Page 1

Abril 29 de 2008 Sin políticas, hasta el empleado es un riesgo Robo de información, suplantación de identidades o daños a los sistemas son algunos de los riesgos informáticos en las empresas. Redacción Tecnología Las empresas modernas, cada vez más dependientes de la tecnología, enfrentan una gran cantidad de peligros por cuenta de las herramientas que apoyan su negocio. Virus, spyware, adware, keyloggers, phishing y spam, entre otros, son un riesgo constante y silencioso que acecha en cada computador conectado a Internet. Sin embargo, es posible que los principales daños sean causados, de forma voluntaria o accidental, por los propios empleados. Eso opina Luis Fernando Garzón, gerente de la firma de seguridad Trend Micro en Colombia, quien dice que las dos preocupaciones más importantes hoy en día son las amenazas informáticas que llegan a través de la Red (como los virus y el spam) y la fuga de información confidencial, siendo esta última una de las más peligrosas, ya que "atenta contra los valores de una empresa y tiene un gran impacto económico al afectar su reputación". En esto coincide Alfredo García, gerente de Computer Associates para Colombia y Perú, quien afirma que el mayor riesgo lo representan los propios empleados si no existen políticas establecidas que tengan como principal enfoque la seguridad y la protección de la información. Incluso es posible que los trabajadores se vean involucrados sin intención en delitos que incluyen el robo de datos críticos de la compañía o la suplantación de identidad. Un portátil repleto de información de la empresa que le roban a un empleado en un viaje (cuyos datos no están codificados), una memoria USB con información confidencial que se deja olvidada en algún sitio o un correo con virus que se propaga por la red interna por cuenta del empleado que abrió un archivo anexo son algunos ejemplos de acciones involuntarias que generan un gran daño a una compañía. Esto se podría evitar con ciertas políticas de seguridad informática y una buena capacitación para los empleados (por ejemplo, alertar al personal sobre la importancia de no abrir archivos adjuntos sospechosos o capacitarlo en el uso de software de cifrado para información confidencial). Por ello, Alfredo García opina que las compañías más vulnerables son las que se niegan a comprender que la seguridad de la información es un problema del negocio y no de tecnología, mucho más cuando ahora no solo los empleados directos están en contacto con datos vitales de la organización, sino que clientes, proveedores y socios de negocios también hacen parte integral de una organización. Comienzo del proceso Con el fin de evitar riesgos informáticos es preciso que las compañías cuenten con políticas de seguridad definidas, herramientas de tecnología y programas de educación. También deben realizar una revisión constante a todos los ambientes corporativos que puedan estar en peligro. En opinión de Alfredo García, de CA, en las organizaciones el tema es más complejo que en el hogar, pues no basta con seguir las recomendaciones tradicionales, como la instalación de antivirus y otras aplicaciones, sino que se debe tener la tecnología y la capacitación adecuadas para prevenir cualquier ataque. Un primer paso consiste en analizar el estado actual de seguridad de la empresa para conocer si hay alguna vulnerabilidad. Esto es imperativo pues, aclara García, las decisiones no pueden tomarse mediante una simple implementación de políticas y prácticas, sino que deben ir de acuerdo con los requerimientos de la compañía. Con esto en mente, se definen e implementan procedimientos de seguridad que permitan una gestión


unificada de la seguridad informática; esto incluye no solo el tema de hardware y software, sino ante todo la educación del recurso humano. Además, es necesario que en las empresas se viva una cultura de seguridad, que se transmitan las políticas para que los empleados las conozcan y las pongan en práctica, dice García. Diversas herramientas tecnológicas permiten proteger los sistemas empresariales de virus, spam, phishing y otras plagas informáticas. Dependiendo del aspecto que se desee prevenir, es posible emplear servidores de seguridad (firewall) personales y para toda la red, filtros de contenidos, software para prevención de intrusos, antivirus, controles de acceso, manejo de identidades y aplicaciones para administrar los informes que arrojan los elementos instalados. Alfredo García asegura que todo esto debe ser adaptable en el tiempo y estar alineado con la estrategia del negocio: "Es una tarea compleja, pero se obtienen resultados efectivos". De igual forma, la compañía debe educar a los empleados para que cada uno sepa cómo aplicar medidas preventivas sencillas y eliminar al máximo los peligros para la organización, teniendo en cuenta que solo por el hecho de conectar el computador a Internet se podría estar en riesgo (ver abajo). Para tener en cuenta - Las políticas de seguridad informática deben ser claras y fáciles de entender para usuarios no expertos en tecnología. - Las copias de seguridad de la información del negocio deben ocupar un lugar prioritario en la estrategia de protección. - Informe a los empleados sobre la importancia de mantener sus contraseñas privadas, de no usar claves fáciles de romper y de cambiarlas con frecuencia. - Eduque a los empleados mediante cursos y campañas internas. El usuario promedio no tiene claras cosas como qué hacer ante un correo sospechoso, cómo reconocer un intento de phishing o qué problemas podría generar a la empresa el hecho de que él instale en su PC software sin licencia. - Mantenga actualizado el software de la empresa con parches de seguridad y mejoras. Esto defenderá la compañía de amenazas recientes y corregirá fallas en los programas.


UNIDAD 3 – La política de seguridad Introducción En la actualidad la ausencia de políticas de seguridad en las empresas, puede ocasionar efectos catastróficos en los negocios de éstas. Escenarios como el que se presenta a continuación, ocurrido a la Empresa Ebay en diciembre del 2002, son un claro ejemplo de situaciones en las que se muestra la enorme necesidad de contar con estas políticas y mantenerlas al día. La presente unidad nos permitirá tener una idea precisa de los pasos requeridos para su creación e implementación.

FRAUDE eBay denuncia el intento de robo de información de 55 millones de

clientes

Noticias del mundo

La empresa eBay se dio cuenta que intrusos enviaron fraudulentamente correos a sus 55 millones de usuarios para solicitarles que confirmaran sus datos a través de un portal o sitio de eBay, igualmente falso, para una “comprobación técnica” por ese motivo, pocos clientes de eBay sospecharon que se trataba de un fraude. La nota señala textualmente:

“Estas solicitudes a menudo contienen enlaces a páginas de Web en las que se les pedirá que de su información personal... los empleados de eBay nunca le pedirán su contraseña", aseguran. “El mensaje fraudulento lleva como título "Error de su cuenta de Ebay" y comienza: "Distinguido miembro de Ebay (escrito así). Nosotros en Ebay sentimos informarle que estamos teniendo problemas con la información de cobro de su cuenta". Fuente consultada: http://www.el-

mundo.es/navegante/2002/12/11/seguridad/1039605160.html

Objetivos

Objetivos

Conocer los conceptos básicos de las políticas de seguridad, para permitir sentar las bases necesarias para su correcta elaboración. Identificar el ámbito humano y tecnológico en el que se aplicará dichas políticas, y ayudar de esta manera a abarcar todos los puntos necesarios para la seguridad de la empresa. Comprender las exigencias básicas y etapas de producción de una política de seguridad, para poder partir de una base mucho más sólida para la misma. Comprender la importancia de escuchar las preocupaciones básicas de la administración de la empresa, con el fin de plasmarlas de forma adecuada en el documento. Definir las directrices estratégicas que permitan ilustrar los valores que se desean plasmar en las políticas de seguridad. Conocer las ventajas de la aplicación de las políticas de seguridad para permitir colaborar en la selección de


productos y desarrollo de procesos.

Contenido de la unidad: Conceptos básicos y elaboración de la política Documentos de la política de seguridad Implantación de la política de seguridad


Capítulo 1 – Conceptos básicos y elaboración de la política 1.1 Introducción En este capítulo conoceremos en qué consiste una política de seguridad de la información. Como vimos en la unidad anterior, el análisis de riesgos permite que sean identificados los puntos críticos en una gestión de procesos con el objetivo de implementar recomendaciones de seguridad en un ambiente tecnológico y humano. El siguiente paso es establecer los valores y normas que deben ser seguidos por todos aquellos involucrados en el uso de la información y sus diversos activos. La política es elaborada considerando el entorno en que se está trabajando como la tecnología de la seguridad de la información, para que los criterios establecidos estén de acuerdo con las prácticas internas más recomendadas de la organización, con las prácticas de seguridad actualmente adoptadas, para buscar una conformidad mayor con criterios actualizados y reconocidos en todo el mundo. La noticia siguiente nos da un ejemplo de cómo la mayoría de las empresas en Latinoamérica aún no cuenta con una política de seguridad formal e implantada en la organización. Esto implica un riesgo grave ante los posibles ataques que se pueden sufrir el día de hoy en los sistemas de manejo de información de las empresas.

Falta mucho para que las empresas chilenas incorporen políticas de seguridad informática

Noticias del mundo

En una entrevista a Cristóbal Soto, Consultor de Seguridad de NEOSECURE de la cual presentamos algunas de sus respuestas, se refiere a cómo están preparadas las empresas chilenas para enfrentar la nueva oleada de ataques informáticos. “La Ingeniería Social, que es una de las técnicas de hacking más antiguas de la informática, permite penetrar hasta en los sistemas más difíciles, usando una de las vulnerabilidades más graves y poco detectables: el factor humano”

Y en relación con las amenazas informáticas más frecuentes comenta : “El phishing o las estafas bancarias y financieras por Internet es lo que más se ha manifestado este año. Pero eso no significa que el resto de las amenazas se hayan mitigado en la práctica. Los virus siguen siendo dañinos y las vulnerabilidades se mantienen vigentes.

Señala también: “ -Existe la opinión de que la principal amenaza para la seguridad en una empresa pasa por los mismos empleados.”

Pero acota esta opinión al decir: “ -Muchas veces sí, pero no necesariamente. Esto puede pasar más bien por un inadecuado manejo de privilegios; por el ejemplo, si un empleado deja de pertenecer a la empresa y no se actualiza el sistema de accesos para ingresar a ciertos sistemas”

Y respecto de lo que es el tema del capítulo que estamos por empezar “la política de seguridad” señala: “…Hay un avance que es notorio en términos de conocimiento, pero el principal logro se refiere a ver a la seguridad como un elemento operativo central. Lo que deben hacer los niveles directivos de la compañía es fijar la política de seguridad de la empresa, la que está sobre los controles tecnológicos”. “ … en todo caso, pienso que la razón la ausencia de políticas de seguridad es


que con frecuencia las empresas subestiman los riesgos informáticos. Un catalizador surgiría si todas las empresas calcularan los costos y pérdidas ocasionadas por no contar con políticas de seguridad”

Fuente consultada: http://www.mundoenlinea.cl/noticia.php?noticia_id=375&categoria_id=1


1.2 Objetivos Conocer los conceptos básicos para la generación de políticas de seguridad de la empresa, para permitir que estas mismas abarquen todos los aspectos necesarios para su buena implantación. Identificar las exigencias que deben ser cumplidas al realizar una política de seguridad, incluyendo el concepto de análisis de riesgos, aprendido con anterioridad Objetivos


1.3 Conceptos básicos

Conceptos clave

Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.

Conociendo esto, veamos con más profundidad los ámbitos de intervención de una política de seguridad:

Áreas de normalización de la política de seguridad Tecnológica Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios.

Humana Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes.

Enseguida expondremos algunos ejemplos genéricos del porqué es necesario considerar los dos aspectos, tecnológico y humano al momento de definir una política de seguridad de la información:


Ejemplos

En la elaboración de una política de seguridad no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política. Un ejemplo común es solicitar a los usuarios el cambio de su contraseña o password constantemente y que ésta deba tener una complejidad adecuada para la información manejada. La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro de la política de seguridad es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología. Por ejemplo, establecer que los servidores con información crítica de la empresa no deben prestar servicio de estaciones de trabajo a los empleados.

1.4 Elaboración de la política Para elaborar una política de seguridad de la información, es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción. a) Exigencias de la política b) Etapas de producción Empecemos por revisar las siguientes exigencias.

Exigencias de la política La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento. Es importante considerar que para la elaboración de una política de seguridad institucional se debe: Integrar el Comité de Seguridad responsable de definir la política. Elaborar el documento final. Hacer oficial la política una vez que se tenga definida.

Integrar el Comité de Seguridad Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad. Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización. En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado. Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones.

Partes que integran el documento final En este documento deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión


de seguridad de la información, que contengan: La definición de la propia política, Una declaración de la administración que apoye los principios establecidos y una explicación de las exigencias de conformidad con relación a: o legislación y cláusulas contractuales; o educación y formación en seguridad de la información; o prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.) Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad. No olvidar de que toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas.

Hacer oficial la política La oficialización de una política tiene como base la aprobación por parte de la administración de la organización. Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes.

En virtud que las políticas son guías para orientar la acción de las personas que intervienen en los procesos de la empresa, a continuación presentamos ejemplos que ilustran cómo esas acciones pueden comprometer los fines de la política de seguridad.

Ejemplos

De nada nos sirve generar una política completa y correcta en todos los aspectos, si los empleados de la compañía no la conocen o aplican. Es importante también dejar muy claras las sanciones a las que pueden hacerse acreedores los usuarios que no cumplan con las políticas de seguridad en la empresa, tanto empleados como clientes de la misma.

Finalmente, para mejorar la comprensión de las exigencias de la política de seguridad, proponemos las siguientes preguntas de reflexión:


Preguntas de reflexión

¿Cuenta en la actualidad con un comité de seguridad en su empresa?¿Los empleados en su organización están conscientes de la necesidad de una política y su aplicación en la compañía? ¿Tiene apoyo en este sentido de la alta dirección de la empresa?

Ahora continuemos con las siguientes etapas para la definición de la política.

Etapas de producción de la política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras: Objetivos y ámbito Entrevista Investigación y análisis de documentos Reunión de política Glosario de la política Responsabilidades y penalidades

Objetivos y ámbito En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares la política trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados.

Entrevista Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización.

Investigación y análisis de documentos En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras.


Reunión de política En las reuniones, realizadas con los equipos involucrados en la elaboración, se levantan y discuten los temas, además se redactan los párrafos para la composición de las normas con base en el levantamiento del objetivo y del ámbito de la política específica.

Glosario de la política Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de la política. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que la política cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda la política de seguridad.

Responsabilidades y penalidades Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicación de sanciones resultantes de casos de inconformidad con la política elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relación a las penalidades que serán aplicadas en casos de infracción de la política de seguridad.

Enseguida mostramos algunos ejemplos sobre las etapas en la elaboración de la política.

Ejemplos

En las entrevistas realizadas es importante recabar todas las preocupaciones en materia de seguridad de los empleados, ya que esto nos permite tener una imagen amplia de lo que requiere ser incluido en el documento de política de seguridad. Es importante que el glosario incluido en la política de seguridad, aclare todos los conceptos que pudieran quedar poco claros a la totalidad de las personas que leerán dicha política, esto con el fin de que el documento sea comprendido y aplicado en su totalidad. Las reuniones del comité de seguridad representan una gran oportunidad para pulir e incrementar la claridad del documento final de política, en ellas es recomendable incluir empleados de las diferentes áreas de negocios para considerar sus puntos de vista.

Para cerrar esta sección sobre las etapas de la política, lo invitamos a reflexionar desde su perspectiva cuestiones tan vitales como la seguridad de la información.


Preguntas de reflexión

¿Se cuenta con un equipo técnico capaz de analizar e identificar riesgos en la documentación de procesos de la empresa?¿Está consciente de la necesidad de incluir penalidades para aquellos que incumplan la política de seguridad? ¿Cree necesario formar un comité encargado del análisis de los casos que llegasen a ocurrir? ¿Tiene claro el objetivo principal de la política de seguridad en su empresa?


1.5 Lecciones aprendidas

Aprendimos aspectos básicos relacionados con una política de seguridad, las partes que la componen y los elementos necesarios previos a su generación. Identificamos las diferentes etapas de generación de la política de seguridad, que nos permite estar preparados para llevar a cabo con éxito cada una de ellas. Lecciones aprendidas


Capítulo 2 – Documentos de la política de seguridad 2.1 Introducción Al iniciar el proceso de elaboración sobre una política de seguridad, es necesario recopilar cierta información con los usuarios de activos y realizar estudios de los documentos existentes. El objetivo de esa tarea es definir qué tipo de adaptación debe ser hecha en el modelo de estandarización existente para atender las características de la empresa (con relación a trazado, identificación, numeración y lenguaje utilizado). Si ya existen esos estándares definidos, los documentos de la política de seguridad deben adaptarse a ellos para garantizar una proximidad entre la práctica gerencial existente y la política sugerida. Veamos un ejemplo sobre documentación de políticas de seguridad. Estafas por ‘phishing’ alcanzan los 500 millones de dólares en EEUU La falta de políticas de seguridad bien documentadas y aplicadas en la empresa, podría ocasionar situaciones como la que documenta la investigación realizada por el Ponemon Institute publicada en DiarioTI. Noticias del mundo

Aquí se expone algunas citas textuales de la publicación: Según una investigación realizada por Ponemon Institute, con base en entrevistas realizadas a mil 335 usuarios de Internet, las pérdidas ocasionadas por el “phising” van en aumento. El “phishing”, también conocido como “carding” o “brand spoofing” consiste en que los estafadores distribuyen mensajes de correo electrónico con diseño y formatos similares a los usados por entidades bancarias. En el mensajes se solicita urgentemente a los clientes del banco (o de servicios como eBay, PayPal o similares) visitar una página de Internet, cuyo enlace se adjunta, con el fin de verificar sus datos personales e información sobre su cuenta. Fuente consultada: http://www.diarioti.com/gate/n.php?id=7607

En la noticia se observó una estrategia de uso común y de la cual podemos encontrar muchos casos reales documentados por los medios noticiosos, sin embargo, en las acciones que se pueden tomar en materia de administración de la seguridad de la información, se establece procedimientos muy específicos para evitar que mediante la suplantación se falsifiquen comunicados para que parezcan oficiales, con la finalidad de obtener información valiosa de los usuarios. Esto tiene que ser establecido en los documentos de la política de seguridad de las empresas, que veremos con un poco más de detalles en este capítulo. Recordemos que nuestra tarea dentro del área de seguridad es lograr que estos casos no se presenten en la organización


2.2 Objetivos Conocer las bases para la documentación necesaria en una política de seguridad, para permitir plasmar de forma correcta todos los elementos requeridos para la misma.

Objetivos

Identificar las tres partes principales de una política de seguridad: Normas, procedimientos y directrices. Éstas permitirán producir una política completa y útil de implantar.


2.3 Documentos de la política de seguridad Si existe ya un estándar de estructura de documentos para políticas dentro de la empresa, éste puede ser adoptado. Sin embargo, a continuación sugerimos un modelo de estructura de política que puede ser desarrollado dentro de su organización.

Modelo de estructura de política

ESTRATÉGICO

DIRETRIZES NORMAS

TÁTICO

Monitoração

Ferramentas

Cultura

PROCEDIMENTOS

Directrices (Estrategias)

En este modelo, visualizamos que una política de seguridad esté formada por tres grandes secciones: las Directrices, las Normas los Procedimientos e Instrucciones de Trabajo.

OPERACIONAL

Su estructura de sustentación está formada por tres grandes aspectos: herramientas, cultura y monitoreo.

ACOMPANHAMENTO

Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información. Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad de la información, al establecer sus objetivos, medios y responsabilidades. Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido. Como la información no está presente en un único entorno (microinformática, por ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener términos técnicos de informática. Se compone de un texto, no técnico, con las reglas generales que guían a la elaboración de las normas de seguridad.

Normas (Táctico)

Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina, etc. Las normas, por estar en un nivel táctico, pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios. Normas de Seguridad para técnicos Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Pueden ser ampliamente utilizadas para la configuración y administración de ambientes diversos como Windows NT, Netware, Unix etc. Normas de Seguridad para Usuarios


Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc.

Procedimientos e instrucciones de trabajo (Operacional)

Procedimiento Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión.

A continuación presentamos ejemplos de procedimientos e instrucciones de trabajo muy específicas que resultan de beneficio en la operación diaria.

Ejemplos

Se pueden integrar, por ejemplo, la lista con los procedimientos para la realización de respaldos de la base de datos, quiénes son los responsables, periodicidad, almacenamiento, etc. Se puede contar también con instrucciones de trabajo para la restauración de equipos portátiles que se tengan que reinstalar, con una guía paso a paso sobre qué hacer en dicho caso.

Reflexione sobre los siguientes tópicos.

Preguntas de reflexión

¿Su empresa cuenta con normas generales de seguridad en la actualidad? ¿Se encuentran bien documentadas? ¿Cuenta con un conjunto de directrices generales en la organización? ¿Sus procedimientos técnicos están completamente documentados?


2.4 Acompañamiento de la política Una política de seguridad, para que sea efectiva, necesita contar con los siguientes elementos como base de sustentación: Cultura Herramientas Monitoreo A continuación se describe cada una de ellas.

Bases de sustentación de la política de seguridad Cultura

Herramientas

Monitoreo

El entrenamiento de personas debe ser constante, de tal manera que se actualice toda la empresa con relación a los conceptos y normas de seguridad, además de sedimentar la conciencia de seguridad, para tornarla como un esfuerzo común entre todos los involucrados. Los recursos humanos, financieros y las herramientas de automatización deben estar de acuerdo con las necesidades de seguridad. Parte de la seguridad puede ser automatizada o mejor controlada con herramientas específicas, como copias de seguridad obligatorias programadas, control de acceso con registro de ejecución, etc. La implementación de la política de seguridad debe ser constantemente monitoreada. Es necesario efectuar un ciclo de manutención para ajustar la estandarización resultante de los problemas encontrados, reclamaciones de empleados o resultados de auditoría. Se debe también adaptar la seguridad a las nuevas tecnologías, a los cambios administrativos y al surgimiento de nuevas amenazas.

Enseguida proporcionamos algunos ejemplos de la capacitación de las personas y del monitoreo en el acompañamiento de la política.

Ejemplos

Es necesario contar con un plan de entrenamiento para el personal activo y nuevo de la empresa, para mantenerlo actualizado en materia de seguridad. En la manera de lo posible es necesario contar con sistemas de monitoreo, que ayuden a detectar las fallas ocasionadas por ataques a los sistemas de información.

Una vez revisados los ejemplos anteriores, ¿qué respuestas podría encontrar a las siguientes preguntas?


Preguntas de reflexi贸n

驴El personal de su empresa cuenta con capacitaci贸n continua en materia de seguridad? 驴Cuenta con sistemas de monitoreo que le permitan alertarse en poco tiempo de posibles ataques a la seguridad de su empresa?


2.5 Lecciones aprendidas

Lecciones aprendidas

Comprendimos lo que forma la base de toda política de seguridad: la cultura, herramientas y el monitoreo. Estas bases permiten que la aplicación de la política se mantenga siempre vigente ante los cambios surgidos en toda la organización. Además, aprendimos los conceptos de normas, directrices, procedimientos e instrucciones de trabajo que ayudan a formar cada uno de los elementos necesarios para nuestra política de seguridad.


Capítulo 3 – Implantación de la política de seguridad 3.1 Introducción El éxito en la implantación de un sistema y política de seguridad en la empresa, depende en gran medida de conocimiento a fondo de los procesos involucrados cuando dicha implantación es llevada a cabo. Una vez recabada toda la información necesaria y después de comunicar los logros a todo el personal de la empresa, es posible incluso, como lo muestra la siguiente nota de prensa sobre la compañía Nextel, que el proceso y la política de seguridad puedan llegar a implementarse bajo algún estándar conocido a nivel mundial.

Nextel S.A. celebra una rueda de prensa en Madrid Nextel, S.A. / 7 de Octubre de 2004

Noticias del mundo

El pasado 7 de octubre de 2004, Nextel S.A. celebró una rueda de prensa en el Hotel Sofitel Airport. El motivo fue anunciar la Certificación en Seguridad de la Información obtenida el presente año, como ya hizo una semana antes en otra rueda de prensa celebrada en Bilbao. Esta vez asistieron como ponentes Iñaki Murcia, Director Regional de la Zona Norte; Agustín Lerma, Security Manager; y Ricardo Acebedo, Director de Marketing. Nextel S.A., miembro de Innovalia con más de 15 años de experiencia, es la primera Consultora de España que obtiene una Certificación para Sistema de Gestión de la Seguridad de la Información bajo un estándar de Seguridad de la Información internacionalmente reconocido: BS 7799-2:2002 La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) en una empresa como Nextel S.A. supone la gestión integral de la seguridad de la información. Esto se consigue mediante la planificación, análisis de activos y de riesgos, aplicación de controles técnicos, gestión de recursos humanos, difusión, formación y planes de contingencia. La seguridad de la información implica además, tanto a la información que está basada en sistemas informáticos o en papel como a las personas Fuente consultada: http://www.nextel.es/aNW/web/cas/noticias/07102004_59.jsp Información adicional: http://www.nextel.es/web/docs/BS7799/nota_prensa_madrid.pdf


3.2 Objetivos

Objetivos

Comprender todos los aspectos necesarios para que la implantación de la política de seguridad sea un éxito en la empresa. Conocer el entorno completo que rodea a una política de seguridad, mismo que es necesario para sustentar su implantación en la empresa. Comprender que los ámbitos en los que se puede trabajar en una política de seguridad son variados, y plasmarlos en esta política depende de la importancia de cada uno de ellos en nuestra empresa.


3.3 Implantación de la política Una política se encuentra bien implantada cuando: Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la operación necesaria para alcanzar las metas establecidas. Agrega seguridad a los procesos de negocio y garantiza una gestión inteligente de los riesgos. Está de acuerdo con la cultura organizacional y está sustentada por el compromiso y por el apoyo de la administración. Permite un buen entendimiento de las exigencias de seguridad y una evaluación y gestión de los riesgos a los que está sometida la organización. La implantación de la política de seguridad depende de: Una buena estrategia de divulgación entre los usuarios. Una libre disposición de su contenido a todos los involucrados para aumentar el nivel de seguridad y compromiso de cada uno. Campañas, entrenamientos, charlas de divulgación, sistemas de aprendizaje. Otros mecanismos adoptados para hacer de la seguridad un elemento común a todos. Revisemos algunos ejemplos básicos de políticas bien implantadas:

Ejemplos

Si una de las metas de su organización es, por ejemplo, aumentar el número de clientes que utilizan sus servicios por Internet, es necesario que su política de seguridad facilite esto en lugar de entorpecerlo. Como ya lo comentamos antes, de nada sirve tener la mejor política impresa, sino que sea comunicada adecuadamente a todos los empleados y usuarios de nuestros servicios.

La fase de la implantación de la política exige que reflexionemos de aspectos tales como lo que se muestran en las siguientes preguntas:

¿Está consciente de todas las metas que tiene su organización a corto y largo plazo? ¿Tiene planeado ya la forma en que se divulgará la política de seguridad?

Preguntas de reflexión

Para finalizar esta sección señalaremos algunos conceptos clave:


La política se debe basar en el análisis de riesgo y tener como objetivo la estandarización de entornos y procesos de manera que se eviten las vulnerabilidades existentes. Su creación está directamente conectada a la concretización de este análisis, pues a través del levantamiento de las vulnerabilidades se puede elaborar la documentación de seguridad, con el objetivo de minimizar los riesgos de que las amenazas se conviertan en incidentes.

Conceptos clave

Como todo proceso de evaluación y posible cambio de las prácticas actuales, una política debe tener como base una estrategia de medición de eficacia, para poder evaluar el desempeño de la gestión de seguridad y los puntos débiles que necesitan ser mejorados.


3.4 Temas de la política Para elaborar una política, es necesario delimitar los temas que serán convertidos en normas. La división de los temas de una política depende de las necesidades de la organización y su delimitación se hace a partir de: el conocimiento del ambiente organizacional, humano o tecnológico, la recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresa Algunos ejemplos de temas posibles son: Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos.

Ejemplos

Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.

Con el propósito de ahondar un poco más en la reflexión le proponemos algunos de los posibles cauces en los que se pueden definir temas para la política de seguridad:


¿Cuenta con personas que puedan asesorar al equipo que redactará la política de seguridad, en materia de aspectos legales?¿Hay personas dentro de su empresa con experiencia en materia de capacitación para concienciar a sus empleados? Preguntas de reflexión


3.5 Usos de la política Una vez elaborada, la política de seguridad es importante se garantice en la implementación controles de uso adecuado de la política de seguridad.

Usos de la política Una vez que tenemos una política de seguridad, ésta debe cumplir por lo menos dos propósitos: Ayudar en la selección de productos y en el desarrollo de procesos. Realizar una documentación de las preocupaciones de la dirección sobre seguridad para que el negocio de la organización sea garantizado. La política al ser utilizada de manera correcta, podemos decir que brinda algunas ventajas como lo son: Permite definir controles en sistemas informáticos. Permite establecer los derechos de acceso con base en las funciones de cada persona. Permite la orientación de los usuarios con relación a la disciplina necesaria para evitar violaciones de seguridad. Establece exigencias que pretenden evitar que la organización sea perjudicada en casos de quiebra de seguridad. Permite la realización de investigaciones de delitos por computadora. Se convierte en el primer paso para transformar la seguridad en un esfuerzo común.

Veamos unos ejemplos relativos al uso de la política:

Ejemplos

Una política de seguridad debe ayudarnos a escoger la mejor tecnología en materia de sistemas operativos. También debe servir para elegir los procedimientos y reglas básicas de seguridad para toda la empresa.

A manera de cierre de esta sección le proponemos estas preguntas de reflexión relativas a la importancia del uso de la política de seguridad:

Preguntas de reflexión

¿Conoce usted los deseos e inquietudes de la alta dirección en materia de seguridad? ¿Está consciente que la política de seguridad no es el paso final, sino el principio de la implantación de seguridad en la empresa?

Debido a que una política de seguridad impacta la forma de trabajo diario de las personas, esta debe ser: Clara (escrita en buena forma y lenguaje no elevado), Concisa (evitar información innecesaria o redundante), De acuerdo con la realidad práctica de la empresa (para que pueda ser reconocida como un elemento institucional). Actualizada periódicamente.


Es importante que mecanismos paralelos , como una campaña para crear conciencia de la seguridad en la empresa, sean puestos en práctica para que la política de seguridad pueda ser asimilada por sus usuarios e incorporada en la organización. Para finalizar la unidad, veamos algunas estadísticas que tienen como finalidad, identificar los distintos escenarios a los que puede enfrentarse durante este proceso de implantación, a través del conocimiento de las fallas y problemas más comunes dentro de las compañías de Latinoamérica.

Según la Investigación Nacional sobre Seguridad de la Información del año 2000 en Brasil, realizada anualmente por módulo, la política de seguridad es un punto de preocupación del mundo corporativo. La gran mayoría (63%) de las empresas cuentan con una política de seguridad, en un 31% de los casos la política aún está siendo desarrollada y un 5% afirman que será elaborada en el año venidero. En el 2001, cerca del 99% de las empresas tendrían una política de seguridad implementada. Algunos resultados mencionan además que: Las empresas de mayor capital y las de capital extranjero son las que se preocupan con el tema desde hace más tiempo. Apenas un 24% contestó que el nivel de adhesión a la política es alto, revelando que el desafío actual es aumentar la participación de los empleados. Cerca del 47% de los ejecutivos entrevistados afirman que el principal obstáculo en la implementación de la política de seguridad es la falta de conciencia de los empleados, porque con frecuencia presentan resistencia en adoptar esas prácticas.

Estadísticas

Vea la investigación en versión completa en el portal de seguridad de Módulo www.modulo.com

Según la investigación del año 2001, la política de seguridad sigue siendo el tema en que la mayoría de las empresas invierte (71%). Hubo pocas variaciones desde el año anterior para el 2001, pues las posiciones se mantuvieron prácticamente sin movimientos. Investimento em segurança

Estadísticas

1. 2. 3. 4. 5. 6. 7.

Política de Segurança Capacitação da Equipe Técnica Criptografia Testes de Invasão Virtual Private Network (VPN) Análise de Riscos Sistemas de detecção de intrusos 8. Contratação de empresa especializada 9. Aquisição de software de controle de acesso 10. Autoridade Certificadora 11. Certificado digital 12. Implementação do Firewall 13. Sistemas de gestão de segurança centralizada 14. Smartcard 15. Biométrica 16. Segurança em call center

2001 (%)

2000 (%)

71 65 41 38 38 35 34

79 73 54 52 44 50 41

30

36

29

32

29 28 26 19

23 40 -

12 11 9

14 -

Esta investigación reveló que: La mayor parte de las empresas planea invertir en políticas de seguridad (71%) y la capacitación del equipo técnico (65%). La mayoría de las empresas (66%) afirma poseer una política de seguridad, sin embargo en 19% de ellas la política no está actualizada. Cerca del 41% de las organizaciones entrevistadas señalan la falta de conciencia por parte de los funcionarios como el principal obstáculo de la implementación de la política de seguridad.


Principais obstáculos para implementação da segurança OB STÁC U LOS À IMPLEME N TAÇ ÃO D A SEGU R AN Ç A

Cons c iênc ia

Orç amento

Rec urs os humanos

Falta de apoio es pec ializ ado

Ferramentas

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

Otros obstáculos indicados fueron la falta de presupuesto (32%), escasez de recursos humanos especializados (21%), además de la falta de herramientas adecuadas y de apoyo especializado, ambos citados por el 13% de los entrevistados. Algunas de las medidas de seguridad más adoptadas, están: el firewall (83%), la prevención contra virus (78%) y el servidor proxy (71%).

A manera de cierre de esta sección reflexione sobre lo siguiente:

Preguntas de reflexión

¿Sabe usted a cuáles obstáculos se puede enfrentar dentro de su empresa? ¿Tiene pensado ya cómo solucionarlos? ¿Ha tomado en cuenta acciones alternas para su solución?

3.6 Lecciones aprendidas

Lecciones aprendidas

Aprendimos que una política de seguridad bien implantada es aquella que refleja los objetivos de negocio de la empresa. Ahora sabemos, que para lograr el éxito para la implantación de la política de seguridad, es necesario tener el apoyo y crear conciencia en la alta dirección de la empresa. Descubrimos que la política de seguridad puede comprender una gran variedad de ámbitos dentro de la empresa y estos se seleccionan en base a la importancia de cada uno en los negocios de la empresa. Aprendimos también que una política de seguridad se convierte en el primer paso para lograr que la seguridad


sea un esfuerzo comĂşn.

Importancia de las Politicas de Seguridad  
Importancia de las Politicas de Seguridad  

Importancia de la seguridad en internet

Advertisement