CiberConta: seguridad

Riesgos y seguridad
I Posibles riesgos
Posibles riesgos y medidas de seguridad

1) Análisis de riesgos

Las empresas que utilizan sistemas de información llegan a ser, casi inevitablemente, dependientes de ellos, lo cual es un arma de doble filo, pues se corre el riesgo de que un fallo provoque el caos.

Realizar un análisis de riesgos es el primer paso que debe darse para conseguir la seguridad adecuada. Permite detectar los puntos débiles sobre los que aplica o reforzar medidas de seguridad.

La siguiente tabla muestra una matriz de evaluación de riesgos y controles:

EJEMPLO de MATRIZ DE EVALUACION DE RIESGOS Y CONTROLES

RIESGOS PROBABILIDAD de OCURRENCIA AMENAZAS CONTROLES EXISTENTES EFECTIVIDAD RECOMENDACION

1

2

3

4

....

Alta

Baja

Media

Alta

INEXISTENTE

BAJO

MEDIO

ALTO

¿Cómo detectar las vulnerabilidades en una red de ordenadores?
Hay software que permite detectar los fallos de seguridad de una red de ordenadores. Por ejemplo Nessus (http://www.nessus.org) es un programa gratuito que tras ser instalado emite un informe con los puntos débiles de la red. En la imagen inferior vemos una pantalla típica con dicho informe.

Los informes que genera se pueden exportan en diversos formatos. Y en esta página vemos un ejemplo de estos informes en html (http://www.nessus.org/report/bonsai_fr_nessus_org/index.html) [local]

Auditoría para las redes de ordenadores. Los 10 fallos de seguridad más frecuentes.
En este caso pueden ser útiles programas como SARA -Security Auditor's Research Assistant- (http://www-arc.com/sara), gratis. O también SAINT™ -The Security Administrator's Integrated Network Tool- (http://www.wwdsi.com/saint), indispensable para chequear vulnerabilidades de los sistemas. También hay una versión que funciona sobre Internet llamada WebSaint (http://www.saintcorporation.com/websaint). Estos programas pueden considerase versiones mejoradas del pionero SATAN (http://www.fish.com/satan) gratis.

Una de las secciones más interesantes que podemos encontrar en la página web de SAINT es la sección titulada "How To Eliminate The Ten Most Critical Internet Security Threats. The Experts’ Consensus"
(http://www.sans.org/topten.htm). Normalmente son vulnerabilidades referidas a problemas que surgen por la mala configuración de los sistemas, errores en el software, etc.

Diagnósticos rápidos para nuestro PC
En la página de Microsoft (http://www.microsoft.com/technet/security/tools/Tools/mbsahome.asp) también chequean gratis nuestro sistema Windows Xp o Windows 2000 identificando vulnerabilidades.

Una forma rápida de iniciar una pequeña auditoría de nuestro propio ordenador es utilizar programas como Fresh Diagnose (http://www.freshdevices.com/freshdiag.html), gratis, Dr. Hardware, y otros. Estas herramientas permiten analizar diferentes puntos del sistema, y poner a prueba la capacidad del mismo en aspectos tales como velocidad y potencia del procesador, memoria, multimedia, etc. Pueden ser una herramienta muy valiosa para ayudar a diagnosticar, informar, e incluso solucionar problemas técnicos.

2) Principales riesgos

Los principales riesgos a los que se enfrenta un sistema, sus posibles consecuencias y medidas de seguridad son:

Errores humanos
Fallos de los equipos
Robo de la información o equipos
Virus
Sabotaje
Fraude
Desastres naturales

3) Medidas de seguridad

a) Medidas de seguridad activa

Son aquellas cuyo objetivo es anular o reducir los riesgos existentes o sus consecuencias para el sistema.

b) Medidas de seguridad pasiva

Están destinadas a estar preparado si llega a producirse el desastre.

Como en los coches
En un símil automovilístico, que el coche disponga de unos buenos frenos, -por ejemplo, con ABS- es una medida de seguridad activa. Pero si ocurre un accidente, llevar puesto el cinturón de seguridad o airbag es una medida de seguridad pasiva.

Es necesario reflexionar sobre las medidas más adecuadas ante cada problema. Por ejemplo, en las aulas de informática de la facultad, donde son muy frecuentes los virus, los errores intencionados o no de los usuarios, los sabotajes... las medidas de seguridad activa no han dado muy buenos resultados, siendo frecuente encontrar ordenadores desconfigurados. Sin embargo ha resultado muy útil la utilización de unos programas que permiten clonar los ordenadores, de forma que en 5 minutos se instala todo el software y está operativo. Ya que no se puede evitar el desastre, la utilización de esta medida de seguridad pasiva ha sido una bendición.

Citar como: Serrano Cinca C. (2003): "Riesgos y seguridad en los sistemas de información", [en línea] 5campus.org, Sistemas Informativos Contables <http://www.5campus.org/leccion/buscar> [y añadir fecha consulta]	[Índice]