Control de lectura evolución de la informática en el desarrollo social 1
Lectura Polìticas de Seguridad Informática
-
Upload
jorgeivanramirezsandoval -
Category
Documents
-
view
216 -
download
0
Transcript of Lectura Polìticas de Seguridad Informática
-
8/14/2019 Lectura Polticas de Seguridad Informtica
1/6
PAUTAS Y RECOMENDACIONES PARA ELABORARPOLTICAS DE SEGURIDAD INFORMTICA (PSI)
Jeimy J. CANO__________________________________________________________________
Descriptores: Seguridad, Informtica, Polticas de Seguridad, Controles, Seguridad Informtica.
Resumen
Este documento es un ejercicio fruto de la experiencia y documentacin de situaciones
propias de las organizaciones que requieren una posicin frente a la definicin o ms
bien, identificacin de las directrices de seguridad informtica que intrnsecamente
maneja. Ofrece un resumen de ideas prcticas que pueden orientar la elaboracin de
polticas de seguridad informtica.
INTRODUCCIN
Actualmente la seguridad informtica ha tomado gran auge, dadas las cambiantescondiciones y nuevas plataformas de computacin disponibles. La posibilidad de
interconectarse a travs de redes, ha abierto nuevos horizontes para explorar ms all
de las fronteras nacionales, situacin que ha llevado la aparicin de nuevas amenazas
en los sistemas computarizados.
Esto ha llevado a que muchas organizaciones gubernamentales y no gubernamentalesinternacionales [1,2] hayan desarrollado documentos y directrices que orientan en el
uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el
mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cualpuede ocasionar serios problemas en los bienes y servicios de las empresas en el
mundo.
En este sentido, las polticas de seguridad informtica (PSI) surgen como una
herramienta organizacional para concientizar a cada uno de los miembros de unaorganizacin sobre la importancia y sensibilidad de la informacin y servicios crticos
que permiten a la compaa desarrollarse y mantenerse en su sector de negocios.
De acuerdo con lo anterior, el proponer o identificar una poltica de seguridad
requiere un alto compromiso con la organizacin, agudeza tcnica para establecerfallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin
Ingeniero de Sistemas y Computacin, Universidad de los Andes, Colombia. Maestra en
Sistemas y Computacin, Universidad de los Andes, Colombia. Doctor of Philosophy inBusiness Administration, Newport University, USA. Profesor de la Facultad de Derecho,
Universidad de los Andes, Colombia.Email: [email protected]
1
-
8/14/2019 Lectura Polticas de Seguridad Informtica
2/6
del dinmico ambiente que rodea las organizaciones modernas.
QU SON LAS POLTICAS DE SEGURIDAD INFORMTICA?
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y
los gerentes. [3, pg.382] Las PSI establecen el canal formal de actuacin del
personal, en relacin con los recursos y servicios informticos importantes de laorganizacin.
No es una descripcin tcnica de mecanismos de seguridad, ni una expresin legal
que involucre sanciones a conductas de los empleados, es ms bien una descripcin
de los que deseamos proteger y el por qu de ello.
Cada PSI es una invitacin de la organizacin a cada uno de sus miembros areconocer la informacin como uno de sus principales activos as como, un motor de
intercambio y desarrollo en el mbito de sus negocios. Invitacin que debe concluir
en una posicin consciente y vigilante del personal por el uso y limitaciones de losrecursos y servicios informticos crticos de la compaa.
ELEMENTOS DE UNA POLTICA DE SEGURIDAD INFORMTICA
Como hablamos en la seccin anterior, una PSI debe orientar las decisiones que se
toman en relacin con la seguridad. Por tanto, requiere una disposicin de cada unode los miembros de la empresa para lograr una visin conjunta de lo que se considera
importante.
Las PSI deben considerar entre otros, los siguientes elementos: [4]
Alcance de la polticas, incluyendo facilidades, sistemas y personal sobre la cual
aplica.
Objetivos de la poltica y descripcin clara de los elementos involucrados en su
definicin.
Responsabilidades por cada uno de los servicios y recursos informticos a todos
los niveles de la organizacin.
Requerimientos mnimos
para configuracin de la seguridad de los sistemas quecobija el alcance de la poltica.
p Nota al pie del autor de la referencia 4: Los requerimientos mnimos de seguridad para la
configuracin de los sistemas pueden contener estndares los cuales se pueden aplicar a unsubconjunto de facilidades o reas organizacionales que se encuentren dentro del alcance de la
poltica.
2
-
8/14/2019 Lectura Polticas de Seguridad Informtica
3/6
Definicin de violaciones y de las consecuencias del no cumplimiento de la
poltica.
Responsabilidades de los usuarios con respecto a la informacin a la que l o ella
tiene acceso.
Las PSI deben ofrecer explicaciones comprensibles sobre por qu deben tomarse
ciertas decisiones, transmitir por qu son importantes stos u otros recursos o
servicios.
De igual forma, las PSI establecen las expectativas de la organizacin en relacin conla seguridad y lo que ella puede esperar de las acciones que la materializan en la
compaa. Deben mantener un lenguaje comn libre de tecnicismos y trminos
legales que impidan una comprensin clara de las mismas, sin sacrificar su precisiny formalidad dentro de la empresa.
Por otro lado, la poltica de debe especificar la autoridad que debe hacer que las cosas
ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicacionessobre la clase de sanciones que se puedan imponer. No debe especificar con exactitudque pasar cuando algo suceda; no es una sentencia obligatoria de la ley. [4, pg.383]
Finalmente, las PSI como documentos dinmicos de la organizacin, deben seguir un
proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes:
crecimiento de la planta de personal, cambio en la infraestructura computacional, altarotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de
negocios entre otros.
ALGUNOS PARMETROS PARA ESTABLECER POLTICAS DESEGURIDAD
Si bien las caractersticas de la PSI que hemos mencionado hasta el momento, nos
muestran una perspectiva de las implicaciones en la formulacin de estas directrices,
revisemos algunos aspectos generales recomendados para la formulacin de lasmismas.
Considere efectuar un ejercicio de anlisis de riesgos informtico, a travs del cual
valore sus activos, el cual le permitir afinar las PSI de su organizacin.
Involucre a los reas propietarias de los recursos o servicios, pues ellos poseen la
experiencia y son fuente principal para establecer el alcance y las definiciones deviolaciones a la PSI.
Comunique a todo el personal involucrado en el desarrollo de las PSI, los
beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de
seguridad.
Recuerde que es necesario identificar quin tiene la autoridad para tomar
3
-
8/14/2019 Lectura Polticas de Seguridad Informtica
4/6
decisiones, pues son ellos los interesados en salvaguardar los activos crticos de lafuncionalidad de su rea u organizacin.
Desarrolle un proceso de monitoreo peridico de las directrices en el hacer de la
organizacin, que permita una actualizacin oportuna de las mismas
Un consejo ms, no d por hecho algo que es obvio. Haga explcito y concreto los
alcances y propuestas de seguridad, con el propsito de evitar sorpresas y malos
entendidos en el momento de establecer los mecanismos de seguridad querespondan a las PSI trazadas.
POR QU LAS POLTICAS DE SEGURIDAD INFORMTICAGENERALMENTE NO SE LOGRAN IMPLANTAR?
Muchas veces las organizaciones realizan grandes esfuerzos para definir susdirectrices de seguridad y concretarlas en documentos que orienten las acciones de las
mismas, con relativo xito. Segn algunos estudios [5] resulta una labor ardua el
convencer a los altos ejecutivos de la necesidad de buenas polticas y prcticas deseguridad informtica.
Muchos de los inconvenientes se inician por los tecnicismos informticos y la falta de
una estrategia de mercadeo de los especialistas en seguridad, que llevan a los altos
directivos a pensamientos como: ms dinero para los juguetes de los ingenieros.Esta situacin ha llevado a que muchas empresas con activos muy importantes, se
encuentren expuestas a graves problemas de seguridad, que en muchos de los casos
lleva a comprometer su informacin sensitiva y por ende su imagen corporativa.
Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que laspersonas relevantes entienden los asuntos importantes de la seguridad, conocen sus
alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos.
En particular, la gente debe saber las consecuencias de sus decisiones, incluyendo lo
mejor y lo peor que podra ocurrir. [3, pg.394] Una buena intrusin o una travesurapuede convertir a las personas que no entendieron, en blanco de las polticas o en
seuelos de los verdaderos vndalos.
Luego, para que las PSI logren abrirse espacio al interior de una organizacin deben
integrarse a las estrategias del negocio, a su misin y visin, con el propsito de quelos que toman las decisiones reconozcan su importancia e incidencias en las
proyecciones y utilidades de la compaa. De igual forma, las PSI deben ir
acompaadas de una visin de negocio que promueva actividades que involucren alas personas en su diario hacer, donde se identifiquen las necesidades y acciones que
materializan las polticas.
En este contexto, el entender la organizacin, sus elementos culturales y
comportamientos nos deben llevar a reconocer las pautas de seguridad necesarias y
4
-
8/14/2019 Lectura Polticas de Seguridad Informtica
5/6
suficientes que aseguren confiabilidad en las operaciones y funcionalidad de lacompaa.
A continuacin algunas recomendaciones para vender las preocupaciones sobre la
seguridad informtica:
Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que
capten la atencin de sus interlocutores.
Asocie el punto anterior a las estrategias de negocio y la imagen de la empresa en
el desarrollo de sus actividades.
Articule las estrategias de seguridad informtica con el proceso de toma de
decisiones y los principios de integridad, confidencialidad y disponibilidad de la
informacin.
Muestre una valoracin costo-beneficio, ante una falla de seguridad.
Desarrolle las justificaciones de la importancia de la seguridad informtica enfuncin de hechos y preguntas concretas, que muestren el impacto, limitaciones y
beneficios sobre los activos claves de la organizacin
Un consejo ms, sea oportuno y sagaz para presentar su producto, procurando
tener la mayor informacin del negocio y los riesgos asociados con los activos
crticos de la organizacin.
LAS POLTICAS DE SEGURIDAD INFORMTICA COMO BASE DE LAADMINISTRACIN DE LA SEGURIDAD INTEGRAL.
Las polticas de seguridad informtica conforman el conjunto de lineamientos que
una organizacin debe seguir para asegurar la confiabilidad de sus sistemas. En razn
a lo anterior, son parte del engranaje del sistema de seguridad que la organizacinposee para salvaguardar sus activos.
Las PSI constituyen las alarmas y compromisos compartidos en la organizacin, que
le permiten actuar proactivamente ante situaciones que comprometan su integridad.
Por tanto, deben constituir un proceso continuo y retroalimentado que observe laconcientizacin, mtodos de acceso a la informacin, monitoreo de cumplimiento y
renovacin, aceptacin de las directrices y estrategia de implantacin, que lleven a
una formulacin de directivas institucionales que logren aceptacin general.Las polticas por s solas no constituyen una garanta para la seguridad de laorganizacin, ellas deben responder a intereses y necesidades organizacionales
basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por
administrar sus recursos, y a reconocer en los mecanismos de seguridad informticafactores que facilitan la formalizacin y materializacin de los compromisos
adquiridos con la organizacin.
5
-
8/14/2019 Lectura Polticas de Seguridad Informtica
6/6
REFERENCIAS
1. Organisation for Economic Cooperation and Development (OEDC) Guidelines forSecurity of Information Systems. 1992.
2. SWANSON et al. (1996) National Institute of Standard and Technology (NIST).
General Principles for Information Systems Security Policies.
3. CHAPMAN, B y ZWICKY, E.(1997) Construya Firewalls para Internet. OReally.Edicin en Espaol por McGraw Hill.
4. BAYUK, J. (1997) Security through process management. Price Waterhouse, LLP.
5. WILSON, M (1996) Marketing and Implementing Computer Security. NIST.
6