El Intercambio Elelctrónico
de Datos (EDI) Seguridad |
|
Hoy en día, la mayor parte de los datos de una empresa están almacenados en los equipos informáticos. Cualquier problema en los sistemas de información repercute instantáneamente en la totalidad de la empresa y afecta al funcionamiento normal. La utilización del EDI viene a aumentar la dependencia de la empresa respecto a la informática.
Disponer del nivel de servicio más apropiado para que los usuarios desempeñen adecuadamente sus responsabilidades.
Reducir al máximo los riesgos derivados de la falta de seguridad y del uso inadecuado o fraudulento de la información.
Que los mensajes lleguen a su destino |
|
|
|
|
|
La criptografía, cuyo nombre evoca las artimañas de los espías para cifrar mensajes, alcanza unos niveles de sofistificación extremos cuando se trata en un sistema informático. Para garantizar la confidencialidad de los mensajes se usan los llamados sistemas de clave simétrica o privada.
Para garantizar la autenticidad del envío se utilizan los sistemas asimétricos o de clave pública pudiendo utilizarse como firma digital.
También existen las Autoridades de Certificación que actúan como terceros para que las empresas estén seguras de la autenticidad de los mensajes recibidos.
Los mensajes se pueden precintar para asegurar que su contenido no se ha modificado, ni accidentalmente ni deliberadamente. Una solución pasa por enviar dos mensajes, uno contiene el documento EDI y otro incluye una serie de cálculos sobre los datos enviados en el anterior documento, de forma que si el mensaje EDI es modificado, aunque sea en una simple coma, se desprecinta y no cuadra con los cálculos que indica el segundo mensaje.
Las empresas que utilizan sistemas de información llegan a ser, casi inevitablemente, dependientes de ellos, lo cual es un arma de doble filo, pues se corre el riesgo de que un fallo provoque el caos. Por ejemplo, se debe prestar atención a las copias de seguridad. La expansión de la transmisión electrónica de información también ha facilitado que hayan surgido empresas que se encargan de hacer y mantener las copias de seguridad.
Otro aspecto que tiene que ver con la seguridad es la confidencialidad de la información: por todos son conocidos casos de empleados que malversan fondos de la propia empresa aprovechando debilidades en la seguridad del sistema informático. Hay que garantizar que los datos sean modificados o consultados sólo por aquellos usuarios autorizados.
Se trata de impedir que todos tengan acceso a los datos de sueldos del personal, o puedan introducir asientos contables, etc. Para ello se trazan mapas o perfiles de usuario, es decir, se trata de regular grupos de acciones autorizadas a cada colectivo de usuarios. También se definen palabras clave para acceder al sistema.
Otra norma básica es evitar que una sola persona tenga el control de todas las funciones EDI. Al fin y al cabo también en un sistema manual se suelen tomar garantías como que sean dos las personas que firmen los cheques.
Para verificar si se están aplicando las medidas de control más apropiadas para la salvaguarda e integridad de la información y de los sistemas en prevención de riesgos de fraude, pérdida, manipulación, fallos de servicio, etc., el papel de la auditoría informática es muy importante. La auditoría informática consiste en una revisión profunda y detallada de todos los elementos de que dispone una empresa en el área de sistemas de información.
Toda auditoría informática chequea una larga lista de puntos a tratar: a modo de ejemplo, uno de ellos es detectar la existencia de personas insustituibles, situación que se da con más frecuencia de la deseable.
Puede deberse tanto a la existencia de sistemas EDI sin documentación precisa que explique sus características técnicas como a la alta rotación del personal informático. Ambos factores provocan que a veces haya una sola persona que conozca el sistema EDI. Esta es una situación muy arriesgada que hay que evitar.
Para aprender más: La siguiente lección amplía información sobre "Riesgos y seguridad en los sistemas de información": (http://www.ciberconta.unizar.es/leccion/SEGURO) |