Seguridad Informatica

SEGURIDAD INFORMATICA

Este capítulo presenta el conocimiento básico necesario para evaluar la seguridad informática, del entorno y de la infraestructura de TI de una organización. Este conocimiento permite determinar si la seguridad establecida satisface las necesidades que tiene una organización para salvaguardar la información de la utilización, revelado, y modificación sin autorización y de la pérdida o daño accidental o maliciosa.

SEGURIDAD INFORMATICA

GESTIÓN DE LA SEGURIDAD INFORMATICA

La gestión de la seguridad de la información para ser eficaz requiere el compromiso y soporte de la alta dirección. Este compromiso se manifiesta aprobando y dando soporte a la concienciación y la formación formales en la seguridad. Esto incluye su propia formación.

La política de seguridad y los procedimientos relacionados deben estar actualizados y reflejar que se utiliza una estrategia basada en riesgos para identificar los recursos críticos de información de tal manera que haya un entendimiento claro de los riesgos y las amenazas.

El desarrollo de la política de seguridad de la información es responsabilidad de la alta dirección, delegando su implementación en los apropiados niveles de la dirección. La existencia y la promoción de una política de seguridad de la información son de vital importancia para la supervivencia y el desarrollo de una organización.

Para que la seguridad se implemente y mantenga con éxito, se deben establecer y comunicar claramente los elementos esenciales para la gestión de la seguridad de la información. Entre ellos se incluyen:

POLÍTICAS Y PROCEDIMIENTOS: Debe comenzar con una política de organización general manifestando el claro compromiso de la alta dirección y dando directrices al respecto. Aspectos a contemplar en esta política son la importancia de la información para la organización, la necesidad de la seguridad, la importancia de definir los activos sensibles y críticos a proteger, y las responsabilidades. Una vez aprobada la política se deben desarrollar los estándares, controles, prácticas y procedimientos en cada sistema a introducir y mantener en el sistema de seguridad.

ORGANIZACIÓN: Las responsabilidades de proteger cada activo y de llevar a cabo procesos específicos de seguridad deben estar claramente definidas. La política de seguridad debe dar una guía general de cómo asignar estas responsabilidades. Esto se puede suplantar, cuando sea necesario, con guías más detalladas para ubicaciones, sistemas o servicios específicos.

Las responsabilidades a considerar por posición incluyen:

• Dirección ejecutiva: tiene la responsabilidad global de los activos de información.

• Comité de seguridad: las políticas y procedimientos de seguridad afectan a toda la organización, por tanto, deben tener el soporte de los usuarios finales, dirección ejecutiva, administración de la seguridad, personal de SI y asesoría legal. Por lo tanto se debe constituir un comité de seguridad con gerentes de diferentes niveles cuya tarea es la de discutir temas de seguridad y establecer las prácticas de seguridad.

• Propietarios de datos: determinan los niveles de clasificación de los datos en cuanto a su criticidad y niveles de acceso. Son los responsables de dar el tipo de acceso a los datos bajo su responsabilidad.

• Propietarios de procesos: son los responsables de la seguridad de los procesos bajo su responsabilidad en línea con la política de la organización

• Desarrolladores de TI: Implementan la seguridad de la información

• Especialistas de seguridad: Promueven y ayudan en el diseño, implementación, gestión y revisión de la política y procedimientos de seguridad de la organización.

• Usuarios: Deben seguir los procedimientos establecidos en la política de seguridad de la organización que generalmente incluye: Leer la política de seguridad, mantener en secreto la identificación de usuario y la contraseña, informar de las sospechas de violación de la seguridad, mantener una buena seguridad física cerrando las puertas, dejando en lugar seguro las llaves de acceso, no revelando la clave de acceso de cerraduras electrónicas y preguntando a personas desconocidas, cumpliendo las leyes y regulaciones legales, siguiendo las regulaciones de privacidad respecto a información confidencial (salud, legal, etc.)

• Auditores de SI: Suministran un aseguramiento independiente a la gerencia de la adecuación y eficacia de los objetivos de seguridad de la información.

POLÍTICA DE SEGURIDAD INFORMATICA

Una Política de Seguridad se define como la especificación de los requerimientos para el control de acceso a la información, aplicaciones y servicios de una organización.

Dentro de las funciones de las entidades informáticas, las políticas de seguridad se deben enfocar inicialmente a la protección de la información almacenada, procesada y distribuida mediante sus recursos; sin embargo, también se deben emitir políticas para todos los rubros, incluyendo facilidades, aplicaciones, instalaciones y equipos.

Una buena política de seguridad deja poco campo a la interpretación. Es muy importante que los usuarios y todos los que intenten usar un computador de la red para acceder a sus servicios conozcan y entiendan las reglas del sistema.

IMPORTANCIA DE LAS POLÍTICAS DE SEGURIDAD INFORMATICA

Es importante tener una política de seguridad de red efectiva y bien pensada que pueda proteger la inversión y recursos de información de la entidad. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos. Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos.

CREACIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA

Crear políticas es, por definición, especificar las necesidades de control de acceso a la información. En particular, las políticas deberán reflejar los objetivos de la Institución con respecto a la relativa importancia de cada rubro a proteger y la manera en que esa información contribuye a la misión de cada Institución. Por su parte, las normas, procedimientos, prácticas y estándares, deberán acoplar esas necesidades con los recursos técnicos existentes en la Institución e incidirán en su caso en la modernización de los esquemas técnicos de seguridad.

Cuando se habla de un documento de Políticas de Seguridad, no se trata de un documento general, ya que por definición debe responder a las necesidades y características de la Institución que incorpora las políticas; se refiere a un documento dinámico, es decir, que requiere de constante revisión para mantenerlo vigente, por cuestiones de legítima seguridad, sobre todo en ámbitos tan cambiantes como lo es la Internet, donde la vigencia de las soluciones técnicas y administrativas es de primordial importancia para mantener nuestros sistemas confiables.

NATURALEZA DE LAS POLÍTICAS DE SEGURIDAD INFORMATICA

La naturaleza de las políticas de seguridad puede ser educativa, restrictiva o simultáneamente ambas.

Cuadro Nº 01. Ejemplo de Política de seguridad educativa

Estrategias de seguridad e Implementación Para la política de Monitoreo de software

Identificativos 2

Nombre Política de control software instalado

Inf. Adicional Fecha Creación: aa/mm/dd

Fecha Expiración: aa/mm/dd

Estado Pol: activa [si/no]

Objetivo El propósito fundamental es que la Administración de la Red pueda tener

un control sobre el tipo de software que se instala en los equipos terminales,

permitiendo o denegando la instalación de ciertos programas que pueden atentar contra la seguridad de la Red de Datos

Descripción El Agentes está encargado de llevar a cabo una evaluación exhaustiva y control del software instalado en el equipo, software licenciado, software permitido y no permitido. El Gestor posee en su base de datos una lista estándar del software licenciado y aprobado por el comité aprobador (Directivas de la Institución), y esta lista es suministrada a cada uno de los Agentes. El Agente de Control instado en el equipo terminal revisa en el registro del Sistema Operativo que software se encuentra actualmente instalado, y notificaal Usuario Responsable (monitor, laboratorista, encargado) el software que se encuentre como no autorizado en el momento de la instalación del Agente.

Consecuencias El incumplimiento de esta política pone en riesgo tanto la credibilidad institucional, como los gastos que se derivan por penalizaciones a las normas constitucionales que protegen los derechos de autor, además de que la ejecución de programas no confiables amenaza la protección del sistema.

Sanciones Educativo. El Agente desplegará información visual para guiar al usuario respecto al uso correcto de los servicios de Red y del mismo software de protección. Además el Agente notificará al usuario algunas operaciones que no se deben realizar, como por ejemplo tratar de desinstalar el software sin autorización, o instalar software que la Red de Datos ha catalogado como no confiable o perjudicial para la Red.

Contenido Educativo

...