Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Políticas Generales de Seguridad PDF
Políticas Generales de Seguridad PDF
Objetivo
En esta semana estudiaremos con más profundidad las
políticas de seguridad informática, el significado de un
manual de procedimientos para nuestra organización, y
diversos métodos para evaluar el valor de la información de
la misma.
• El siguiente paso es determinar quiénes son las personas que dan las
órdenes sobre los elementos valorados en la empresa. Ellos deben
conocer el proceso de las PSI, ya que sobre ellos recae la
responsabilidad de los activos críticos.
Antes que nada, se crea una base de análisis para el sistema de seguridad,
que está basada en varios elementos:
- Factor humano de la empresa
- Mecanismos y procedimientos con que cuenta la empresa
- Ambiente en que se desenvuelve la organización
- Consecuencias posibles si falla la seguridad de la empresa
- Amenazas posibles de la empresa.
Aunque no todas las empresas son conscientes de los riesgos que corren al no
tener PSI en su organización, algunas gastan gran cantidad de tiempo y
esfuerzo definiéndolas, convenciendo a los altos mandos (labor
extremadamente ardua, ya que estas políticas no aumentan el rendimiento del
sistema y a veces lo vuelven más complicado), para que finalmente sean
escritas y archivadas para nunca ser usadas. ¿Qué pasa en esos casos? ¿Por
qué ocurre esto?
Esta estratificación es muy importante porque define los límites de las personas
encargadas de cada uno de los temas concernientes a la seguridad. Ambos
estratos deben ser independientes y nunca una persona encargada de un
estrato puede intervenir o administrar el otro. En cada estrato debe haber una
definición de funciones y una separación suficiente de tareas. En este caso, en
el estrato técnico - administrativo por ejemplo, pueden existir coordinadores en
8 Curso de redes y seguridad
Fase 2
cada área funcional y geográfica de la organización, dependiendo de la
complejidad de la misma. No tiene lógica que un coordinador autorice una
transacción de información del sistema al exterior, y luego él mismo la revise.
Esto da pie a fraudes o a encubrimientos de anomalías. Deben intervenir
siempre personas diferentes en cada elemento del sistema de seguridad.
Riesgos en la organización
En definitiva, las amenazas pueden llegar a afectar los datos, las personas, los
equipos, los programas, o en un caso extremo, a todos de ellos (desastres
Ahora, aunque el umbral de riesgo es escogido por los altos mandos para la
configuración de las PSI, existen unos niveles de trabajo con la información que
no pueden ser ignorados, y que deben aplicarse en todo momento para
proteger la información. Estos niveles de ri se verán a continuación.
¿Qué es este algoritmo? No es más que un modelo que permite observar las
diversas vulnerabilidades de un sistema (niveles de trabajo), y a partid de ellos,
permite hacer un análisis de los posibles pasos a seguir.
Con este término claramente definido, procedemos a explicar cada una de las
vulnerabilidades, teniendo en cuenta que cualquier acción que se lleve a cabo
para mantener estable el modelo, tiene como objetivo atacar uno de los 4
casos.
Todas las acciones correctivas que se lleven a cabo con el fin de respetar el
modelo estarán orientadas a atacar uno de los cuatro casos. Explicaremos y
daremos ejemplos de cada uno de ellos.
Por ejemplo:
Una vez que estamos enterados de que hay sólo cuatro posibles casos de
causas posibles de problemas, ¿Qué se hace? Hay que identificar los recursos
dentro de la organización.
Es claro hasta ahora que el principal objetivo de una PSI es asegurar los
elementos de una organización, y que el estudio de la seguridad consiste en
El umbral de riesgo que puede aceptar una organización debe tener una forma
cuantificable para ser medida, que permita identificar de quien se protege el
recurso, cual es el recurso a proteger, y cómo debe protegerse. Nunca será
igual de prioritario proteger una impresora de la empresa, que la base de datos
de clientes de la misma. ¿Cómo generamos una valoración apropiada entonces
de estos elementos? Usando 2 criterios:
Ejemplo práctico
Router:
R1 = 6, W1 = 7
Bridge:
R2 = 6, W2 = 3
Router:
WR1 = R1 * W1 = 6 * 7 = 42
Bridge:
WR2 = R2 * W2 = 6 * 3 = 1.8
Servidor:
WR3 = R3 * W3 = 10 * 10 = 100
Por los puntajes es evidente que el servidor es aquel elemento con mayor
riesgo, y el que debe protegerse de manera prioritaria. Con este dato
procederíamos a buscar soluciones para proteger nuestro servidor de
amenazas externas.
- Personas: los usuarios y las personas que operan los sistemas. Las
personas siempre serán el primer bloque de importancia de una
organización.
- Hardware: Todo elemento externo que pueda procesar, contener,
mostrar o transportar datos.
- Software: herramientas tecnológicas para procesar los datos.
- Datos: Aquellos que se almacenan, se transportan, se almacenan fuera
de los elementos de hardware, backups, etc.
- Documentación: toda la información usada para aprender el
funcionamiento de los sistemas de la organización.
- Accesorios: Elementos usados para soportar el trabajo en la
organización.
Este punto de los usuarios es muy importante. Para definir lo que cada uno de
los usuarios puede hacer en el sistema se realizan un conjunto de listas en las
que se engloban, en grupos de trabajo, aquellos que pueden acceder a
determinado recurso y los privilegios de acceso. Un ejemplo de esta tabla es la
siguiente:
Chequeos:
Diarios:
- Extracción de un logístico sobre el volumen de correo transportado y
las conexiones de red creadas durante las 24 horas del día
Semanal
- Extracción de un logístico del número de ingresos desde afuera de la
red interna
- Logístico de el número de conexiones externas hechas desde el
interior de la red
Mensual
- Comparación de los logísticos de las semanas para detectar
anomalías y cambios.
CheckList