Las políticas
son una serie de instrucciones documentadas que indican la forma en que se
llevan a cabo determinados procesos dentro de una organización, también
describen cómo se debe tratar un determinado problema o situación
Las políticas pueden considerarse como un conjunto de
leyes obligatorias propias de una organización, y son dirigidas a un público
mayor que las normas pues las políticas proporcionan las instrucciones
generales, mientras que las normas indican requisitos técnicos específicos. Las
normas, por ejemplo, definirían la cantidad de bits de la llave secreta que se
requieren en un algoritmo de cifrado.
Una política de seguridad es un conjunto de reglas y
prácticas que regulan la manera en que se deben dirigir, proteger y
distribuir los recursos en una organización para llevar a cabo los objetivos de
seguridad informática de la misma.
Tienen como objetivo principal es la de implantar una serie de leyes, normas, estándares y prácticas que
garanticen la seguridad, confidencialidad y disponibilidad de la información, y
a su vez puedan ser entendidas y ejecutadas por todos aquellos miembros
de la organización a las que van dirigidos.
Son las ideas principales a partir de las cuales son
diseñadas las políticas de seguridad.
Los principios fundamentales son: responsabilidad
individual, autorización, mínimo privilegio, separación de obligaciones,
auditoría y redundancia.
Este principio dice que cada elemento humano dentro de
la organización es responsable de cada uno de sus actos, aun si tiene o
no conciencia de las consecuencias.
Son las reglas explícitas acerca de quién y de qué
manera puede utilizar los recursos.
Este principio indica que cada miembro debe estar
autorizado a utilizar únicamente los recursos necesarios para llevar a cabo su
trabajo. Además de ser una medida de seguridad, también facilita el soporte y
mantenimiento de los sistemas.
Las funciones deben estar divididas entre las
diferentes personas relacionadas a la misma actividad o función, con el fin de
que ninguna persona cometa un fraude o ataque sin ser detectado. Este principio
junto con el de mínimo privilegio reducen la posibilidad de ataques a la
seguridad, pues los usuarios sólo pueden hacer uso de los recursos relacionados
con sus actividades, además de que facilita el monitoreo y vigilancia de
usuarios, permitiendo registrar y examinar sus acciones.
Todas las actividades, sus resultados, gente
involucrada en ellos y los recursos requeridos, deben ser monitoreados desde el
inicio y hasta después de ser terminado el proceso.
Además es importante considerar que una auditoría
informática busca verificar que las actividades que se realizan así como las
herramientas instaladas y su configuración son acordes al esquema de seguridad
informática realizado y si éste es conveniente a la seguridad requerida por la
empresa.
Trata entre otros aspectos sobre las copias de
seguridad de la información, las cuales deben ser creadas múltiples veces en
lapsos de tiempos frecuentes y almacenados en lugares distintos. En este sentido se puede decir que a través de los respaldos
se duplica información, y lo mismo se puede realizar en diferentes aspectos,
como por ejemplo: en cuanto a energía eléctrica, una planta de luz para
garantizar que opere en casos de emergencia, servidores de datos que entren en
operación cuando el primario sufra una avería, etcétera, de manera tal que la
redundancia se considera en aquellos casos o servicios que se vuelven
imprescindibles para la empresa y que no pueden suprimirse pase lo que pase.
Las mas importantes son:
Desde el primer capítulo de esta investigación, se ha
mencionado la necesidad de mantener el control sobre quién puede tener acceso a
la información (ya sea a los documentos escritos o a los medios
electrónicos) pues no siempre queremos que la información esté disponible para
todo aquel que quiera obtenerla.
Por ello existen las políticas de confidencialidad, encargadas de establecer la relación entre la clasificación del documento y el cargo (nivel jerárquico dentro de la organización) que una persona requiere para poder acceder a tal información.
La política de integridad está orientada
principalmente a preservar la integridad antes que la confidencialidad, esto se
ha dado principalmente porque en muchas de las aplicaciones comerciales del
mundo real es más importante mantener la integridad de los datos pues se usan
para la aplicación de actividades automatizadas aún cuando en otros ambientes
no es así, como en los ámbitos gubernamental o militar.
¿Como abordar la implementar de políticas de seguridad informática?
Las políticas de seguridad son un conjunto de normas y
procedimientos que tienen por objetivo garantizar la seguridad en cada proceso
en los que estén involucrados. Esto es aplicable a todos los procesos llevados
a cabo en una organización, incluso los servicios de seguridad
(Confidencialidad, autenticación, integridad, no repudio, control de acceso,
disponibilidad) son diseñados con base en estos documentos.
Para implementar políticas de seguridad es necesario contar con un esquema que permita organizar adecuadamente su aplicación:
Como todos los documentos creados por una
organización, se debe decidir correctamente hacia qué grupos van dirigidas las
políticas de seguridad, por qué medios se van a dar a conocer, si se desea que
otros grupos puedan conocer su contenido.
El objetivo principal de la publicación y difusión es que el grupo objetivo entienda en qué consisten las políticas y se cree conciencia sobre su importancia a través de pláticas y talleres para tal fin.
Solo cuando una organización toma conciencia de lo
importante que es la seguridad de sus recursos incluyendo sus tecnologías de la
información, es cuando empieza a diseñar y establecer medidas de seguridad que
tienen por objetivo protegerla de diversas situaciones perjudiciales.
Aunque prevenir éstos desastres es de vital importancia, tampoco se puede descuidar la casi inevitable eventualidad de que sucedan, para ello también se necesita formular y establecer una serie de procedimientos que permitan enfrentar los problemas y posteriormente restaurar las condiciones normales de operación del área afectada.
Contempla todos los procedimientos antes de que se
materialice una amenaza, su finalidad es evitar dicha materialización.
Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que realiza la organización, los recursos que tiene disponibles, que es lo que quiere proteger, las instalaciones en que labore y la tecnología que use.
Las actividades que se realizan en este punto son las
siguientes:
-Copias de seguridad de las bases de datos y otros
tipos de documentos con información indispensable para la organización.
-Instalación de dispositivos de seguridad tales como
cerraduras, alarmas, puertas electrónicas, cámaras de seguridad, software de
protección para los equipos de cómputo, entre otros.
-Inspeccionar y llevar un registro constante del
funcionamiento y estado de los recursos informáticos, la infraestructura y las
condiciones del edificio.
-Instauración de servicios de seguridad, como líneas telefónicas
de emergencia, extintores, construcción de rutas de emergencia (Entrada y
salida), plantas eléctricas de emergencia, etc.
-Establecer un centro de servicio alternativo que
cuente con los recursos necesarios para continuar las operaciones de la organización
hasta el momento en que el centro de trabajo normal pueda ser usado en
condiciones normales.
-Capacitación del personal en el uso adecuado de las
tecnologías informáticas, en le ejecución correcta de sus labores y en la
ejecución de los procedimientos de emergencia.
Los procedimientos correctivos son acciones enfocadas
a contrarrestar en lo posible los daños producidos por un desastre, ataque u
otra situación desfavorable y restaurar el funcionamiento normal del
centro de operación afectado.
Al igual que los procedimientos preventivos, pueden variar según los recursos disponibles, pero también varía dependiendo el daño que se quiere contrarrestar pues no todas las emergencias requieren el uso de todos los procedimientos correctivos definidos por la organización.
El Plan de Contingencias es el instrumento de gestión
para el manejo de las Tecnologías de la Información y las Comunicaciones, contiene las medidas técnicas, humanas y organizativas necesarias
para garantizar la continuidad de las operaciones de una institución en caso de
desastres y situaciones catastróficas como incendios, terremotos,
inundaciones, etc. pero también contiene las medidas para enfrentar los daños
producidos por robo, sabotaje e incluso ataques terroristas.
El plan de contingencia es un requisito indispensable para que una respuesta de emergencia sea rápida y efectiva. Sin una previa planificación de contingencia se perderá mucho tiempo en los primeros días de una emergencia
Evaluación de riesgos
El análisis de riesgos implica más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
- Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
- Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
- Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.
La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de los riesgos:
- "¿Qué puede ir mal?"
- "¿Con qué frecuencia puede ocurrir?"
- "¿Cuáles serían sus consecuencias?"
- "¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
- "¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?"
- "¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
- "¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"
- "¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
- "¿Se tiene control sobre las operaciones de los distintos sistemas?"
- "¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"
- "¿A que se llama información confidencial y/o sensitiva?"
- "¿La información confidencial y sensitiva permanece así en los sistemas?"
- "¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"
- "¿A quien se le permite usar que recurso?"
- "¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"
- "¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
- "¿Cómo se actuará si la seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:
Tipo de Riesgo | Factor |
---|---|
Robo de hardware | Alto |
Robo de información | Alto |
Vandalismo | Medio |
Fallas en los equipos | Medio |
Virus Informáticos | Medio |
Equivocaciones | Medio |
Accesos no autorizados | Medio |
Fraude | Bajo |
Fuego | Muy Bajo |
Terremotos | Muy Bajo |
Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios según el factor de riesgo representado.
Estrategias de seguridad
Estrategias de seguridad
Para establecer estrategias adecuadas, es conveniente pensar una política de protección en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre estos factores. Por ello es necesario considerar, que el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva.
La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinación del daño que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudará a desarrollar esta estrategia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.
Con respecto a la postura que puede adoptarse ante los recursos compartidos:
- Lo que no se permite expresamente está prohibido: significa que la organización proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa está prohibida.
- Lo que no se prohíbe expresamente está permitido: significa que, a menos que se indique expresamente que cierto servicio no está disponible, todos los demás sí lo estarán.
Estas posturas constituyen la base de todas las demás políticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qué acciones se toleran y cuáles no.
Actualmente, y "gracias" a las, cada día más repetitivas y eficaces, acciones que atentan contra los sistemas informáticos los expertos se inclinan por recomendar la primera política mencionada.