Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Políticas Generales de Seguridad Semana 2
Políticas Generales de Seguridad Semana 2
Objetivo
En esta semana estudiaremos con ms profundidad las
polticas de seguridad informtica, el significado de un
manual de procedimientos para nuestra organizacin, y
diversos mtodos para evaluar el valor de la informacin de
la misma.
Ahora, aunque las PSI deben poseer estos elementos expuestos, tambin debe
llevar, implcitos en cada tem, algunas caractersticas:
Toda PSI debe ser vigilada por un ente, una autoridad, que la haga
cumplir y apique los correctivos necesarios. Sin embargo, no debe
confundirse una PSI con una ley, y no debe verse como tal.
El siguiente paso es determinar quines son las personas que dan las
rdenes sobre los elementos valorados en la empresa. Ellos deben
conocer el proceso de las PSI, ya que sobre ellos recae la
responsabilidad de los activos crticos.
Antes que nada, se crea una base de anlisis para el sistema de seguridad,
que est basada en varios elementos:
-
generar
simulaciones
que
permitan
probar
el
sistema.
Estas
simulaciones pasan por una revisin que da fe del desempeo de las polticas
de seguridad, y que ayuda a modificar las bases del anlisis, as como el
programa, plan y las normativas de seguridad.
Aunque no todas las empresas son conscientes de los riesgos que corren al no
tener PSI en su organizacin, algunas gastan gran cantidad de tiempo y
esfuerzo
definindolas,
convenciendo
los
altos
mandos
(labor
seguridad manejan. Hacen poco entendible las normas, por la que los
empleados las ignoran y siguen actuando de manera convencional.
Esta estratificacin es muy importante porque define los lmites de las personas
encargadas de cada uno de los temas concernientes a la seguridad. Ambos
estratos deben ser independientes y nunca una persona encargada de un
estrato puede intervenir o administrar el otro. En cada estrato debe haber una
definicin de funciones y una separacin suficiente de tareas. En este caso, en
el estrato tcnico - administrativo por ejemplo, pueden existir coordinadores en
Riesgos en la organizacin
En definitiva, las amenazas pueden llegar a afectar los datos, las personas, los
equipos, los programas, o en un caso extremo, a todos de ellos (desastres
10
Ahora, aunque el umbral de riesgo es escogido por los altos mandos para la
configuracin de las PSI, existen unos niveles de trabajo con la informacin que
no pueden ser ignorados, y que deben aplicarse en todo momento para
proteger la informacin. Estos niveles de ri se vern a continuacin.
11
12
trabas, por un largo perodo de tiempo, diremos que hemos creado un sistema
seguro.
13
Con este trmino claramente definido, procedemos a explicar cada una de las
vulnerabilidades, teniendo en cuenta que cualquier accin que se lleve a cabo
para mantener estable el modelo, tiene como objetivo atacar uno de los 4
casos.
Todas las acciones correctivas que se lleven a cabo con el fin de respetar el
modelo estarn orientadas a atacar uno de los cuatro casos. Explicaremos y
daremos ejemplos de cada uno de ellos.
Por ejemplo:
14
15
Una vez que estamos enterados de que hay slo cuatro posibles casos de
causas posibles de problemas, Qu se hace? Hay que identificar los recursos
dentro de la organizacin.
16
El umbral de riesgo que puede aceptar una organizacin debe tener una forma
cuantificable para ser medida, que permita identificar de quien se protege el
recurso, cual es el recurso a proteger, y cmo debe protegerse. Nunca ser
igual de prioritario proteger una impresora de la empresa, que la base de datos
de clientes de la misma. Cmo generamos una valoracin apropiada entonces
de estos elementos? Usando 2 criterios:
17
WRi = Ri * Wi
Ejemplo prctico
Router:
R1 = 6, W1 = 7
Bridge:
R2 = 6, W2 = 3
18
Servidor:
R3 = 10, W3 = 10
Router:
WR1 = R1 * W1 = 6 * 7 = 42
Bridge:
WR2 = R2 * W2 = 6 * 3 = 1.8
Servidor:
WR3 = R3 * W3 = 10 * 10 = 100
Por los puntajes es evidente que el servidor es aquel elemento con mayor
riesgo, y el que debe protegerse de manera prioritaria. Con este dato
procederamos a buscar soluciones para proteger nuestro servidor de
amenazas externas.
19
Este anlisis debe hacerse para todos los elementos de la organizacin, sin
importar que tan superficial u obvio sea, que pueda incidir en la seguridad de la
organizacin y que pueda ser vulnerado. Cules son estos recursos?
Podemos reunirlos en 6 grupos principales:
Personas: los usuarios y las personas que operan los sistemas. Las
personas siempre sern el primer bloque de importancia de una
organizacin.
Documentacin:
toda
la
informacin
usada
para
aprender
el
Este punto de los usuarios es muy importante. Para definir lo que cada uno de
los usuarios puede hacer en el sistema se realizan un conjunto de listas en las
que se engloban, en grupos de trabajo, aquellos que pueden acceder a
determinado recurso y los privilegios de acceso. Un ejemplo de esta tabla es la
siguiente:
20
hacer parte de una agenda, en la que se consignan las actividades que deben
llevarse a cabo y con la regularidad que se requiera. La agenda de checklist,
como veremos ms adelante, es un procedimiento.
Chequeos:
Diarios:
-
Semanal
-
21
Mensual
-
Qu
es
para
que
deseamos
un
procedimiento
en
nuestra
organizacin?
22
Nombre y apellido
Puesto de trabajo
Tipo de cuenta
Fecha de caducidad
Permisos de trabajo
Etc.
23
24
tomados
peridicamente de la informacin
CheckList
25
26
27