RSS

Proceso de Elaboración de las Políticas de Seguridad

30 Ago

El post de hoy va a tratar de abarcar ciertos puntos y criterios que deben ser considerados a la hora de elaborar las políticas de seguridad.

Al ser un tema muy amplio traté de poner algunos puntos específicos y desarrollarlos de una manera que sean entendibles y comprensibles.

El post anterior hacía referencia a La necesidad de definir políticas de seguridad una vez que entendimos la importancia de las políticas de seguridad llegó la hora de elaborarlas.

Pero para poder llevarlo a cabo debemos determinar cuan segura o insegura, que funcionalidades va a ofrecer y cuan fácil va a ser de utilizar la red. No podremos tomar buenas decisiones sobre seguridad sin primero determinar los cuales son los objetivos de nuestra política, tampoco podremos hacer uso de herramientas específicas porque no sabremos que chequear y que restricciones imponer.

Éstos puntos pueden ser muy útiles a la hora de la elaboración de las políticas:

  • Servicios Ofrecidos vs Servicios Proveídos:
  • Cada servicio ofrecido al usuario trae consigo un riesgo de seguridad.
  • Para algunos servicios el riesgo supera el beneficio del servicio y el administrador puede elegir eliminar el servicio en lugar de tratar de asegurarlo.

Fácil de usar vs Seguridad:

El sistema más fácil de usar sería aquel que permita el acceso a cualquier usuario sin requerir password, eso quiere decir que no habría seguridad.

Requerir password hace que el sistema sea menos práctico, pero más seguro. Requerir de un dispositivo generador de contraseñas únicos hace el sistema un poco más difícil de usar, pero mucho más seguro.

Costo de Seguridad vs Riesgo de Pérdidas:

Hay diferentes costos de seguridad: monetarios (ej: el costo de comprar hardware de seguridad y software como firewall y generadores de passwords), performance (ej: la encriptación y desencriptación lleva tiempo), y fáciles de usar como se mencionó anteriormente. También hay algunos niveles de riesgo: pérdida de la privacidad (ej: la lectura de información por individuos no autorizados), pérdida de datos (ej: la corrupción o eliminación de la información), y la pérdida del servicio (ej: llenar de datos los dispositivos de almacenamiento, denegar los accesos a la red de trabajo).

Cada tipo de costo debe ser ponderado contra cada tipo de pérdida.
No está de más recordar que los objetivos o metas deben ser comunicados a todos los usuarios, miembros de staffs, y administradores a través de un set de reglas de seguridad, llamado “política de seguridad”.

Quienes deben estar involucrados a la hora de elaborar las políticas de seguridad?:

Para que una política de seguridad sea apropiada y efectiva, necesita tener la aceptación y el apoyo de todos los niveles de trabajadores en conjunción con la empresa.

La siguiente es una lista de las personas que deberían de participar en la elaboración de dicho documento:

  • Administrador de Sistema del lugar.
  • Staff del Data Center.
  • Administradores de Áreas en General.
  • Equipo responsable de Incidentes de Sistemas.
  • Representantes de Grupos de Usuarios afectados por las Políticas de Seguridad.
  • Administrador Responsable.
  • Consejeros Legales.

Es necesario hacer énfasis en que el apoyo por parte de la gente con el poder de decisión, tales como cuerpo directivo, gerentes, dueños de empresas, ya que sin su apoyo sería imposible contar con un esquema de seguridad verdaderamente exitoso.

Esta lista solo trata de brindar la información necesaria del personal a tener en cuenta en este proceso. Se la puede adaptar teniendo en cuenta la estructura de nuestra organización, los distintos departamentos que la conforman y los responsables de las mismas.

Una vez definido y decidida la política de seguridad a seguir, deberemos encontrar la manera de conseguir un equilibrio entre “seguridad, conveniencia y disponibilidad”. Contestar una serie de preguntas nos ayudará a encontrar éste equilibrio tan necesario e importante:

  • Quién debe tener acceso?
  • Quién debe tener acceso físico? Los sistemas se encuentran cerrados o de libre acceso?
  • Cuándo se debe tener acceso? Se los permite tener acceso en cualquier horario tanto dentro del comercial como fuera del mismo? Todos los días laborales y no laborales?
  • De qué clase de acceso se debe disponer? Es necesario que todos tengan acceso a internet o sólo a ciertos dispositivos que conforman la red, tales como impresora?
  • Qué servicios se deben usar? Debe alguno acceder a ftp? Qué ocurre con servicios como telnet, finger, etc?
  • Qué clase de programas se deben ejecutar?
  • Con que otras computadoras de la red se van a conectar? Cuántos servidores deben ver? El servidor web? Qué sucede con la contabilidad y las nóminas?
  • De cuánto espacio van a disponer los usuarios dentro del sistema de archivos?
  • De cuánto espacio del kernel disponen los usuarios?
  • Qué tipo de restricciones se deben implantar al uso de contraseñas? Una longitud mínima? Cambio de contraseñas semanales? Mensuales tal vez?
  • Qué tipo de ataques son posibles? Es necesario que los usuarios accedan desde el exterior a través del firewall?
  • Qué tipo de ataques son más probables? Se ha despedido de forma reciente personal con conocimiento del sistema? Se han producido recientemente intentos que hayan tenido éxito?
  • De cuánto tiempo se dispone para recuperarse después de un ataque? Es posible tomarse una semana de baja? Un día? Una hora?
  • Cuál será el costo? Considerar la base hora/trabajador, para volver al correcto funcionamiento.
  • Qué valor deben tener los datos protegidos para alguien de afuera? Son secretos corporativos? Información financiera? Lista de clientes?
  • Qué daño pueden causar a la reputación de la empresa la publicación de la intrusión? Qué ocurre si se trata de una institución financiera y se ven comprometidos los datos personales o expedientes de los clientes?

Qué hace a una buena política de seguridad?:

Algunas características de de una buena política de seguridad son las siguientes:

  • Debe ser implementado a través de procesos de sistemas de administración, posters, folletos o algún otro medio apropiado.
  • Deben ser ejecutadas con herramientas de seguridad.
  • Debe definir claramente las áreas de responsabilidad de los usuarios, administradores y gerente.

A la hora de elaborar estas políticas, es factible que dividir el trabajo en varias políticas diferentes y específicas a un campo, tales como: cuentas, email, passwords, entre otros. Ésto nos dará la posibilidad de tratar distintas áreas con mayor detenimiento, tratando así de eliminar puntos o vulnerabilidades sin cubrir.

Algo muy importante a tener en cuenta cuando estamos en la realización de las políticas es que debemos pensar en ella será aplicada constantemente por todos los integrantes de la organización y es por eso mismo que hay que dotarla de cierta flexibilidad.

Manteniendo nuestra Política Flexible:

Para que nuestra política de seguridad sea viable y perdure por mucho tiempo, es necesario que posea de mucha flexibilidad basada en el concepto de arquitectura de seguridad. La política de seguridad debe ser independiente de un hardware específico y de un conjunto determinado de software. Los mecanismos para la actualización y/o modificación de las políticas deben estar claramente establecidos. Ésto incluye procesos, personas involucradas, y las personas que deben firmar los cambios. También es importante reconocer que hay excepciones a cada regla. Cuando sea necesario se debe dar a conocer cuales son esas excepciones. Por ejemplo, en que casos o condiciones un administrador de sistemas tiene permiso para acceder a los archivos de los usuarios. Es éste tema muy importante a tener en cuenta.

Considero que con toda esta información es bastante por hoy.
Hasta la próxima…

Fuentes:

  1. Information Resource Guide (Computer, Internet and Network Systems Security)
  2. Políticas de Seguridad Computacional (Donado, Agredo Méndez y Carrascal Reyes)
 
 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: