Seguridad en los desarrollos de Sistemas en Pymes

[Carlos Daniel Sandoval]

¿Qué aspectos de seguridad informática cree usted que se debe tomar en cuenta para desarrollos de sistemas en las Pymes? (responder a criterio).

[Yely Josefina Galindo Ribera]

Yo creo que, las Pymes por lo general invierten muy poco en la seguridad informática, desde el desarrollo de sus sistemas hasta la seguridad en sus redes o servidores internos. Tendremos que tener cuidado en el desarrollo de software para asegurar el acceso seguro de las personas internas, externas. Tener en cuenta las copias de seguridad del sistema, Asegurar la información de forma eficiente en la BD, tener roles de acuerdo a cargos en la BD para poder realizar solo lectura/escritura. Obligar la actualización de contraseñas, es importante definir estándares de seguridad para la empresa y para el acceso al mismo, también políticas para el uso del mismo, pienso que muchas veces como desarrolladores no tenemos la potestad para hacer muchas cosas necesarias pero es importante hacerlo notar a los superiores.

Recuerdo una vez que audite un sistema, tenia cambios de contraseña, expiración, control de perfiles, en fin bastante control de seguridad pero se conectaba a la bd con sa/sa y quedaba expuesta la BD, pienso que hay que tener cuidado en la integridad del sistema en conjunto.

[Luis Carlos Cruz]

Las pymes al ser muy variadas en cuanto a modelos de negocios, recursos muy limitados destinados a el área tecnológica y dependiendo de su tamaño dará poco énfasis en lo que es el desarrollo y mantenimiento de su software, equipos. Estos tienden a invertir hasta cuando el sistema esta desplegado.

Por ese motivo se debe buscar un equilibrio donde la administración de los recursos como BD, servidores y el software desarrollado no sean elevados y las pymes estén dispuestas a invertir.

Por ejemplo:

• Para bases de datos tenemos varios proveedores que nos dan un buen nivel de confiabilidad en cuanto a seguridad: AWS, Google Cloud, Azure entre los principales. Limitar a que la DB sea solo accedida por la aplicación cuando se está en producción, conexiones tienden a ser por protocolos seguros. Las contraseñas tienen que cumplir requisitos mínimos. Los backups son automáticos.
• Si la pyme requiere un sistema en línea para tener acceso desde sucursales, se puede optar por un VPS que de la misma manera que lo hacen los proveedores de BD. Algunos incluso extreman esfuerzos en seguridad en los SOs que proveen.
• Con respecto a software se tiene que seguir la misma línea iniciando al forzar contraseñas seguras, si las conexiones se realizan fuera de las instalaciones y si los datos son sensibles a través de VPNs.
• A nivel del desarrollo dependiendo de la tecnología a ser utilizada, seguir sus buenas prácticas usando las herramientas de seguridad que provean desde un inicio.

[Guillermo Soliz Nagatoshi]

A mi parecer y por experiencia, la mayor parte de las Pymes no tienden a buscar un sistema desarrollado específicamente para ellos, por ende buscan sistemas ya desarrollados, en algunos casos no toman en cuenta la seguridad que manejan.

En cuanto a seguridad he tenido la suerte de desarrollar un CRM para una pyme, su estructura organizacional estaba muy bien estructurada y se manejaba todo por Active Directory separado por diferentes dominios, tambien el acceso era solo por VPN en donde solo te autorizaban un equipo por empleado, todos los servidores estaban separados, el usuario de la base de datos estaba limitado a solo lectura y escritura.

[Manuel Joaquin Saavedra Severiche]

Personalmente pienso que la seguridad de la información tiene diferentes niveles dentro de una empresa, aquellas empresas que cuentan con manuales y procedimientos de funcionamiento, procesos internos, entre otros, casi de manera obligatoria deben tener procedimientos y políticas que especifiquen la seguridad en la información que administran.

Por contraparte las empresas Pymes (pequeñas y medianas empresas) se centran mas en la parte operativa del negocio, es decir, el producto o servicio que ofrezcan y el proceso de oferta y demanda que conlleve una venta y distribución con los clientes, generalmente administran sistemas no hechos a medida (genéricos y adaptables) los cuales en su mayoría de los casos no traen consigo los resguardos de seguridad adecuados en sus distintas capas: Funcionalidades, Roles y Usuarios, base de datos, entre otros. Por consiguiente queda claro que están expuestos a ataques informáticos de todo tipo que podrían violar la seguridad del sistema; para evitar ellos podríamos analizar algunos factores claves durante el desarrollo de un sistema a requerimiento de las pymes.

• Desarrollo de Software hecho a medida, opcionalmente adaptativos o genéricos pero que cumplan con los estándares de seguridad mínimos necesarios, eso sin contar que debe cumplir con las funcionalidades requeridas por el negocio.
• Canales de integración seguros con otros sistemas, permitiendo expandir el alcance del sistema con nuevas soluciones informáticas ampliando así el volumen crecimiento del negocio que así lo disponga.
• Implementación de procedimientos y políticas de seguridad de la información monamente básicas en sus diferentes niveles
• Manuales de uso del sistema categorizados por módulos o secciones para mejor entendimiento del usuario final.
• Aplicación de estándares y buenas practicas que refuercen el concepto de un sistema seguro, esto hablando durante la construcción del software. Ej. Seguridad en los protocolos de transferencia de datos, utilización de capas de abstracción a la base de datos como lo son los ORM (Object Relational Mapping), Integración de módulos de control de roles y privilegios de terceros que sean garantizados y probados con el tiempo.

 

 

[Sergio Amilcar Ortiz Martinez]

El desarrollo de las aplicaciones para una pymes o para cualquier empresa deben ser las mismas cumpliendo los niveles mínimos de seguridad, es posible que las empresa (Pyme) no sea madura y no aplique los controles que el sistema soporte, el nivel seguridad dependerá de la madurez que la empresa tenga y no así del software desarrollado.

Es posible que una pequeña o mediana empresa pueda inspirar un nivel bajo de seguridad pero no podemos guiarnos por esa percepción superflua para decidir la seguridad del desarrollo del sistema.

Aplicando las buenas practicas, la implementación de un software debe estar acompañada de la recomendaciones de seguridad que el usuario debe cumplir, sin embargo la decisión final y según la políticas internas son quienes decidirán la aplicación de las misma.

En conclusión, la seguridad de los desarrollos de Sistemas (Pymes o no Pymes)  deber tener los niveles mínimos recomendables.

[Kleber Isaac Aquilar Perez]

Yo creo que cada empresa debe preocuparse en aspectos informáticos de acuerdo al tamaño de la empresa y la sensibilidad o tipo de información que manejan, si bien no podemos comparar en cuestiones de seguridad a las pymes con empresas de gran tamaño o volúmenes de información que manejan, esto no quiere decir que la relevancia de ésta sea baja o nula. Definir buenos niveles de seguridad informática y seguridad de la información será un aspecto muy importante para la fidelización y captación de nuevos clientes; que al final de cuentas es un objetivo que mantienen todas las empresas. Tomando en cuenta estos aspectos las pymes deben adoptar medidas de seguridad de acuerdo al tamaño de su empresa no solo para el presente, sino también a futuro, una buena forma de lograr esto es preparando planes de contingencia evaluando agentes internos y externos de tal forma poder “adelantarse” en cierta manera a posibles amenazas y saber como actuar en su momento.

[Adan Condori Calisaya]

En mi opinión el desarrollo de software seguros debe ser aplicado en PyMEs, esto con el objetivo de proveer un valor agregado en la seguridad del software. El nivel de seguridad aplicada en una empresa PyME dependerá del nivel de madures y que tan grande sea la empresa, cuando la empresa es pequeña usualmente solo aplicar algunos puntos de seguridad al momento de desarrollar software esto a causa del número de desarrolladores y prioridades que se tiene, en cambio una empresa madura entiende y comprende la gran importancia de aplicar seguridad en todo el proceso de desarrollo de software.

Usualmente en las PyMEs tiene este conflicto: Seguridad VS Funcionalidad, por lo cual la empresa deberá definir el criterio a seguir en su desarrollo.

A continuación listo algunos puntos de seguridad necesarios en el desarrollo de software

• Controles de Autenticación
• Control de roles y privilegios
• Se debe tener un documento de captura de requisitos o solicitud del desarrollo de software ademas de los riesgos.
• Se debe realizar un análisis de seguridad antes iniciar el desarrollo para definir la arquitectura, tecnologías a utilizar para tener seguridad e integridad de información
• El código fuente debe ser de acceso solo para los desarrolladores, así mismo como la incorporación de código a las ramas principales, las ramas principales deben estar protegidas según su importancia
• Segregación de funciones por ejemplo:
  • Base de Datos
  • Ambientes de despliegues tanto de código como Base de Datos (Develop, Staging, Production).
  • Credenciales de accesos a integraciones como API
  • Telecomunicaciones encargado de la interacción de redes (proxy, salidas e ingreso de otras redes)
  • Control de calidad de código y Documentación Básica

En conclusión,
El desarrollo de software seguro se encuentra en todo el ciclo de desarrollo por lo cual se debe aplicar las buenas practicas recomendadas esto con el objetivo de mitigar fuga o perdida de información. Entre las buenas practicas tenemos OWASP en cuál se encuentra las buenas practicas a seguir.

La seguridad no es un producto, es una sumatoria de personas, procesos y tecnologías.

[Alvaro Cardenas Venegas]

La seguridad de la informacion tanto en un PYMEs como en una empresa de mayor tamaño radica en el compromiso que tenga la alta gerencia con este aspecto, la recomendacion para el desarollo de sistemas en PYMEs y su posterior operacion radica en aplicar los principios de un sistema de gestion de la seguridad de la informacion dentro del ciclo PHVA (Planear, Hacer, Verificar, Actuar) y que sea la politica de gestion de la seguridad de la informacion quien defina el nivel de rigidez de los controles que se requieran a partir de un analisis de riesgos, se puede considerar las siguiente lista de actividades como una linea base para implantar un S-SDLC en una PYMEs y que soporte las politicas del desarrollo de software seguro:

• Asegurar el compromiso de la alta direccion.
• Establecer los roles y responsabilidades.
• Definir los objetivos y el alcance de la gestion de las soluciones a implementar (Software de caja o a medida).
• Realizar un analisis de riesgos enmarcados en el alcance definido (determinar el nivel de sensibilidad de la informacion).
• Realizar un documento de aplicabilidad en funcion al tratamientode los riesgos identificados, el cual definira la inclusion o exclusion de controles de acuerdo a los pasos previos.
• Diseñar la arquitectura del sistema en funcion a las amenazas y vulnerabilidades identificadas.
• Incorpar al proceso de desarrollo de software pruebas de seguridad y controles sobre el proceso mismo.
• Determinar ambientes aislados que soporte el SDLC.
• El diseño de la solucion debe contemplar principios basicos de seguridad informatica como: Tipos de usuario, ciclo de vida de los privilegios, principio del minimo privilegio, fallo seguro ante escalada de privilegios entre otros.
• Capacitar al personal en los controles implementados y los procesos de gestion de incidentes de seguridad.

 

A la actividades anteriores, en la medida que la alta direccion asuma el beneficio de incoporar controles de seguridad informatica sobres sus activos de la informacion, se pueden ir agregando otros de acuerdo a las necesidades de la organizacion y su capacidad de financiarlos previo analisis de riesgos.

[Franz Ajit Singh Verdi]

La seguridad en el desarrollo de software ha llevado a la necesidad de utilizar diferentes modelos de proceso de software adaptados y combinados de diferente manera para lograr un proceso óptimo sin perder de vista uno de los objetivos que es lograr un software de calidad en todos los aspectos, y confiable en todas sus dimensiones tanto en disponibilidad, confiabilidad e integridad.

para esto ser debería utilizar:

• Mecanismos de autentificación
• Mecanismos de autorización
• Utilizar criptografía
• Establecer roles y permisos
• Validar la información sensible

[Alvaro Dante Espejo Maidana]

En los sistemas Pymes la seguridad en el desarrollo en muy importante, esta debe ser aplicada con la finalidad de proteger la información y los sistemas informáticos frente a cualquier amenaza que pueda comprometer la seguridad de los mismos, es muy importante considerar el uso de algún marco de trabajo como COBIT, el uso de estándares de seguridad como ISO/IEC 27001 y ISO/IEC 27002 y el uso de herramientas de software como OWASP.

El nivel de madurez actual y el nivel de madurez al que se quiere llegar permitirá definir las metas a trabajar. Pero en nuestro medio este nivel de madurez en ocasiones es definido por el plazo de tiempo y el presupuesto con el que cuenta el proyecto.

También se deben considerar niveles de riesgo tales como:

• Inyección.
• Autenticación rota.
• Exposición de datos sensibles.
• Entidades externas XML (XXE).
• Control de acceso roto.
• Mala configuración de seguridad.
• Cross-Site Scripting XSS.
• Deserialización insegura.
• Uso de componentes con vulnerabilidades conocidas.
• Registro y monitoreo insuficientes.

[Kevin Eduardo Barja]

Como el nombre lo dice ‘pequeña y mediana empresa’, este tipo de empresas tienen recursos limitados (humanos/económicos) pero no por eso se debe descuidar la seguridad en el desarrollo de sus sistemas, ya que sería un grabe error que les podría costar caro si es que sus sistemas e información es comprometida.

Para el desarrollo de sistemas en Pymes se debe aplicar minimamente algunos aspectos de la seguridad informática, como ser:

–  Infraestructura: firewall, proxy, vpn, os actualizados, antivirus.

–  Controles de accesos: gestor de dominio, bitácora, logs, roles y permisos.

–  Políticas: Definir políticas de cambio de contraseña.

– Capacitación continúa al equipo a manera de consientización sobre los riesgos existentes.

Se aconseja en la medida que sea posible apalancar la infraestructura contratando servicios en la nube (pagar de acuerdo a sus necesidades y escalan fácilmente) y los desarrollos debería estar sobre frameworks de desarrollo ya que estos contemplan muchos acpectos de seguridad y son validados por la comunidad.

[Irene Jenny Apaza Peralta]

<p style=”text-align: justify; background: white;”><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>El problema de la seguridad de la información en las pymes no se puede resolver solo mediante la sensibilización sobre la gravedad de sus consecuencias de la seguridad de información, debido a que las PYME suelen operar con presupuestos muy ajustados; lo que lleva a la seguridad de la información a bajar de la lista de prioridades.</span></p>
<p style=”text-align: justify; background: white;”><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>Lo principal es <b style=”mso-bidi-font-weight: normal;”>demostrar la utilidad que brinda la seguridad</b> de la información(es decir <b style=”mso-bidi-font-weight: normal;”>identificar las acciones necesarias a realizar</b> y asignar responsabilidades) esto obviamente conlleva a una inversión para ser viable las acciones de seguridad.</span></p>
<p style=”text-align: justify; background: white;”><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>Entre las acciones o aspectos necesarios que se debe tomar en cuenta están: </span></p>
<p style=”margin-left: 36.0pt; text-align: justify; text-indent: -18.0pt; mso-list: l0 level1 lfo1; background: white;”><!– [if !supportLists]–><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; mso-fareast-font-family: ‘Century Gothic’; mso-bidi-font-family: ‘Century Gothic’; color: #444444;”><span style=”mso-list: Ignore;”>1.<span style=”font: 7.0pt ‘Times New Roman’;”>      </span></span></span><!–[endif]–><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>La identificación de las necesidades de seguridad de la información.</span></p>
<p style=”margin-left: 36.0pt; text-align: justify; text-indent: -18.0pt; mso-list: l0 level1 lfo1; background: white;”><!– [if !supportLists]–><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; mso-fareast-font-family: ‘Century Gothic’; mso-bidi-font-family: ‘Century Gothic’; color: #444444;”><span style=”mso-list: Ignore;”>2.<span style=”font: 7.0pt ‘Times New Roman’;”>      </span></span></span><!–[endif]–><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>La puesta en práctica de estrategias para satisfacer esas necesidades, medir los resultados y mejorar las estrategias de protección </span></p>
<p style=”margin-left: 36.0pt; text-align: justify; text-indent: -18.0pt; mso-list: l0 level1 lfo1; background: white;”><!– [if !supportLists]–><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; mso-fareast-font-family: ‘Century Gothic’; mso-bidi-font-family: ‘Century Gothic’; color: #444444;”><span style=”mso-list: Ignore;”>3.<span style=”font: 7.0pt ‘Times New Roman’;”>      </span></span></span><!–[endif]–><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>Definir políticas, sensibilización, formación y educación para ayudar a las empresas a crear una <b style=”mso-bidi-font-weight: normal;”>cultura de seguridad de la información</b></span></p>
<p style=”text-align: justify; background: white;”><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>Para tener una cultura de seguridad <span style=”mso-spacerun: yes;”> </span>y viabilizar todas las acciones de seguridad de información se debe se debe tomar en cuenta estos elementos: </span></p>
<p style=”text-align: justify; background: white;”><b style=”mso-bidi-font-weight: normal;”><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>Aprendizaje organizacional e individual</span></b><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>: La cultura de seguridad de la información debe difundirse en todos los niveles de la organización, tanto a nivel individual como colectivo, podría ser útil emplear un enfoque de aprendizaje organizacional.</span></p>
<p style=”text-align: justify; background: white;”><b style=”mso-bidi-font-weight: normal;”><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>Gestión:</span></b><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”> Programas de sensibilización (apoyados por la dirección, amenazas de medidas disciplinarias, cláusulas en los contratos de trabajo, etc.), la formación, la educación o el valor de liderazgo son </span><span style=”font-size: 10.5pt; font-family: ‘Arial’,’sans-serif’; color: #444444;”>​​</span><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>iniciativas valiosas para el desarrollo de la seguridad de la informaci</span><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; mso-bidi-font-family: ‘Century Gothic’; color: #444444;”>ó</span><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>n</span></p>
<p style=”text-align: justify; background: white;”><b style=”mso-bidi-font-weight: normal;”><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”>Cultura de seguridad:</span></b><span style=”font-size: 10.5pt; font-family: ‘Century Gothic’,’sans-serif’; color: #444444;”> Procedimientos con los que responder a nuevos eventos (como violaciones de seguridad) ayudará a subrayar la importancia de la seguridad de la información para los trabajadores. Los incentivos pueden también será útil para modificar el comportamiento de los empleados. Los controles de gestión deben basarse en valores éticos.</span></p>

[Irene Jenny Apaza Peralta]

<p style=”text-align: justify; background: white;”><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>El problema de la seguridad de la información en las pymes no se puede resolver solo mediante la sensibilización sobre la gravedad de sus consecuencias de la seguridad de información, debido a que las PYME suelen operar con presupuestos muy ajustados; lo que lleva a la seguridad de la información a bajar de la lista de prioridades.</span></p>
<p style=”text-align: justify; background: white;”><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>Lo principal es <b style=”mso-bidi-font-weight: normal;”>demostrar la utilidad que brinda la seguridad</b> de la información(es decir <b style=”mso-bidi-font-weight: normal;”>identificar las acciones necesarias a realizar</b> y asignar responsabilidades) esto obviamente conlleva a una inversión para ser viable las acciones de seguridad.</span></p>
<p style=”text-align: justify; background: white;”><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>Entre las acciones o aspectos necesarias que se debe tomar en cuenta están: </span></p>
<p style=”margin-left: 36.0pt; text-align: justify; text-indent: -18.0pt; mso-list: l0 level1 lfo1; background: white;”><!– [if !supportLists]–><span style=”font-family: ‘Arial’,’sans-serif’; mso-fareast-font-family: Arial; color: #444444;”><span style=”mso-list: Ignore;”>1.<span style=”font: 7.0pt ‘Times New Roman’;”>    </span></span></span><!–[endif]–><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>La identificación de las necesidades de seguridad de la información.</span></p>
<p style=”margin-left: 36.0pt; text-align: justify; text-indent: -18.0pt; mso-list: l0 level1 lfo1; background: white;”><!– [if !supportLists]–><span style=”font-family: ‘Arial’,’sans-serif’; mso-fareast-font-family: Arial; color: #444444;”><span style=”mso-list: Ignore;”>2.<span style=”font: 7.0pt ‘Times New Roman’;”>    </span></span></span><!–[endif]–><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>La puesta en práctica de estrategias para satisfacer esas necesidades, medir los resultados y mejorar las estrategias de protección </span></p>
<p style=”margin-left: 36.0pt; text-align: justify; text-indent: -18.0pt; mso-list: l0 level1 lfo1; background: white;”><!– [if !supportLists]–><span style=”font-family: ‘Arial’,’sans-serif’; mso-fareast-font-family: Arial; color: #444444;”><span style=”mso-list: Ignore;”>3.<span style=”font: 7.0pt ‘Times New Roman’;”>    </span></span></span><!–[endif]–><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>Definir políticas, sensibilización, formación y educación para ayudar a las empresas a crear una <b style=”mso-bidi-font-weight: normal;”>cultura de seguridad de la información</b></span></p>
<p style=”text-align: justify; background: white;”><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>Para tener una cultura de seguridad <span style=”mso-spacerun: yes;”> </span>y viabilizar todas las acciones de seguridad de información se debe se debe tomar en cuenta estos elementos: </span></p>
<p style=”text-align: justify; background: white;”><b style=”mso-bidi-font-weight: normal;”><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>Aprendizaje organizacional e individual</span></b><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>: La cultura de seguridad de la información debe difundirse en todos los niveles de la organización, tanto a nivel individual como colectivo, podría ser útil emplear un enfoque de aprendizaje organizacional.</span></p>
<p style=”text-align: justify; background: white;”><b style=”mso-bidi-font-weight: normal;”><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>Gestión:</span></b><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”> Programas de sensibilización (apoyados por la dirección, amenazas de medidas disciplinarias, cláusulas en los contratos de trabajo, etc.), la formación, la educación o el valor de liderazgo son ​​iniciativas valiosas para el desarrollo de la seguridad de la información</span></p>
<p style=”text-align: justify; background: white;”><b style=”mso-bidi-font-weight: normal;”><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”>Cultura de seguridad:</span></b><span style=”font-family: ‘Arial’,’sans-serif’; color: #444444;”> Procedimientos con los que responder a nuevos eventos (como violaciones de seguridad) ayudará a subrayar la importancia de la seguridad de la información para los trabajadores. Los incentivos pueden también será útil para modificar el comportamiento de los empleados. Los controles de gestión deben basarse en valores éticos.</span></p>

[Irene Jenny Apaza Peralta]

El problema de la seguridad de la información no se puede resolver solo mediante la sensibilización sobre la gravedad y consecuencias de la seguridad de información; esto debido a que las PYME’s suelen operar con presupuestos ajustados, lo que conlleva a la seguridad de información a bajar de la lista de prioridades.

Lo principal es demostrar la utilidad que brinda la seguridad de la información( es decir identificar las acciones necesarias y asignar responsabilidades) , esto obviamente conlleva a una inversión para hacer viable las acciones de seguridad.

Entre las acciones o aspectos necesarios que se debe tomar en cuenta es:

1. La identificación de la seguridad de información.
2. La puesta en practica de las estrategias para satisfacer las necesidades, medir los resultados y mejorar las estrategias de protección.
3. Definir políticas de sensibilización, formación, educación para ayudar a las empresas a crear una cultura de seguridad de información.   

Para tener una cultura de seguridad  y viabilizar todas las acciones de seguridad se debe tomar en cuenta los siguientes elementos:

Aprendizaje organizacional o individual: La cultura de seguridad de información debe difundirse en todos los niveles de la organización, tanto individual como colectivo, podría ser útil de  emplear un enfoque de aprendizaje organizacional.

Gestión: Programas de sensibilización (apoyados por la dirección, amenazas de medidas disciplinarias,  clausulas en los contratos de trabajo, etc. ) , la formación, la educación, el valor de liderazgo son iniciativas valiosas para el desarrollo de la seguridad de información.

Cultura de seguridad: Procedimientos con los que responder a los nuevos eventos( violaciones de seguridad)  ayudará a subrayar la importancia de la seguridad de información para los trabajadores. Los incentivos en el personal puede ser útil para modificar el comportamiento de los empleados. Los controles de Gestión deben basarse en valores éticos.

 

[Nanet Taboada Frias]

Las PyMES al manejar recursos económicos muy limitados y exigir agilidad máxima en el desarrollo de software se expone a descuidar el factor seguridad en el software, por esas razones pienso que se debería de explicar la importancia de la seguridad en el software al cliente, A pesar de estas limitantes, las nuevas tecnologías permiten que las PyMES puedan desarrollar diversas medidas preventivas a precios accesibles, y así garantizar una adecuada protección de la información de la empresa, a partir de ello aplicar las siguientes medidas de seguridad:

• Analizar y definir roles, privilegios para el acceso al software.
• Por cada acción al utilizar el software registrar una bitácora y logs.
• Definir estándares para el ingreso y cambio de contraseñas (Longitud de contraseña, Contraseña alfanumérica, Caracteres especiales, Periodicidad para el cambio de contraseña, Cantidad de intentos máximos para iniciar sesión).
• Aplicar encriptación para datos sensibles.
• Respaldo de la información y copias de seguridad automáticos de la base de datos en el servidor.
• Definir roles, privilegios, acceso de lectura y/o escritura para usuarios de la base de datos.
• Utilizar software profesional firewall y anti-malware que nos permitirán proteger la red de posibles ataques que lleguen fuera del servidor.
• Capacitación a participantes de la empresa, ante cualquier acción preventiva es bueno sensibilizar a los colaboradores de la empresa y tomar medidas.

En resumen, se deben tomar acciones de seguridad a nivel administrativo, software, hardware, políticas y estándares en los colaboradores de la empresa.

[Paul Fernando Grimadlo Bravo]

Las Pymes al ser empresas pequeñas o medianas están enfocadas en aspectos comerciales por encima de la seguridad.

Sin embargo para evitar problemas a futuro, comenzar a implantar la semilla de lo que es importante a futuro con respecto a la seguridad de los datos puede evitar daños y perdidas a estas Pymes.

Si bien para cumplir con los objetivos no se exige que busquen un nivel de seguridad 5 (Y también debido a la madurez de estas empresas) hay algunos aspectos mínimos con los cuales pueden comenzar.

• Roles y privilegios para sus usuarios.
• Logs en la aplicación.
• Bitácora de acciones.
• Políticas para la creación de contraseñas.
• Control de acceso a servidores de producción.
• Gestión de redes internas

[Patricia Cano Encinas]

Las Pymes como toda empresa debe considerar que la información es un elemento vital para el éxito de las mismas y se debe realizar todos los esfuerzos para protegerla y evitar en lo posible los riesgos de TI.

Se entiende que como Pymes no se cuente con los mismos recursos que una empresa grande, y que al momento de decidir sobre una solución a los requerimientos de la empresa, por lo general se opte por un software que exista en el mercado y se adapte a sus necesidades vs software a medida, pero existen aspectos de la seguridad informática que son fundamentales aplicar en ambos casos:

• Concienciar al equipo y alta dirección de la importancia de la seguridad de la información, de manera que se adopten estrategias de socialización de los riesgos y acciones preventivas al resto de la empresa
• Establecer políticas y procedimientos de acceso a la información
  • Roles y privilegios delimitados
  • Gestión de contraseñas seguras
  • Estrategias que aseguren la confidencialidad de la información
• Evaluar el nivel de seguridad de la información de las soluciones adoptadas o desarrolladas: Controles de accesos a la aplicación y bds, backups, etc.
• Aplicar los tipo de controles de aplicación sobre los sistemas
• Realizar verificaciones en la seguridad  de la infraestructura para evitar vulnerabilidades: Firewalls, antivirus, actualizaciones, etc.

[Ana Isabel Parraga Martinez]

A mi criterio, los aspecto fundamentales de la seguridad informatica a implementar deben considerar inicialmente segun el tipo de información que manejan y PPTO, dado que, si la información es muy sencible y tiene poco ppto, el negocio podria considerar incrementarlo y de ese modo también podrá “vender” sus servicios con un valor agregado “como más seguros”.

Pero los aspectos a implementar deberían estar orientados a los 3 aspectos fundamentales, la disponibilidad, confidencialidad, e integridad, para el desarrollo podría ser:

– Estándares para desarrollo de sistemas.

– Gestión de cambios en el sistema.

– perfiles de usuarios bien definidos, Acceso necesario de usuarios a la información.

– gestión de contraseñas.

– cifrado de la información en la comunicación de los servicios.

– manejo de errores

– aplicar controles de complimiento.

– etc.

[Marco Antonio Gil Montero]

 
<p style=”margin-bottom: 0cm; line-height: 100%;”>El sistema debe poder realizar copias de seguridad</p>
<p style=”margin-bottom: 0cm; line-height: 100%;”>Los Usuarios deben estar capacitados para usar correctamente el sistema.</p>
<p style=”margin-bottom: 0cm; line-height: 100%;”>La Información sensible en la base de datos debe estar encriptada</p>
<p style=”margin-bottom: 0cm; line-height: 100%;”>El sistema operativo de la base de datos debe ser actualizado constantemente</p>
<p style=”margin-bottom: 0cm; line-height: 100%;”>Debe utilizarse antvirus en todo los equipos</p>
<p style=”margin-bottom: 0cm; line-height: 100%;”>debe implementase herramientas de seguridad como firewalls o cortafuegos</p>
<p style=”margin-bottom: 0cm; line-height: 100%;”>El sistema debe implementar los permisos de usuarios y roles para el acceso al menu</p>
 

[Autor]

Entradas