Cuadernos de la Facultad n.

5, 2010

La difcil tarea de la seguridad informtica. Anlisis de

un caso en una organizacin tpica saltea.
Fredi Aprile, Sergio Appendino, H. Beatriz P. de Gallo1
(faprile@copaipa.org.ar), (sappendino@copaipa.org.ar),
(bgallo@copaipa.org.ar)
Resumen
Las tareas relacionadas con la seguridad informtica en cualquier
empresa parecen no ser tan simples. La historia que se presenta a
continuacin, refleja casos reales de acontecimientos surgidos en este
mbito y regin, que genera una situacin problemtica, y de que
manera la podemos afrontar.
Palabras Claves: Seguridad - Seguridad informtica - Informacin Comit de seguridad.
1. La Historia.
La falta de
conciencia en la
seguridad de los
datos es un
problema presente
en cualquier
empresa o
institucin.

La
informacin
procesada,
almacenada y consultada por los
medios tecnolgicos actuales es un
recurso
ms
de
cualquier
organizacin. En este contexto, la
jefatura de una empresa ha confiado
en una persona, el Lic. Juan Seguro,
la responsabilidad de la seguridad
informtica. Antes de asumir esta
tarea, l haba
ingresado al

Fredi Rene Aprile es Licenciado en Anlisis de Sistemas. Analista Senior en el Poder Judicial de
Salta en las reas de seguridad informtica, auditorias e informtica forense. Es docente de la
UCASAL. En el mbito privado, se desempea como consultor informtico con especializacin en
la seguridad informtica.
Sergio Appendino es Ingeniero en Sistemas, CISA (Auditor Interno de Sistemas Certificado),
Docente de UCASAL y Perito Informtico en la Corte de Justicia Provincial y Federal de Salta.
H. Beatriz P. de Gallo, es Ingeniera en Computacin, Master en Administracin de Negocios,
docente e investigadora de la UCASAL. Es adems perito informtico de la Corte de Justicia de
Salta. En el mbito privado, se desempea en la organizacin y gestin de proyectos de
capacitacin in company.

107

Aprile, Appendino, Gallo: La Difcil Tarea de la Seguridad Informtica

organismo como analista y programador de sistemas, pero siempre se

haba manifestado interesado en la seguridad informtica por su tesis
de graduacin y algunos cursos e investigaciones que estaba
realizando.
Despus de dos aos de asumir la tarea, Juan se enfrent con un
serio problema: la seguridad de la informacin es un concepto nuevo en
la empresa y por lo tanto observa que existe una Falta de conciencia
generalizada sobre la seguridad de los datos por parte de todos los
usuarios.
2. La inversin.
La magnitud de los riesgos asociados en materia de seguridad
informtica involucra la inversin de nuevas tecnologas y de recursos
humanos. Cada pedido de presupuesto a los niveles superiores debe
argumentarse el doble que en las otras actividades.
Sin embargo la inversin se aprob
inmediatamente luego que la pgina
institucional fue hackeada, o aquella vez en
que un virus paraliz a toda la organizacin
bloqueando el acceso a los sistemas y al
uso de los servicios.
Juan deber esperar que suceda otro
incidente de seguridad para que se
aprueben nuevas inversiones?
3. Qu es lo que debemos proteger?
Existe abundante informacin en la empresa. Ante la consulta de
Juan de qu informacin debe proteger, la respuesta de todos los
gerentes es Todo se debe proteger. Juan pens en su momento que
sera lindo tambin que su casa estuviese protegida con policas de
seguridad en todas las puertas, alarmas, sistemas de vigilancia,
investigadores, etc. pero este costo es ms elevado que su propia casa.
Lo mismo sucede en cualquier organizacin, es imposible proteger
absolutamente todo o proteger informacin que por su caracterstica es
pblica. Por ello se debe definir cules son los activos a proteger, cmo
clasificar la informacin, qu dato es pblico, qu informacin es
privada o sensible, quienes deben/pueden acceder. Quin tiene la
responsabilidad de definir qu informacin es crtica y sensible y definir
sus accesos?. Quin es realmente el dueo de los datos?
108

Cuadernos de la Facultad n. 5, 2010

4. Uso de Internet.

Debe
permitirse el
uso del Chat y
del correo
electrnico
personal?

Se contrat para toda la organizacin el

servicio de Internet, pero por cuestiones de
seguridad se limit el acceso solo a pginas
autorizadas y libres de riesgos. A los dos das de
implementar esta poltica, sufri serios reclamos
de los gerentes en el sentido de que se estaba
limitando el uso a la informacin. Debera
permitir el uso libre de Internet?. Bajo qu
condiciones?

5. Software y licencia de uso.

Despus de realizar un anlisis de toda la red,
Juan detect numerosos programas instalados va
Internet, mails o medios removibles en la mayora de
los equipos. Por ello se encarg de desinstalar todo y
bloquear las futuras instalaciones por una cuestin de
seguridad, compatibilidad con los sistemas de la
organizacin y debido a que la mayora de esos
programas no contaban con las licencias legales de
uso. Al da siguiente fue acusado con todos los
trminos posibles que se pueda imaginar por parte de los empleados y
gerentes, ya que no podan escuchar msica, los protectores de
pantalla desaparecieron, no se poda instalar nada, no podan chatear
con otros empleados, etc. , etc. . Debera volver atrs con la
desinstalacin de los programas?. Cmo debe hacer frente a todas las
crticas?
6. Los dispositivos removibles
La creciente proliferacin de nuevos medios
tecnolgicos removibles
(pendrive, mp3, mp4,
memorias de cmaras digitales, etc.) conlleva el riesgo
de que cualquier empleado introduzca o extraiga
informacin o programas de/hacia las pcs. Esto tiene
un riego adicional si en dichos dispositivos se
109

Aprile, Appendino, Gallo: La Difcil Tarea de la Seguridad Informtica

encuentran virus informticos o cualquier programa no autorizado con

contenido malicioso que puede causar daos e incompatibilidad en los
equipos o los sistemas. Considerando esto, cada vez que bloque el
acceso a los dispositivos de almacenamiento, tuvo serias quejas de los
usuarios porque no podan intercambiar informacin con otras
personas. Debera permitir el uso de medios removibles?
7. Las claves de acceso.
Se habilit usuario y contraseas para todas las
personas para el acceso a los sistemas, pero algunas de
ellas estaban muy molestas ya que tenan una tarea ms de
recordar esos datos y en algunos casos todos se prestaban
o intercambiaban las contraseas. Cmo debera capacitar
a los empleados en este aspecto?. De quin es la responsabilidad de
la confidencialidad de las claves?
8. Conflicto de intereses.
Se han producido alteraciones del clima laboral con compaeros
de trabajo en cuanto a la operatividad de los sistemas. Cada vez que se
adiciona seguridad a las aplicaciones informticas, se agrega una tarea
ms a los usuarios y los programadores indican que disminuye la
perfomance de los sistemas. La seguridad y la operatividad de los
sistemas a veces no se complementan, entonces Quin debera definir
ese equilibrio?
Todas las polticas que trata de implementar Juan son
consensuadas por la jefatura de sistemas. An as, no son bien
recibidas por los altos niveles jerrquicos debido a que se imparten
desde un rea con menor jerarqua en la organizacin.
Por ejemplo: un gerente general coment que ningn empleado o
subjefe le puede decir a l de que manera debe navegar en Internet o
que programa debe instalar. Por otro lado, no es posible aplicar
sanciones por incumplimiento a empleados de otros sectores que no
sean del rea de sistemas.
Sirva esto como ejemplo, para mostrar que los recaudos tcnicos
que se puedan tomar, no son suficientes para proteger la informacin, y
se requiere de un marco normativo que contenga y establezca las
reglas de uso de la informacin mediante decisiones tomadas,
debatidas, consensuadas y aprobadas por los altos niveles jerrquicos

110

Cuadernos de la Facultad n. 5, 2010

de la organizacin. Qu organismo, rea, unidad organizativa se

debera crear? . Qu nivel de jerarqua debera tener?
9. Hasta aqu el problema
Cmo lo solucionamos? pues bsicamente con polticas de
seguridad que deben ser evaluadas y aprobadas en un organismo
interno (Comit de Seguridad), conformado por adecuados niveles de
decisin en la organizacin y que le otorgan al rea de seguridad el
presupuesto necesario para llevar a cabo la implantacin de las
polticas, controlar su seguimiento y evaluar acciones correctivas.
El Comit de Seguridad debera fijar en estas Polticas los objetivos que
tiendan a:
Concientizar sobre la seguridad de informacin. Esta concientizacin
debe incluir un plan de capacitacin extenso y profundo, acompaado
de una campaa de difusin sobre la
El Comit de
importancia de los sistemas informticos en
Seguridad no es
el negocio de la empresa
un equipo tcnico Generar una cultura informtica en todos los
informtico, debe
usuarios dirigida a identificar los activos
ser un grupo de
intangibles con el mismo valor que activos
decisin
tangibles.
interdisciplinario
Definir
responsabilidades de todos los
en el que tengan
usuarios pertenecientes a la organizacin.
competencia todas
Analizar, identificar y definir procedimientos y
las reas de la
controles en todos los niveles que involucren
empresa
riesgos a la seguridad de la informacin.
10. Conclusiones
No se agota el tema con estas consideraciones, por el contrario,
se abre un camino de anlisis y preguntas que cada empresa o
institucin deber andar por s misma.
Lo importante es comenzar a crear conciencia en los estamentos
de decisin, acerca de la necesidad de formalizar acciones de
contencin y gestin de la informacin, que hagan que las tecnologas
de la informacin y la comunicacin cumplan con el rol fundamental que
hoy tienen en la empresa: la alineacin con el negocio.

111

Aprile, Appendino, Gallo: La Difcil Tarea de la Seguridad Informtica

Bibliografa
Subsecretara de Tecnologas de Gestin, Secretara de la Gestin
Pblica, Ao 2005, Modelo de Poltica de Seguridad de la
Informacin para Organismos de la Administracin Pblica
Nacional. ONTI (Oficina Nacional de Tecnologas de la
Informacin).
International Organization for Standarization, Ao 2000, Norma 17799
Cdigo de prctica para la administracin de la seguridad de la
informacin.
International Organization for Standarization, Ao 2005, Norma 27001
Norma para la administracin de la seguridad de la informacin.
Consejo Profesional de Agrimensores, Ingenieros y Profesiones Afines
Universidad Catlica de Salta I-Sec Information Security
Education Center, Ao 2005, Apuntes Jornadas de
especializacin en seguridad de la informacion curso ISO
17799.
Maestra en Administracin de Negocios, ao 2006, Apuntes sobre
Direccin de Recursos Humanos Captulos I, II, III, IV, V, VI Prof. Edgardo Visuk.

112