CIENTEC - Respuestas Rápidas, Soluciones Permanentes




	Claves y Componentes de la Inteligencia de Negocios

	EDA: Una Nueva Generación de Aplicaciones

	UWB: La Nueva Ultra Banda Ancha

	CMMI: Mejorando Procesos en Forma Integrada


	MIME: Haciendo del E-Mail Una Herramienta Universal


	XML:El estándar de los negocios electrónicos

	P3P: Tras la privacidad en la red

	UML: Un Lenguaje Modelo


	ANÁLISIS MIMO: Wireless Más Inteligente

	ANÁLISIS SOA: Creando empresas flexibles

	ANÁLISIS El poder de ajax

	ANÁLISIS MPLS: La Nueva Generación de Redes Privadas Virtuales


Ver Todas

ANÁLISIS
PLANES DE CONTINGENCIA:
SIEMPRE LISTOS PARA TODO

Ver Análisis Resumido

Aunque la tecnología es imperfecta como sus creadores -los humanos- y tampoco puede luchar por sí sola contra hechos fortuitos, una buena medida para asegurar el funcionamiento de los sistemas que almacenan la invaluable información de los negocios, empresas, gobiernos y de casi la totalidad de las actividades diarias es crear planes de contingencia

Es definitivo, ante un accidente no hay nada que hacer. El destino no se puede revertir, pero esperar los hechos fortuitos con una preparación adecuada es la mejor forma para evitar los perjuicios que llegan después de éstos. En informática los accidentes e incidentes que afectan a la seguridad de los sistemas son sin lugar a dudas generadores de enormes pérdidas para las empresas.

De hecho, según un estudio de McGladrey y Pullen -Administración de Riesgos y Catástrofes en Sistemas de Información- uno de cada 500 centros de datos sufre un siniestro grave cada año. Asimismo, señala que las empresas cuya estructura informática está inactiva por más de 10 días nunca se recuperarán completamente desde el punto de vista financiero. Otra opinión más apocalíptica (Gartner Group) estima que el 50% de las empresas siniestradas cerrarán en el plazo de cinco años. En la misma línea, los expertos afirman que por cada hora que la información no está disponible, la empresa pierde ingresos y beneficios, productividad en sus empleados y la ventaja competitiva de estar siempre disponibles para sus clientes. Todo resumido en el muchas veces irreparable daño de su reputación.

Si bien existe una creciente preocupación por los temas de seguridad entre los ejecutivos de empresas latinoamericanas, según estudios realizados por la consultora Kaagan Research, sólo se le asigna un porcentaje menor del presupuesto de las TI a estas áreas. Cerca de un 47% de los entrevistados del estudio señaló que menos del 10% de los recursos de TI son asignados a seguridad, mientras que un 28% dijo que destina entre un 11 y 20%. Sólo un 25% está invirtiendo más del 20% de su presupuesto en seguridad.

Pero la preocupación no solo puede quedar en eso. La orientación adecuada es crear planes de contingencia y políticas de seguridad para dar tranquilidad a los clientes, los usuarios y por supuesto a los números de las empresas. Pero ¿qué es exactamente y qué debe considerar un plan de contingencia?

Un Plan de Contingencia define los procedimientos de resolución y procesos alternativos a seguir en una organización cuando ocurre una interrupción en los procesos de negocio habituales causados por un desastre o incidente de fuerza mayor.

Planes de Contingencia: Pasos Fuertes y Definidos

Los primeros pasos a seguir en un plan de contingencia son detectar cuáles son los mayores peligros en la infraestructura informática. Para esto, generalmente se evalúan dos puntos: Seguridad Física y Lógica.

La primera se refiere al acceso físico a uno de los bienes más preciados por una empresa, la información, y a los problemas físicos que esta pueda tener, como fallas en equipos. Por su parte, la segunda es la que se relaciona al acceso lógico, es decir, la irrupción de hackers y sus problemas, como la pérdida de datos, corrupción de los mismos, etc.

Así, según lo recomiendan los expertos, un plan de contingencia debería incluir:

1.- Introducción:

·  Puntos críticos en los sistemas de información empresariales.
·  Prevención de incidentes.
·  Reacción ante incidentes.

2.- Seguridad física

·  Adecuación de las instalaciones:
    - Medidas referentes a las infraestructuras.
    - Medidas referentes al acceso físico a datos.

·  Adecuación de los equipos:
    - Redundancia de elementos físicos.
    - Elementos físicos de protección.

3.- Seguridad lógica

·  Plan de copias de seguridad

·  Políticas de seguridad en los servidores:
-  Políticas de passwords.
-  Redundancia de servicios.
-  Descentralización de servicios.

·  Seguridad en la intranet:

-  Uso de comunicaciones cifradas dentro de la empresa.
-  Gestión de las direcciones de red.
    - Seguimiento de anómalos en la red.
    - Herramientas de auditoría de red.
    - Compartición de archivos en la empresa.
    - Seguridad.
    - Herramientas de auditoría en servidores.

Lo Terrenal que Asecha: Seguridad Física

Puertas mal cerradas, recalentamiento de los sistemas por mala ventilación, alzas de voltaje inesperadas. Incendios, terremotos o inundaciones. Todo lo que se puede relacionar a "lo terrenal", a diferencia de lo virtual, cabe en la seguridad física.

Para desechar peligros por estas faltas o accidentes, las medidas de seguridad física se dividen en dos categorías, las que luchan contra factores ambientales como el fuego y la humedad, las clásicas y tan nacionales inundaciones, el calor o el frío y los fallos en el suministro de energía. El segundo grupo de medidas se levanta para prevenir interferencias humanas, tanto deliberadas como accidentales.

Las medidas de seguridad que se pueden adoptar contra factores ambientales dependerán de las modalidades de tecnología considerada y de dónde serán utilizadas.

1. La energía

Una primera medida es la seguridad de la fuente de energía. Incluso en países con redes de suministros bien establecidas, la energía puede ser cortada sin previo aviso, como ocurrió hace unos meses en gran parte de Chile por un pequeño, pero grave error humano.

Una fuente común de respaldo de energía son las conocidas UPS o Suministro de Energía Ininterrumpible. Las UPS se conectan entre la principal fuente de energía y los sistemas tecnológicos. Un data center que pretende entregar un buen servicio a sus clientes, suele tener decenas o centenas de éstas, dependiendo de su capacidad, pero su presencia es siempre imprescindible. Así, si la principal fuente de suministro de energía falla, la batería incluida en el UPS entra en operación inmediatamente, entregando el suministro necesario.

Algunos sistemas UPS son tan poderosos que permiten mantener el sistema en operación por un periodo prolongado y los usuarios ni siquiera se percatan que la principal fuente de suministro ha fallado. Estos sistemas son, sin embargo, muy costosos, ya que requieren de potentes baterías para operar. Otro tipo de UPS más asequible no puede servir como sistemas de reemplazo durante mucho tiempo. Estas tienen la propiedad de activar una batería de respaldo temporal y emiten una señal de alarma a los administradores y usuarios del sistema, para que los usuarios cierren sus sistemas de manera ordenada.

Los UPS además sirven para regular variaciones o sobrecargas en el suministro de energía, interceptando una sobrecarga y evitando que llegue a un equipo sensible como un servidor, por ejemplo. Un nivel más avanzado para asegurar un suministro de energía confiable y constante es a través del uso de generadores.

2. Resguardo de los sistemas

Viviendo en un país donde es común que los inviernos traigan, además del frío, las temidas inundaciones, el resguardo de los sistemas es fundamental. Quienes tienen buena memoria, podrán recordar como décadas atrás los sistemas de la desaparecida Ecom -empresa estatal encargada de los sistemas informáticos del Gobierno- se inundaron frente a los ojos de sus encargados que nada podían hacer.

Lo ideal y recomendado es que los equipos sean almacenados en edificios sellados con control de clima, para que la temperatura y la humedad se mantengan a un nivel óptimo constante, eliminando también contaminantes como la suciedad, el polvo y el humo. En climas más difíciles y cambiantes, una solución es concentrar los equipos en edificios o salas especialmente habilitados, donde opere un sistema especial de aire acondicionado controlado por especialistas.

Asimismo, los equipos de redes de comunicación son otro tipo de tecnología que necesitan seguridad física especial. En particular, los cables de conexión requieren gran seguridad. Por ejemplo, una forma de protegerlos es tenderlos dentro de ductos, tras las paredes, bajo piso o sobre el techo.

Las medidas antes mencionadas también pueden ser utilizadas para prevenir ingerencias humanas deliberadas o accidentales. El aislamiento físico dentro de sitios seguros bajo llave sin duda es clave para reducir la posibilidad de intervención humana, ya sea desde las más simples y clásicas chapas de seguridad, pasando por sistemas de cierre con códigos de acceso, tarjetas con bandas magnéticas, hasta los más modernos que funcionan bajo parámetros de biometría (reconocimiento de rasgos físicos como las huellas dactilares o la retina).

Los sistemas más modernos tienen la capacidad de monitorear a individuos que han ingresado a un recinto. A estas formas de filtro de quienes circulan por un centro de datos, se suma la vigilancia y los sistemas de alarmas.

Sin embargo, el nivel total de seguridad se agrega a través de dificultar o hacer imposible que una persona no autorizada entre y modifique los datos de un sistema por medio de contraseñas y encriptación.

Seguridad Lógica: El Asecho virtual

Tras haber levantado una primera barrera física, la seguridad de los sistemas se enfrentan a un enemigo tal vez mucho más escurridizo y difícil de controlar: el peligro del acceso a la información. Dicho de forma más simple: hackers, crackers y piratas en general, los que pueden estar a miles de kilómetros de los equipos que contienen la información o a sólo pasos, como cuando se trata de un empleado o ejecutivo descontento. Las medidas para mantenerlos lejos son variadas, pero se resumen en un corolario que ya debiera ser común para todas las empresas, la creación de una política de seguridad.

1. Contraseñas: Ábrete sésamo

En diferentes niveles de entrada a un sistema o red, las contraseñas siguen siendo uno de los pasos más populares de un sistema de seguridad lógica. Sin embargo, un password u/o contraseña en el equipo de escritorio, la red y los programas no son bajo ningún motivo inviolables. Para esto, hay algunas reglas básicas que deben observarse a fin de asegurar que personas no autorizadas puedan descubrirlas. Aunque algunas pueden parecer muy obvias, nunca está de más repetirlas:

* Evitar escribirlas y dejarles en algún lugar donde puedan encontrarse (sí se tienen que escribir, ponerlas en un lugar seguro).

* Cambiarlas regularmente.

* Evitar claves obvias, como el nombre de usuario, de su organización, un familiar o una persona famosa, que puedan ser fáciles de adivinar.

* Los más seguros contienen una mezcla de letras y nombres y, si el sistema lo permite, una mezcla de letras mayúsculas y minúsculas, ya que son más difíciles de rastrear.

* No compartirlas con compañeros de trabajo, familiares o amigos.

* Limitar el número de veces durante una sesión en que una persona trata de ingresar una contraseña y falla.

* Cuando un empleado al que se le ha asignado una contraseña renuncia o se traslada a otro trabajo, dar de baja su contraseña lo antes posible.

* Dar a los administradores del sistema la capacidad de reinstalar las contraseñas de los usuarios que las han olvidado.

2. Sitios de almacenamiento de información

Limitar los lugares de almacenamiento de la información es otra forma de evitar el acceso no autorizado. Esto sin dejar de lado la creación de sitios de contingencia que repliquen la información. De las innumerables consecuencias políticas, humanas o económicas del atentado que destruyó el World Trade Center (WTC) se derivaron los más variados análisis y rediseños de políticas de seguridad de todo tipo. Uno de estos, es la forma de resguardar la información de las compañías para evitar su pérdida.

El mejor ejemplo lo representa la gigante financiera Morgan Stanley, la que aún contando con oficinas en pleno corazón de Wall Street, pudo entrar en operaciones al día siguiente del atentado gracias a un sistema de backup que le permitió generar instantáneamente copias de sus datos esenciales en una segunda locación, a kilómetros del lugar del hecho.

En el caso de los sistemas en red es recomendable mantener toda la información, especialmente la sensible, en servidores centralizados y no en el disco duro de los computadores personales. Esta práctica significa que cualquier intruso que trate de acceder a la información tiene que superar dos niveles de seguridad: el del computador local y el del servidor de la red. Normalmente es más difícil tener acceso a la información de un servidor que al de un computador personal.

3. Firewalls

Los firewall son barreras tecnológicas instaladas en las redes para controlar el acceso, restringiendo el acceso de personas no autorizadas a programas e información asegurada y su utilización es muy importante en un mapa de seguridad.

4. Registros auditables

Los registros auditables realizan un listado con las actividades de las personas que tienen acceso a información sensible. Los registros auditables pueden mostrar qué usuarios accedieron a qué tipo de información, qué cambios realizaron y cuándo. Bien utilizados pueden ser herramientas poderosas para verificar que no han ocurrido violaciones a la seguridad o identificar las que han ocurrido.

A todas estas medidas que componen un Plan de Contingencia, se debe sumar un punto clave: nunca sobrestimar el poder de la tecnología o subestimar el del ser humano. Tal como parece que la tecnología tiene desarrollos inimaginables y sin límites, es muy importante recordar siempre que ésta es creada por hombres y mujeres, que al final no son más que seres imperfectos.

Volver