Presentacion

FASE2Objetivo

En esta semana estudiaremos con más profundidad las

políticas de seguridad informática, el significado de un

manual de procedimientos para nuestra organización, y

diversos métodos para evaluar el valor de la información de

la misma.

FASE2Objetivo

En esta semana estudiaremos con más profundidad las

políticas de seguridad informática, el significado de un

manual de procedimientos para nuestra organización, y

diversos métodos para evaluar el valor de la información de

la misma.

POLÍTICAS GENERALES DE

SEGURIDAD

Objetivos del tema

· Conocer mecanismos de definición de políticas de

seguridad informática

· Conocer modelos para dar valor a los datos de las

organizaciones

· Aprender el concepto de "procedimiento".

· Usar los conceptos de procedimiento y checklist

para aprender a crear un manual de procedimientos.

POLÍTICAS GENERALES DE SEGURIDAD

¿Qué son entonces las políticas de seguridad informática (PSI)?

Como hemos dicho anteriormente en repetidas ocasiones, el principio y final de

toda red es el usuario. Esto hace que las políticas de seguridad deban,

principalmente, enfocarse a los usuarios: “una política de seguridad informática

es una forma de comunicarse con los usuarios y los gerentes”. Indican a las

personas cómo actuar frente a los recursos informáticos de la empresa, y sobre

Curso de redes y seguridad

1

Fase 2

todo, no son un conjunto de sanciones, sino más bien una descripción de

aquello valioso que deseamos proteger y por qué.

¿Cuáles son los elementos de una política de seguridad informática?

Si las decisiones tomadas en relación a la seguridad, dependen de las PSI,

cada persona debe estar en disposición de aportar lo necesario para poder

llegar a una conclusión correcta de las cosas que son importantes en la

empresa y que deben ser protegidas. Es por esto que una PSI debe tener los

siguientes elementos:

•

Rango de acción de las políticas. Esto se refiere a las personas sobre

las cuales se posa la ley, así como los sistemas a los que afecta.

•

Reconocimiento de la información como uno de los principales activos

de la empresa.

•

Objetivo principal de la política y objetivos secundarios de la misma. Si

se hace referencia a un elemento particular, hacer una descripción de

dicho elemento.

•

Responsabilidades generales de los miembros y sistemas de la

empresa.

•

Como la política cubre ciertos dispositivos y sistemas, estos deben tener

un mínimo nivel de seguridad. Se debe definir este umbral mínimo.

•

Explicación de lo que se considera una violación y sus repercusiones

ante el no cumplimiento de las leyes.

•

Responsabilidad que tienen los usuarios frente a la información a la que

tienen acceso.

Curso de redes y seguridad

2

Fase 2

Ahora, aunque las PSI deben poseer estos elementos expuestos, también debe

llevar, implícitos en cada ítem, algunas características:

•

Siempre se debe tener en cuenta cuales son las expectativas de la

organización frente a las PSI, qué es lo que espera de ellas en cuanto a

seguridad y eficacia.

•

Siempre que se redacten, las PSI deben permanecer libre de

tecnicismos que dificulten su comprensión por parte de cualquier

persona de la organización.

•

Cada política redactada, debe explicar el porqué se toma dicha decisión

y por qué se protegen esos servicios o conocimientos particulares.

•

Toda PSI debe ser vigilada por un ente, una autoridad, que la haga

cumplir y apique los correctivos necesarios. Sin embargo, no debe

confundirse una PSI con una ley, y no debe verse como tal.

•

Así como las características y elementos de una empresa cambian,

también deben hacerlo las PSI, por lo que debe tenerse en cuenta, al

redactarlas, que deben establecer un esquema de actualización

constante, que dependa de las características de la organización.

•

No hay nada obvio. Se debe ser explícito y concreto en cuanto a los

alcances y propuestas de seguridad. Esto evita gran cantidad de malos

entendidos, y abre el camino para el establecimiento de la política de

seguridad específica.

¿Cómo se establecen las políticas de seguridad? Recomendaciones.

Hemos revisado las características generales de las PSI y los elementos

implícitos en cada observación, pero ¿tenemos un esquema de cómo

Curso de redes y seguridad

3

Fase 2

formularlas o establecerlas? He acá entonces varias recomendaciones de

cómo idearlas y llevarlas a cabo:

•

Antes que nada, se debe hacer una evaluación de riesgos informáticos,

para valorar los elementos sobre los cuales serán aplicadas las PSI.

•

Luego, deben involucrarse, en cada elemento valorado, la entidad que

maneja o posee el recurso, ya que ellos son los que tienen el

conocimiento y la experiencia manejando ese elemento particular.

•

Después de valorar los elementos e involucrar al personal, debe

explicarles cuales son las ventajas de establecer PSI sobre los

elementos valorados, así como los riesgos a los cuales están expuestos

y las responsabilidades que les serán otorgadas.

•

El siguiente paso es determinar quiénes son las personas que dan las

órdenes sobre los elementos valorados en la empresa. Ellos deben

conocer el proceso de las PSI, ya que sobre ellos recae la

responsabilidad de los activos críticos.

•

Finalmente, deben crearse mecanismos para monitorear a los elementos

valorados, las personas involucradas y los altos mandos directores de

los elementos. Esto con el objetivo de actualizar fácilmente las PSI

cuando sea necesario.

Curso de redes y seguridad

4

Fase 2

Proposición de una forma de realizar el análisis para llevar a cabo un

sistema de seguridad informática

Antes que nada, se crea una base de análisis para el sistema de seguridad,

que está basada en varios elementos:

-Factor humano de la empresa

-Mecanismos y procedimientos con que cuenta la empresa

-Ambiente en que se desenvuelve la organización

-Consecuencias posibles si falla la seguridad de la empresa

-Amenazas posibles de la empresa.

Luego de evaluado todo este conjunto de elementos, que conforman la base

del análisis del sistema de seguridad se procede a realizar el programa de

seguridad, El cual contiene todos los pasos a tomar para asegurar la

seguridad deseada. Luego de realizado este programa, se pasa al plan de

acción, que posee todas las acciones a llevar a cabo para implantar el

programa de seguridad. El paso siguiente es crear un manual de

procedimientos y normativas, que serán en suma la forma en la que cada

Curso de redes y seguridad

5

Fase 2

elemento del programa debe ser aplicado en el elemento correspondiente, y las

acciones a llevar a cabo luego de violada una norma.

Mientras los programas de seguridad, plan de acción y procedimientos son

llevados a cabo, se debe ejercer un control y vigilancia de cada uno de ellos,

para asegurar su realización. Este control debe ser auditado, con el propósito

de generar los logfiles o archivos de evidencias, que pueden ser revisados en

cualquier momento para analizar la forma en la que fue llevado a cabo el

control y poder generar cualquier cambio. La auditada realizada también sirve

para generar simulaciones que permitan probar el sistema. Estas

simulaciones pasan por una revisión que da fe del desempeño de las políticas

de seguridad, y que ayuda a modificar las bases del análisis, así como el

programa, plan y las normativas de seguridad.

El establecimiento de las políticas de seguridad es un proceso dinámico.

Razones por las que las políticas de seguridad informática generalmente

no se implantan.

Aunque no todas las empresas son conscientes de los riesgos que corren al no

tener PSI en su organización, algunas gastan gran cantidad de tiempo y

esfuerzo definiéndolas, convenciendo a los altos mandos (labor

extremadamente ardua, ya que estas políticas no aumentan el rendimiento del

sistema y a veces lo vuelven más complicado), para que finalmente sean

escritas y archivadas

...