Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduccin
En la actualidad la ausencia de polticas de seguridad en las empresas, puede
ocasionar efectos catastrficos en los negocios de stas. Escenarios como el que se
presenta a continuacin, ocurrido a la Empresa Ebay en diciembre del 2002, son un
claro ejemplo de situaciones en las que se muestra la enorme necesidad de contar con
estas polticas y mantenerlas al da. La presente unidad nos permitir tener una idea
precisa de los pasos requeridos para su creacin e implementacin.
FRAUDE
eBay denuncia el intento de robo de informacin de 55 millones de
clientes
La empresa eBay se dio cuenta que intrusos enviaron fraudulentamente correos a sus 55
millones de usuarios para solicitarles que confirmaran sus datos a travs de un portal o
Noticias del sitio de eBay, igualmente falso, para una comprobacin tcnica por ese motivo, pocos
mundo clientes de eBay sospecharon que se trataba de un fraude. La nota seala textualmente:
Estas solicitudes a menudo contienen enlaces a pginas de Web en las que se les pedir
que de su informacin personal... los empleados de eBay nunca le pedirn su
contrasea", aseguran.
Objetivos
Contenido de la unidad:
Conceptos bsicos y elaboracin de la poltica
Documentos de la poltica de seguridad
Implantacin de la poltica de seguridad
Captulo 1 Conceptos bsicos y elaboracin de la poltica
1.1 Introduccin
En este captulo conoceremos en qu consiste una poltica de seguridad de la
informacin. Como vimos en la unidad anterior, el anlisis de riesgos permite que sean
identificados los puntos crticos en una gestin de procesos con el objetivo de
implementar recomendaciones de seguridad en un ambiente tecnolgico y humano. El
siguiente paso es establecer los valores y normas que deben ser seguidos por todos
aquellos involucrados en el uso de la informacin y sus diversos activos.
Seala tambin:
-Existe la opinin de que la principal amenaza para la seguridad en una
empresa pasa por los mismos empleados.
Fuente consultada:
http://www.mundoenlinea.cl/noticia.php?noticia_id=375&categoria_id=1
1.2 Objetivos
Tecnolgica
Hay quienes consideran que la seguridad de la
informacin es apenas un problema tecnolgico.
Pero lo importante es definir los aspectos ms
tcnicos del buen funcionamiento de servidores,
estaciones de trabajo, acceso a Internet, etc. Para
eso, el apoyo de la Administracin es fundamental,
pues sin ella el programa de seguridad quedara sin
inversiones para la adquisicin de los recursos
necesarios. Sin embargo, no se debe dejar de lado
las cuestiones relacionadas con la buena
conducta y la tica profesional de los usuarios.
Humana
Otras personas ven a la seguridad como un
problema nicamente humano. Es importante
definir primero la conducta considerada adecuada
para el tratamiento de la informacin y de los
recursos utilizados. Por lo tanto, sin el apoyo de la
Administracin, el programa de seguridad no
consigue dirigir las acciones necesarias para
modificar la cultura de seguridad actual. El
resultado es un programa de seguridad sin el nivel
de cultura deseado y la falta de monitoreo ms
apropiado al orientar empleados, proveedores,
clientes y socios. Sin embargo, no se debe dejar de
lado los temas tecnolgicos y su sofisticacin,
una vez que tambin son determinantes para la
implementacin de soluciones de seguridad
adecuadas y eficientes.
a) Exigencias de la poltica
b) Etapas de produccin
Exigencias de la poltica
En virtud que las polticas son guas para orientar la accin de las personas que
intervienen en los procesos de la empresa, a continuacin presentamos ejemplos que
ilustran cmo esas acciones pueden comprometer los fines de la poltica de
seguridad.
De nada nos sirve generar una poltica completa y correcta en todos los aspectos, si los
empleados de la compaa no la conocen o aplican.
Es importante tambin dejar muy claras las sanciones a las que pueden hacerse
acreedores los usuarios que no cumplan con las polticas de seguridad en la empresa,
Ejemplos tanto empleados como clientes de la misma.
Elaborar una poltica es un proceso que exige tiempo e informacin. Es necesario conocer cmo se
estructura la organizacin y cmo son dirigidos en la actualidad sus procesos. A partir de este
reconocimiento, se evala el nivel de seguridad existente para poder despus detectar los puntos a analizar
para que est en conformidad con los estndares de seguridad.
Objetivos y mbito
Entrevista
Investigacin y anlisis de documentos
Reunin de poltica
Glosario de la poltica
Responsabilidades y penalidades
Objetivos y mbito
En este punto debe constar la presentacin del tema
de la norma con relacin a sus propsitos y
contenidos, buscando identificar resumidamente
cules estndares la poltica trata de establecer,
adems de la amplitud que tendr en relacin a
entornos, individuos, reas y departamentos de la
organizacin involucrados.
Entrevista
Las entrevistas tratan de identificar junto a los
usuarios y administradores de la organizacin las
preocupaciones que ellos tienen con los activos, los
procesos de negocio, reas o tareas que ejecutan o
en la cual participan. Las entrevistas tratan de
identificar las necesidades de seguridad existentes
en la organizacin.
Glosario de la poltica
Es importante aclarar cualquier duda conceptual que
pueda surgir en el momento de la lectura de la
poltica. As todos los lectores deben tener el mismo
punto de referencia conceptual de trminos. Por lo
tanto se recomienda que la poltica cuente con un
glosario especfico donde se especifiquen los
trminos y conceptos presentes en toda la poltica
de seguridad.
Responsabilidades y penalidades
Es fundamental identificar a los responsables, por la
gestin de seguridad de los activos normalizados,
con el objetivo de establecer las relaciones de
responsabilidad para el cumplimiento de tareas,
como las normas de aplicacin de sanciones
resultantes de casos de inconformidad con la
poltica elaborada. De esa manera, se busca el nivel
de conciencia necesario para los involucrados, con
relacin a las penalidades que sern aplicadas en
casos de infraccin de la poltica de seguridad.
Para cerrar esta seccin sobre las etapas de la poltica, lo invitamos a reflexionar desde
su perspectiva cuestiones tan vitales como la seguridad de la informacin.
Se cuenta con un equipo tcnico capaz de analizar e identificar riesgos en la
documentacin de procesos de la empresa?Est consciente de la necesidad de incluir
penalidades para aquellos que incumplan la poltica de seguridad? Cree necesario
formar un comit encargado del anlisis de los casos que llegasen a ocurrir?
Preguntas Tiene claro el objetivo principal de la poltica de seguridad en su empresa?
de reflexin
1.5 Lecciones aprendidas
2.1 Introduccin
El phishing, tambin conocido como carding o brand spoofing consiste en que los
estafadores distribuyen mensajes de correo electrnico con diseo y formatos similares
a los usados por entidades bancarias. En el mensajes se solicita urgentemente a los
clientes del banco (o de servicios como eBay, PayPal o similares) visitar una pgina de
Internet, cuyo enlace se adjunta, con el fin de verificar sus datos personales e
informacin sobre su cuenta.
Recordemos que nuestra tarea dentro del rea de seguridad es lograr que estos casos
no se presenten en la organizacin
2.2 Objetivos
Monitorao
ACOMPANHAMENTO
Las normas, por estar en un nivel tctico, pueden ser especficas para el pblico a
que se destina, por ejemplo para tcnicos y para usuarios.
Procedimientos e Procedimiento
Conjunto de orientaciones para realizar las actividades operativas de
instrucciones de
seguridad, que representa las relaciones interpersonales e nter
trabajo departamentales y sus respectivas etapas de trabajo para la implantacin
(Operacional) o manutencin de la seguridad de la informacin.
Instruccin de trabajo
Conjunto de comandos operativos a ser ejecutados en el momento de la
realizacin de un procedimiento de seguridad establecido por una norma,
establecido en modelo de paso a paso para los usuarios del activo en
cuestin.
Se pueden integrar, por ejemplo, la lista con los procedimientos para la realizacin de
respaldos de la base de datos, quines son los responsables, periodicidad,
almacenamiento, etc.
Se puede contar tambin con instrucciones de trabajo para la restauracin de equipos
Ejemplos porttiles que se tengan que reinstalar, con una gua paso a paso sobre qu hacer en
dicho caso.
Una poltica de seguridad, para que sea efectiva, necesita contar con los siguientes
elementos como base de sustentacin:
Cultura
Herramientas
Monitoreo
Una vez revisados los ejemplos anteriores, qu respuestas podra encontrar a las
siguientes preguntas?
El personal de su empresa cuenta con capacitacin continua en materia de
seguridad?
Cuenta con sistemas de monitoreo que le permitan alertarse en poco tiempo de
Preguntas
posibles ataques a la seguridad de su empresa?
de reflexin
2.5 Lecciones aprendidas
3.1 Introduccin
El xito en la implantacin de un sistema y poltica de seguridad en la empresa,
depende en gran medida de conocimiento a fondo de los procesos involucrados
cuando dicha implantacin es llevada a cabo. Una vez recabada toda la informacin
necesaria y despus de comunicar los logros a todo el personal de la empresa, es
posible incluso, como lo muestra la siguiente nota de prensa sobre la compaa
Nextel, que el proceso y la poltica de seguridad puedan llegar a implementarse bajo
algn estndar conocido a nivel mundial.
El pasado 7 de octubre de 2004, Nextel S.A. celebr una rueda de prensa en el Hotel
Sofitel Airport. El motivo fue anunciar la Certificacin en Seguridad de la Informacin
obtenida el presente ao, como ya hizo una semana antes en otra rueda de prensa
Noticias del celebrada en Bilbao. Esta vez asistieron como ponentes Iaki Murcia, Director Regional
mundo de la Zona Norte; Agustn Lerma, Security Manager; y Ricardo Acebedo, Director de
Marketing.
Refleja los objetivos del negocio, es decir, est siempre de acuerdo con la
operacin necesaria para alcanzar las metas establecidas.
Agrega seguridad a los procesos de negocio y garantiza una gestin
inteligente de los riesgos.
Est de acuerdo con la cultura organizacional y est sustentada por el
compromiso y por el apoyo de la administracin.
Permite un buen entendimiento de las exigencias de seguridad y una
evaluacin y gestin de los riesgos a los que est sometida la organizacin.
Si una de las metas de su organizacin es, por ejemplo, aumentar el nmero de clientes
que utilizan sus servicios por Internet, es necesario que su poltica de seguridad facilite
esto en lugar de entorpecerlo.
Como ya lo comentamos antes, de nada sirve tener la mejor poltica impresa, sino que
Ejemplos sea comunicada adecuadamente a todos los empleados y usuarios de nuestros servicios.
Est consciente de todas las metas que tiene su organizacin a corto y largo plazo?
Tiene planeado ya la forma en que se divulgar la poltica de seguridad?
Preguntas de
reflexin
Para elaborar una poltica, es necesario delimitar los temas que sern convertidos
en normas.
Usos de la poltica
Una vez que tenemos una poltica de seguridad, sta debe cumplir por lo menos dos propsitos:
La poltica al ser utilizada de manera correcta, podemos decir que brinda algunas ventajas como
lo son:
Debido a que una poltica de seguridad impacta la forma de trabajo diario de las
personas, esta debe ser:
Para finalizar la unidad, veamos algunas estadsticas que tienen como finalidad,
identificar los distintos escenarios a los que puede enfrentarse durante este proceso
de implantacin, a travs del conocimiento de las fallas y problemas ms comunes
dentro de las compaas de Latinoamrica.
Las empresas de mayor capital y las de capital extranjero son las que se
Estadsticas preocupan con el tema desde hace ms tiempo.
Apenas un 24% contest que el nivel de adhesin a la poltica es alto,
revelando que el desafo actual es aumentar la participacin de los
empleados.
Cerca del 47% de los ejecutivos entrevistados afirman que el principal
obstculo en la implementacin de la poltica de seguridad es la falta de
conciencia de los empleados, porque con frecuencia presentan resistencia
en adoptar esas prcticas.
Investimento em segurana
2001 2000 Esta investigacin revel que:
(%) (%)
1. Poltica de Segurana 71 79 La mayor parte de las empresas
Estadsticas 2. Capacitao da Equipe Tcnica 65 73
3. Criptografia 41 54
planea invertir en polticas de
4. Testes de Invaso 38 52 seguridad (71%) y la capacitacin
5. Virtual Private Network (VPN) 38 44 del equipo tcnico (65%).
6. Anlise de Riscos 35 50
7. Sistemas de deteco de 34 41 La mayora de las empresas (66%)
intrusos afirma poseer una poltica de
8. Contratao de empresa 30 36
especializada seguridad, sin embargo en 19%
9. Aquisio de software de 29 32 de ellas la poltica no est
controle de acesso actualizada.
10. Autoridade Certificadora 29 23
11. Certificado digital 28 - Cerca del 41% de las
12. Implementao do Firewall 26 40
13. Sistemas de gesto de 19 -
organizaciones entrevistadas
segurana centralizada sealan la falta de conciencia
14. Smartcard 12 14 por parte de los funcionarios
15. Biomtrica 11 - como el principal obstculo de
16. Segurana em call center 9 -
la implementacin de la poltica
de seguridad.
Principais obstculos para implementao da
segurana
Cons c inc ia
Or amento
Ferramentas