¿Como abordar la implementacion de politicas de seguridad?

Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son evidentes (como la seguridad física) otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad.

Todas y cada una de las políticas de seguridad de una empresa u organización deben cumplir con los siguientes aspectos:

• Objetivos de la política y descripción clara de los elementos involucrados en su definición
• Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización
• Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política
• Definición de violaciones y sanciones por no cumplir con las políticas
• Responsabilidades de los usuarios con respecto a la información a la que tiene acceso

Entre las estrategias de seguridad:

• Disponer de un plan de contingencia que contemple:

1. Confidencialidad de la información almacenada
2. Autenticación de usuarios,
3. Integridad de los datos
4. Control de acceso
5. Copias de seguridad

Implementación

La implementación de medidas de seguridad, es un proceso Técnico-Administrativo. Como este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.

Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organización. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativamente.

Por esto, será necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y técnicos que se generen.

Es fundamental no dejar de lado la notificación a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organización con el fin de otorgar visibilidad a los actos de la administración.

Una PSI informática deberá abarcar:

• Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
• Objetivos de la política y descripción clara de los elementos involucrados en su definición.
• Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización.
• Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
• Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
• Definición de violaciones y las consecuencias del no cumplimiento de la política.

Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley.

Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.

Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, etc.

Una proposición de una forma de realizar una PSI adecuada puede apreciarse en el siguiente diagrama:

Fuente: Manual de Seguridad en Redes. http://www.arcert.gov.ar

Se comienza realizando una evaluación del factor humano, el medio en donde se desempeña, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias.

Luego de evaluar estos elementos y establecida la base del análisis, se originan un programa de seguridad, el plan de acción y las normas y procedimientos a llevar a cabo.

Para que todo lo anterior llegue a buen fin debe realizarse un control periódico de estas políticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditoria a los archivos Logs de estos controles.

Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulación de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulación y los casos reales registrados generan una realimentación y revisión que permiten adecuar las políticas generadas en primera instancia.

Por último el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la política falle.

Es importante destacar que la Seguridad debe ser considerada desde la fase de diseño de un sistema. Si la seguridad es contemplada luego de la implementación del mismo, el personal se enfrentará con problemas técnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayoría de los casos, un menor grado de seguridad.