DEF PowerData - 10 Políticas de Seguridad Sobre La Información PDF

Las 10 Polticas de Seguridad sobre la Informacin que toda Empresa debe considerar
Las 10 Polticas de Seguridad sobre la Informacin que toda empresa debe considerar
Twitter LinkedIn
Tabla de contenidos
Introduccin 1. Marco regulador 2. Gestin del riesgo 3. Auditora de sistemas 4. Clasificacin y manejo de informacin 5. Excepciones de responsabilidad y capacitacin usuaria 6. Control de accesos de terceros 7. Control y administracin de acceso a las aplicaciones (autenticacin usuarios) 8. Control de copias de informacin (reas de desarrollo y pruebas) 9. Monitoreo de acceso y uso de sistemas 10. Seguridad en el manejo de los medios de almacenamiento
Twitter LinkedIn
Introduccin
A lo largo de las pginas de este Ebook se presentan diez aspectos que toda empresa debera tener en cuenta al manejar informacin sensible. Cada uno de ellos tiene su reflejo en una poltica que, al implementarse, solucionara los riesgos de filtraciones o uso indebido de esos datos. La proteccin de dichos niveles de informacin es responsabilidad de cada organizacin y por ello estas polticas de seguridad tienen como objetivo: Prevenir denuncias y sanciones. Evitar cobros adicionales. Proteger a la empresa frente a daos que podran afectar a su buena imagen. Prevenir el menoscabo del prestigio de la organizacin.
Para cada empresa existe un significado diferente del concepto de informacin sensible, por eso el primer paso es descubrir cules son esos datos que deben ser protegidos, para poder aplicar las polticas de seguridad de la informacin sensible que le ayudarn a conseguir su objetivo. Todas las propuestas que se presentan en este Ebook estn basadas en la experiencia y de ah su carcter eminentemente prctico y la sencillez que conlleva su aplicacin, nica garanta de actuar con la cautela necesaria en el da a da empresarial.
Twitter LinkedIn
1. Marco regulador
La proteccin de la informacin sensible de una empresa se desarrolla en el mbito de un marco regulador que es el que establece los lmites. En concreto, se trata de un conjunto de reglas conocidas por todos y basadas en los principios de: Publicidad: todo el personal interno, as como los miembros de contratas externas que desarrollen actividades profesionales en la empresa deben tener acceso a estas normas. Equidad: en su aplicacin y en la imposicin de medidas correctoras y/o sancionadoras, independientemente del rango o perfil profesional de quien hubiese vulnerado las reglas establecidas y cometido, por tanto una infraccin de la normativa.
Bases del marco regulador de la empresa

Este marco regulador es solamente uno, pero proviene de tres fuentes diferentes que se complementan: Normativa interna : que debe ser asumidas por todo el personal laboral y subcontratistas. Los actos que vayan contra cualquiera de las reglas all contenidas sern sancionados. El objetivo de esta normativa es proteger a los clientes y velar por el buen hacer de la empresa como conjunto, pero basndose en la responsabilidad individual de cada persona. Leyes de proteccin a la informacin privada : cada pas cuenta con legislacin aplicable en esta materia. Por ejemplo en Espaa es la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y en especialmente de su honor e intimidad personal y familiar. Reglas aplicables a las contrataciones externas: todas las normas de aplicacin al personal interno (personal laboral) tambin se hacen extensibles a todos los subcontratistas que
Twitter LinkedIn
desarrollen su actividad en la empresa o empleando medios pertenecientes a ella. Toda empresa ha de ser capaz de sintetizar la legislacin vigente de aplicacin en su pas, adaptndola y completndola con aquellas normas ms especficas que, basndose en su actividad profesional, garantizan la proteccin de la informacin calificada como sensible.
Twitter LinkedIn
2. Gestin del riesgo

Toda empresa cuenta, o al menos debera contar, con un rea de gestin del riesgo. Este equipo debe ser capaz de: Determinar, Analizar, Valorar y Clasificar el riesgo en la seguridad informtica. Una vez procesada esa informacin se podr conocer con certeza cules son esos datos cuya vulneracin provocara un mayor impacto. Conocer y poder acotar ese rea de informacin es la nica forma de poder llevar un control sobre ella, y para lograrlo es necesario: Implementar mecanismos de control de la informacin: eligiendo el mtodo adecuado segn las necesidades reales de la empresa. Gestionar esos mecanismos: apoyndose en una regulacin, como es el marco normativo que se detallaba en el punto anterior; ya que slo as se puede acotar el riesgo y tenerlo bajo control, evitando fugas.
La gestin del riesgo en el tiempo

Hay que tener en cuenta que la gestin del riesgo no debe plantearse como una accin puntual, sino como un proceso que requiere adaptabilidad para garantizar la correccin de conductas que puedan poner en peligro la integridad de los datos y, al mismo tiempo, la imagen de la compaa, tanto de cara al exterior como frente al cliente interno. En definitiva, el propsito de un rea de control de riesgo es, no slo identificar y tratar la informacin, sino tambin hacer los ajustes convenientes para facilitar la toma de decisiones en este sentido. Y no hay que confundir su misin con la de seguridad informtica, que es responsabilidad del Departamento de Informtica, aunque ambas estn ntimamente relacionadas; ya que mientras que estos ltimos protegen la estructura de la informacin y lo hacen mediante antivirus, firewalls, etc., el rea de control de riesgo por lo que vela es por la integridad del contenido, de los datos en s.
Twitter LinkedIn
3. Auditora de sistemas
La auditora de sistemas tiene mucho que ver con la gestin del riesgo, ya que en ella encuentra su razn de ser. Para poder auditarlos hay que apoyarse en dos pasos: Identificar cules son los sistemas crticos de la empresa, conocer cules de ellos podran realmente perjudicar a la empresa caso de ser vulnerados. Slo sabiendo los que son se les pueden aplicar los sistemas de proteccin de la informacin. Determinar si los sistemas mantienen la integridad de los datos y si cumplen con las regulaciones establecidas, es decir, averiguar si la seguridad de esa informacin est garantizada, si se han sentado las bases para ello.
La auditora de sistemas en la prctica

A la hora de llevar a la prctica la auditora de sistemas es importante recordar que cada sistema tiene su propia identidad y, por tanto, su propia manera de gestionar los datos. El marco normativo establecido debe adecuarse a las distintas facetas, para asegurar una proteccin eficaz en vez de alejarse de esos parmetros en el transcurso de la rutina diaria. La auditora de sistemas funciona como un escner, es la herramienta que la empresa necesita para conocer el sistema y la nica que permite detectar su comportamiento y el de cada persona que interacta con l. Esta poltica contribuye a: Mejorar la confianza en los usuarios internos. Facilitar una previsin y una visin de conjunto del sistema. Optimizar el trabajo de las reas de riesgo
Twitter LinkedIn
4. Clasificacin y manejo de informacin

Con la aplicacin de la poltica de clasificacin y manejo de la informacin se busca profundizar un poco ms en los sistemas, una vez que ya se ha logrado un cierto nivel de conocimiento de los mismos. En esta etapa se deben tener los datos suficientes que permitan saber: Cules son los sistemas crticos. Cmo se regula cada uno de ellos. Cmo se comporta cada uno de estos sistemas.
Por qu es necesario hacer este tratamiento de la informacin

Este volumen de informacin, fiel reflejo de los datos con los que trabaja el personal en el sistema, debe ser procesado, de ah la necesidad de: Conocer el peligro: la nica manera de saber a qu debe enfrentarse la empresa en cada caso. Clasificarlo en la medida de lo posible: para saber cules son los sistemas y las reas prioritarias, aqullos que contienen la informacin sensible. Protegerse frente a l : garantizando la integridad de la informacin sensible de distintas maneras, a travs del establecimiento de las medidas oportunas. El objetivo de clasificar y manejar la informacin tiene que ver con conocer cul es realmente la informacin sensible para la organizacin, la forma ms segura de dar proteccin a los datos contenidos bajo esa denominacin. La mayora de las empresas van a diferir en lo que para cada una de ellas significa informacin sensible, aunque cada cual sabe lo que ese trmino significa en su caso particular si ha hecho un anlisis correcto.
5. Excepciones de responsabilidad y
8
Twitter LinkedIn
capacitacin usuaria
En todas las empresas se puede determinar un rea sobre la que recaiga una excepcin, y tambin en materia de seguridad de sistemas. En esos casos no es necesario ser tan estricto, por lo que la empresa se puede permitir el actuar de una manera un poco ms flexible. La existencia de este tipo de excepciones implica que tambin hay otras reas que s tienen un carcter ms comprometido, dada la configuracin de los contenidos sobre los que trabajan.
La importancia de la publicidad interna del sistema

El objetivo de esta poltica de seguridad es dar a conocer a los trabajadores o clientes, internos y externos, el marco normativo, de forma que en l quede muy bien definido el carcter de cada sistema. As: Estipular que la empresa no se hace responsable por los posibles daos causados por sus empleados a la informacin, en los casos en que stos falten a las normas o no las respeten. Porque siempre hay aspectos que se escapan del alcance de la organizacin y, por tanto, quedan excluidos de la regulacin aunque s podran acarrear consecuencias para la empresa si no se protege. Establecer control y sanciones. Hay que tener algn tipo de control y afianzarlo son el establecimiento de sanciones que ayuden a la empresa a protegerse en caso de que pierda control sobre la seguridad de la informacin. La informacin manipulada es propiedad exclusiva de la empresa. Las empresas deben ser capaces de poner por escrito en su poltica de seguridad que la informacin manipulada por los trabajadores durante su actividad diaria normal es de propiedad exclusiva de la empresa. Para ello puede emplearse un contrato de confidencialidad o incluso crearse un apartado especfico que defina este principio en el mismo contrato laboral que se hace a cada trabajador de la empresa. Promover las capacitaciones, para evitar negligencias por parte del personal. Es responsabilidad de la empresa el formar e informar a los trabajadores, dndoles acceso al conocimiento de la normativa y de las consecuencias de su incumplimiento. Esta capacitacin
Twitter LinkedIn
tendra carcter previo mientras que las medidas de control o las sanciones en su caso, seran de aplicacin posterior.
10
Twitter LinkedIn
6. Control de accesos de terceros

El control de acceso a terceros es importante porque la mayora de los estudios reflejan que generalmente las filtraciones se producen tanto por el personal interno, como por parte del personal que, pese a realizar sus trabajos en el mbito de la empresa, est contratado por una empresa tercera. Por esto mismo es necesario planear las medidas de control que habr que implantar, para poder actuar con seguridad a la hora de dar acceso a la informacin a aquellas empresas con las que se tiene una relacin mercantil y que pueden ser subcontratas, pero tambin puede tratarse de clientes, socios, etc. En definitiva, podra englobarse en este trmino "terceros" a todas las entidades que no son parte de la empresa como tal, y que por tanto no se acogen al marco normativo interno, pero que tienen y pueden tener un nivel de acceso a los datos sensibles que entraa algn tipo de riesgo para la empresa.
Medidas de control para evitar filtraciones por parte de terceros

Las medidas de control que se proponen son las siguientes: Establecer los canales de gestin que se consideren convenientes. El objetivo es conocer con antelacin los datos que van a ser requeridos para realizar un trabajo. A travs de un formulario de solicitud se pedira el acceso, que quedara de esta manera registrado. Garantizar el acceso s, pero slo si est autenticado y controlado. Una vez que se aprueba la solicitud de acceso se entrega un nombre de usuario y una contrasea, personal e intransferible, as se est obteniendo un acceso autenticado y controlado. Esta solucin es fcil de implementar con la eleccin de software adecuada. Implantar mecanismos que eviten el acceso a datos o recursos con derechos distintos a los autorizados. Se trata de proteger la transferencia de cdigos de acceso, tanto de unos trabajadores en activo a otros, como por parte de empresas subcontratistas que han interactuado con la organizacin, requiriendo acceso a datos, de manera puntual. Para lograrlo es importante no slo llevar un registro, sino tambin un control de las autorizaciones emitidas y de los sujetos sobre los que stas recaen. El objetivo de tener controlado el acceso de terceros busca poseer todo el control de la informacin con la que esa empresa est trabajando de manera que se pueda, por una parte, restringir su acceso a otras reas de informacin, y por otra limitar la disponibilidad de esa informacin en el tiempo.
11
Twitter LinkedIn
7. Control y administracin de acceso a las aplicaciones (autenticacin usuarios)

Para poder controlar de manera efectiva el acceso tanto de terceros como de personal de la empresa, personal interno a las diferentes aplicaciones, es necesario basarse en algn tipo de rol, entendido como una suerte de privilegio personal, que se pueda atribuir a un determinado individuo y correspondiente a un rea determinada. Esta forma de gestionar los accesos permitir que cada persona pueda ver diferente informacin, pero slo la que necesita, mientras que la empresa podr ser capaz de controlar todos los accesos en funcin del nivel de visibilidad que se atribuye a cada tipo de rol o de perfil.
Cmo implementar esta poltica

Llevada a la prctica, esta poltica de seguridad supondra: Establecer los rangos de acceso en funcin de cada perfil. Implementar la solucin que controle el acceso entre los aplicativos de negocio y los datos sensibles. A la hora de seleccionar el software hay que tener en cuenta que, se elija el que se elija, debe ser capaz de aplicar el mismo sistema de control de la informacin que se ha establecido. Este control ha de ejercer un papel de intermediario entre el aplicativo de negocio y las bases de datos donde se almacena la informacin sensible. Desplegar la informacin en base a roles y perfiles, los cuales dependern a su vez de las funciones que les sean asignadas a cada uno. De esta manera cada uno de los roles o perfiles ir ligado a la definicin de las caractersticas de ese tipo de usuario, que son las que dan la clave para obtener un determinado nivel de acceso u otro. La aplicacin de esta poltica de seguridad permite a la empresa ser capaz de controlar y administrar los accesos de aplicaciones lo que le confiere una mayor seguridad y una mayor confiabilidad, al tener
12
Twitter LinkedIn
la certeza de que los datos con los que estn trabajando sus empleados no van a ser filtrados. Para lograr un resultado ptimo ser necesario emplear tecnologa asociada que, aunque suponga un coste, se ver recompensado en satisfaccin de clientes, imagen que se proyecta hacia el exterior y el interior y beneficios econmicos que todo ello le reportar.
13
Twitter LinkedIn
8. Control de copias de informacin (reas de desarrollo y pruebas)

El rea de desarrollo y pruebas es un rea delicada que existe en casi todas las empresas, ya sea en plantilla o de forma externalizada. Para poder llevar a cabo las acciones de desarrollo de software es necesario proveer a este Departamento de informacin susceptible de ser testeada y es aqu donde reside el riesgo para la integridad de la informacin sensible. Mediante este tipo de poltica de seguridad se busca que, apoyndose en las tecnologas que sean necesarias, esos datos proporcionados estn protegidos en todo momento, y de esa forma lo estn tambin la empresa y sus clientes.
Pasos a seguir para tener controladas las copias de informacin

La forma de hacerlo es mediante las siguientes actuaciones: Crear ambientes de desarrollo y test que garanticen la proteccin de datos por medio de tcnicas de enmascarado y restriccin de acceso. Por ejemplo, proporcionando al Departamento de Desarrollo informacin que no sea veraz sino enmascarada, cambiando algunos datos por otros de forma que, aunque puedan probar que los sistemas funcionan, no se les est entregando ninguno de los datos sensibles del negocio. Asegurar que la proteccin garantiza la confidencialidad, integridad y disponibilidad de los datos. Esta medida implica que aunque los datos que se proporcionen para los tests no sean verdicos, s que deben conservar la estructura original del sistema, ya que en base a esa fidelidad de forma se podrn llevar a cabo las acciones necesarias para desarrollar una nueva herramienta/aplicacin /producto o las pruebas que ello conlleve.
14
Twitter LinkedIn
9. Monitoreo de acceso y uso de sistemas

La eficacia en la proteccin de datos pasa por la monitorizacin del acceso y el uso que se da a los sistemas, pero tambin de la poltica que se ha implantado para conseguirlo. Este seguimiento permite saber si realmente esa poltica est funcionando o si, por el contrario, es necesario adaptarla a nuevas circunstancias. Para ello hay que averiguar si el software o la solucin a nivel de sistema que se estn utilizando son tiles de verdad.
Cmo lograr un control continuo sobre el sistema

Visualizar toda la informacin de esta manera permite llevar un control continuo que posibilita reaccionar a tiempo cuando se observa que algn tem est evolucionando en una direccin que no es la correcta. Para ello es necesario: Registrar y archivar toda la actividad: qu accesos se han habilitado y a quin, a qu datos corresponden, etc. Monitorear y evaluar las polticas que se han implantado: llevando a cabo un control continuo de cumplimiento, funcionalidad y adaptacin peridica.
15
Twitter LinkedIn
10. Seguridad en el manejo de los medios de almacenamiento

La poltica de seguridad en el manejo de los medios de almacenamiento sienta las bases necesarias para proteger toda esa informacin susceptible de ser vulnerada y filtrada a travs de dispositivos externos. Muchas empresas no tienen en cuenta esta poltica porque es habitual que se suela prescindir de incluirla en un procedimiento como tal, convirtindose en una va de escape fuera de control.
Cmo proteger la informacin vulnerable frente a dispositivos externos

Para evitar que esto suceda, es recomendable: Aplicar medidas de proteccin a copias de respaldos en lugares fsicos diferentes, tales como encriptacin y archivado de datos. Establecer y controlar, restringiendo si fuese necesario, el uso de dispositivos personales, tales como discos externos o memorias USB, entre otros, por parte del personal. Bloquear determinados hardwares, mediante sistemas de reconocimiento de usuario; o utilizar softwares que permitan saber si hay algn empleado que se est tratando de filtrar informacin a travs de medios como el email o tecnologas como Skype, por ejemplo.
16
Twitter LinkedIn

DEF PowerData - 10 Políticas de Seguridad Sobre La Información PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

DEF PowerData - 10 Políticas de Seguridad Sobre La Información PDF

Cargado por

Copyright:

Formatos disponibles

Las 10 Polticas de Seguridad sobre la Informacin que toda Empresa debe considerar

Bases del marco regulador de la empresa

2. Gestin del riesgo

La gestin del riesgo en el tiempo

La auditora de sistemas en la prctica

4. Clasificacin y manejo de informacin

Por qu es necesario hacer este tratamiento de la informacin

La importancia de la publicidad interna del sistema

6. Control de accesos de terceros

Medidas de control para evitar filtraciones por parte de terceros

7. Control y administracin de acceso a las aplicaciones (autenticacin usuarios)

Cmo implementar esta poltica

8. Control de copias de informacin (reas de desarrollo y pruebas)

Pasos a seguir para tener controladas las copias de informacin

9. Monitoreo de acceso y uso de sistemas

Cmo lograr un control continuo sobre el sistema

10. Seguridad en el manejo de los medios de almacenamiento

Cmo proteger la informacin vulnerable frente a dispositivos externos

También podría gustarte