Políticas y normatividad

FUNDAMENTOS DE SEGURIDADPOLÍTICAS Y NORMATIVIDAD

En una organización la gestión de seguridad puede tornarse compleja y difícil de realizar, esto no por razones técnicas, más bien por razones organizativas, coordinar todos los esfuerzos encaminados para asegurar un entorno informático institucional, mediante la simple administración de recurso humano y tecnológico, sin un adecuado control que integre los esfuerzos y conocimiento humano con las técnicas depuradas de mecanismos automatizados, tomar en la mayoría de los casos un ambiente inimaginablemente desordenado y confuso, para ello es necesario emplear mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de los empleados de la corporación.   ¿Qué son las normas de seguridad? Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucional.

5.1 Protección lógica y física de los datos Dentro de la seguridad informática, la seguridad lógica hace referencia a la aplicación de mecanismos y barreras  para mantener el resguardo y la integridad de la información dentro de un sistema informático.   La seguridad lógica de un sistema informático incluye: Restringir al acceso a programas y archivos mediante claves y/o encriptación. Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo. Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático. Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió. Los controles anteriormente mencionados se pueden hacer a nivel sistema operativo, a nivel aplicación, a nivel base de datos o archivo, o a nivel firmware.

5.2 Análisis de Riesgos Podemos definir el riesgo como: "La posibilidad de que ocurra algún evento negativo para las personas y/o empresas." Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de factores internos y externos, tan variables como su propio personal, su actividad, la situación económica, la asignación de sus recursos financieros o la tecnología utilizada (Rodríguez, 1995).   Los equipos de cómputo que habitualmente se utilizan en las empresas están sujetos al riesgo de que ocurra alguna eventualidad que los dañe y debido a que no existe una seguridad total y las medidas de seguridad no pueden asegurar al 100% la protección en contra de las vulnerabilidades, es imprescindible realizar periódicamente en una organización, un análisis de  riesgos, para identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y así, lograr un manejo de riesgo tras la implementación y mantenimiento de controles que reduzcan los efectos de éste a un nivel aceptable.   El análisis de riegos proporciona herramientas útiles para cuantificar el riesgo y evaluar si este análisis es adecuado, tomar medidas para reducirlo, además intenta mantener un balance económico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de seguridad destinadas a manejarlos.

¿Qué son las políticas de seguridad?Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos.

Dentro de la seguridad informática, la seguridad física hace referencia a las barreras físicas y mecanismos de control en el entorno de un sistema informático, para proteger el hardware de amenazas físicas. Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza. Básicamente, las amenazas físicas que pueden poner en riesgo un sistema informático son: Desastres naturales, incendios accidentales, humedad e inundaciones. Amenazas ocasionadas involuntariamente por personas. Acciones hostiles deliberadas como robo, fraude o sabotaje. Son ejemplos de mecanismos o acciones de seguridad física: Cerrar con llave el centro de cómputos. Tener extintores por eventuales incendios. Instalación de cámaras de seguridad. Guardia humana. Control permanente del sistema eléctrico, de ventilación, etc.

El objetivo del análisis de riegos es tener capacidad de:   ·         Identificar, evaluar y manejar los riesgos de seguridad. ·         Estimar la exposición de un recurso a una amenaza determinada. ·         Determinar qué combinación de medidas de seguridad proporcionará un nivel de seguridad razonable a un costo aceptable. ·         Tomar mejores decisiones en seguida de la información. ·         Enfocar recursos y esfuerzos en la protección de activos

En un proceso de análisis del riesgo debe considerarse la siguiente terminología:   ·         Activo: es todo aquello con valor para una organización y que necesita protección –datos infraestructura, hardware, software, personal y su experiencia, información, servicios. ·         Riesgo: posibilidad de sufrir algún daño o pérdida. ·         Aceptación del riesgo: decisión para aceptar un riesgo. ·         Análisis de riesgo: uso sistemático de información disponible para identificar las fuentes y para estimar qué tan seguido determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias. ·         Pérdida esperada: el impacto anticipado y negativo a los activos debido a una manifestación de la amenaza. ·         Vulnerabilidad: una condición de debilidad. ·         Amenaza: una acción potencial (que puede suceder o existir, pero no existe aún) con la posibilidad de causar daño.

·         Riesgo residual: el nivel de riesgo que queda después de la consideración de todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado. ·         Control: son los protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización.

5.3 Criterios y normativos de seguridad   Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red organizacional.   Una norma de seguridad establece unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Son por tanto, declaraciones a satisfacer. Una norma debe ser clara, concisa y no ambigua en su interpretación. En cuanto a la estructura de un documento normativo, se recomienda estructurarlo en los siguientes apartados:

·         Objetivo: declaración del propósito o intención de la redacción del documento y de los objetivos de seguridad relacionados con la política que se intentan satisfacer. ·         Definiciones: Se indican las definiciones de aquellos términos que aparezcan en la norma y que pudieran ofrecer dificultad para su comprensión. Es una forma de eliminar la ambigüedad en la interpretación al establecer el significado en la norma de los términos utilizados. ·         Responsables del cumplimiento: se define dentro de la Organización qué departamento o responsable velará por el cumplimiento de la norma y revisará su correcta implantación o cumplimiento. ·         Incumplimiento: se establecen las consecuencias que se derivarán del incumplimiento de la norma cuando éste sea detectado o las acciones disciplinarias que ocasionarán. Normas a aplicar: debe contener los requisitos de seguridad que se declaran de obligado cumplimiento. Podrán agruparse los requisitos por categorías, estableciendo apartados donde se agrupen los requisitos relacionados. También los enunciados pueden numerarse para poder posteriormente referenciarlos. Documentos relacionados: se indican otros documentos del marco normativo que pudieran estar relacionados con el cumplimiento de la norma.

En cuanto a las recomendaciones en la redacción del documento, se debe procurar que:   ·         El cumplimiento debe ser factible a nivel organizativo y técnico. ·         La redacción debe ser clara y resumida. ·         Las afirmaciones realizadas dentro del apartado “Normas a aplicar” deben ser taxativas, no ambiguas y deben permitir la revisión o auditoría del cumplimiento del hecho reglado. ·         El tiempo verbal de las normas debe ser presente del indicativo. ·         La divulgación se realizará entre las áreas afectadas o implicadas en el cumplimiento. Su aprobación debe estar formalizada, indicando los plazos de vigencia y de revisión de la norma. Debe estar bajo un control de versiones.h

Normas: Con el fin de proporcionar un marco de Gestión de la Seguridad de Información utilizable por cualquier tipo de organización, independientemente de su tamaño o actividad, se ha creado un conjunto de estándares bajo el nombre de ISO/IEC 27000.   UNE-ISO 27001 Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familia ISO 27000.   ISO 27002 La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI.   ISO 27002 (documentación) La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.

El Estandar ISO 17799 El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000.   Directrices del estándar 17799   ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".oja 2

La versión de 2005 del estándar incluye las siguientes once secciones principales: 1.    Política de Seguridad de la Información. 2.    Organización de la Seguridad de la Información. 3.    Gestión de Activos de Información. 4.    Seguridad de los Recursos Humanos. 5.    Seguridad Física y Ambiental. 6.    Gestión de las Comunicaciones y Operaciones. 7.    Control de Accesos. 8.    Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9.    Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación.   El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.   Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007.

5.4 Desastres.   Desastre o contingencia es la interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio. Tiene su origen en las fuerzas de la naturaleza y no solo afectan a la información contenida en los sistemas, sino también representan una amenaza a la integridad de todo el sistema (infraestructura, instalación, componentes, equipos, etc.)   Tipos de Desastres  1.     Incendios. El fuego es considerado el enemigo número uno de las computadoras ya que puede destruir fácilmente los archivos de información y programas. Aunque los sistemas antiincendio pueden detener el avance del siniestro, también pueden causar igual daño que el propio fuego, sobre todo a los elementos electrónicos. El dióxido de carbono, actual alternativa del agua, resulta peligroso para los propios empleados si quedan atrapados en la sala de cómputos.

2.    Inundaciones. Esta es una de las causas de mayores desastres en centros de cómputos. Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. 3.    Condiciones Climatológicas. Normalmente se reciben por anticipado los avisos de tormentas, tempestades, tifones y catástrofes sísmicas similares. Las condiciones atmosféricas severas se asocian a ciertas partes del mundo y la probabilidad de que ocurran está documentada. Por otro lado, las tormentas electromagnéticas y las lluvias torrenciales con nubarrones pueden causar atenuación en las redes inalámbricas, que podrá conducir a la pérdida de datos. 4.    Señales de Radar. Los resultados de las investigaciones más recientes sobre la incidencia de las señales o rayos de radar sobre el funcionamiento de una computadora, demuestran que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.5.    Instalaciones Eléctricas. Trabajar con computadoras implica trabajar con electricidad. En la medida que los sistemas se vuelven más complicados se hace imperativa la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de seguridad industrial.

Prevención ante los desastres:   •      Guardar respaldos fuera de sitio. •      Incluir el software así como toda la información de datos, para facilitar la recuperación. •      Si es posible, usar una instalación remota de reserva para reducir al mínimo la pérdida de datos. •      Redes de Área de Almacenamiento en múltiples sitios son un reciente desarrollo (desde 2003) que hace que los datos estén disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos. •      Protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado equipo electrónico. •      El suministro de energía ininterrumpido (SAI). •      La prevención de incendios - más alarmas, extintores accesibles. •      El software del antivirus.•      El seguro en el hardware.

Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. Teniendo en cuenta que el propósito es la protección de datos, también debería incluirse proyectos para afrontar la pérdida inesperada o repentina de personal clave.

hoja 1

hoja 2

hoja 3