionadas con el sistema de seguridad, se deben seguir los siguientes pasos:

1. Introducir el tema de seguridad en la visión de la empresa.
2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
4. Designar y capacitar supervisores de área.
5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de mayor riesgo y trabajar con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.

2.3.2 Beneficios de un Sistema de Seguridad

Los beneficios de un sistema de seguridad bien elaborados son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:

• Aumento de la productividad.
• Aumento de la motivación del personal.
• Compromiso con la misión de la empresa.
• Mejora de las relaciones laborales.
• Ayuda a formar equipos competentes.
• Mejora de los climas laborales para los RR.HH.

2.3.3 Vulnerabilidad de los Sistemas de Seguridad

Probar la no vulnerabilidad de los sistemas es sin duda el punto más crítico de toda auditoría, ya que de él dependerá directamente el curso del resto de las acciones a tomar.

Como señala Bruce Schneier, reconocido especialista de esta área, «la seguridad no es un producto, es un proceso». Constantemente surgen nuevos fallos de seguridad, nuevos virus, nuevas "herramientas" (exploits) que facilitan la intrusión en sistemas, como así también nuevas y más efectivas tecnologías para prevenir estos problemas; por todo ello, la actitud ante la seguridad debe ser activa, procurando estar "al corriente" de lo que esté sucediendo en la materia, para ir cubriendo las nuevas brechas que vayan surgiendo y -cuando menos- para hacerle el trabajo más difícil a nuestros atacantes.

Por consiguiente la acción del empresario, sobre la Seguridad Informática, resulta de significativa importancia teniendo en cuenta que la misión empresarial no funcionaría de no existir una figura con responsabilidad y respeto, capaz de aplicarlas.

Como señala Ulrich Sieber, profesor de Derecho en la Universidad de Wurzburg y experto internacional en fraudes corporativos, las herramientas informáticas son de gran ayuda para que los directivos combatan los fraudes empresariales y refiere el caso de un empleado que ingresó un programa al sistema informático de la empresa donde trabajaba para imputar pagos correspondientes a salarios de empleados ficticios en su propia cuenta. Como el ardid habría sido descubierto por los mecanismos de seguridad del banco, el autor introdujo modificaciones en el programa de pago de salarios para que los "empleados ficticios" y los pagos realizados no aparecieran en los listados de control. La situación era particularmente grave porque, tras descubrir la falla en el sistema, el agresor tenía la posibilidad de repetir el hecho delictivo cuantas veces quisiera.

Según un estudio de la Asociación de Examinadores de Fraude de los Estados Unidos, los fraudes corporativos causan pérdidas de nueve dólares diarios por empleado y una merma del seis por ciento en los ingresos anuales de las empresas.

La Ley Sarbanes-Oxley (SOX) dictada por el gobierno estadounidense tras los escándalos de Enron y World Com, exige que los directivos y sus auditores evalúen los controles internos de las empresas, es decir, las prácticas o sistemas para mantener los registros e impedir fraudes o abusos.

En diciembre de 2006, el Banco Central de la República Argentina emitió la Comunicación "A" 4609 sobre Registros de Seguridad y pistas de auditoría. Esta comunicación se refiere a las "normas sobre requisitos mínimos de gestión, implementación y control de los riegos relacionados con tecnología informática y sistemas de información", y señala concretamente que "todos los sistemas aplicativos deben generar registros de auditoría que contengan mínimamente las actividades de los usuarios, las tareas realizadas, las funciones monetarias y no monetarias utilizadas. Sin embargo, más allá de las regulaciones públicas, es sorprendente la escasa concientización sobre la necesidad de implementar medidas de seguridad anti fraude. En el 2006, la filial local de la consultora Ernst & Young realizó la 1º Encuesta Nacional sobre Fraude. Entre otras cosas, determinó que el 51 por ciento de las compañías combaten el fraude a través de la auditoría interna. Esto implica que NO lo hace un 49 por ciento de las empresas (¡casi la mitad!).

2.3.4 Variantes de delitos en la Seguridad Informáticaa

A partir de los diversos estudios realizados sobre este tema se ha podido corroborar la existencia de múltiples modalidades de ocurrencia de delitos vinculados con la Seguridad Informática. Entre ellas podemos ver:

1. Pérdidas de información por violación de normas.
2. Robo de Información.
3. Mensajes en cadena.
4. Mensajes subversivos y de contenido c/r.
5. Contaminación con virus informáticos.
6. Fraude financiero.
7. Apropiación de claves de acceso.
8. Robo de computadoras, partes, accesorios y soportes.

2.3.5 Deficiencias más comunes detectadas en las Auditorías de Seguridad Informática:

1. No está concebido el cargo de responsable de Seguridad Informática
2. Se designa a un personal no calificado.
3. No cuenta con el equipamiento y los derechos necesarios para realizar sus funciones.
4. El Plan de Seguridad Informática no se encuentra actualizado, certificado o no refleja la realidad.
5. No se realiza el análisis de riesgos.
6. No se planifican las inspecciones y/o auditorias internas.
7. Deficiente seguridad física en locales (servidores y áreas).
8. No se realizan las salvas de la información.
9. Antivirus no instalados o no actualizados.
10. No se implementan, en los servidores, directivas de cuentas y contraseñas.
11. No se revisan periódicamente las trazas de los eventos que se producen en las redes.
12. Poco dominio de la Base Legal de la Seguridad Informática

2.3.6 Planes rectores establecidos para la Seguridad Informática

1. Plan de Seguridad Informática: Documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática , a partir de las políticas y conjunto de medidas aprobadas sobre la base de los resultados obtenidos en el análisis de riesgo previamente realizado.

2. Plan de Contingencia: Documento básico contenido dentro del Plan de Seguridad Informática, donde se establecen las medidas para restablecer y dar continuidad a los procesos informáticos ante una eventualidad o desastre.

2.4 La Seguridad Informática, su legislación y el Control Interno en Cuba.

Cuba ha tenido en los últimos veinte años un avance vertiginoso en el uso y utilización de las tecnologías de la informática, realidad que se ha acrecentado luego de la política de informatización de la sociedad vinculada a la Batalla de Ideas.

Para dar cabal cumplimiento a esta realidad ha incorporado paulatinamente los principios que a escala mundial rigen esta disciplina, promulgando legislaciones y lanzando estrategias acordes a las características propias de nuestro país donde no ha faltado el considerar importante y vital para nuestra seguridad e integridad nacional el dominio de las tecnologías de la informática y la seguridad asociadas a ellas.

La Seguridad Informática es en esencia la actividad preventiva que con varias zonas de aplicación y más allá de la sola actividad económica, realiza la empresa estatal, sin la cual, el Estado como figura principal de la actividad económica cubana, no podría controlar los problemas que surgen en un universo tan complejo como el informático.

Las violaciones son diversas y variadas, y dentro de ellos están, los casos en los que se encuentran involucradas las nuevas tecnologías de la información y las comunicaciones. Al igual que muchos otros contravenciones surgen y se desarrollan en el colectivo laboral e intervienen trabajadores, funcionarios y dirigentes por lo que es imposible llegar a esclarecerlos si no se toman y garantizan las acciones de seguridad, suficientes para impedirlo.

La Resolución 297 del Ministerio de Finanzas y Precios emitida el 23 de Septiembre del 2003 pone en vigor nuevos criterios para la elaboración de un Sistema de Control Interno adaptado a las condiciones específicas de cada entidad.

Los manuales que conforman el Sistema de Control Interno dependen de las actividades y funciones que realiza cada entidad para el cumplimiento de su objeto social.

Para organizarlos y administrarlos, se precisa diseñar el funcionamiento de cada una de las operaciones y actividades que se realizan en las llamadas áreas de resultados claves. Se requiere para ello, tener en cuenta todos aquellos elementos que posibilitan que las operaciones, transacciones y actividades se ejecuten de manera homogénea por las unidades organizativas de la entidad y que cada dirigente, funcionario y trabajador conozca no sólo las especificaciones organizativas y técnicas de su trabajo, sino también el alcance de sus funciones y responsabilidades.

Los Manuales de Procedimientos constituyen la herramienta para lograr documentar el funcionamiento integral de una entidad. Además contribuyen al logro de la independencia de los trabajadores en el desempeño de sus funciones, al disponer de todas las instrucciones necesarias para realizar su trabajo desde todos los puntos de vista.

Uno de estos manuales lo es sin dudas el Marco Regulatorio para el uso de las TICs de cada empresa, documento donde la institución debe regular todas y cada una de las acciones para el empleo, explotación y uso de las tecnologías de la información. Es una eficaz herramienta para el control y supervisión y facilita el accionar de la entidad en cualquiera de las esferas de la actividad empresarial.

Si nos detenemos en el cuarto componente de la Resolución 297/03 “Información y Comunicación”, y en tal sentido profundizamos en el tema de la informática y la seguridad debemos de forma sistemática::

1. Revisar si se encuentran debidamente documentados y autorizados por la autoridad competente, los sistemas de información, tanto manuales como informáticos, utilizados en la entidad.

2. Comprobar si está definida la responsabilidad en la revisión, aprobación y actualización de los sistemas informáticos utilizados por la organización.

3. Verificar si se le suministran a los directores, jefes de departamentos y especialistas a cada nivel la información necesaria para cumplir con sus responsabilidades, de acuerdo con lo establecido en materia de seguridad informática.

4. Evaluar la utilización del presupuesto aprobado para adquirir, mejorar o desarrollar nuevos sistemas de informatización.

El proceso de implementación de la Resolución 297/03, ha sido uno de los objetivos estatales más abordados y encomendados a las autoridades empresariales de la sociedad cubana, proyectándose acciones de carácter nacional y la instrumentación de regulaciones normativas, la Resolución 26 del Ministerio de Auditoría y Control de 25 de enero de 2006 y la Resolución 127 de 2007 del Ministerio de la Informática y las Comunicaciones.

La Resolución 26 del Ministerio de Auditoría y Control de 25 de enero de 2006 reafirma que debe ser la entidad con la formación y difusión de los valores éticos y morales entre sus trabajadores, funcionarios y dirigentes, la que pondrá fin a los problemas en la actividad de la Seguridad Informática.

El Acuerdo No. 3736 de 18 de julio del 2000, adoptado por el Comité Ejecutivo del Consejo de Ministros, aprueba el objetivo, funciones y atribuciones específicas del Ministerio de la Informática y las Comunicaciones, estableciendo en su apartado seis, que entre sus funciones específicas está la de establecer y controlar las normas y regulaciones relativas a la integridad y privacidad de la información; la seguridad e invulnerabilidad de las redes de infocomunicaciones; el diseño y documentación de los sistemas informáticos así como la inviolabilidad de la correspondencia postal y telegráfica.

El Acuerdo No. 6058 del Comité Ejecutivo del Consejo de Ministros, de fecha 9 de julio del 2007, aprobó los Lineamientos para el Perfeccionamiento de la Seguridad de las Tecnologías de la Información en el país, disponiendo que el Ministerio de la Informática y las Comunicaciones, implementara el Reglamento de Seguridad para las Tecnologías de la Información en correspondencia con las necesidades actuales en esta materia, para su posterior aplicación en todo el territorio nacional, así como las normas, regulaciones y procedimientos que se requirieran para el cumplimiento de esos lineamientos..

Considerando las vulnerabilidades y debilidades propias de los sistemas informáticos y las dificultades y limitaciones para detectar y neutralizar oportunamente las posibles acciones del enemigo en esta esfera, el Ministerio de la Informática y las Comunicaciones implementó la Resolución 127 de 2007, reglamento que establece los requerimientos de seguridad en el empleo de las tecnologías de la información a partir de criterios de racionalidad y utilidad, susceptibles de verificación cuyo fin es propender a la disminución de los riesgos en la seguridad informática.

Dicho Reglamento consta de 100 artículos y tiene por objeto establecer los requerimientos que rigen la seguridad de las tecnologías de la información y garantizar un respaldo legal que responda a las condiciones y necesidades del proceso de informatización del país su alcance abarca a todos los Órganos y Organismos de la Administración Central del Estado y sus dependencias; otras entidades estatales; empresas mixtas; sociedades y asociaciones económicas; entidades privadas radicadas en el país; organizaciones políticas, sociales y de masas y personas naturales que posean o utilicen, en interés propio o de un tercero, tecnologías de la información.

Define que cada entidad debe que redactar un Sistema de Seguridad Informática y a partir de este un Plan de Seguridad Informática.

Establece que el uso no autorizado de las tecnologías de información y sus servicios asociados constituye una violación de los derechos de la entidad por lo que es sancionable.

Precisa los derechos y deberes de los usuarios y de las administraciones y faculta al Ministerio de la Informática y las Comunicaciones con atribución estatal para la ejecución de inspecciones en materia de Seguridad a las Tecnologías de la Información instituyendo que será ejecutada exclusivamente por los inspectores de ese Ministerio. No obstante aclara que los Jefes de Órganos, Organismos y Entidades facultarán a especialistas debidamente preparados para realizar controles en materia de Seguridad Informática en las entidades subordinadas.

Precisa en sus artículos finales que toda persona natural o jurídica que incumpla lo dispuesto en la Resolución y en el resto de las disposiciones legales vigentes en la materia, estará sujeta a la aplicación de las siguientes medidas:

a) Invalidación temporal o definitiva de las autorizaciones administrativamente concedidas por el Ministerio de la Informática y las Comunicaciones al infractor, entre ellas, cancelación de licencias, permisos, autorizaciones, desconexión parcial o total de las redes privadas de datos y otras;

b) Suspensión y/o cancelación, temporal o definitiva, de los servicios de informática y comunicaciones que hayan suscrito con empresas debidamente reconocidas y autorizadas por el Estado cubano;

d) Ocupación cautelar de los medios, instrumentos, equipamientos y otros utilizados para cometer la infracción, con la finalidad de disponer posteriormente el decomiso de los mismos, según proceda.

e) La aplicación de las medidas que correspondan, de conformidad con lo legalmente establecido.

Especificando que toda persona natural o jurídica sujeta a la aplicación de las anteriores medidas puede apelar ante el Ministro del Ministerio de la Informática y las Comunicaciones.

Concluye con un amplio glosario de términos y definiciones

La Oficina de Seguridad para las Redes Informáticas (OSRI) es una entidad nacional adscripta al Ministerio de la Informática y las Comunicaciones, que tiene por objeto social llevar a cabo la prevención, evaluación, aviso, investigación y respuesta a las acciones, tanto internas como externas, que afecten el normal funcionamiento de las Tecnologías de la Información del país, trabaja por fortalecer la seguridad durante el empleo de las Tecnologías de la Información. Su propósito consiste en implementar un sistema que contribuya al ordenamiento de las actividades asociadas con las redes informáticas y de comunicaciones, mediante el establecimiento de un esquema que garantice niveles aceptables de seguridad.

De lo hasta aquí expuesto, se demuestra que no existe en Cuba una norma que imponga medidas más allá de lo administrativo a las personas naturales y/o jurídicas que violen lo relativo a la materia que ahora nos ocupa. La Ley 62 de1998 o Código Penal modificado por el Decreto Ley 175/97 y la Ley 87/99 relaciona algunas conductas infractoras vinculadas a las TICs, aunque no existe un capítulo dedicado específicamente a esta figura delictiva.

Sin pretender cuestionar lo que hemos avanzado consideramos que falta aun mucho por hacer y en el actuar cotidiano nos formulamos las siguientes interrogantes,

¿estará preparada la administración y los especialista para regular las acciones que eliminan las violaciones o el desvió de los recursos del Estado provocados por mal uso de las TICs?

¿Estaremos en condiciones de que el colectivo laboral obstaculice y frene la acción ilegal, que relacionada con las tecnologías de la información, pudieran cometerse en su empresa?

¿Serán la ética, los valores y la conciencia lo que impida que personas inescrupulosas con cargos o sin ellos, pero con acceso a los medios computarizados los empleen, alteren y utilicen?

¿Estará preparando el Estado adecuadamente a sus cuadros para el enfrentamiento a este tipo de ilegalidades?

Consideramos que estas, deben ser profundamente analizadas.

Muchas administraciones hoy, no cuentan con personal calificado para dedicarse por completo a la seguridad informática y no resulta una tarea priorizada por muchos organismos a pesar de estar normado en la Resolución 127 de 2007 del MIC.

Es contraproducente que los Institutos Politécnicos de Informática no cuenten en su plan de estudio con la impartición de una asignatura relacionada con la Seguridad Informática por lo que los egresados de esos centros de estudio carecen totalmente de formación docente sobre la temática. Hasta hace algunos años se impartía a los estudiantes de la disciplina de Licenciatura en Ciencias de la Computación la asignatura de Seguridad informática, hoy esa formación la recibe a través de la asignatura Administración de redes y seguridad informática cuya duración abarca sólo un semestre. Esos son en nuestra sociedad, los profesionales destinados a mantener la vitalidad y la seguridad de los sistemas y egresan de los centros docentes carentes y en muchos casos desprovistos de los conocimientos elementales sobre la materia.

No está diseñado nacionalmente un plan de capacitación sobre Seguridad Informática y pocas entidades lo conciben dentro del diagnostico de necesidades y aprendizaje y por ende dentro de los planes de capacitación de sus trabajadores.

A eso súmesele que son pocas las entidades en cuyo objeto social esté dar capacitación sobre temas relacionados con la Seguridad Informática, entonces podemos asegurar que no se explotan o en última instancia no existen, suficientes mecanismos para preparar a las administraciones a fin de que, conocedoras de todas las características e implicaciones provocadas por mal uso de las TICs, puedan regular acciones que tiendan a eliminar las violaciones o el desvió de los recursos del Estado por una inadecuada seguridad informática o, en ultima instancia, por la carencia de ella.

Cada entidad tiene la responsabilidad de mantener actualizados los documentos de la Seguridad Informática entre ellos los expedientes técnicos, las actas de usuarios, las actas de responsabilidad material sobre las PC y los listado de las TICs, estas son algunas de las tantas responsabilidades que tiene la administraciones según la Resolución 127 de 2007 del MIC.

Sin embargo conocemos que hay poca o casi ninguna difusión sobre herramientas para el autocontrol de las TICs, comprobamos que pocos conocen que Cuba tiene habilitado un sitio en Internet ( wwwcucert.cu) donde se puede acceder a la utilización de “Diógenes”, que ilustra sobre cómo actuar ante riesgos informáticos, permite la verificación del estado de conformidad entre la legislación y los controles, brinda propuestas de solución ante las deficiencias detectadas e información general sobre el tema.

Durante la realización del trabajo indagamos con algunas entidades sobre la inclusión de posibles hechos relacionados con el tema, en la matriz de riesgos o en sus planes de prevención y vimos con sorpresa que pocos lo consideraban, careciendo incluso de mecanismos para la gestión de la Seguridad Informática, y del Marco Regulatorio para el uso de las Tecnologías y Sistemas de Información.

Otro fenómeno al que nos enfrentamos constantemente es al inadecuado sentido de posesión y propiedad que los trabajadores tienen de las tecnologías de la información (y los servicios relacionados con estos), que el Estado pone en sus manos. Muchos lo consideran un bien propio y no un medio de trabajo para satisfacer la misión de la entidad donde laboran, por lo que se molestan y llegan a no entender cuando se les informa, por ejemplo, que está prohibido el reenvío de mensajes de alertas o advertencias de forma expansiva a través del correo electrónico; o que nadie está autorizado para enviar mensajes de correo electrónico no solicitados a múltiples usuarios de forma indiscriminada ya sean de carácter informativo, comercial, cultural o social; que está prohibido la suscripción a sitios de chistes, pornográficos o de cualquier otro tipo de desviación consumiendo recursos en los canales de transmisión y servidores de correo electrónico. No siempre se entiende que las cuentas de correo electrónico sean personales e intransferibles y que el acceso a Internet es sólo para uso estrictamente laboral.

Por esto consideramos que debe hacerse mayor hincapié en la adecuada utilización que el trabajador debe dar a los medios informáticos explicando incluso que no son limitaciones impuestas sólo por Cuba sino que todas las empresas del mundo, sea cual sea el país donde radican, se abrogan el derecho a determinar el uso que sus empleados dan a las tecnologías de la informática y las comunicaciones.

Los documentos relacionados con el tema invocan constantemente el rescate de la ética. Los valores se han definido como los motivos que se configuran en el proceso de socialización del hombre y al mismo tiempo, articulan su expresión en los distintos espacios de relación. Surgen como resultado de la comprensión. Hablar de formación ética significa abordar la educación moral de los individuos sobre la base de la interiorización de un determinado sistema de valores, a través de un proceso de construcción personal consciente, contextualizada y argumentada.

No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello es más educación que coerción, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

Sin duda alguna la sociedad cubana, ha centrado sus principales procesos de formación en los valores éticos y morales como elementos esenciales para perfeccionar la consciencia de nuestro pueblo, conoce por la propia práctica vivida que no se trata sólo de trabajar la consciencia de los individuos, se trata de confiar en el hombre nuevo nacido al calor de la Revolución, pero, entiéndase bien, sin dejar de normar, controlar y supervisar de una manera razonable, con objetividad, pero sobre todo con profesionalismo y con un probado estado de compromiso la responsabilidad que emana de cada ciudadano.

Resulta vital contar con sólidas herramientas de control desde la base, para evitar la proliferación de conductas inadecuadas, irresponsables o constitutivas de delitos o para impedir que algunos piensen que el desconocimiento de la ley los exime de responsabilidad.

No podemos esperar que entidades fiscalizadoras externas a nuestro contexto sean las únicas encargadas de verificar los Sistemas de Seguridad Informáticas, se trata de implicar en esta tarea a todo el colectivo de trabajadores, cuadros, dirigentes y funcionarios.

La diversificación del modus operandi utilizado por quienes infringen la ley nos obliga a que esas herramientas de control no sean estáticas, y puedan adecuarse en función de elementos tan importantes como el cambio de tecnología, el surgimiento de nuevas herramientas informáticas (software), la elevación del conocimiento de quienes operan esos medios etc.

Reiteramos que para Cuba quizá más que para cualquier otro país, la seguridad informática es un arma en defensa de la Revolución y no siempre vemos en la preparación permanente de nuestros cuadros y dirigentes las temáticas relacionas con la seguridad informática y el uso consiente y adecuado de las TICs.

Consideramos que falta aun mucho por hacer y que aun debemos continuar trabajando por involucrar a todos los organismos, organizaciones e instituciones en el estudio y la profundización de esta realidad sin olvidar que las deficiencias más comunes detectadas también en las inspecciones de Seguridad Informática en nuestro país son no concebir el cargo de responsable de Seguridad Informática, designar a un personal no calificado para el ejercicio de estas funciones, no contar con el Plan de Seguridad Informática actualizado, no realizar análisis de riesgos, no planificar inspecciones y/o auditorias internas, no realizar las salvas de la información, no tener antivirus instalados o que los existentes estén desactualizados.

Reiteramos que aunque la Resolución 127 precisa que sólo el Ministerio de la Informática y las Comunicaciones puede ejecutar inspecciones en materia de Seguridad a las Tecnologías de la Información seguidamente aclara que los Jefes de Órganos, Organismos y Entidades deben facultar a especialistas debidamente preparados para realizar controles en la materia.

2.5 Experiencia de la División Copextel Villa Clara

La División Copextel Villa Clara perteneciente a la Corporación Copextel, adscripta al Ministerio de la Informática y las Comunicaciones viene desde hace años trazando una sostenida política hacia el cumplimiento de lo establecido en materia de seguridad informática con la consiguiente repercusión en el Sistema de Control Interno acciones que hoy han redundado en los siguientes resultados:

1. La alta dirección es conocedora y está comprometida y concientizada con la SI.

2. Está incorporado en el Tablero de Comando Operativo como un objetivo el “Alcanzar un nivel creciente de innovaciones y una elevada calidad tecnológica” considerándose un indicador el “Contar con un sistema de seguridad informática certificado”.

3. Está declarado en el “Mapa de Procesos” (dentro de los Procesos de Apoyo) el Proceso “Servicios TICs”. Derivado de esto se incluye dentro del modelo Identificación y Estimación de Riesgos un grupo de estos, vinculados a la SI, estando incluido dentro del Plan de Prevención las medidas trazadas por la administración para eliminar, evitar o minimizar la ocurrencia de infracciones relacionadas con la temática.

4. El Consejo de Dirección y las organizaciones políticas discuten el tema de la SI sistemáticamente.

5. Existe un Especialista en Seguridad Informática y un Especialista para la Administración de Red.

6. Está aprobado y certificado por ACERPROT el Plan de SI.

7. Se trabaja según el Marco Regulatorio para el uso de las TICs aprobado por la Corporación Copextel.

8. Está aprobada la política para el uso de la red y el acceso a los servidores.

9. Se explota la instalación de un sistema corporativo de antivirus que se actualiza automáticamente.

10. El MIC, organismo rector de esta actividad suministra herramientas para la autoevaluación del estado de la SI.

11. Los miembros del Grupo Gestor en cada área actúan como supervisores de la SI en la base.

12. Está establecido un adecuado intercambio informativo sobre la SI a través de la Intranet.

13. Se han recibido durante el año 2009 dos controles, uno de la Dirección de Sistemas Informáticos de la Corporación y otro de la Lloyds Register con evaluaciones satisfactorias.

Pese a los avances logrados continuamos insatisfechos y trabajamos por mantenerlos y por superar dificultades relacionadas con:

1. Carencia de un Manual elaborado a partir del Plan de SI (este es documento “Limitado”) que describa las actividades relacionadas con la temática.
2. Insuficiente concientización de los mandos intermedios sobre la SI.
3. Insuficiente capacitación a los trabajadores y cuadros sobre la SI
4. Los análisis de la SI se ejecutan de forma manual por falta de herramientas informáticas.
5. Carencia de herramientas informáticas para detectar en la trazabilidad de las operaciones errores humanos que alteran los sistemas.

III. CONCLUSIONES

1. Dado el desarrollo científico – técnico y los avances alcanzados en la informatización, resulta indispensable la aplicación de las TICs y las regulaciones sobre la Seguridad Informática para la sociedad contemporánea actual.

2. Cuba en los últimos años ha reordenado a través del Ministerio de la Informática y las Comunicaciones el andamiaje legal para el control de la Seguridad Informática.

3. En Cuba la proyección de medidas que obstaculicen la acción violatoria de trabajadores, funcionarios y dirigentes en el uso de las computadoras y las tecnologías de la información es meramente administrativa, por lo que vincularlo al Control Interno es indispensable para el éxito de la gestión empresarial y su seguridad.

4. La División COPEXTEL Villa Clara gracias a la implementación de una política consciente sobre Seguridad Informática y su inclusión en el Control Interno, muestra logros sustanciales en el uso adecuado de las TICs.

5. A partir de los dinámicos cambios que se producen en esta temática, la Sociedad Cubana, el Ministerio de la Informática y las Comunicaciones, los OACE, y las Empresas, tienen que mantener una vigilancia estricta sobre los posibles hechos que afecten la Seguridad de las TICs.

IV. RECOMENDACIONES

1. Lograr que lo dispuesto en la Resolución 127/07 del Ministerio de la Informática y las Comunicaciones sea de estricto cumplimiento para la empresa cubana.

2. Incidir y exigir que las administraciones incluyan los temas de Seguridad Informáticas en los Sistemas de Control Interno.

3. Velar porque las administraciones mantengan una actualización sistemática y adecuada del soporte documental que conforma el Sistema de Control Interno.

4. Incluir en el Plan de Estudio de los Institutos Politécnicos Informática y en las carreras universitarias afines la asignatura Seguridad Informática.

5. Continuar elevando el conocimiento que sobre la temática necesita la sociedad cubana actual.

V. REFERENCIAS BIBLIOGRAFICAS

Direcciones de Internet Revisadas
http://cache.fdo-may.ubiobio.cl/decom/doc/VIRUS2.htm
http://www.geocities.com/diana_m_alvarez/principal.htm
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
http://dmi.uib.es/~bbuades/auditoria/auditoria.PPT
http://www.delitosinformaticos.com/propiedadindustrial/auditoria.shtml
http://www.monografias.com/trabajos5/audi/audi.shtml
http://www.monografías.com/trabajos11/breverres/breverres.shtml
http://www.monografías.com/trabajos/seguinfo/seguinfo/shtml
http://www.geocities.com/Athens/Olympus/7428/virus1.html
http://ciberconta.unizar.es/LECCION/SEGURO/101.HTM
http://www.criptored.upm.es/guiateoria/gt_m142a.htm
http://www.google.com/search?hl=es&ie=UTF-8&oe=UTF-8&q=%22politicas+de+seguridad+informatica%22&btnG=B%C3%BAsqueda+en+Google&lr=lang_es
http://www.notariado.org/noticias/escriturapublica/16%20escriturapublica/la[arroba]2.htm
http://pp.terra.com.mx/ hugalde/virussoy.html
http://www.belt.es/articulos/articulo.asp?id=65
http://www.ctv.es/USERS/mpq/estrado/estrado004.html
http://web.bemarnet.es/seguridad.html
http://www.filetopia.org/es/politics.htm
http://www.ispjae.edu.cu/eventos/citel/articulos/seguridad.htm
http://216.239.53.100/search?q=cache:X69gAEDxg5QC:europa.eu.int/information_society/eeurope/news_library/pdf_files/netsec_es.pdf+%22seguridad+de+redes%22&hl=es&lr=lang_es&ie=UTF-8

LEGISLACION CONSULTADA

Ley 62 “Código Penal”
Ley 87/99
Decreto Ley 175/97
Resolución 297 del Ministerio de Finanzas y Precios emitida el 23 de Septiembre del 2003
Resolución 26 del Ministerio de Auditoría y Control de 25 de enero de 2006
Resolución 127 de 2007 del Ministerio de la Informática y las Comunicaciones.
Acuerdo No. 3736 de 18 de julio del 2000
Acuerdo No. 6058 del Comité Ejecutivo del Consejo de Ministros, de fecha 9 de julio del 2007.

LIBROS

Revista PC WORLD. Los Secretos del nuevo Office. Edición julio 2001 Panamá, año 8 número 101.
Revista PC WORLD. Proteja su PC, como evitar ataque de virus. Edición julio 2002. Panamá, año 10, número 112.
Auditoría de Seguridad de Sistemas de Información.

Nota: Es probable que en esta página web no aparezcan todos los elementos del presente documento.  Para tenerlo completo y en su formato original recomendamos descargarlo desde el menú en la parte superior

MsC. Antonio Rodríguez Pérez

Egresado de la Universidad Central de Las Villas, Cuba, en la Especialidad de Licenciatura en Derecho en el año 1986. Se ha desempeñado como Juez Profesional, Fiscal y finalmente como Asesor Jurídico de la Sociedad Mercantil de nacionalidad cubana COPEXTEL SA. Categorizado en el año 1987 como Profesor Adjunto del citado centro de estudios. Miembro de la Unión Nacional de Juristas de Cuba y habilitado además como Auditor Líder por las Normas ISO 9001. Autor de disímiles trabajo que se corresponden con cada una de las actividades que a lo largo de estos años ha desempeñado. Ostenta además la Categoría de Especialista de Posgrado en Asesoría Jurídica de Empresas.

Lic Olga Lidia León Burguera

Graduada de Licenciatura en Derecho en la Universidad de La Habana en el año 1983. Durante 20 años se desempeñó como Especialista de Seguridad Social en la Dirección Provincial de Trabajo de Villa Clara. Actualmente es Asesora de la División Villa Clara de la Corporación COPEXTEL SA. Imparte docencia en la Universidad Central de Las Villas como Profesora Instructora Adjunta. Miembro de la Unión Nacional de Juristas de Cuba. Autora de múltiples trabajos presentados en eventos internacionales y nacionales.

tonyrarrobavc.copextel.com.cu

Comentarios
comments powered by Disqus

Nuevas publicaciones

⇐ Hazte Fan en Facebook
⇐ Síguenos en Twitter
⇐ Agréganos en Google +
⇐ Suscríbete vía Email
"Si tú tienes una manzana y yo tengo una manzana e intercambiamos las manzanas, entonces tanto tú como yo seguiremos teniendo una manzana. Pero si tú tienes una idea y yo tengo una idea e intercambiamos ideas, entonces ambos tendremos dos ideas"
George Bernard Shaw
Comparte conocimiento
Contenidos publicados con licencia CC BY-NC-SA 3.0 a excepción de los casos en los que se indican derechos de autor específicos. Sugerimos contactar a los autores al usar material públicamente.