La información es uno de los activos más importantes de las entidades, y de moso especial en algunos sectores de actividad.
Es indudable que cada dia las entidades dependen de mayor medida de la información y de la tecnologia, y que los sistemas de información están más soportadas por la tecnologia,frente a la realidad de hace pocas décadas.
Por otra parte, hace unos años la protección era más facil,con arquitecturas centralizadas y terminales no inteligentes , pero hoy en día los entornos son realmente complejos, con diverdidad de plataformas y proliferación de redes, no sólo internas sino también externas, incluso con enlaces internacionales.
Entre las plataformas físicas (hardware) pueden estar: ordenadores grandes y medios ordenadores departamentales y personales, solos o formando parte de red, e incluso ordenadores portátiles. Esta diversidad acerca la información a los usuarios, si bien hace mucho más dificil proteger los datos, especialmente porque los equipos tienen filosofias y sistemas operativos diferentes, incluso a veces siendo del mismo fabricante.
Al hablar de seguridad hemos preferido centrarnos en la información misma, aunque a menudo se hable de seguridad informatica, de seguridad de los sistemas de información o de seguridad de las tecnologias de la información.
En cualquier caso hay tres aspectos principales, como distintas vertientes de la seguridad.
La confidencialidad: se cumple cuando solo las personas autorizadas (en su sentido amplio podriamos referirnos también a sistemas)pueden conocer los datos o la información correspondiante.
Podemos preguntarnos ¿qué ocurriria si un soporte magnetico con los datos de nuestros empleados o clientes fuera cedido a terceros? ¿Cuál podria ser su uso final?¿habra una cadena de cesiones o ventas incontroladas de esos datos, que podría incluir datos como domicilios o perfil economico, o incluso datos médicos?¡y si alguien se hiciera con un disquete con lo que perciben los directivos de nuestra entidad?.
La integridad: consiste en que sólo las personas autorizadas puuedan variar (modificar o borrar) los datos. Además deben quedar pistas para control posterior y para auditoria.
Pensemos que alguien variara datos de forma que perdiéramos la información de determinadas deudas a cobrar (o que sin perderla tuvieramos que recurrir a la información en papel), o que modificara la última parte de los domicilios de algunos clientes.
Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarian viciadas (corruptas decimos a veces), lo que haria deficil la reconstrucción.
La disponibilidad: se cumple si las personas autorizadas pueden acceder a tiempo a la información.
El disponer de la información después del momento necesario puede equivaler a al no disponibilidad. Otro tema es disponer de la información a tiempo pero que esta no sea correcta, e incluso que no se sepa, lo que puede originar la toma de decisiones erróneas.
Otro caso grave es la no disponibilidad absoluta. Por haberse producido algún desastre. En este caso a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la no continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un 80% según estadísticas), ya que las incidencias son frecuentes, y tenemos cercano el caso de los daños en el área de Acapulco.
En relación con ello deben existir soluciones alternativas, basadas en medios propios o contratados, copias actualizadas de la información crítica y de programas en un lugar diferente, y un verdadero plan de continuidad que permitía restablecer las operaciones en un tiempo inferior o igual al prefijo.
Para ello los usuarios habrán determinado previamente la criticidad de las aplicaciones y el impacto en sus áreas por parte de un comité, se habrán determinado las prioridades.
En la preparación y actualización del plan debemos pensar en situaciones posibles y en el impacto que tendrían en nuestra entidad (en su caso en las de nuestros clientes), especialmente si no disponemos de la información necesaria almacenada en lugares alternativos.
La seguridad tiene varios estratos:
El marco jurídico adecuado.
Medidas técnico-administrativas, como la existencia de políticas y procedimientos, o la creación de funciones, como administración de la seguridad o auditoria de sistemas de información interna.
Ambas funciones han de ser independientes y nunca una misma persona podrá realizar las dos ni existir dependencia jerárquica de una función respecto a otra.
En cuanto a la administración de seguridad pueden existir, además, coordinadores en las diferentes áreas funcionales y geográficas de cada entidad, especialmente si la dispersión a la complejidad organizativa o el volumen de la entidad así lo demandan
En el caso de multinacionales o grupos de empresas nacionales no esta de más que exista coordinación a niveles superiores.
En todo caso, debe existir una definición de funciones y separación de tareas; no tiene sentido que una misma persona autorice una transacción, la introduzca, y revise después los resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude o encubrir cualquier anomalía, por ello deben intervenir funciones personales diferentes y existir controles suficientes.
La seguridad física, como la ubicación de los centros de procesos, las protecciones físicas, el control físico de accesos, los vigilantes, las medidas contra el fuego y el agua, y otras similares.
La llamada seguridad lógica, como el control de accesos a la información exigiendo la identificación y autenticación del usuario, o el cifrado de soportes magnéticos intercambiados transmitidos por línea. (Puede haber cifrado de la información por dispositivos físicos o a trabes de programas, y en casos más críticos como la red SWFT existen los dos niveles).
La autenticación suele ser mediante contraseña, si bien seria más lógico, aunque los castores resultan aun altos para la mayoría de sistemas, que pudieran con características biométricas del usuario, para impedir la suplantación. Entre estas pueden estar la realización de la firma con reconocimiento automático por ordenador, el análisisdel fondo de ojo, la huella u otras.
RIESGOS
Al margen de la seguridad, nos parece que el mayor riesgo, aun teniendo un entorno muy seguro, es que la informática, y la tecnologíade la información en general, no cubran las necesidades de la entidad: no estén alineadas con el plan de negocio.
Limitándonos a la seguridad propiamente dicha, los riesgos pueden ser múltiples: el primer paso es conocerlos, y el segundo es tomar decisiones al respecto; el conocerlos y no tomar decisiones no tiene sentido y debiera crearnos una situación de desasosiego.
Como las medidas tienen un coste, a veces los directivos se preguntan a los consultares, cuál es el riesgo máximo que podría soportar su entidad, si bien la respuesta no es fácil, porque dependen de la criticidad del sector y de la entidad misma, de su dependencia respecto a la información, y del impacto que su disponibilidad pudiera tener en la entidad.
Si nos basamos en el impacto nunca debería aceptarse un riesgo que pudiera llegar a poner en peligro la propia continuidad de la entidad, pero este listón es demasiado alto.
Por debajo de ello hay daños de menores consecuencias, siendo los errores y omisiones la causa más frecuente, normalmente de poco impacto pero frecuencia muy alta, y otras el acceso indebido a los datos (a veces a través de redes), la cesión no autorizada de soportes magnéticos con la información critica 8algunos dicen sensible), los daños por fuego, por agua (del exterior como puede ser una inundación, o una tubería interior), la variación no autorizada de programas, persiguiendo el propio beneficio o el causar un daño, a veces por venganza.
Otra figura es la del hacker, que intenta acceder a los sistemas más para demostrar (a veces sobre todo para demostrarse a si mismo) de que es capaz, así como que pueda superar las barreras de protección que hayan establecido.
Alguien podría preguntarse por que no se citan también los virus, cuando han tenido tanta incidencia; afortunadamente esta es menor ahora que hace unos años, si bien existe un riesgo constante porque de forma continua aparecen nuevas modalidades, que no son detectadas por los programas antivirushasta que las nuevas versiones los contemplan. Y un riesgo adicional es que los virus puedan llegar a afectar a los grandes sistemas, sobre todo a través de las redes, pero esto es realmente difícil no nos atrevemos a decir que imposible por las características y complejidad de los grandes equipos y las características de diseño de sus sistemas operativos.
En definitiva, las amenazas hachas realidad pueden llegar a impactar en los datos, en las personas, en los programas, en los equipos, en la red y alguna incidencia en varios de ellos, como puede ser un incendio.
Podríamos hacernos una pregunta ¿qué es lo más crítico a proteger?
La respuesta de la mayoría probablemente sería que las personas somos lo más crítico, y el valor de una vida humana no se puede compararon los ordenadores, las aplicaciones o los datos de cualquier entidad.
Ahora bien, por otra parte, podemos determinar que los datos son aún más críticos si nos centramos en la continuidad de la entidad.
Como consecuencia de cualquier incidencia se puede producir una pérdidas, que pueden ser no solo directas (y éstas es más fácil que puedan cubrirlas los seguros), sino también indirectas, como la no recuperación de deudas al perder los datos, o no poder tomar las decisiones adecuadas en el momento oportuno por carecer de información.
Sabemos que se producen casos en gran parte de entidades, pero en general no conocemos a cuales han afectado (o lo sabemos pero no podemos difundirlo), porque por imagen no se hacen públicos los casos, y el hecho de que conozcan muchos más referidos a Estados Unidosy otros puntos lejanos que respecto a nuestros países no significa que estemos a salvo, sino que nuestro pudor es mayor y los ocultamos siempre que podemos.
PROTECCIÓN DE ACTIVOS Y VITALES
Son activos vitales todos aquellos relacionados con la continuidad de la entidad, como pueden ser: planes estratégicos, fórmulas magistrales, diseño de prototipos, resguardos, contratos, pólizas... y datos estratégicos, que son los que más nos interesan bajo la perspectiva de la seguridad de la información.
Y debemos protegerlos pensando en los intereses de los accionistas, de los clientes y también pensando en los empleados y en los proveedores.
Cabe preguntarse el coste de la seguridad frente al coste de la no seguridad, si bien con antelación no es fácil saber qué alternativas es mejor, pero no se trata de buscar la mayor rentabilidadeconómica, porque hay razones de otra índole.
Y debemos pensar que se trata de INVERSIONESen seguridad, aunque en algunos casos se nos diría que no es fácil reflejar como activos contables y que cual es su rentabilidad, necesariamente hemos de estar de acuerdo, pero ¿cuál es la rentabilidad de blindar la puerta de acceso a nuestro domicilio, o nuestro coche? Esa rentabilidad la podemos determinar si los dispositivos o controles han servido para evitar la agresión, pero a veces habrá constituido una medida disuasoria y no llegaremos a enterarnos de su efecto positivo.
En toso caso la seguridad puede tener aun impacto favorable en el imagen de las entidades, aunque ello sólo no suela justificar sus costes, y tanto para clientes y posibles clientes como para los empleados. Unos y otros pueden sentirse más protegidos, así como considerar más protegidos sus activos.
Y la protección no ha de basarse sólo en dispositivos y medios físicos, sino en formación e información adecuada al personal, empezando por los directivos para que, en cascada, afecte a todos los niveles de la pirámide organizativa.
Además, la existencia de funciones específicas cuando el entorno lo justifica, contribuye a incrementar la seguridad. Entre ellas las ciradas de administración de la seguridad y auditoria de sistemas de información interna.
Porque deben existir los tres niveles de protección:
El CONTROL INTERNO, basado en los objetivos de control y llevado a cabo por los supervisores a distintos nivele.
La AUDITORIA DE SISTEMAS DE INFORMACIÓN INTERNA, objetiva e independiente y con una preparación adecuada, como control del control.
La AUDITORIA DE SISTEMAS DE INFORMACIÓN EXTERNA, contratada cuando se considera necesaria, y como un nivel de protección más. Igualmente objetiva e independiente.
Los informes de auditores, internos o externos, han de señalar las posibilidades deficiencias e indicar, en su caso, las recomendaciones correspondientes.
Cabe preguntarse qué hacer, qué pasos dar. No hay soluciones únicas, sino que dependen de la entidad y del momento, por lo que se indica pasos generales.
Debe partirse de una política corporativa sobre la seguridad.
El paso siguiente puede ser la designación de personas conciertes para funciones determinadas.
Y si no existe una idea calara de cuáles son los riesgos debe hacerse una evaluaciónde dichos riesgos, por personas objetivas e independientes y técnicamente preparadas, que pueden ser internas, externas, o formando un equipo mixto.
Una vez conocidos los riesgos han de tomarse decisiones, tendentes a eliminarlos, que siempre es posible, a reducirlos, a transferirlos (a una compañía de seguros por ejemplo), o bien aceptarlos, a un nivel suficiente alto y corporativo.
La contratación de seguros es necesaria si bien es evidente que, respecto a la información, pueden resarcirnos de la pérdida económica en el caso de incidencias pero si no disponemos de los datos no podremos procesar y, como se ha indicado, se puede poner en peligro incluso la continuidad de la entidad.
Después la entidad ha de crear un modelo de seguridad (o adoptar uno existente) así como definir una estrategiaa seguir, establecer un plan y aportar los medios necesarios, que además de presupuestad son el reconocimiento de la importancia de la seguridad, y que no quede como tareas de rellano para cubrir tiempos de ocio de los técnicos.
Uno de los primeros productosha de ser un conjunto de objetivos de control interno, que nos gusta definir como declaraciones sobre el resultado final deseado o del propósito a ser alcanzados mediante la implantación de procedimientos de control.
Para ello la entidad puede basarse en publicaciones como los control objetives, de la información systems audit and control association, que cuenta con varios capítulos en México, así como en otros países iberoamericanos y en España.
Podemos decir que un sistema de control interno puede constar de procesos, funciones, actividades, subsistemas y dispositivos, cuya finalidad (total o parcial) sea garantizar que se alcanzan los mencionados objetivos de control.
Finalmente se han de definir proyectos concretos, con actividades, responsables, resultados y costes.
Entre dichos proyectos pueden estar:
Creación de normas,
Separación de entornos: desarrollo de aplicaciones y su explotación,
Consideración del marco legal aplicable en cada país en qué afecta.
Determinación de los propietarios de la información, y clasificación de ésta. Al respecto podemos decir que los propietarios de la información son los clientes, proveedores, empleados pero debemos además definir, dentro de la entidad, quienes habrán de ser verdaderos administradores y en cierto modo dueños de los datos, al margen del consejo de Administración, debemos llegar a niveles operativos, como podría ser el Director de Recursos humanos para los datos de empleados, o el de Marketing o de productos para la información de determinados clientes/productos.
Y la clasificación de la información sirve para diferenciar los datos de libre acceso por todos los empleados, los restringidos a departamentos o niveles verticales, o lo que puede ser altamente confidenciales; cada entidad debe definir estos niveles, no más de cuatro a cinco. Y los paquetes de control de acceso pueden incorporar las clasificaciones para dejar acceder o no según los usuarios a qué datos y para qué (solo lectura, variación, ejecución de programas).
La información sobre salud de los empleados, por poner un ejemplo, sólo debe estar accesible al servicio médico.
Plan de continuidad: es la culminación de la seguridad, si bien puede suponer una gran complejidad y un coste elevado, pero es necesario que la entidad pueda asegurar la continuidad de sus operaciones, por medios propios o ajenos, si ocurre una incidencia importante.
Controles preventivos, como exigir una contraseña antes de permitir el acceso
Controles de detección, como lo que avisan de incendios en sus fases más tempranas, a veces sin verse el fuego aún.
Controles de corrección, como las copias de información para restaurar una situación.
Podemos decir que la seguridad de la información ha de ser una preocupación constante de las entidades, a un nivel suficiente alto, que no es exclusivamente un problema técnico y de técnicos, y que se trata de un camino para el que puede haber indicaciones, pero que será diferente según la entidad e el momento. Como decía el poeta Antonio Machado "se hace camino al andar"
PROGRAMACIÓN SOBRE LA SEGURIDAD DE ACCESS
Les ofrezco una visión global del mecanismo de seguridad de Access y la forma de administrar la misma con código VB. Aclaro que VB no proporciona ningún métodopara crear una BD del sistema de seguridad, pero si cuenta con la capacidad de administrar la seguridad que esta provee.
SEGURIDAD DE ACCESS
Las versiones recientes de Microsoft Access ofrecen dos métodos para proteger una base de datos: contraseña para abrir un archivode base de datos o mediante seguridad a nivel de usuario o de cuentas. Además de estos métodos, puede eliminar código modificable de VB de la base de datos y así proteger el diseño de formularios, informes y módulos de la base de datos de posibles modificaciones guardándolo como un archivo MDE. Estos últimos tópicos no serán tratados en este documento.
CONTRASEÑA DE ARCHIVO MDB
Brevemente me refiero a esta opción para centrarnos en el Sistema de Cuentas que es el propósito de este articulo. El método Contraseña de Archivo MDB es simple y consiste en habilitar una contraseña para abrir un archivo MDB especifico. El método es el adecuado para una base de datos que esté compartida entre un pequeño grupo de usuarios o sobre un sólo equipo. No es aplicable si quiere replicar la BD o pretende implantar un sistema de seguridad en red. Si desea abrir una BD con contraseña de archivo siga este código:
Dim wrkJet As Workspace
Dim dbsM97 As Database
Set wrkJet = CreateWorkspace("", "admin", "", dbUseJet)
Set dbsM97 = wrkJet.OpenDatabase("miBD.mdb", True, False, ";PWD=miContraseña")
Tenga en cuenta este código porque en ninguna parte de la ayuda en línea lo encuentra tan claro.
En caso de usar el DataControl, hacerlo de esta forma, (dato de Jose Ramon):
Data1.Connect = ";pwd=MiClave"
Para compactar una BD con contraseña pueden seguir este ejemplo particular (dato de Jose Ramon Laperal):
DBEngine.CompactDatabase "MiBase", "MiBaseCompacta", dbLangGeneral, _
dbVersion30, ";pwd=MiClave"
No hay comentarios:
Publicar un comentario