Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Profesor: Integrante:
Sanez, José Díaz, Brenda C.I. 17.537.489
Trayecto 4, semestre 1
Sección: 01
Una política de seguridad informática es una forma de comunicarse con los usuarios
y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con
los recursos y servicios informáticos, importantes de la organización. No se trata de una
descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre
sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos
proteger y el porqué de ello. Cada PSI es consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informáticos críticos de la compañía. Es un
conjunto de requisitos definidos por los responsables de un sistema, que indica en términos
generales que está y que no está permitido en el área de seguridad durante la operación
general del sistema. Una declaración de intenciones de alto nivel que cubre la seguridad de
los sistemas informáticos y que proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán.
Como una política de seguridad debe orientar las decisiones que se tomen en relación con
la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una
visión conjunta de lo que se considere importante.
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Objetivos de la política y descripción clara de los elementos involucrados en su
definición. Responsabilidades por cada uno de los servicios y recursos informáticos
aplicados a todos los niveles de la organización.
Requerimientos mínimos para la configuración de la seguridad de los sistemas que abarca
el alcance de la política.
Definición de violaciones y sanciones por no cumplir con las políticas.
Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. Las
políticas de seguridad informática, también deben ofrecer explicaciones comprensibles
sobre porque deben tomarse ciertas decisiones y explicar la importancia de los recursos.
Igualmente, deberán establecer las expectativas de la organización en relación con la
seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro
punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo
y entendible, libre de tecnicismo, términos ambiguos que impidan una comprensión clara
de las mismas, claro está sin sacrificar su precisión. Por último, y no menos importante, el
que las políticas de seguridad, deben seguir unos procesos de actualización periódica sujeto
a los cambios organizacionales relevantes, como son: El aumento de personal, cambios en
la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios,
regionales de la empresa, cambio o diversificación del área de negocios, etc.
Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es
necesario conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son
evidentes (como la seguridad física) otras pautas no lo son tanto e incluso algunas pueden
ocasionar una sensación de falsa seguridad.
Todas y cada una de las políticas de seguridad de una empresa u organización deben
cumplir con los siguientes aspectos:
Objetivos de la política y descripción clara de los elementos involucrados en su
definición
Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a
todos los niveles de la organización
Requerimientos mínimos para configuración de la seguridad de los sistemas que
abarca el alcance de la política
Definición de violaciones y sanciones por no cumplir con las políticas
Responsabilidades de los usuarios con respecto a la información a la que tiene
acceso
Implementación
Por esto, será necesario sopesar cuidadosamente la ganancia en seguridad respecto de los
costos administrativos y técnicos que se generen.
Una proposición de una forma de realizar una PSI adecuada puede apreciarse en el
siguiente diagrama:
Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una
simulación de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta
simulación y los casos reales registrados generan una realimentación y revisión que
permiten adecuar las políticas generadas en primera instancia.
Es importante destacar que la Seguridad debe ser considerada desde la fase de diseño de un
sistema. Si la seguridad es contemplada luego de la implementación del mismo, el personal
se enfrentará con problemas técnicos, humanos y administrativos muchos mayores que
implicaran mayores costos para lograr, en la mayoría de los casos, un menor grado de
seguridad.
Evaluación De Riesgos
El objetivo general del análisis de riesgos es identificar sus causas potenciales, en la figura
No. 4 se aprecia por ejemplo, los principales riesgos que amenazan el entorno informático.
Esta identificación se realiza en una determinada área para que se pueda tener información
suficiente al respecto, optando así por un adecuado diseño e implantación de mecanismos
de control; a fin de minimizar los efectos de eventos no deseados, en los diferentes puntos
de análisis.
Antes de realizar el análisis de riesgos hay que tener en cuenta los siguientes aspectos:
Decisiones 59 ALTA
equivocadas
Fraude 55 MEDIA
Hurto 54 MEDIA
Dentro del entorno informático las amenazas (causas de riesgo) se pueden clasificar así:
Naturales: Incluyen principalmente los cambios naturales que pueden afectar de una
manera u otra el normal desempeño del entorno informático; por ejemplo, la
posibilidad de un incendio en el sitio donde se encuentran los concentradores de
cableado dado que posiblemente están rodeados de paredes de madera es una
amenaza natural.
Accidentales: Son las más comunes que existen e incluyen:
Errores de los usuarios finales: Por ejemplo, El usuario tiene permisos
de administrador y posiblemente sin intención modifica información relevante.
Errores de los operadores: Por ejemplo, si un operador tenía un sesión abierta y
olvidó salir del sistema; alguien con acceso físico a la máquina en cuestión puede
causar estragos.
Error administrativo: Por ejemplo, Instalaciones y configuraciones sin contar con
mecanismos de seguridad para su protección.
Errores de salida: Por ejemplo, Impresoras u otros dispositivos mal configurados.
Errores del sistema: Por ejemplo, daños en archivos del sistema operativo.
Errores de comunicación: Por ejemplo, permitir la transmisión de información
violando la confidencialidad de los datos.
Deliberadas: Estas amenazas pueden ser: activas (accesos no autorizados,
modificaciones no autorizadas, sabotaje) ó pasivas(son de naturaleza mucho más
técnica, como: emanaciones electromagnéticas y/o microondas de interferencia).
Localización de los riesgos críticos en las dependencias de la empresa y procesos
que intervienen en el negocio.
Gestión de centros X X
transaccionales
Administración de X X
sistemas
Atención al cliente X X
Conciliación de X X X
cuentas
Decisiones X X
equivocadas
Fraude X X X X
Hurto X X X X
Identificar los controles necesarios: En este paso se precisan los controles, los
cuales son mecanismos que ayudan a disminuir el riesgo a niveles mínimos o en
algunos casos eliminarlos por completo. Se debe tener en cuenta que dichas
medidas tienen tres diferentes capacidades que incluyen: mecanismos de
prevención, mecanismos de detección y mecanismos de corrección; y que dentro de
un proceso ó negocio funcionan como se describe en la figura No. 9. En este paso se
incluye la funcionalidad y utilidad del control, y se identifican las personas
responsables de la implantación de los controles.
Estrategias de Seguridad
El activo más importante que se posee es la información y, por lo tanto, deben existir
técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos
en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la
aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo
permiten acceder a ellos a las personas autorizadas para hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en la
mayoría de los casos es una combinación de varios de ellos).
A continuación se enumeran una serie de medidas que se consideran básicas para
asegurar un sistema tipo, si bien para necesidades específicas se requieren medidas
extraordinarias y de mayor profundidad:
Respaldo de información
La medida más eficiente para la protección de los datos es determinar una buena política de
copias de seguridad o backups. Este debe incluir copias de seguridad completa (los datos
son almacenados en su totalidad la primera vez) y copias de seguridad incrementales (solo
se copian los ficheros creados o modificados desde el último backup). Es vital para las
empresas elaborar un plan de backup en función del volumen de información generada y la
cantidad de equipos críticos.
Continuo
El respaldo de datos debe ser completamente automático y continuo. Debe
funcionar de forma transparente, sin intervenir en las tareas que se encuentra
realizando el usuario.
Seguro
Muchos softwares de respaldo incluyen cifrado de datos, lo cual debe ser hecho
localmente en el equipo antes del envío de la información.
Remoto
Los datos deben quedar alojados en dependencias alejadas de la empresa.
Mantenimiento de versiones anteriores de los datos
Se debe contar con un sistema que permita la recuperación de, por ejemplo,
versiones diarias, semanales y mensuales de los datos.
Hoy en día los sistemas de respaldo de información online, servicio
de backup remoto, están ganando terreno en las empresas y organismos
gubernamentales. La mayoría de los sistemas modernos de respaldo de
información online cuentan con las máximas medidas de seguridad y disponibilidad
de datos. Estos sistemas permiten a las empresas crecer en volumen de información
derivando la necesidad del crecimiento de la copia de respaldo a proveedor del
servicio.
Control de la red
Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de
ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red solo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan
trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo
se ha introducido el virus.
Redes cableadas
Las rosetas de conexión de los edificios deben estar protegidas y vigiladas. Una medida
básica es evitar tener puntos de red conectados a los switches. Aun así siempre puede ser
sustituido un equipo por otro no autorizado con lo que hacen falta medidas adicionales:
norma de acceso 802.1x, listas de control de acceso por MAC addresses, servidores de
DHCP por asignación reservada, etc.
Redes inalámbricas
En este caso el control físico se hace más difícil, si bien se pueden tomar medidas de
contención de la emisión electromagnética para circunscribirla a aquellos lugares que
consideremos apropiados y seguros. Además se consideran medidas de calidad el uso del
cifrado (WPA, WPA v.2, uso de certificados digitales, etc.), contraseñas compartidas y,
también en este caso, los filtros de direcciones MAC, son varias de las medidas habituales
que cuando se aplican conjuntamente aumentan la seguridad de forma considerable frente
al uso de un único método.
Sanitización
Proceso lógico y/o físico mediante el cual se elimina información considerada sensible o
confidencial de un medio ya sea físico o magnético, ya sea con el objeto de desclasificarlo,
reutilizar el medio o destruir el medio en el cual se encuentra.
Las empresas sufren cada vez más con ciberataques, corriendo el riesgo de que su
información vital y confidencial sea corrompida, se pierda y caiga en las manos de
ciberdelincuentes. Por tanto, los daños pueden ser invaluables para la empresa.
Con las políticas de seguridad informática bien diseñadas y planificadas, es posible reducir
considerablemente esos riesgos, dando a la organización la debida protección contra
amenazas internas y fallas en la seguridad.
Así como todas las reglas criadas en el documento de las PSI, existe una penalidad para el
individuo que no las cumpla. Generalmente, en cada documento, existe un capítulo
exclusivo para penalidades. Y en este capítulo se reúne información sobre las violaciones
de política, sanciones y tipo de legislación aplicada.
Para cada norma no seguida, se evalúan los riesgos y por cada penalidad la empresa tomará
las medidas pertinente basándose en lo expresado en el capítulo sobre penalidades.
Las políticas por sí solas no constituyen una garantía para la seguridad de la organización,
ellas deben responder a intereses y necesidades organizacionales basadas en la visión de
negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a
reconocer en los mecanismos de seguridad informática factores que facilitan la
formalización y materialización de los compromisos adquiridos con la organización.