Your SlideShare is downloading. ×
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
politicas de seguridad informatica normas
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

politicas de seguridad informatica normas

19,228

Published on

1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total Views
19,228
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
505
Comments
1
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. UNIDAD 3 – La política de seguridadIntroducciónEn la actualidad la ausencia de políticas de seguridad en las empresas, puedeocasionar efectos catastróficos en los negocios de éstas. Escenarios como el que sepresenta a continuación, ocurrido a la Empresa Ebay en diciembre del 2002, son unclaro ejemplo de situaciones en las que se muestra la enorme necesidad de contar conestas políticas y mantenerlas al día. La presente unidad nos permitirá tener una ideaprecisa de los pasos requeridos para su creación e implementación. FRAUDE eBay denuncia el intento de robo de información de 55 millones de clientes La empresa eBay se dio cuenta que intrusos enviaron fraudulentamente correos a sus 55 millones de usuarios para solicitarles que confirmaran sus datos a través de un portal o Noticias del sitio de eBay, igualmente falso, para una “comprobación técnica” por ese motivo, pocos mundo clientes de eBay sospecharon que se trataba de un fraude. La nota señala textualmente: “Estas solicitudes a menudo contienen enlaces a páginas de Web en las que se les pedirá que de su información personal... los empleados de eBay nunca le pedirán su contraseña", aseguran. “El mensaje fraudulento lleva como título "Error de su cuenta de Ebay" y comienza: "Distinguido miembro de Ebay (escrito así). Nosotros en Ebay sentimos informarle que estamos teniendo problemas con la información de cobro de su cuenta". Fuente consultada: http://www.el- mundo.es/navegante/2002/12/11/seguridad/1039605160.htmlObjetivos Conocer los conceptos básicos de las políticas de seguridad, para permitir sentar las bases necesarias para su correcta elaboración. Identificar el ámbito humano y tecnológico en el que se aplicará dichas políticas, y ayudar de esta manera a abarcar todos los puntos necesarios para la seguridad de la empresa. Comprender las exigencias básicas y etapas de producción de una política de seguridad, para poder partir de una base mucho más sólida para la misma. Comprender la importancia de escuchar las preocupaciones básicas de la administración de la empresa, con el fin de plasmarlas de forma adecuada en Objetivos el documento. Definir las directrices estratégicas que permitan ilustrar los valores que se desean plasmar en las políticas de seguridad. Conocer las ventajas de la aplicación de las políticas de seguridad para permitir colaborar en la selección de
  • 2. productos y desarrollo de procesos.Contenido de la unidad: Conceptos básicos y elaboración de la política Documentos de la política de seguridad Implantación de la política de seguridad
  • 3. Capítulo 1 – Conceptos básicos y elaboración de la política1.1 IntroducciónEn este capítulo conoceremos en qué consiste una política de seguridad de lainformación. Como vimos en la unidad anterior, el análisis de riesgos permite que seanidentificados los puntos críticos en una gestión de procesos con el objetivo deimplementar recomendaciones de seguridad en un ambiente tecnológico y humano. Elsiguiente paso es establecer los valores y normas que deben ser seguidos por todosaquellos involucrados en el uso de la información y sus diversos activos.La política es elaborada considerando el entorno en que se está trabajando como latecnología de la seguridad de la información, para que los criterios establecidos esténde acuerdo con las prácticas internas más recomendadas de la organización, con lasprácticas de seguridad actualmente adoptadas, para buscar una conformidad mayorcon criterios actualizados y reconocidos en todo el mundo.La noticia siguiente nos da un ejemplo de cómo la mayoría de las empresas enLatinoamérica aún no cuenta con una política de seguridad formal e implantada en laorganización. Esto implica un riesgo grave ante los posibles ataques que se puedensufrir el día de hoy en los sistemas de manejo de información de las empresas. Falta mucho para que las empresas chilenas incorporen políticas de seguridad informática En una entrevista a Cristóbal Soto, Consultor de Seguridad de NEOSECURE de la cual presentamos algunas de sus respuestas, se refiere a cómo están preparadas las empresas chilenas para enfrentar la nueva oleada de ataques Noticias del informáticos. mundo “La Ingeniería Social, que es una de las técnicas de hacking más antiguas de la informática, permite penetrar hasta en los sistemas más difíciles, usando una de las vulnerabilidades más graves y poco detectables: el factor humano” Y en relación con las amenazas informáticas más frecuentes comenta : “El phishing o las estafas bancarias y financieras por Internet es lo que más se ha manifestado este año. Pero eso no significa que el resto de las amenazas se hayan mitigado en la práctica. Los virus siguen siendo dañinos y las vulnerabilidades se mantienen vigentes. Señala también: “ -Existe la opinión de que la principal amenaza para la seguridad en una empresa pasa por los mismos empleados.” Pero acota esta opinión al decir: “ -Muchas veces sí, pero no necesariamente. Esto puede pasar más bien por un inadecuado manejo de privilegios; por el ejemplo, si un empleado deja de pertenecer a la empresa y no se actualiza el sistema de accesos para ingresar a ciertos sistemas” Y respecto de lo que es el tema del capítulo que estamos por empezar “la política de seguridad” señala: “…Hay un avance que es notorio en términos de conocimiento, pero el principal logro se refiere a ver a la seguridad como un elemento operativo central. Lo que deben hacer los niveles directivos de la compañía es fijar la política de seguridad de la empresa, la que está sobre los controles tecnológicos”. “ … en todo caso, pienso que la razón la ausencia de políticas de seguridad es
  • 4. que con frecuencia las empresas subestiman los riesgos informáticos. Un catalizador surgiría si todas las empresas calcularan los costos y pérdidas ocasionadas por no contar con políticas de seguridad”Fuente consultada: http://www.mundoenlinea.cl/noticia.php?noticia_id=375&categoria_id=1
  • 5. 1.2 Objetivos Conocer los conceptos básicos para la generación de políticas de seguridad de la empresa, para permitir que estas mismas abarquen todos los aspectos necesarios para su buena implantación. Identificar las exigencias que deben ser cumplidas al realizar una política de seguridad, incluyendo el concepto de análisis de riesgos, aprendido con anterioridad Objetivos
  • 6. 1.3 Conceptos básicos Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método deConceptos clave operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.Conociendo esto, veamos con más profundidad los ámbitos de intervención de unapolítica de seguridad: Áreas de normalización de la política de seguridad Tecnológica Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios. Humana Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes.Enseguida expondremos algunos ejemplos genéricos del porqué es necesarioconsiderar los dos aspectos, tecnológico y humano al momento de definir una políticade seguridad de la información:
  • 7. En la elaboración de una política de seguridad no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política. Un ejemplo común es solicitar a los usuarios el cambio de su contraseña o password constantemente y que ésta deba tener una complejidad adecuada para la informaciónEjemplos manejada. La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro de la política de seguridad es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología. Por ejemplo, establecer que los servidores con información crítica de la empresa no deben prestar servicio de estaciones de trabajo a los empleados.1.4 Elaboración de la políticaPara elaborar una política de seguridad de la información, es importante tomar encuenta las exigencias básicas y las etapas necesarias para su producción. a) Exigencias de la política b) Etapas de producciónEmpecemos por revisar las siguientes exigencias. Exigencias de la políticaLa política es elaborada tomando como base la cultura de la organización y el conocimientoespecializado de seguridad de los profesionales involucrados con su aplicación ycomprometimiento.Es importante considerar que para la elaboración de una política de seguridad institucional sedebe: Integrar el Comité de Seguridad responsable de definir la política. Elaborar el documento final. Hacer oficial la política una vez que se tenga definida. Integrar el Comité de Seguridad Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad. Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización. En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado. Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones. Partes que integran el documento final En este documento deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión
  • 8. de seguridad de la información, que contengan: La definición de la propia política, Una declaración de la administración que apoye los principios establecidos y una explicación de las exigencias de conformidad con relación a: o legislación y cláusulas contractuales; o educación y formación en seguridad de la información; o prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.) Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad. No olvidar de que toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas. Hacer oficial la política La oficialización de una política tiene como base la aprobación por parte de la administración de la organización. Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes.En virtud que las políticas son guías para orientar la acción de las personas queintervienen en los procesos de la empresa, a continuación presentamos ejemplos queilustran cómo esas acciones pueden comprometer los fines de la política deseguridad. De nada nos sirve generar una política completa y correcta en todos los aspectos, si los empleados de la compañía no la conocen o aplican. Es importante también dejar muy claras las sanciones a las que pueden hacerse acreedores los usuarios que no cumplan con las políticas de seguridad en la empresa,Ejemplos tanto empleados como clientes de la misma.Finalmente, para mejorar la comprensión de las exigencias de la política de seguridad,proponemos las siguientes preguntas de reflexión:
  • 9. ¿Cuenta en la actualidad con un comité de seguridad en su empresa?¿Los empleados en su organización están conscientes de la necesidad de una política y su aplicación en la compañía? ¿Tiene apoyo en este sentido de la alta dirección de la empresa? Preguntasde reflexiónAhora continuemos con las siguientes etapas para la definición de la política. Etapas de producción de la políticaElaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo seestructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de estereconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizarpara que esté en conformidad con los estándares de seguridad.El trabajo de producción se compone por distintas etapas, entre otras: Objetivos y ámbito Entrevista Investigación y análisis de documentos Reunión de política Glosario de la política Responsabilidades y penalidades Objetivos y ámbito En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares la política trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados. Entrevista Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización. Investigación y análisis de documentos En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras.
  • 10. Reunión de política En las reuniones, realizadas con los equipos involucrados en la elaboración, se levantan y discuten los temas, además se redactan los párrafos para la composición de las normas con base en el levantamiento del objetivo y del ámbito de la política específica. Glosario de la política Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de la política. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que la política cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda la política de seguridad. Responsabilidades y penalidades Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicación de sanciones resultantes de casos de inconformidad con la política elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relación a las penalidades que serán aplicadas en casos de infracción de la política de seguridad.Enseguida mostramos algunos ejemplos sobre las etapas en la elaboración de lapolítica. En las entrevistas realizadas es importante recabar todas las preocupaciones en materia de seguridad de los empleados, ya que esto nos permite tener una imagen amplia de lo que requiere ser incluido en el documento de política de seguridad. Es importante que el glosario incluido en la política de seguridad, aclare todos los conceptos que pudieran quedar poco claros a la totalidad de las personas que leerán Ejemplos dicha política, esto con el fin de que el documento sea comprendido y aplicado en su totalidad. Las reuniones del comité de seguridad representan una gran oportunidad para pulir e incrementar la claridad del documento final de política, en ellas es recomendable incluir empleados de las diferentes áreas de negocios para considerar sus puntos de vista.Para cerrar esta sección sobre las etapas de la política, lo invitamos a reflexionar desdesu perspectiva cuestiones tan vitales como la seguridad de la información.
  • 11. ¿Se cuenta con un equipo técnico capaz de analizar e identificar riesgos en la documentación de procesos de la empresa?¿Está consciente de la necesidad de incluir penalidades para aquellos que incumplan la política de seguridad? ¿Cree necesario formar un comité encargado del análisis de los casos que llegasen a ocurrir? Preguntas ¿Tiene claro el objetivo principal de la política de seguridad en su empresa?de reflexión
  • 12. 1.5 Lecciones aprendidas Aprendimos aspectos básicos relacionados con una política de seguridad, las partes que la componen y los elementos necesarios previos a su generación. Identificamos las diferentes etapas de generación de la política de seguridad, que nos permite estar preparados para llevar a cabo con éxito cada una de ellas.Lecciones aprendidas
  • 13. Capítulo 2 – Documentos de la política de seguridad2.1 IntroducciónAl iniciar el proceso de elaboración sobre una política de seguridad, es necesariorecopilar cierta información con los usuarios de activos y realizar estudios de losdocumentos existentes. El objetivo de esa tarea es definir qué tipo de adaptación debeser hecha en el modelo de estandarización existente para atender las características dela empresa (con relación a trazado, identificación, numeración y lenguaje utilizado). Siya existen esos estándares definidos, los documentos de la política de seguridaddeben adaptarse a ellos para garantizar una proximidad entre la práctica gerencialexistente y la política sugerida. Veamos un ejemplo sobre documentación de políticasde seguridad. Estafas por ‘phishing’ alcanzan los 500 millones de dólares en EEUU La falta de políticas de seguridad bien documentadas y aplicadas en la empresa, podría ocasionar situaciones como la que documenta la investigación realizada por el Ponemon Institute publicada en DiarioTI. Noticias del Aquí se expone algunas citas textuales de la publicación: mundo Según una investigación realizada por Ponemon Institute, con base en entrevistas realizadas a mil 335 usuarios de Internet, las pérdidas ocasionadas por el “phising” van en aumento. El “phishing”, también conocido como “carding” o “brand spoofing” consiste en que los estafadores distribuyen mensajes de correo electrónico con diseño y formatos similares a los usados por entidades bancarias. En el mensajes se solicita urgentemente a los clientes del banco (o de servicios como eBay, PayPal o similares) visitar una página de Internet, cuyo enlace se adjunta, con el fin de verificar sus datos personales e información sobre su cuenta. Fuente consultada: http://www.diarioti.com/gate/n.php?id=7607En la noticia se observó una estrategia de uso común y de la cual podemos encontrarmuchos casos reales documentados por los medios noticiosos, sin embargo, en lasacciones que se pueden tomar en materia de administración de la seguridad de lainformación, se establece procedimientos muy específicos para evitar que mediante lasuplantación se falsifiquen comunicados para que parezcan oficiales, con la finalidadde obtener información valiosa de los usuarios. Esto tiene que ser establecido en losdocumentos de la política de seguridad de las empresas, que veremos con un pocomás de detalles en este capítulo.Recordemos que nuestra tarea dentro del área de seguridad es lograr que estos casosno se presenten en la organización
  • 14. 2.2 Objetivos Conocer las bases para la documentación necesaria en una política de seguridad, para permitir plasmar de forma correcta todos los elementos requeridos para la misma. Identificar las tres partes principales de una política de seguridad: Normas, procedimientos y directrices. Éstas permitirán producir una política completa y útil de implantar. Objetivos
  • 15. 2.3 Documentos de la política de seguridadSi existe ya un estándar de estructura de documentos para políticas dentro de laempresa, éste puede ser adoptado. Sin embargo, a continuación sugerimos un modelode estructura de política que puede ser desarrollado dentro de su organización. Modelo de estructura de política En este modelo, visualizamos que una política de seguridad esté formada por tres grandes DIRETRIZES ESTRATÉGICO secciones: NORMAS TÁTICO las Directrices, las Normas PROCEDIMENTOS OPERACIONAL los Procedimientos e Instrucciones de Trabajo. Ferramentas Cultura Monitoração Su estructura de sustentación está formada por tres grandes aspectos: herramientas, cultura y monitoreo. ACOMPANHAMENTO Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de laDirectrices organización y tiene como base su visión y misión para abarcar toda la filosofía de(Estrategias) seguridad de la información. Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad de la información, al establecer sus objetivos, medios y responsabilidades. Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido. Como la información no está presente en un único entorno (microinformática, por ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener términos técnicos de informática. Se compone de un texto, no técnico, con las reglas generales que guían a la elaboración de las normas de seguridad.Normas Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio(Táctico) de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina, etc. Las normas, por estar en un nivel táctico, pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios. Normas de Seguridad para técnicos Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Pueden ser ampliamente utilizadas para la configuración y administración de ambientes diversos como Windows NT, Netware, Unix etc. Normas de Seguridad para Usuarios
  • 16. Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc.Procedimientos e Procedimiento Conjunto de orientaciones para realizar las actividades operativas deinstrucciones de seguridad, que representa las relaciones interpersonales e íntertrabajo departamentales y sus respectivas etapas de trabajo para la implantación(Operacional) o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión.A continuación presentamos ejemplos de procedimientos e instrucciones de trabajomuy específicas que resultan de beneficio en la operación diaria. Se pueden integrar, por ejemplo, la lista con los procedimientos para la realización de respaldos de la base de datos, quiénes son los responsables, periodicidad, almacenamiento, etc. Se puede contar también con instrucciones de trabajo para la restauración de equiposEjemplos portátiles que se tengan que reinstalar, con una guía paso a paso sobre qué hacer en dicho caso.Reflexione sobre los siguientes tópicos. ¿Su empresa cuenta con normas generales de seguridad en la actualidad? ¿Se encuentran bien documentadas? ¿Cuenta con un conjunto de directrices generales en la organización? ¿Sus procedimientos técnicos están completamente documentados? Preguntasde reflexión
  • 17. 2.4 Acompañamiento de la políticaUna política de seguridad, para que sea efectiva, necesita contar con los siguienteselementos como base de sustentación: Cultura Herramientas MonitoreoA continuación se describe cada una de ellas. Bases de sustentación de la política de seguridad El entrenamiento de personas debe ser constante, de tal manera que se actualice toda la empresa con Cultura relación a los conceptos y normas de seguridad, además de sedimentar la conciencia de seguridad, para tornarla como un esfuerzo común entre todos los involucrados. Los recursos humanos, financieros y las herramientas de automatización deben estar de acuerdo con las necesidades de seguridad. Parte de la seguridad puede ser automatizada o mejor Herramientas controlada con herramientas específicas, como copias de seguridad obligatorias programadas, control de acceso con registro de ejecución, etc. La implementación de la política de seguridad debe ser constantemente monitoreada. Es necesario efectuar un ciclo de manutención para ajustar la estandarización resultante de los problemas Monitoreo encontrados, reclamaciones de empleados o resultados de auditoría. Se debe también adaptar la seguridad a las nuevas tecnologías, a los cambios administrativos y al surgimiento de nuevas amenazas.Enseguida proporcionamos algunos ejemplos de la capacitación de las personas y delmonitoreo en el acompañamiento de la política. Es necesario contar con un plan de entrenamiento para el personal activo y nuevo de la empresa, para mantenerlo actualizado en materia de seguridad. En la manera de lo posible es necesario contar con sistemas de monitoreo, queEjemplos ayuden a detectar las fallas ocasionadas por ataques a los sistemas de información.Una vez revisados los ejemplos anteriores, ¿qué respuestas podría encontrar a lassiguientes preguntas?
  • 18. ¿El personal de su empresa cuenta con capacitación continua en materia de seguridad? ¿Cuenta con sistemas de monitoreo que le permitan alertarse en poco tiempo de Preguntas posibles ataques a la seguridad de su empresa?de reflexión
  • 19. 2.5 Lecciones aprendidas Comprendimos lo que forma la base de toda política de seguridad: la cultura, herramientas y el monitoreo. Estas bases permiten que la aplicación de la política se mantenga siempre vigente ante los cambios surgidos en toda la organización. Además, aprendimos los conceptos de normas, directrices, procedimientos e instrucciones de trabajo que ayudan a formar cada uno de los elementos necesarios para nuestra política de seguridad.Lecciones aprendidas
  • 20. Capítulo 3 – Implantación de la política de seguridad3.1 IntroducciónEl éxito en la implantación de un sistema y política de seguridad en la empresa,depende en gran medida de conocimiento a fondo de los procesos involucradoscuando dicha implantación es llevada a cabo. Una vez recabada toda la informaciónnecesaria y después de comunicar los logros a todo el personal de la empresa, esposible incluso, como lo muestra la siguiente nota de prensa sobre la compañíaNextel, que el proceso y la política de seguridad puedan llegar a implementarse bajoalgún estándar conocido a nivel mundial. Nextel S.A. celebra una rueda de prensa en Madrid Nextel, S.A. / 7 de Octubre de 2004 El pasado 7 de octubre de 2004, Nextel S.A. celebró una rueda de prensa en el Hotel Sofitel Airport. El motivo fue anunciar la Certificación en Seguridad de la Información obtenida el presente año, como ya hizo una semana antes en otra rueda de prensa Noticias del celebrada en Bilbao. Esta vez asistieron como ponentes Iñaki Murcia, Director Regional mundo de la Zona Norte; Agustín Lerma, Security Manager; y Ricardo Acebedo, Director de Marketing. Nextel S.A., miembro de Innovalia con más de 15 años de experiencia, es la primera Consultora de España que obtiene una Certificación para Sistema de Gestión de la Seguridad de la Información bajo un estándar de Seguridad de la Información internacionalmente reconocido: BS 7799-2:2002 La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) en una empresa como Nextel S.A. supone la gestión integral de la seguridad de la información. Esto se consigue mediante la planificación, análisis de activos y de riesgos, aplicación de controles técnicos, gestión de recursos humanos, difusión, formación y planes de contingencia. La seguridad de la información implica además, tanto a la información que está basada en sistemas informáticos o en papel como a las personas Fuente consultada: http://www.nextel.es/aNW/web/cas/noticias/07102004_59.jsp Información adicional: http://www.nextel.es/web/docs/BS7799/nota_prensa_madrid.pdf
  • 21. 3.2 Objetivos Comprender todos los aspectos necesarios para que la implantación de la política de seguridad sea un éxito en la empresa. Conocer el entorno completo que rodea a una política de seguridad, mismo que es necesario para sustentar su implantación en la empresa. Comprender que los ámbitos en los que se puede trabajar en una política de seguridad son variados, y plasmarlos en esta política depende de la importancia de cada uno de Objetivos ellos en nuestra empresa.
  • 22. 3.3 Implantación de la políticaUna política se encuentra bien implantada cuando: Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la operación necesaria para alcanzar las metas establecidas. Agrega seguridad a los procesos de negocio y garantiza una gestión inteligente de los riesgos. Está de acuerdo con la cultura organizacional y está sustentada por el compromiso y por el apoyo de la administración. Permite un buen entendimiento de las exigencias de seguridad y una evaluación y gestión de los riesgos a los que está sometida la organización.La implantación de la política de seguridad depende de: Una buena estrategia de divulgación entre los usuarios. Una libre disposición de su contenido a todos los involucrados para aumentar el nivel de seguridad y compromiso de cada uno. Campañas, entrenamientos, charlas de divulgación, sistemas de aprendizaje. Otros mecanismos adoptados para hacer de la seguridad un elemento común a todos.Revisemos algunos ejemplos básicos de políticas bien implantadas: Si una de las metas de su organización es, por ejemplo, aumentar el número de clientes que utilizan sus servicios por Internet, es necesario que su política de seguridad facilite esto en lugar de entorpecerlo. Como ya lo comentamos antes, de nada sirve tener la mejor política impresa, sino queEjemplos sea comunicada adecuadamente a todos los empleados y usuarios de nuestros servicios.La fase de la implantación de la política exige que reflexionemos de aspectos talescomo lo que se muestran en las siguientes preguntas: ¿Está consciente de todas las metas que tiene su organización a corto y largo plazo? ¿Tiene planeado ya la forma en que se divulgará la política de seguridad?Preguntas de reflexiónPara finalizar esta sección señalaremos algunos conceptos clave:
  • 23. La política se debe basar en el análisis de riesgo y tener como objetivo la estandarización de entornos y procesos de manera que se eviten las vulnerabilidades existentes. Su creación está directamente conectada a la concretización de este análisis, pues a través del levantamiento de las vulnerabilidades se puede elaborar la documentación de seguridad, con el objetivo de minimizar los riesgos de que las amenazas se conviertan en incidentes. Como todo proceso de evaluación y posible cambio de las prácticas actuales, una política debe tener como base una estrategia deConceptos clave medición de eficacia, para poder evaluar el desempeño de la gestión de seguridad y los puntos débiles que necesitan ser mejorados.
  • 24. 3.4 Temas de la políticaPara elaborar una política, es necesario delimitar los temas que serán convertidosen normas.La división de los temas de una política depende de las necesidades de la organizacióny su delimitación se hace a partir de: el conocimiento del ambiente organizacional, humano o tecnológico, la recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresaAlgunos ejemplos de temas posibles son: Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión deEjemplos cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.Con el propósito de ahondar un poco más en la reflexión le proponemos algunos delos posibles cauces en los que se pueden definir temas para la política de seguridad:
  • 25. ¿Cuenta con personas que puedan asesorar al equipo que redactará la política de seguridad, en materia de aspectos legales?¿Hay personas dentro de su empresa con experiencia en materia de capacitación para concienciar a sus empleados? Preguntasde reflexión
  • 26. 3.5 Usos de la políticaUna vez elaborada, la política de seguridad es importante se garantice en laimplementación controles de uso adecuado de la política de seguridad. Usos de la políticaUna vez que tenemos una política de seguridad, ésta debe cumplir por lo menos dos propósitos: Ayudar en la selección de productos y en el desarrollo de procesos. Realizar una documentación de las preocupaciones de la dirección sobre seguridad para que el negocio de la organización sea garantizado.La política al ser utilizada de manera correcta, podemos decir que brinda algunas ventajas comolo son: Permite definir controles en sistemas informáticos. Permite establecer los derechos de acceso con base en las funciones de cada persona. Permite la orientación de los usuarios con relación a la disciplina necesaria para evitar violaciones de seguridad. Establece exigencias que pretenden evitar que la organización sea perjudicada en casos de quiebra de seguridad. Permite la realización de investigaciones de delitos por computadora. Se convierte en el primer paso para transformar la seguridad en un esfuerzo común.Veamos unos ejemplos relativos al uso de la política: Una política de seguridad debe ayudarnos a escoger la mejor tecnología en materia de sistemas operativos. También debe servir para elegir los procedimientos y reglas básicas de seguridad para toda la empresa.EjemplosA manera de cierre de esta sección le proponemos estas preguntas de reflexiónrelativas a la importancia del uso de la política de seguridad: ¿Conoce usted los deseos e inquietudes de la alta dirección en materia de seguridad? ¿Está consciente que la política de seguridad no es el paso final, sino el principio de la implantación de seguridad en la empresa? Preguntasde reflexiónDebido a que una política de seguridad impacta la forma de trabajo diario de laspersonas, esta debe ser: Clara (escrita en buena forma y lenguaje no elevado), Concisa (evitar información innecesaria o redundante), De acuerdo con la realidad práctica de la empresa (para que pueda ser reconocida como un elemento institucional). Actualizada periódicamente.
  • 27. Es importante que mecanismos paralelos , como una campaña para crear concienciade la seguridad en la empresa, sean puestos en práctica para que la política deseguridad pueda ser asimilada por sus usuarios e incorporada en la organización.Para finalizar la unidad, veamos algunas estadísticas que tienen como finalidad,identificar los distintos escenarios a los que puede enfrentarse durante este procesode implantación, a través del conocimiento de las fallas y problemas más comunesdentro de las compañías de Latinoamérica. Según la Investigación Nacional sobre Seguridad de la Información del año 2000 en Brasil, realizada anualmente por módulo, la política de seguridad es un punto de preocupación del mundo corporativo. La gran mayoría (63%) de las empresas cuentan con una política de seguridad, en un 31% de los casos la política aún está siendo desarrollada y un 5% afirman que será elaborada en el año venidero. En el 2001, cerca del 99% de las empresas tendrían una política de seguridad implementada. Algunos resultados mencionan además que: Las empresas de mayor capital y las de capital extranjero son las que se Estadísticas preocupan con el tema desde hace más tiempo. Apenas un 24% contestó que el nivel de adhesión a la política es alto, revelando que el desafío actual es aumentar la participación de los empleados. Cerca del 47% de los ejecutivos entrevistados afirman que el principal obstáculo en la implementación de la política de seguridad es la falta de conciencia de los empleados, porque con frecuencia presentan resistencia en adoptar esas prácticas. Vea la investigación en versión completa en el portal de seguridad de Módulo www.modulo.com Según la investigación del año 2001, la política de seguridad sigue siendo el tema en que la mayoría de las empresas invierte (71%). Hubo pocas variaciones desde el año anterior para el 2001, pues las posiciones se mantuvieron prácticamente sin movimientos. Investimento em segurança 2001 2000 Esta investigación reveló que: (%) (%) 1. Política de Segurança 71 79 La mayor parte de las empresas Estadísticas 2. Capacitação da Equipe Técnica 65 73 3. Criptografia 41 54 planea invertir en políticas de 4. Testes de Invasão 38 52 seguridad (71%) y la capacitación 5. Virtual Private Network (VPN) 38 44 del equipo técnico (65%). 6. Análise de Riscos 35 50 7. Sistemas de detecção de 34 41 La mayoría de las empresas (66%) intrusos afirma poseer una política de 8. Contratação de empresa 30 36 especializada seguridad, sin embargo en 19% 9. Aquisição de software de 29 32 de ellas la política no está controle de acesso actualizada. 10. Autoridade Certificadora 29 23 11. Certificado digital 28 - Cerca del 41% de las 12. Implementação do Firewall 26 40 13. Sistemas de gestão de 19 - organizaciones entrevistadas segurança centralizada señalan la falta de conciencia 14. Smartcard 12 14 por parte de los funcionarios 15. Biométrica 11 - como el principal obstáculo de 16. Segurança em call center 9 - la implementación de la política de seguridad.
  • 28. Principais obstáculos para implementação da segurança OB STÁC U LOS À IMPLEME N TAÇ ÃO D A SEGU R AN Ç A Cons c iênc ia Orç amento Rec urs os humanos Falta de apoio es pec ializ ado Ferramentas 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% Otros obstáculos indicados fueron la falta de presupuesto (32%), escasez de recursos humanos especializados (21%), además de la falta de herramientas adecuadas y de apoyo especializado, ambos citados por el 13% de los entrevistados. Algunas de las medidas de seguridad más adoptadas, están: el firewall (83%), la prevención contra virus (78%) y el servidor proxy (71%).A manera de cierre de esta sección reflexione sobre lo siguiente: ¿Sabe usted a cuáles obstáculos se puede enfrentar dentro de su empresa? ¿Tiene pensado ya cómo solucionarlos? ¿Ha tomado en cuenta acciones alternas para su solución? Preguntasde reflexión3.6 Lecciones aprendidas Aprendimos que una política de seguridad bien implantada es aquella que refleja los objetivos de negocio de la empresa. Ahora sabemos, que para lograr el éxito para la implantación de la política de seguridad, es necesario tener el apoyo y crear conciencia en la alta dirección de la empresa. Descubrimos que la política de seguridad puede comprender una gran variedad de ámbitos dentro de la empresa y estos se seleccionan en base a la importanciaLecciones aprendidas de cada uno en los negocios de la empresa. Aprendimos también que una política de seguridad se convierte en el primer paso para lograr que la seguridad
  • 29. sea un esfuerzo común.

×