RSS

La necesidad de definir políticas de seguridad

19 ago

El post de hoy va a tratar de explicar porqué es necesario que toda empresa por más grande o pequeña que sea tiene la necesidad y porqué no, obligación de definir políticas de seguridad.

La necesidad surge porqué existe un fallo o deficiencia en la seguridad de información, la cual pone en riesgo nuestra información y seguridad a la hora de proteger nuestros datos, que implican significantes sumas de dinero y tiempo invertido.

Con buenas políticas informamos con mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organización.

Es importante que las personas que toman este tipo de decisiones sepan que algunos de los ítems que abarca este tipo de políticas son los siguientes:

  • Una política de privacidad.
  • Una política de acceso.
  • Una política de autenticación.
  • Una política de contabilidad.
  • Una política de mantenimiento para la red.
  • Una política de divulgación de información.

Elementos que ayudan a la colaboración de las políticas de seguridad:

  • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual se aplica.
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición.
  • Responsabilidades por cada uno de los servicios y recursos informáticos aplicados a todos los niveles de la organización.
  • Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
  • Definición de violaciones y sanciones por no cumplir con las políticas.
  • Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismo y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.

Es muy importante que las políticas de seguridad deben estar en un proceso de actualización y/o revisión constante.

Estructura de un Modelo de Política de Seguridad:

  • Organización de la Seguridad:

Objetivo:

Administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial para iniciar y controlar su implementación, así como para la distribución de funciones y responsabilidades.

Fomentar la consulta y cooperación con Organismos especializados para la obtención de asesoría en materia de seguridad de la información.

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.

  • Clasificación y Control de Activos:

Objetivos:

Garantizar que los activos de información reciban un apropiado nivel de protección.

Designar a los propietarios de la información existente en el Organismo.

Clasificar la información para señalar su sensibilidad y criticidad.

Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.

  • Seguridad del Personal:

Objetivo:

Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.

Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal, incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad del Organismo en el transcurso de sus tareas normales.

Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.

Establecer las herramientas necesarias para promover la comunicación de debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

  • Seguridad Física y Ambiental:

Objetivo:

Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.

Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal, incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad del Organismo en el transcurso de sus tareas normales.

Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.

Establecer las herramientas necesarias para promover la comunicación de debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

  • Gestión de Operaciones y Comunicaciones:

Objetivos:

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.

Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.

  • Control de Accesos:

Objetivos:

Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.

Implementar seguridad en los accesos de usuarios por medio de técnicas de identificación y autenticación.

Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas.

Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.

Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equpos.

Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.

  • Desarrollo y Mantenimiento de Sistemas:

Objetivos:

Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en los cuales éstos se apoyan.

Definir los métodos de protección de información crítica.

  • Administración de la Continuidad de las Actividades del Organismo:

Objetivos:

Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en los cuales éstos se apoyan.

Definir los métodos de protección de información crítica.

- Notificación / Activación : Consistente en la detección y determinación del daño y la activación del plan.

- Reanudación : Consistente en la restauración temporal de las operaciones y recuperación del daño producido al sistema original.

- Recuperación : Consistente en la restauración de las capacidades de proceso del sistema a las condiciones de operación normales.

Asegurar la coordinación con el personal del Organismo y los contactos externos que participarán en las estrategias de planificación de contingencias. Asignar responsabilidades para cada actividad definida.

  • Cumplimiento:

Objetivos:

Cumplir con las disposiciones legales, normativas y contractuales a fin de evitar sanciones administrativas y legales al Organismo y/o al empleado.

Garantizar que los sistemas cumplan con las Políticas y estándares de seguridad del Organismo.

Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de las Políticas y estándares de seguridad, sobre las plataformas tecnológicas y los sistemas de información.

Optimizar la eficacia del proceso de auditoría de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

Garantizar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoría en el transcurso de las auditorías de sistemas.

Determinar los plazos para el mantenimiento de información y para la recolección de evidencia del Organismo.

Cómo mencioné en algún post anterior, la tendencia en estos últimos años es escuchar la frase “hay que educar al consumidor”, pero en este caso sería, “hay que educar a los usuarios” y me parece que en esta frase “usuario” va más allá de la persona que se sienta frente a su computadora y se limita a hacer su trabajo diario, sino que abarca a todos los que trabajan en la organización desde la cabeza hasta el último.

Las políticas bien elaboradas y aplicadas, si bien implican tal vez mucho dinero hay que entender que ese dinero es bien invertido y en el futuro a la hora de actualizar o implementar nuevos cambios en las políticas ya establecidas puede ahorrarnos mucho dinero.

También sería bueno y útil que a las políticas acompañen capacitaciones continuas del personal, si se cree necesario crear un calendario donde se fijen horarios, días y/o períodos de capacitación y una vez que éstos se ponen en práctica realizar un control o seguimiento para que una vez llegado, por ejemplo al año realizar una evaluación y ver cuales fueron los resultados arrojados de dicha implementación.

Por último me gustaría recomendar esta lectura que me parece útil, no se si pertinente pero si muy interesante y es para tenerla en cuenta: Los 10 peores errores que comete la alta dirección en seguridad de la información.

Creo que por hoy esto es más que suficiente.

Hasta el próximo post…

Fuentes:

Arcert
Auditoria Sistemas

Segu-Info

About these ads
 
4 comentarios

Publicado por en 19/08/2008 en Políticas de Seguridad

 

4 Respuestas a “La necesidad de definir políticas de seguridad

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

A %d blogueros les gusta esto: