SlideShare une entreprise Scribd logo

Políticas de seguridad

Guiro Lin
Guiro Lin

Muestra como elaborar una política de seguridad...

Technologie
1  sur  30
Télécharger pour lire hors ligne
UNIDAD 3 – La política de seguridad Introducción En la actualidad la ausencia de políticas de seguridad en las empresas, puede ocasionar efectos catastróficos en los negocios de éstas. Escenarios como el que se presenta a continuación, ocurrido a la Empresa Ebay en diciembre del 2002, son un claro ejemplo de situaciones en las que se muestra la enorme necesidad de contar con estas políticas y mantenerlas al día. La presente unidad nos permitirá tener una idea precisa de los pasos requeridos para su creación e implementación. FRAUDE eBay denuncia el intento de robo de información de 55 millones de clientes La empresa eBay se dio cuenta que intrusos enviaron fraudulentamente correos a sus 55 millones de usuarios para solicitarles que confirmaran sus datos a través de un portal o Noticias del sitio de eBay, igualmente falso, para una “comprobación técnica” por ese motivo, pocos mundo clientes de eBay sospecharon que se trataba de un fraude. La nota señala textualmente: “Estas solicitudes a menudo contienen enlaces a páginas de Web en las que se les pedirá que de su información personal... los empleados de eBay nunca le pedirán su contraseña", aseguran. “El mensaje fraudulento lleva como título "Error de su cuenta de Ebay" y comienza: "Distinguido miembro de Ebay (escrito así). Nosotros en Ebay sentimos informarle que estamos teniendo problemas con la información de cobro de su cuenta". Fuente consultada: http://www.el- mundo.es/navegante/2002/12/11/seguridad/1039605160.html Objetivos Conocer los conceptos básicos de las políticas de seguridad, para permitir sentar las bases necesarias para su correcta elaboración. Identificar el ámbito humano y tecnológico en el que se aplicará dichas políticas, y ayudar de esta manera a abarcar todos los puntos necesarios para la seguridad de la empresa. Comprender las exigencias básicas y etapas de producción de una política de seguridad, para poder partir de una base mucho más sólida para la misma. Comprender la importancia de escuchar las preocupaciones básicas de la administración de la empresa, con el fin de plasmarlas de forma adecuada en Objetivos el documento. Definir las directrices estratégicas que permitan ilustrar los valores que se desean plasmar en las políticas de seguridad. Conocer las ventajas de la aplicación de las políticas de seguridad para permitir colaborar en la selección de
productos y desarrollo de procesos. Contenido de la unidad: Conceptos básicos y elaboración de la política Documentos de la política de seguridad Implantación de la política de seguridad
Capítulo 1 – Conceptos básicos y elaboración de la política 1.1 Introducción En este capítulo conoceremos en qué consiste una política de seguridad de la información. Como vimos en la unidad anterior, el análisis de riesgos permite que sean identificados los puntos críticos en una gestión de procesos con el objetivo de implementar recomendaciones de seguridad en un ambiente tecnológico y humano. El siguiente paso es establecer los valores y normas que deben ser seguidos por todos aquellos involucrados en el uso de la información y sus diversos activos. La política es elaborada considerando el entorno en que se está trabajando como la tecnología de la seguridad de la información, para que los criterios establecidos estén de acuerdo con las prácticas internas más recomendadas de la organización, con las prácticas de seguridad actualmente adoptadas, para buscar una conformidad mayor con criterios actualizados y reconocidos en todo el mundo. La noticia siguiente nos da un ejemplo de cómo la mayoría de las empresas en Latinoamérica aún no cuenta con una política de seguridad formal e implantada en la organización. Esto implica un riesgo grave ante los posibles ataques que se pueden sufrir el día de hoy en los sistemas de manejo de información de las empresas. Falta mucho para que las empresas chilenas incorporen políticas de seguridad informática En una entrevista a Cristóbal Soto, Consultor de Seguridad de NEOSECURE de la cual presentamos algunas de sus respuestas, se refiere a cómo están preparadas las empresas chilenas para enfrentar la nueva oleada de ataques Noticias del informáticos. mundo “La Ingeniería Social, que es una de las técnicas de hacking más antiguas de la informática, permite penetrar hasta en los sistemas más difíciles, usando una de las vulnerabilidades más graves y poco detectables: el factor humano” Y en relación con las amenazas informáticas más frecuentes comenta : “El phishing o las estafas bancarias y financieras por Internet es lo que más se ha manifestado este año. Pero eso no significa que el resto de las amenazas se hayan mitigado en la práctica. Los virus siguen siendo dañinos y las vulnerabilidades se mantienen vigentes. Señala también: “ -Existe la opinión de que la principal amenaza para la seguridad en una empresa pasa por los mismos empleados.” Pero acota esta opinión al decir: “ -Muchas veces sí, pero no necesariamente. Esto puede pasar más bien por un inadecuado manejo de privilegios; por el ejemplo, si un empleado deja de pertenecer a la empresa y no se actualiza el sistema de accesos para ingresar a ciertos sistemas” Y respecto de lo que es el tema del capítulo que estamos por empezar “la política de seguridad” señala: “…Hay un avance que es notorio en términos de conocimiento, pero el principal logro se refiere a ver a la seguridad como un elemento operativo central. Lo que deben hacer los niveles directivos de la compañía es fijar la política de seguridad de la empresa, la que está sobre los controles tecnológicos”. “ … en todo caso, pienso que la razón la ausencia de políticas de seguridad es
que con frecuencia las empresas subestiman los riesgos informáticos. Un catalizador surgiría si todas las empresas calcularan los costos y pérdidas ocasionadas por no contar con políticas de seguridad” Fuente consultada: http://www.mundoenlinea.cl/noticia.php?noticia_id=375&categoria_id=1
1.2 Objetivos Conocer los conceptos básicos para la generación de políticas de seguridad de la empresa, para permitir que estas mismas abarquen todos los aspectos necesarios para su buena implantación. Identificar las exigencias que deben ser cumplidas al realizar una política de seguridad, incluyendo el concepto de análisis de riesgos, aprendido con anterioridad Objetivos
1.3 Conceptos básicos Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método de Conceptos clave operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información. Conociendo esto, veamos con más profundidad los ámbitos de intervención de una política de seguridad: Áreas de normalización de la política de seguridad Tecnológica Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios. Humana Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes. Enseguida expondremos algunos ejemplos genéricos del porqué es necesario considerar los dos aspectos, tecnológico y humano al momento de definir una política de seguridad de la información:
En la elaboración de una política de seguridad no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política. Un ejemplo común es solicitar a los usuarios el cambio de su contraseña o password constantemente y que ésta deba tener una complejidad adecuada para la información Ejemplos manejada. La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro de la política de seguridad es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología. Por ejemplo, establecer que los servidores con información crítica de la empresa no deben prestar servicio de estaciones de trabajo a los empleados. 1.4 Elaboración de la política Para elaborar una política de seguridad de la información, es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción. a) Exigencias de la política b) Etapas de producción Empecemos por revisar las siguientes exigencias. Exigencias de la política La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento. Es importante considerar que para la elaboración de una política de seguridad institucional se debe: Integrar el Comité de Seguridad responsable de definir la política. Elaborar el documento final. Hacer oficial la política una vez que se tenga definida. Integrar el Comité de Seguridad Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad. Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización. En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado. Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones. Partes que integran el documento final En este documento deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión
de seguridad de la información, que contengan: La definición de la propia política, Una declaración de la administración que apoye los principios establecidos y una explicación de las exigencias de conformidad con relación a: o legislación y cláusulas contractuales; o educación y formación en seguridad de la información; o prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.) Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad. No olvidar de que toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas. Hacer oficial la política La oficialización de una política tiene como base la aprobación por parte de la administración de la organización. Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes. En virtud que las políticas son guías para orientar la acción de las personas que intervienen en los procesos de la empresa, a continuación presentamos ejemplos que ilustran cómo esas acciones pueden comprometer los fines de la política de seguridad. De nada nos sirve generar una política completa y correcta en todos los aspectos, si los empleados de la compañía no la conocen o aplican. Es importante también dejar muy claras las sanciones a las que pueden hacerse acreedores los usuarios que no cumplan con las políticas de seguridad en la empresa, Ejemplos tanto empleados como clientes de la misma. Finalmente, para mejorar la comprensión de las exigencias de la política de seguridad, proponemos las siguientes preguntas de reflexión:
¿Cuenta en la actualidad con un comité de seguridad en su empresa?¿Los empleados en su organización están conscientes de la necesidad de una política y su aplicación en la compañía? ¿Tiene apoyo en este sentido de la alta dirección de la empresa? Preguntas de reflexión Ahora continuemos con las siguientes etapas para la definición de la política. Etapas de producción de la política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras: Objetivos y ámbito Entrevista Investigación y análisis de documentos Reunión de política Glosario de la política Responsabilidades y penalidades Objetivos y ámbito En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares la política trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados. Entrevista Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización. Investigación y análisis de documentos En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras.
Reunión de política En las reuniones, realizadas con los equipos involucrados en la elaboración, se levantan y discuten los temas, además se redactan los párrafos para la composición de las normas con base en el levantamiento del objetivo y del ámbito de la política específica. Glosario de la política Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de la política. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que la política cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda la política de seguridad. Responsabilidades y penalidades Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicación de sanciones resultantes de casos de inconformidad con la política elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relación a las penalidades que serán aplicadas en casos de infracción de la política de seguridad. Enseguida mostramos algunos ejemplos sobre las etapas en la elaboración de la política. En las entrevistas realizadas es importante recabar todas las preocupaciones en materia de seguridad de los empleados, ya que esto nos permite tener una imagen amplia de lo que requiere ser incluido en el documento de política de seguridad. Es importante que el glosario incluido en la política de seguridad, aclare todos los conceptos que pudieran quedar poco claros a la totalidad de las personas que leerán Ejemplos dicha política, esto con el fin de que el documento sea comprendido y aplicado en su totalidad. Las reuniones del comité de seguridad representan una gran oportunidad para pulir e incrementar la claridad del documento final de política, en ellas es recomendable incluir empleados de las diferentes áreas de negocios para considerar sus puntos de vista. Para cerrar esta sección sobre las etapas de la política, lo invitamos a reflexionar desde su perspectiva cuestiones tan vitales como la seguridad de la información.
¿Se cuenta con un equipo técnico capaz de analizar e identificar riesgos en la documentación de procesos de la empresa?¿Está consciente de la necesidad de incluir penalidades para aquellos que incumplan la política de seguridad? ¿Cree necesario formar un comité encargado del análisis de los casos que llegasen a ocurrir? Preguntas ¿Tiene claro el objetivo principal de la política de seguridad en su empresa? de reflexión
1.5 Lecciones aprendidas Aprendimos aspectos básicos relacionados con una política de seguridad, las partes que la componen y los elementos necesarios previos a su generación. Identificamos las diferentes etapas de generación de la política de seguridad, que nos permite estar preparados para llevar a cabo con éxito cada una de ellas. Lecciones aprendidas
Capítulo 2 – Documentos de la política de seguridad 2.1 Introducción Al iniciar el proceso de elaboración sobre una política de seguridad, es necesario recopilar cierta información con los usuarios de activos y realizar estudios de los documentos existentes. El objetivo de esa tarea es definir qué tipo de adaptación debe ser hecha en el modelo de estandarización existente para atender las características de la empresa (con relación a trazado, identificación, numeración y lenguaje utilizado). Si ya existen esos estándares definidos, los documentos de la política de seguridad deben adaptarse a ellos para garantizar una proximidad entre la práctica gerencial existente y la política sugerida. Veamos un ejemplo sobre documentación de políticas de seguridad. Estafas por ‘phishing’ alcanzan los 500 millones de dólares en EEUU La falta de políticas de seguridad bien documentadas y aplicadas en la empresa, podría ocasionar situaciones como la que documenta la investigación realizada por el Ponemon Institute publicada en DiarioTI. Noticias del Aquí se expone algunas citas textuales de la publicación: mundo Según una investigación realizada por Ponemon Institute, con base en entrevistas realizadas a mil 335 usuarios de Internet, las pérdidas ocasionadas por el “phising” van en aumento. El “phishing”, también conocido como “carding” o “brand spoofing” consiste en que los estafadores distribuyen mensajes de correo electrónico con diseño y formatos similares a los usados por entidades bancarias. En el mensajes se solicita urgentemente a los clientes del banco (o de servicios como eBay, PayPal o similares) visitar una página de Internet, cuyo enlace se adjunta, con el fin de verificar sus datos personales e información sobre su cuenta. Fuente consultada: http://www.diarioti.com/gate/n.php?id=7607 En la noticia se observó una estrategia de uso común y de la cual podemos encontrar muchos casos reales documentados por los medios noticiosos, sin embargo, en las acciones que se pueden tomar en materia de administración de la seguridad de la información, se establece procedimientos muy específicos para evitar que mediante la suplantación se falsifiquen comunicados para que parezcan oficiales, con la finalidad de obtener información valiosa de los usuarios. Esto tiene que ser establecido en los documentos de la política de seguridad de las empresas, que veremos con un poco más de detalles en este capítulo. Recordemos que nuestra tarea dentro del área de seguridad es lograr que estos casos no se presenten en la organización
2.2 Objetivos Conocer las bases para la documentación necesaria en una política de seguridad, para permitir plasmar de forma correcta todos los elementos requeridos para la misma. Identificar las tres partes principales de una política de seguridad: Normas, procedimientos y directrices. Éstas permitirán producir una política completa y útil de implantar. Objetivos
2.3 Documentos de la política de seguridad Si existe ya un estándar de estructura de documentos para políticas dentro de la empresa, éste puede ser adoptado. Sin embargo, a continuación sugerimos un modelo de estructura de política que puede ser desarrollado dentro de su organización. Modelo de estructura de política En este modelo, visualizamos que una política de seguridad esté formada por tres grandes DIRETRIZES ESTRATÉGICO secciones: NORMAS TÁTICO las Directrices, las Normas PROCEDIMENTOS OPERACIONAL los Procedimientos e Instrucciones de Trabajo. Ferramentas Cultura Monitoração Su estructura de sustentación está formada por tres grandes aspectos: herramientas, cultura y monitoreo. ACOMPANHAMENTO Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la Directrices organización y tiene como base su visión y misión para abarcar toda la filosofía de (Estrategias) seguridad de la información. Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad de la información, al establecer sus objetivos, medios y responsabilidades. Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido. Como la información no está presente en un único entorno (microinformática, por ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener términos técnicos de informática. Se compone de un texto, no técnico, con las reglas generales que guían a la elaboración de las normas de seguridad. Normas Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio (Táctico) de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina, etc. Las normas, por estar en un nivel táctico, pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios. Normas de Seguridad para técnicos Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Pueden ser ampliamente utilizadas para la configuración y administración de ambientes diversos como Windows NT, Netware, Unix etc. Normas de Seguridad para Usuarios
Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc. Procedimientos e Procedimiento Conjunto de orientaciones para realizar las actividades operativas de instrucciones de seguridad, que representa las relaciones interpersonales e ínter trabajo departamentales y sus respectivas etapas de trabajo para la implantación (Operacional) o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión. A continuación presentamos ejemplos de procedimientos e instrucciones de trabajo muy específicas que resultan de beneficio en la operación diaria. Se pueden integrar, por ejemplo, la lista con los procedimientos para la realización de respaldos de la base de datos, quiénes son los responsables, periodicidad, almacenamiento, etc. Se puede contar también con instrucciones de trabajo para la restauración de equipos Ejemplos portátiles que se tengan que reinstalar, con una guía paso a paso sobre qué hacer en dicho caso. Reflexione sobre los siguientes tópicos. ¿Su empresa cuenta con normas generales de seguridad en la actualidad? ¿Se encuentran bien documentadas? ¿Cuenta con un conjunto de directrices generales en la organización? ¿Sus procedimientos técnicos están completamente documentados? Preguntas de reflexión
2.4 Acompañamiento de la política Una política de seguridad, para que sea efectiva, necesita contar con los siguientes elementos como base de sustentación: Cultura Herramientas Monitoreo A continuación se describe cada una de ellas. Bases de sustentación de la política de seguridad El entrenamiento de personas debe ser constante, de tal manera que se actualice toda la empresa con Cultura relación a los conceptos y normas de seguridad, además de sedimentar la conciencia de seguridad, para tornarla como un esfuerzo común entre todos los involucrados. Los recursos humanos, financieros y las herramientas de automatización deben estar de acuerdo con las necesidades de seguridad. Parte de la seguridad puede ser automatizada o mejor Herramientas controlada con herramientas específicas, como copias de seguridad obligatorias programadas, control de acceso con registro de ejecución, etc. La implementación de la política de seguridad debe ser constantemente monitoreada. Es necesario efectuar un ciclo de manutención para ajustar la estandarización resultante de los problemas Monitoreo encontrados, reclamaciones de empleados o resultados de auditoría. Se debe también adaptar la seguridad a las nuevas tecnologías, a los cambios administrativos y al surgimiento de nuevas amenazas. Enseguida proporcionamos algunos ejemplos de la capacitación de las personas y del monitoreo en el acompañamiento de la política. Es necesario contar con un plan de entrenamiento para el personal activo y nuevo de la empresa, para mantenerlo actualizado en materia de seguridad. En la manera de lo posible es necesario contar con sistemas de monitoreo, que Ejemplos ayuden a detectar las fallas ocasionadas por ataques a los sistemas de información. Una vez revisados los ejemplos anteriores, ¿qué respuestas podría encontrar a las siguientes preguntas?
¿El personal de su empresa cuenta con capacitación continua en materia de seguridad? ¿Cuenta con sistemas de monitoreo que le permitan alertarse en poco tiempo de Preguntas posibles ataques a la seguridad de su empresa? de reflexión
2.5 Lecciones aprendidas Comprendimos lo que forma la base de toda política de seguridad: la cultura, herramientas y el monitoreo. Estas bases permiten que la aplicación de la política se mantenga siempre vigente ante los cambios surgidos en toda la organización. Además, aprendimos los conceptos de normas, directrices, procedimientos e instrucciones de trabajo que ayudan a formar cada uno de los elementos necesarios para nuestra política de seguridad. Lecciones aprendidas
Capítulo 3 – Implantación de la política de seguridad 3.1 Introducción El éxito en la implantación de un sistema y política de seguridad en la empresa, depende en gran medida de conocimiento a fondo de los procesos involucrados cuando dicha implantación es llevada a cabo. Una vez recabada toda la información necesaria y después de comunicar los logros a todo el personal de la empresa, es posible incluso, como lo muestra la siguiente nota de prensa sobre la compañía Nextel, que el proceso y la política de seguridad puedan llegar a implementarse bajo algún estándar conocido a nivel mundial. Nextel S.A. celebra una rueda de prensa en Madrid Nextel, S.A. / 7 de Octubre de 2004 El pasado 7 de octubre de 2004, Nextel S.A. celebró una rueda de prensa en el Hotel Sofitel Airport. El motivo fue anunciar la Certificación en Seguridad de la Información obtenida el presente año, como ya hizo una semana antes en otra rueda de prensa Noticias del celebrada en Bilbao. Esta vez asistieron como ponentes Iñaki Murcia, Director Regional mundo de la Zona Norte; Agustín Lerma, Security Manager; y Ricardo Acebedo, Director de Marketing. Nextel S.A., miembro de Innovalia con más de 15 años de experiencia, es la primera Consultora de España que obtiene una Certificación para Sistema de Gestión de la Seguridad de la Información bajo un estándar de Seguridad de la Información internacionalmente reconocido: BS 7799-2:2002 La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) en una empresa como Nextel S.A. supone la gestión integral de la seguridad de la información. Esto se consigue mediante la planificación, análisis de activos y de riesgos, aplicación de controles técnicos, gestión de recursos humanos, difusión, formación y planes de contingencia. La seguridad de la información implica además, tanto a la información que está basada en sistemas informáticos o en papel como a las personas Fuente consultada: http://www.nextel.es/aNW/web/cas/noticias/07102004_59.jsp Información adicional: http://www.nextel.es/web/docs/BS7799/nota_prensa_madrid.pdf
3.2 Objetivos Comprender todos los aspectos necesarios para que la implantación de la política de seguridad sea un éxito en la empresa. Conocer el entorno completo que rodea a una política de seguridad, mismo que es necesario para sustentar su implantación en la empresa. Comprender que los ámbitos en los que se puede trabajar en una política de seguridad son variados, y plasmarlos en esta política depende de la importancia de cada uno de Objetivos ellos en nuestra empresa.
3.3 Implantación de la política Una política se encuentra bien implantada cuando: Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la operación necesaria para alcanzar las metas establecidas. Agrega seguridad a los procesos de negocio y garantiza una gestión inteligente de los riesgos. Está de acuerdo con la cultura organizacional y está sustentada por el compromiso y por el apoyo de la administración. Permite un buen entendimiento de las exigencias de seguridad y una evaluación y gestión de los riesgos a los que está sometida la organización. La implantación de la política de seguridad depende de: Una buena estrategia de divulgación entre los usuarios. Una libre disposición de su contenido a todos los involucrados para aumentar el nivel de seguridad y compromiso de cada uno. Campañas, entrenamientos, charlas de divulgación, sistemas de aprendizaje. Otros mecanismos adoptados para hacer de la seguridad un elemento común a todos. Revisemos algunos ejemplos básicos de políticas bien implantadas: Si una de las metas de su organización es, por ejemplo, aumentar el número de clientes que utilizan sus servicios por Internet, es necesario que su política de seguridad facilite esto en lugar de entorpecerlo. Como ya lo comentamos antes, de nada sirve tener la mejor política impresa, sino que Ejemplos sea comunicada adecuadamente a todos los empleados y usuarios de nuestros servicios. La fase de la implantación de la política exige que reflexionemos de aspectos tales como lo que se muestran en las siguientes preguntas: ¿Está consciente de todas las metas que tiene su organización a corto y largo plazo? ¿Tiene planeado ya la forma en que se divulgará la política de seguridad? Preguntas de reflexión Para finalizar esta sección señalaremos algunos conceptos clave:
La política se debe basar en el análisis de riesgo y tener como objetivo la estandarización de entornos y procesos de manera que se eviten las vulnerabilidades existentes. Su creación está directamente conectada a la concretización de este análisis, pues a través del levantamiento de las vulnerabilidades se puede elaborar la documentación de seguridad, con el objetivo de minimizar los riesgos de que las amenazas se conviertan en incidentes. Como todo proceso de evaluación y posible cambio de las prácticas actuales, una política debe tener como base una estrategia de Conceptos clave medición de eficacia, para poder evaluar el desempeño de la gestión de seguridad y los puntos débiles que necesitan ser mejorados.
3.4 Temas de la política Para elaborar una política, es necesario delimitar los temas que serán convertidos en normas. La división de los temas de una política depende de las necesidades de la organización y su delimitación se hace a partir de: el conocimiento del ambiente organizacional, humano o tecnológico, la recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresa Algunos ejemplos de temas posibles son: Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de Ejemplos cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental. Con el propósito de ahondar un poco más en la reflexión le proponemos algunos de los posibles cauces en los que se pueden definir temas para la política de seguridad:
¿Cuenta con personas que puedan asesorar al equipo que redactará la política de seguridad, en materia de aspectos legales?¿Hay personas dentro de su empresa con experiencia en materia de capacitación para concienciar a sus empleados? Preguntas de reflexión
3.5 Usos de la política Una vez elaborada, la política de seguridad es importante se garantice en la implementación controles de uso adecuado de la política de seguridad. Usos de la política Una vez que tenemos una política de seguridad, ésta debe cumplir por lo menos dos propósitos: Ayudar en la selección de productos y en el desarrollo de procesos. Realizar una documentación de las preocupaciones de la dirección sobre seguridad para que el negocio de la organización sea garantizado. La política al ser utilizada de manera correcta, podemos decir que brinda algunas ventajas como lo son: Permite definir controles en sistemas informáticos. Permite establecer los derechos de acceso con base en las funciones de cada persona. Permite la orientación de los usuarios con relación a la disciplina necesaria para evitar violaciones de seguridad. Establece exigencias que pretenden evitar que la organización sea perjudicada en casos de quiebra de seguridad. Permite la realización de investigaciones de delitos por computadora. Se convierte en el primer paso para transformar la seguridad en un esfuerzo común. Veamos unos ejemplos relativos al uso de la política: Una política de seguridad debe ayudarnos a escoger la mejor tecnología en materia de sistemas operativos. También debe servir para elegir los procedimientos y reglas básicas de seguridad para toda la empresa. Ejemplos A manera de cierre de esta sección le proponemos estas preguntas de reflexión relativas a la importancia del uso de la política de seguridad: ¿Conoce usted los deseos e inquietudes de la alta dirección en materia de seguridad? ¿Está consciente que la política de seguridad no es el paso final, sino el principio de la implantación de seguridad en la empresa? Preguntas de reflexión Debido a que una política de seguridad impacta la forma de trabajo diario de las personas, esta debe ser: Clara (escrita en buena forma y lenguaje no elevado), Concisa (evitar información innecesaria o redundante), De acuerdo con la realidad práctica de la empresa (para que pueda ser reconocida como un elemento institucional). Actualizada periódicamente.
Es importante que mecanismos paralelos , como una campaña para crear conciencia de la seguridad en la empresa, sean puestos en práctica para que la política de seguridad pueda ser asimilada por sus usuarios e incorporada en la organización. Para finalizar la unidad, veamos algunas estadísticas que tienen como finalidad, identificar los distintos escenarios a los que puede enfrentarse durante este proceso de implantación, a través del conocimiento de las fallas y problemas más comunes dentro de las compañías de Latinoamérica. Según la Investigación Nacional sobre Seguridad de la Información del año 2000 en Brasil, realizada anualmente por módulo, la política de seguridad es un punto de preocupación del mundo corporativo. La gran mayoría (63%) de las empresas cuentan con una política de seguridad, en un 31% de los casos la política aún está siendo desarrollada y un 5% afirman que será elaborada en el año venidero. En el 2001, cerca del 99% de las empresas tendrían una política de seguridad implementada. Algunos resultados mencionan además que: Las empresas de mayor capital y las de capital extranjero son las que se Estadísticas preocupan con el tema desde hace más tiempo. Apenas un 24% contestó que el nivel de adhesión a la política es alto, revelando que el desafío actual es aumentar la participación de los empleados. Cerca del 47% de los ejecutivos entrevistados afirman que el principal obstáculo en la implementación de la política de seguridad es la falta de conciencia de los empleados, porque con frecuencia presentan resistencia en adoptar esas prácticas. Vea la investigación en versión completa en el portal de seguridad de Módulo www.modulo.com Según la investigación del año 2001, la política de seguridad sigue siendo el tema en que la mayoría de las empresas invierte (71%). Hubo pocas variaciones desde el año anterior para el 2001, pues las posiciones se mantuvieron prácticamente sin movimientos. Investimento em segurança 2001 2000 Esta investigación reveló que: (%) (%) 1. Política de Segurança 71 79 La mayor parte de las empresas Estadísticas 2. Capacitação da Equipe Técnica 65 73 3. Criptografia 41 54 planea invertir en políticas de 4. Testes de Invasão 38 52 seguridad (71%) y la capacitación 5. Virtual Private Network (VPN) 38 44 del equipo técnico (65%). 6. Análise de Riscos 35 50 7. Sistemas de detecção de 34 41 La mayoría de las empresas (66%) intrusos afirma poseer una política de 8. Contratação de empresa 30 36 especializada seguridad, sin embargo en 19% 9. Aquisição de software de 29 32 de ellas la política no está controle de acesso actualizada. 10. Autoridade Certificadora 29 23 11. Certificado digital 28 - Cerca del 41% de las 12. Implementação do Firewall 26 40 13. Sistemas de gestão de 19 - organizaciones entrevistadas segurança centralizada señalan la falta de conciencia 14. Smartcard 12 14 por parte de los funcionarios 15. Biométrica 11 - como el principal obstáculo de 16. Segurança em call center 9 - la implementación de la política de seguridad.
Principais obstáculos para implementação da segurança OB STÁC U LOS À IMPLEME N TAÇ ÃO D A SEGU R AN Ç A Cons c iênc ia Orç amento Rec urs os humanos Falta de apoio es pec ializ ado Ferramentas 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% Otros obstáculos indicados fueron la falta de presupuesto (32%), escasez de recursos humanos especializados (21%), además de la falta de herramientas adecuadas y de apoyo especializado, ambos citados por el 13% de los entrevistados. Algunas de las medidas de seguridad más adoptadas, están: el firewall (83%), la prevención contra virus (78%) y el servidor proxy (71%). A manera de cierre de esta sección reflexione sobre lo siguiente: ¿Sabe usted a cuáles obstáculos se puede enfrentar dentro de su empresa? ¿Tiene pensado ya cómo solucionarlos? ¿Ha tomado en cuenta acciones alternas para su solución? Preguntas de reflexión 3.6 Lecciones aprendidas Aprendimos que una política de seguridad bien implantada es aquella que refleja los objetivos de negocio de la empresa. Ahora sabemos, que para lograr el éxito para la implantación de la política de seguridad, es necesario tener el apoyo y crear conciencia en la alta dirección de la empresa. Descubrimos que la política de seguridad puede comprender una gran variedad de ámbitos dentro de la empresa y estos se seleccionan en base a la importancia Lecciones aprendidas de cada uno en los negocios de la empresa. Aprendimos también que una política de seguridad se convierte en el primer paso para lograr que la seguridad
sea un esfuerzo común.

Recommandé

Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasRogger Cárdenas González
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaCarlos Andres Perez Cabrales
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001dcordova923
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridadGeorgy Jose Sanchez
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridadEdmundo Diego Bonini ஃ
 
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0 ---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0xavazquez
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaJaime Vergara
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 

Recommandé

Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasRogger Cárdenas González
 
Funciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaFunciones de un ceo, cio y el encargado de seguridad en informática
Funciones de un ceo, cio y el encargado de seguridad en informáticaCarlos Andres Perez Cabrales
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001dcordova923
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridadGeorgy Jose Sanchez
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridadEdmundo Diego Bonini ஃ
 
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0 ---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0xavazquez
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaJaime Vergara
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Foro kodak
Foro kodakForo kodak
Foro kodakMao Sierra
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de SeguridadDavid Barea Bautista
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Seguridad
SeguridadSeguridad
SeguridadAna María Citlali Díaz Hernández
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgosDoris Suquilanda
 
Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentaciónAna María Citlali Díaz Hernández
 
Políticas de Seguridad
Políticas de SeguridadPolíticas de Seguridad
Políticas de SeguridadConferencias FIST
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Fasciculo 3
Fasciculo 3Fasciculo 3
Fasciculo 3rubendario_10
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioNicolás Ezequiel Raggi
 
Definicion modelo seguridad
Definicion modelo seguridadDefinicion modelo seguridad
Definicion modelo seguridadBernardo Montero Medina
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridadOsiel Alvarez Villarreal
 
Cicyt
CicytCicyt
CicytRoberto Valdes
 
Políticas generales de seguridad
Políticas generales de seguridadPolíticas generales de seguridad
Políticas generales de seguridadMaria Valderrama
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacionluisrobles17
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 

Contenu connexe

Tendances

Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de SeguridadDavid Barea Bautista
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioNicolás Ezequiel Raggi
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 

Tendances (18)

Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica final
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cni
 
Foro kodak
Foro kodakForo kodak
Foro kodak
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
Seguridad
SeguridadSeguridad
Seguridad
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgos
 
Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentación
 
Políticas de Seguridad
Políticas de SeguridadPolíticas de Seguridad
Políticas de Seguridad
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Fasciculo 3
Fasciculo 3Fasciculo 3
Fasciculo 3
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocio
 
Definicion modelo seguridad
Definicion modelo seguridadDefinicion modelo seguridad
Definicion modelo seguridad
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integral
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad
 
Cicyt
CicytCicyt
Cicyt
 

Similaire à Políticas de seguridad

Políticas generales de seguridad
Políticas generales de seguridadPolíticas generales de seguridad
Políticas generales de seguridadMaria Valderrama
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacionluisrobles17
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
Trabajo de computacion
Trabajo de computacionTrabajo de computacion
Trabajo de computacionEstebinho
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaservidoresdedic
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridadLuis Martinez
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la leyFabián Descalzo
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
 

Similaire à Políticas de seguridad (20)

Políticas generales de seguridad
Políticas generales de seguridadPolíticas generales de seguridad
Políticas generales de seguridad
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacion
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Trabajo de computacion
Trabajo de computacionTrabajo de computacion
Trabajo de computacion
 
10 mandamientos2.0
10 mandamientos2.010 mandamientos2.0
10 mandamientos2.0
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informatica
 
confianza cero
confianza ceroconfianza cero
confianza cero
 
ETICA
ETICA ETICA
ETICA
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
 
Taller 1
Taller 1Taller 1
Taller 1
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidad
 

Plus de Guiro Lin

Libro de Oracle 11g
Libro de Oracle 11gLibro de Oracle 11g
Libro de Oracle 11gGuiro Lin
 
Leithold el calculo en español 7a.edición
Leithold el calculo en español 7a.ediciónLeithold el calculo en español 7a.edición
Leithold el calculo en español 7a.ediciónGuiro Lin
 
Estructura de datos, pilas, árboles, colas, listas
Estructura de datos, pilas, árboles, colas, listasEstructura de datos, pilas, árboles, colas, listas
Estructura de datos, pilas, árboles, colas, listasGuiro Lin
 
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-352705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-3Guiro Lin
 
subconsultas en oracle
subconsultas en oraclesubconsultas en oracle
subconsultas en oracleGuiro Lin
 
Tutorial básico de my sql
Tutorial básico de my sqlTutorial básico de my sql
Tutorial básico de my sqlGuiro Lin
 
Tutorial mysql-basico
Tutorial mysql-basicoTutorial mysql-basico
Tutorial mysql-basicoGuiro Lin
 
Añadir host a gns3
Añadir host a gns3Añadir host a gns3
Añadir host a gns3Guiro Lin
 
Manual struts2-espanol
Manual struts2-espanolManual struts2-espanol
Manual struts2-espanolGuiro Lin
 
Configurar dhcp en router cisco
Configurar dhcp en router ciscoConfigurar dhcp en router cisco
Configurar dhcp en router ciscoGuiro Lin
 
Tutorial dhcp ubuntu11
Tutorial dhcp ubuntu11Tutorial dhcp ubuntu11
Tutorial dhcp ubuntu11Guiro Lin
 
Consultoria empresarial
Consultoria empresarialConsultoria empresarial
Consultoria empresarialGuiro Lin
 
programación en visual basic.net
programación en visual basic.netprogramación en visual basic.net
programación en visual basic.netGuiro Lin
 
Comandos para router cisco
Comandos para router ciscoComandos para router cisco
Comandos para router ciscoGuiro Lin
 
Correo multidomino
Correo multidominoCorreo multidomino
Correo multidominoGuiro Lin
 
Configurar Bind
Configurar BindConfigurar Bind
Configurar BindGuiro Lin
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 

Plus de Guiro Lin (19)

Libro de Oracle 11g
Libro de Oracle 11gLibro de Oracle 11g
Libro de Oracle 11g
 
Leithold el calculo en español 7a.edición
Leithold el calculo en español 7a.ediciónLeithold el calculo en español 7a.edición
Leithold el calculo en español 7a.edición
 
Estructura de datos, pilas, árboles, colas, listas
Estructura de datos, pilas, árboles, colas, listasEstructura de datos, pilas, árboles, colas, listas
Estructura de datos, pilas, árboles, colas, listas
 
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-352705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
 
subconsultas en oracle
subconsultas en oraclesubconsultas en oracle
subconsultas en oracle
 
Tutorial básico de my sql
Tutorial básico de my sqlTutorial básico de my sql
Tutorial básico de my sql
 
Tutorial mysql-basico
Tutorial mysql-basicoTutorial mysql-basico
Tutorial mysql-basico
 
Añadir host a gns3
Añadir host a gns3Añadir host a gns3
Añadir host a gns3
 
Javascript
JavascriptJavascript
Javascript
 
Jquery
JqueryJquery
Jquery
 
Manual struts2-espanol
Manual struts2-espanolManual struts2-espanol
Manual struts2-espanol
 
Configurar dhcp en router cisco
Configurar dhcp en router ciscoConfigurar dhcp en router cisco
Configurar dhcp en router cisco
 
Tutorial dhcp ubuntu11
Tutorial dhcp ubuntu11Tutorial dhcp ubuntu11
Tutorial dhcp ubuntu11
 
Consultoria empresarial
Consultoria empresarialConsultoria empresarial
Consultoria empresarial
 
programación en visual basic.net
programación en visual basic.netprogramación en visual basic.net
programación en visual basic.net
 
Comandos para router cisco
Comandos para router ciscoComandos para router cisco
Comandos para router cisco
 
Correo multidomino
Correo multidominoCorreo multidomino
Correo multidomino
 
Configurar Bind
Configurar BindConfigurar Bind
Configurar Bind
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 

Dernier

Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 

Dernier (20)

Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 

Políticas de seguridad

  • 1.
  • 2. UNIDAD 3 – La política de seguridad Introducción En la actualidad la ausencia de políticas de seguridad en las empresas, puede ocasionar efectos catastróficos en los negocios de éstas. Escenarios como el que se presenta a continuación, ocurrido a la Empresa Ebay en diciembre del 2002, son un claro ejemplo de situaciones en las que se muestra la enorme necesidad de contar con estas políticas y mantenerlas al día. La presente unidad nos permitirá tener una idea precisa de los pasos requeridos para su creación e implementación. FRAUDE eBay denuncia el intento de robo de información de 55 millones de clientes La empresa eBay se dio cuenta que intrusos enviaron fraudulentamente correos a sus 55 millones de usuarios para solicitarles que confirmaran sus datos a través de un portal o Noticias del sitio de eBay, igualmente falso, para una “comprobación técnica” por ese motivo, pocos mundo clientes de eBay sospecharon que se trataba de un fraude. La nota señala textualmente: “Estas solicitudes a menudo contienen enlaces a páginas de Web en las que se les pedirá que de su información personal... los empleados de eBay nunca le pedirán su contraseña", aseguran. “El mensaje fraudulento lleva como título "Error de su cuenta de Ebay" y comienza: "Distinguido miembro de Ebay (escrito así). Nosotros en Ebay sentimos informarle que estamos teniendo problemas con la información de cobro de su cuenta". Fuente consultada: http://www.el- mundo.es/navegante/2002/12/11/seguridad/1039605160.html Objetivos Conocer los conceptos básicos de las políticas de seguridad, para permitir sentar las bases necesarias para su correcta elaboración. Identificar el ámbito humano y tecnológico en el que se aplicará dichas políticas, y ayudar de esta manera a abarcar todos los puntos necesarios para la seguridad de la empresa. Comprender las exigencias básicas y etapas de producción de una política de seguridad, para poder partir de una base mucho más sólida para la misma. Comprender la importancia de escuchar las preocupaciones básicas de la administración de la empresa, con el fin de plasmarlas de forma adecuada en Objetivos el documento. Definir las directrices estratégicas que permitan ilustrar los valores que se desean plasmar en las políticas de seguridad. Conocer las ventajas de la aplicación de las políticas de seguridad para permitir colaborar en la selección de
  • 3. productos y desarrollo de procesos. Contenido de la unidad: Conceptos básicos y elaboración de la política Documentos de la política de seguridad Implantación de la política de seguridad
  • 4. Capítulo 1 – Conceptos básicos y elaboración de la política 1.1 Introducción En este capítulo conoceremos en qué consiste una política de seguridad de la información. Como vimos en la unidad anterior, el análisis de riesgos permite que sean identificados los puntos críticos en una gestión de procesos con el objetivo de implementar recomendaciones de seguridad en un ambiente tecnológico y humano. El siguiente paso es establecer los valores y normas que deben ser seguidos por todos aquellos involucrados en el uso de la información y sus diversos activos. La política es elaborada considerando el entorno en que se está trabajando como la tecnología de la seguridad de la información, para que los criterios establecidos estén de acuerdo con las prácticas internas más recomendadas de la organización, con las prácticas de seguridad actualmente adoptadas, para buscar una conformidad mayor con criterios actualizados y reconocidos en todo el mundo. La noticia siguiente nos da un ejemplo de cómo la mayoría de las empresas en Latinoamérica aún no cuenta con una política de seguridad formal e implantada en la organización. Esto implica un riesgo grave ante los posibles ataques que se pueden sufrir el día de hoy en los sistemas de manejo de información de las empresas. Falta mucho para que las empresas chilenas incorporen políticas de seguridad informática En una entrevista a Cristóbal Soto, Consultor de Seguridad de NEOSECURE de la cual presentamos algunas de sus respuestas, se refiere a cómo están preparadas las empresas chilenas para enfrentar la nueva oleada de ataques Noticias del informáticos. mundo “La Ingeniería Social, que es una de las técnicas de hacking más antiguas de la informática, permite penetrar hasta en los sistemas más difíciles, usando una de las vulnerabilidades más graves y poco detectables: el factor humano” Y en relación con las amenazas informáticas más frecuentes comenta : “El phishing o las estafas bancarias y financieras por Internet es lo que más se ha manifestado este año. Pero eso no significa que el resto de las amenazas se hayan mitigado en la práctica. Los virus siguen siendo dañinos y las vulnerabilidades se mantienen vigentes. Señala también: “ -Existe la opinión de que la principal amenaza para la seguridad en una empresa pasa por los mismos empleados.” Pero acota esta opinión al decir: “ -Muchas veces sí, pero no necesariamente. Esto puede pasar más bien por un inadecuado manejo de privilegios; por el ejemplo, si un empleado deja de pertenecer a la empresa y no se actualiza el sistema de accesos para ingresar a ciertos sistemas” Y respecto de lo que es el tema del capítulo que estamos por empezar “la política de seguridad” señala: “…Hay un avance que es notorio en términos de conocimiento, pero el principal logro se refiere a ver a la seguridad como un elemento operativo central. Lo que deben hacer los niveles directivos de la compañía es fijar la política de seguridad de la empresa, la que está sobre los controles tecnológicos”. “ … en todo caso, pienso que la razón la ausencia de políticas de seguridad es
  • 5. que con frecuencia las empresas subestiman los riesgos informáticos. Un catalizador surgiría si todas las empresas calcularan los costos y pérdidas ocasionadas por no contar con políticas de seguridad” Fuente consultada: http://www.mundoenlinea.cl/noticia.php?noticia_id=375&categoria_id=1
  • 6. 1.2 Objetivos Conocer los conceptos básicos para la generación de políticas de seguridad de la empresa, para permitir que estas mismas abarquen todos los aspectos necesarios para su buena implantación. Identificar las exigencias que deben ser cumplidas al realizar una política de seguridad, incluyendo el concepto de análisis de riesgos, aprendido con anterioridad Objetivos
  • 7. 1.3 Conceptos básicos Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método de Conceptos clave operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información. Conociendo esto, veamos con más profundidad los ámbitos de intervención de una política de seguridad: Áreas de normalización de la política de seguridad Tecnológica Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios. Humana Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes. Enseguida expondremos algunos ejemplos genéricos del porqué es necesario considerar los dos aspectos, tecnológico y humano al momento de definir una política de seguridad de la información:
  • 8. En la elaboración de una política de seguridad no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política. Un ejemplo común es solicitar a los usuarios el cambio de su contraseña o password constantemente y que ésta deba tener una complejidad adecuada para la información Ejemplos manejada. La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro de la política de seguridad es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología. Por ejemplo, establecer que los servidores con información crítica de la empresa no deben prestar servicio de estaciones de trabajo a los empleados. 1.4 Elaboración de la política Para elaborar una política de seguridad de la información, es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción. a) Exigencias de la política b) Etapas de producción Empecemos por revisar las siguientes exigencias. Exigencias de la política La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento. Es importante considerar que para la elaboración de una política de seguridad institucional se debe: Integrar el Comité de Seguridad responsable de definir la política. Elaborar el documento final. Hacer oficial la política una vez que se tenga definida. Integrar el Comité de Seguridad Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad. Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización. En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado. Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones. Partes que integran el documento final En este documento deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión
  • 9. de seguridad de la información, que contengan: La definición de la propia política, Una declaración de la administración que apoye los principios establecidos y una explicación de las exigencias de conformidad con relación a: o legislación y cláusulas contractuales; o educación y formación en seguridad de la información; o prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.) Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad. No olvidar de que toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas. Hacer oficial la política La oficialización de una política tiene como base la aprobación por parte de la administración de la organización. Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes. En virtud que las políticas son guías para orientar la acción de las personas que intervienen en los procesos de la empresa, a continuación presentamos ejemplos que ilustran cómo esas acciones pueden comprometer los fines de la política de seguridad. De nada nos sirve generar una política completa y correcta en todos los aspectos, si los empleados de la compañía no la conocen o aplican. Es importante también dejar muy claras las sanciones a las que pueden hacerse acreedores los usuarios que no cumplan con las políticas de seguridad en la empresa, Ejemplos tanto empleados como clientes de la misma. Finalmente, para mejorar la comprensión de las exigencias de la política de seguridad, proponemos las siguientes preguntas de reflexión:
  • 10. ¿Cuenta en la actualidad con un comité de seguridad en su empresa?¿Los empleados en su organización están conscientes de la necesidad de una política y su aplicación en la compañía? ¿Tiene apoyo en este sentido de la alta dirección de la empresa? Preguntas de reflexión Ahora continuemos con las siguientes etapas para la definición de la política. Etapas de producción de la política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras: Objetivos y ámbito Entrevista Investigación y análisis de documentos Reunión de política Glosario de la política Responsabilidades y penalidades Objetivos y ámbito En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares la política trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados. Entrevista Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización. Investigación y análisis de documentos En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras.
  • 11. Reunión de política En las reuniones, realizadas con los equipos involucrados en la elaboración, se levantan y discuten los temas, además se redactan los párrafos para la composición de las normas con base en el levantamiento del objetivo y del ámbito de la política específica. Glosario de la política Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de la política. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que la política cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda la política de seguridad. Responsabilidades y penalidades Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicación de sanciones resultantes de casos de inconformidad con la política elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relación a las penalidades que serán aplicadas en casos de infracción de la política de seguridad. Enseguida mostramos algunos ejemplos sobre las etapas en la elaboración de la política. En las entrevistas realizadas es importante recabar todas las preocupaciones en materia de seguridad de los empleados, ya que esto nos permite tener una imagen amplia de lo que requiere ser incluido en el documento de política de seguridad. Es importante que el glosario incluido en la política de seguridad, aclare todos los conceptos que pudieran quedar poco claros a la totalidad de las personas que leerán Ejemplos dicha política, esto con el fin de que el documento sea comprendido y aplicado en su totalidad. Las reuniones del comité de seguridad representan una gran oportunidad para pulir e incrementar la claridad del documento final de política, en ellas es recomendable incluir empleados de las diferentes áreas de negocios para considerar sus puntos de vista. Para cerrar esta sección sobre las etapas de la política, lo invitamos a reflexionar desde su perspectiva cuestiones tan vitales como la seguridad de la información.
  • 12. ¿Se cuenta con un equipo técnico capaz de analizar e identificar riesgos en la documentación de procesos de la empresa?¿Está consciente de la necesidad de incluir penalidades para aquellos que incumplan la política de seguridad? ¿Cree necesario formar un comité encargado del análisis de los casos que llegasen a ocurrir? Preguntas ¿Tiene claro el objetivo principal de la política de seguridad en su empresa? de reflexión
  • 13. 1.5 Lecciones aprendidas Aprendimos aspectos básicos relacionados con una política de seguridad, las partes que la componen y los elementos necesarios previos a su generación. Identificamos las diferentes etapas de generación de la política de seguridad, que nos permite estar preparados para llevar a cabo con éxito cada una de ellas. Lecciones aprendidas
  • 14. Capítulo 2 – Documentos de la política de seguridad 2.1 Introducción Al iniciar el proceso de elaboración sobre una política de seguridad, es necesario recopilar cierta información con los usuarios de activos y realizar estudios de los documentos existentes. El objetivo de esa tarea es definir qué tipo de adaptación debe ser hecha en el modelo de estandarización existente para atender las características de la empresa (con relación a trazado, identificación, numeración y lenguaje utilizado). Si ya existen esos estándares definidos, los documentos de la política de seguridad deben adaptarse a ellos para garantizar una proximidad entre la práctica gerencial existente y la política sugerida. Veamos un ejemplo sobre documentación de políticas de seguridad. Estafas por ‘phishing’ alcanzan los 500 millones de dólares en EEUU La falta de políticas de seguridad bien documentadas y aplicadas en la empresa, podría ocasionar situaciones como la que documenta la investigación realizada por el Ponemon Institute publicada en DiarioTI. Noticias del Aquí se expone algunas citas textuales de la publicación: mundo Según una investigación realizada por Ponemon Institute, con base en entrevistas realizadas a mil 335 usuarios de Internet, las pérdidas ocasionadas por el “phising” van en aumento. El “phishing”, también conocido como “carding” o “brand spoofing” consiste en que los estafadores distribuyen mensajes de correo electrónico con diseño y formatos similares a los usados por entidades bancarias. En el mensajes se solicita urgentemente a los clientes del banco (o de servicios como eBay, PayPal o similares) visitar una página de Internet, cuyo enlace se adjunta, con el fin de verificar sus datos personales e información sobre su cuenta. Fuente consultada: http://www.diarioti.com/gate/n.php?id=7607 En la noticia se observó una estrategia de uso común y de la cual podemos encontrar muchos casos reales documentados por los medios noticiosos, sin embargo, en las acciones que se pueden tomar en materia de administración de la seguridad de la información, se establece procedimientos muy específicos para evitar que mediante la suplantación se falsifiquen comunicados para que parezcan oficiales, con la finalidad de obtener información valiosa de los usuarios. Esto tiene que ser establecido en los documentos de la política de seguridad de las empresas, que veremos con un poco más de detalles en este capítulo. Recordemos que nuestra tarea dentro del área de seguridad es lograr que estos casos no se presenten en la organización
  • 15. 2.2 Objetivos Conocer las bases para la documentación necesaria en una política de seguridad, para permitir plasmar de forma correcta todos los elementos requeridos para la misma. Identificar las tres partes principales de una política de seguridad: Normas, procedimientos y directrices. Éstas permitirán producir una política completa y útil de implantar. Objetivos
  • 16. 2.3 Documentos de la política de seguridad Si existe ya un estándar de estructura de documentos para políticas dentro de la empresa, éste puede ser adoptado. Sin embargo, a continuación sugerimos un modelo de estructura de política que puede ser desarrollado dentro de su organización. Modelo de estructura de política En este modelo, visualizamos que una política de seguridad esté formada por tres grandes DIRETRIZES ESTRATÉGICO secciones: NORMAS TÁTICO las Directrices, las Normas PROCEDIMENTOS OPERACIONAL los Procedimientos e Instrucciones de Trabajo. Ferramentas Cultura Monitoração Su estructura de sustentación está formada por tres grandes aspectos: herramientas, cultura y monitoreo. ACOMPANHAMENTO Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la Directrices organización y tiene como base su visión y misión para abarcar toda la filosofía de (Estrategias) seguridad de la información. Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad de la información, al establecer sus objetivos, medios y responsabilidades. Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido. Como la información no está presente en un único entorno (microinformática, por ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener términos técnicos de informática. Se compone de un texto, no técnico, con las reglas generales que guían a la elaboración de las normas de seguridad. Normas Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio (Táctico) de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina, etc. Las normas, por estar en un nivel táctico, pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios. Normas de Seguridad para técnicos Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Pueden ser ampliamente utilizadas para la configuración y administración de ambientes diversos como Windows NT, Netware, Unix etc. Normas de Seguridad para Usuarios
  • 17. Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc. Procedimientos e Procedimiento Conjunto de orientaciones para realizar las actividades operativas de instrucciones de seguridad, que representa las relaciones interpersonales e ínter trabajo departamentales y sus respectivas etapas de trabajo para la implantación (Operacional) o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión. A continuación presentamos ejemplos de procedimientos e instrucciones de trabajo muy específicas que resultan de beneficio en la operación diaria. Se pueden integrar, por ejemplo, la lista con los procedimientos para la realización de respaldos de la base de datos, quiénes son los responsables, periodicidad, almacenamiento, etc. Se puede contar también con instrucciones de trabajo para la restauración de equipos Ejemplos portátiles que se tengan que reinstalar, con una guía paso a paso sobre qué hacer en dicho caso. Reflexione sobre los siguientes tópicos. ¿Su empresa cuenta con normas generales de seguridad en la actualidad? ¿Se encuentran bien documentadas? ¿Cuenta con un conjunto de directrices generales en la organización? ¿Sus procedimientos técnicos están completamente documentados? Preguntas de reflexión
  • 18. 2.4 Acompañamiento de la política Una política de seguridad, para que sea efectiva, necesita contar con los siguientes elementos como base de sustentación: Cultura Herramientas Monitoreo A continuación se describe cada una de ellas. Bases de sustentación de la política de seguridad El entrenamiento de personas debe ser constante, de tal manera que se actualice toda la empresa con Cultura relación a los conceptos y normas de seguridad, además de sedimentar la conciencia de seguridad, para tornarla como un esfuerzo común entre todos los involucrados. Los recursos humanos, financieros y las herramientas de automatización deben estar de acuerdo con las necesidades de seguridad. Parte de la seguridad puede ser automatizada o mejor Herramientas controlada con herramientas específicas, como copias de seguridad obligatorias programadas, control de acceso con registro de ejecución, etc. La implementación de la política de seguridad debe ser constantemente monitoreada. Es necesario efectuar un ciclo de manutención para ajustar la estandarización resultante de los problemas Monitoreo encontrados, reclamaciones de empleados o resultados de auditoría. Se debe también adaptar la seguridad a las nuevas tecnologías, a los cambios administrativos y al surgimiento de nuevas amenazas. Enseguida proporcionamos algunos ejemplos de la capacitación de las personas y del monitoreo en el acompañamiento de la política. Es necesario contar con un plan de entrenamiento para el personal activo y nuevo de la empresa, para mantenerlo actualizado en materia de seguridad. En la manera de lo posible es necesario contar con sistemas de monitoreo, que Ejemplos ayuden a detectar las fallas ocasionadas por ataques a los sistemas de información. Una vez revisados los ejemplos anteriores, ¿qué respuestas podría encontrar a las siguientes preguntas?
  • 19. ¿El personal de su empresa cuenta con capacitación continua en materia de seguridad? ¿Cuenta con sistemas de monitoreo que le permitan alertarse en poco tiempo de Preguntas posibles ataques a la seguridad de su empresa? de reflexión
  • 20. 2.5 Lecciones aprendidas Comprendimos lo que forma la base de toda política de seguridad: la cultura, herramientas y el monitoreo. Estas bases permiten que la aplicación de la política se mantenga siempre vigente ante los cambios surgidos en toda la organización. Además, aprendimos los conceptos de normas, directrices, procedimientos e instrucciones de trabajo que ayudan a formar cada uno de los elementos necesarios para nuestra política de seguridad. Lecciones aprendidas
  • 21. Capítulo 3 – Implantación de la política de seguridad 3.1 Introducción El éxito en la implantación de un sistema y política de seguridad en la empresa, depende en gran medida de conocimiento a fondo de los procesos involucrados cuando dicha implantación es llevada a cabo. Una vez recabada toda la información necesaria y después de comunicar los logros a todo el personal de la empresa, es posible incluso, como lo muestra la siguiente nota de prensa sobre la compañía Nextel, que el proceso y la política de seguridad puedan llegar a implementarse bajo algún estándar conocido a nivel mundial. Nextel S.A. celebra una rueda de prensa en Madrid Nextel, S.A. / 7 de Octubre de 2004 El pasado 7 de octubre de 2004, Nextel S.A. celebró una rueda de prensa en el Hotel Sofitel Airport. El motivo fue anunciar la Certificación en Seguridad de la Información obtenida el presente año, como ya hizo una semana antes en otra rueda de prensa Noticias del celebrada en Bilbao. Esta vez asistieron como ponentes Iñaki Murcia, Director Regional mundo de la Zona Norte; Agustín Lerma, Security Manager; y Ricardo Acebedo, Director de Marketing. Nextel S.A., miembro de Innovalia con más de 15 años de experiencia, es la primera Consultora de España que obtiene una Certificación para Sistema de Gestión de la Seguridad de la Información bajo un estándar de Seguridad de la Información internacionalmente reconocido: BS 7799-2:2002 La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) en una empresa como Nextel S.A. supone la gestión integral de la seguridad de la información. Esto se consigue mediante la planificación, análisis de activos y de riesgos, aplicación de controles técnicos, gestión de recursos humanos, difusión, formación y planes de contingencia. La seguridad de la información implica además, tanto a la información que está basada en sistemas informáticos o en papel como a las personas Fuente consultada: http://www.nextel.es/aNW/web/cas/noticias/07102004_59.jsp Información adicional: http://www.nextel.es/web/docs/BS7799/nota_prensa_madrid.pdf
  • 22. 3.2 Objetivos Comprender todos los aspectos necesarios para que la implantación de la política de seguridad sea un éxito en la empresa. Conocer el entorno completo que rodea a una política de seguridad, mismo que es necesario para sustentar su implantación en la empresa. Comprender que los ámbitos en los que se puede trabajar en una política de seguridad son variados, y plasmarlos en esta política depende de la importancia de cada uno de Objetivos ellos en nuestra empresa.
  • 23. 3.3 Implantación de la política Una política se encuentra bien implantada cuando: Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la operación necesaria para alcanzar las metas establecidas. Agrega seguridad a los procesos de negocio y garantiza una gestión inteligente de los riesgos. Está de acuerdo con la cultura organizacional y está sustentada por el compromiso y por el apoyo de la administración. Permite un buen entendimiento de las exigencias de seguridad y una evaluación y gestión de los riesgos a los que está sometida la organización. La implantación de la política de seguridad depende de: Una buena estrategia de divulgación entre los usuarios. Una libre disposición de su contenido a todos los involucrados para aumentar el nivel de seguridad y compromiso de cada uno. Campañas, entrenamientos, charlas de divulgación, sistemas de aprendizaje. Otros mecanismos adoptados para hacer de la seguridad un elemento común a todos. Revisemos algunos ejemplos básicos de políticas bien implantadas: Si una de las metas de su organización es, por ejemplo, aumentar el número de clientes que utilizan sus servicios por Internet, es necesario que su política de seguridad facilite esto en lugar de entorpecerlo. Como ya lo comentamos antes, de nada sirve tener la mejor política impresa, sino que Ejemplos sea comunicada adecuadamente a todos los empleados y usuarios de nuestros servicios. La fase de la implantación de la política exige que reflexionemos de aspectos tales como lo que se muestran en las siguientes preguntas: ¿Está consciente de todas las metas que tiene su organización a corto y largo plazo? ¿Tiene planeado ya la forma en que se divulgará la política de seguridad? Preguntas de reflexión Para finalizar esta sección señalaremos algunos conceptos clave:
  • 24. La política se debe basar en el análisis de riesgo y tener como objetivo la estandarización de entornos y procesos de manera que se eviten las vulnerabilidades existentes. Su creación está directamente conectada a la concretización de este análisis, pues a través del levantamiento de las vulnerabilidades se puede elaborar la documentación de seguridad, con el objetivo de minimizar los riesgos de que las amenazas se conviertan en incidentes. Como todo proceso de evaluación y posible cambio de las prácticas actuales, una política debe tener como base una estrategia de Conceptos clave medición de eficacia, para poder evaluar el desempeño de la gestión de seguridad y los puntos débiles que necesitan ser mejorados.
  • 25. 3.4 Temas de la política Para elaborar una política, es necesario delimitar los temas que serán convertidos en normas. La división de los temas de una política depende de las necesidades de la organización y su delimitación se hace a partir de: el conocimiento del ambiente organizacional, humano o tecnológico, la recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresa Algunos ejemplos de temas posibles son: Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de Ejemplos cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental. Con el propósito de ahondar un poco más en la reflexión le proponemos algunos de los posibles cauces en los que se pueden definir temas para la política de seguridad:
  • 26. ¿Cuenta con personas que puedan asesorar al equipo que redactará la política de seguridad, en materia de aspectos legales?¿Hay personas dentro de su empresa con experiencia en materia de capacitación para concienciar a sus empleados? Preguntas de reflexión
  • 27. 3.5 Usos de la política Una vez elaborada, la política de seguridad es importante se garantice en la implementación controles de uso adecuado de la política de seguridad. Usos de la política Una vez que tenemos una política de seguridad, ésta debe cumplir por lo menos dos propósitos: Ayudar en la selección de productos y en el desarrollo de procesos. Realizar una documentación de las preocupaciones de la dirección sobre seguridad para que el negocio de la organización sea garantizado. La política al ser utilizada de manera correcta, podemos decir que brinda algunas ventajas como lo son: Permite definir controles en sistemas informáticos. Permite establecer los derechos de acceso con base en las funciones de cada persona. Permite la orientación de los usuarios con relación a la disciplina necesaria para evitar violaciones de seguridad. Establece exigencias que pretenden evitar que la organización sea perjudicada en casos de quiebra de seguridad. Permite la realización de investigaciones de delitos por computadora. Se convierte en el primer paso para transformar la seguridad en un esfuerzo común. Veamos unos ejemplos relativos al uso de la política: Una política de seguridad debe ayudarnos a escoger la mejor tecnología en materia de sistemas operativos. También debe servir para elegir los procedimientos y reglas básicas de seguridad para toda la empresa. Ejemplos A manera de cierre de esta sección le proponemos estas preguntas de reflexión relativas a la importancia del uso de la política de seguridad: ¿Conoce usted los deseos e inquietudes de la alta dirección en materia de seguridad? ¿Está consciente que la política de seguridad no es el paso final, sino el principio de la implantación de seguridad en la empresa? Preguntas de reflexión Debido a que una política de seguridad impacta la forma de trabajo diario de las personas, esta debe ser: Clara (escrita en buena forma y lenguaje no elevado), Concisa (evitar información innecesaria o redundante), De acuerdo con la realidad práctica de la empresa (para que pueda ser reconocida como un elemento institucional). Actualizada periódicamente.
  • 28. Es importante que mecanismos paralelos , como una campaña para crear conciencia de la seguridad en la empresa, sean puestos en práctica para que la política de seguridad pueda ser asimilada por sus usuarios e incorporada en la organización. Para finalizar la unidad, veamos algunas estadísticas que tienen como finalidad, identificar los distintos escenarios a los que puede enfrentarse durante este proceso de implantación, a través del conocimiento de las fallas y problemas más comunes dentro de las compañías de Latinoamérica. Según la Investigación Nacional sobre Seguridad de la Información del año 2000 en Brasil, realizada anualmente por módulo, la política de seguridad es un punto de preocupación del mundo corporativo. La gran mayoría (63%) de las empresas cuentan con una política de seguridad, en un 31% de los casos la política aún está siendo desarrollada y un 5% afirman que será elaborada en el año venidero. En el 2001, cerca del 99% de las empresas tendrían una política de seguridad implementada. Algunos resultados mencionan además que: Las empresas de mayor capital y las de capital extranjero son las que se Estadísticas preocupan con el tema desde hace más tiempo. Apenas un 24% contestó que el nivel de adhesión a la política es alto, revelando que el desafío actual es aumentar la participación de los empleados. Cerca del 47% de los ejecutivos entrevistados afirman que el principal obstáculo en la implementación de la política de seguridad es la falta de conciencia de los empleados, porque con frecuencia presentan resistencia en adoptar esas prácticas. Vea la investigación en versión completa en el portal de seguridad de Módulo www.modulo.com Según la investigación del año 2001, la política de seguridad sigue siendo el tema en que la mayoría de las empresas invierte (71%). Hubo pocas variaciones desde el año anterior para el 2001, pues las posiciones se mantuvieron prácticamente sin movimientos. Investimento em segurança 2001 2000 Esta investigación reveló que: (%) (%) 1. Política de Segurança 71 79 La mayor parte de las empresas Estadísticas 2. Capacitação da Equipe Técnica 65 73 3. Criptografia 41 54 planea invertir en políticas de 4. Testes de Invasão 38 52 seguridad (71%) y la capacitación 5. Virtual Private Network (VPN) 38 44 del equipo técnico (65%). 6. Análise de Riscos 35 50 7. Sistemas de detecção de 34 41 La mayoría de las empresas (66%) intrusos afirma poseer una política de 8. Contratação de empresa 30 36 especializada seguridad, sin embargo en 19% 9. Aquisição de software de 29 32 de ellas la política no está controle de acesso actualizada. 10. Autoridade Certificadora 29 23 11. Certificado digital 28 - Cerca del 41% de las 12. Implementação do Firewall 26 40 13. Sistemas de gestão de 19 - organizaciones entrevistadas segurança centralizada señalan la falta de conciencia 14. Smartcard 12 14 por parte de los funcionarios 15. Biométrica 11 - como el principal obstáculo de 16. Segurança em call center 9 - la implementación de la política de seguridad.
  • 29. Principais obstáculos para implementação da segurança OB STÁC U LOS À IMPLEME N TAÇ ÃO D A SEGU R AN Ç A Cons c iênc ia Orç amento Rec urs os humanos Falta de apoio es pec ializ ado Ferramentas 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% Otros obstáculos indicados fueron la falta de presupuesto (32%), escasez de recursos humanos especializados (21%), además de la falta de herramientas adecuadas y de apoyo especializado, ambos citados por el 13% de los entrevistados. Algunas de las medidas de seguridad más adoptadas, están: el firewall (83%), la prevención contra virus (78%) y el servidor proxy (71%). A manera de cierre de esta sección reflexione sobre lo siguiente: ¿Sabe usted a cuáles obstáculos se puede enfrentar dentro de su empresa? ¿Tiene pensado ya cómo solucionarlos? ¿Ha tomado en cuenta acciones alternas para su solución? Preguntas de reflexión 3.6 Lecciones aprendidas Aprendimos que una política de seguridad bien implantada es aquella que refleja los objetivos de negocio de la empresa. Ahora sabemos, que para lograr el éxito para la implantación de la política de seguridad, es necesario tener el apoyo y crear conciencia en la alta dirección de la empresa. Descubrimos que la política de seguridad puede comprender una gran variedad de ámbitos dentro de la empresa y estos se seleccionan en base a la importancia Lecciones aprendidas de cada uno en los negocios de la empresa. Aprendimos también que una política de seguridad se convierte en el primer paso para lograr que la seguridad
  • 30. sea un esfuerzo común.