Las polticas son una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organizacin, tambin describen cmo se debe tratar un determinado problema o situacin. Este documento est dirigido principalmente al personal interno de la organizacin, aunque hay casos en que tambin personas externas quedan sujetas al alcance de las polticas.
Por simples qeu parezcan, las polticas de seguridad pueden evitar desastres mayores Las polticas pueden considerarse como un conjunto de leyes obligatorias propias de una organizacin, y son dirigidas a un pblico mayor que las normas pues las polticas proporcionan las instrucciones generales, mientras que las normas indican requisitos tcnicos especficos. Las normas, por ejemplo, definiran la cantidad de bits de la llave secreta que se requieren en un algoritmo de cifrado. Por otro lado, las polticas simplemente definiran la necesidad de utilizar un proceso de cifrado autorizado cuando se enve informacin confidencial a travs de redes pblicas, tales como Internet. Entrando al tema de seguridad informtica, una poltica de seguridad es un conjunto de reglas y prcticas que regulan la manera en que se deben dirigir, proteger y distribuir los recursos en una organizacin para llevar a cabo los objetivos de seguridad informtica de la misma.
4.1.1 Objetivo de una poltica de seguridad El objetivo de una poltica de seguridad informtica es la de implantar una serie de leyes, normas, estndares y prcticas que garanticen la seguridad, confidencialidad y disponibilidad de la informacin, y a su vez puedan ser entendidas y ejecutadas por todos aquellos miembros de la organizacin a las que van dirigidos.
4.1.2 Misin, visin y objetivos de la organizacin La misin, visin y objetivos varan mucho de una organizacin a otra, esto es normal si se considera que una organizacin es diferente de otra en sus actividades y en el conjunto de elementos que la conforman (Elementos humanos, recursos materiales, infraestructura). De manera rpida se definirn los conceptos de misin, visin y organizacin. Misin Una misma organizacin puede tener varias misiones, que son las actividades objetivas y concretas que realiza. Las misiones tambin pretenden cubrir las necesidades de la organizacin. La misin es influenciada en momentos concretos por algunos elementos como: la historia de la organizacin, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas Visin Es la imagen idealizada de lo que se quiere crear. Tal idea debe estar bien definida, pues todas las actividades de la organizacin estarn enfocadas a alcanzar esta visin. Objetivos Son actividades especficas enfocadas a cumplir metas reales, alcanzables y accesibles. Se puede decir que un objetivo es el resultado que se espera logrra al final de cada operacin. As, se vuelve importante considerar la misin, la visin y el objetivo de ser de la empresa, a fin de realizar un estudio que con base en stas permita identificar el conjunto de polticas de seguridad informtica que garantice la seguridad, confidencialidad y disponibilidad de la informacin.
4.1.3 Principios fundamentales de las polticas de seguridad Son las ideas principales a partir de las cuales son diseadas las polticas de seguridad. Los principios fundamentales son: responsabilidad individual, autorizacin, mnimo privilegio, separacin de obligaciones, auditora y redundancia.
4.1.3.1 Responsabilidad individual Este principio dice que cada elemento humano dentro de la organizacin es responsable de cada uno de sus actos, aun si tiene o no conciencia de las consecuencias.
4.1.3.2 Autorizacin Son las reglas explcitas acerca de quin y de qu manera puede utilizar los recursos.
4.1.3.3 Mnimo privilegio Este principio indica que cada miembro debe estar autorizado a utilizar nicamente los recursos necesarios para llevar a cabo su trabajo. Adems de ser una medida de seguridad, tambin facilita el soporte y mantenimiento de los sistemas.
4.1.3.4 Separacin de obligaciones Las funciones deben estar divididas entre las diferentes personas relacionadas a la misma actividad o funcin, con el fin de que ninguna persona cometa un fraude o ataque sin ser detectado. Este principio junto con el de mnimo privilegio reducen la posibilidad de ataques a la seguridad, pues los usuarios slo pueden hacer uso de los recursos relacionados con sus actividades, adems de que facilita el monitoreo y vigilancia de usuarios, permitiendo registrar y examinar sus acciones.
4.1.3.5 Auditora Todas las actividades, sus resultados, gente involucrada en ellos y los recursos requeridos, deben ser monitoreados desde el inicio y hasta despus de ser terminado el proceso. Adems es importante considerar que una auditora informtica busca verificar que las actividades que se realizan as como las herramientas instaladas y su configuracin son acordes al esquema de seguridad informtica realizado y si ste es conveniente a la seguridad requerida por la empresa.
4.1.3.6 Redundancia Trata entre otos aspectos sobre las copias de seguridad de la informacin, las cuales deben ser creadas mltiples veces en lapsos de tiempos frecuentes y almacenados en lugares distintos. Sin embargo, la redundancia como su nombre lo indica, busca duplicar y en este sentido se puede decir que a travs de los respaldos se duplica informacin, y lo mismo se puede realizar en diferentes aspectos, como por ejemplo: en cuanto a energa elctrica, una planta de luz para garantizar que opere en casos de emergencia, servidores de datos que entren en operacin cuando el primario sufra una avera, etctera, de manera tal que la redundancia se considera en aquellos casos o servicios que se vuelven imprescindibles para la empresa y que no pueden suprimirse pase lo que pase.
Mulpiles respaldos de la misma informacin es un ejemplo de cmo la redundancia es benfica
4.1.4 Polticas para la confidencialidad Desde el primer captulo de esta investigacin, se ha mencionado la necesidad de mantener el control sobre quin puede tener acceso a la informacin (ya sea a los documentos escritos o a los medios electrnicos) pues no siempre queremos que la informacin est disponible para todo aquel que quiera obtenerla. Por ello existen las polticas de confidencialidad, encargadas de establecer la relacin entre la clasificacin del documento y el cargo (nivel jerrquico dentro de la organizacin) que una persona requiere para poder acceder a tal informacin.
4.1.5 Polticas para la integridad La poltica de integridad est orientada principalmente a preservar la integridad antes que la confidencialidad, esto se ha dado principalmente porque en muchas de las aplicaciones comerciales del mundo real es ms importante mantener la integridad de los datos pues se usan para la aplicacin de actividades automatizadas an cuando en otros ambientes no es as, como en los mbitos gubernamental o militar.
4.1.6 Modelos de Seguridad: abstracto, concreto, de control de acceso y de flujo de informacin Un modelo de seguridad es la presentacin formal de una poltica de seguridad ejecutada por el sistema. El modelo debe identificar el conjunto de reglas y prcticas que regulan cmo un sistema maneja, protege y distribuye la informacin. Los modelos de seguridad pueden ser de dos tipo, abstracto y concreto:
Modelo Abstracto Se ocupa de las entidades abstractas como sujetos y objetos.
Modelo Concreto Traduce las entidades abstractas a entidades de un sistema real como procesos y archivos. Tambin pueden clasificarse como modelos de control de acceso y modelos de flujo de informacin.
Modelos de control de acceso Identifican las reglas necesarias para que un sistema lleve a cabo el proceso que asegura que todo acceso a los recursos, sea un acceso autorizado, en otras palabras, se enfoca a la proteccin, administracin y monitoreo de los procedimientos de acceso a la informacin. Estos modelos refuerzan el principio fundamental de seguridad de autorizacin, ya que ste protege tanto a la confidencialidad como a la integridad.
Modelos de flujo de informacin Una meta de las polticas de seguridad es proteger la informacin. Los modelos de control de acceso se aproximan a dicha meta indirectamente, sin relacionarse con la informacin pero s con objetos (tales como archivos) que contienen informacin. Estos modelos se enfocan a proteger los objetos con los que se trabajan en el sistema una vez que se han superado los procesos de control de acceso.
4.1.7 Desarrollo de polticas orientadas a servicios de seguridad Las polticas de seguridad son un conjunto de normas y procedimientos que tienen por objetivo garantizar la seguridad en cada proceso en los que estn involucrados. Esto es aplicable a todos los procesos llevados a cabo en una organizacin, incluso los servicios de seguridad (Confidencialidad, autenticacin, integridad, no repudio, control de acceso, disponibilidad) son diseados con base en estos documentos.
4.1.8 Publicacin y Difusin de las Polticas de Seguridad Como todos los documentos creados por una organizacin, se debe decidir correctamente hacia qu grupos van dirigidas las polticas de seguridad, por qu medios se van a dar a conocer, si se desea que otros grupos puedan conocer su contenido. El objetivo principal de la publicacin y difusin es que el grupo objetivo entienda en qu consisten las polticas y se cree conciencia sobre su importancia a travs de plticas y talleres para tal fin.
4.2 Procedimientos y Planes de Contingencia Solo cuando una organizacin toma conciencia de lo importante que es la seguridad de sus recursos incluyendo sus tecnologas de la informacin, es cuando empieza a disear y establecer medidas de seguridad que tienen por objetivo protegerla de diversas situaciones perjudiciales. Aunque prevenir stos desastres es de vital importancia, tampoco se puede descuidar la casi inevitable eventualidad de que sucedan, para ello tambin se necesita formular y establecer una serie de procedimientos que permitan enfrentar los problemas y posteriormente restaurar las condiciones normales de operacin del rea afectada.
4.2.1 Procedimientos Preventivos Contempla todos los procedimientos antes de que se materialice una amenaza, su finalidad es evitar dicha materializacin. Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que realiza la organizacin, los recursos que tiene disponibles, que es lo que quiere proteger, las instalaciones en que labore y la tecnologa que use. Las actividades que se realizan en este punto son las siguientes: -Copias de seguridad de las bases de datos y otros tipos de documentos con informacin indispensable para la organizacin -Instalacin de dispositivos de seguridad tales como cerraduras, alarmas, puertas electrnicas, cmaras de seguridad, software de proteccin para los equipos de cmputo, entre otros. -Inspeccionar y llevar un registro constante del funcionamiento y estado de los recursos informticos, la infraestructura y las condiciones del edificio. -Instauracin de servicios de seguridad, como lneas telefnicas de emergencia, extintores, construccin de rutas de emergencia (Entrada y salida), plantas elctricas de emergencia, etc. -Establecer un centro de servicio alternativo que cuente con los recursos necesarios para continuar las operaciones de la organizacin hasta el momento en que el centro de trabajo normal pueda ser usado en condiciones normales. -Capacitacin del personal en el uso adecuado de las tecnologas informticas, en le ejecucin correcta de sus labores y en la ejecucin de los procedimientos de emergencia.
4.2.2 Procedimientos Correctivos Los procedimientos correctivos son acciones enfocadas a contrarrestar en lo posible los daos producidos por un desastre, ataque u otra situacin desfavorable y restaurar el funcionamiento normal del centro de operacin afectado. Al igual que los procedimientos preventivos, pueden variar segn los recursos disponibles, pero tambin vara dependiendo el dao que se quiere contrarrestar pues no todas las emergencias requieren el uso de todos los procedimientos correctivos definidos por la organizacin.
4.2.3 Planes de Contingencia El Plan de Contingencias es el instrumento de gestin para el manejo de las Tecnologas de la Informacin y las Comunicaciones. Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de una institucin en caso de desastres y situaciones catastrficas como incendios, terremotos, inundaciones, etc. pero tambin contiene las medidas para enfrentar los daos producidos por robo, sabotaje e incluso ataques terroristas. El plan de contingencia es un requisito indispensable para que una respuesta de emergencia sea rpida y efectiva. Sin una previa planificacin de contingencia se perder mucho tiempo en los primeros das de una emergencia.
4.2.3.1 Objetivos y Caractersticas de un Plan de Contingencias Los principales puntos que debe cumplir un plan de contingencia son: -Reducir la probabilidad de que ocurra un desastre. -Establecer los procedimientos necesarios para enfrentar y solucionar los eventos negativos que se presenten. -Aminorar los efectos negativos de un desastre una vez ocurrido. -Asegurar la continuidad de las operaciones de la organizacin. -Reestablecer el funcionamiento normal de las reas afectadas por el desastre. -Dar a conocer el plan de contingencia al personal involucrado. Para lograr tales objetivos, se debe disear e implantar una serie de procedimientos acorde a las necesidades y recursos disponibles que permitan responder de manera oportuna y precisa a todos los eventos negativos a los que se enfrente la organizacin. Estos procedimientos deben estar basados en los resultados obtenidos de un anlisis previo de riesgos y un establecimiento de prioridades.
4.2.3.2 Fases del Plan de Contingencia Un plan de contingencias est dividido en fases, esto facilita el monitoreo del desempeo de dicho plan as como tambin ayuda a la deteccin de fallos e implementacin de mejoras, pues cada fase est enfocado a una serie de aspectos especficos y cualquier posible cambio se aplicar a partir de la fase apropiada sin necesidad de modificar todo el plan completo. Las fases se pueden dividir en anlisis y diseo, desarrollo, pruebas y mantenimiento.
En cada fase se realizan diferentes actividades, esto facilita posbiles modificaciones futuras
4.2.3.2.1 Anlisis y Diseo En esta fase se identifican las funciones de la organizacin que pueden considerarse como crticas y se les da un orden jerrquico de prioridad. Se define y se documentan las amenazas a las que estn expuestas las funciones crticas y se analiza el impacto que tendr un desastre en las funciones en caso de materializarse. Tambin se definen los niveles mnimos de servicio aceptable para cada problema planteado. Se identifican las posibles alternativas de solucin as como evaluar una relacin de costo/beneficio para cada alternativa propuesta
4.2.3.2.2 Desarrollo de un plan de contingencias
En esta fase se crear la documentacin del plan, cuyo contenido mnimo ser: Objetivo del plan. Modo de ejecucin. Tiempo de duracin. Costes estimados. Recursos necesarios. Evento a partir del cual se pondr en marcha el plan. Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades. Es necesario que el plan sea validado por los responsables de las reas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurdicas que pudiesen derivarse de las actuaciones contempladas en l.
4.2.3.2.3 Pruebas y Mantenimiento Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos en la etapa de diseo. Las pruebas no deben buscar comprobar si un plan funciona, mas bien debe enfocarse a buscar problemas y fallos en el plan para as poder corregirlos. Es necesario documentar las pruebas para su aprobacin por parte de las reas implicadas En la fase de mantenimiento se corrigen los errores encontrados durante las pruebas, pero tambin se revisa que los elementos preparados para poner en accin el plan de contingencia estn en condiciones ptimas para ser usados de un momento a otro para contrarrestar un desastre. En caso contrario, se les debe reparar o sustituir. Algunas de las actividades realizadas en esta fase son: - Verificar la disponibilidad de los colaboradores incluidos en la lista del plan de contingencia. - Verificar los procedimientos que se emplearan para almacenar y recuperar los datos (backup). - Comprobar el correcto funcionamiento del disco extrable, y del software encargado de realizar dicho backup. - Realizar simulacros, capacitando al personal en el uso de los procedimientos indicados en el plan de contingencia para la medicin de su efectividad.