Políticas de Seguridad Informática
Las
políticas son una serie de instrucciones documentadas que indican la
forma en que se llevan a cabo determinados procesos dentro de una
organización, también describen cómo se debe tratar un determinado
problema o situación.
Este documento está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas.
Este documento está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas.
Por
simples qeu parezcan, las políticas de seguridad pueden evitar
desastres mayores
Las
políticas pueden considerarse como un conjunto de leyes obligatorias
propias de una organización, y son dirigidas a un público mayor que
las normas pues las políticas proporcionan las instrucciones
generales, mientras que las normas indican requisitos técnicos
específicos. Las normas, por ejemplo, definirían la cantidad de
bits de la llave secreta que se requieren en un algoritmo de cifrado.
Por otro lado, las políticas simplemente definirían la necesidad de
utilizar un proceso de cifrado autorizado cuando se envíe
información confidencial a través de redes públicas, tales como
Internet.
Entrando
al tema de seguridad informática, una política de seguridad es un
conjunto de reglas y prácticas que regulan la manera en que se deben
dirigir, proteger y distribuir los recursos en una organización
para llevar a cabo los objetivos de seguridad informática de la
misma.
El
objetivo de una política de seguridad informática es la de
implantar una serie de leyes, normas, estándares y prácticas que
garanticen la seguridad, confidencialidad y disponibilidad de la
información, y a su vez puedan ser entendidas y ejecutadas por
todos aquellos miembros de la organización a las que van dirigidos.
La
misión, visión y objetivos varían mucho de una organización a
otra, esto es normal si se considera que una organización es
diferente de otra en sus actividades y en el conjunto de elementos
que la conforman (Elementos humanos, recursos materiales,
infraestructura).
De
manera rápida se definirán los conceptos de misión, visión y
organización.
Misión
Una
misma organización puede tener varias misiones, que son las
actividades objetivas y concretas que realiza. Las misiones también
pretenden cubrir las necesidades de la organización.
La misión es influenciada en momentos concretos por algunos elementos como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas
La misión es influenciada en momentos concretos por algunos elementos como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas
Visión
Es
la imagen idealizada de lo que se quiere crear. Tal idea debe estar
bien definida, pues todas las actividades de la organización estarán
enfocadas a alcanzar esta visión.
Objetivos
Son
actividades específicas enfocadas a cumplir metas reales,
alcanzables y accesibles. Se puede decir que un objetivo es el
resultado que se espera logrra al final de cada operación.
Así,
se vuelve importante considerar la misión, la visión y el objetivo
de ser de la empresa, a fin de realizar un estudio que con base en
éstas permita identificar el conjunto de políticas de seguridad
informática que garantice la seguridad, confidencialidad y
disponibilidad de la información.
Son
las ideas principales a partir de las cuales son diseñadas las
políticas de seguridad.
Los
principios fundamentales son: responsabilidad individual,
autorización, mínimo privilegio, separación de obligaciones,
auditoría y redundancia.
Este
principio dice que cada elemento humano dentro de la organización es
responsable de cada uno de sus actos, aun si tiene o no
conciencia de las consecuencias.
Son
las reglas explícitas acerca de quién y de qué manera puede
utilizar los recursos.
Este
principio indica que cada miembro debe estar autorizado a utilizar
únicamente los recursos necesarios para llevar a cabo su trabajo.
Además de ser una medida de seguridad, también facilita el soporte
y mantenimiento de los sistemas.
Las
funciones deben estar divididas entre las diferentes personas
relacionadas a la misma actividad o función, con el fin de que
ninguna persona cometa un fraude o ataque sin ser detectado. Este
principio junto con el de mínimo privilegio reducen la posibilidad
de ataques a la seguridad, pues los usuarios sólo pueden hacer uso
de los recursos relacionados con sus actividades, además de que
facilita el monitoreo y vigilancia de usuarios, permitiendo registrar
y examinar sus acciones.
Todas
las actividades, sus resultados, gente involucrada en ellos y los
recursos requeridos, deben ser monitoreados desde el inicio y hasta
después de ser terminado el proceso.
Además
es importante considerar que una auditoría informática busca
verificar que las actividades que se realizan así como las
herramientas instaladas y su configuración son acordes al esquema de
seguridad informática realizado y si éste es conveniente a la
seguridad requerida por la empresa.
Trata
entre otos aspectos sobre las copias de seguridad de la información,
las cuales deben ser creadas múltiples veces en lapsos de tiempos
frecuentes y almacenados en lugares distintos.
Sin
embargo, la redundancia como su nombre lo indica, busca “duplicar”
y en este sentido se puede decir que a través de los respaldos se
duplica información, y lo mismo se puede realizar en diferentes
aspectos, como por ejemplo: en cuanto a energía eléctrica, una
planta de luz para garantizar que opere en casos de emergencia,
servidores de datos que entren en operación cuando el primario sufra
una avería, etcétera, de manera tal que la redundancia se considera
en aquellos casos o servicios que se vuelven imprescindibles para la
empresa y que no pueden suprimirse pase lo que pase.
Mulpiles
respaldos de la misma información es un ejemplo de cómo la
redundancia es benéfica
Desde
el primer capítulo de esta investigación, se ha mencionado la
necesidad de mantener el control sobre quién puede tener acceso a
la información (ya sea a los documentos escritos o a los
medios electrónicos) pues no siempre queremos que la información
esté disponible para todo aquel que quiera obtenerla.
Por ello existen las políticas de confidencialidad, encargadas de establecer la relación entre la clasificación del documento y el cargo (nivel jerárquico dentro de la organización) que una persona requiere para poder acceder a tal información.
Por ello existen las políticas de confidencialidad, encargadas de establecer la relación entre la clasificación del documento y el cargo (nivel jerárquico dentro de la organización) que una persona requiere para poder acceder a tal información.
La
política de integridad está orientada principalmente a preservar la
integridad antes que la confidencialidad, esto se ha dado
principalmente porque en muchas de las aplicaciones comerciales del
mundo real es más importante mantener la integridad de los datos
pues se usan para la aplicación de actividades automatizadas aún
cuando en otros ambientes no es así, como en los ámbitos
gubernamental o militar.
Un
modelo de seguridad es la presentación formal de una política de
seguridad ejecutada por el sistema. El modelo debe identificar el
conjunto de reglas y prácticas que regulan cómo un sistema maneja,
protege y distribuye la información.
Los
modelos de seguridad pueden ser de dos tipo, abstracto y concreto:
Modelo
Abstracto
Se
ocupa de las entidades abstractas como sujetos y objetos.
Modelo
Concreto
Traduce
las entidades abstractas a entidades de un sistema real como procesos
y archivos.
También
pueden clasificarse como modelos de control de acceso y modelos de
flujo de información.
Modelos
de control de acceso
Identifican
las reglas necesarias para que un sistema lleve a cabo el proceso que
asegura que todo acceso a los recursos, sea un acceso autorizado, en
otras palabras, se enfoca a la protección, administración y
monitoreo de los procedimientos de acceso a la información. Estos
modelos refuerzan el principio fundamental de seguridad de
autorización, ya que éste protege tanto a la confidencialidad como
a la integridad.
Modelos
de flujo de información
Una
meta de las políticas de seguridad es proteger la información. Los
modelos de control de acceso se aproximan a dicha meta
indirectamente, sin relacionarse con la información pero sí con
objetos (tales como archivos) que contienen información. Estos
modelos se enfocan a proteger los objetos con los que se trabajan en
el sistema una vez que se han superado los procesos de control de
acceso.
Las
políticas de seguridad son un conjunto de normas y procedimientos
que tienen por objetivo garantizar la seguridad en cada proceso en
los que estén involucrados. Esto es aplicable a todos los procesos
llevados a cabo en una organización, incluso los servicios de
seguridad (Confidencialidad, autenticación, integridad, no repudio,
control de acceso, disponibilidad) son diseñados con base en estos
documentos.
Como
todos los documentos creados por una organización, se debe decidir
correctamente hacia qué grupos van dirigidas las políticas de
seguridad, por qué medios se van a dar a conocer, si se desea que
otros grupos puedan conocer su contenido.
El objetivo principal de la publicación y difusión es que el grupo objetivo entienda en qué consisten las políticas y se cree conciencia sobre su importancia a través de pláticas y talleres para tal fin.
El objetivo principal de la publicación y difusión es que el grupo objetivo entienda en qué consisten las políticas y se cree conciencia sobre su importancia a través de pláticas y talleres para tal fin.
Solo
cuando una organización toma conciencia de lo importante que es la
seguridad de sus recursos incluyendo sus tecnologías de la
información, es cuando empieza a diseñar y establecer medidas de
seguridad que tienen por objetivo protegerla de diversas situaciones
perjudiciales.
Aunque prevenir éstos desastres es de vital importancia, tampoco se puede descuidar la casi inevitable eventualidad de que sucedan, para ello también se necesita formular y establecer una serie de procedimientos que permitan enfrentar los problemas y posteriormente restaurar las condiciones normales de operación del área afectada.
Aunque prevenir éstos desastres es de vital importancia, tampoco se puede descuidar la casi inevitable eventualidad de que sucedan, para ello también se necesita formular y establecer una serie de procedimientos que permitan enfrentar los problemas y posteriormente restaurar las condiciones normales de operación del área afectada.
Contempla
todos los procedimientos antes de que se materialice una amenaza, su
finalidad es evitar dicha materialización.
Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que realiza la organización, los recursos que tiene disponibles, que es lo que quiere proteger, las instalaciones en que labore y la tecnología que use.
Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que realiza la organización, los recursos que tiene disponibles, que es lo que quiere proteger, las instalaciones en que labore y la tecnología que use.
Las
actividades que se realizan en este punto son las siguientes:
-Copias
de seguridad de las bases de datos y otros tipos de documentos con
información indispensable para la organización
-Instalación
de dispositivos de seguridad tales como cerraduras, alarmas, puertas
electrónicas, cámaras de seguridad, software de protección para
los equipos de cómputo, entre otros.
-Inspeccionar
y llevar un registro constante del funcionamiento y estado de los
recursos informáticos, la infraestructura y las condiciones del
edificio.
-Instauración
de servicios de seguridad, como líneas telefónicas de emergencia,
extintores, construcción de rutas de emergencia (Entrada y salida),
plantas eléctricas de emergencia, etc.
-Establecer
un centro de servicio alternativo que cuente con los recursos
necesarios para continuar las operaciones de la organización hasta
el momento en que el centro de trabajo normal pueda ser usado en
condiciones normales.
-Capacitación
del personal en el uso adecuado de las tecnologías informáticas, en
le ejecución correcta de sus labores y en la ejecución de los
procedimientos de emergencia.
Los
procedimientos correctivos son acciones enfocadas a contrarrestar en
lo posible los daños producidos por un desastre, ataque u otra
situación desfavorable y restaurar el funcionamiento normal
del centro de operación afectado.
Al igual que los procedimientos preventivos, pueden variar según los recursos disponibles, pero también varía dependiendo el daño que se quiere contrarrestar pues no todas las emergencias requieren el uso de todos los procedimientos correctivos definidos por la organización.
Al igual que los procedimientos preventivos, pueden variar según los recursos disponibles, pero también varía dependiendo el daño que se quiere contrarrestar pues no todas las emergencias requieren el uso de todos los procedimientos correctivos definidos por la organización.
El
Plan de Contingencias es el instrumento de gestión para el manejo de
las Tecnologías de la Información y las Comunicaciones.
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de una institución en caso de desastres y situaciones catastróficas como incendios, terremotos, inundaciones, etc. pero también contiene las medidas para enfrentar los daños producidos por robo, sabotaje e incluso ataques terroristas.
El plan de contingencia es un requisito indispensable para que una respuesta de emergencia sea rápida y efectiva. Sin una previa planificación de contingencia se perderá mucho tiempo en los primeros días de una emergencia.
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de una institución en caso de desastres y situaciones catastróficas como incendios, terremotos, inundaciones, etc. pero también contiene las medidas para enfrentar los daños producidos por robo, sabotaje e incluso ataques terroristas.
El plan de contingencia es un requisito indispensable para que una respuesta de emergencia sea rápida y efectiva. Sin una previa planificación de contingencia se perderá mucho tiempo en los primeros días de una emergencia.
Los
principales puntos que debe cumplir un plan de contingencia son:
-Reducir
la probabilidad de que ocurra un desastre.
-Establecer
los procedimientos necesarios para enfrentar y solucionar los eventos
negativos que se presenten.
-Aminorar
los efectos negativos de un desastre una vez ocurrido.
-Asegurar
la continuidad de las operaciones de la organización.
-Reestablecer
el funcionamiento normal de las áreas afectadas por el desastre.
-Dar
a conocer el plan de contingencia al personal involucrado.
Para
lograr tales objetivos, se debe diseñar e implantar una serie de
procedimientos acorde a las necesidades y recursos disponibles que
permitan responder de manera oportuna y precisa a todos los eventos
negativos a los que se enfrente la organización.
Estos procedimientos deben estar basados en los resultados obtenidos de un análisis previo de riesgos y un establecimiento de prioridades.
Estos procedimientos deben estar basados en los resultados obtenidos de un análisis previo de riesgos y un establecimiento de prioridades.
Un
plan de contingencias está dividido en fases, esto facilita el
monitoreo del desempeño de dicho plan así como también ayuda a la
detección de fallos e implementación de mejoras, pues cada fase
está enfocado a una serie de aspectos específicos y cualquier
posible cambio se aplicará a partir de la fase apropiada sin
necesidad de modificar todo el plan completo.
Las
fases se pueden dividir en análisis y diseño, desarrollo, pruebas y
mantenimiento.
En
cada fase se realizan diferentes actividades, esto facilita posbiles
modificaciones futuras
En
esta fase se identifican las funciones de la organización que pueden
considerarse como críticas y se les da un orden jerárquico de
prioridad.
Se define y se documentan las amenazas a las que están expuestas las funciones críticas y se analiza el impacto que tendrá un desastre en las funciones en caso de materializarse.
También se definen los niveles mínimos de servicio aceptable para cada problema planteado.
Se identifican las posibles alternativas de solución así como evaluar una relación de costo/beneficio para cada alternativa propuesta
Se define y se documentan las amenazas a las que están expuestas las funciones críticas y se analiza el impacto que tendrá un desastre en las funciones en caso de materializarse.
También se definen los niveles mínimos de servicio aceptable para cada problema planteado.
Se identifican las posibles alternativas de solución así como evaluar una relación de costo/beneficio para cada alternativa propuesta
En esta fase se creará la documentación del plan, cuyo contenido mínimo será:
Objetivo del plan.
Modo de ejecución.
Tiempo de duración.
Costes estimados.
Recursos necesarios.
Evento a partir del cual se pondrá en marcha el plan.
Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades.
Es necesario que el plan sea validado por los responsables de las áreas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurídicas que pudiesen derivarse de las actuaciones contempladas en él.
Consiste
en realizar las pruebas pertinentes para intentar valorar el impacto
real de un posible problema dentro de los escenarios establecidos en
la etapa de diseño. Las pruebas no deben buscar comprobar si un plan
funciona, mas bien debe enfocarse a buscar problemas y fallos en el
plan para así poder corregirlos. Es necesario documentar las pruebas
para su aprobación por parte de las áreas implicadas
En la fase de mantenimiento se corrigen los errores encontrados durante las pruebas, pero también se revisa que los elementos preparados para poner en acción el plan de contingencia estén en condiciones óptimas para ser usados de un momento a otro para contrarrestar un desastre. En caso contrario, se les debe reparar o sustituir.
Algunas de las actividades realizadas en esta fase son:
- Verificar la disponibilidad de los colaboradores incluidos en la lista del plan de contingencia.
- Verificar los procedimientos que se emplearan para almacenar y recuperar los datos (backup).
- Comprobar el correcto funcionamiento del disco extraíble, y del software encargado de realizar dicho backup.
- Realizar simulacros, capacitando al personal en el uso de los procedimientos indicados en el plan de contingencia para la medición de su efectividad.
En la fase de mantenimiento se corrigen los errores encontrados durante las pruebas, pero también se revisa que los elementos preparados para poner en acción el plan de contingencia estén en condiciones óptimas para ser usados de un momento a otro para contrarrestar un desastre. En caso contrario, se les debe reparar o sustituir.
Algunas de las actividades realizadas en esta fase son:
- Verificar la disponibilidad de los colaboradores incluidos en la lista del plan de contingencia.
- Verificar los procedimientos que se emplearan para almacenar y recuperar los datos (backup).
- Comprobar el correcto funcionamiento del disco extraíble, y del software encargado de realizar dicho backup.
- Realizar simulacros, capacitando al personal en el uso de los procedimientos indicados en el plan de contingencia para la medición de su efectividad.
Has laoreet percipitur ad. Vide interesset in mei, no his legimus verterem. Et nostrum imperdiet appellantur usu, mnesarchum referrentur id vim.
0 comentarios:
Publicar un comentario