Indice
1.
Introducción
2. Metodología para el Desarrollo
de Políticas y Procedimientos en Seguridad de
Información
3. Ejemplo de Políticas de
Seguridad
La falta de políticas
y procedimientos en
seguridad es uno
de los problemas
más graves que confrontan las empresas hoy
día en lo que se refiere a la protección de sus
activos de
información frente a peligros externos e
internos.
La políticas
de seguridad son esencialmente orientaciones e instrucciones que
indican cómo manejar los asuntos de seguridad y forman la
base de un plan maestro para
la implantación efectiva de medidas de protección
tales como: identificación y control de
acceso, respaldo de datos, planes de
contingencia y detección de intrusos.
Si bien las políticas varían considerablemente
según el tipo de organización de que se trate, en general
incluyen declaraciones generales sobre metas, objetivos,
comportamiento
y responsabilidades de los empleados en relación a las
violaciones de seguridad. A menudo las políticas van
acompañadas de normas,
instrucciones y procedimientos.
Las políticas son obligatorias, mientras que las
recomendaciones o directrices son más bien opcionales. De
hecho, las declaraciones de políticas de seguridad pueden
transformarse fácilmente en recomendaciones reemplazando
la palabra "debe" con la palabra "debería".
Por otro lado las políticas son de jerarquía
superior a las normas,
estándares y procedimientos que también requieren
ser acatados. Las políticas consisten de declaraciones
genéricas, mientras las normas hacen referencia
específica a tecnologías, metodologías,
procedimientos de implementación y otros aspectos en
detalle. Además las políticas deberían durar
durante muchos años, mientras que las normas y
procedimientos duran menos tiempo.
Las normas y procedimientos necesitan ser actualizadas más
a menudo que las políticas porque hoy día cambian
muy rápidamente las tecnologías
informáticas, las estructuras
organizativas, los procesos de
negocios y los
procedimientos. Por ejemplo, una norma de seguridad de cifrado
podría especificar el uso del estándar DES (Data
Encryption Standard). Esta norma probablemente deberá
será revisada o reemplazada en los próximos
años.
Las políticas son distintas y de un nivel superior a los
procedimientos, que son los pasos operacionales
específicos que deben llevarse a cabo para lograr una
cierta meta. Como ejemplo, hay procedimientos específicos
para realizar copias de seguridad de la información contenida en los discos duros
de los servidores.
Una declaración sobre políticas describe
sólo la forma general de manejar un problema
específico, pero no debe ser demasiado detallada o
extensa, en cuyo caso se convertiría en un procedimiento.
Las políticas también son diferentes de las medidas
de seguridad o de los mecanismos de control. Un
ejemplo de esto último sería un sistema de
cifrado para las comunicaciones
o para los datos
confidenciales guardados en discos y cintas. En muchos casos las
políticas definen metas o objetivos
generales que luego se alcanzan por medio de medidas de
seguridad.
En general, las políticas definen las áreas sobre
las cuales debe enfocarse la atención en lo que concierne a la
seguridad. Las políticas podrían dictar que todo el
software
desarrollado o adquirido se pruebe a fondo antes de utilizarse.
Se necesitará tomar en cuenta varios detalles sobre
cómo aplicar esta política. Por
ejemplo, la metodología a usar para probar el software.
Un documento sobre políticas de seguridad contiene, entre
muchos aspectos: definición de seguridad para los activos de
información, responsabilidades, planes de contingencia,
gestión
de contraseñas, sistema de
control de acceso, respaldo de datos, manejo de virus e intrusos.
También puede incluir la forma de comprobar el
cumplimiento y las eventuales medidas disciplinarias.
¿Por qué son importantes las
políticas?
a) Por que aseguran la aplicación correctas de las medidas
de seguridad
Con la ilusión de resolver los problemas de
seguridad expeditamente, en muchas organizaciones
simplemente se compran uno o más productos de
seguridad. En estos casos, a menudo se piensa que nuevos productos (ya
sea en hardware,
software, o servicios), es
todo que se necesita. Luego que se instalan los productos, sin
embargo, se genera una gran desilusión al darse cuenta que
los resultados esperados no se han materializado. En un
número grande de casos, esta situación puede
atribuirse al hecho que no se ha creado una infraestructura
organizativa adecuada para la seguridad
informática.
Un ejemplo puede ayudar a aclarar este punto esencial.
Supóngase que una organización ha adquirido recientemente un
producto de
control de acceso para una red de computadoras.
La sola instalación del sistema hará poco para
mejorar la seguridad. Sea debe primero decidir cuáles
usuarios deben tener acceso a qué recursos de
información, preferiblemente definiendo cómo
incorporar estos criterios en las políticas de seguridad.
También deben establecerse los procedimientos para que el
personal
técnicas implante el control de acceso de
una manera cónsona con estas decisiones. Además
debe definir la manera de revisar las bitácoras (logs) y
otros registros
generados por el sistema. Éstas y otros medidas
constituyen parte de la infraestructura organizativa necesaria
para que los productos y servicios de
seguridad sean efectivos.
Una empresa
necesita de documentación sobre políticas,
definiciones de responsabilidades, directrices, normas y
procedimientos para que se apliquen las medidas de seguridad, los
mecanismos de evaluación
de riesgos y el
plan de
seguridad. Las políticas y una estimación
preliminar de los riesgos son el
punto de partida para establecer una infraestructura organizativa
apropiada, es decir, son los aspectos esenciales desde donde se
derivan los demás.
Continuando con el mismo ejemplo anterior de control de acceso,
se debería primero llevar a cabo un análisis de riesgo de los
sistemas de
información . Esta evaluación
de los riesgos también ayudará a definir la
naturaleza de
las amenazas a los distintos recursos ,
así como las contramedidas pertinentes. Luego pueden
establecerse las políticas a fin de tener una guía
para la aplicación de tales medidas.
b) Por que guían el proceso de
selección e implantación de los
productos de seguridad
La mayoría de las organizaciones no
tiene los recursos para diseñar e implantar medidas de
control desde cero. Por tal razón a menudo escogen
soluciones
proporcionadas por los fabricantes de productos de seguridad y
luego intentan adaptar esos productos a las políticas,
procedimientos, normas y demás esfuerzos de integración dentro de la
organización. Esto se realiza a menudo sin conocer o
entender suficientemente los objetivos y las metas de seguridad.
Como resultado, los productos de seguridad escogidos y su
aplicación pueden no resultar adecuados a las verdaderas
necesidades de la
organización.
Las políticas pueden proporcionar la comprensión y
la guía adicional que el personal necesita
para actuar como desearía la gerencia en lo
que a seguridad se refiere. De manera que tales políticas
pueden ser una manera de garantizar de que se está
apropiadamente seleccionando, desarrollando e implantando los
sistemas de
seguridad.
c) Por que demuestran el apoyo de la Presidencia y de la
Junta Directiva
La mayoría de las personas no está consciente de la
gravedad de los riesgos relativos a la seguridad y por eso no se
toma el tiempo para
analizar estos riesgos a fondo. Además, como no tiene la
experticia suficiente, no es capaz de evaluar la necesidad de
ciertas medidas de seguridad. Las políticas son una manera
clara y definitiva para que la alta gerencia pueda
mostrar que:
- La seguridad de los activos de información es
importante - El personal debe prestar la atención debida a la
seguridad.
Las políticas pueden entonces propiciar las
condiciones para proteger los activos de información. Un
ejemplo muy frecuente involucra a los gerentes a nivel medio que
se resisten a asignar dinero para la
seguridad en sus presupuestos.
Pero si las políticas que han sido emitidas por la Junta
Directiva o la alta gerencia, entonces los gerentes a nivel medio
no podrán continuar ignorando las medidas de
seguridad.
d) Para evitar responsabilidades legales
Se presentan cada vez más casos judiciales en los cuales
se encuentra responsables a empleados, y particularmente a
gerentes, de no actuar apropiadamente bien en lo referente a
seguridad informática. La razón puede ser
atribuida a: negligencia, violación de confianza, fallas
en el uso de medidas de seguridad, mal práctica, etc.
Estos casos se usan a menudo con éxito
para llamar la atención de la gerencia y para lograr apoyo
para los esfuerzos en seguridad
informática.
e) Para lograr una mejor seguridad
Uno de los problemas más importantes en el campo de
seguridad informática lo representa los esfuerzos
fragmentados e incoherentes. A menudo un departamento
estará a favor de las medidas de seguridad, mientras que
otro dentro de la misma organización se opondrá o
será indiferente. Si ambos departamentos comparten
recursos informáticos (por ejemplo una LAN o un
servidor), el
departamento que se opone pondrá en riesgo la
seguridad del otro departamento y de la organización
completa. Aunque no es ni factible ni deseable que todas las
personas en una organización se familiaricen con las
complejidades de la seguridad informática, es importante
que todas ellas se comprometan con mantener algún nivel
mínimo de protección. Las políticas pueden
usarse para definir el nivel de esta protección
mínima, a veces llamada línea de base.
2. Metodología para el Desarrollo de
Políticas y Procedimientos en Seguridad de
Información
Introducción
Antes de embarcarse en un esfuerzo de elaborar las
políticas de seguridad, es aconsejable aclarar
quién es responsable de promulgarlas y aplicarlas.
Solamente cuando exista claramente la asignación clara de
responsabilidades. Si se ignora este paso importante, se corre el
riesgo de posteriores objeciones, críticas y
malentendidos, que pueden significar problemas y grandes
retrasos.
Otro requisito previo necesario para tener éxito
involucra la perspectiva de la Junta Directiva y la alta
gerencia. Sólo después de que sus miembros tomen
conciencia de que
los activos de información son un factor vital para el
éxito de la organización, es que la seguridad
informática es apreciada como un asunto serio que merece
atención. En caso contrario probablemente no apoyen la
idea de establecer políticas de seguridad
La alta gerencia debe darse cuenta que hay problemas serios de
seguridad y que se requiere de políticas para afrontarlos.
Si bien esto puede parecer obvio, muchos intentos de desarrollar
e implantar las políticas no ha llegado a ninguna parte
porque no se habían echado las bases. El trabajo
previo incluye a menudo una breve presentación a la alta
gerencia para sensibilizarla sobre la necesidad de la seguridad
informática.
Idealmente, el desarrollo de
políticas de seguridad debe comenzarse después de
una evaluación a fondo de las vulnerabilidades, amenazas y
riesgos. Esta evaluación debería indicar,
quizás sólo a grandes rasgos, el valor de la
información en cuestión, los riesgos a los cuales
esa información se sujeta, y las vulnerabilidades
asociadas a la manera actual de manejar la información.
También pueden ser incluidos en la declaración de
las políticas, los tipos generales de riesgos enfrentados
por la organización, así como cualquier otra
información útil obtenida a partir del análisis de riesgos.
Un buen momento para desarrollar un conjunto de políticas
de seguridad es cuando se está preparando el manual de
seguridad para los activos de información. Debido a que
ese manual va a ser
distribuido a lo largo de toda la organización, representa
un medio excelente para incluir también las
políticas de seguridad. También pueden publicitarse
las políticas en material tal como video, carteles o
artículos en un periódico
interno.
Otro bueno momento es después de que haya ocurrido una
falla grave en seguridad, por ejemplo una intrusión de
hackers, un
fraude
informático, un accidente sin poder
recuperar los datos, un incendio y en general algún tipo
de daño o perjuicio que haya recibido la atención
de la alta gerencia. En este caso habrá un alto interés en
que se apliquen las políticas de seguridad y que se
implanten medidas más efectivas. Hay que actuar
rápidamente para desarrollar las políticas, ya que
el nivel de preocupación de los gerentes y de los
empleados tiende a decrecer luego que ha pasado el incidente.
Un buen objetivo a
tener presente cuando se redactan las políticas, es que
ellas deberían durante varios años, por ejemplo
cinco años. En realidad, se harán modificaciones
más a menudo, pero para evitar que se vuelvan obsoletas
rápidamente, debe elaborarse para que sean independientes
de productos comerciales específicos, estructuras
organizativas específicas, así
como las leyes
específicas y regulaciones.
Las cosas mueven muy rápidamente en el campo de tecnología,
incluyendo la seguridad informática. Por ejemplo, hace
apenas algunos años la mayoría de las
organizaciones no creían que era necesaria una política de seguridad
para Internet, pero
hoy día es muy importante.
Las políticas deben revisarse en forma periódica,
preferiblemente cada año, para asegurarse de que
todavía son pertinentes y efectivas. Es importante
eliminar aquellas políticas que ya no son útiles o
que ya no son aplicables. Este esfuerzo también
ayudará a mejorar la credibilidad de las actividades de
seguridad informática dentro de la organización.
Los empleados apreciarán que el personal de seguridad
informática no está allí para crear
más burocracia, sino
para realmente ocuparse de las medidas de seguridad requeridas
para proteger los recursos.
¿Cómo deben elaborarse las
políticas?
a) Recopilar material de apoyo
Para elaborar eficazmente un conjunto de políticas de
seguridad informática, debe haberse efectuado previamente
un análisis de riesgo que indique claramente las
necesidades de seguridad actuales de la organización.
Antecedentes de fallas en la seguridad, fraudes, demandas
judiciales y otros casos pueden proporcionar una
orientación sobre las áreas que necesitan
particular atención.
Para afinar aun más el proceso, se
debe tener copia de todas las otras políticas de
organización (o de otras organizaciones similares)
relativas a compra de equipos informáticos, recursos
humanos y seguridad física.
b) Definir un marco de referencia
Después de recopilar el material de apoyo, debe elaborarse
una lista de todos los tópicos a ser cubiertos dentro de
un conjunto de políticas de seguridad. La lista debe
incluir políticas que se piensa aplicar de inmediato
así como aquellas que se piensa aplicar en el
futuro.
c) Redactar la documentación
Después de preparar una lista de las áreas que
necesitan la atención y después de estar
familiarizados con la manera en que la organización
expresa y usa las políticas, se estará ahora listos
redactar las políticas, para lo cual pueden servir de
ayuda el ejemplo que se encuentra más adelante.
Las políticas van dirigidas a audiencias
significativamente distintas, en cuyo caso es aconsejable
redactar documentos
diferentes de acuerdo al tipo de audiencia. Por ejemplo, los
empleados podrían recibir un pequeño folleto que
contiene las políticas de seguridad más importantes
que ellos necesitan tener presente. En cambio, el
personal que trabaja en informática y en telecomunicaciones podrían recibir un
documento considerablemente más largo que proporciona
mucho más detalles.
Una vez que se hayan elaborado los documentos sobre
las políticas, deben ser revisados por un comité de
seguridad informática antes de ser sometido a
consideración de la Presidencia y Junta Directiva para su
aprobación. Este comité debería tener
representantes de los distintos departamentos de la
organización y una de sus funciones
más importantes es evaluar las políticas en la
luz de su
viabilidad, análisis costo/beneficio y
sus implicaciones. Las preguntas que debe contestar son, por
ejemplo: ¿Son estas políticas prácticas y
fácilmente aplicables?. ¿Son estas políticas
claras e inequívocas?
Es muy importante que la Junta Directiva apruebe las
políticas en el caso frecuente que ciertos empleados
objeten o piensen que ellos no necesitan obedecer.
Además es fundamental de que luego de la entrada en vigor,
las políticas se apliquen estrictamente, ya que de otra
forma se puede fomentar la hipocresía entre los empleados
y la tolerancia por
conductas inapropiadas. El tener políticas que no se
aplican puede ser peor que no tener políticas en
absoluto.
La aplicación de nuevas políticas es a menudo
más eficaz si los empleados han sido informados de
exactamente qué actividades representan trasgresiones de
la seguridad y qué penalización recibirían
si fueran encontrados culpables.
Un curso o taller de sensibilización es una forma muy
efectiva para dar a conocer las nuevas políticas.
Allí, por ejemplo, se explicaría que la
información interna es la propiedad de
organización, y que no puede ser copiada, modificada,
anulada o usada para otros propósitos sin la
aprobación de la gerencia.
La longitud del documento sobre las políticas
Las políticas de seguridad deben diseñarse de
acuerdo a las necesidades específicas e una
organización. Algunas organizaciones tienen muchas
políticas, mientras otros tienen sólo unas cuantas.
Como ejemplo, el manual sobre las políticas de seguridad
de British Telecom (una compañía telefónica
británica) es de más de 150 páginas,
mientras que el de Lockheed (una compañía
aerospacial) es de 75 páginas.
El personal de seguridad puede opinar que es necesario que todo
esté absolutamente claro y explícito sobre los
asuntos de seguridad informática. En estos casos puede que
se requiere un conjunto de políticas. Otros serán
renuentes a tener tantas políticas, prefiriendo enfatizar
la confianza en buen juicio y buen comportamiento
de los empleados.
Aunque un documento conciso será leído y asimilado
con más probabilidad, hay
mucho a favor de un conjunto completo y extenso de
políticas de seguridad. Un principio general es que se
deben promulgar sólo aquellas políticas que sean
absolutamente necesarias. Esto es debido a que las personas son
inherentemente muy diferentes entre sí, como
también son diferentes los grupos a que
pertenecen. El imponer un único conjunto de reglas para
todos puede llevar a resistencia y a
pobres resultados. En cambio, al
tener sólo aquellas políticas que son estrictamente
necesarias, se favorece la iniciativa personal y la creatividad.
Además tantas políticas de seguridad van a impedir
que el trabajo se
haga a tiempo.
En todo caso, en vez de emprender un trabajo a fondo, es mejor
empezar primero ocupándose de los aspectos esenciales,
para luego ir ampliando con políticas adicionales. Este
procedimiento
toma a menudo la forma de declaraciones separadas que se tratan
las áreas problemáticas, por ejemplo PCs, LANs e
Internet. De esta
manera es también más fácil conseguir la
aprobación de la alta gerencia así como de los
propios empleados. Por otro lado las políticas nunca
pueden tomar en cuenta todas las circunstancias y un conjunto
extenso y minucioso de políticas puede generar
críticas, disgusto y rechazo.
La extensión y el grado de detalle de las políticas
es una función de
tipo de audiencia y puede haber distintos documentos según
el caso. Por ejemplo, podría haber documentos para los
usuarios, la gerencia y el personal de informática. Muchas
de las políticas en cada uno de estos documentos
serían iguales, aunque el grado de detalle, las palabras
técnicas utilizadas, y el número de
ejemplos puede variar de un documento a otro. Para los usuarios
finales, el documento debe limitarse a unas cuantas
páginas. Para la gerencia habrá consideraciones
adicionales, tal como los aspectos legales, y es probable que
esto extienda el documento. Para el personal técnico
será todavía más largo y más
detallado.
Otro factor que afecta es el grado de seguridad requerido en la
organización. En general, cuánto mayor es el uso de
la información para las actividades de una
organización, mayor es la necesidad de seguridad. Por
ejemplo, un banco
tendrá muchas y extensas políticas, mientras que
una cadena de tiendas por departamentos tendrá menos
políticas. Por supuesto que actividades especialmente
delicadas, tal como salud y defensa, requieren
de políticas muy detalladas.
Adicionalmente al número de políticas, hay que
plantearse cuán larga debe ser la definición de
cada política. Las definiciones concisas, de unas cuantas
frases, son más aceptadas por los empleados ya que son
más fácilmente leídas y entendidas. En todo
caso deben ser suficientemente específicas para ser
entendidas e interpretadas sin ambigüedad, pero no deben ser
tan específicas que impidan adaptarlas a las condiciones
particulares de un sitio o departamento. Por ejemplo, se puede
promulgar una política la cual especifica que todos los
usuarios deben usar contraseñas difíciles de
adivinar. Esta política da la flexibilidad a un gerente local
para determinar su longitud mínima o un sistema
automático que chequee si realmente una dada
contraseña es difícil de adivinar.
Para ayudar a aclarar qué son las políticas, se
pueden incluir ejemplos específicos. Como ilustración, una política que
prohíbe el uso de los recursos computacionales para fines
personales podría incluir ejemplos sobre Internet Chat Relay
(IRC) o juegos por
computadora.
Si se opta por elaborar un conjunto muy completo de
políticas de seguridad, se aconseja hacerlo en dos etapas.
El primer paso involucra el obtener la aprobación de la
Junta Directiva para un conjunto genérico de
políticas, mientras que el segundo paso involucra la
aprobación para un conjunto más específico
de políticas. El conjunto genérico podría
incluir de 10 a 20 políticas, y el juego
específico podría incluir otras 50-100.
De hecho, si el conjunto inicial de políticas es demasiado
largo o severo, la Junta Directiva puede rechazarlo. Como
resultado, la ventana de tempo para conseguir la
aprobación puede cerrarse por un cierto periodo de tiempo
(a menudo un año o más). Así que se aconseja
elaborar un primero conjunto de políticas corto y
relativamente fácil de cumplir por parte del personal.
Después, cuando haya sido implantado y asimilado a lo
largo de la organización, se puede preparar una lista
más completa y más estricta. Es mucho mejor
proceder de forma relativamente lenta, con una serie pasos en el
desarrollo de políticas, y así lograr credibilidad
y apoyo, que preparar de una vez un solo documento extenso con
todas las políticas, el cual se rechaza porque fue
percibido como engorroso o excesivamente severo.
3. Ejemplo de
Políticas de Seguridad
1. Justificación
Los activos de información y los equipos
informáticos son recursos importantes y vitales de nuestra
Compañía. Sin ellos nos quedaríamos
rápidamente fuera del negocio y por tal razón la
Presidencia y la Junta Directiva tienen el deber de preservarlos,
utilizarlos y mejorarlos. Esto significa que se deben tomar las
acciones
apropiadas para asegurar que la información y los sistemas
informáticos estén apropiadamente protegidos de
muchas clases de amenazas y riesgos tales como fraude, sabotaje,
espionaje industrial, extorsión, violación de la
privacidad, intrusos, hackers,
interrupción de servicio,
accidentes y
desastres
naturales.
La información perteneciente a la Compañía
debe protegerse de acuerdo a su valor e
importancia. Deben emplearse medidas de seguridad sin importar
cómo la información se guarda (en papel o en
forma electrónica), o como se procesa (PCs,
servidores,
correo de voz, etc.), o cómo se transmite (correo
electrónico, conversación telefónica).
Tal protección incluye restricciones de acceso a los
usuarios de acuerdo a su cargo.
Las distintas gerencias de la Compañía están
en el deber y en la responsabilidad de consagrar tiempo y recursos
suficientes para asegurar que los activos de información
estén suficientemente protegidos. Cuando ocurra un
incidente grave que refleje alguna debilidad en los sistemas
informáticos, se deberán tomar las acciones
correctivas rápidamente para así reducir los
riesgos. En todo caso cada año el Comité de
Seguridad Informática llevará a cabo un
análisis de riesgos y se revisarán las
políticas de seguridad. Así mismo, se
preparará cada año un informe para la
Junta Directiva que muestre el estado
actual de la Compañía en cuanto a seguridad
informática y los progresos que se han logrado.
A todos los empleados, consultores y contratistas debe
proporcionárseles adiestramiento,
información, y advertencias para que ellos puedan proteger
y manejar apropiadamente los recursos informáticos de la
Compañía. Debe hacerse hincapié en que la
seguridad informática es una actividad tan vital para la
Compañía como lo son la contabilidad y
la nómina.
La finalidad de las políticas de seguridad que se
describen más adelante es proporcionar instrucciones
específicas sobre cómo mantener más seguros tanto los
computadores de la Compañía (conectados o no en
red), como la
información guardada en ellos. La violación de
dichas políticas puede acarrear medidas disciplinarias e
incluso el despido.
2. Responsabilidades
Los siguientes entes son responsables, en distintos grados, de la
seguridad en la Compañía:
- El Comité de Seguridad Informática
está compuesto por los representantes de los distintos
departamentos de la Compañía, así como por
el Gerente de
Informática, el Gerente de Telecomunicaciones (cuando exista), y el abogado
o representante legal de la Compañía. Este
Comité está encargado de elaborar y actualizar
las políticas, normas, pautas y procedimientos relativas
a seguridad en informática y telecomunicaciones.
También es responsable de coordinar el análisis
de riesgos, planes de contingencia y prevención de
desastres. Durante sus reuniones trimestrales o ad hoc, el
Comité efectuará la evaluación y
revisión de la situación de la
Compañía en cuanto a seguridad
informática, incluyendo el análisis de incidentes
ocurridos y que afecten la seguridad. - La Gerencia de Informática es responsable de
implantar y velar por el cumplimento de las políticas,
normas, pautas, y procedimientos de seguridad a lo largo de
toda la organización, todo esto en coordinación con la Junta Directiva y la
Gerencia de Telecomunicaciones (cuando exista). También
es responsable de evaluar, adquirir e implantar productos de
seguridad informática, y realizar las demás
actividades necesarias para garantizar un ambiente
informático seguro.
Además debe ocuparse de proporcionar apoyo
técnico y administrativo en todos los asuntos
relacionados con la seguridad, y en particular en los casos de
infección de virus,
penetración de hackers,
fraudes y otros percances. - El Jefe de Seguridad es responsable de dirigir las
investigaciones
sobre incidentes y problemas relacionados con la seguridad,
así como recomendar las medidas pertinentes. - El Administrador
de Sistemas es responsable de establecer los controles de
acceso apropiados para cada usuario, supervisar el uso de los
recursos informáticos, revisar las bitácoras de
acceso y de llevar a cabo las tareas de seguridad relativas a
los sistemas que administra, como por ejemplo, aplicar
inmediatamente los parches correctivos cuando le llegue la
notificación del fabricante del producto o
de un ente como el CERT (Computer Emergency Response Team). El
Administrador de Sistemas también es
responsable de informar al Jefe de Seguridad y a sus superiores
sobre toda actividad sospechosa o evento insólito.
Cuando no exista un Jefe de Seguridad, el Administrador de
Sistemas realizará sus funciones. - Los usuarios son responsables de cumplir con todas
las políticas de la Compañía relativas a
la seguridad informática y en particular: - Conocer y aplicar las políticas y
procedimientos apropiados en relación al manejo de
la información y de los sistemas
informáticos. - No divulgar información confidencial de la
Compañía a personas no
autorizadas. - No permitir y no facilitar el uso de los sistemas
informáticos de la Compañía a personas
no autorizadas. - No utilizar los recursos informáticos
(hardware, software o datos) y de
telecomunicaciones (teléfono, fax)
para otras actividades que no estén directamente
relacionadas con el trabajo en la
Compañía. - Proteger meticulosamente su contraseña y
evitar que sea vista por otros en forma
inadvertida. - Seleccionar una contraseña robusta que no
tenga relación obvia con el usuario, sus familiares,
el grupo de
trabajo, y otras asociaciones parecidas. - Reportar inmediatamente a su jefe inmediato a un
funcionario de Seguridad Informática cualquier
evento que pueda comprometer la seguridad de la
Compañía y sus recursos informáticos,
como por ejemplo contagio de virus, intrusos,
modificación o pérdida de datos y otras
actividades poco usuales.
- Conocer y aplicar las políticas y
3. Políticas de seguridad para
computadores
- Los computadores de la Compañía
sólo deben usarse en un ambiente
seguro. Se
considera que un ambiente es seguro cuando se han implantado
las medidas de control apropiadas para proteger el software, el
hardware y los datos. Esas medidas deben estar acorde a la
importancia de los datos y la naturaleza de
riesgos previsibles. - Los equipos de la Compañía sólo
deben usarse para actividades de trabajo y no para otros fines,
tales como juegos y
pasatiempos. - Debe respetarse y no modificar la
configuración de hardware y software establecida por el
Departamento de Informática - No se permite fumar, comer o beber mientras se
está usando un PC. - Deben protegerse los equipos de riesgos del
medioambiente (por ejemplo, polvo, incendio y agua). - Deben usarse protectores contra transitorios de
energía
eléctrica y en los servidores deben usarse fuentes de
poder
ininterrumpibles (UPS). - Cualquier falla en los computadores o en la red debe reportarse
inmediatamente ya que podría causar problemas serios
como pérdida de la información o indisponibilidad
de los servicios. - Deben protegerse los equipos para disminuir el riesgo
de robo, destrucción, y mal uso. Las medidas que se
recomiendan incluyen el uso de vigilantes y cerradura con
llave. - Los equipos deben marcarse para su
identificación y control de inventario. Los
registros de
inventario
deben mantenerse actualizados. - No pueden moverse los equipos o reubicarlos sin
permiso. Para llevar un equipo fuera de la
Compañía se requiere una autorización
escrita. - La pérdida o robo de cualquier componente de
hardware o programa de
software debe ser reportada inmediatamente. - Para prevenir el acceso no autorizado, los usuarios
deben usar un sistema de contraseñas robusto y
además deben configurar el protector de pantalla para
que se active al cabo de 15 minutos de inactividad y que
requiera una contraseña al reasumir la actividad.
Además el usuario debe activar el protector de pantalla
manualmente cada vez que se ausente de su oficina. - Si un PCs tiene acceso a datos confidenciales, debe
poseer un mecanismo de control de acceso especial,
preferiblemente por hardware. - Los datos confidenciales que aparezcan en la pantalla
deben protegerse de ser vistos por otras personas mediante
disposición apropiada del mobiliario de la oficina y
protector de pantalla. Cuando ya no se necesiten o no sean de
utilidad, los
datos confidenciales se deben borrar. - Debe implantarse un sistema de autorización y
control de acceso con el fin de restringir la posibilidad de
los usuarios para leer, escribir, modificar, crear, o borrar
datos importantes. Estos privilegios deben definirse de una
manera consistente con las funciones que desempeña cada
usuario. - No está permitido llevar al sitio de trabajo
computadores portátiles (laptops) y en caso de ser
necesario se requiere solicitar la autorización
correspondiente. - Para prevenir la intrusión de hackers a
través de puertas traseras, no está permitido el
uso de módems en PCs que tengan también
conexión a la red local (LAN), a
menos que sea debidamente autorizado. Todas las comunicaciones de datos deben efectuarse a
través de la LAN de la
Compañía. - A menos que se indique lo contrario, los usuarios
deben asumir que todo el software la Compañía
está protegido por derechos de
autor y requiere licencia de uso. Por tal razón es
ilegal y está terminantemente prohibido hacer copias o
usar ese software para fines personales.. - Los usuarios no deben copiar a un medio removible
(como un diskette), el software o los datos residentes en las
computadoras
de la Compañía, sin la aprobación previa
de la gerencia. - No pueden extraerse datos fuera de la sede de la
Compañía sin la aprobación previa de la
gerencia. Esta política es particularmente pertinente a
aquellos que usan a computadoras portátiles o
están conectados a redes como
Internet. - Debe instalarse y activarse una herramienta antivirus, la
cual debe mantenerse actualizada. Si se detecta la presencia de
un virus u otro agente potencialmente peligroso, se debe
notificar inmediatamente al Jefe de Seguridad
Informática y poner la PC en cuarentena hasta que el
problema sea resuelto. - Sólo pueden bajarse archivos de
redes externas
de acuerdo a los procedimientos establecidos. Debe utilizarse
un programa
antivirus para
examinar todo software que venga de afuera o inclusive de otros
departamentos de la Compañía. - No debe utilizarse software bajado de Internet y en
general software que provenga de una fuente no confiable, a
menos que se haya sido comprobado en forma rigurosa y que
esté aprobado su uso por el Departamento de
Informática. - Para prevenir demandas legales o la introducción de virus
informáticos, se prohíbe estrictamente la
instalación de software no autorizado, incluyendo el que
haya sido adquirido por el propio usuario. Así mismo, no
se permite el uso de software de distribución gratuita o shareware, a
menos que haya sido previamente aprobado por el Departamento de
Informática. - Para ayudar a restaurar los programas
originales no dañados o infectados, deben hacerse copias
de todo software nuevo antes de su uso, y deben guardarse tales
copias en un lugar seguro. - No deben usarse diskettes u otros medios de
almacenamiento en cualquier computadora
de la Compañía a menos que se haya previamente
verificado que están libres de virus u otros agentes
dañinos. - Periódicamente debe hacerse el respaldo de los
datos guardados en PCs y servidores y las copias de respaldo
deben guardarse en un lugar seguro, a prueba de hurto, incendio
e inundaciones. Los programas y
datos vitales para la operación de
Compañía debe guardarse en otra sede, lejos del
edificio. - Los usuarios de PCs son responsables de proteger los
programas y datos contra pérdida o daño. Para
sistemas multiusuario y sistemas de comunicaciones, el
Administrador de cada uno de esos sistemas es responsable de
hacer copias de respaldo periódicas. Los gerentes de los
distintos departamentos son responsables de definir qué
información debe respaldarse, así como la
frecuencia del respaldo (por ejemplo: diario, semanal) y el
método
de respaldo (por ejemplo: incremental, total). - La información de la Compañía
clasificada como confidencial o de uso restringido, debe
guardarse y transmitirse en forma cifrada, utilizando herramientas
de encriptado robustas y que hayan sido aprobadas por la
Gerencia de Informática. - No debe borrarse la información original no
cifrada hasta que se haya comprobado que se puede recuperar
desde los archivos
encriptados mediante el proceso de descifrado. - El acceso a las claves utilizadas para el cifrado y
descifrado debe limitarse estrictamente a las personas
autorizadas y en ningún caso deben revelarse a
consultores, contratistas y personal temporal. - Siempre que sea posible, deba eliminarse
información confidencial de de los computadores y
unidades de disco duro
antes de que les mande a reparar. Si esto no es posible, se
debe asegurar que la reparación sea efectuada por
empresas
responsables, con las cuales se haya firmado un contrato de
confidencialidad. Alternativamente, debe efectuarse la
reparación bajo la supervisión de una representante de la
Compañía. - No deben salirse las impresoras
desatendidas, sobre todo si se está imprimiendo (o se va
a imprimir) información confidencial de la
Compañía. - El personal que utiliza un computador
portátil que contenga información confidencial de
la Compañía, no debe dejarla desatendida, sobre
todo cuando esté de viaje, y además esa
información debe estar cifrada.
4. Políticas de seguridad para las
comunicaciones
Propiedad de
la información
Con el fin de mejorar la productividad, la
Compañía promueve el uso responsable de las
comunicaciones en forma electrónica, en particular el teléfono, el correo de voz, el correo
electrónico, y el fax. Los
sistemas de comunicación y los mensajes generados y
procesados por tales sistemas, incluyendo las copias de respaldo,
se deben considerar como propiedad de la Compañía y
no propiedad de los usuarios de los servicios de comunicación.
Uso de los sistemas de comunicación
- Los sistemas de comunicación de la
Compañía generalmente sólo deben usarse
para actividades de trabajo. El uso personal en forma ocasional
es permisible siempre y cuando consuma una cantidad
mínima de tiempo y recursos, y además no
interfiera con las productividad
del empleado ni con las actividades de la
Compañía. - Se prohíbe el uso de los sistemas de
comunicación para actividades comerciales privadas o
para propósitos de entretenimiento y
diversión. - La navegación en Internet para fines
personales no debe hacerse a expensas del tiempo y los recursos
de la Compañía y en tal sentido deben usarse las
horas no laborables.
Confidencialidad y privacidad
- Los recursos, servicios y conectividad disponibles
vía Internet abren nuevas oportunidades, pero
también introducen nuevos riesgos. En particular, no
debe enviarse a través de Internet mensajes con
información confidencial a menos que estén
cifrada. Para tal fin debe utilizarse PGP (Pretty Good
Privacy), Outolook, Outlook Express u otros productos
previamente aprobados por la Gerencia de
Informática. - Los empleados y funcionarios de la
Compañía no deben interceptar las comunicaciones
o divulgar su contenido. Tampoco deben ayudar a otros para que
lo hagan. La Compañía se compromete a respetar
los derechos de
sus empleados, incluyendo su privacidad. También se hace
responsable del buen funcionamiento y del buen uso de sus redes
de comunicación y para lograr esto, ocasionalmente es
necesario interceptar ciertas comunicaciones. - Es política de la Compañía no
monitorear regularmente las comunicaciones. Sin embargo, el uso
y el contenido de las comunicaciones puede ocasionalmente ser
supervisado en caso de ser necesario para actividades de
mantenimiento, seguridad o auditoría. Puede ocurrir que el personal
técnico vea el contenido de un mensaje de un empleado
individual durante el curso de resolución de un
problema. - De manera consistente con prácticas
generalmente aceptadas, la Compañía procesa datos
estadísticos sobre el uso de los sistemas de
comunicación. Como ejemplo, los reportes de la central
telefónica (PABX) contienen detalles sobre el
número llamado, la duración de la llamada, y la
hora en que se efectuó la llamada.
Reenvío de mensajes
Tomando en cuenta que cierta información está
dirigida a personas específicas y puede no ser apta para
otros, dentro y fuera de la Compañía, se debe
ejercer cierta cautela al remitir los mensajes. En todo caso no
debe remitirse información confidencial de la
Compañía sin la debida
aprobación.
Borrado de mensajes
Los mensajes que ya no se necesitan deben ser eliminados
periódicamente de su área de almacenamiento.
Con esto se reducen los riesgos de que otros puedan acceder a esa
información y además se libera espacio en
disco.
5. Políticas de seguridad para redes
Propósito
El propósito de esta
política es establecer las directrices, los procedimientos
y los requisitos para asegurar la protección apropiada de
la Compañía al estar conectada a redes de
computadoras.
Alcance
Esta política se aplica a todos los empleados,
contratistas, consultores y personal temporal de la
Compañía.
Aspectos generales
Es política de la Compañía prohibir la
divulgación, duplicación, modificación,
destrucción, pérdida, mal uso, robo y acceso no
autorizado de información propietaria. Además, es
su política proteger la información que pertenece a
otras empresas o personas y que le haya sido confiada.
Modificaciones
Todos los cambios en la central telefónica (PABX) y en los
servidores y equipos de red de la Compañía,
incluyendo la instalación de el nuevo software, el cambio
de direcciones IP, la
reconfiguración de routers y switchs, deben ser
documentados y debidamente aprobados, excepto si se trata de una
situación de emergencia. Todo esto es para evitar
problemas por cambios apresurados y que puedan causar
interrupción de las comunicaciones, caída de la
red, denegación de servicio o
acceso inadvertido a información confidencial.
Cuentas de los usuarios
- Cuando un usuario recibe una nueva cuenta, debe
firmar un documento donde declara conocer las políticas
y procedimientos de seguridad, y acepta sus responsabilidades
con relación al uso de esa cuenta. - La solicitud de una nueva cuenta o el cambio de
privilegios debe ser hecha por escrito y debe ser debidamente
aprobada. - No debe concederse una cuenta a personas que no sean
empleados de la Compañía a menos que estén
debidamente autorizados, en cuyo caso la cuenta debe expirar
automáticamente al cabo de un lapso de 30
días. - Privilegios especiales, tal como la posibilidad de
modificar o barrar los archivos de otros usuarios, sólo
deben otorgarse a aquellos directamente responsable de la
administración o de la seguridad de los
sistemas. - No deben otorgarse cuentas a
técnicos de mantenimiento ni permitir su acceso remoto a
menos que el Administrador de Sistemas o el Gerente de
Informática determinen que es necesario. En todo caso
esta facilidad sólo debe habilitarse para el periodo de
tiempo requerido para efectuar el trabajo (como por ejemplo, el
mantenimiento remoto). Si hace falta una conexión remota
durante un periodo más largo, entonces se debe usar un
sistema de autenticación más robusto basado
contraseñas dinámicas, fichas
(tokens) o tarjetas
inteligentes. - Se prohíbe el uso de cuentas
anónimas o de invitado (guest) y los usuarios deben
entrar al sistema mediante cuentas que indiquen claramente su
identidad.
Esto también implica que los administradores de sistemas
Unix no
deben entrar inicialmente como "root", sino primero empleando
su propio ID y luego mediante "set userid" para obtener el
acceso como "root". En cualquier caso debe registrarse en la
bitácora todos los cambios de ID. - Toda cuenta queda automáticamente suspendida
después de un cierto periodo de inactividad. El periodo
recomendado es de 30 días. - Los privilegios del sistema concedidos a los usuarios
deben ser ratificados cada 6 meses. El Administrador de
Sistemas debe revocar rápidamente la cuenta o los
privilegios de un usuario cuando reciba una orden de un
superior, y en particular cuando un empleado cesa en sus
funciones. - Cuando un empleado es despedido o renuncia a la
Compañía, debe desactivarse su cuenta antes de
que deje el cargo.
Contraseñas y el control de acceso
- El usuario no debe guardar su contraseña en
una forma legible en archivos en disco, y tampoco debe
escribirla en papel y
dejarla en sitios donde pueda ser encontrada. Si hay
razón para creer que una contraseña ha sido
comprometida, debe cambiarla inmediatamente. No deben usarse
contraseñas que son idénticas o substancialmente
similares a contraseñas previamente empleadas. Siempre
que posible, debe impedirse que los usuarios vuelvan a usar
contraseñas anteriores. - Nunca debe compartirse la contraseña o
revelarla a otros. El hacerlo expone al usuario a las
consecuencias por las acciones que los otros hagan con esa
contraseña. - Está prohibido el uso de contraseñas de
grupo para
facilitar el acceso a archivos, aplicaciones, bases de datos,
computadoras, redes, y otros recursos del sistema. Esto se
aplica en particular a la contraseña del
administrador. - Las contraseña inicial emitida a un nuevo
usuario sólo debe ser válida para la primera
sesión. En ese momento, el usuario debe escoger otra
contraseña. - Las contraseñas predefinidas que traen los
equipos nuevos tales como routers, switchs, etc., deben
cambiarse inmediatamente al ponerse en servicio el
equipo. - Para prevenir ataques, cuando el software del sistema
lo permita, debe limitarse a 3 el número de consecutivos
de intentos infructuosos de introducir la contraseña,
luego de lo cual la cuenta involucrada queda suspendida y se
alerta al Administrador del sistema. Si se trata de acceso
remoto vía módem por discado, la sesión
debe ser inmediatamente desconectada. - Para el acceso remoto a los recursos
informáticos de la Compañía, la
combinación del ID de usuario y una contraseña
fija no proporciona suficiente seguridad, por lo que se
recomienda el uso de un sistema de autenticación
más robusto basado en contraseñas
dinámicas, fichas
(tokens) o tarjetas
inteligentes. - Si no ha habido ninguna actividad en un terminal, PC
o estación de trabajo durante un cierto periodo de
tiempo, el sistema debe automáticamente borrar la
pantalla y suspender la sesión. El periodo recomendado
de tiempo es de 15 minutos. El re-establecimiento de la
sesión requiere que el usuario proporcione se autentique
mediante su contraseña (o utilice otro mecanismo, por
ejemplo, tarjeta inteligente o de proximidad). - Si el sistema de control de acceso no está
funcionando propiamente, debe rechazar el acceso de los
usuarios hasta que el problema se haya solucionado. - Los usuarios no deben intentar violar los sistemas de
seguridad y de control de acceso. Acciones de esta naturaleza
se consideran violatorias de las políticas de la
Compañía, pudiendo ser causal de
despido. - Para tener evidencias en casos de acciones
disciplinarias y judiciales, cierta clase de información
debe capturarse, grabarse y guardarse cuando se sospeche que se
esté llevando a cabo abuso, fraude u otro crimen que
involucre los sistemas informáticos. - Los archivos de bitácora (logs) y los
registros de auditoría (audit trails) que graban los
eventos
relevantes sobre la seguridad de los sistemas
informáticos y las comunicaciones, deben revisarse
periódicamente y guardarse durante un tiempo prudencial
de por lo menos tres meses. Dicho archivos son importantes para
la detección de intrusos, brechas en la seguridad,
investigaciones, y otras actividades de
auditoría. Por tal razón deben protegerse para
que nadie los pueda alterar y que sólo los pueden leer
las personas autorizadas. - Los servidores de red y los equipos de
comunicación (PABX, routers, etc.) deben estar ubicados
en locales apropiados, protegidos contra daños y robo.
Debe restringirse severamente el acceso a estos locales y a los
cuartos de cableado a personas no autorizadas mediante el uso
de cerraduras y otros sistemas de acceso (por ejemplo, tarjetas
de proximidad).
Autor:
Víctor Cappuccio
Versión 1