Académique Documents
Professionnel Documents
Culture Documents
SEGURIDAD INFORMATICA
CAPTULO 1
INTRODUCCIN
1.1 EVOLUCIN DEL TRMINO SEGURIDAD
Los primeros conceptos de seguridad se evidencian en los inicios de la
escritura con los Sumerios (3000 AC) o el Hammurabi (2000 AC). Tambin la Biblia,
Homero, Cicern, Cesar han sido autores de obras en donde aparecen ciertos rasgos
de la seguridad en la guerra y el gobierno.
Los descubrimientos arqueolgicos marcan, sin duda, las ms importantes
pruebas de seguridad de los antiguos: las pirmides egipcias, el palacio de Sargon, el
templo Karnak en el valle del Nilo; el dios egipcio Anubi representado con una llave
en su mano, etc.
Se sabe que los primitivos, para evitar amenazas, reaccionaban con los
mismos mtodos defensivos de los animales: luchando o huyendo (fight or flight),
para eliminar o evitar la causa. As la pugna por la vida se converta en una parte
esencial y los conceptos de alertar, evitar, detectar, alarmar y reaccionar ya eran
manejados por ellos.
Como todo concepto, la Seguridad se ha desarrollado y ha seguido una
evolucin dentro de las organizaciones sociales. La sociedad se conform en familias,
y esto se convirti en un elemento limitante para huir. Se tuvieron que concebir
nuevas estrategias de intimidacin y disuasin para convencer al atacante que las
prdidas eran inaceptables contra las posibles ganancias.
La primera evidencia de una cultura y organizacin en seguridad madura
aparece en los documentos de la Res Publica (estado) de Roma Imperial y
Republicana.
El prximo paso de la Seguridad fue la especializacin. As nace la Seguridad
Externa (aquella que se preocupa por la amenaza de entes externos hacia la
organizacin); y la Seguridad Interna (aquella preocupada por las amenazas de
nuestra organizacin con la organizacin misma). De estas dos se pueden
desprender la Seguridad Privada y Pblica al aparecer el estado y depositar su
confianza en unidades armadas.
Desde el siglo XVIII, los descubrimientos cientficos y el conocimiento
resultante de la imprenta han contribuido a la cultura de la seguridad. Los principios
de probabilidad, prediccin y reduccin de fallos y prdidas han trado nueva luz a
los sistemas de seguridad.
La seguridad moderna se origin con la Revolucin Industrial para combatir
los delitos y movimientos laborales, tan comunes en aquella poca. Finalmente, un
terico y pionero del Management, Henry Fayol en 1919 identifica la Seguridad como
una de las funciones empresariales, luego de la tcnica, comercial, financiera,
contable y directiva.
Al definir el objetivo de la Seguridad Fayol dice: salvaguardar propiedades
y personas contra el robo, fuego, inundacin contrarrestar huelgas y felonas, y de
forma amplia todos los disturbios sociales que puedan poner en peligro el progreso e
incluso la vida del negocio. Es, generalmente hablando, todas las medidas para
conferir la requerida paz y tranquilidad (Peace of Mind) al personal.
Las medidas de seguridad a las que se refiere Fayol, slo se restringan a los
bienes exclusivamente fsicos de la instalacin, ya que el mayor activo era
justamente ese: los equipos, ni siquiera el empleado. Con la aparicin de los
cerebros electrnicos, esta mentalidad se mantuvo, porque quien sera capaz de
entender estos complicados aparatos como para poner en peligro la integridad de los
datos por ellos utilizados ?.
Hoy, la seguridad, desde el punto de vista legislativo, est en manos de los
polticos, a quienes les toca decidir sobre su importancia, los delitos en que se
pueden incurrir, y el respectivo castigo, si correspondiera. Este proceso ha
conseguido importantes logros en las reas de prevencin del crimen, terrorismo y
riesgo ms que en el pensamiento general sobre Seguridad.
En cambio desde el punto de vista tcnico, la seguridad est en manos de la
direccin de las organizaciones y, en ltima instancia, en cada uno de nosotros y en
nuestro grado de concientizacin respecto a la importancia de la informacin y el
conocimiento en este nuevo milenio.
Es en este proceso en donde se aprecia que no se ha aadido ningn nuevo
concepto a los ya conocidos en la antigedad; los actuales slo son
perfeccionamientos de aquellos: llaves, cerraduras, cajas fuerte, puertas blindadas,
trampas, vigilancia, etc.
1.2 DE QUE ESTAMOS HABLANDO
Conceptos como Seguridad son borrosos o su definicin se maneja con
cierto grado de incertidumbre teniendo distinto significando para distintas personas.
Esto tiene la peligrosa consecuencia de que la funcin de seguridad puede ser
frecuentemente etiquetada como inadecuada o negligente, haciendo imposible a los
responsables justificar sus tcnicas ante reclamos basados en ambigedades de
conceptos y definiciones.
Para dar una respuesta satisfactoria es necesario eliminar la incertidumbre y
distinguir entre la seguridad filosfica y la operacional o prctica.
Como se sabe los problemas nunca se resuelven: la energa del problema no
desaparece, slo se transforma y la solucin estar dada por su transformacin en
problemas diferentes, ms pequeos y aceptables. Por ejemplo: la implementacin
de un sistema informtico puede solucionar el problema de velocidad de
procesamiento pero abrir problemas como el de personal sobrante o reciclable.
Estos, a su vez, descontentos pueden generar un problema de seguridad interno.
2
Las amenazas pueden ser analizadas en tres momentos: antes del ataque
durante y despus del mismo. Estos mecanismos conformarn polticas que
garantizarn la seguridad de nuestro sistema informtico.
a. La Prevencin (antes): mecanismos que aumentan la seguridad (o
fiabilidad) de un sistema durante su funcionamiento normal. Por ejemplo
el cifrado de informacin para su posterior transmisin.
b. La Deteccin (durante): mecanismos orientados a revelar violaciones a la
seguridad. Generalmente son programas de auditora.
c. La Recuperacin (despus): mecanismos que se aplican, cuando la
violacin del sistema ya se ha detectado, para retornar ste a su
el transcurso del tiempo por el sistema son imposibles de recuperar: hemos de pasar
obligatoriamente por un sistema de copias de seguridad (Backup), y an as es difcil
de devolver los datos a su forma anterior al dao.
Para cualquiera de los elementos descriptos existen multitud de amenazas y
ataques que se los puede clasificar en:
1. Ataques Pasivos: el atacante no altera la comunicacin, sino que nicamente la
escucha o monitoriza, para obtener informacin que est siendo transmitida.
Sus objetivos son la intercepcin de datos y el anlisis de trfico. Generalmente
se emplean para:
Obtencin del origen y destinatario de la comunicacin, a travs de
la lectura de las cabeceras de los paquetes monitorizados.
Control del volumen de trfico intercambiado entre las entidades
monitorizadas, obteniendo as informacin acerca de actividad o
inactividad inusuales.
Control de las horas habituales de intercambio de datos entre las
entidades de la comunicacin, para extraer informacin acerca de los
perodos de actividad.
Es posible evitar el xito, si bien no el ataque, mediante el cifrado de la
informacin y otros mecanismos que se vern posteriormente.
2. Ataques Activos: estos ataques implican algn tipo de modificacin del flujo de
datos transmitido o la creacin de un falso flujo de datos. Generalmente son
realizados por hackers, piratas informticos o intrusos remunerados y se los
puede subdividir en cuatro categoras:
Interrupcin: si hace que un objeto del sistema se pierda, quede
inutilizable o no disponible.
Intercepcin: si un elemento no autorizado consigue el acceso a un
determinado objeto del sistema.
Modificacin: si adems de conseguir el acceso consigue modificar el
objeto.
Fabricacin: se consigue un objeto similar al original atacado de
forma que es difcil distinguirlos entre s.
Destruccin: es una modificacin que inutiliza el objeto.
Grfico 1.3 Tipos de Ataques Activos. Fuente: HOWARD, John D. Thesis: An Analysis of
security on the Internet 19891995. Carnegie Institute of Technology. Carnegie Mellon
University. 1995. EE.UU. http://www.cert.org. Captulo 6Pgina 59.
Con demasiada frecuencia se cree que los piratas son lo nicos que amenazan
nuestro sistema, siendo pocos los administradores que consideran todos los dems
riesgos analizados en el presente.
1.2.5 RELACIN OPERATIVIDADSEGURIDAD
Seleccionar las medidas de seguridad a implantar requiere considerar el
equilibrio entre los intereses referidos a la seguridad, los requerimientos
operacionales y la "amigabilidad" para el usuario.
Para ilustrar lo antes dicho imaginemos una computadora extremadamente segura:
o
o
o
Open
Publication
License
v.10.
2
de
Octubre
de
2000.
http://www.kriptopolis.com
Director
de
Cybsec
S.A.
Security
System.
CAPTULO 2
SEGURIDAD FSICA
Es muy importante ser consciente que por ms que nuestra empresa sea la
ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. la
seguridad de la misma ser nula si no se ha previsto como combatir un incendio.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo
de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se
prevn, otros, como la deteccin de un atacante interno a la empresa que intenta
acceder fsicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea ms fcil lograr tomar y
copiar una cinta de la sala, que intentar acceder va lgica a la misma.
As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y
procedimientos de control, como medidas de prevencin y contramedidas ante
1
2.1.1 INCENDIOS
Los incendios son causados por el uso inadecuado de combustibles, fallas de
instalaciones elctricas defectuosas y el inadecuado almacenamiento y traslado de
sustancias peligrosas.
El fuego es una de las principales amenazas contra la seguridad. Es
considerado el enemigo nmero uno de las computadoras ya que puede destruir
fcilmente los archivos de informacin y programas.
Desgraciadamente los sistemas antifuego dejan mucho que desear, causando
casi igual dao que el propio fuego, sobre todo a los elementos electrnicos. El
dixido de carbono, actual alternativa del agua, resulta peligroso para los propios
empleados si quedan atrapados en la sala de cmputos.
Los diversos factores a contemplar para reducir los riesgos de incendio a los
que se encuentra sometido un centro de cmputos son:
1. El rea en la que se encuentran las computadoras debe estar en un local
que no sea combustible o inflamable.
2. El local no debe situarse encima, debajo o adyacente a reas donde se
procesen, fabriquen o almacenen materiales inflamables, explosivos,
gases txicos o sustancias radioactivas.
3. Las paredes deben hacerse de materiales incombustibles y extenderse
desde el suelo al techo.
4. Debe construirse un falso piso instalado sobre el piso real, con materiales
incombustibles y resistentes al fuego.
5. No debe estar permitido fumar en el rea de proceso.
6. Deben emplearse muebles incombustibles, y cestos metlicos para papeles.
Deben evitarse los materiales plsticos e inflamables.
7. El piso y el techo en el recinto del centro de cmputo y de almacenamiento
de los medios magnticos deben ser impermeables.
2.1.1.1 SEGURIDAD DEL EQUIPAMIENTO
Es necesario proteger los equipos de cmputo instalndolos en reas en las
cuales el acceso a los mismos slo sea para personal autorizado. Adems, es
necesario que estas reas cuenten con los mecanismos de ventilacin y deteccin de
incendios adecuados.
Para protegerlos se debe tener en cuenta que:
La temperatura no debe sobrepasar los 18 C y el lmite de humedad no
debe superar el 65% para evitar el deterioro.
Los centros de cmputos deben estar provistos de equipo para la extincin
de incendios en relacin al grado de riesgo y la clase de fuego que sea
posible en ese mbito.
Deben instalarse
(rociadores).
extintores
manuales
(porttiles)
y/o
automticos
2.1.1.2 RECOMENDACIONES
El personal designado para usar extinguidores de fuego debe ser entrenado
en su uso.
Si hay sistemas de deteccin de fuego que activan el sistema de extincin,
todo el personal de esa rea debe estar entrenado para no interferir con este
proceso automtico.
Implementar paredes protectoras de fuego alrededor de las reas que se
desea proteger del incendio que podra originarse en las reas adyacentes. Proteger
el sistema contra daos causados por el humo. Este, en particular la clase que es
principalmente espeso, negro y de materiales especiales, puede ser muy daino y
requiere una lenta y costosa operacin de limpieza.
Mantener procedimientos planeados para recibir y almacenar abastecimientos
de papel.
Suministrar informacin, del centro de cmputo, al departamento local de
bomberos, antes de que ellos sean llamados en una emergencia. Hacer que este
departamento est consciente de las particularidades y vulnerabilidades del sistema,
por excesivas cantidades de agua y la conveniencia de una salida para el humo, es
importante. Adems, ellos pueden ofrecer excelentes consejos como precauciones
para prevenir incendios.
2.1.2 INUNDACIONES
Se las define como la invasin de agua por exceso de escurrimientos
superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje
ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros
de cmputos.
Adems de las causas naturales de inundaciones, puede existir la posibilidad
de una inundacin provocada por la necesidad de apagar un incendio en un piso
superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas:
construir un techo impermeable para evitar el paso de agua desde un nivel superior
y acondicionar las puertas para contener el agua que bajase por las escaleras.
2.1.3 CONDICIONES CLIMATOLGICAS
Normalmente se reciben por anticipado los avisos de tormentas, tempestades,
tifones y catstrofes ssmicas similares. Las condiciones atmosfricas severas se
asocian a ciertas partes del mundo y la probabilidad de que ocurran est
documentada.
La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al
decidir la construccin de un edificio. La comprobacin de los informes climatolgicos
o la existencia de un servicio que notifique la proximidad de una tormenta severa,
permite que se tomen precauciones adicionales, tales como la retirada de objetos
mviles, la provisin de calor, iluminacin o combustible para la emergencia.
2.1.3.1 TERREMOTOS
Estos fenmenos ssmicos pueden ser tan poco intensos que solamente
instrumentos muy sensibles los detectan o tan intensos que causan la destruccin de
disminuir siniestros
trabajar mejor manteniendo la sensacin de seguridad
descartar falsas hiptesis si se produjeran incidentes
tener los medios para luchar contra accidentes
CAPTULO 3
SEGURIDAD LGICA
Luego de ver como nuestro sistema puede verse afectado por la falta de
Seguridad Fsica, es importante recalcar que la mayora de los daos que puede
sufrir un centro de cmputos no ser sobre los medios fsicos sino contra informacin
por l almacenada y procesada.
As, la Seguridad Fsica, slo es una parte del
cubrir para no vivir con una sensacin ficticia de
mencionado, el activo ms importante que se posee
tanto deben existir tcnicas, ms all de la seguridad
tcnicas las brinda la Seguridad Lgica.
2.
3.
4.
5.
6.
7.
3.1.2 ROLES
El acceso a la informacin tambin puede controlarse a travs de la funcin o
rol del usuario que requiere dicho acceso. Algunos ejemplos de roles seran los
siguientes: programador, lder de proyecto, gerente de un rea usuaria,
administrador del sistema, etc. En este caso los derechos de acceso pueden
agruparse de acuerdo con el rol de los usuarios.
3.1.3 TRANSACCIONES
Tambin pueden implementarse controles a travs de las transacciones, por
ejemplo solicitando una clave al requerir el procesamiento de una transaccin
determinada.
3.1.4 LIMITACIONES A LOS SERVICIOS
Estos controles se refieren a las restricciones que dependen de parmetros propios
de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema.
Un ejemplo podra ser que en la organizacin se disponga de licencias para la
utilizacin simultnea de un determinado producto de software para cinco personas,
en donde exista un control a nivel sistema que no permita la utilizacin del producto
a un sexto usuario.
3.1.5 MODALIDAD DE ACCESO
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a
la informacin. Esta modalidad puede ser:
Lectura: el usuario puede nicamente leer o visualizar la informacin pero no
puede alterarla. Debe considerarse que la informacin puede ser copiada o
impresa.
Escritura: este tipo de acceso permite agregar datos, modificar o borrar
informacin.
Ejecucin: este acceso otorga al usuario el privilegio de ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema (como programas,
campos de datos o archivos). El borrado es considerado una forma de
modificacin.
Control total: Todas las anteriores.
Adems existen otras modalidades de acceso especiales, que generalmente se
incluyen en los sistemas de aplicacin:
Creacin: permite al usuario crear nuevos archivos, registros o campos.
Bsqueda: permite listar los archivos de un directorio determinado.
3.1.5 UBICACIN Y HORARIO
El acceso a determinados recursos del sistema puede estar basado en la
ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios, este tipo
de controles permite limitar el acceso de los usuarios a determinadas horas de da o
a determinados das de la semana. De esta forma se mantiene un control ms
restringido de los usuarios y zonas de ingreso.
Se debe mencionar que estos dos tipos de controles siempre deben ir
acompaados de alguno de los controles anteriormente mencionados.
de tres tipos: mens, vistas sobre la base de datos y lmites fsicos sobre la interfase
de usuario. Por ejemplo los cajeros automticos donde el usuario slo puede ejecutar
ciertas funciones presionando teclas especficas.
3.1.6.5 ETIQUETAS DE SEGURIDAD
Consiste en designaciones otorgadas a los recursos (como por ejemplo un
archivo) que pueden utilizarse para varios propsitos como control de accesos,
especificacin de medidas de proteccin, etc. Estas etiquetas no son modificables.
3.1.7 CONTROL DE ACCESO EXTERNO
3.1.7.1 DISPOSITIVOS DE CONTROL DE PUERTOS
Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar
fsicamente separados o incluidos en otro dispositivo de comunicaciones, como por
ejemplo un mdem.
3.1.7.2 FIREWALLS O PUERTAS DE SEGURIDAD
Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada
y otra externa (por ejemplo Internet). Los firewalls permiten que los usuarios
internos se conecten a la red exterior al mismo tiempo que previenen la intromisin
de atacantes o virus a los sistemas de la organizacin.
3.1.7.3 ACCESO DE PERSONAL CONTRATADO O CONSULTORES
Debido a que este tipo de personal en general presta servicios temporarios,
debe ponerse especial consideracin en la poltica y administracin de sus perfiles de
acceso.
3.1.7.4 ACCESOS PBLICOS
Para los sistemas de informacin consultados por el pblico en general, o los
utilizados para distribuir o recibir informacin computarizada (mediante, por
ejemplo, la distribucin y recepcin de formularios en soporte magntico, o la
consulta y recepcin de informacin a travs del correo electrnico) deben tenerse
en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se
dificulta su administracin.
Debe considerarse para estos casos de sistemas pblicos, que un ataque
externo o interno puede acarrear un impacto negativo en la imagen de la
organizacin.
3.1.8 ADMINISTRACIN
Una vez establecidos los controles de acceso sobre los sistemas y la aplicacin, es
necesario realizar una eficiente administracin de estas medidas de seguridad lgica,
lo que involucra la implementacin, seguimientos, pruebas y modificaciones sobre los
accesos de los usuarios de los sistemas.
La poltica de seguridad que se desarrolle respecto a la seguridad lgica debe
guiar a las decisiones referidas a la determinacin de los controles de accesos y
especificando las consideraciones necesarias para el establecimiento de perfiles de
usuarios.
definidos
3.2.1 NIVEL D
Este nivel contiene slo una divisin y est reservada para sistemas que han
sido evaluados y no cumplen con ninguna especificacin de seguridad. Sin sistemas
no confiables, no hay proteccin para el hardware, el sistema operativo es inestable
y no hay autentificacin con respecto a los usuarios y sus derechos en el acceso a la
informacin. Los sistemas operativos que responden a este nivel son MSDOS y
System 7.0 de Macintosh.
3.2.2 NIVEL C1: PROTECCIN DISCRECIONAL
Se requiere identificacin de usuarios que permite el acceso a distinta
informacin. Cada usuario puede manejar su informacin privada y se hace la
distincin entre los usuarios y el administrador del sistema, quien tiene control total
de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo pueden ser
realizadas por este super usuario; quien tiene gran responsabilidad en la seguridad
del mismo. Con la actual descentralizacin de los sistemas de cmputos, no es raro
que en una organizacin encontremos dos o tres personas cumpliendo este rol. Esto
es un problema, pues no hay forma de distinguir entre los cambios que hizo cada
usuario.
A continuacin se enumeran los requerimientos mnimos que debe cumplir la clase
C1:
Acceso de control discrecional: distincin entre usuarios y recursos. Se
podrn definir grupos de usuarios (con los mismos privilegios) y grupos de
objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios
o grupos de ellos.
http : // www.nist.gov
CAPTULO 4
EL NUEVO ENFOQUE INTEGRADO
4.1) Presentacin
En la medida que las organizaciones dependen ms de las redes para realizar
transacciones comerciales, para compartir la informacin y para establecer
comunicaciones diarias, las redes deben ser cada vez ms accesibles a los clientes,
empleados, proveedores, socios, contratistas y teletrabajadores. Pero as como
aumenta la accesibilidad, tambin aumenta el riesgo a que se expone la informacin
importante que se encuentra almacenada en la red. Por supuesto que el desafo es
garantizar que solamente las personas adecuadas tengan acceso aunque la
complejidad de las redes de hoy en da y el surgimiento de nuevas amenazas a la
seguridad hacen que el desafo sea cada da ms difcil.
Los entornos en evolucin y las nuevas amenazas determinan la necesidad
de la seguridad integrada.
La capacidad de utilizar redes empresariales para el comercio y la colaboracin son el
instrumento comercial clave que conlleva al gran surgimiento de las "compaas
hiperconectadas". Para satisfacer los requerimientos de estas compaas, los niveles
del gateway, de las estaciones de trabajo y del servidor de las redes tienen que estar
interconectados lo que significa que la informacin importante de las compaas debe
ahora residir en mltiples niveles de la red interna, donde cada nivel requiere su
propia proteccin. Igualmente las amenazas a la red son ms sofisticadas con
tcnicas de ataque que emplean diversos mtodos para descubrir y aprovechar las
vulnerabilidades de las redes, las cuales se estn volviendo ms frecuentes. Por
ejemplo, los virus, gusanos y caballos de troya que a menudo se esconden dentro de
archivos o cdigos de programacin, son capaces de autoreplicarse y autopropagarse
para que los usuarios de las computadoras los esparzan fcilmente sin saberlo.
Adems una nueva variedad de amenazas como el Cdigo Rojo y Nimda toma las
peores caractersticas de los virus, gusanos y caballos de Troya lo que se suma a la
vulnerabilidad de los servidores e Internet para iniciar, transmitir y esparcir un
ataque. Estas amenazas denominadas combinadas que estn explcitamente
diseadas para aprovechar la vulnerabilidad de las tecnologas de la seguridad y que
operan de manera independiente entre ellas, utilizan mtodos mltiples de ataque y
autopropagacin que les permite esparcirse rpidamente y causar grandes
perjuicios.
Cules son los riesgos?
Debido a los mltiples niveles de vulnerabilidad de las redes y la cantidad siempre
creciente de tcnicas de ataque, tambin aumentan los riesgos al bienestar
corporativo. El impacto de los ataques en las redes de las compaas puede variar
desde consecuencias fciles de cuantificar como las operaciones comerciales
interrumpidas hasta prdidas que son difciles de calcular como los perjuicios al valor
de las marcas. Los ataques a las redes tambin afectan a las compaas de la
siguientes manera:
Evalu los riesgos: ste puede ser uno de los componentes ms desafiantes
del desarrollo de una poltica de seguridad. Debe calcularse la probabilidad de
que ocurran ciertos sucesos y determinar cules tiene el potencial para causar
mucho dao. El costo puede ser ms que monetario - se debe asignar un
valor a la prdida de datos, la privacidad, responsabilidad legal, atencin
pblica indeseada, la prdida de clientes o de la confianza de los
inversionistas y los costos asociados con las soluciones para las violaciones a
la seguridad.
el
Consideraciones importantes
A travs del proceso de elaboracin de una poltica de seguridad, es importante
asegurarse de que la poltica tenga las siguientes caractersticas:
Una vez la poltica se aprueba totalmente, debe hacerse asequible a todos los
empleados porque, en ultima instancia, ellos son responsables de su xito. Las
polticas deben actualizarse anualmente (o mejor an cada seis meses) para reflejar
los cambios en la organizacin o cultura.
Se debe mencionar que no debe haber dos polticas de seguridad iguales puesto que
cada empresa es diferente y los detalles de la poltica dependen de las necesidades
exclusivas de cada una. Sin embargo, usted puede comenzar con un sistema general
de polticas de seguridad y luego personalizarlo de acuerdo con sus requerimientos
especficos, limitaciones de financiacin e infraestructura existente.
Una poltica completa de seguridad de la informacin es un recurso valioso que
amerita la dedicacin de tiempo y esfuerzo. La poltica que adopte su empresa brinda
una base slida para respaldar el plan general de seguridad. Y una base slida sirve
para respaldar una empresa slida
Valor
o
o
o
o
Solo cuando usted aprecia el valor de la informacin, puede determinar los esfuerzos
necesarios para protegerla. La proteccin de la informacin requiere una inversin
inicial y progresiva bien se trate del hardware, software, almacenaje o personal.
A continuacin se presentan algunos parmetros bsicos que usted debe tener en
cuenta cuando evale el nivel de proteccin que necesita su informacin:
En todos los casos, realice una evaluacin de riesgos y anlisis del impacto en la
empresa por la prdida (temporal o permanente), divulgacin o modificacin de su
informacin para determinar el nivel de proteccin necesario. Si usted no realiza un
anlisis del impacto en su empresa, nunca sabr si la informacin est subprotegida,
sobreprotegida o adecuadamente protegida.
Como se experiment recientemente con la tragedia del World Trade Center, la
informacin no solo debe estar en los sistemas computacionales, sino tambin en
documentos. La proteccin de la informacin vital de su organizacin debe incluir el
almacenamiento de la informacin en las computadoras, en los documentos y en
otros medios no electrnicos,. La prdida de algunos tipos de informacin puede ser
fatal para una empresa si no se puede recuperar la informacin.
contenido
de
polticas
de
seguridad
para
la
Esto puede parecer contrario a la intuicin, pero la inversin adicional para proteger
la informacin no siempre garantiza el xito.
En este documentos present algunos parmetros bsicos que se deben tener en
cuenta para evaluar el nivel de proteccin que necesita su informacin. Para evaluar
sus necesidades de inversin, debe consultar estas "reglas" en orden secuencial:
Regla N 1: Saber qu informacin tiene y donde se encuentra.
Regla N 2: Saber el valor de la informacin que se tiene y la dificultad de volverla
a crear si se daa o pierde.
Regla N 3: Saber quines estn autorizados para acceder a la informacin y que
pueden hacer con ella.
Regla N 4: Saber la velocidad con que puede acceder a la informacin si no est
disponible por alguna razn (por prdida, modificacin no autorizada, etc.)
Es clave entender por qu usted necesita proteger la informacin:
Desde un punto de vista comercial es clave determinar la necesidad de tener una
Poltica de Seguridad de la Informacin. Para ello, usted necesita saber cul es la
informacin y en donde se encuentra para que pueda proceder a definir los controles
que se necesitan para protegerla.
Estas cuatro reglas son aparentemente simples. Sin embargo, las respuestas
permitirn el diseo e implementacin de un programa de proteccin a la
informacin puesto que las respuestas pueden ser muy difciles. No toda la
informacin tiene el mismo valor y por lo tanto no requiere el mismo nivel de
proteccin (con el costo que implica).
Cmo redactar una Poltica de Seguridad de la Informacin
Una Poltica de Seguridad de la Informacin est conformada por unos pocos
elementos como:
Alcance de aplicabilidad
Debe tener en cuenta los aportes hechos por las personas afectadas por la
poltica
xito garantizado
Redactar una poltica para la seguridad de la informacin puede ser sencillo
comparado con su implementacin y viabilidad. La poltica organizacional y las
presiones por lo general aseguran que habr dificultad y consumo de tiempo para
crear y adoptar una Poltica de Seguridad de la Informacin, a menos que un
"campen fuerte" dirija el programa de polticas. Esta persona generalmente es un
"poltico", una persona influyente, un facilitador y sobretodo una persona que sepa
escuchar, para que pueda articular y aclarar las inquietudes y temores de las
personas respecto a la introduccin de una nueva poltica.
A pesar de los numerosos programas de software y libros en el mercado que ayudan
a las organizaciones a crear su propia Poltica de Seguridad de la Informacin,
muchas de estas ayudas pierden totalmente el propsito de la poltica. Con
frecuencia confunden la "Poltica" con los "Estndares" y los "Procedimientos" y por
lo tanto son inconsistentes.
contenido
de
estandares
de
seguridad
de
la
o Controles criptogrficos
o Seguridad de los archivos de sistemas
o Seguridad en los procesos de desarrollo y soporte
Administracin de la continuidad de la empresa
o Sistemas,
redes,
aplicaciones,
personal,
instalaciones
comunicaciones
Cumplimiento
o Cumplimiento con los requerimientos jurdicos
o Cumplimiento de la seguridad e informes de cumplimiento tcnico
o Aspectos de la auditora de sistemas