Que son Políticas de Seguridad Informática?

Una Política de Seguridad es una forma de comunicarse con los usuarios y con los gerentes. Indican a las personas como actuar frente a los recursos informáticos de la empresa, y sobre todo, no son un conjunto de sanciones, sino de una descripción de aquello valiosos q deseamos proteger y porque lo deseamos proteger.

Si las decisiones tomadas en relación a la seguridad, dependen de las PSI, cada persona debe estar en disposición de aportar lo necesario para poder llegar a una conclusión correcta de las cosas que son importantes en la empresa y que deben ser protegidas.

Elementos de una PSI

  • Rango de acción de las políticas. Esto se refiere a las personas sobre las cuales se posa la ley, así como los sistemas a los que afecta.

  • Reconocimiento de la información como uno de los principales activos de la empresa.

  • Objetivo principal de la política y objetivos secundarios de la misma. Si se hace referencia a un elemento particular, hacer una descripción de dicho elemento.

  • Responsabilidades generales de los miembros y sistemas de la empresa.

  • Como la política cubre ciertos dispositivos y sistemas, estos deben tener un mínimo nivel de seguridad. Se debe definir este umbral mínimo.

  • Explicación de lo que se considera una violación y sus repercusiones ante el no cumplimiento de las leyes.

  • Responsabilidad que tienen los usuarios frente a la información a la que tienen acceso.


dibujo.png

Marco de referencia para establecer PSI


dibujo2.png


Modelo de SI Productor/Consumidor

Es un procedimiento o algoritmo muy conocido y usado para dirigir las estrategias de seguridad de una organización. Este modelo permite observar las diversas vulnerabilidades de un sistema (niveles de trabajo), y a partir de ellos, permite hacer un análisis de los posibles pasos a seguir.

Ahora, con este modelo, podemos definir 4 tipos de alteraciones principales a este modelo, mostradas a continuación.


dibujo3.png

Procedimientos

Un procedimiento se define como una sucesión cronológica de operaciones concatenadas entre sí, con el objetivo de obtener un fin o meta. Como nuestra meta es mantener la seguridad de la organización, y mantener estable el algoritmo P-C, debemos contar con una serie de procedimientos que nos permitan responder de manera apropiada a las situaciones más comunes. Todos estos procedimientos se deben almacenar en un “manual de procedimientos” que debe ser seguido al pie de la letra. En muchos casos, la norma ISO se otorga a aquellas organizaciones con un manual de procedimientos estructurado en cuanto a la seguridad informática

Normatividad

Ley 1273 de 2009

Se abarcan diferentes objetivos en las siguientes áreas:

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos:

  1. Acceso abusivo a un sistema informático

  2. Obstaculización ilegítima de sistema informático o red de telecomunicación

  3. Interceptación de datos informáticos

  4. Daño Informático

  5. Uso de software malicioso

  6. Violación de datos personales

  7. Suplantación de sitios web para capturar datos personales.


De los atentados informáticos y otras infracciones
  1. Hurto por medios informáticos y semejantes

  2. Transferencia no consentida de activos

  3. Circunstancias de mayor punibilidad

En esta ley están las acciones por parte del gobierno colombiano contra este flagelo, los resultados informáticos de la policía, sus procedimientos a si como la puesta en marcha de la ley 1273 de 2009.

El poder de la tecnología informática puede causar mucho daño a usuarios desprevenidos e ingenuos.

La ley 1273 del 2009 tipifica los delitos informáticos con el fin de penalizar a los infractores.

La ley 527 de 1999

Los asuntos regulados por la ley 527 son:

  • Aplicaciones de los requisitos jurídicos de los mensajes de datos

  • Comunicación de los mensajes de datos

  • Comercio electrónico en materia de transporte de mercancías.

  • Firmas digitales

  • Entidades de certificación

  • Suscriptores de firmas digitales

  • Funciones de la superintendencia de industria y comercio

Ley 1288 de marzo de 2009

Ley 1266 de diciembre de 2008

ISO 27000-27001 (Seguridad de la Información)

Ley 679 de 2001

Plan de Ejecución

Elaborando el plan de ejecución como una lista de chequeo o checklist no enfocamos en una lista de tareas a llevar a cabo para chequear el funcionamiento del sistema.

· Asegurar el entorno. ¿Qué es necesario proteger? ¿Cuáles son los riesgos?

· Determinar prioridades para la seguridad y el uso de los recursos.

· Crear planes avanzados sobre qué hacer en una emergencia.

· Trabajar para educar a los usuarios del sistema sobre las necesidades y las ventajas de la buena seguridad

· Estar atentos a los incidentes inusuales y comportamientos extraños.

· Asegurarse de que cada persona utilice su propia cuenta.

· ¿Están las copias de seguridad bien resguardadas?

· No almacenar las copias de seguridad en el mismo sitio donde se las realiza

· ¿Los permisos básicos son de sólo lectura?

· Si se realizan copias de seguridad de directorios/archivos críticos, usar chequeo de comparación para detectar modificaciones no autorizadas.

· Periódicamente rever todo los archivos de “booteo de los sistemas y los archivos de configuración para detectar modificaciones y/o cambios en ellos.

· Tener sensores de humo y fuego en el cuarto de computadoras.

· Tener medios de extinción de fuego adecuados en el cuarto de computadoras.

· Entrenar a los usuarios sobre qué hacer cuando se disparan las alarmas.

· Instalar y limpiar regularmente filtros de aire en el cuarto de computadoras.

· Instalar UPS, filtros de línea, protectores gaseosos al menos en el cuarto de computadoras.

· Tener planes de recuperación de desastres.

· Considerar usar fibras ópticas como medio de transporte de información en la red.

· Nunca usar teclas de función programables en una terminal para almacenar información de login o password.

· Considerar realizar autolog de cuentas de usuario.

· Concientizar a los usuarios de pulsar la tecla ESCAPE antes de ingresar su login y su password, a fin de prevenir los “Caballos de Troya”.

· Considerar la generación automática de password.

· Asegurarse de que cada cuenta tenga un password.

· No crear cuentas por defecto o “guest” para alguien que está temporariamente en la organización.

· No permitir que una sola cuenta esté compartida por un grupo de gente.

· Deshabilitar las cuentas de personas que se encuentren fuera de la organización por largo tiempo.

· Deshabilitar las cuentas “dormidas” por mucho tiempo.

· Deshabilitar o resguardar físicamente las bocas de conexión de red no usadas.

· Limitar el acceso físico a cables de red, routers, bocas, repetidores y terminadores.

· Los usuarios deben tener diferentes passwords sobre diferentes segmentos de la red.

· Monitorear regularmente la actividad sobre los gateways.