RSS

Archivo de la categoría: Políticas de Seguridad

Textos y/o artículos relacionados con las políticas de seguridad.

Algunos de los principales riesgos para la Seguridad Informática

Leyendo un artículo que data del “7 de Octubre del 2008”, titulado “Las empresas anuncian cuales serán los principales riesgos para la Seguridad Informática”, el cual lo pueden leer en este enlace. Hubo un párrafo que llamó mi atención, es el siguiente:

En relación a los motivos para integrar a la seguridad informática dentro de la organización, el 31% contestó que lo realiza para cumplir, el 24% que no hay integración, el 17% que es una demanda del management superior como única visión de riesgo, el 14% amenazas de seguridad específicas, 10% otros.

Lo leí atentamente y seguí con el resto del artículo y una vez finalizada mi lectura no pude evitar volver a leer ese párrafo una y otra vez.

No se si soy que tal vez no supo interpretar lo que quiere decir pero que de una serie de encuestas se obtenga un 31% que diga que uno de sus motivos para integrar a la seguridad informática dentro de su organización sea que contestó para cumplir, realmente no se que quiso decir con dicha respuesta. Para cumplir con algo que le dijeron o establecieron?.

Que un 24% diga que no hay o existe integración creo que es una cifra no menos importante para analizarla y sobre todo evaluar el porqué de esa respuesta. Seguramente las posibles respuetas pueden ser muchas y no se si eso es bueno o malo, pero desde mi punto de vista leer que digan que no hay integración me parece algo muy grave y que hay que dedicarle tiempo a ese sector.

Los del 17% dicen que es una demanda del management superior como única visión de riesgo, no se si coincido con el hecho de que sea implementado porque es una demanda, seguramente porque todavía creo que en algún momento todo esto puede ir cambiando para mejor, en el sentido de que las empresas de cualquier tamaño y porque no usuarios piensen en la seguridad como algo innato, algo que les surga de manera natural. Soy muy idealista, estamos tan lejos de algo así?, creo que soy muy idealista… Pero bueno por lo menos ese porcentaje de las empresas están dando importancia a la seguridad.

Después un 14% amenazas de seguridad específicas, por lo visto habrán sido empresas que sufrieron ataques y quien sabe cuanto dinero han perdido. Sin duda que es cierto que de las experiencias se aprenden aunque a eso también le sumaría el hecho de que muchas veces es mejor prevenir que curar.

Y por útlimo un 10% otros, que también sería bueno saber o tener un poco de información algo más detallada sobre lo que opina ese pequeño porcentaje.

Otro párrafo que también me llamó la atención es el siguiente:

“Para negocios de primera línea, la Argentina está tres veces atrasada con respecto al primer mundo, la diferencia es el tema presupuestario. Es difícil encontrar un presupuesto estanco destinado exclusivamente a seguridad. Mejoraron las condiciones y el control, pero no podemos medir la cantidad de ataques porque en realidad es una cifra incontrastable”, destacó Gabriel Zurdo, socio a cargo de la práctica de Technology and Security Risk Services de Ernst & Young.

La pregunta que me hago es, ¿cuánto tiempo más vamos a seguir así, tan atrasados en materia de seguridad? Está bien que el dinero es el factor principal, pero me niego a creer que no tenemos las personas capacitadas o con conocimiento suficiente para poder mejorar el nivel que actualmente tenemos. Somos lo suficientemente creativos para sacar el mayor provecho del dinero que se les asigna a seguridad y poner lo mejor que esté a nuestro alcance, el resto ya depende de nuestro conocimiento y habilidades.

Por último este párrafo también me resultó interesante:

Sólo el 15% de los ejecutivos señaló que cuenta con un esquema de contingencia en caso de crisis graves como, por ejemplo, desastres naturales o ataques terroristas y el 29 por ciento nunca realizó pruebas piloto de sus planes de continuidad de negocios.

Ese 29% nunca realizó pruebas piloto de sus planes de continuidad de negocios, por lo menos sabemos que tiene planes pero…, saben acaso si son eficaces sin haberlos testeado a fondo? Y si algún día deben implementarlo sabrán cual es la manera correcta de hacerlo? Espero que no vayan a tener que implementarlo.

La conclusión a la que llego después de leer y pensar todo esto es que todavía nos queda mucho camino por recorrer en el área de la seguridad y ni hablar del trabajo que hay que hacer con las personas que toman las decisiones porque sin su apoyo y comprensión dificilmente podramos cambiar estas cifras.

 
 

Implementación de las PSI y los Delitos Informáticos – Videos

Se que me pasé unos cuantos días sin realizar ningún post, pero creo que hoy no van a leer muchas líneas mías, sino más bien que les propongo compartir una serie de videos donde especialistas nos advierten de las nuevas tendencias en los ataques informáticos, cuales son los delitos y fraudes más comunes, otros expertos nos hacen sugerencias básicas y resaltan la importancia de proteger nuestra red hogareña, tema que lo mencioné anteriormente.

Espero esta serie de videos nos ayude a reflexionar un poco más sobre nuestras PSI.

  • Primer video: Ingeniería Social por teléfono

http://cxo-community.com.ar/index.php?option=com_content&task=view&id=1040&Itemid=142

  • Segundo video: Delitos Informáticos (Venezuela)

http://cxo-community.com.ar/index.php?option=com_content&task=view&id=462&Itemid=142

  • Tercer video: Seguridad Informática por Roberto Langdon

http://cxo-community.com.ar/index.php?option=com_wrapper&Itemid=90

  • Cuarto video: Delitos Informáticos en Chile

http://cxo-community.com.ar/index.php?option=com_content&task=view&id=346&Itemid=142

  • Quinto video: Las nuevas amenazas cambian el concepto de seguridad

http://cxo-community.com.ar/index.php?option=com_content&task=view&id=297&Itemid=142

  • Sexto video: Caso de Estudio #01: Chile – Seguridad de la Información

http://cxo-community.com.ar/index.php?option=com_content&task=view&id=156&Itemid=142

  • Séptimo video: Primer cortometraje de Seguridad Informatica titulado “Media Vida”, un film de DELACREW

http://cxo-community.com.ar/index.php?option=com_content&task=view&id=22&Itemid=142

  • Octavo video: Segundo cortometraje de Seguridad Informatica titulado “Remove”, un film de DELACREW

http://cxo-community.com.ar/index.php?option=com_content&task=view&id=23&Itemid=142

Creo que esta series de video muestran y explican mejor que yo los peligros a los que estamos expuestos y resaltan la importancia de la seguridad en todo su ámbito.

Hasta la próxima…

Fuente:

http://cxo-community.com.ar/

 

Implementación de las PSI (Parte 1):

Navegando, investigando e informándome como siempre hago antes de realizar un post, me di cuenta que de PSI hay muchísimo material por suerte, no es nada nuevo ni es un hallazgo pero lo que más llamó mi atención fue que no hay mucha información disponible acerca de la implementación de las PSI sobre el hardware móvil que las empresas nos otorga como herramientas de trabajo. No se si no es un tema que no abunda mucho, tal vez fue una falla mía en la búsqueda y es por eso que no encontré mucho material acerca del mismo.

El post de hoy iba a ser otro realmente pero releyendo artículos de hace un tiempo atrás los cuales hacen referencia sobre la fuga de información y/o vulnerabilidades del hardware móvil, me hizo replantear el post y cambiarlo por este, tal vez no sea el más apropiado pero me parece un tema no menos importante, ya que cada vez es mayor el porcentaje de fuga de información en las empresas, los ataques internos, el hardware infectado y muchas veces esto es consecuencia de una PSI que no es aplicada de la forma correcta, falta de información de los empleados, grave falencia de las políticas que no abarcan este tipo de hardware y/o el software del mismo, etc.

Uno de los artículos que llamó mi atención fue uno escrito por Nicolás Ramos de Ernst & Young, intitulado “Un jefe a su empleado: “Si vuelve a traer su notebook a la oficina, lo echo””, artículo en el que relata como cada vez es más común que directivos o ciertos empleados dentro de la organización hagan uso de notebooks, pdas, blackberrys y dispositivos similares los cuales pueden sufrir ataques de todo tipo tales como interferencias o robos; y todo esto es provocado o causado porque dichos dispositivos se encuentran fuera del rango de alcance o fuera del control de las PSI que las organizaciones implementan.

Qué quiero decir con esto? Que es necesario pensar en conjunto, tener presente los ordenadores personales, los datos y las redes. Hay que establecer una política clara sobre quien recibe cada dispositivo móvil, como puede utilizarlo, que tipo de acceso a la red tendrá y como se aplicarán estas políticas. Se estima que menos de la mitad de las empresas gozan de directrices de seguridad para dispositivos móviles o saben cómo proteger los datos críticos de los aparatos móviles de sus empleados.

La seguridad de los dispositivos móviles se la puede plantear en dos niveles:

  • A nivel de red corporativa: el software de gestión de dispositivos mantiene y controla los accesos a cada aparato y permite bloquear o denegar el acceso a un aparato perdido.
  • El otro nivel parte de cada aparato: hay diversas soluciones de seguridad disponibles para dispositivos móviles como por ejemplo la encriptación, la autenticación de identidad mediante PINs, tarjetas inteligentes, lectores dactilares y biométricos, el bloqueo de acceso de cualquier dispositivo que se pierda o la implantación de programas antivirus.

Éstas sólo son algunas sugerencias, por supuesto hay que reforzarlas ya que cada vez existen más herramientas que permiten vulnerarlas.

Éste es sólo por citar un ejemplo entre los tantos que hay, es por este motivo y muchos otros la importancia de la cultura, concientización y ética en nuestro personal desde la cabeza de la pirámide hasta la base, si las personas que toman este tipo de decisiones no son conscientes de que este tipo de hechos ocurre y que desgraciadamente es más común difícilmente podamos aplicar las PSI de una manera correcta, ya que si nuestros empleados que son la base de la pirámide no tienen conocimientos sólidos y acompañan esto con acciones nuestra empresa y políticas no están apoyado sobre algo fuerte y estable.

Qué podemos hacer con nuestro personal?:

  • Garantizar la concientización continuada de la política:

Esta etapa comprende realizar esfuerzos continuos para garantizar que las personas están conscientes de la política y buscan facilitar su cumplimiento. También incluye esfuerzos para integrar el cumplimiento de la política y retroalimentación sobre el control realizado para su cumplimiento.

  • Seguimiento y reporte del cumplimiento de la política:

Durante esta fase de mantenimiento, la etapa de monitoreo se la realiza para seguir y reportar la efectividad de los esfuerzos en el cumplimiento de la política. Esta información se obtiene de la observación de los empleados y los cargos de supervisión, mediante auditorías formales, evaluaciones, inspecciones, revisiones y análisis de los reportes de contravenciones y de las actividades realizadas en respuesta a los incidentes. Esta etapa también incluye actividades continuas para hacer un seguimiento del cumplimiento o no de las políticas a través de métodos formales e informales y el reporte de las deficiencias encontradas a las autoridades apropiadas.

  • Afrontar las contravenciones de la política:

Esta etapa de garantía de cumplimiento de las PSI incluye las respuestas de la administración a actos u omisiones que tengan como resultado contravenciones de la política con el fin de prevenir que sigan ocurriendo. Esto quiere decir que una vez una contravención sea identificada, la acción correctiva debe ser determinada y aplicada a los procesos (revisión del proceso y mejoramiento), a la tecnología (actualización) y a las personas (acción disciplinaria) involucrados en la contravención con el fin de reducir la probabilidad de que se vuelva a cometer el mismo error. Es recomendable incluir información sobre las acciones correctivas adelantadas para garantizar el cumplimiento en la etapa de concientización.

  • Asegurar que la política esté actualizada:

La etapa de mantenimiento está relacionada con el proceso de garantizar la vigencia y la integridad de la PSI. Esto incluye hacer seguimiento de las tendencias de cambios (cambios en la tecnología, en los procesos, en las personas, en la organización, en el enfoque del negocio, etc) que puede afectar la política; recomendando y coordinando modificaciones resultado de estos cambios, documentándolos en la política y registrando las actividades de cambio. Esta etapa también garantiza la disponibilidad continuada de la política para todas las partes afectadas por ella, al igual que el mantenimiento de la integridad de la política a través de un control de versiones efectivo. Cuando se requieran cambios a la política, las etapas realizadas antes deben ser re – visitadas, en particular las etapas de revisión, aprobación, comunicación y garantía de cumplimiento.

Creo que estos elementos pueden ayudar a ir mejorando de a poco nuestras PSI e ir corrigiendo algunas falencias que se vayan presentando a medida que hacemos un control o un seguimiento.

Hasta la segunda parte …

 
 

Proceso de Elaboración de las Políticas de Seguridad

El post de hoy va a tratar de abarcar ciertos puntos y criterios que deben ser considerados a la hora de elaborar las políticas de seguridad.

Al ser un tema muy amplio traté de poner algunos puntos específicos y desarrollarlos de una manera que sean entendibles y comprensibles.

El post anterior hacía referencia a La necesidad de definir políticas de seguridad una vez que entendimos la importancia de las políticas de seguridad llegó la hora de elaborarlas.

Pero para poder llevarlo a cabo debemos determinar cuan segura o insegura, que funcionalidades va a ofrecer y cuan fácil va a ser de utilizar la red. No podremos tomar buenas decisiones sobre seguridad sin primero determinar los cuales son los objetivos de nuestra política, tampoco podremos hacer uso de herramientas específicas porque no sabremos que chequear y que restricciones imponer.

Éstos puntos pueden ser muy útiles a la hora de la elaboración de las políticas:

  • Servicios Ofrecidos vs Servicios Proveídos:
  • Cada servicio ofrecido al usuario trae consigo un riesgo de seguridad.
  • Para algunos servicios el riesgo supera el beneficio del servicio y el administrador puede elegir eliminar el servicio en lugar de tratar de asegurarlo.

Fácil de usar vs Seguridad:

El sistema más fácil de usar sería aquel que permita el acceso a cualquier usuario sin requerir password, eso quiere decir que no habría seguridad.

Requerir password hace que el sistema sea menos práctico, pero más seguro. Requerir de un dispositivo generador de contraseñas únicos hace el sistema un poco más difícil de usar, pero mucho más seguro.

Costo de Seguridad vs Riesgo de Pérdidas:

Hay diferentes costos de seguridad: monetarios (ej: el costo de comprar hardware de seguridad y software como firewall y generadores de passwords), performance (ej: la encriptación y desencriptación lleva tiempo), y fáciles de usar como se mencionó anteriormente. También hay algunos niveles de riesgo: pérdida de la privacidad (ej: la lectura de información por individuos no autorizados), pérdida de datos (ej: la corrupción o eliminación de la información), y la pérdida del servicio (ej: llenar de datos los dispositivos de almacenamiento, denegar los accesos a la red de trabajo).

Cada tipo de costo debe ser ponderado contra cada tipo de pérdida.
No está de más recordar que los objetivos o metas deben ser comunicados a todos los usuarios, miembros de staffs, y administradores a través de un set de reglas de seguridad, llamado “política de seguridad”.

Quienes deben estar involucrados a la hora de elaborar las políticas de seguridad?:

Para que una política de seguridad sea apropiada y efectiva, necesita tener la aceptación y el apoyo de todos los niveles de trabajadores en conjunción con la empresa.

La siguiente es una lista de las personas que deberían de participar en la elaboración de dicho documento:

  • Administrador de Sistema del lugar.
  • Staff del Data Center.
  • Administradores de Áreas en General.
  • Equipo responsable de Incidentes de Sistemas.
  • Representantes de Grupos de Usuarios afectados por las Políticas de Seguridad.
  • Administrador Responsable.
  • Consejeros Legales.

Es necesario hacer énfasis en que el apoyo por parte de la gente con el poder de decisión, tales como cuerpo directivo, gerentes, dueños de empresas, ya que sin su apoyo sería imposible contar con un esquema de seguridad verdaderamente exitoso.

Esta lista solo trata de brindar la información necesaria del personal a tener en cuenta en este proceso. Se la puede adaptar teniendo en cuenta la estructura de nuestra organización, los distintos departamentos que la conforman y los responsables de las mismas.

Una vez definido y decidida la política de seguridad a seguir, deberemos encontrar la manera de conseguir un equilibrio entre “seguridad, conveniencia y disponibilidad”. Contestar una serie de preguntas nos ayudará a encontrar éste equilibrio tan necesario e importante:

  • Quién debe tener acceso?
  • Quién debe tener acceso físico? Los sistemas se encuentran cerrados o de libre acceso?
  • Cuándo se debe tener acceso? Se los permite tener acceso en cualquier horario tanto dentro del comercial como fuera del mismo? Todos los días laborales y no laborales?
  • De qué clase de acceso se debe disponer? Es necesario que todos tengan acceso a internet o sólo a ciertos dispositivos que conforman la red, tales como impresora?
  • Qué servicios se deben usar? Debe alguno acceder a ftp? Qué ocurre con servicios como telnet, finger, etc?
  • Qué clase de programas se deben ejecutar?
  • Con que otras computadoras de la red se van a conectar? Cuántos servidores deben ver? El servidor web? Qué sucede con la contabilidad y las nóminas?
  • De cuánto espacio van a disponer los usuarios dentro del sistema de archivos?
  • De cuánto espacio del kernel disponen los usuarios?
  • Qué tipo de restricciones se deben implantar al uso de contraseñas? Una longitud mínima? Cambio de contraseñas semanales? Mensuales tal vez?
  • Qué tipo de ataques son posibles? Es necesario que los usuarios accedan desde el exterior a través del firewall?
  • Qué tipo de ataques son más probables? Se ha despedido de forma reciente personal con conocimiento del sistema? Se han producido recientemente intentos que hayan tenido éxito?
  • De cuánto tiempo se dispone para recuperarse después de un ataque? Es posible tomarse una semana de baja? Un día? Una hora?
  • Cuál será el costo? Considerar la base hora/trabajador, para volver al correcto funcionamiento.
  • Qué valor deben tener los datos protegidos para alguien de afuera? Son secretos corporativos? Información financiera? Lista de clientes?
  • Qué daño pueden causar a la reputación de la empresa la publicación de la intrusión? Qué ocurre si se trata de una institución financiera y se ven comprometidos los datos personales o expedientes de los clientes?

Qué hace a una buena política de seguridad?:

Algunas características de de una buena política de seguridad son las siguientes:

  • Debe ser implementado a través de procesos de sistemas de administración, posters, folletos o algún otro medio apropiado.
  • Deben ser ejecutadas con herramientas de seguridad.
  • Debe definir claramente las áreas de responsabilidad de los usuarios, administradores y gerente.

A la hora de elaborar estas políticas, es factible que dividir el trabajo en varias políticas diferentes y específicas a un campo, tales como: cuentas, email, passwords, entre otros. Ésto nos dará la posibilidad de tratar distintas áreas con mayor detenimiento, tratando así de eliminar puntos o vulnerabilidades sin cubrir.

Algo muy importante a tener en cuenta cuando estamos en la realización de las políticas es que debemos pensar en ella será aplicada constantemente por todos los integrantes de la organización y es por eso mismo que hay que dotarla de cierta flexibilidad.

Manteniendo nuestra Política Flexible:

Para que nuestra política de seguridad sea viable y perdure por mucho tiempo, es necesario que posea de mucha flexibilidad basada en el concepto de arquitectura de seguridad. La política de seguridad debe ser independiente de un hardware específico y de un conjunto determinado de software. Los mecanismos para la actualización y/o modificación de las políticas deben estar claramente establecidos. Ésto incluye procesos, personas involucradas, y las personas que deben firmar los cambios. También es importante reconocer que hay excepciones a cada regla. Cuando sea necesario se debe dar a conocer cuales son esas excepciones. Por ejemplo, en que casos o condiciones un administrador de sistemas tiene permiso para acceder a los archivos de los usuarios. Es éste tema muy importante a tener en cuenta.

Considero que con toda esta información es bastante por hoy.
Hasta la próxima…

Fuentes:

  1. Information Resource Guide (Computer, Internet and Network Systems Security)
  2. Políticas de Seguridad Computacional (Donado, Agredo Méndez y Carrascal Reyes)
 
 

La necesidad de definir políticas de seguridad

El post de hoy va a tratar de explicar porqué es necesario que toda empresa por más grande o pequeña que sea tiene la necesidad y porqué no, obligación de definir políticas de seguridad.

La necesidad surge porqué existe un fallo o deficiencia en la seguridad de información, la cual pone en riesgo nuestra información y seguridad a la hora de proteger nuestros datos, que implican significantes sumas de dinero y tiempo invertido.

Con buenas políticas informamos con mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organización.

Es importante que las personas que toman este tipo de decisiones sepan que algunos de los ítems que abarca este tipo de políticas son los siguientes:

  • Una política de privacidad.
  • Una política de acceso.
  • Una política de autenticación.
  • Una política de contabilidad.
  • Una política de mantenimiento para la red.
  • Una política de divulgación de información.

Elementos que ayudan a la colaboración de las políticas de seguridad:

  • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual se aplica.
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición.
  • Responsabilidades por cada uno de los servicios y recursos informáticos aplicados a todos los niveles de la organización.
  • Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
  • Definición de violaciones y sanciones por no cumplir con las políticas.
  • Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismo y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.

Es muy importante que las políticas de seguridad deben estar en un proceso de actualización y/o revisión constante.

Estructura de un Modelo de Política de Seguridad:

  • Organización de la Seguridad:

Objetivo:

Administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial para iniciar y controlar su implementación, así como para la distribución de funciones y responsabilidades.

Fomentar la consulta y cooperación con Organismos especializados para la obtención de asesoría en materia de seguridad de la información.

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.

  • Clasificación y Control de Activos:

Objetivos:

Garantizar que los activos de información reciban un apropiado nivel de protección.

Designar a los propietarios de la información existente en el Organismo.

Clasificar la información para señalar su sensibilidad y criticidad.

Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.

  • Seguridad del Personal:

Objetivo:

Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.

Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal, incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad del Organismo en el transcurso de sus tareas normales.

Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.

Establecer las herramientas necesarias para promover la comunicación de debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

  • Seguridad Física y Ambiental:

Objetivo:

Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.

Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal, incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad del Organismo en el transcurso de sus tareas normales.

Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.

Establecer las herramientas necesarias para promover la comunicación de debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

  • Gestión de Operaciones y Comunicaciones:

Objetivos:

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.

Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.

  • Control de Accesos:

Objetivos:

Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.

Implementar seguridad en los accesos de usuarios por medio de técnicas de identificación y autenticación.

Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas.

Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.

Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equpos.

Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.

  • Desarrollo y Mantenimiento de Sistemas:

Objetivos:

Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en los cuales éstos se apoyan.

Definir los métodos de protección de información crítica.

  • Administración de la Continuidad de las Actividades del Organismo:

Objetivos:

Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en los cuales éstos se apoyan.

Definir los métodos de protección de información crítica.

Notificación / Activación : Consistente en la detección y determinación del daño y la activación del plan.

Reanudación : Consistente en la restauración temporal de las operaciones y recuperación del daño producido al sistema original.

Recuperación : Consistente en la restauración de las capacidades de proceso del sistema a las condiciones de operación normales.

Asegurar la coordinación con el personal del Organismo y los contactos externos que participarán en las estrategias de planificación de contingencias. Asignar responsabilidades para cada actividad definida.

  • Cumplimiento:

Objetivos:

Cumplir con las disposiciones legales, normativas y contractuales a fin de evitar sanciones administrativas y legales al Organismo y/o al empleado.

Garantizar que los sistemas cumplan con las Políticas y estándares de seguridad del Organismo.

Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de las Políticas y estándares de seguridad, sobre las plataformas tecnológicas y los sistemas de información.

Optimizar la eficacia del proceso de auditoría de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

Garantizar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoría en el transcurso de las auditorías de sistemas.

Determinar los plazos para el mantenimiento de información y para la recolección de evidencia del Organismo.

Cómo mencioné en algún post anterior, la tendencia en estos últimos años es escuchar la frase “hay que educar al consumidor”, pero en este caso sería, “hay que educar a los usuarios” y me parece que en esta frase “usuario” va más allá de la persona que se sienta frente a su computadora y se limita a hacer su trabajo diario, sino que abarca a todos los que trabajan en la organización desde la cabeza hasta el último.

Las políticas bien elaboradas y aplicadas, si bien implican tal vez mucho dinero hay que entender que ese dinero es bien invertido y en el futuro a la hora de actualizar o implementar nuevos cambios en las políticas ya establecidas puede ahorrarnos mucho dinero.

También sería bueno y útil que a las políticas acompañen capacitaciones continuas del personal, si se cree necesario crear un calendario donde se fijen horarios, días y/o períodos de capacitación y una vez que éstos se ponen en práctica realizar un control o seguimiento para que una vez llegado, por ejemplo al año realizar una evaluación y ver cuales fueron los resultados arrojados de dicha implementación.

Por último me gustaría recomendar esta lectura que me parece útil, no se si pertinente pero si muy interesante y es para tenerla en cuenta: Los 10 peores errores que comete la alta dirección en seguridad de la información.

Creo que por hoy esto es más que suficiente.

Hasta el próximo post…

Fuentes:

Arcert
Auditoria Sistemas

Segu-Info

 
4 comentarios

Publicado por en 19/08/2008 en Políticas de Seguridad

 

Introducción a las Políticas de Seguridad

Este post lo quiero hacer sobre políticas de seguridad. ¿Porqué? Por el hecho de que es un tema que siempre me pareció interesante y porque tanto ustedes como yo no sabemos muy bien en que consiste y que abarca.

Generalmente, cuando hay algo que no entiendo o no me queda del todo claro, trato de analizar, entender o comprender el significado de la/s palabra/s, en este caso “políticas de seguridad”.

Esto quiere decir que mi siguiente paso es poner las siguientes definiciones:
1) Políticas: (del griego πολιτικος (politikós), «ciudadano, civil, relativo al ordenamiento de la ciudad») es el proceso y actividad orientada, ideológicamente, a la toma de decisiones de un grupo para la consecución de unos objetivos. También se define como política a la comunicación dotada de un poder, relación de fuerzas.
2) Seguridad: (esta definición me costó bastante conseguirla, pero esta que voy a dar a continuación me pareció la más adecuada) Se aplica a ciertos mecanismos que aseguran algún buen funcionamiento, precaviendo que éste falle, se frustre o se violente.

Lo que yo saco como conclusión teniendo en cuenta estos conceptos, es que las políticas de seguridad son decisiones que toman las personas con altos puestos gerenciales que teniendo en cuenta los objetivos de la empresa, tratan de optar por las mejores opciones para el logro de las metas establecidas. Pero la/s persona/s que deciden ésto deben estar asesorados con personas del rubro o área de la informática o bien, porqué no contar con un informático dentro de la gerencia, ya que así supongo que se podrían evitar muchas veces falencias, que pueden terminar en verdaderos desastres y no se si en tragedias económicas, pero que podrían causar un gran daño económico a la entidad.

Es precisamente por esto, por los daños que puede sufrir una empresa ya sea como económico, de información o de lo que sea es que los responsables de tomar estas medidas, deben ser capaces de darse cuenta de que capacitar al personal responsable del área informática debe estar actualizado y capacitado, y que el dinero destinado a esto no es un “gasto, sino una inversión en seguridad”.

Ahora una buena definición de lo que es seguridad informática:

Seguridad Informática:
La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten asegurar la información contenida en un sistema computacional.

Áreas que cubre la seguridad informática:

  • Políticas de seguridad.
  • Seguridad Física.
  • Autentificación.
  • Integridad.
  • Confidencialidad.
  • Control de Acceso.
  • Auditoría.

Porqué es tan importante la Seguridad Informática:
Es importante porque las empresas poseen información relevante para ellos ya que les es útil para la toma de decisiones, establecer políticas, normas para el logro de los objetivos.

También es importante porque poseen base de datos con datos personales de los clientes, los cuales en manos incorrectas o maliciosas podrían ser utilizados de malas maneras como perjudicar a los clientes o a las empresas causando grande pérdidas de dinero, entre otras cosas.

La falta de seguridad también puede provocar la pérdida de información, que puede ser utilizada por otras empresas y éstas las pueden utilizar esa información ya sea para lanzar el mismo producto y/o servicio o anticipar distintas estrategias entre otras cosas.

Los intrusos pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compañía; de acuerdo con expertos en el área, más de 70 por ciento de las Violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas.

El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares.
Me parece que una buena manera de concluir este post que sin duda va a ser el principio de más post referidos a seguridad, es un breve documento titulado: Política Oficial de Seguridad Informática del CICESE, elaborado el 28 de mayo del 2001. Por lo que se ve es de principios del 2000 pero creo que como base y/o guía puede ser un material muy útil para saber que tipo de información debemos tener en cuenta a la hora de elaborar nuestras políticas de seguridad.

Espero el post haya sido del agrado de muchos.

Hasta la próxima…

 
2 comentarios

Publicado por en 11/08/2008 en Políticas de Seguridad