Conocimientos básicos deseables en un profesional en seguridad informática. ¿Cuáles son los conocimientos básicos deseables que debe tener el Ingeniero de Sistemas para desarrollarse en el área de seguridad informática? Resumen La seguridad informática abarca en la actualidad varias disciplinas y especialidades, y se ha convertido en una pieza fundamental en el entramado empresarial, industrial y administrativo de los países. La falta de una figura encargada de planear y promover las actividades que tengan que ver con la parte de seguridad informática, genera una situación que se ve reflejada en el crecimiento de problema de seguridad que se presenta dentro de las instituciones, tales como intrusiones, robo de información, problemas de virus, entre otros más; a lo cual se añade la falta de una legislación informática donde se tipifique los delitos informáticos del país. La investigación tiene como alcance identificar los requisitos básicos de formación académica que debe tener un profesional en seguridad informática que atienda los delitos informáticos que eventualmente las empresas en Costa Rica estarían enfrentando. En la encuesta se realizaron preguntas en cuanto a las certificaciones más destacadas en seguridad informática, las vulnerabilidades más comunes en los delitos informáticos y cuáles son los requisitos en la formación académica que debe dominar un especialista en seguridad informática. Se busca beneficiar a las empresas privadas y públicas en Costa Rica al aumentar la seguridad contra delitos informáticos ante una ola creciente de los mismos, con profesionales mejor preparados que certifiquen su desempeño como oficiales de seguridad informática. Para esta investigación se realizó una encuesta de 8 preguntas en una población de 50 personas con experiencia en el área de seguridad informática y al menos un grado académico en sistemas de información, tanto de empresas privadas como públicas. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Se identificó una debilidad importante en las empresas privadas y públicas en Costa Rica en cuanto a ataques externos ya que ningún encuestado indicó que su empresa se encuentra preparada para enfrentar un ataque de este tipo. Adicionalmente se establece que el dominio de sistemas operativos tales como Windows, Linux, Unix son el principal requisito para desempeñarse como oficial de seguridad informática. Abstract Computer security, now covers many disciplines and specialties, and has become a fundamental piece in the fabric business, industrial and administrative center of the country. The lack of a figure in charge of planning and promoting activities related with the computer security, creates a situation that is reflected in growing security problem occurring within institutions, such as intrusions, theft of information, virus problems, among others, adding the lack of legislation criminalizing computer where computer crime in the country. The research´s scoped is to identify the basic requirements for academic training must have a computer security professional that attend computer crimes that eventually companies in Costa Rica would be facing. In the survey were asked about leading certifications in information security vulnerabilities in terms of leading cybercrime and ¿what are the academic requirements that must be mastered leading specialist in information security?. It seeks to benefit the public and private companies in Costa Rica as to enhance security against computer crimes against a rising tide of the same, with professionals better prepared to certify their performance as officers of security. For this research involved a survey of 8 questions in a population of 50 people, with experience in computer security and at least a degree in information systems, both private and public companies. We identified a major weakness in the private and public companies in Costa Rica in terms of external attacks since no respondent indicated that his company is prepared to face an Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com attack of this type, and additionally the domain of such as operating systems (Windows, Linux, Unix) are the main requirement to serve as an officer of computer security. Introducción La presente investigación se refiere al tema de seguridad informática la cual se puede definir según la CIA como “la prevención de revelación de información no autorizada” y el perfil del oficial de Seguridad Informática según la OSI (2005) “es la persona de planear, coordinar y administrar los procesos de seguridad informática en una organización”. El propósito de tener una figura denominada Oficial de Seguridad es tener a alguien al que se pueda recurrir en caso de algún problema, un encargado de difundir las alertas y definir esquemas que reduzcan los incidentes de seguridad. Para Vincent Gullotto (s.f.), vicepresidente de investigación de McAfee Avert, "actualmente existen cerca de 110.000 tipos de programas relacionados con vulnerabilidades, que incluyen: virus, spam, troyanos, gusanos y es muy importante destacar que se ha incrementado la cantidad; de 1998 a 1999 el aumento fue dramático. La buena noticia es que todos estos virus eran variantes de uno solo creado un año atrás" (pag, 17), lo cual hace más urgente la necesidad de contar con una persona especializada en el área de seguridad informática. A pesar de los esfuerzos de las corporaciones por adoptar de OSI (Oficial de Seguridad Informática), muchas empresas aún se conforman solo con poner un firewall y creen que con ello se soluciona el problema de la seguridad informática. "Las organizaciones latinoamericanas no están preparadas para defenderse de ataques informáticos. La seguridad debe ser parte del ADN de la red", comentó Gastón Tanoira. (s.f.), gerente de soluciones de Seguridad de Cisco Systems en América Latina. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com La investigación sobre el tema se realizó por el interés de identificar los conocimientos básicos que debe poseer un profesional en sistemas de información ya que no hay una respuesta única y se tiende a desviar el enfoque real del área y perjudicar su propósito, que es la protección de la información física y lógica de la información. El estudio va dirigido a una población con estudios en Informática, con al menos 1 año de experiencia en el área de seguridad informática, con edades entre los 20 y los 45 años. Esta población permitirá identificar los procesos correctos de seguridad para lograr conformar el perfil profesional en seguridad informática, considerando que una persona que ejerce una profesión o un oficio, generalmente se encuentra estructurado bajo una serie de lineamientos y conceptos que son avalados y normados por entes reguladores en temas académicos o científicos. En este contexto y al tomar en cuenta de que a la fecha no existe un acuerdo nacional o internacional sobre currículos en seguridad de la información, tratar de responder la pregunta ¿Qué debo estudiar para aprender seguridad informática? es un reto que aún se debe que enfrentar y en donde se tiene grandes oportunidades para proponer y avanzar. La seguridad informática en su evolución desde los años 50, ha venido mostrando patrones característicos e inquietudes particulares, generalmente relacionadas con la evolución de la inseguridad de la información. Si bien, cada vez que evolucionan las plataformas tecnológicas, la inseguridad se transforma, es importante observar que los profesionales de seguridad no lo hacen de la misma manera, pues deben recorrer nuevamente la curva de aprendizaje que les exige el nuevo contexto computacional o de negocio que enfrentan. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Como se ha visto hasta el momento y sabiendo que la inseguridad de la información es un camino que se revela al andar, las personas que se dedican a la seguridad de la información, bien sean expertas, especialistas o profesionales siempre tendrán algo en común, una misión y deseo que los marca, una convicción de vida personal y profesional que los une: el reto de conocer, descubrir y aprender acerca de la inseguridad de la información. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Revisión Bibliográfica El gobierno de Estados Unidos divulgó una lista de las 20 principales fallas en seguridad informática según su experiencia en este tema. Las dependencias y el instituto privado SANS mostraron la nómina de debilidades informáticas más comunes entre Windows y Unix. Las 20 principales fallas de seguridad informática (2002) “Algunas de las fallas de seguridad, como la configuración original en el software de base de datos SAL Server de Microsoft, que deja en blanco las contraseñas, son la nuevas en la lista”. (p.1). Al analizar la relación entre las TIC y el Derecho Informático se ha hecho carrera la existencia de un área encargada de la regulación del fenómeno informático y telemático que ha sido denominada Derecho Informático, término adoptado por tratadistas como Emilio Suñe, Michel Vivant, Julio Núñez, Miguel Davara, entre otros. Al respecto afirma el profesor Suñe (2000): El Derecho de la informática, por seguir aportando razones singulares que avalan su autonomía, tiene mucho de Derecho Global, al tratarse de un Derecho muy internacionalizado, probablemente por el tipo de comunidades humanas que están en su base. La regulación jurídica de Internet, por ejemplo, plantea problemas globales, que requieren soluciones globales. Las grandes multinacionales del sector tele informático, que lo dominan casi todo por completo, no pueden ni quieren adaptarse a regulaciones estatales injustificadamente diversas y dispersas, cuando el mercado no es nacional, sino global. (p. 7). La seguridad de la información se entiende como la aplicación de un conjunto de medidas de orden físico y lógico a los sistemas de información para evitar su pérdida, siendo esta una tarea de responsabilidad exclusiva de los departamentos de informática de las Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com organizaciones. Hoy día, el derecho en la gestión de la información es la herramienta ideal para aportar una serie de recomendaciones y controles jurídicos, en ocasiones matizados por la tecnología. Velasco Melo (2008) señala lo siguiente La norma ISO 27 001, contempla diez dominios: 1. Política de Seguridad de la Información 2. Organización de la Seguridad de la Información 3. Gestión de Activos 4. Seguridad de Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Acceso 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de la Seguridad de la Información 10. Cumplimiento (p.341). Las bases para la gestión de seguridad informática en una organización se encuentran en la política de seguridad. Esta carta de navegación habrá de definir el marco tecnológico, gerencial, logístico y jurídico dentro del cual se administren los activos de información. El dominio A.5 de la Norma ISO 27 001, Velasco Melo (2008) establece como objetivo de la política de seguridad de la información, el “brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes”.(Pag, 343) La norma ISO 27 001, Velasco Melo (2008) señala en el dominio A.15.1.4., referido a la protección de datos, como control lo siguiente: “Se debe garantizar la protección de los datos personales y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes y, si se aplica con las cláusulas del contrato”. (Pag, 345) Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Tratamiento Legal de los Incidentes Informáticos Álvarez y otros (s.f.) establecen que El concepto de seguridad informática es de reciente data, y tal vez fue en los últimos 15 años en los que adquirió un nombre propio. El fenómeno de atacar las redes de comunicaciones se inicia en los albores del siglo XX, cuando piratas del mundo eléctrico/ electrónico empezaron a vulnerar los sistemas de terceros, tras la aparición de las líneas de comunicaciones telegráficas.(p. 20). Para terminar de reforzar la importancia del tema para las empresas, si aún existiese alguna duda, basta conocer un listado de los delitos cometidos por el hacker más reconocido en la historia reciente, Kevin Mitnick. Fue acusado de diversos crímenes: creación de números telefónicos no traficables, robo de más de 20 000 números de tarjetas de crédito, precursor de la falsificación de dirección IP conocida como IP Spoofing, burla al FBI durante más de 2 años, robo de software de terminales telefónicas, control de varios centros de conmutación en USA, acceso ilegal a múltiples sistemas del gobierno de USA, entre otros incidentes de seguridad. Por tal motivo, se tiene que el dominio Velasco Melo (2008) establece como objetivo de la gestión de los incidentes de seguridad de la información, la necesidad de “asegurar que los eventos y las debilidades de la seguridad asociados con los sistemas de información se comunican de forma tal que permiten tomar las acciones correctivas oportunamente”. (pag, 361). Situaciones en otros países como Colombia, que se suma al esfuerzo de crear leyes que sancionen por la violación de la información, ha sido lento. De acuerdo con los estudios realizados por Cisco en el 2008 ese país registraba una de las calificaciones más bajas en Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com seguridad informática (62 puntos de 100 posibles), en comparación con otros seis países de Latinoamérica. De acuerdo con el concepto de algunos ejecutivos de firmas relacionadas con la informática y la auditoría esa situación obedece a distintos factores. Etek, Cisco, Trend Micro (s.f.) mencionan algunos al respecto • Falta de información, falta de claridad o debilidad en la gestión gerencial, referidos particularmente a la implementación de la seguridad informática. • Abuso en el empleo de los sistemas y sus aplicativos. • Ausencia de políticas claras sobre seguridad informática. • Falta de reconocimiento estratégico al área de Auditoría de Sistemas. • Falta de conciencia en el desempeño de los sistemas de información. • Baja gestión y poco uso de herramientas de análisis y control. • Falta de evaluación con relaciones beneficio/costo y criterios de continuidad del negocio, sobre uso y seguridad de la información y los recursos informáticos. (Pg, 46). Tendencias para el nuevo año Los expertos de pandalabs mencionan que el panorama no presenta mejoras. El ciber crimen se aprovecha de las debilidades legales de cada país. Por ende, se recomienda estar siempre alerta, mucho “malware” seguirá siendo distribuido disfrazándose de “plugins”, reproductores y aplicaciones similares. No es que hayan desaparecido otros métodos, como el uso de las populares presentaciones de PowerPoint a través de cadenas de amigos, pero la educación y concienciación en seguridad hace pensar que los usuarios ya han escarmentado con las formas tradicionales de intentar enganchar a los inocentes a través de “ligues” Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com falsos, con ofertas de trabajo irrechazables, con timos cada vez más sofisticados, a través de ataques de phishing a las principales entidades ya no bancarias, sino de plataformas de pago, de tiendas online. La mayoría de ataques actuales se dirigen a móviles con Symbian, sistema operativo que tiende a desaparecer. También existe “malware” para Mac, y seguirá habiendo. Crecerá el número a medida que siga aumentando su cuota de mercado. Consejos Operativos de Seguridad Informática Los consejos fundamentales bien conocidos y no menos importantes son el sentido común y cautela en Internet, permisos reducidos, actualizar el software, instalar antivirus, definir privacidad de redes sociales y proteger la red inalámbrica con wi-fi. Según los reglamentos COBIT y UNE-ISO/IECI17799, un profesional en seguridad informática debe tener conocimientos en temas de seguridad como control de accesos (identificación y autentificación), entrada y salida de datos (gestión de soportes, gestión telemática), documentos de seguridad, trabajo fuera de los locales (autorización de recursos, informática móvil, teletrabajo), copias de seguridad, ficheros auxiliares, herramientas de encriptación y firmado de discos y ficheros, seguridad en redes (VPN, túnel cifrado), continuidad de negocio (sistemas RAID), copias de respaldo periódicas. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Metodología Para el desarrollo del estudio se realizó una investigación con enfoque cuantitativo para la definición de las gráficas y los datos estadísticos empleados. Se aplicó una encuesta de 8 preguntas formuladas y dirigidas a profesionales que laboran para el departamento de Seguridad Informática en diferentes empresas, el cual lo conforman diferentes áreas como certificaciones, vulnerabilidades de la empresa, conocimiento especializado, experiencia en el campo. La encuesta fue aplicada a 50 profesionales en el campo de informática, escogidos dentro de una población de 3.936 activos a nivel del país, según información del CPIC, con un margen de error correspondiente al 98%. Los encuestados cuentan con estudios universitarios en las áreas en las que se encuentran asignados actualmente y que anteriormente se mencionan. Se realiza la investigación con este grupo de profesionales, por el conocimiento en seguridad informática y el apoyo que este departamento brinda a otras áreas de la empresa en cuanto al tema de seguridad. El objetivo de la encuesta es validar la percepción de los profesionales consolidados en este campo versus la formación profesional y académica que brindan las universidades, para identificar cuáles son los conocimientos que debería tener un profesional para desempeñarse en el campo de seguridad informática. Los resultados son elocuentes y definen el conocimiento e interés de la población por este tema, lo cual se muestra en los siguientes apartados. La población a la cual se le aplicó la encuesta se encuentra en el rango de edad de los 20 a 45 años, y un nivel de experiencia en Seguridad Informática de al menos 1 año. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Resultados El análisis de los resultados de las encuestas realizadas considera una población con 1 a 10 años de años de experiencia en seguridad informática y estudios finalizados en sistemas de información. La figura # 1 muestra la distribución según los encuestados, sobre la preparación que imparten las universidades en Costa Rica en el área de seguridad informática. Cabe preguntarse si estarán los recién graduados listos para enfrentar y definir una correcta planeación de seguridad informática, alineamiento estratégico, y administración del riesgo informático. universidades no es suficiente y el 10.4% suficiente. El 31.3% de los encuestados opina que existen temas de relevancia que no son considerados en los paquetes de estudio, aunque el estudiante sí tiene una formación básica para defenderse en el ámbito laboral. Por otra parte, el 58.3% opina que los conocimientos impartidos por las sostiene que la preparación académica es La figura # 2 muestra que en las encuestas realizadas se analizaron 4 tipos de ataques informáticos (externos, internos, descuidos de empleados, y virus informáticos). En cada uno de estos ataques se catalogó el nivel de preparación en tres categorías (muy preparado, moderadamente preparado, poco preparado) con el fin de identificar según los expertos cuáles son las vulnerabilidades y fortalezas más comunes que poseen las empresas en Costa Rica, y con base en estos resultados relacionar las debilidades de las compañías con la formación académica del profesional. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Básicamente, la gráfica muestra lo siguiente: Ataques externos: el 67% de los encuestados indican que sus empresas se encuentran moderadamente preparadas para enfrentar este tipo de ataque informático y el otro 33% señala que sus empresas se encuentran poco preparadas para enfrentar un ataque informático de este nivel. Ataques Internos: el 33% de los encuestados indican que sus empresas se encuentran preparadas para enfrentar este tipo de ataque informático; el 48% señala que sus empresas se encuentran moderadamente preparadas y el 19% que se encuentran poco preparadas. Descuidos de Empleados: el 31% de los encuestados indican que sus empresas se encuentran preparadas para enfrentar este tipo de ataque informático; el 38% afirma que se encuentran moderadamente preparadas y el 31% restante señala que se encuentran poco preparadas. Virus informático: el 48% de los encuestados afirma que sus empresas se encuentran preparadas para enfrentar este tipo de ataque informático; un 42% indica que se encuentran moderadamente preparadas y el 10% restante señala que sus empresas se encuentran poco preparadas para enfrentar un ataque informático de este nivel. La figura #3 muestra el orden de los conocimientos, según los encuestados profesionales, que deben ser parte de las fortalezas que debería poseer un profesional que desee formarse en el área de seguridad informática. La interpretación se realiza de la siguiente manera, en orden de mayor a menor importancia, considerando que todos son requeridos: La figura #4 muestra un listado de certificaciones enfocadas en seguridad informática, donde los encuestados participaron indicando la importancia de cada una, encasillándolas como opciones ideales para un perfil de seguridad informática. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Discusión La persona encargada de planear y promover las actividades de seguridad informática para proteger a la compañía de intrusiones, robo de información, problemas de virus, entre otros; además de la falta de una legislación informática en donde se tipifiquen los delitos informáticos. Esto aunado al hecho de que se ignoran las capacidades necesarias, los conocimientos, formación y habilidades suficientes, así como las responsabilidades y deberes de la figura encargada de la seguridad en la institución, hacen que sea difícil el poder seleccionar a la persona indicada para que se encargue del tema. Por ello, poco a poco las organizaciones han tomado conciencia del problema de la seguridad informática y paulatinamente incorporan la figura del Oficial de Seguridad Informática a su planilla. La investigación muestra mucha similitud entre los resultados obtenidos y las referencias bibliográficas. Aunque el puesto de un oficial de Seguridad Informática aún es indefinido ya que no tiene las funciones bien delimitadas, cada día las organizaciones se preocupan para que haya soluciones integradas. El estudio muestra que el 58% de la población opina que la formación proporcionada por las universidades en el área de seguridad informática específicamente no es suficiente, puesto que los temas estudiados son muy básicos y no existe un enfoque profundo sobre otros como por ejemplo: protocolos de seguridad, certificados de seguridad, firmas digitales, mecanismos de vigilancia, definición de políticas de seguridad, análisis de riesgos, conocimiento del derecho informático, etc. Se debe considerar que la norma ISO 27 001 señala en el dominio A.15.1.4., referido a la protección de datos que “Se debe garantizar la protección de los datos personales y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes y, si se aplica con las cláusulas del contrato”. (Pag, 345). Países como Colombia, de acuerdo con los estudios realizados por Cisco en el 2008, registra una de las calificaciones más bajas en Seguridad Informática. La figura # 5 muestra el comparativo de las deficiencias entre Colombia y las respuestas de los encuestados. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Problemas en Colombia Problemas según encuestados Baja gestión y poco uso En cuanto a ataque externos, el 67% opina que las empresas se encuentran de herramientas de moderadamente preparadas; el 33% considera que se encuentran poco análisis y control. Ausencia de preparadas y un 0% considera que se encuentran preparadas. políticas En cuanto a ataque internos, el 33% indica que sus empresas se encuentran claras sobre seguridad preparadas para enfrentar este tipo de ataque informático; el 48% que se informática. encuentran moderadamente preparadas y el 19% señala que sus empresas se encuentran poco preparadas para enfrentar un ataque informático de este nivel. Falta de reconocimiento En cuanto al descuido de los empleados, el 31% indica que sus empresas estratégico del área de se encuentran preparadas para enfrentar este tipo de ataque informático; el Auditoría de Sistemas. 38% que se encuentran moderadamente preparadas y otro 31% señala que sus empresas se encuentran poco preparadas para enfrentar un ataque informático de este nivel. Falta de conciencia en el desempeño de los sistemas de información. Figura #5 Solamente se tiene seguridad adecuada en cuanto a virus informáticos pues el 48% de los encuestados indican que sus empresas se encuentran preparadas para enfrentar este tipo de ataque informático; el 42% señala que se encuentran moderadamente preparadas y el 10% que se encuentran poco preparadas para enfrentar un ataque informático de este nivel. Sin embargo, se debe considerar que el virus informático se erradica principalmente por la tecnología que brinda el software y no por el conocimiento que pueda tener el profesional. Si se compara las debilidades en formación que indican los encuestados con la tendencia de las debilidades en ataques informáticos, se puede ver que efectivamente las vulnerabilidades que sufren las empresas en Costa Rica responden a una necesidad de formación especializada en este campo, que hoy día no se tiene. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com En la figura #6 los encuestados ordenaron por prioridad los tres requisitos en formación necesarios en un profesional de seguridad informática, los cuales se identifican con la lista de los conocimientos que según COBIT y UNE-ISO/IECI17799 debe tener un profesional en seguridad informática, tales como control de accesos (identificación y autentificación), entrada y salida de datos (gestión de soportes, gestión telemática), documentos de seguridad, trabajo fuera de los locales (autorización de recursos, informática móvil, teletrabajo), copias de seguridad, ficheros auxiliares, herramientas de encriptación y firmado de discos y ficheros, seguridad en redes (VPN, túnel cifrado), continuidad de negocio (sistemas RAID), copias de respaldo periódicas. En cuanto al tema de certificaciones en el área de seguridad informática, se observa que la de mayor impacto positivo o la que tiene mejor reputación es CISA (Certified Information Systems Auditor) con un 45% y clasificada como muy importante, mientras que un 53% la clasifica como importante. Son reconocidos internacionalmente como los profesionales con los conocimientos, habilidades, experiencia y credibilidad de las normas de apalancamiento, gestión de las vulnerabilidades, aseguramiento del cumplimiento además de ofrecer soluciones, instituir controles y entregar valor a la empresa. En una segunda posición se encuentra CRISC (Certified in Risk and Information Systems Control ) con un 43% clasificada como muy importante y por un 51% como importante. CRISC es la única certificación que se prepara y capacita a los profesionales para los desafíos únicos de TI y la gestión del riesgo empresarial, y los posiciona para convertirse en socios estratégicos para la empresa. Los que ganan CRISC ayudan a las empresas a comprender los riesgos empresariales y tienen el conocimiento técnico para implementar un control. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com En tercera posición está CISM (Certified Information Security Manager) clasificada como muy importante por un 36% , y por un 60% como importante. Promueve prácticas internacionales de seguridad y reconoce a la persona que maneja los diseños, supervisa y evalúa la seguridad de la información empresarial. En resumen, los encuestados apuntan a tres tipos de certificaciones: Auditoría (gestión de vulnerabilidades, asegura cumplimiento y ofrece soluciones), Gestión del riesgo, Promoción de prácticas internacionales de seguridad para profesionales que diseñan y gestionan seguridad informática. Dichas certificaciones acuden a un déficit importante de conocimiento en la formación profesional de los recién graduados para desempeñarse en seguridad informática, y buscan llenar los vacíos de preparación y atacar los principales problemas de seguridad que enfrentan las empresas en el 2012 en Costa Rica. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Conclusiones de las lecturas La Seguridad de la Información se ha convertido en un área clave en el mundo interconectado de hoy. Día a día, en los principales medios de comunicación se repiten los ataques de virus, hackers y otros peligros tecnológicos. Desde el ámbito corporativo y gubernamental, la búsqueda de profesionales en Seguridad Informática se ha duplicado y la tendencia sigue en aumento. Es por eso que no basta con tener un adecuado conocimiento técnico de la Seguridad Informática para ser un profesional de éxito en la materia, sino que hay que dominar el desarrollo de estrategias de organización de seguridad acordes para cada empresa y de los esquemas de control que verifiquen su cumplimiento. La creciente exigencia del cumplimiento de estándares en Tecnología Informática en general y en Seguridad en particular hace que el profesional, además del conocimiento técnico y de gestión de la Seguridad, deba tener un acabado dominio de normas como ISOIEC 17799 (estándar mundial de la Seguridad Informática). Las lecturas indican que existe un déficit importante de conocimiento en la formación profesional de los recién graduados para desempeñarse en seguridad informática. Esto se refleja en factores como: abuso en el empleo de los sistemas y sus aplicativos; ausencia de políticas claras sobre seguridad informática; falta de reconocimiento estratégico del área de Auditoría de Sistemas; falta de conciencia en el desempeño de los sistemas de información; baja gestión y poco uso de herramientas de análisis y control; falta de evaluación en las relaciones beneficio/costo y criterios de continuidad del negocio, sobre uso y seguridad de la información y los recursos informáticos. También las fallas de seguridad, las configuraciones en el software de base de datos de Microsoft mal realizadas que dejan en blanco las contraseñas y las tendencias de ataques informáticos indican un aumento significativo del número de malware. Puede decirse que las condiciones de seguridad del sistema financiero presentan distintas condiciones de riesgo que llevan a concluir que la confiabilidad no está plenamente demostrada porque no se ha generalizado una conciencia integral del fenómeno y su Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com impacto negativo, o porque los riesgos y amenazas por el medio en el cual se desarrollan siguen sin estar identificados, ha faltado coherencia en el aparejamiento de los sistemas de seguridad a los riesgos previstos, los instrumentos apropiados también permanecen desconocidos, se mantiene la pobre noción de las herramientas técnicas, jurídicas y sociales para enfrentarlos, las estrategias diseñadas siguen limitadas o son insuficientes para generar cultura de la seguridad informática en las instituciones en las organizaciones y en la sociedad. Según los reglamentos COBIT y UNE-ISO/IECI17799, un profesional en seguridad informática debe tener conocimientos en temas de seguridad como control de accesos (identificación y autentificación), entrada y salida de datos (gestión de soportes, gestión telemática), documentos de seguridad, trabajo fuera de los locales (autorización de recursos, informática móvil, teletrabajo), copias de seguridad, ficheros auxiliares, herramientas de encriptación y firmado de discos y ficheros, seguridad en redes (VPN, túnel cifrado), continuidad de negocio (sistemas RAID), copias de respaldo periódicas. Conclusiones de la encuesta Los encuestados muestran que debido a las vulnerabilidades que presentan sus lugares de trabajo tales como ataques externos el 67% se encuentra moderadamente preparado y el 33% poco. En cuanto a los ataques Internos el 33% se encuentra preparado, el 48% se moderadamente preparado y el 19% poco preparado. En relación con los descuidos de empleados el 31% se encuentra preparado, el 38% moderadamente preparado y el 31% poco preparado. Finalmente, al hablar de virus informático el 48% se encuentra preparado, el 42% moderadamente preparado y el 10% poco preparado para enfrentar un ataque informático de este nivel. Estas vulnerabilidades sobre todo en ataques externos en donde ningún encuestado indicó estar preparado en un nivel aceptable, lleva a analizar los requisitos en cuanto a conocimientos básicos aceptables para un profesional en seguridad informática: sistemas Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com operativos (Windows, Linux, UNIX) avanzados en un 25%, herramientas de seguridad (scanners, firewalls, IDS, contraseñas) en un 21%, mecanismos de seguridad (firmas digitales, certificados) con un 17%, Stack de TCP/IP en un 14% y protocolos de comunicación. Recomendaciones El puesto de un profesional en seguridad en informática aún no está definido ya que se forma con base en experiencias laborales o certificaciones individuales adquiridas y no se tiene un perfil con formación estandarizada internacionalmente con los conocimientos de países con mejores experiencias en el área. Es necesario que las universidades en Costa Rica tanto privadas como estatales incorporen una especialidad con un plan de estudios en Licenciatura que desarrolle los requisitos de formación antes mencionados y amplíen estos temas con estándares internacionales con experiencias de países más desarrollados en seguridad informática. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Bibliografía Álvarez, G. y otros.(N.D) Seguridad Informática para empresas y particulares. Madrid: McGraw-Hill. Cisco, Presentación de información diversas fuentes. 2008. Recuperado de http://www.dinero.com/negocios/telecomunicaciones/colombiatienemejorarseguridadinformatica_50693.aspx. CobiT (Objetivos de Control para la Información y Tecnologías). Consejos operativos de seguridad informática que no se deben olvidar. (Spanish). (2012). Especial Directivos, (1575), 5-11. Recuperado de http://web.ebscohost.com/ehost/viewarticle?data=dGJyMPPp44rp2%2fdV0%2bnjisfk5Ie46 bVRs6a2TK6k63nn5Kx95uXxjL6trVCtqK5JsJazUrKpuEmxls5lpOrweezp33vy3%2b2G59 q7SbWrr062q7RJpOLfhuWz44uk2uBV5OvfPvLX5VW%2fxKR57LO1S7Wvt1G2r6R%2 b7ejrefKz5I3q4vJ99uoA&hid=11 Fediscom: herramienta informática para mejorar la seguridad en los comercios. (Spanish). (2010). Gestión Práctica de Riesgos Laborales, (77), 64. Recuperado de http://web.ebscohost.com/ehost/viewarticle?data=dGJyMPPp44rp2%2fdV0%2bnjisfk5Ie46 bVRs6a2TK6k63nn5Kx95uXxjL6trVCtqK5JsJazUrKpuEmxls5lpOrweezp33vy3%2b2G59 q7SbWrr062q7RJpOLfhuWz44uk2uBV5OvfPvLX5VW%2fxKR57LO0TreptUiwr6R%2b 7ejrefKz5I3q4vJ99uoA&hid=11 ISACA Certification: IT Audit, Security, Governance and Risk. ND. Recuperado de http://www.isaca.org/Certification/CISM-Certified-Information-SecurityManager/Pages/default.aspx Las 20 principales fallas de seguridad informática. (Spanish). (2002). Chasqui (13901079), (80), 76. Recuperado de http://web.ebscohost.com/ehost/pdfviewer/pdfviewer?sid=672723ae-1fcb-407b-8be3293cb5ddcc49%40sessionmgr11&vid=1&hid=11 Molina, K., Meneses, J., & Salgado, I. (2009). Firewall - linux: una solución de seguridad informática para pymes (pequeñas y medianas empresas). (Spanish). UIS Ingenierías, 8(2), 155-165.Recuperado de http://web.ebscohost.com/ehost/viewarticle?data=dGJyMPPp44rp2%2fdV0%2bnjisfk5Ie46 bVRs6a2TK6k63nn5Kx95uXxjL6trVCtqK5JsJazUrKpuEmxls5lpOrweezp33vy3%2b2G59 q7SbWrr062q7RJpOLfhuWz44uk2uBV5OvfPvLX5VW%2fxKR57LOyULWvtkywqqR% 2b7ejrefKz5I3q4vJ99uoA&hid=11 Norma ISO 27 001. Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com Ojeda-Pérez, J., Rincón-Rodríguez, F., Arias-Flórez, M., & Daza-Martínez, L. (2010). Delitos informáticos y entorno jurídico vigente en Colombia. (Spanish). Cuadernos de Contabilidad, 11(28), 41-66. Recuperado de http://web.ebscohost.com/ehost/viewarticle?data=dGJyMPPp44rp2%2fdV0%2bnjisfk5Ie46bVRs6 a2TK6k63nn5Kx95uXxjL6trVCtqK5JsJazUrKpuEmxls5lpOrweezp33vy3%2b2G59q7SbWrr062q7RJpO LfhuWz44uk2uBV5OvfPvLX5VW%2fxKR57LOzUbOosEu2raR%2b7ejrefKz5I3q4vJ99uoA&hid=11 Seguridad informática: cinco falsas creencias. (Spanish). (2010). Especial Directivos, (1518), 2-4. Recuperado de http://web.ebscohost.com/ehost/viewarticle?data=dGJyMPPp44rp2%2fdV0%2bnjisfk5Ie46 bVRs6a2TK6k63nn5Kx95uXxjL6trVCtqK5JsJazUrKpuEmxls5lpOrweezp33vy3%2b2G59 q7SbWrr062q7RJpOLfhuWz44uk2uBV5OvfPvLX5VW%2fxKR57LOzTrOttU%2bwqqR %2b7ejrefKz5I3q4vJ99uoA&hid=11 Seguridad informática: tendencias para el nuevo año. (Spanish). (2010). Especial Directivos, (1522), 3-4. Recuperado de http://web.ebscohost.com/ehost/viewarticle?data=dGJyMPPp44rp2%2fdV0%2bnjisfk5Ie46bVRs6 a2TK6k63nn5Kx95uXxjL6trVCtqK5JsJazUrKpuEmxls5lpOrweezp33vy3%2b2G59q7SbWrr062q7RJpO LfhuWz44uk2uBV5OvfPvLX5VW%2fxKR57LOzT7Kvrk22pqR%2b7ejrefKz5I3q4vJ99uoA&hid=11 Solange. D.M. (2007). Certificaciones de Seguridad informática, Segu – Info Seguridad Informática. Recuperado de http://www.segu-info.com.ar/articulos/39-certificaciones-en-seguridad.htm UNE-ISO/IEC 17799 (Tecnología de la Información: Código de buenas prácticas para la Gestión de la Seguridad de la Información). UNE 71501-1/-2/-3. Tecnología de la Información. Velasco Melo, A. (2008). El derecho informático y la gestión de la seguridad de la información una perspectiva con base en la norma ISO 27 001. (Spanish). Revista de Derecho, (29), 333-366. Recuperado de http://web.ebscohost.com/ehost/viewarticle?data=dGJyMPPp44rp2%2fdV0%2bnjisfk5Ie46 bVRs6a2TK6k63nn5Kx95uXxjL6trVCtqK5JsJayUrOsuEixls5lpOrweezp33vy3%2b2G59q 7SbWrr062q7RJpOLfhuWz44uk2uBV5OvfPvLX5VW%2fxKR57LOxTLest0yuqKR%2b7 ejrefKz5I3q4vJ99uoA&hid=11 Lenin Ugalde Rodríguez, Opta por el grado de Licenciatura en Desarrollo de Software. Leninugalde4@hotmail.com