Administracin de Redes 1 Elabor: Ing. Ma.

Eugenia Macas Ros

Qu es una poltica de seguridad?

Una poltica de seguridad es un conjunto de pautas establecidas para proteger a los recursos de la red de los ataques, ya sean desde el interior o desde el exterior de una empresa. Para elaborar una poltica se debe comenzar por formular preguntas. De qu manera la red ayuda a la organizacin a lograr su visin, su misin y su plan estratgico? Cules son las implicaciones que tienen los requisitos de la empresa en la seguridad de la red y de qu manera esos requisitos se traducen en la compra de equipos especializados y en las configuraciones que se cargan en los dispositivos? Una poltica de seguridad favorece a una organizacin de las siguientes maneras: Proporciona un medio para auditar la seguridad actual de la red y compara los requisitos con lo que se encuentra instalado. Planifica mejoras de seguridad, incluidos equipos, software y procedimientos. Define las funciones y las responsabilidades de los ejecutivos, administradores y usuarios de la empresa. Define qu comportamientos estn permitidos y cules no. Define un proceso para manejar los incidentes de seguridad de la red Permite la implementacin y el cumplimiento de la seguridad global al funcionar como norma entre los sitios. Crea una base para fundar acciones legales, en caso de ser necesario. Funciones de una poltica de seguridad

La poltica de seguridad es para todos, incluso para los empleados, contratistas, proveedores y clientes que tienen acceso a la red. Sin embargo, debe tratar a cada uno de estos grupos de manera diferente. A cada grupo slo se le debe mostrar la parte de la poltica correspondiente a su trabajo y a su nivel de acceso a la red. Por ejemplo, no siempre es necesario dar una explicacin de por qu se hace algo. Puede suponer que el personal tcnico ya sabe por qu se incluye un requisito particular. Es probable que los directivos no estn interesados en los aspectos tcnicos de un requisito particular; ellos pueden querer slo una descripcin general de alto nivel o el principio en el cual se basa el requisito. Sin embargo, cuando los usuarios finales conocen la razn por la que se incluy un control particular de seguridad, es ms probable que respeten la poltica. Por lo tanto, seguramente un documento no va a satisfacer las necesidades de toda la audiencia de una organizacin grande. Componentes de una poltica de seguridad El Instituto SANS (http://www.sans.org) proporciona pautas desarrolladas con la colaboracin de una cantidad de empresas lderes de la industria, incluida Cisco, para desarrollar polticas de seguridad integrales para pequeas y grandes organizaciones. No todas las organizaciones necesitan todas estas polticas. A continuacin, se describen las polticas de seguridad generales que pueden ser invocadas por una organizacin: Declaracin de autoridad y alcance: define qu persona dentro de la organizacin propone la poltica de seguridad, quin es responsable de implementarla y qu reas estn contempladas por la poltica. Poltica de uso aceptable (AUP): define el uso aceptable de los equipos y servicios informticos y las medidas de seguridad de los empleados adecuadas para proteger los recursos corporativos y la informacin confidencial de la organizacin.

Una poltica de seguridad integral cumple las siguientes funciones esenciales: Protege a las personas y a la informacin Establece las normas de comportamiento esperado de los usuarios, de los administradores de sistemas, de la direccin y del personal de seguridad Autoriza al personal de seguridad a realizar controles, sondeos e investigaciones Define y autoriza las consecuencias de las violaciones

Administracin de Redes 2 Elabor: Ing. Ma. Eugenia Macas Ros Poltica de identificacin y autenticacin: define qu tecnologas usa la empresa para garantizar que slo el personal autorizado obtenga acceso a sus datos. Poltica de acceso a Internet: define qu es lo que la empresa tolera y lo que no tolera con respecto al uso de su conectividad a Internet por parte de empleados e invitados. Poltica de acceso al campus: define el uso aceptable de los recursos tecnolgicos del campus por parte de los empleados y de los invitados. Procedimiento para el manejo de incidentes: especifica quin responde ante incidentes de seguridad y cmo se deben manejar. Adems de estas secciones clave de polticas de seguridad, otras que pueden ser necesarias en determinadas organizaciones incluyen: Poltica de solicitud de acceso a las cuentas: formaliza el proceso de solicitud de cuentas y de acceso dentro de la organizacin. Los usuarios y los administradores de sistemas que no cumplen los procesos estndar de solicitudes de cuentas y de acceso pueden dar lugar al inicio de acciones legales contra la organizacin. Poltica de evaluacin de adquisiciones: define las responsabilidades respecto de las adquisiciones de la empresa y los requisitos mnimos de las evaluaciones de adquisiciones que el grupo de seguridad de la informacin debe llevar a cabo. Poltica de auditora: define las polticas de auditora para garantizar la integridad de la informacin y de los recursos. Incluye un proceso para investigar incidentes, garantizar el cumplimiento de las polticas de seguridad y controlar la actividad de los usuarios y del sistema donde corresponda. Poltica de confidencialidad de la informacin: define los requisitos necesarios para clasificar y asegurar la informacin de la manera correspondiente en cuanto a su nivel de confidencialidad. Poltica de contraseas: define las normas para crear, proteger y modificar contraseas slidas. Poltica de evaluacin de riesgos: define los requisitos y otorga la facultad al equipo de seguridad de la informacin a identificar, evaluar y subsanar riesgos de la infraestructura de la informacin asociados con la conduccin de los negocios. Poltica global de servidores Web: define las normas exigidas por todos los hosts Web. Con el uso generalizado del correo electrnico, es posible que una organizacin tambin desee tener polticas especficamente relacionadas con el correo electrnico, como: Poltica de correos electrnicos enviados automticamente: documenta la poltica que restringe el envo automtico de correos electrnicos a un destino externo sin aprobacin previa del gerente o director que corresponda. Poltica de correo electrnico: define las normas relativas al contenido a fin de impedir que se manche la imagen pblica de la organizacin. Poltica de spam: define cmo denunciar y tratar el spam. Las polticas de acceso remoto podran incluir: Poltica de acceso telefnico: define el acceso telefnico adecuado y su uso por personal autorizado. Poltica de acceso remoto: define las normas para conectarse a la red de la organizacin desde cualquier host o red externos a la organizacin. Poltica de seguridad de las VPN: define los requisitos de las conexiones de las VPN a la red de la organizacin. Debe observarse que los usuarios que desafan o infringen las reglas de una poltica de seguridad pueden ser sometidos a medidas disciplinarias, que incluyen la rescisin del contrato de trabajo. Referencias: Exploration 4, del Programa de Cisco Networking Academy