Seguridad para PyMEs

Gestin de la seguridad

ESET Latinoamrica: Av. Del Libertador 6250, 6to. Piso -

Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 -
Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com
 Seguridad para PyMEs

ndice
Introduccin ................................................... 3

Polticas de Seguridad ...................................... 3

Poltica de Seguridad ................................................... 4

Normas y estndares .................................................. 5

Procedimientos .......................................................... 5

Clasificacin de la informacin ......................... 5

Niveles de clasificacin ................................................ 6

Asignacin de dueo de datos ...................................... 6

Acuerdos y contratos ....................................... 7

NDA y SLA .................................................................. 7

Contratacin y desvinculacin de personal .................... 8

Concientizacin y educacin de usuarios ........... 9

Herramientas comunes ............................................... 9

 Seguridad para PyMEs

En este primer mdulo del curso de Seguridad para PyMEs, se detallan los elementos ms importantes
para comprender la gestin de la seguridad, el proceso necesario para implementar exitosamente
controles y medidas de seguridad en la organizacin.

Introduccin
La gestin de la seguridad es el componente clave y primario para un plan exitoso de proteccin
de la informacin en una PyME. Sin gestin no hay controles o medidas que provoquen un
aseguramiento eficiente de los datos de la organizacin, o se evalen los riesgos a los cuales se
est expuesto.

Para que esta gestin sea realizada de forma exitosa, debe comprenderse a la seguridad como
un proceso dinmico, y trabajar en las siguientes etapas: relevar (anlisis de la situacin),
planear (definicin de un plan de controles de seguridad), ejecutar (implementacin de las
medidas) y monitorear (evaluar los resultados). Finalmente, comenzar el crculo nuevamente
con el relevamiento.

Los diferentes elementos que se destacan a continuacin sern utilizados eficientemente si la

organizacin, y sus integrantes, comprenden a la seguridad como un ciclo. Para tal fin, es
indispensable la colaboracin de mltiples reas, y principalmente la alta gerencia, como
responsable final del plan de seguridad.

Polticas de Seguridad
Un programa de Seguridad de la Informacin debe contemplar medidas relacionadas con el
personal, de gestin y tecnolgicas. El funcionamiento de la organizacin est directamente
relacionado con los componentes informticos y los sistemas de informacin, por lo tanto,
aumenta su criticidad en relacin con los resultados de la empresa.
 Seguridad para PyMEs

Por tal motivo, un plan de seguridad debe comenzar en los rangos jerrquicos de la
organizacin, y ser funcional en todos los niveles de la misma, contemplando la Integridad,
Disponibilidad y Confidencialidad de la informacin 1.

Para tal fin se definen una serie de documentos que, en conjunto, permiten a cualquier
integrante de la organizacin concientizarse respecto de la seguridad de la informacin y
conocer qu est permitido y qu no lo est, durante el uso diario de los recursos. Adems,
establecen cmo se deben llevar adelante ciertas tareas que involucran el uso de la informacin
dentro de la organizacin.

Poltica de Seguridad
Una Poltica de Seguridad es "una declaracin de intenciones de alto nivel que cubre la seguridad de
los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las
diversas actuaciones tcnicas y organizativas que se requerirn" 2.

Es un documento de alcance global, es decir, su validez debe mantenerse para cualquier

integrante de la organizacin. Es una descripcin general de los fundamentos de las medidas de
seguridad, qu se desea proteger y cmo se lo desea proteger.

Entre otras cosas, una Poltica de Seguridad puede incluir:

objetivos y alcance
clasificacin de la informacin
operaciones permitidas y denegadas con la informacin
acuerdos y contratos

Se recomienda que la extensin de este documento no supere las tres pginas. No se deben
incluir en una Poltica de Seguridad detalles tcnicos de los procedimientos de uso, ni reglas y/o
estndares que se apliquen slo a algunas reas de la empresa.

Al ser de alcance global, las Polticas de Seguridad deben ser redactadas con la mayor validez
posible en el tiempo, con lenguaje comprensible por cualquier individuo y presentadas con la
mayor seriedad y compromiso que la empresa pueda hacerlo.

1
Para ms informacin consulte la Gua para el uso seguro de medios informticos de ESET en http://edu.eset-la.com
2
Definido por RFC 1244: Site Security Handbook. J. Reynolds - P. Holbrook. Julio 1991
 Seguridad para PyMEs

Es una buena prctica disponer que todos los empleados de la empresa firmen una constancia
de haber ledo las Polticas de Seguridad, ya que es una paso ms hacia el conocimiento
explicito de las mismas por parte de todos los integrantes de la organizacin.

Normas y estndares
Los estndares son normas que impactan en la operatoria diaria con los recursos de la empresa
y el uso de informacin. Pueden ser tanto internos como externos.

Entre los estndares internos ms frecuentes se encuentran:

Disposicin de hardware por parte de los empleados
Software permitido (y prohibido) en el puesto de trabajo
Polticas de contraseas y cifrado de informacin

Los estndares externos pueden ser reglamentaciones o legislaciones externas a la empresa.

Procedimientos
Los procedimientos son acciones documentadas que describen paso a paso las tareas a realizar
para cumplir con un objetivo. Son tiles para homogeneizar las tareas que involucren la
utilizacin de informacin o recursos informticos de la empresa, y minimizar los riesgos que
afecten a la seguridad de la misma.

Algunos ejemplos de los procedimientos que pueden utilizarse en una PyME son:
Cmo configurar una cuenta de correo
Cmo conectar una VPN y acceder externamente
Cmo realizar el backup de la informacin

Clasificacin de la informacin
En un programa de seguridad es necesario identificar la criticidad de la informacin. Esto
permite a la empresa determinar cuntos recursos (tanto econmicos, humanos, como de otra
ndole) sern asignados a la proteccin de dicha informacin.

Clasificar la informacin de la organizacin es un componente clave para la valorizacin de la

misma, tanto por los criterios de asignacin de recursos, antes mencionados, como para la
 Seguridad para PyMEs

optimizacin de las medidas de control a implementar para cada tipo de informacin. Cunto
ms valiosa sea cierta informacin para la empresa, ms recursos ser posible asignar para su
proteccin.

Previo a la clasificacin de la informacin, es necesario realizar un relevamiento de la misma,

identificando todo dato de valor para la organizacin. En dicha etapa es indispensable la
participacin de todos los departamentos, especficamente aquellos individuos con
responsabilidades de management sobre las reas. De esta forma, se minimiza la posibilidad de
omisin de algn tipo de informacin valiosa y que necesite proteccin.

Niveles de clasificacin
Aunque los criterios para catalogar la informacin pueden ser ms complejos y extensos, en
una empresa del tipo PyME se recomienda clasificarla en tres niveles:
Confidencial: Informacin slo para uso interno y de carcter restrictivo. Es
informacin valiosa que hace a la empresa competitiva. Su divulgacin sin autorizacin
puede afectar seriamente a la organizacin. Por ejemplo: una frmula, un cdigo
fuente, etc.
Privado: Informacin de uso interno de la organizacin. Es informacin sensible y, por
lo general, de carcter privado. Su divulgacin puede afectar moderadamente a la
organizacin. Por ejemplo: datos financieros, datos mdicos, datos personales, etc.
Pblico: Informacin que, aunque su divulgacin no es bienvenida, no implica ningn
tipo de impacto en la organizacin. Por ejemplo: listado de direcciones de correo de los
empleados.

Asignacin de dueo de datos

El dueo de datos es el principal responsable por la proteccin y el uso que se le de a la
informacin. Se debe definir y conocer el dueo de un dato ya que es quien podr determinar
para quin debe estar disponible y bajo qu condiciones, a la hora de implementar medidas de
seguridad.

La definicin de criterios y controles sobre la informacin es realizada en conjunto entre el rea

de seguridad y los dueos de datos; aunque tambin es preferible la participacin en la decisin
de todas las reas gerenciales, conformando, para tal fin, un comit.
 Seguridad para PyMEs

Acuerdos y contratos
En la operatoria diaria de la organizacin, la utilizacin e intercambio de informacin entre
todos los actores es comn. Es recomendable, o segn el caso imprescindible, regular de cierta
forma la utilizacin de la informacin tanto para personal interno como externo a la empresa.

Para este fin se utilizan los acuerdos y contratos. Estos establecen un marco que regula la
utilizacin de la informacin, y afecta a todo personal involucrado con la organizacin.

NDA y SLA
Entre los acuerdos y contratos utilizados en un proceso de Gestin de la Seguridad de la
Informacin, se destacan como recomendados para su utilizacin en una PyME, el NDA (Non-
disclosure agreement en espaol, Contrato de No Divulgacin) y el SLA (Service Level Agreement
en espaol, Contrato de Nivel de Servicio).

Un NDA es un contrato entre al menos dos partes, que establece las condiciones para
compartir informacin confidencial y las restricciones para su uso pblico. Las principales
ventajas de firmar un Contrato de No Divulgacin son:
Asegura el conocimiento de todas las partes involucradas en operaciones diarias de la
empresa, respecto a las restricciones en el uso de informacin confidencial.
Establece un documento (contrato) firmado por ambas partes sobre las condiciones.
Este documento funciona como apoyo ante cualquier inconveniente suscitado entre
las partes respecto al manejo de informacin confidencial.

Se deben excluir de este documento los procedimientos, condiciones y reglamentaciones del

uso de los recursos y de la informacin en la operatoria diaria. Esta informacin debe incluirse
en las Polticas de Seguridad.

Un SLA es un contrato entre la empresa y un proveedor de servicio donde se establece la

calidad del servicio a contratar.

Las principales ventajas de firmar un Contrato de Nivel de Servicio:

Establece niveles mnimos de calidad de servicio que el proveedor se compromete a
respetar.
Brinda una herramienta de apoyo ante el incumplimiento de los niveles mnimos de
calidad de servicio por parte del proveedor.

En PyMEs ambos contratos son comnmente utilizados para los siguientes fines:
 Seguridad para PyMEs

Al ingresar un nuevo empleado a la organizacin, ste firma un NDA con la empresa

respecto al uso de informacin confidencial de la organizacin o de sus clientes, que el
empleado reciba.
Si la empresa contrata servicios de un proveedor que dispondr de informacin
confidencial, es una buena prctica firmar un NDA, estableciendo las condiciones y
compromisos que este tendr, respecto a la informacin que obtenga de la empresa.
Si la empresa contrata servicios de un proveedor, es una buena prctica firmar un SLA,
especficamente cuando se trate de proveedores que dispondrn, de una u otra forma,
de informacin confidencial de la organizacin o que podran generar prdida de
informacin en el caso de incumplimiento del servicio. Por ejemplo: Proveedores de
Internet, Servicios de Hosting, Data Centers, Servicios de Soporte Tcnico, etc.

Al momento de la redaccin de los acuerdos o contratos, la empresa debe asegurar que su

contenido no se contradiga con la legislacin laboral y en materia de proteccin de datos
existente en el pas.

Contratacin y desvinculacin de personal

Las reas de Seguridad, Recursos Humanos (RRHH), Sistemas, y otros cuya competencia se
determine, deben establecer los procedimientos necesarios para asegurar el resguardo de la
informacin en los procesos de contratacin y desvinculacin de personal.

Previo a la contratacin de personal, es necesario verificar las referencias laborales y educativas

de los candidatos. Eventualmente, segn las caractersticas de la organizacin, pueden
revisarse antecedentes penales, registros fiscales, huellas en la Web, etc. La realizacin de este
tipo de tareas es frecuentemente relegada. Sin embargo, su concrecin est originada
exclusivamente en la necesidad de minimizar riesgos, cuyas consecuencias pueden ser costosas
para la organizacin.

Definida la contratacin de nuevo personal, las tareas principales a realizar son:

Firma de NDA entre la empresa y el empleado.
Definicin y configuracin de dispositivos de acceso fsico a la organizacin.
Definicin y configuracin de credenciales de acceso y permisos a los sistemas de
informacin.

Ante la desvinculacin de un empleado de la organizacin, tambin es necesaria la intervencin

de las reas de Seguridad y Sistemas a fin de resguardar la informacin. Para poder realizar
estas tareas en tiempo y forma, el rea de RRHH debe establecer los procedimientos para
informar debidamente al resto de las reas involucradas, sobre la desvinculacin de personal.
 Seguridad para PyMEs

Ante este caso, las principales tareas a realizar son:

Eliminacin (o deshabilitacin) de permisos de acceso fsico a las instalaciones de la
empresa. El empleado debe entregar todo tipo de llave, tarjeta o dispositivo fsico que
haya obtenido durante su estada en la organizacin.
Eliminacin (o deshabilitacin) de las credenciales del usuario y todos los permisos de
acceso a los sistemas de la organizacin, incluidas los sistemas de acceso remoto y
dispositivos mviles.
Modificacin de claves de acceso compartidas a las cuales el usuario haya tenido
acceso.

Concientizacin y educacin de
usuarios
La creacin de un programa de seguridad en la empresa contempla la implementacin de una
serie de medidas tecnolgicas, y la definicin de polticas y procedimientos de gestin de los
controles a implementar.

Sin embargo, un tercer componente brinda apoyo a cualquier medida y/o control de seguridad:
la concientizacin y educacin de los usuarios.

El xito de un programa de seguridad es ms probable si se cuenta con el compromiso del

usuario. Ninguna herramienta (Polticas de Seguridad, configuracin de puestos de trabajo,
etc.) aporta tanto para involucrar al usuario, como la educacin y concientizacin de los
integrantes de la empresa.

Herramientas comunes
Como instrumentos de la seguridad, las herramientas que pueden utilizarse para concientizar a
los integrantes de la organizacin son variadas. Entre las ms importantes se encuentran:
Contenidos para Intranets: conviene publicar en las redes internas contenidos
explicativos y procedimientos asociados a seguridad. Opcionalmente se pueden utilizar
herramientas 2.0 como blogs o wikis.
Capacitaciones: brindar charlas y capacitaciones desde el rea de seguridad permite
afianzar las medidas y controles implementados. Por otro lado, un marco conjunto
 Seguridad para PyMEs

10

permite afianzar las relaciones entre quienes implementan las medidas de seguridad y
quienes deben respetarlas.
Mensajes de login: consiste en informar al usuario respecto a buenas prcticas de
seguridad cada vez que ste inicia sesin. Es una herramienta de fcil implementacin
en entornos con dominios en red (Active Directory en entornos Windows, LDAP en Linux,
y otros Sistemas Operativos).
Wallpaper: consiste en forzar un fondo de pantalla en las estaciones de trabajo de los
usuarios, indicando conceptos importantes relacionados con la seguridad. Es una
herramienta de fcil implementacin en entornos con dominios en red.
Posters: colocar a lo largo de las instalaciones de la organizacin posters o afiches
alusivos a las buenas prcticas de seguridad. En este tipo de medidas, la informalidad y
el humor permiten generar mayor empata con los usuarios.
Casos de estudio: trabajos grupales con casos de estudio (reales o ficticios) son
propicios para conocer la opinin y postura de los usuarios respecto a la seguridad en la
organizacin. Adems, fomentan el debate y el intercambio de ideas.

Es recomendable ajustar los planes de educacin y concientizacin de acuerdo con las

caractersticas de la empresa y el nivel o conocimiento de los usuarios. Incluso es
provechoso realizar las campaas segn las reas involucradas y el tipo de usuario que la
compaa posea.

Adems, no es taxativamente necesario abarcar todos los puntos aqu descritos, ni planificar
un plan de educacin a largo plazo. Cada accin, por mnima que sea, ser positiva para la
gestin de la seguridad.
 Seguridad para PyMEs

11

Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados
en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con
ESET, LLC y ESET, spol. s.r.o.

ESET, 2012

Acerca de ESET

Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que
provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con
oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego,
Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino
Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal
(Mxico).

Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET
Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del
primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos
el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de
productividad, velocidad de exploracin y un uso mnimo de los recursos.

Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde
dispone de un equipo de profesionales capacitados para responder a las demandas del mercado
en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento
proactivo de variadas amenazas informticas.

La importancia de complementar la proteccin brindada por tecnologa lder en deteccin

proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters
de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten
a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya
ha adquirido renombre propio.

Para ms informacin, visite www.eset-la.com