Documentos de Académico
Documentos de Profesional
Documentos de Cultura
01 Gestion de La Seguridad PDF
01 Gestion de La Seguridad PDF
Gestin de la seguridad
ndice
Introduccin ................................................... 3
Procedimientos .......................................................... 5
En este primer mdulo del curso de Seguridad para PyMEs, se detallan los elementos ms importantes
para comprender la gestin de la seguridad, el proceso necesario para implementar exitosamente
controles y medidas de seguridad en la organizacin.
Introduccin
La gestin de la seguridad es el componente clave y primario para un plan exitoso de proteccin
de la informacin en una PyME. Sin gestin no hay controles o medidas que provoquen un
aseguramiento eficiente de los datos de la organizacin, o se evalen los riesgos a los cuales se
est expuesto.
Para que esta gestin sea realizada de forma exitosa, debe comprenderse a la seguridad como
un proceso dinmico, y trabajar en las siguientes etapas: relevar (anlisis de la situacin),
planear (definicin de un plan de controles de seguridad), ejecutar (implementacin de las
medidas) y monitorear (evaluar los resultados). Finalmente, comenzar el crculo nuevamente
con el relevamiento.
Polticas de Seguridad
Un programa de Seguridad de la Informacin debe contemplar medidas relacionadas con el
personal, de gestin y tecnolgicas. El funcionamiento de la organizacin est directamente
relacionado con los componentes informticos y los sistemas de informacin, por lo tanto,
aumenta su criticidad en relacin con los resultados de la empresa.
Seguridad para PyMEs
Por tal motivo, un plan de seguridad debe comenzar en los rangos jerrquicos de la
organizacin, y ser funcional en todos los niveles de la misma, contemplando la Integridad,
Disponibilidad y Confidencialidad de la informacin 1.
Para tal fin se definen una serie de documentos que, en conjunto, permiten a cualquier
integrante de la organizacin concientizarse respecto de la seguridad de la informacin y
conocer qu est permitido y qu no lo est, durante el uso diario de los recursos. Adems,
establecen cmo se deben llevar adelante ciertas tareas que involucran el uso de la informacin
dentro de la organizacin.
Poltica de Seguridad
Una Poltica de Seguridad es "una declaracin de intenciones de alto nivel que cubre la seguridad de
los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las
diversas actuaciones tcnicas y organizativas que se requerirn" 2.
Se recomienda que la extensin de este documento no supere las tres pginas. No se deben
incluir en una Poltica de Seguridad detalles tcnicos de los procedimientos de uso, ni reglas y/o
estndares que se apliquen slo a algunas reas de la empresa.
Al ser de alcance global, las Polticas de Seguridad deben ser redactadas con la mayor validez
posible en el tiempo, con lenguaje comprensible por cualquier individuo y presentadas con la
mayor seriedad y compromiso que la empresa pueda hacerlo.
1
Para ms informacin consulte la Gua para el uso seguro de medios informticos de ESET en http://edu.eset-la.com
2
Definido por RFC 1244: Site Security Handbook. J. Reynolds - P. Holbrook. Julio 1991
Seguridad para PyMEs
Es una buena prctica disponer que todos los empleados de la empresa firmen una constancia
de haber ledo las Polticas de Seguridad, ya que es una paso ms hacia el conocimiento
explicito de las mismas por parte de todos los integrantes de la organizacin.
Normas y estndares
Los estndares son normas que impactan en la operatoria diaria con los recursos de la empresa
y el uso de informacin. Pueden ser tanto internos como externos.
Procedimientos
Los procedimientos son acciones documentadas que describen paso a paso las tareas a realizar
para cumplir con un objetivo. Son tiles para homogeneizar las tareas que involucren la
utilizacin de informacin o recursos informticos de la empresa, y minimizar los riesgos que
afecten a la seguridad de la misma.
Algunos ejemplos de los procedimientos que pueden utilizarse en una PyME son:
Cmo configurar una cuenta de correo
Cmo conectar una VPN y acceder externamente
Cmo realizar el backup de la informacin
Clasificacin de la informacin
En un programa de seguridad es necesario identificar la criticidad de la informacin. Esto
permite a la empresa determinar cuntos recursos (tanto econmicos, humanos, como de otra
ndole) sern asignados a la proteccin de dicha informacin.
optimizacin de las medidas de control a implementar para cada tipo de informacin. Cunto
ms valiosa sea cierta informacin para la empresa, ms recursos ser posible asignar para su
proteccin.
Niveles de clasificacin
Aunque los criterios para catalogar la informacin pueden ser ms complejos y extensos, en
una empresa del tipo PyME se recomienda clasificarla en tres niveles:
Confidencial: Informacin slo para uso interno y de carcter restrictivo. Es
informacin valiosa que hace a la empresa competitiva. Su divulgacin sin autorizacin
puede afectar seriamente a la organizacin. Por ejemplo: una frmula, un cdigo
fuente, etc.
Privado: Informacin de uso interno de la organizacin. Es informacin sensible y, por
lo general, de carcter privado. Su divulgacin puede afectar moderadamente a la
organizacin. Por ejemplo: datos financieros, datos mdicos, datos personales, etc.
Pblico: Informacin que, aunque su divulgacin no es bienvenida, no implica ningn
tipo de impacto en la organizacin. Por ejemplo: listado de direcciones de correo de los
empleados.
Acuerdos y contratos
En la operatoria diaria de la organizacin, la utilizacin e intercambio de informacin entre
todos los actores es comn. Es recomendable, o segn el caso imprescindible, regular de cierta
forma la utilizacin de la informacin tanto para personal interno como externo a la empresa.
Para este fin se utilizan los acuerdos y contratos. Estos establecen un marco que regula la
utilizacin de la informacin, y afecta a todo personal involucrado con la organizacin.
NDA y SLA
Entre los acuerdos y contratos utilizados en un proceso de Gestin de la Seguridad de la
Informacin, se destacan como recomendados para su utilizacin en una PyME, el NDA (Non-
disclosure agreement en espaol, Contrato de No Divulgacin) y el SLA (Service Level Agreement
en espaol, Contrato de Nivel de Servicio).
Un NDA es un contrato entre al menos dos partes, que establece las condiciones para
compartir informacin confidencial y las restricciones para su uso pblico. Las principales
ventajas de firmar un Contrato de No Divulgacin son:
Asegura el conocimiento de todas las partes involucradas en operaciones diarias de la
empresa, respecto a las restricciones en el uso de informacin confidencial.
Establece un documento (contrato) firmado por ambas partes sobre las condiciones.
Este documento funciona como apoyo ante cualquier inconveniente suscitado entre
las partes respecto al manejo de informacin confidencial.
En PyMEs ambos contratos son comnmente utilizados para los siguientes fines:
Seguridad para PyMEs
Concientizacin y educacin de
usuarios
La creacin de un programa de seguridad en la empresa contempla la implementacin de una
serie de medidas tecnolgicas, y la definicin de polticas y procedimientos de gestin de los
controles a implementar.
Sin embargo, un tercer componente brinda apoyo a cualquier medida y/o control de seguridad:
la concientizacin y educacin de los usuarios.
Herramientas comunes
Como instrumentos de la seguridad, las herramientas que pueden utilizarse para concientizar a
los integrantes de la organizacin son variadas. Entre las ms importantes se encuentran:
Contenidos para Intranets: conviene publicar en las redes internas contenidos
explicativos y procedimientos asociados a seguridad. Opcionalmente se pueden utilizar
herramientas 2.0 como blogs o wikis.
Capacitaciones: brindar charlas y capacitaciones desde el rea de seguridad permite
afianzar las medidas y controles implementados. Por otro lado, un marco conjunto
Seguridad para PyMEs
10
permite afianzar las relaciones entre quienes implementan las medidas de seguridad y
quienes deben respetarlas.
Mensajes de login: consiste en informar al usuario respecto a buenas prcticas de
seguridad cada vez que ste inicia sesin. Es una herramienta de fcil implementacin
en entornos con dominios en red (Active Directory en entornos Windows, LDAP en Linux,
y otros Sistemas Operativos).
Wallpaper: consiste en forzar un fondo de pantalla en las estaciones de trabajo de los
usuarios, indicando conceptos importantes relacionados con la seguridad. Es una
herramienta de fcil implementacin en entornos con dominios en red.
Posters: colocar a lo largo de las instalaciones de la organizacin posters o afiches
alusivos a las buenas prcticas de seguridad. En este tipo de medidas, la informalidad y
el humor permiten generar mayor empata con los usuarios.
Casos de estudio: trabajos grupales con casos de estudio (reales o ficticios) son
propicios para conocer la opinin y postura de los usuarios respecto a la seguridad en la
organizacin. Adems, fomentan el debate y el intercambio de ideas.
Adems, no es taxativamente necesario abarcar todos los puntos aqu descritos, ni planificar
un plan de educacin a largo plazo. Cada accin, por mnima que sea, ser positiva para la
gestin de la seguridad.
Seguridad para PyMEs
11
Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados
en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con
ESET, LLC y ESET, spol. s.r.o.
ESET, 2012
Acerca de ESET
Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que
provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con
oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego,
Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino
Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal
(Mxico).
Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET
Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del
primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos
el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de
productividad, velocidad de exploracin y un uso mnimo de los recursos.
Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde
dispone de un equipo de profesionales capacitados para responder a las demandas del mercado
en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento
proactivo de variadas amenazas informticas.