Una vez conocidas las vulnerabilidades y ataques a las que
está expuesto un sistema es necesario conocer los recursos disponibles para
protegerlo. Mientras algunas técnicas son evidentes (como la seguridad física)
otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación
de falsa seguridad.
Todas y cada una de las políticas de seguridad de una
empresa u organización deben cumplir con los siguientes aspectos:
- Objetivos de la política y descripción clara de los elementos involucrados en su definición
- Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización
- Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política
- Definición de violaciones y sanciones por no cumplir con las políticas
- Responsabilidades de los usuarios con respecto a la información a la que tiene acceso
Entre las estrategias de seguridad:
- Disponer de un plan de contingencia que contemple:
- Confidencialidad de la información almacenada
- Autenticación de usuarios,
- Integridad de los datos
- Control de acceso
- Copias de seguridad
Implementación
La implementación de medidas de seguridad, es un proceso
Técnico-Administrativo. Como este proceso debe abarcar toda la organización,
sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial,
ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
Se deberá tener en cuenta que la implementación de Políticas
de Seguridad, trae aparejados varios tipos de problemas que afectan el
funcionamiento de la organización. La implementación de un sistema de seguridad
conlleva a incrementar la complejidad en la operatoria de la organización,
tanto técnica como administrativamente.
Por esto, será necesario sopesar cuidadosamente la ganancia
en seguridad respecto de los costos administrativos y técnicos que se generen.
Es fundamental no dejar de lado la notificación a todos los
involucrados en las nuevas disposiciones y, darlas a conocer al resto de la
organización con el fin de otorgar visibilidad a los actos de la
administración.
Una PSI informática deberá abarcar:
- Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
- Objetivos de la política y descripción clara de los elementos involucrados en su definición.
- Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización.
- Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
- Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
- Definición de violaciones y las consecuencias del no cumplimiento de la política.
Por otra parte, la política debe especificar la autoridad
que debe hacer que las cosas ocurran, el rango de los correctivos y sus
actuaciones que permitan dar indicaciones sobre la clase de sanciones que se
puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo
algo sucederá; ya que no es una sentencia obligatoria de la ley.
Explicaciones comprensibles (libre de tecnicismos y términos
legales pero sin sacrificar su precisión) sobre el porque de las decisiones
tomadas.
Finalmente, como documento dinámico de la organización,
deben seguir un proceso de actualización periódica sujeto a los cambios
organizacionales relevantes: crecimiento de la planta de personal, cambio en la
infraestructura computacional, alta y rotación de personal, desarrollo de
nuevos servicios, cambio o diversificación de negocios, etc.
Una proposición de una forma de realizar una PSI adecuada
puede apreciarse en el siguiente diagrama:
![]() |
Fuente: Manual de Seguridad en Redes. http://www.arcert.gov.ar |
Se comienza realizando una evaluación del factor humano, el
medio en donde se desempeña, los mecanismos con los cuales se cuenta para
llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles
consecuencias.
Luego de evaluar estos elementos y establecida la base del
análisis, se originan un programa de seguridad, el plan de acción y las normas
y procedimientos a llevar a cabo.
Para que todo lo anterior llegue a buen fin debe realizarse
un control periódico de estas políticas, que asegure el fiel cumplimiento de
todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza
una auditoria a los archivos Logs de estos controles.
Con el objeto de confirmar que todo lo creado funciona en un
marco real, se realiza una simulación de eventos y acontecimientos que atenten
contra la seguridad del sistema. Esta simulación y los casos reales registrados
generan una realimentación y revisión que permiten adecuar las políticas
generadas en primera instancia.
Por último el Plan de Contingencia es el encargado de
suministrar el respaldo necesario en caso en que la política falle.
Es importante destacar que la Seguridad debe ser considerada
desde la fase de diseño de un sistema. Si la seguridad es contemplada luego de
la implementación del mismo, el personal se enfrentará con problemas técnicos, humanos
y administrativos muchos mayores que implicaran mayores costos para lograr, en
la mayoría de los casos, un menor grado de seguridad.
No hay comentarios:
Publicar un comentario