Documente Academic
Documente Profesional
Documente Cultură
Objetivo
En esta semana estudiaremos con más profundidad las
políticas de seguridad informática, el significado de un
manual de procedimientos para nuestra organización, y
diversos métodos para evaluar el valor de la información de
la misma.
POLÍTICAS GENERALES DE
SEGURIDAD
Rango de acción de las políticas. Esto se refiere a las personas sobre las
cuales se posa la ley, así como los sistemas a los que afecta.
Reconocimiento de la información como uno de los principales activos de
la empresa.
Objetivo principal de la política y objetivos secundarios de la misma. Si se
hace referencia a un elemento particular, hacer una descripción de dicho
elemento.
Responsabilidades generales de los miembros y sistemas de la empresa.
Como la política cubre ciertos dispositivos y sistemas, estos deben tener
un mínimo nivel de seguridad. Se debe definir este umbral mínimo.
Explicación de lo que se considera una violación y sus repercusiones ante
el no cumplimiento de las leyes.
Responsabilidad que tienen los usuarios frente a la información a la que
tienen acceso.
El siguiente paso es determinar quiénes son las personas que dan las
órdenes sobre los elementos valorados en la empresa. Ellos deben
conocer el proceso de las PSI, ya que sobre ellos recae la responsabilidad
de los activos críticos.
Antes que nada, se crea una base de análisis para el sistema de seguridad, que
está basada en varios elementos:
- Factor humano de la empresa
- Mecanismos y procedimientos con que cuenta la empresa
- Ambiente en que se desenvuelve la organización
- Consecuencias posibles si falla la seguridad de la empresa
- Amenazas posibles de la empresa.
Luego de evaluado todo este conjunto de elementos, que conforman la base del
análisis del sistema de seguridad se procede a realizar el programa de
seguridad, El cual contiene todos los pasos a tomar para asegurar la seguridad
deseada. Luego de realizado este programa, se pasa al plan de acción, que
posee todas las acciones a llevar a cabo para implantar el programa de
seguridad. El paso siguiente es crear un manual de procedimientos y
normativas, que serán en suma la forma en la que cada
Aunque no todas las empresas son conscientes de los riesgos que corren al no
tener PSI en su organización, algunas gastan gran cantidad de tiempo y esfuerzo
definiéndolas, convenciendo a los altos mandos (labor extremadamente ardua,
ya que estas políticas no aumentan el rendimiento del sistema y a veces lo
vuelven más complicado), para que finalmente sean escritas y archivadas para
nunca ser usadas. ¿Qué pasa en esos casos? ¿Por qué ocurre esto?
Las PSI se definen como el conjunto de lineamientos que una organización debe
seguir para garantizar la seguridad de sus sistemas, lineamientos que
constituyen un compromiso de la organización para actuar de manera apropiada
en situaciones que vulneren la seguridad de la misma. Es por esta razón que se
agrupan en el conjunto de acciones usadas por la empresa para proteger sus
activos. Sin embargo, siendo lineamientos, estas políticas no constituyen una
garantía para la seguridad de la organización.
Esta estratificación es muy importante porque define los límites de las personas
encargadas de cada uno de los temas concernientes a la seguridad. Ambos
estratos deben ser independientes y nunca una persona encargada de un estrato
puede intervenir o administrar el otro. En cada estrato debe haber una definición
de funciones y una separación suficiente de tareas. En este caso, en el estrato
técnico - administrativo por ejemplo, pueden existir coordinadores en
Riesgos en la organización
En definitiva, las amenazas pueden llegar a afectar los datos, las personas, los
equipos, los programas, o en un caso extremo, a todos de ellos (desastres
Ahora, aunque el umbral de riesgo es escogido por los altos mandos para la
configuración de las PSI, existen unos niveles de trabajo con la información que
no pueden ser ignorados, y que deben aplicarse en todo momento para proteger
la información. Estos niveles de ri se verán a continuación.
¿Qué es este algoritmo? No es más que un modelo que permite observar las
diversas vulnerabilidades de un sistema (niveles de trabajo), y a partid de ellos,
permite hacer un análisis de los posibles pasos a seguir.
Hasta acá hemos usado de manera genérica el vocablo “recurso”, pero debemos
definirlo de una manera correcta para poder seguir entendiendo el algoritmo
productor/consumido (o algoritmo P-C).
Con este término claramente definido, procedemos a explicar cada una de las
vulnerabilidades, teniendo en cuenta que cualquier acción que se lleve a cabo
para mantener estable el modelo, tiene como objetivo atacar uno de los 4 casos.
Todas las acciones correctivas que se lleven a cabo con el fin de respetar el
modelo estarán orientadas a atacar uno de los cuatro casos. Explicaremos y
daremos ejemplos de cada uno de ellos.
Por ejemplo:
Una vez que estamos enterados de que hay sólo cuatro posibles casos de
causas posibles de problemas, ¿Qué se hace? Hay que identificar los recursos
dentro de la organización.
Es claro hasta ahora que el principal objetivo de una PSI es asegurar los
elementos de una organización, y que el estudio de la seguridad consiste en
El umbral de riesgo que puede aceptar una organización debe tener una forma
cuantificable para ser medida, que permita identificar de quien se protege el
recurso, cual es el recurso a proteger, y cómo debe protegerse. Nunca será igual
de prioritario proteger una impresora de la empresa, que la base de datos de
clientes de la misma. ¿Cómo generamos una valoración apropiada entonces de
estos elementos? Usando 2 criterios:
Ejemplo práctico
Router:
R1 = 6, W1 = 7
Bridge:
R2 = 6, W2 = 3
Router:
WR1 = R1 * W1 = 6 * 7 = 42
Bridge:
WR2 = R2 * W2 = 6 * 3 = 1.8
Servidor:
WR3 = R3 * W3 = 10 * 10 = 100
Por los puntajes es evidente que el servidor es aquel elemento con mayor riesgo,
y el que debe protegerse de manera prioritaria. Con este dato procederíamos a
buscar soluciones para proteger nuestro servidor de amenazas externas.
- Personas: los usuarios y las personas que operan los sistemas. Las
personas siempre serán el primer bloque de importancia de una
organización.
- Hardware: Todo elemento externo que pueda procesar, contener, mostrar
o transportar datos.
- Software: herramientas tecnológicas para procesar los datos.
- Datos: Aquellos que se almacenan, se transportan, se almacenan fuera
de los elementos de hardware, backups, etc.
- Documentación: toda la información usada para aprender el
funcionamiento de los sistemas de la organización.
- Accesorios: Elementos usados para soportar el trabajo en la organización.
Este punto de los usuarios es muy importante. Para definir lo que cada uno de
los usuarios puede hacer en el sistema se realizan un conjunto de listas en las
que se engloban, en grupos de trabajo, aquellos que pueden acceder a
determinado recurso y los privilegios de acceso. Un ejemplo de esta tabla es la
siguiente:
Chequeos:
Diarios:
- Extracción de un logístico sobre el volumen de correo transportado y
las conexiones de red creadas durante las 24 horas del día
Semanal
- Extracción de un logístico del número de ingresos desde afuera de la
red interna
- Logístico de el número de conexiones externas hechas desde el
interior de la red
Mensual
- Comparación de los logísticos de las semanas para detectar
anomalías y cambios.
CheckList