La falta de políticas en seguridad es uno de los problemas más graves que confrontan las organizaciones hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos. La políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos.
Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos. Las políticas son obligatorias, mientras que las recomendaciones o directrices son más bien opcionales. De hecho, las declaraciones de políticas de seguridad pueden transformarse fácilmente en recomendaciones reemplazando la palabra "debe" con la palabra "debería".
Por otro lado las políticas son de jerarquía superior a las normas, estándares y procedimientos que también requieren ser acatados. Las políticas consisten de declaraciones genéricas, mientras las normas hacen referencia específica a tecnologías, metodologías, procedimientos de implementación y otros aspectos en detalle. Además las políticas deberían durar durante muchos años, mientras que las normas y procedimientos duran menos tiempo.
El establecimiento de políticas corresponde a un mecanismo que permite asegurar que la seguridad se mantenga en todas las situaciones y se deriva del "compromiso con la seguridad" de la organización. La idea detrás de todo esto es que nadie puede saber de antemano lo que piensa el administrador o el encargado de la seguridad sin ser informado. Muchas organizaciones no tienen esto en cuenta y se da el caso en que un gerente se limita a reunir a los empleados y decirles "no hagan nada que pueda atentar contra la seguridad de la organización, o serán castigados ..." El problema es que la gente normalmente no piensa en términos de seguridad sino en términos de cumplimiento de obligaciones y logro de resultados, y el camino más corto no siempre es el más seguro.
Las políticas también son diferentes de las medidas de seguridad o de los mecanismos de control. Un ejemplo de esto último sería un sistema de cifrado para las comunicaciones o para los datos confidenciales guardados en discos y cintas. En muchos casos las políticas definen metas o objetivos generales que luego se alcanzan por medio de medidas de seguridad. En general, las políticas definen las áreas sobre las cuales debe enfocarse la atención en lo que concierne a la seguridad. Las políticas podrían dictar que todo el software desarrollado o adquirido se pruebe a fondo antes de utilizarse. Se necesitará tomar en cuenta varios detalles sobre cómo aplicar esta política. Por ejemplo, la metodología a usar para probar el software.
¿Por qué son importantes las políticas?
a) Por que aseguran la aplicación correctas de las medidas de seguridad
b) Por que guían el proceso de selección e implantación de los productos de seguridad
c) Por que demuestran el apoyo de la Presidencia y de la Junta Directiva
d) Para evitar responsabilidades legales
e) Para lograr una mejor seguridad
Normativas internas de Seguridad
Son las encargadas de asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación, así como tambien de los materiales y equipos de una organización. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar unas normas conviene:
Elaborar reglas y procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en caso de posibles errores.
Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad informática.
Las normas y procedimientos necesitan ser actualizadas más a menudo que las políticas porque hoy día cambian muy rápidamente las tecnologías informáticas, las estructuras organizativas, los procesos de negocios y los procedimientos. Por ejemplo, una norma de seguridad de cifrado podría especificar el uso del estándar DES (Data Encryption Standard). Esta norma probablemente deberá será revisada o reemplazada en los próximos años.
Ejemplo de Políticas de Seguridad:
Políticas de seguridad para computadores
• Los computadores de la Compañía sólo deben usarse en un ambiente seguro.
• Los equipos de la Compañía sólo deben usarse para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos.
• Debe respetarse y no modificar la configuración de hardware y software establecida por el Departamento de Informática.
• No se permite fumar, comer o beber mientras se está usando un PC.
• Deben protegerse los equipos de riesgos del medioambiente (por ejemplo, polvo, incendio y agua).
• Entre otros.
Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos. Las políticas son obligatorias, mientras que las recomendaciones o directrices son más bien opcionales. De hecho, las declaraciones de políticas de seguridad pueden transformarse fácilmente en recomendaciones reemplazando la palabra "debe" con la palabra "debería".
Por otro lado las políticas son de jerarquía superior a las normas, estándares y procedimientos que también requieren ser acatados. Las políticas consisten de declaraciones genéricas, mientras las normas hacen referencia específica a tecnologías, metodologías, procedimientos de implementación y otros aspectos en detalle. Además las políticas deberían durar durante muchos años, mientras que las normas y procedimientos duran menos tiempo.
El establecimiento de políticas corresponde a un mecanismo que permite asegurar que la seguridad se mantenga en todas las situaciones y se deriva del "compromiso con la seguridad" de la organización. La idea detrás de todo esto es que nadie puede saber de antemano lo que piensa el administrador o el encargado de la seguridad sin ser informado. Muchas organizaciones no tienen esto en cuenta y se da el caso en que un gerente se limita a reunir a los empleados y decirles "no hagan nada que pueda atentar contra la seguridad de la organización, o serán castigados ..." El problema es que la gente normalmente no piensa en términos de seguridad sino en términos de cumplimiento de obligaciones y logro de resultados, y el camino más corto no siempre es el más seguro.
Las políticas también son diferentes de las medidas de seguridad o de los mecanismos de control. Un ejemplo de esto último sería un sistema de cifrado para las comunicaciones o para los datos confidenciales guardados en discos y cintas. En muchos casos las políticas definen metas o objetivos generales que luego se alcanzan por medio de medidas de seguridad. En general, las políticas definen las áreas sobre las cuales debe enfocarse la atención en lo que concierne a la seguridad. Las políticas podrían dictar que todo el software desarrollado o adquirido se pruebe a fondo antes de utilizarse. Se necesitará tomar en cuenta varios detalles sobre cómo aplicar esta política. Por ejemplo, la metodología a usar para probar el software.
¿Por qué son importantes las políticas?
a) Por que aseguran la aplicación correctas de las medidas de seguridad
b) Por que guían el proceso de selección e implantación de los productos de seguridad
c) Por que demuestran el apoyo de la Presidencia y de la Junta Directiva
d) Para evitar responsabilidades legales
e) Para lograr una mejor seguridad
Normativas internas de Seguridad
Son las encargadas de asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación, así como tambien de los materiales y equipos de una organización. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar unas normas conviene:
Elaborar reglas y procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en caso de posibles errores.
Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad informática.
Las normas y procedimientos necesitan ser actualizadas más a menudo que las políticas porque hoy día cambian muy rápidamente las tecnologías informáticas, las estructuras organizativas, los procesos de negocios y los procedimientos. Por ejemplo, una norma de seguridad de cifrado podría especificar el uso del estándar DES (Data Encryption Standard). Esta norma probablemente deberá será revisada o reemplazada en los próximos años.
Ejemplo de Políticas de Seguridad:
Políticas de seguridad para computadores
• Los computadores de la Compañía sólo deben usarse en un ambiente seguro.
• Los equipos de la Compañía sólo deben usarse para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos.
• Debe respetarse y no modificar la configuración de hardware y software establecida por el Departamento de Informática.
• No se permite fumar, comer o beber mientras se está usando un PC.
• Deben protegerse los equipos de riesgos del medioambiente (por ejemplo, polvo, incendio y agua).
• Entre otros.
No hay comentarios:
Publicar un comentario