SI.jpg

Una Política de Seguridad es una "declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran " (RFCs 1244 y 2196).[1]
Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización.
No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de lo que se desea proteger y el por qué de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.[2]
tema_63.gif
Objetivos de una política de seguridad:
  • Reducir los riesgos a un nivel aceptable.
  • Garantizar la confidencialidad, integridad, disponibilidad, privacidad de la información.
  • Cumplir con las Leyes y Reglamentaciones vigentes




¿Cómo desarrollar una política de seguridad? [3]
  • Identifique y evalúe los activos: Qué activos deben protegerse y cómo protegerlos de forma que permitan la prosperidad de la empresa:
    • Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de disco, computadoras personales, tarjetas, router, impresoras, líneas de comunicación, cableado de la red, servidores de terminales, bridges.
    • Software: sistemas operativos, programas fuente, programas objeto, programas de diagnóstico, utilerías, programas de comunicaciones.
    • Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back-up, bases de datos, en tránsito sobre medios de comunicación.
    • Personas: usuarios, personas para operar los sistemas.
    • Documentación: sobre programas, hardware, sistemas, procedimientos administrativos locales.
  • Identifique las amenazas: ¿Cuáles son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendrían si ocurrieran. Estas amenazas son externas o internas:
    • Amenazas externas: Se originan fuera de la organización y son los virus, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionaje industrial.
    • Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la información sensible e importante.
  • Evalué los riesgos: Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cuáles tienen el potencial para causar mucho daño. El costo puede ser más que monetario, se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad legal, etc.
  • Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las áreas de la empresa. Los principales integrantes del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Públicas.
  • Establezca políticas de seguridad: Cree una política que apunte a los documentos asociados; parámetros y procedimientos, normas, así como los contratos de empleados. Estos documentos deben tener información específica relacionada con las plataformas informáticas y tecnológicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es más fácil cambiar los documentos subyacentes que la política en sí misma.
  • Implemente una política en toda la organización: La política que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos específicos. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política:

- Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento.
- Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la información.
- Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la política de seguridad de la compañía.

  • Administre el programa de seguridad: Establezca los procedimientos internos para implementar estos requerimientos y hacer obligatorio su cumplimiento.

Normatividad de una política de seguridad
Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucionalUn modelo propuesto según la norma ISO 17799 la cual recomienda la aplicación de estándares encaminados a la seguridad informática plantea tres grandes secciones:
Las directrices son un conjunto de reglas generales de nivel estratégico donde se expresan los valores de la seguridad de la organización. Es propuesta por el líder empresarial de la organización y tiene como su base la misión y visión para abarcar toda la filosofía de la seguridad de la información.
Las normas de seguridad para usuarios son dirigidas para el uso de ambientes informatizados, basadas en aspectos genéricos como el cuidado con las claves de acceso, manejo de equipos o estaciones de trabajo, inclusión y exclusión de usuarios, administración de sistemas operativos, etc.
Los procedimientos e instrucciones de trabajo son un conjunto de orientaciones para realizar las actividades operativas, que representa las relaciones interpersonales e interdepartamental y sus respectivas etapas de trabajo para su implementación y mantenimiento de la seguridad de la información.
ISO 17799
Documento de la política de seguridad de la informaciónEl documento de la política de seguridad de la información debiera ser aprobado por la gerencia, y publicado y comunicado a todos los empleados y las partes externas relevantes.
Lineamiento de implementación
El documento de la política de seguridad de la información debe enunciar el compromiso de la gerencia y establecer el enfoque de la organización para manejar la seguridad de la información. El documento de la política debiera contener enunciados relacionados con:
  • Una definición de seguridad de la información, sus objetivos y alcance generales y la importancia de la seguridad como un mecanismo facilitador para intercambiar información.
  • Un enunciado de la intención de la gerencia, fundamentando sus objetivos y los principios de la seguridad de la información en línea con la estrategia y los objetivos comerciales
  • Un marco referencial para establecer los objetivos de control y los controles, incluyendo la estructura de la evaluación del riesgo y la gestión de riesgo
  • Una explicación breve de las políticas, principios, estándares y requerimientos de conformidad de la seguridad de particular importancia para la organización, incluyendo: conformidad con los requerimientos legislativos, reguladores y restrictivos, educación, capacitación y conocimiento de seguridad, gestión de la continuidad del negocio, consecuencias de las violaciones de la política de seguridad de la información
  • Una definición de las responsabilidades generales y específicas para la gestión de la seguridad de la información incluyendo el reporte de incidentes de seguridad de la información
  • Referencias a la documentación que fundamenta la política; por ejemplo, políticas y procedimientos de seguridad más detallados para sistemas de información específicos o reglas de seguridad que los usuarios debieran observar.
  • Esta política de seguridad de la información se debiera comunicar a través de toda la organización a los usuarios en una forma que sea relevante, accesible y entendible para el lector objetivo.

Revisión de la política de seguridad de la información
La política de seguridad de la información debiera ser revisada a intervalos planeados o si ocurren cambios significativos para asegurar su continua idoneidad, eficiencia y efectividad.
Procedimientos
Un Procedimiento de seguridad es la definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los Procedimientos de Seguridad permiten aplicar e implantar las Políticas de Seguridad que han sido aprobadas por la organización.[1]
Se describe cómo se implementan, en las áreas a proteger, las políticas generales que han sido definidas para toda la entidad, en correspondencia con las necesidades de protección en cada una de ellas, atendiendo a sus formas de ejecución, periodicidad, personal participante y medios.
Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles de seguridad alcanzados se elaborará un Programa de Seguridad Informática, que incluya las acciones a realizar por etapas para lograr niveles superiores.
Algunos procedimientos a considerar son los siguientes:
  • Otorgar (retirar) el acceso de personas a las tecnologías de información y como se controla el mismo.
  • Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios.
  • Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrónico, Internet)
  • Definir perfiles de trabajo.
  • Autorización y control de la entrada/salida de las tecnologías de información.
  • Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composición, la frecuencia de actualización, quién debe cambiarla, su custodia, etc.
  • Realización de salva de respaldo, según el régimen de trabajo de las áreas, de forma que las salvas se mantengan actualizadas, y las acciones que se
  • adoptan para establecer la salvaguarda de las mismas, de forma que se garantice la compartimentación de la información según su nivel de confidencialidad.
  • Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisión de personal responsable y que en caso del traslado del equipo fuera de la entidad la información clasificada o limitada sea borrada físicamente o protegida su divulgación.
  • Salva y análisis de registros o trazas de auditoria, especificando quien lo realiza y con qué frecuencia.
Se describirán por separado los controles de seguridad implementados en correspondencia con su naturaleza, de acuerdo al empleo que se haga de los medios humanos, de los medios técnicos o de las medidas y procedimientos que debe cumplir el personal.
  • Medios Humanos: Aquí se hará referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseño, establecimiento, control, ejecución y actualización del mismo.
  • Medios Técnicos de Seguridad: Se describirán los medios técnicos utilizados en función de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración de los mismos. Para lo cual se tendrá en cuenta:
  • De protección física:

- A las áreas con tecnologías instaladas:
Se precisarán, a partir de las definiciones establecidas en el Reglamento sobre la Seguridad Informática, las áreas que se consideran vitales y reservadas en correspondencia con el tipo de información que se procese, intercambie, reproduzca o conserve en las mismas o el impacto que pueda ocasionar para la Entidad la afectación de los activos o recursos que en ellas se encuentren, relacionando las medidas y procedimientos específicos que se apliquen en cada una. (Ejemplo: restricciones para limitar el acceso a los locales, procedimientos para el empleo de cierres de seguridad y dispositivos técnicos de detección de intrusos, etc.)
- A las Tecnologías de Información: Se especificarán las medidas y procedimientos de empleo de medios técnicos de protección física directamente aplicados a las tecnologías de información.Posición de las tecnologías de información destinadas al procesamiento de información con alto grado de confidencialidad o sensibilidad en el local de forma que se evite la visibilidad de la información a distancia, minimice la posibilidad de captación de las emisiones electromagnéticas y garantice un mejor cuidado y conservación de las mismas.Medidas y procedimientos para garantizar el control de las tecnologías de información existentes, durante su explotación, conservación, mantenimiento y traslado.
- A los soportes de información: Se describirá el régimen de control establecido sobre los soportes magnéticos de información
  • Técnicas o Lógicas:
Se especificarán las medidas y procedimientos de seguridad que se establezcan, cuya implementación se realice a través de software, hardware o ambas:
- Identificación de usuarios- Autenticación de usuarios.- Control de acceso a los activos y recursos- Integridad de los ficheros y datos- Auditoría y Alarmas

  • De recuperación ante contingencias
Se describirán las medidas y procedimientos de neutralización y recuperación ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informática o degraden su funcionamiento, minimizando el impacto negativo de éstas sobre la entidad.
Planes de seguridad
Un Plan de seguridad es un conjunto de decisiones que definen cursos de acción futuros, así como los medios que se van a utilizar para conseguirlos. [1]
El Plan de Seguridad [4] debe ser un proyecto que desarrolle los objetivos de seguridad a largo plazo de la organización, siguiendo el ciclo de vida completo desde la definición hasta la implementación y revisión.
La forma adecuada para plantear la planificación de la seguridad en una organización debe partir siempre de la definición de una política de seguridad que defina el QUÉ se quiere hacer en materia de seguridad en la organización para a partir de ella decidir mediante un adecuado plan de implementación el CÓMO se alcanzarán en la práctica los objetivos fijados.
A partir de la Política de Seguridad se podrá definir el Plan de Seguridad, que es muy dependiente de las decisiones tomadas en ella, en el que se contemplará: el estudio de soluciones, la selección de herramientas, la asignación de recursos y el estudio de viabilidad.
La Política de Seguridad y el Plan de Seguridad (y la implantación propiamente dicha) están íntimamente relacionados:
  • La Política de Seguridad define el Plan de Seguridad ya que la implementación debe ser un fiel reflejo de los procedimientos y normas establecidos en la política.
  • El Plan de Seguridad debe estar revisado para adaptarse a las nuevas necesidades del entorno, los servicios que vayan apareciendo y a las aportaciones que usuarios, administradores, etc. vayan proponiendo en función de su experiencia. La revisión es esencial para evitar la obsolescencia de la política debido al propio crecimiento y evolución de la organización. Los plazos de revisión deben estar fijados y permitir además revisiones extraordinarias en función de determinados eventos (por ejemplo, incidentes).
  • El Plan de Seguridad debe ser auditado para asegurar la adecuación con las normas.
  • El Plan de Seguridad debe realimentar a la Política de Seguridad. La experiencia, los problemas de implantación, las limitaciones y los avances tecnológicos, etc. permitirán que la política pueda adecuarse a la realidad, evitando la inoperancia por ser demasiado utópica y la mejora cuando el progreso lo permita.


[1] Gomez Vieites Alvaro, Enciclopedia de la seguridad Informatica pag. 25.[2] Amendolia Diego, Cendagorta Juan, Bajo la dirección de: Jorge Eduardo Sznek, 2004[3] Hermoso Aurelio, Implantación de una politica de seguridad de los sistemas de informacion[4] Cabrera Martín Alvaro, Políticas de Seguridad, disponible en http://www.iec.csic.es/criptonomicon/articulos/expertos71.html