POLITICAS DE SEGURIDAD INFORMÁTICA INTRODUCCIÓN. Sres. Sres. Direct Directore ores, s, la infor informac mación ión es el princi principa pall activ activo o de nuest nuestra ra empres empresa, a, la vulne vulnerab rabili ilida dad d de nues nuestro tros s sistem sistemas as de infor informac mación ión requie requiere re estab establec lecer er los mecanismos necesarios para salvaguardar los datos de la compañía que pueden originar su perdida por mal manejo de la información e inclusive por personas con malas intenciones. Perder información parcial o total e inclusive que caiga en manos de nuestra competencia pueden representar una enorme pérdida en los ingresos y utilidades originados por la pérdida de clientes y cartera. l desarrollo de una PS! nos van ayudar a salvaguardar ese activo tan importante.
GENERALIDADES. "a segu seguri rida dad d info inform rm#t #tic ica a $a toma tomado do gran gran auge auge,, debi debido do a las las camb cambia iant ntes es condicio condiciones nes y nuevas nuevas platafo plataformas rmas tecnológ tecnológicas icas disponib disponibles. les. "a posibilid posibilidad ad de interconectarse a través de redes, $a abierto nuevos $ori%ontes a las empresas para mejorar su productividad y poder e&plorar m#s all# de las fronteras nacionales, lo cual lógicamente lógicamente $a traído traído consigo consigo,, la aparició aparición n de nuevas nuevas amena%a amena%as s para los sistemas de información. stos riesgos que se enfrentan $a llevado a que muc$as desarrollen documentos y directric directrices es que orientan orientan en el uso adecuado adecuado de estas estas destre%a destre%as s tecnoló tecnológica gicas s y recomendaciones para obtener el mayor provec$o de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. n este sentido, las políticas e seguridad inform#tica surgen como una $erramienta $erramienta organi%acional para concienti%ar a los colaboradores de la organi%ación sobre la importancia y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. competitiva. 'nte 'nte esta situación, situación, el proponer proponer o identificar identificar una política de seguridad seguridad requiere un alto compromiso con la organi%ación, agude%a técnica para establecer fallas y debilidades , y constancia para renovar y actuali%ar dic$a política en función del din#mico ambiente que rodeas las organi%aciones modernas.
DEFINICÓN DE POLITICAS DE SEGURIDAD INFORMÁTICA INFORMÁTICA . (na política de seguridad inform#tica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios inform#ticos de la organi%ación.
)o se puede considerar que una política de seguridad inform#tica es una descripción técnica de mecanismos, ni una e&presión legal que involucre sanciones a conductas de los empleados, es m#s bien una descripción de los que deseamos proteger y el porqué de ellos, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el #mbito de sus negocios. Por tal ra%ón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y séricos inform#ticos.
ELEMENTOS DE UNA POLITICA DE SEGURIDAD INFORMATICA. *omo una política de seguridad debe orientar las decisiones que se tomen en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considere importante. "as políticas de Seguridad !nform#tica deben considerar principalmente los siguientes elementos+ •
•
•
•
•
'lcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. bjetivos de la política y descripción clara de los elementos involucrados en su definición. -esponsabilidades por cada uno de los servicios y recursos inform#ticos aplicados a todos los niveles de la organi%ación. -equerimientos mínimos para la configuración de la seguridad de los sistemas que abarca el alcance de la política. Definición de violaciones y sanciones por no cumplir con las políticas. -esponsabilidades de los usuarios con respecto a la información a la que tiene acceso.
"as políticas de seguridad inform#tica, también deben ofrecer e&plicaciones comprensibles sobre porque deben tomarse ciertas decisiones y e&plicar la importancia de los recursos. !gualmente, deber#n establecer las e&pectativas de la organi%ación en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. tro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro est# sin sacrificar su precisión.
Por ltimo, y no menos importante, el que las políticas de seguridad, deben seguir unos procesos de actuali%ación periódica sujeto a los cambios organi%acionales relevantes, como son+ l aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionales de la empresa, cambio o diversificación del #rea de negocios, etc.
PARÁMETROS PARA ESTABLECER POLITICAS DE SEGURIDAD. s importante que al momento de formular las políticas de seguridad inform#tica, se consideren por lo menos los siguientes aspectos+ / fectuar un an#lisis de riesgo inform#ticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. / -eunirse con los departamentos dueños de los recursos, ya que ellos poseen la e&periencia y son la principal fuente para establecer el alcance y definir las violaciones a las pr#cticas. / comunicar con todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. / !dentificar quien tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su #rea. / 0onitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actuali%arse oportunamente. / Detallar e&plicita y correctamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas tra%adas.
PLAN DE TRABAJO PARA ESTABLECER POLITICAS DE SEGURIDAD. / 'gendar reunión con los coordinadores o jefes de departamentos. / Destacar en que nos afecta a todos la perdida de información. /'sumir el compromiso de las buenas pr#cticas en la manipulación de datos de la red inform#tica. /stablecer en la reunión las propuestas para definir las medidas de seguridad aplicadas a los coordinadores y personas a su cargo. /0edidas de seguridad+
1 'cceso a !nternet 1 -espaldo de la información 1 *reación de grupos de usuarios de acurdo a su perfil 1 Definir los permisos de acceso, escritura, lectura de arc$ivos de arc$ivos y carpetas de acuerdo al cargo asignado.
RECOMENDACIONES PARA IMPLANTAR LAS POLITICAS.
*onocer los riesgos inform#ticos anali%ando los componentes físicos de la red y la manera como est# organi%ada la información.
-eunión con los jefes de departamentos que permitan valorar la información que manejan.
!nvolucrar al personal de cada departamento e&plicando cuales son las ventajas de implementar PS! y los riesgos de no tenerla.
-econocer la responsabilidad de cada jefe de proceso de tal manera que tenga coincidencia y les quede claro las PS!.
stablecer mecanismos que permitan auditar tanto los elementos físicos de la red como el desempeño de los usuarios.
PRIVACIDAD EN LA RED Y CONTROL DE INTRUSOS Privacidad e !a Red. Geera!idade". "as comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría sobrevivir. Por tal ra%ón, es necesario que las organi%aciones mantengan sus servidores, datos e instalaciones lejos de los $ac2ers y piratas inform#ticos. "a tem#tica de la privacidad de las redes $a ido cobrando, desde $ace m#s de una década, un lugar bien importante en el entorno del desarrollo de la inform#tica, ya que las empresas se sienten amena%adas por el crimen inform#tico y busca incasablemente tecnologías que la protejan del mismo, para lo cual destinan partidas en sus presupuestos para fortalecer la seguridad de la información y de las comunicaciones. l mantener un red segura fortalece la confian%a de los clientes en la organi%ación y mejora su imagen corporativa, ya que muc$os son los
criminales inform#ticos 3agrupaciones profesionales, aficionados y accidentales4 que asedian día a día las redes. De forma cotidiana estos $ac2ers aportan novedosas técnicas de instrucción, códigos malignos m#s complejos y descubren nuevos vacíos en las $erramientas de soft5are.
DEFINICION DE PRIVACIDAD DE LAS REDES "as redes son sistemas de almacenamiento, procesamiento y trasmisión de datos que est#n compuestos de elementos de trasmisión 3cables, enlaces inal#mbricos, satélites, encaminadores, pasarelas, conmutadores, etc.4, y servicios de apoyo 3sistemas de nombre de dominio incluidos los servidores raí%, servicio de identificación de llamadas, servicio de autenticación, etc.4. *onectadas a las redes e&iste un nmero cada ve% mayor de aplicaciones 3sistemas de entrega de correo electrónico, navegadores, etc.4 y equipos terminales 3Servidores, teléfonos, computadores personales, teléfonos móviles, etc.4. ' si pues, las redes en las empresas, son los medios que permiten la comunicación de diversos equipos y usuarios, pero también est#n propensas a ser controladas o ace%adas por personas no autori%adas. *uando nos referimos a la privacidad de la red, se evoca al cuidado o medida establecida para que la información de los sistemas como puede ser datos del cliente, servicios contratados, reportes financieros y administrativos, estrategias de mercado, etc., no sea consultado por intruso.
RE#UISITOS PARA MATENER LA PRIVACIDAD DE LAS REDES "as redes deben cumplir los siguientes requisitos o características para mantener su privacidad y poder ser m#s seguros ante las posibilidades de intrusión. 6. DISPONIBILIDAD+ significa que los datos son accesibles, inclusive en caso de alteraciones, cortes de corriente, cat#strofes naturales, accidentes o ataques. sta característica es particularmente importante cuando una avería de la red puede provocar interrupciones o reacciones en cadenas que afecten las operaciones de la empresa. 7. AUTENTICACION + confirmación de la identidad declarada de usuarios. Son necesarios métodos de autenticación adecuados para muc$os servicios y aplicaciones, como la conclusión de un contrato en línea, el control de acceso a determinados servicios, la autenticación de los sitios 5eb, etc.
8. INTEGRIDAD + confirmación de que los datos que $an sido enviados, recibidos y almacenados son completos y no $an sido modificados. "a integridad es especialmente importan ante en la relación con la autenticación de conclusión de contratos o en los casos en la que la e&actitud de los datos es crítica. 9. CONFIDENCIALIDAD + Protección de las comunicaciones o los datos almacenados contra su interrupción y lectura por parte de personas no autori%adas. "a confidencialidad es necesaria para la transmisión de datos sensibles y es uno de los requisitos principales a la $ora de dar respuesta a las inquietudes en materia de intimidad de los usuarios de las redes de comunicación. s preciso tener en cuenta todos los factores que puedan amena%ar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores $umanos que alteren la red pueden ser tan costosos como los ataques intencionados. "a seguridad de las redes y la información. Puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confian%a, todos los accidentes o acciones malintencionados, que pongan en peligro la disponibilidad, autenticidad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dic$as redes y sistemas ofrecen o $acen accesibles.
RIESGOS O AMENA$AS A LA PRIVACIDAD DE LAS REDES. "as principales amena%as o riesgos que enfrentan las empresas que utili%an las redes son+
%. I&erce'&aci( de !a" C)*+icaci)e", "a comunicación puede ser interceptada y los datos copiados o modificados. "a interceptación puede reali%arse mediante el acceso físico a las líneas de las redes, por ejemplo, pinc$ado la línea, o controlando las transmisiones. -. Acce") ) a+&)riad) a )rdead)re" / rede" de )rdead)re", l acceso no autori%ado a ordenadores o redes de ordenadores se reali%a $abitualmente de forma malintencionado para copiar, modificar o destruir datos. :écnicamente, se conoce como intrusión y adopta varias modalidades+ contraseñas previsibles, aprovec$ar la tendencia de la gente a desvelar información a personas en apariencia fiable e interceptación de contraseñas.
0. Per&+r1aci( de !a" rede", actualmente las redes se encuentran ampliamente digitali%adas por ordenadores pero en el pasado la ra%ón de perturbación de la red m#s frecuente era un fallo en el sistema que controla la red y los ataques a las redes estaban dirigidos principalmente a dic$os ordenadores. n la actualidad, los ataques m#s peligrosos se concretan a los puntos débiles y m#s vulnerables de los componentes de las redes como son sistemas operativos, encaminadores, conmutadores, servidores de nombre de dominio, etc.
2. E3ec+ci( de 'r)4ra*a" 5+e *)di6ica / de"&r+/e !)" da&)", los ordenadores funcionan con programas inform#ticos, pero lamentablemente los programas pueden usarse también para desactivar un ordenador y para borrar y modificar los datos. *uando esto ocurre en un ordenador que forma parte de una red los efectos de estas alteraciones pueden tener un alcance considerable. Por ejemplo, un virus en un programa inform#tico malintencionado que reproduce su propio código que se ad$iere, de modo que cuando se ejecuta el programa inform#tico infectado se activa el código de virus . 7. Dec!araci( 6a!"a, a la $ora de efectuar una cone&ión a la red o recibir datos, el usuario formula $ipótesis sobre la identidad de su interlocutor en función de conte&to de la comunicación. Para red, el mayor riesgo de ataque procede de la gente que conoce el conte&to. Por tal ra%ón, las declaraciones falsas de personas físicas o jurídicas pueden causar daños de diversos tipos. *omo pueden ser trasmitir datos confidenciales personas no autori%adas, rec$a%o de un contrato, etc.
8. Accide&e" ) 'r)v)cad)", )umerosos accidentes de seguridad se deben a accidentes imprevistos o no provocados como+ Son tormentas, inundaciones, incendios, terremotos, interrupción del se9vicio por obras de construcción, defectos de programa y errores $umanos o deficiencias de la gestión del operador, el proveedor de servicio o el usuario.
NOTA, Ra)e" #+e I*'ide La A'!icaci( De La" P)!9&ica" De Se4+ridad I6)r*:&ica.
' pesar de que un gran nmero de organi%aciones canali%an para definir directrices de seguridad y concentrarlas en documentos que orienten l acciones de ñas mismas, muy pocas alcan%an el é&ito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad inform#tica. tros inconvenientes los representan los tecnicismos inform#ticos y la falta de una estrategia de mercadeo por parte de los ;erentes de !nform#tica o los especialistas en seguridad. sta situación $a llevado a que muc$as empresas con activos muy importantes, se encuentren e&puestas a graves problemas de seguridad y riesgos innecesarios, que en muc$os casos comprometen información sensitiva y por ende su imagen corporativa. 'nte esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y est#n de acuerdo con las decisiones tomadas en relación con esos asuntos. Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones recono%can su importancia e incidencias en las proyecciones y utilidades de la compañía.