1. MANUAL DE PROCEDIMIENTO PARA LA ELABORACION DE
POLITICAS DE SEGURIDAD TÉCNICAS DE ENCRIPTACIÓN,
CERTIFICADOS DIGITALES Y FIRMA DIGITAL
Por: Guillermo Rogel
2. INTRODUCCIÓN
En toda organización hay información que está al alcance de muchas
personas y pocas veces realizamos un análisis, para poder determinar
que es público y que es confidencias, y cada usuario a que partes debe
tener accesos y a cuáles no.
Así también a medida que la tecnología avanza también la delincuencia
informática y por ello es importante con el fin de garantizar, integridad,
confiabilidad, disponibilidad, etc. Realizar en toda corporación las
políticas de seguridad.
3. OBJETIVO
Establecer políticas en los diferentes aspectos, que logren hacer del uso
de las tecnologías algo más seguro y confiable, aplicando los diferentes
normativas.
4. FASES
Fases para la elaboración de manual de seguridad de la organización:
1. Definir objetivos
2. Recopilación de información de la organización
3. Levantamiento de software
4. Levantamiento de hardware
5. Análisis actual
6. Determinación de riesgos
7. Establecer tipos de seguridades necesarias
a. Seguridad de Usuarios
b. Seguridad de Hardware
c. Técnicas de encriptación
d. Certificados digitales
e. Firma digital
f. Otros.
8. Estructuración del manual
9. Revisión total vs Objetivos
10. Divulgación.
11. Revisiones Periodicas.
5. 1. Definir objetivos
Antes de empezar cualquier trabajo, se debe establecer que se quiere
lograr.
Junto con los objetivos se debe establecer el alcance, es decir hasta
donde se quiere controlar.
2. Recopilación de información de la organización
Toda organización es diferente, por ello se debe obtener la mayor
cantidad de información provista por:
a. Usuarios
b. Clientes
c. Administrativos
d. Operativos
e. Y cualquier forma en la que se pueda extraer.
3. Levantamiento de software
Estamos acostumbrados, a que cada persona administre el software que
tiene en sus pc´s, antes de eliminar el software es importante, hacer un
inventario para saber que está instalado.
También es importante tener en claro los roles de usuario, que tienen
para un posterior evaluó.
4. Levantamiento de hardware
Si queremos cuidar nuestra información debemos saber con que
hardware contamos, para saber que es lo que tenemos que cuidar.
6. No solo es saber que tenemos sino en donde están y quienes tienen
acceso.
5. Análisis actual
Con la información recopilada, podemos estructurar una situación, real
de la organización.
Este paso es importante, si queremos llegar a algún lugar debemos
conocer en donde estamos.
6. Determinación de riesgos
Aplicando conocimientos de gestión de riesgos se debe, establecer a
que riesgos están sujetos nuestros activos.
Algunos de nuetros activos tendrán una mayor probabilidad de riesgo
mientras que otros solo una escasa, por ello se debe hacer un estudio
exhaustivo y detallado.
7. Determinación de amenazas.
Si tenemos una Pc conectada a una red tenemos amenazas constantes
ya sea internas o externas, si la tenemos conectada a internet las
amenazas serán mucho mayores.
Al igual que en los riesgos aui también se debe ver los tipos de
amenazas que podemos tener, mientras mejor sea nuestro análisis
mejor será, nuestras salvaguardas.
8. Establecer tipos de seguridades necesarias (salvaguardas)
El siguiente paso es establecer cuales serán las medidas que
aplicaremos para que estemos mejor preparados para un posible
ataque.
7. a. Seguridad de Usuarios
Establecer claramente los roles, cada persona tiene su papel en la
organización y por ello le es requirente solo alguna información.
Mientras más celosos seamos en la limitación de usuarios mas segura
estará nuestra información.
b. Seguridad de Software
La mayoría de robos de información, suplantación, etc, la conseguimos
nosotros mismos al instalar aplicaciones de carácter sospechoso.
Se debe establecer políticas claras de software, solo el que es necesario
y lo demás debe ser borrado.
Establecer personas responsables de la instalación de software no todos
pueden hacerlo.
c. Seguridad de Hardware
Nuestros equipos deben estar protegidos no solo de los externos, sino
también de los internos, la mejor forma es poner en lugares seguros y
vigilados los equipos que tienen información más valiosa.
d. Técnicas de encriptación
Dependiendo de la información que nuestra organización posea, y su
forma de manejarla, debemos tal vez recurrir a técnicas de encriptación
para poder evitar las fugas de información.
e. Certificados digitales
Nos permiten:
Autentificar la identidad del usuario, de forma electrónica, ante
terceros.
8. Firmar electrónicamente de forma que se garantice la integridad
de los datos trasmitidos y su procedencia.
Un documento firmado no puede ser manipulado, ya que la firma
está asociada matemáticamente tanto al documento como al
firmante
Se debe establecer la política de cuando debe ser utilizada esta
técnica.
f. Firma digital
Esta es una técnica para evitar la suplantación de identidad, es
necesario establecer, en qué casos los usuarios deberán enviar
documentos firmados digitalmente.
g. Otros.
Dependiendo de la organización, tal vez será necesario recurrir a otros
mecanismos o técnicas.
9. Estructuración del manual
Luego de establecer todos los incisos, debemos proceder a
estructurarlos y editar de una forma organizada.
El éxito de este manual radica en la facilidad que se tendrá para
encontrar la información, se debe hacer del manual algo que estimule la
aplicación y estudio.
10. Revisión total vs Objetivos
Luego de elaborar el manual se debe evaluar, si al aplicar todas las
políticas establecidas, se logra cumplir con los objetivos planteados
inicialmente, el no cumplimiento de los objetivos requerirá la
reestructuración de este manual.
9. 11. Divulgación.
Los manuales, tienden a quedarse en los cajones de los escritorios. Esto
es algo que se debe evitar.
Se debe:
Lograr que el manual llegue a conocimientos de todos
Hacer mención continua del mismo.
Establecer políticas de actualización.