Documentos de Académico
Documentos de Profesional
Documentos de Cultura
01 Gestion de La Seguridad
01 Gestion de La Seguridad
Gestin de la seguridad
ESET Latinoamrica: Av. Del Libertador 6250, 6to. Piso Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com
ndice
Introduccin ................................................... 3
Polticas de Seguridad ...................................... 3
Poltica de Seguridad ................................................... 4
Normas y estndares .................................................. 5
Procedimientos .......................................................... 5
En este primer mdulo del curso de Seguridad para PyMEs, se detallan los elementos ms importantes
para comprender la gestin de la seguridad, el proceso necesario para implementar exitosamente
controles y medidas de seguridad en la organizacin.
Introduccin
La gestin de la seguridad es el componente clave y primario para un plan exitoso de proteccin
de la informacin en una PyME. Sin gestin no hay controles o medidas que provoquen un
aseguramiento eficiente de los datos de la organizacin, o se evalen los riesgos a los cuales se
est expuesto.
Para que esta gestin sea realizada de forma exitosa, debe comprenderse a la seguridad como
un proceso dinmico, y trabajar en las siguientes etapas: relevar (anlisis de la situacin),
planear (definicin de un plan de controles de seguridad), ejecutar (implementacin de las
medidas) y monitorear (evaluar los resultados). Finalmente, comenzar el crculo nuevamente
con el relevamiento.
Los diferentes elementos que se destacan a continuacin sern utilizados eficientemente si la
organizacin, y sus integrantes, comprenden a la seguridad como un ciclo. Para tal fin, es
indispensable la colaboracin de mltiples reas, y principalmente la alta gerencia, como
responsable final del plan de seguridad.
Polticas de Seguridad
Un programa de Seguridad de la Informacin debe contemplar medidas relacionadas con el
personal, de gestin y tecnolgicas. El funcionamiento de la organizacin est directamente
relacionado con los componentes informticos y los sistemas de informacin, por lo tanto,
aumenta su criticidad en relacin con los resultados de la empresa.
Por tal motivo, un plan de seguridad debe comenzar en los rangos jerrquicos de la
organizacin, y ser funcional en todos los niveles de la misma, contemplando la Integridad,
Disponibilidad y Confidencialidad de la informacin 1.
Para tal fin se definen una serie de documentos que, en conjunto, permiten a cualquier
integrante de la organizacin concientizarse respecto de la seguridad de la informacin y
conocer qu est permitido y qu no lo est, durante el uso diario de los recursos. Adems,
establecen cmo se deben llevar adelante ciertas tareas que involucran el uso de la informacin
dentro de la organizacin.
Poltica de Seguridad
Una Poltica de Seguridad es "una declaracin de intenciones de alto nivel que cubre la seguridad de
los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las
diversas actuaciones tcnicas y organizativas que se requerirn" 2.
Es un documento de alcance global, es decir, su validez debe mantenerse para cualquier
integrante de la organizacin. Es una descripcin general de los fundamentos de las medidas de
seguridad, qu se desea proteger y cmo se lo desea proteger.
Entre otras cosas, una Poltica de Seguridad puede incluir:
objetivos y alcance
clasificacin de la informacin
acuerdos y contratos
Se recomienda que la extensin de este documento no supere las tres pginas. No se deben
incluir en una Poltica de Seguridad detalles tcnicos de los procedimientos de uso, ni reglas y/o
estndares que se apliquen slo a algunas reas de la empresa.
Al ser de alcance global, las Polticas de Seguridad deben ser redactadas con la mayor validez
posible en el tiempo, con lenguaje comprensible por cualquier individuo y presentadas con la
mayor seriedad y compromiso que la empresa pueda hacerlo.
Para ms informacin consulte la Gua para el uso seguro de medios informticos de ESET en http://edu.eset-la.com
Definido por RFC 1244: Site Security Handbook. J. Reynolds - P. Holbrook. Julio 1991
Es una buena prctica disponer que todos los empleados de la empresa firmen una constancia
de haber ledo las Polticas de Seguridad, ya que es una paso ms hacia el conocimiento
explicito de las mismas por parte de todos los integrantes de la organizacin.
Normas y estndares
Los estndares son normas que impactan en la operatoria diaria con los recursos de la empresa
y el uso de informacin. Pueden ser tanto internos como externos.
Entre los estndares internos ms frecuentes se encuentran:
Procedimientos
Los procedimientos son acciones documentadas que describen paso a paso las tareas a realizar
para cumplir con un objetivo. Son tiles para homogeneizar las tareas que involucren la
utilizacin de informacin o recursos informticos de la empresa, y minimizar los riesgos que
afecten a la seguridad de la misma.
Algunos ejemplos de los procedimientos que pueden utilizarse en una PyME son:
Clasificacin de la informacin
En un programa de seguridad es necesario identificar la criticidad de la informacin. Esto
permite a la empresa determinar cuntos recursos (tanto econmicos, humanos, como de otra
ndole) sern asignados a la proteccin de dicha informacin.
Clasificar la informacin de la organizacin es un componente clave para la valorizacin de la
misma, tanto por los criterios de asignacin de recursos, antes mencionados, como para la
optimizacin de las medidas de control a implementar para cada tipo de informacin. Cunto
ms valiosa sea cierta informacin para la empresa, ms recursos ser posible asignar para su
proteccin.
Previo a la clasificacin de la informacin, es necesario realizar un relevamiento de la misma,
identificando todo dato de valor para la organizacin. En dicha etapa es indispensable la
participacin de todos los departamentos, especficamente aquellos individuos con
responsabilidades de management sobre las reas. De esta forma, se minimiza la posibilidad de
omisin de algn tipo de informacin valiosa y que necesite proteccin.
Niveles de clasificacin
Aunque los criterios para catalogar la informacin pueden ser ms complejos y extensos, en
una empresa del tipo PyME se recomienda clasificarla en tres niveles:
Acuerdos y contratos
En la operatoria diaria de la organizacin, la utilizacin e intercambio de informacin entre
todos los actores es comn. Es recomendable, o segn el caso imprescindible, regular de cierta
forma la utilizacin de la informacin tanto para personal interno como externo a la empresa.
Para este fin se utilizan los acuerdos y contratos. Estos establecen un marco que regula la
utilizacin de la informacin, y afecta a todo personal involucrado con la organizacin.
NDA y SLA
Entre los acuerdos y contratos utilizados en un proceso de Gestin de la Seguridad de la
Informacin, se destacan como recomendados para su utilizacin en una PyME, el NDA (Nondisclosure agreement en espaol, Contrato de No Divulgacin) y el SLA (Service Level Agreement
en espaol, Contrato de Nivel de Servicio).
Un NDA es un contrato entre al menos dos partes, que establece las condiciones para
compartir informacin confidencial y las restricciones para su uso pblico. Las principales
ventajas de firmar un Contrato de No Divulgacin son:
Establece un documento (contrato) firmado por ambas partes sobre las condiciones.
Este documento funciona como apoyo ante cualquier inconveniente suscitado entre
las partes respecto al manejo de informacin confidencial.
En PyMEs ambos contratos son comnmente utilizados para los siguientes fines:
Concientizacin y educacin de
usuarios
La creacin de un programa de seguridad en la empresa contempla la implementacin de una
serie de medidas tecnolgicas, y la definicin de polticas y procedimientos de gestin de los
controles a implementar.
Sin embargo, un tercer componente brinda apoyo a cualquier medida y/o control de seguridad:
la concientizacin y educacin de los usuarios.
El xito de un programa de seguridad es ms probable si se cuenta con el compromiso del
usuario. Ninguna herramienta (Polticas de Seguridad, configuracin de puestos de trabajo,
etc.) aporta tanto para involucrar al usuario, como la educacin y concientizacin de los
integrantes de la empresa.
Herramientas comunes
Como instrumentos de la seguridad, las herramientas que pueden utilizarse para concientizar a
los integrantes de la organizacin son variadas. Entre las ms importantes se encuentran:
10
permite afianzar las relaciones entre quienes implementan las medidas de seguridad y
quienes deben respetarlas.
Casos de estudio: trabajos grupales con casos de estudio (reales o ficticios) son
propicios para conocer la opinin y postura de los usuarios respecto a la seguridad en la
organizacin. Adems, fomentan el debate y el intercambio de ideas.
11
Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados
en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con
ESET, LLC y ESET, spol. s.r.o.
ESET, 2012
Acerca de ESET
Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que
provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con
oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego,
Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino
Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal
(Mxico).
Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET
Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del
primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos
el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de
productividad, velocidad de exploracin y un uso mnimo de los recursos.
Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde
dispone de un equipo de profesionales capacitados para responder a las demandas del mercado
en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento
proactivo de variadas amenazas informticas.
La importancia de complementar la proteccin brindada por tecnologa lder en deteccin
proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters
de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten
a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya
ha adquirido renombre propio.
Para ms informacin, visite www.eset-la.com