0. Introducción

A medida que la tecnología ha ido evolucionando y con ella la envergadura de los sistemas de información de las empresas, la seguridad del entorno informático se ha convertido en una de las grandes preocupaciones de los profesionales de esta actividad. Sin embargo, con frecuencia, esta preocupación no ha sido comprendida ni mucho menos compartida por otros estamentos de la empresa, incluido el staff directivo. Este, aún hoy en día, contempla las inversiones en medidas de seguridad informática como un gasto innecesario y elevado, sin rentabilidad alguna.

En cierto modo tienen razón. Por un lado, no han sido concienciados de los riesgos inherentes al procesamiento de la información mediante el uso de ordenadores, a lo que han contribuido a veces los propios responsables del Departamento Informático, que no han sabido explicar con la suficiente claridad y con un lenguaje inteligible las potenciales consecuencias de una política de seguridad insuficiente o incluso inexistente.

Por otro lado, debido a una cierta 'deformación profesional' en la aplicación de los criterios de coste/beneficio, el directivo desconocedor de la informática no acostumbra a autorizar inversiones que no lleven implicito un beneficio demostrable, tangible y mensurable.

A pesar de ello, curiosamente, en otras actividades de la empresa cuya problemática concreta puede ser también desconocida por la Dirección no se produce este fenómeno. Ningún director cuestionará, por ejemplo, la conveniencia de tener aseguradas las maquinas utilizadas para el proceso productivo de su empresa. Sin embargo, los costes necesarios para salvaguardar y mantener los sistemas de información que soportan la gestión de su sociedad casi siempre son contemplados como un gasto inútil.

Es evidente que, en casi todos los casos, el fin de la empresa no es la informática, sino la producción de un determinado bien o servicio. No obstante, ello no debería ser obstáculo para contemplar los sistemas informáticos en su conjunto (hardware, software, etc.) como un elemento necesario para conseguir los objetivos de la empresa, al igual que las maquinas existentes en el taller de fabricación. Si al responsable de pro-ducción se le dan medios para cumplir con su trabajo, exigiéndole a cambio como resultado una cantidad de producto, con un nivel de calidad determinado y en un plazo especifico, ¿por qué no actuar igualmente con el responsable de informática?

Es obvio que no hay dos empresas ni dos sistemas informáticos iguales. Por este motivo, los aspectos de seguridad que se citan mas adelante deben contemplarse como un intento de establecer un 'denominador común' que pueda ser aplicable al mayor universo posible de empresas, y, en cada caso particular eberán adaptarse al contexto concreto. Si se desea realizar un estudio en profundidad, este debería ser llevado a cabo por especialistas, adecuando las medidas de seguridad a implantar al entorno en cuestión.

Este trabajo pretende exponer una serie de requerimientos mínimos en materia de Seguridad Informática que ayuden al directivo a comprender mejor la problemática implícita de los sistemas de información soportados por ordenador, obligándole, al mismo tiempo, a reflexionar y realizar un 'examen de conciencia' sobre la existencia en su empresa de las medidas de seguridad adecuadas, tanto en su número como en su rigor y nivel de aplicación.

La seguridad informática ha de ser abordada en conjunto, ya que es mas importante - y efectivo - tener un nivel homogéneo de seguridad que la implantación de medidas potentes pero inconexas. Sin embargo, para su mejor comprensión y clasificación, las acciones propuestas se han agrupado, diferenciándolas por áreas de tratamiento o afectación. 1. Organización

Este apartado contempla el establecimiento de políticas y objetivos de seguridad y el desarrollo de herramientas de gestión y coordinación de las medidas de seguridad necesarias.

1.1. Antecedentes Organizativos

Evidentemente, ante todo, debe existir en la empresa una política abierta y decidida en materia de seguridad, impulsada por la propia Dirección. Cualquier acción individual o incluso departamental que carezca no solo del beneplácito sino también del soporte y apoyo explícito de la Dirección estará condenada al fracaso.

Debemos recordar, una vez mas, que la seguridad debe contemplarse como un conjunto homogéneo y coordinado de medidas encaminadas a la protección de los activos de información. En consecuencia, construir murallas robustas cuando existen puertas de acceso fácilmente vulnerables no solo es ineficaz sino que hace inútiles las inversiones y esfuerzos realizados.

1.2. Estructura organizativa interna

La Organización debe estar diseñada de tal modo que facilite y favorezca la gestión de la seguridad informática. Y esto debe cumplirse tanto dentro del propio Departamento de Informática como en la ubicación de este en el organigrama de la empresa.

La composición del Departamento y la definición de funciones o descripción de puestos de trabajo debe ser tal que, además de establecer claramente los cometidos de sus integrantes, no provoque solapamientos ni deje responsabilidades por cubrir. En este sentido, es muy importante la asignación de funciones de seguridad. Debe procurarse una segregación adecuada, de mod que no existan, salvo casos de Departamentos de muy reducida plantilla, personas cuyas funciones les otorguen plenos poderes en todos los aspectos del ámbito informatico.

Por otro lado, sería deseable que el Departamento de Informática estuviera situado, dentro del organigrama de la empresa, al mismo nivel que otros Departamentos de la empresa, como pueden ser el Administrativo-Financiero, el Comercial, el de Personal o el de Producción. Históricamente, al ser la contabilidad una de las primeras actividades en informatizarse, es frecuente aun hoy en día ver que el Departamento de Informática depende del área de Administración. Esta dependencia jerárquica normalmente lleva a un nivel heterogéneo de informatización, ya que, lógicamente, las primeras peticiones atendidas son las del director del área de la que se depende.

Sin embargo, actualmente la tendencia es que el Departamento de Informática dependa de la Dirección General, pues de este modo se consigue que la informática sirva mejor a los intereses generales de la empresa. La fijación de prioridades se realiza de común acuerdo entre los distintos departamentos, con la supervisión y conformidad de la Dirección.

1.3. Política de personal

Al capitulo de personal no se le otorga, a menudo. la suficiente importancia. Por muchas medidas de seguridad que se implan-ten, la responsabilidad de su creación y la supervisión de su cumplimiento recae sobre las personas. Por tanto, siendo este el activo mas importante de la empresa, parece razonable que exista una política de personal adecuada, abarcando todos los aspectos (contratación, remuneración, información, motivación, incentivación, formación, reciclaje, etc.) que favorezca la obtención no sólo del máximo rendimiento de las personas sino también de su integración y realización dentro de la empresa. Es vital contar con personal sobre el que poder depositar la confianza. Por el contrario, el personal descontento representa una amenaza importante para la seguridad de la empresa. Debe hacerse pública la existencia de normas de seguridad y la posición de la empresa al respecto a fin de que sean conocidas y asumidas por el personal. Los trabajadores recién incorporados deben ser informados lo antes posible de la política de la empresa en materia de seguridad: no hay que olvidar que estos tomarán como referencia la actitud y comportamiento del personal con mayor antigüedad. Por este motivo, la formación e información en este sentido debe ser explícita y estar patente en todas las actividades diarias.

1.4. Auditoría y control

Aquellas empresas cuyo tamaño así lo justifique deberían tener definida la función de Auditoría Interna asumida por personal de la propia empresa, con la responsabilidad de efectuar periódicamente revisiones con el objetivo de comprobar el cumplimiento de la normativa interna, especialmente en materia de seguridad, y de participar en la definición de los nuevos sistemas de información que se desarrollen e implanten, para asegurar la incorporación de elementos que faciliten su auditabilidad y control. Dado que esta situación sólo se produce en empresas de ran envergadura, por un problema de economía de escala, en empresas medianas y pequeñas, en las que no pueda asumirse esta función con personal interno, sería deseable la contratación periódica de este tipo de revisiones a empresas especializadas, exigiendo de éstas no sólo la detección de problemas reales y riesgos potenciales sino también de un plan de acciones para prevenirlos, detectarlos y solucionarlos, dándole así un valor añadido y una rentabilidad al servicio obtenido, ya que, además de realizar la labor de auditoria y control, se contrastan opiniones y se adquieren nuevos conocimientos sobre el 'estado del arte' en cada materia.

1.5. Asuntos administrativos relacionados con la seguridad

La empresa debe disponer de servicios de mantenimiento, bien propios o contratados externamente, en función de sus características y posibilidades. Estos servicios deben abarcar tanto los equipos informáticos como los equipos auxiliares (electricidad, agua, aire acondicionado, etc.) siempre que de su buen estado dependa el funcionamiento de los sistemas informáticos.

Los equipos informáticos deben estar perfectamente identificados (marca, modelo, ubicación, fecha de adquisición, etc.) y cubiertos por las correspondientes pólizas de seguros. La Dirección de la empresa decidirá si la cobertura ha de limitarse simplemente a la indemnización por destrucción física y sustracción, o contemplará además compensaciones por la perdida de capacidad de procesamiento u otros aspectos.

Los elementos de seguridad física (localización de extintores manuales, salidas de emergencia si las hubiese, etc.) deben estar convenientemente señalizados. Análogamente, todo aviso o recomendación relativo a seguridad ha de ser claramente visible (indicadores de prohibición de fumar, planos o croquis del edificio indicando el camino a escaleras y salidas de emer-gencia, normas de actuación en caso de evacuación forzosa del edificio, etc.). Estas medidas deben adecuarse a cada situación particular, pero, en cualquier caso, su implantación es de muy reducido coste, tanto en dinero como en tiempo.

2. Entorno físico (equipos e instalaciones)

Las medidas de seguridad física, como en muchos otros aspectos, han de enmarcarse en el contexto concreto de cada empresa. No obstante, en cualquier caso, puede distinguirse entre las que afectan a la propia sala de ordenadores, a la situación de esta dentro del edificio y al entorno donde se encuentra el edificio.

2.1. Aspectos que afectan a la ubicación del ordenador principal (sala de ordenadores)

La sala dónde se ubicn los equipos principales de proceso de datos debe dotarse de medidas de seguridad acordes con las características del equipo a proteger, su valor y su criticidad. Obviamente, las condiciones físicas de una sala que contenga un 'mainframe' han de ser mucho más rigurosas que las de la sala donde se ubique un 'mini'. Sin embargo, hay que considerar que un miniordenador puede ser para una empresa tan crítico en comparación como un 'mainframe' para otra empresa, ya que, dependiendo del grado de dependencia que tengan de sus sistemas informatizados, la avería o destrucción del ordenador puede ocasionar grandes trastornos a la gestión de la misma, poniendo incluso en peligro su supervivencia.

En cualquier caso. debe procurarse que el ordenador se encuentre en un lugar lo mas aislado posible de las personas como de otros agentes externos. Lo ideal es disponer de una habitación o sala cerrada, de acceso restringido al menor numero posible de personas, con unas condiciones ambientales suficientemente buenas para garantizar su correcto funcionamiento. Las propias características del ordenador aconsejarán la implantación de medidas adicionales mas o menos sofisticadas.

El fuego es uno de los peligros mas importantes que acechan a las instalaciones informáticas. Conviene recordar que los circuitos eléctricos siempre representan un peligro potencial. Por otro lado, en los entornos informatizados hay una gran cantidad de elementos combustibles (papel, soportes magnéticos y otros consumibles). Por lo tanto, además de mantener estos elementos lo mas alejados posible del ordenador, es conveniente la existencia de sistemas de alarma y detección de incendios. Asimismo, debe disponerse, como mínimo, de extintores manuales, cuya situación ha de ser fácilmente visible o estar claramente señalizada. En grandes instalaciones es necesaria la existencia de equipos de aire acondicionado, para evitar el sobrecalentamiento de las maquinas debido a la gran cantidad de calor a disipar, y es asimismo recomendable la instalación de detectores de humedad, para evitar el riesgo de cortocircuito en caso de fuga en alguna conducción de agua.

Los equipos informáticos son muy sensibles a las oscilaciones de tensión en el suministro eléctrico. Por ello, hay que asegurar no sólo la calidad del suministro sino también la continuidad del mismo, mediante la adquisición de estabilizadores y sistemas de alimentación eléctrica ininterrumpida llamados SAI (o UPS, utilizando las siglas en ingles). Actualmente, existe en el mercado una gran variedad de dispositivos de este tipo, con distintas potencias y autonomía de funcionamiento, con los que puede protegerse desde un PC hasta una instalación de grandes ordenadores.

Por último, los soportes magnéticos (cintas, cartuchos, disque-tes, etc.), especialmente si contienen copias de seguridad de la información, deben guardarse en cajas fuertes o armarios ignífugos (resistentes al fuego), ubicados lejos de la sala del ordenador. Aspecto muy importante, pues si bien es necesario proteger físicamente los equipos informáticos, no lo es menos el salvaguardar las copias de la información, imprescindibles para garantizar la continuidad de proceso, en caso de perdida o corrupción de los datos contenidos en el ordenador.

2.2. Aspectos que afectan al edificio (estructurales)

Cuando la sala del ordenador se ubica en un sótano, deben tomarse especiales precauciones contra el peligro de inundaciones. Por este motivo, siempre que no estén dotadas de especiales medidas de seguridad, este tipo de ubicaciones no es recomendable. Ello no quiere decir que las salas situadas en una planta baja o por encimadel nivel del suelo estén exentas de riesgos. Los suelos sometidos a vibraciones o la proximidad de maquinaria pesada o de vías de comunicación (ferrocarriles, puentes, etc.) pueden ocasionar daños en los discos, por el peligro del 'aterrizaje' de los cabezales de lectura y grabación. Por otro lado, en grandes instalaciones, hay que considerar la resistencia del suelo, para evitar el riesgo de hundimientos de la estructura por sobrecarga.

2.3. Aspectos que afectan a la zona donde se ubica el edificio (entorno)

Los edificios donde se ubiquen equipos informáticos y que se encuentren próximos a ríos, rieras o lagos están expuestos a posibles inundaciones. Asimismo, la proximidad a aeropuertos y a vías férreas añade nuevos factores de riesgo por impacto o exceso de vibración. Por ultimo, debería evitarse la ubicación de centros de proceso de datos en edificios próximos a almacenes, talleres o lugares donde se acumulen productos inflamables o explosivos, como gasolineras, fabricas de productos químicos, etc,

3. Entorno Lógico (software y datos)

Este apartado aborda los aspectos asociados al componente lógico del sistema: programas y datos. Para ello, se distingue entre las medidas para restringir y controlar el acceso a dichos recursos, los procedimientos para asegurar la fiabilidad del software (tanto operativo como de gestión) y los criterios a considerar para garantizar la integridad de la información.

3.1. Control de acceso

Sistemas de identificación, asignación y cambio de derechos de acceso, control de accesos, restricción de terminales, desconexión de la sesión, limitación de reintentos, etc

3.2. Software de Base

Control de Cambios y versiones, control de uso de programas de utilidad, control de uso de recursos y medición de 'performance', ...

3.3. Software de Aplicación

En este apartado se trata todo lo concerniente al software de aplicación, es decir, todo lo relativo a los aplicativos de gestión, sean producto de desarrollo interno de la empresa o bien sean paquetes estándar adquiridos en el mercado.

3.3.1. Desarrollo de software

Metodología: existe, se aplica, es satisfactoria. Documentación: existe, esta actualizada, es accesible.

Estándares: se aplican, como y quien lo controla. Involucración del usuario.

Participación de personal externo.

Control de calidad, ...

Entornos real y de prueba.

Control de cambios.

3.3.2. Adquisición de software estándar

Metodología, pruebas, condiciones, garantías, ...

3.4. Datos

Los datos es decir, la información que se procesa y se obtiene son la parte mas importante de todo el sistema informático y su razón de ser. Un sistema informatico existe como tal desde el momento tn que es capaz de tratar y suministrar información. Sin ésta, se reduciría a un conjunto de elementos lógicos sin ninguna utilidad.

En la actualidad la inmensa mayoría de sistemas tienen la información organizada en sendas Bases de Datos. Los criterios que se citan a continuación hacen referencia a la seguridad de los Sistemas de Gestión de Bases de Datos (S.G.B.D.) que cumplan normas ANSI, si bien muchos de ellos pueden ser aplicables a los ficheros de datos convencionales.

3.4.1. Diseño de Bases de Datos

Es importante la utilización de metodologías de diseño de datos. El equipo de analistas y diseñadores deben hacer uso de una misma metodología de diseño, la cual debe estar en concordancia con la arquitectura de la Base de Datos elegida jerárquica, relacional, red, orientada a objetos, etc.).

Debe realizarse una estimación previa del volumen necesario para el almacenamiento de datos basada en distintos aspectos tales como el numero mínimo y máximo de registros de cada entidad del modelo de datos y las predicciones de crecimiento.

A partir de distintos factores como el número de usuarios que accederá a la información, la necesidad de compartir información, las estimaciones de volumen, etc. se deberá elegir el S.G.B.D. mas adecuado a las necesidades de la empresa o proyecto en cuestión.

En la fase de diseño de datos, deben definirse los procedimientos de seguridad, confidencialidad e integridad que se aplicarán a los datos:

- Procedimientos para recuperar los datos en casos de caída del sistema o de corrupción de los ficheros.

- Procedimientos para prohibir el acceso no autorizado a los datos. Para ello deberán identificarlos.

- Procedimientos para restringir el acceso no autorizado a los datos. debiendo identificar los distintos perfiles de usuario que accederán a los ficheros de la aplicación y los subcon-juntos de información que podrán modificar o consultar. - Procedimientos para mantener la consistencia y corrección de la información en todo momento.

Básicamente existen dos niveles de integridad: la de datos, que se refiere al tipo, longitud y rango aceptable en cada caso, y la lógica, que hace referencia a las relaciones que deben existir entre las tablas y reglas del negocio.

Debe designarse un Administrador de Datos, ya que es importante centralizar en personas especializadas en el tema las tareas de redacción de normas referentes al gestor de datos utilizado, definición de estándares y nomenclatura, diseño de procedimientos de arranque y recuperación de datos, asesoramiento al personal de desarrollo, etc...

Debe utilizarse un diccionario de datos único, en el que se recojan las especificaciones de diseño de los ficheros que serán utilizados.

3.4.2. Creación de Bases de Datos

Debe crearse un entorno de desarrollo con datos de prueba, de modo que las actividades del desarrollo no interfieran el entorno de explotación. Los datos de prueba deben estar dimensionados de manera que permitan la realización de pruebas de integración con otras aplicaciones, de rendimiento con volúmenes altos, etc.

En la fase de creación, deben desarrollarse los procedimientos de seguridad, confidencialidad e integridad definidos en la etapa de diseño:

* Construcción de los procedimientos de copia y restauración de datos.

* Construcción de los procedimientos de restricción y con-trol de acceso. Existen dos enfoques para este tipo de procedimientos:

- Confidencialidad basada en roles, que consiste en la definición de los perfiles de usuario y las acciones que les son permitidas (lectura, actualización, alta, borrado, creación/eliminación de tablas, modificación de la estructura de las tablas, etc.). - Confidencialidad basada en vistas, que consiste en la definición de vistas parciales de la base de datos, asignándolas a determinados perfiles de usuario.

* Construcción de los procedimientos para preservar la integridad de la información. En los S.G.B.D. actuales, la tendencia es la implantación de estos procedimientos en el esquema físico de datos, lo cual incide en un aumento de la fiabilidad y en una disminución del coste de progra-mación, ya que el propio gestor de la base de datos controla la obligatoriedad de los atributos de cada entidad, l dominio o rango de los datos, las reglas de integridad referencial, etc.

3.4.3. Explotación de Bases de Datos

Es importante la realización de inspecciones periódicas que comprueben que los procedimientos de seguridad, confidencialidad e integridad de los datos funcionan correctamente. Para ello, existen diversos métodos y utilidades:

- Registro de accesos y actividad (ficheros log). Los S.G.B.D. actuales suelen tener ficheros de auditoria, cuya misión es registrar las acciones realizadas sobre la base de datos, haciendo referencia a nombre de objetos modificados, fecha de modificación, usuario que ha realizado la acción, etc.

- Registro de modificaciones realizadas por la aplicación. Una aplicación bien diseñada debería grabar información necesaria para detectar incidencias o fallos. Estos atributos, también llamados pistas de auditoria, pueden ser la fecha de creación o de ultima modificación de un registro, el responsable de la modificación, la fecha de baja lógica de un registro, etc.

- 'Tunning' periódico de la Base de Datos. Periódicamente, el Administrador de Datos debe controlar el crecimiento y la evolución de los ficheros de la base de datos a fin de tomar las medidas necesarias para mejorar el rendimiento del sistema.

- Mantenimiento de la Base de Datos. Dado que la base de datos es un objeto cambiante, periódicamente debe efectuarse su mantenimiento, ya que su estructura, volumen, etc., se modifican con el paso del tiempo. Asimismo, deben revisarse los roles de los usuarios para adecuarlos a los posibles cambios que se vayan produciendo.

4. Explotación y continuidad

Este apartado versa sobre las medidas de seguridad necesarias para garantizar la correcta ejecución de los procesos informáticos (el 'día a día') y la recuperación del servicio tras la aparición de cualquier tipo de incidencia.

Es necesario tener, al menos, una relación de los procesos 'batch' que han de ejecutarse, indicando su cronología de proceso, su interdependencia y los soportes magnéticos que se van a necesitar, a fin de tenerlos localizados y disponibles para su utilización. En función de la complejidad de dichos procesos y de la envergadura de la instalación informática, puede ser conveniente, incluso, disponer de un software de soporte automatizado de la planificación de procesos.

Este procedimiento. sea automatizado o manual, sirve para controlar posteriormente los trabajos ejecutados y su correcta finalización. Adicionalmente, en caso de que los procesos centralizados produzcan salidas impresas o en soporte magnético, hay que establecer procedimientos de control encaminados a verificar que son entregados a sus verdaderos destinatarios.

Otro aspecto importante es la definición de un procedimiento de resolución y reporte de incidencias. Ha de crearse un siste-ma, manual o automatizado, que permita conocer diariamente los problemas producidos en la explotación del día anterior y la solución aplicada o el estado de cada incidencia no resuelta.

En diversas ocasiones, la resolución de una incidencia pasa par la restauración de toda la información tratada o parte de ella. Para ello, deben crearse procedimientos de recuperación o restauración de la información perdida o modificada erróneamente por un poceso. Sin embargo, ello no es posible si no se dispone de salvaguardas de la información. Por consiguiente, tanto o mas importantes que los procesos de restauración son los sistemas de obtención de copias de la información (particularmente de los ficheros de datos), donde deben estar claramente explicitados la periodicidad de obtención, contenido, número de versiones a conservar, identificación del soporte magnético y de su ubicación física.

Hay sistemas informáticos mas sofisticados en los que se obtiene un 'log' de actividad o un 'journal' en el cual se guardan cronológicamente las actualizaciones realizadas de modo interactivo sobre los ficheros, de modo que, complementa-riamente a la restauracion de la informacion contenida en las copias, pueden recuperarse todas las modificaciones efectuadas en los datos hasta el momento en que se haya producido un fallo o interrupción anormal del proceso del negocio, en caso de que un suceso grave afecte a los sistemas informáticos, eliminando o alterando de modo importante la capacidad de proceso de la información. Por un lado, hay que elaborar un Plan de Contingencia en el que se recojan las acciones a emprender para reanudar lo antes posible la actividad informática en un centro de proceso de datos alternativo, y que será tanto mas importante cuanto mayor sea la dependencia de los sistemas informatizados que tenga la empresa. Adicionalmente, como complemento, es muy útil el establecimiento de una política de coberturas de seguros, que, actualmente, en algunos casos, llega a cubrir las perdidas ocasionadas por la imposibilidad de procesar la información.

5. Comunicaciones

Elementos de la red, gestión de la red, Encriptación, 'pinchado de las lineas', ...

6. Ofimática

En este apartado se aborda la seguridad de los diferentes elementos que componen el entorno ofimático, el cual ha ido adquiriendo progresivamente una mayor importancia, no sólo por el fuerte incremento de sus características y prestaciones sino también por sus grandes posibilidades de intercomunicación con otros equipos informativos.

El ordenador personal (PC) se ha erigido como un elemento prácticamente imprescindible en la informática actual. Desde el punto de vista de seguridad puede considerarse como un 'host' en pequeño, con el principal inconveniente de su mayor vulnerabilidad. Tanto si se trata de un PC aislado, conectado con otros PC‘s formando redes, o como vía de entrada a otros sistemas de mayor envergadura, el entorno ofimatico necesita logicamente sus propias medidas de seguridad.

6.1. Aspectos generales

La formación del usuario es un elemento importante. El nivel de formación debe ser el adecuado para que los usuarios puedan manejar los equipos con la suficiente soltura y eficacia, pero hay que saber si sus conocimientos podrían permitirle saltarse o eludir la seguridad establecida.

La información tratada en un PC puede ser de gran valor. El origen del PC como equipo complementario provoca en ocasio-nes que se subestime el valor de la información que contiene.

La utilización de un PC conlleva determinadas responsabilidades legales. El gerente de la compañía debe saber que, en ultima instancia, es el responsable del contenido de los PC‘s, especialmente en lo que se refiere al software instalado, que debe estar protegido por las correspondientes licencias de uso.

Los equipos deben estar adecuados a las necesidades del usuario. La rápida evolución tanto de hardware como del software y de los requerimientos mínimos que este necesita para funciona adecuadamente puede ocasionar una rápida obsolescencia o inadecuación para la función a desempeñar.

6.2. Entorno físico

Aunque no precisen de medidas tan importantes y costosas como los 'mainframes' o los 'minis', la ubicación de los equipos es importante. Hay que vigilar que no estén sometidos a temperaturas inadecuadas. ni cercanos a elementos eléctricos que puedan generar inducción o campos magnéticos, etc.

Debe tenerse en cuenta la calidad del suministro eléctrico. La alimentación eléctrica debe ser lo suficientemente estable y poseer tomas de tierra, etc. Es muy recomendable el uso de una UPS (también llamado SAI: Sistema de Alimentación Ininterrumpida).

Los equipos deben estar cubiertos por las correspondientes pólizas de seguros; los elementos ofimáticos deben incluirse en los sistemas de seguridad y prevención general de la empresa.

Deben suscribirse contratos de mantenimiento y controlar las averías. Al menos los equipos críticos deben estar amparados por un contrato de asistencia técnica que garantice la solución de las incidencias en un tiempo razonable, conociendo asimismo la naturaleza y frecuencia de las averías del parque informático de la empresa.

Debe controlarse el inventario del parque informatico. La proliferación de equipos y dispositivos hace imprescindible el mantenimiento de un inventario actualizado con información lo mas detallada posible (marca, modelo, número de serie, fecha y valor de adquisición, ubicación, etc.).

6.3. Entorno lógico

El acceso debe estar controlado y/o limitado. Puede ser aconsejable instalar un sistema de 'passwords', así como de Software o Hardware que limite el uso de recursos tales como disqueteras, particiones de disco duro, etc.

Debe disponerse de software antivirus. Adicionalmente, hay que efectuar revisiones periódicas del contenido de los discos de los PCs. Por otro lado debe concienciarse a los usuarios sobre los riesgos de trabajar con programas no homologados, sean aplicaciones o juegos.

Debe controlarse el software instalado. Aunque sea con las mejores intenciones, no debe permitirse que los usuarios intalen en sus equipos aplicaciones particulares, tanto por motivos legales como por seguridad.

Han de efectuarse copias de seguridad. El usuario debe saber que es responsabilidad suya realizar periódicamente copia de sus datos y mantenerlas en un lugar suficientemente seguro.

El acceso a la información debe estar restringido. En el caso de tener información distribuida, hay que ser muy cuidadoso con las posibilidades de edición que se faciliten al usuario.

6.4. Comunicaciones y Redes

Debe existir un administrador de la red. La persona que ejerza esta función ha de conocer perfectamente las características de la instalación y dónde y cómo están conectados cada uno de los terminales.

Debe cuidarse la calidad de la instalación. El cableado debe estar bien instalado y protegido contra interferencias, especialmente en ambientes industriales, donde estas son mas frecuentes.

Debe garantizarse la continuidad de las operaciones. En algunos casos, especialmente en instalaciones críticas puede ser conveniente montar una serie de servidores en 'mirroring' o sistemas análogos para asegurar la continuidad del servicio informático.

Evaluar el coste de las comunicaciones. Dada la continua evolución de la tecnología y de las soluciones que ofrece el mercado, deben estudiarse las posibles alternativas para elegir la de mejor relación coste/beneficio.

Controlar los accesos del PC al Host. Un PC conectado al Host puede ser una puerta que se escape al control general de la organización, por la que un usuario avanzado acceda a información sensible a la que no este autorizado.

Controlar las conexiones a redes publicas. Las facilidades actuales para poder conectarse a redes como Internet sin un control riguroso pueden multiplicar los accesos de los usuarios a esos servicios, con el consiguiente incremento de costes para la compañía.

6.5. EDI (Electronic Data Interchange)

Este apartado, cada día mas en boga, merece un tratamiento especial, dada su incidencia en la operativa y seguridad de los sistemas informáticos.

Los interlocutores deben estar convenientemente autentificados. Sólo tienen derecho a utilizar el servicio aquellas empresas que han sido autorizadas previamente mediante algún tipo de protocolo y contrato que establezca qué tipo de documentos se transmitirán y las responsabilidades que asumen sobre los procesos de transmisión. Asimismo, sólo deben tener facultad para enviar o recibir datos aquellos usuarios que hayan sido autorizados.

El software debe ser suficientemente consistente. En cualquier momento se debe poder conocer el estado de las transacciones enviadas y si se han completado con éxito.

Considerar el valor económico y legal de los datos transmitidos. Los ficheros que se envían o reciben vía EDI tienen un valor legal equivalente al impreso en papel, por lo que son igualmente vinculantes. En consecuencia, hay que ser muy prudente con las transacciones realizadas.

7. Bibliografía

The EDP Auditors Journal.

INFOSEC Business Advisory Group; "IBAG Framework for Commecial IT Security".

The Computer Law and Security report;"Security Guidelines in Information Technology for the Professional Practitioner".

Aguilera, F.; "Seguridad del Software".

Lamere, J.M.; "Seguridad Informatica".

Gonzalo Alonso Rivas; "Auditoria Informática".

J L. Morant, A. Ribagorda, J. Sancho; "Seguridad y protección de la información".

François Bergantine; "La seguridad Informática". Mundo científico.

Tom Parker; "Information Security Handbook".

Jesús López de Lucas; "La seguridad del sistema de información y su gestión", Novática.

Francisco López López; "Seguridad en centros de proceso de datos". Novática.

González Aullón, J.L.; "La seguridad en un servicio de proceso de datos", Novática.

Mario Velarde; "Seguridad en el entorno de bases de datos", Novática. Manuel Gómez, Jesús Rodríguez, Daniel Tejerina; "La seguridad en informática", Novática.