La falta de políticas y procedimientos en seguridad es uno de los problemas
más graves que confrontan las empresas hoy día en lo que se refiere
a la protección de sus activos de información frente a peligros
externos e internos.
La políticas de seguridad son esencialmente orientaciones e instrucciones
que indican cómo manejar los asuntos de seguridad y forman la base de
un plan maestro para la implantación efectiva de medidas de protección
tales como: identificación y control de acceso, respaldo de datos, planes
de contingencia y detección de intrusos.
Si bien las políticas varían considerablemente según el
tipo de organización de que se trate, en general incluyen declaraciones
generales sobre metas, objetivos, comportamiento y responsabilidades de los
empleados en relación a las violaciones de seguridad. A menudo las políticas
van acompañadas de normas, instrucciones y procedimientos.
Las políticas son obligatorias, mientras que las recomendaciones o directrices
son más bien opcionales. De hecho, las declaraciones de políticas
de seguridad pueden transformarse fácilmente en recomendaciones reemplazando
la palabra "debe" con la palabra "debería".
Por otro lado las políticas son de jerarquía superior a las normas,
estándares y procedimientos que también requieren ser acatados.
Las políticas consisten de declaraciones genéricas, mientras las
normas hacen referencia específica a tecnologías, metodologías,
procedimientos de implementación y otros aspectos en detalle. Además
las políticas deberían durar durante muchos años, mientras
que las normas y procedimientos duran menos tiempo.
Las normas y procedimientos necesitan ser actualizadas más a menudo que
las políticas porque hoy día cambian muy rápidamente las
tecnologías informáticas, las estructuras organizativas, los procesos
de negocios y los procedimientos. Por ejemplo, una norma de seguridad de cifrado
podría especificar el uso del estándar DES (Data Encryption Standard).
Esta norma probablemente deberá será revisada o reemplazada en
los próximos años.
Las políticas son distintas y de un nivel superior a los procedimientos,
que son los pasos operacionales específicos que deben llevarse a cabo
para lograr una cierta meta. Como ejemplo, hay procedimientos específicos
para realizar copias de seguridad de la información contenida en los
discos duros de los servidores.
Una declaración sobre políticas describe sólo la forma
general de manejar un problema específico, pero no debe ser demasiado
detallada o extensa, en cuyo caso se convertiría en un procedimiento.
Las políticas también son diferentes de las medidas de seguridad
o de los mecanismos de control. Un ejemplo de esto último sería
un sistema de cifrado para las comunicaciones o para los datos confidenciales
guardados en discos y cintas. En muchos casos las políticas definen metas
o objetivos generales que luego se alcanzan por medio de medidas de seguridad.
En general, las políticas definen las áreas sobre las cuales debe
enfocarse la atención en lo que concierne a la seguridad. Las políticas
podrían dictar que todo el software desarrollado o adquirido se pruebe
a fondo antes de utilizarse. Se necesitará tomar en cuenta varios detalles
sobre cómo aplicar esta política. Por ejemplo, la metodología
a usar para probar el software.
Un documento sobre políticas de seguridad contiene, entre muchos aspectos:
definición de seguridad para los activos de información, responsabilidades,
planes de contingencia, gestión de contraseñas, sistema de control
de acceso, respaldo de datos, manejo de virus e intrusos. También puede
incluir la forma de comprobar el cumplimiento y las eventuales medidas disciplinarias.
¿Por qué son importantes las políticas?
a) Por que aseguran la aplicación correctas de las medidas de seguridad
Con la ilusión de resolver los problemas de seguridad expeditamente,
en muchas organizaciones simplemente se compran uno o más productos de
seguridad. En estos casos, a menudo se piensa que nuevos productos (ya sea en
hardware, software, o servicios), es todo que se necesita. Luego que se instalan
los productos, sin embargo, se genera una gran desilusión al darse cuenta
que los resultados esperados no se han materializado. En un número grande
de casos, esta situación puede atribuirse al hecho que no se ha creado
una infraestructura organizativa adecuada para la seguridad informática.
Un ejemplo puede ayudar a aclarar este punto esencial. Supóngase que
una organización ha adquirido recientemente un producto de control de
acceso para una red de computadoras. La sola instalación del sistema
hará poco para mejorar la seguridad. Sea debe primero decidir cuáles
usuarios deben tener acceso a qué recursos de información, preferiblemente
definiendo cómo incorporar estos criterios en las políticas de
seguridad. También deben establecerse los procedimientos para que el
personal técnicas implante el control de acceso de una manera cónsona
con estas decisiones. Además debe definir la manera de revisar las bitácoras
(logs) y otros registros generados por el sistema. Éstas y otros medidas
constituyen parte de la infraestructura organizativa necesaria para que los
productos y servicios de seguridad sean efectivos.
Una empresa necesita de documentación sobre políticas, definiciones
de responsabilidades, directrices, normas y procedimientos para que se apliquen
las medidas de seguridad, los mecanismos de evaluación de riesgos y el
plan de seguridad. Las políticas y una estimación preliminar de
los riesgos son el punto de partida para establecer una infraestructura organizativa
apropiada, es decir, son los aspectos esenciales desde donde se derivan los
demás.
Continuando con el mismo ejemplo anterior de control de acceso, se debería
primero llevar a cabo un análisis de riesgo de los sistemas de información.
Esta evaluación de los riesgos también ayudará a definir
la naturaleza de las amenazas a los distintos recursos, así como las
contramedidas pertinentes. Luego pueden establecerse las políticas a
fin de tener una guía para la aplicación de tales medidas.
b) Por que guían el proceso de selección e implantación
de los productos de seguridad
La mayoría de las organizaciones no tiene los recursos para diseñar
e implantar medidas de control desde cero. Por tal razón a menudo escogen
soluciones proporcionadas por los fabricantes de productos de seguridad y luego
intentan adaptar esos productos a las políticas, procedimientos, normas
y demás esfuerzos de integración dentro de la organización.
Esto se realiza a menudo sin conocer o entender suficientemente los objetivos
y las metas de seguridad. Como resultado, los productos de seguridad escogidos
y su aplicación pueden no resultar adecuados a las verdaderas necesidades
de la organización.
Las políticas pueden proporcionar la comprensión y la guía
adicional que el personal necesita para actuar como desearía la gerencia
en lo que a seguridad se refiere. De manera que tales políticas pueden
ser una manera de garantizar de que se está apropiadamente seleccionando,
desarrollando e implantando los sistemas de seguridad.
c) Por que demuestran el apoyo de la Presidencia y de la Junta Directiva
La mayoría de las personas no está consciente de la gravedad de
los riesgos relativos a la seguridad y por eso no se toma el tiempo para analizar
estos riesgos a fondo. Además, como no tiene la experticia suficiente,
no es capaz de evaluar la necesidad de ciertas medidas de seguridad. Las políticas
son una manera clara y definitiva para que la alta gerencia pueda mostrar que:
1. La seguridad de los activos de información es importante
2. El personal debe prestar la atención debida a la seguridad.
Las políticas pueden entonces propiciar las condiciones para proteger los activos de información. Un ejemplo muy frecuente involucra a los gerentes a nivel medio que se resisten a asignar dinero para la seguridad en sus presupuestos. Pero si las políticas que han sido emitidas por la Junta Directiva o la alta gerencia, entonces los gerentes a nivel medio no podrán continuar ignorando las medidas de seguridad.
d) Para evitar responsabilidades legales
Se presentan cada vez más casos judiciales en los cuales se encuentra
responsables a empleados, y particularmente a gerentes, de no actuar apropiadamente
bien en lo referente a seguridad informática. La razón puede ser
atribuida a: negligencia, violación de confianza, fallas en el uso de
medidas de seguridad, mal práctica, etc. Estos casos se usan a menudo
con éxito para llamar la atención de la gerencia y para lograr
apoyo para los esfuerzos en seguridad informática.
e) Para lograr una mejor seguridad
Uno de los problemas más importantes en el campo de seguridad informática
lo representa los esfuerzos fragmentados e incoherentes. A menudo un departamento
estará a favor de las medidas de seguridad, mientras que otro dentro
de la misma organización se opondrá o será indiferente.
Si ambos departamentos comparten recursos informáticos (por ejemplo una
LAN o un servidor), el departamento que se opone pondrá en riesgo la
seguridad del otro departamento y de la organización completa. Aunque
no es ni factible ni deseable que todas las personas en una organización
se familiaricen con las complejidades de la seguridad informática, es
importante que todas ellas se comprometan con mantener algún nivel mínimo
de protección. Las políticas pueden usarse para definir el nivel
de esta protección mínima, a veces llamada línea de base.
Metodología para el Desarrollo de
Políticas y Procedimientos en Seguridad de Información
Introducción
Antes de embarcarse en un esfuerzo de elaborar las políticas de seguridad,
es aconsejable aclarar quién es responsable de promulgarlas y aplicarlas.
Solamente cuando exista claramente la asignación clara de responsabilidades.
Si se ignora este paso importante, se corre el riesgo de posteriores objeciones,
críticas y malentendidos, que pueden significar problemas y grandes retrasos.
Otro requisito previo necesario para tener éxito involucra la perspectiva
de la Junta Directiva y la alta gerencia. Sólo después de que
sus miembros tomen conciencia de que los activos de información son un
factor vital para el éxito de la organización, es que la seguridad
informática es apreciada como un asunto serio que merece atención.
En caso contrario probablemente no apoyen la idea de establecer políticas
de seguridad
La alta gerencia debe darse cuenta que hay problemas serios de seguridad y que
se requiere de políticas para afrontarlos. Si bien esto puede parecer
obvio, muchos intentos de desarrollar e implantar las políticas no ha
llegado a ninguna parte porque no se habían echado las bases. El trabajo
previo incluye a menudo una breve presentación a la alta gerencia para
sensibilizarla sobre la necesidad de la seguridad informática.
Idealmente, el desarrollo de políticas de seguridad debe comenzarse después
de una evaluación a fondo de las vulnerabilidades, amenazas y riesgos.
Esta evaluación debería indicar, quizás sólo a grandes
rasgos, el valor de la información en cuestión, los riesgos a
los cuales esa información se sujeta, y las vulnerabilidades asociadas
a la manera actual de manejar la información. También pueden ser
incluidos en la declaración de las políticas, los tipos generales
de riesgos enfrentados por la organización, así como cualquier
otra información útil obtenida a partir del análisis de
riesgos.
Un buen momento para desarrollar un conjunto de políticas de seguridad
es cuando se está preparando el manual de seguridad para los activos
de información. Debido a que ese manual va a ser distribuido a lo largo
de toda la organización, representa un medio excelente para incluir también
las políticas de seguridad. También pueden publicitarse las políticas
en material tal como video, carteles o artículos en un periódico
interno.
Otro bueno momento es después de que haya ocurrido una falla grave en
seguridad, por ejemplo una intrusión de hackers, un fraude informático,
un accidente sin poder recuperar los datos, un incendio y en general algún
tipo de daño o perjuicio que haya recibido la atención de la alta
gerencia. En este caso habrá un alto interés en que se apliquen
las políticas de seguridad y que se implanten medidas más efectivas.
Hay que actuar rápidamente para desarrollar las políticas, ya
que el nivel de preocupación de los gerentes y de los empleados tiende
a decrecer luego que ha pasado el incidente.
Un buen objetivo a tener presente cuando se redactan las políticas, es
que ellas deberían durante varios años, por ejemplo cinco años.
En realidad, se harán modificaciones más a menudo, pero para evitar
que se vuelvan obsoletas rápidamente, debe elaborarse para que sean independientes
de productos comerciales específicos, estructuras organizativas específicas,
así como las leyes específicas y regulaciones.
Las cosas mueven muy rápidamente en el campo de tecnología, incluyendo
la seguridad informática. Por ejemplo, hace apenas algunos años
la mayoría de las organizaciones no creían que era necesaria una
política de seguridad para Internet, pero hoy día es muy importante.
Las políticas deben revisarse en forma periódica, preferiblemente
cada año, para asegurarse de que todavía son pertinentes y efectivas.
Es importante eliminar aquellas políticas que ya no son útiles
o que ya no son aplicables. Este esfuerzo también ayudará a mejorar
la credibilidad de las actividades de seguridad informática dentro de
la organización. Los empleados apreciarán que el personal de seguridad
informática no está allí para crear más burocracia,
sino para realmente ocuparse de las medidas de seguridad requeridas para proteger
los recursos.
¿Cómo deben elaborarse las políticas?
a) Recopilar material de apoyo
Para elaborar eficazmente un conjunto de políticas de seguridad informática,
debe haberse efectuado previamente un análisis de riesgo que indique
claramente las necesidades de seguridad actuales de la organización.
Antecedentes de fallas en la seguridad, fraudes, demandas judiciales y otros
casos pueden proporcionar una orientación sobre las áreas que
necesitan particular atención.
Para afinar aun más el proceso, se debe tener copia de todas las otras
políticas de organización (o de otras organizaciones similares)
relativas a compra de equipos informáticos, recursos humanos y seguridad
física.
b) Definir un marco de referencia
Después de recopilar el material de apoyo, debe elaborarse una lista
de todos los tópicos a ser cubiertos dentro de un conjunto de políticas
de seguridad. La lista debe incluir políticas que se piensa aplicar de
inmediato así como aquellas que se piensa aplicar en el futuro.
c) Redactar la documentación
Después de preparar una lista de las áreas que necesitan la atención
y después de estar familiarizados con la manera en que la organización
expresa y usa las políticas, se estará ahora listos redactar las
políticas, para lo cual pueden servir de ayuda el ejemplo que se encuentra
más adelante.
Las políticas van dirigidas a audiencias significativamente distintas,
en cuyo caso es aconsejable redactar documentos diferentes de acuerdo al tipo
de audiencia. Por ejemplo, los empleados podrían recibir un pequeño
folleto que contiene las políticas de seguridad más importantes
que ellos necesitan tener presente. En cambio, el personal que trabaja en informática
y en telecomunicaciones podrían recibir un documento considerablemente
más largo que proporciona mucho más detalles.
Una vez que se hayan elaborado los documentos sobre las políticas, deben
ser revisados por un comité de seguridad informática antes de
ser sometido a consideración de la Presidencia y Junta Directiva para
su aprobación. Este comité debería tener representantes
de los distintos departamentos de la organización y una de sus funciones
más importantes es evaluar las políticas en la luz de su viabilidad,
análisis costo/beneficio y sus implicaciones. Las preguntas que debe
contestar son, por ejemplo: ¿Son estas políticas prácticas
y fácilmente aplicables?. ¿Son estas políticas claras e
inequívocas?
Es muy importante que la Junta Directiva apruebe las políticas en el
caso frecuente que ciertos empleados objeten o piensen que ellos no necesitan
obedecer.
Además es fundamental de que luego de la entrada en vigor, las políticas
se apliquen estrictamente, ya que de otra forma se puede fomentar la hipocresía
entre los empleados y la tolerancia por conductas inapropiadas. El tener políticas
que no se aplican puede ser peor que no tener políticas en absoluto.
La aplicación de nuevas políticas es a menudo más eficaz
si los empleados han sido informados de exactamente qué actividades representan
trasgresiones de la seguridad y qué penalización recibirían
si fueran encontrados culpables.
Un curso o taller de sensibilización es una forma muy efectiva para dar
a conocer las nuevas políticas. Allí, por ejemplo, se explicaría
que la información interna es la propiedad de organización, y
que no puede ser copiada, modificada, anulada o usada para otros propósitos
sin la aprobación de la gerencia.
La longitud del documento sobre las políticas
Las políticas de seguridad deben diseñarse de acuerdo a las necesidades
específicas e una organización. Algunas organizaciones tienen
muchas políticas, mientras otros tienen sólo unas cuantas. Como
ejemplo, el manual sobre las políticas de seguridad de British Telecom
(una compañía telefónica británica) es de más
de 150 páginas, mientras que el de Lockheed (una compañía
aerospacial) es de 75 páginas.
El personal de seguridad puede opinar que es necesario que todo esté
absolutamente claro y explícito sobre los asuntos de seguridad informática.
En estos casos puede que se requiere un conjunto de políticas. Otros
serán renuentes a tener tantas políticas, prefiriendo enfatizar
la confianza en buen juicio y buen comportamiento de los empleados.
Aunque un documento conciso será leído y asimilado con más
probabilidad, hay mucho a favor de un conjunto completo y extenso de políticas
de seguridad. Un principio general es que se deben promulgar sólo aquellas
políticas que sean absolutamente necesarias. Esto es debido a que las
personas son inherentemente muy diferentes entre sí, como también
son diferentes los grupos a que pertenecen. El imponer un único conjunto
de reglas para todos puede llevar a resistencia y a pobres resultados. En cambio,
al tener sólo aquellas políticas que son estrictamente necesarias,
se favorece la iniciativa personal y la creatividad. Además tantas políticas
de seguridad van a impedir que el trabajo se haga a tiempo.
En todo caso, en vez de emprender un trabajo a fondo, es mejor empezar primero
ocupándose de los aspectos esenciales, para luego ir ampliando con políticas
adicionales. Este procedimiento toma a menudo la forma de declaraciones separadas
que se tratan las áreas problemáticas, por ejemplo PCs, LANs e
Internet. De esta manera es también más fácil conseguir
la aprobación de la alta gerencia así como de los propios empleados.
Por otro lado las políticas nunca pueden tomar en cuenta todas las circunstancias
y un conjunto extenso y minucioso de políticas puede generar críticas,
disgusto y rechazo.
La extensión y el grado de detalle de las políticas es una función
de tipo de audiencia y puede haber distintos documentos según el caso.
Por ejemplo, podría haber documentos para los usuarios, la gerencia y
el personal de informática. Muchas de las políticas en cada uno
de estos documentos serían iguales, aunque el grado de detalle, las palabras
técnicas utilizadas, y el número de ejemplos puede variar de un
documento a otro. Para los usuarios finales, el documento debe limitarse a unas
cuantas páginas. Para la gerencia habrá consideraciones adicionales,
tal como los aspectos legales, y es probable que esto extienda el documento.
Para el personal técnico será todavía más largo
y más detallado.
Otro factor que afecta es el grado de seguridad requerido en la organización.
En general, cuánto mayor es el uso de la información para las
actividades de una organización, mayor es la necesidad de seguridad.
Por ejemplo, un banco tendrá muchas y extensas políticas, mientras
que una cadena de tiendas por departamentos tendrá menos políticas.
Por supuesto que actividades especialmente delicadas, tal como salud y defensa,
requieren de políticas muy detalladas.
Adicionalmente al número de políticas, hay que plantearse cuán
larga debe ser la definición de cada política. Las definiciones
concisas, de unas cuantas frases, son más aceptadas por los empleados
ya que son más fácilmente leídas y entendidas. En todo
caso deben ser suficientemente específicas para ser entendidas e interpretadas
sin ambigüedad, pero no deben ser tan específicas que impidan adaptarlas
a las condiciones particulares de un sitio o departamento. Por ejemplo, se puede
promulgar una política la cual especifica que todos los usuarios deben
usar contraseñas difíciles de adivinar. Esta política da
la flexibilidad a un gerente local para determinar su longitud mínima
o un sistema automático que chequee si realmente una dada contraseña
es difícil de adivinar.
Para ayudar a aclarar qué son las políticas, se pueden incluir
ejemplos específicos. Como ilustración, una política que
prohíbe el uso de los recursos computacionales para fines personales
podría incluir ejemplos sobre Internet Chat Relay (IRC) o juegos por
computadora.
Si se opta por elaborar un conjunto muy completo de políticas de seguridad,
se aconseja hacerlo en dos etapas. El primer paso involucra el obtener la aprobación
de la Junta Directiva para un conjunto genérico de políticas,
mientras que el segundo paso involucra la aprobación para un conjunto
más específico de políticas. El conjunto genérico
podría incluir de 10 a 20 políticas, y el juego específico
podría incluir otras 50-100.
De hecho, si el conjunto inicial de políticas es demasiado largo o severo,
la Junta Directiva puede rechazarlo. Como resultado, la ventana de tempo para
conseguir la aprobación puede cerrarse por un cierto periodo de tiempo
(a menudo un año o más). Así que se aconseja elaborar un
primero conjunto de políticas corto y relativamente fácil de cumplir
por parte del personal. Después, cuando haya sido implantado y asimilado
a lo largo de la organización, se puede preparar una lista más
completa y más estricta. Es mucho mejor proceder de forma relativamente
lenta, con una serie pasos en el desarrollo de políticas, y así
lograr credibilidad y apoyo, que preparar de una vez un solo documento extenso
con todas las políticas, el cual se rechaza porque fue percibido como
engorroso o excesivamente severo.
Ejemplo de Políticas de Seguridad
1. Justificación
Los activos de información y los equipos informáticos son recursos
importantes y vitales de nuestra Compañía. Sin ellos nos quedaríamos
rápidamente fuera del negocio y por tal razón la Presidencia y
la Junta Directiva tienen el deber de preservarlos, utilizarlos y mejorarlos.
Esto significa que se deben tomar las acciones apropiadas para asegurar que
la información y los sistemas informáticos estén apropiadamente
protegidos de muchas clases de amenazas y riesgos tales como fraude, sabotaje,
espionaje industrial, extorsión, violación de la privacidad, intrusos,
hackers, interrupción de servicio, accidentes y desastres naturales.
La información perteneciente a la Compañía debe protegerse
de acuerdo a su valor e importancia. Deben emplearse medidas de seguridad sin
importar cómo la información se guarda (en papel o en forma electrónica),
o como se procesa (PCs, servidores, correo de voz, etc.), o cómo se transmite
(correo electrónico, conversación telefónica). Tal protección
incluye restricciones de acceso a los usuarios de acuerdo a su cargo.
Las distintas gerencias de la Compañía están en el deber
y en la responsabilidad de consagrar tiempo y recursos suficientes para asegurar
que los activos de información estén suficientemente protegidos.
Cuando ocurra un incidente grave que refleje alguna debilidad en los sistemas
informáticos, se deberán tomar las acciones correctivas rápidamente
para así reducir los riesgos. En todo caso cada año el Comité
de Seguridad Informática llevará a cabo un análisis de
riesgos y se revisarán las políticas de seguridad. Así
mismo, se preparará cada año un informe para la Junta Directiva
que muestre el estado actual de la Compañía en cuanto a seguridad
informática y los progresos que se han logrado.
A todos los empleados, consultores y contratistas debe proporcionárseles
adiestramiento, información, y advertencias para que ellos puedan proteger
y manejar apropiadamente los recursos informáticos de la Compañía.
Debe hacerse hincapié en que la seguridad informática es una actividad
tan vital para la Compañía como lo son la contabilidad y la nómina.
La finalidad de las políticas de seguridad que se describen más
adelante es proporcionar instrucciones específicas sobre cómo
mantener más seguros tanto los computadores de la Compañía
(conectados o no en red), como la información guardada en ellos. La violación
de dichas políticas puede acarrear medidas disciplinarias e incluso el
despido.
2. Responsabilidades
Los siguientes entes son responsables, en distintos grados, de la seguridad
en la Compañía:
" El Comité de Seguridad Informática está compuesto
por los representantes de los distintos departamentos de la Compañía,
así como por el Gerente de Informática, el Gerente de Telecomunicaciones
(cuando exista), y el abogado o representante legal de la Compañía.
Este Comité está encargado de elaborar y actualizar las políticas,
normas, pautas y procedimientos relativas a seguridad en informática
y telecomunicaciones. También es responsable de coordinar el análisis
de riesgos, planes de contingencia y prevención de desastres. Durante
sus reuniones trimestrales o ad hoc, el Comité efectuará la evaluación
y revisión de la situación de la Compañía en cuanto
a seguridad informática, incluyendo el análisis de incidentes
ocurridos y que afecten la seguridad.
" La Gerencia de Informática es responsable de implantar y velar
por el cumplimento de las políticas, normas, pautas, y procedimientos
de seguridad a lo largo de toda la organización, todo esto en coordinación
con la Junta Directiva y la Gerencia de Telecomunicaciones (cuando exista).
También es responsable de evaluar, adquirir e implantar productos de
seguridad informática, y realizar las demás actividades necesarias
para garantizar un ambiente informático seguro. Además debe ocuparse
de proporcionar apoyo técnico y administrativo en todos los asuntos relacionados
con la seguridad, y en particular en los casos de infección de virus,
penetración de hackers, fraudes y otros percances.
" El Jefe de Seguridad es responsable de dirigir las investigaciones sobre
incidentes y problemas relacionados con la seguridad, así como recomendar
las medidas pertinentes.
" El Administrador de Sistemas es responsable de establecer los controles
de acceso apropiados para cada usuario, supervisar el uso de los recursos informáticos,
revisar las bitácoras de acceso y de llevar a cabo las tareas de seguridad
relativas a los sistemas que administra, como por ejemplo, aplicar inmediatamente
los parches correctivos cuando le llegue la notificación del fabricante
del producto o de un ente como el CERT (Computer Emergency Response Team). El
Administrador de Sistemas también es responsable de informar al Jefe
de Seguridad y a sus superiores sobre toda actividad sospechosa o evento insólito.
Cuando no exista un Jefe de Seguridad, el Administrador de Sistemas realizará
sus funciones.
" Los usuarios son responsables de cumplir con todas las políticas
de la Compañía relativas a la seguridad informática y en
particular:
" Conocer y aplicar las políticas y procedimientos apropiados en
relación al manejo de la información y de los sistemas informáticos.
" No divulgar información confidencial de la Compañía
a personas no autorizadas.
" No permitir y no facilitar el uso de los sistemas informáticos
de la Compañía a personas no autorizadas.
" No utilizar los recursos informáticos (hardware, software o datos)
y de telecomunicaciones (teléfono, fax) para otras actividades que no
estén directamente relacionadas con el trabajo en la Compañía.
" Proteger meticulosamente su contraseña y evitar que sea vista
por otros en forma inadvertida.
" Seleccionar una contraseña robusta que no tenga relación
obvia con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones
parecidas.
" Reportar inmediatamente a su jefe inmediato a un funcionario de Seguridad
Informática cualquier evento que pueda comprometer la seguridad de la
Compañía y sus recursos informáticos, como por ejemplo
contagio de virus, intrusos, modificación o pérdida de datos y
otras actividades poco usuales.
3. Políticas de seguridad para computadores
" Los computadores de la Compañía sólo deben usarse
en un ambiente seguro. Se considera que un ambiente es seguro cuando se han
implantado las medidas de control apropiadas para proteger el software, el hardware
y los datos. Esas medidas deben estar acorde a la importancia de los datos y
la naturaleza de riesgos previsibles.
" Los equipos de la Compañía sólo deben usarse para
actividades de trabajo y no para otros fines, tales como juegos y pasatiempos.
" Debe respetarse y no modificar la configuración de hardware y
software establecida por el Departamento de Informática
" No se permite fumar, comer o beber mientras se está usando un
PC.
" Deben protegerse los equipos de riesgos del medioambiente (por ejemplo,
polvo, incendio y agua).
" Deben usarse protectores contra transitorios de energía eléctrica
y en los servidores deben usarse fuentes de poder ininterrumpibles (UPS).
" Cualquier falla en los computadores o en la red debe reportarse inmediatamente
ya que podría causar problemas serios como pérdida de la información
o indisponibilidad de los servicios.
" Deben protegerse los equipos para disminuir el riesgo de robo, destrucción,
y mal uso. Las medidas que se recomiendan incluyen el uso de vigilantes y cerradura
con llave.
" Los equipos deben marcarse para su identificación y control de
inventario. Los registros de inventario deben mantenerse actualizados.
" No pueden moverse los equipos o reubicarlos sin permiso. Para llevar
un equipo fuera de la Compañía se requiere una autorización
escrita.
" La pérdida o robo de cualquier componente de hardware o programa
de software debe ser reportada inmediatamente.
" Para prevenir el acceso no autorizado, los usuarios deben usar un sistema
de contraseñas robusto y además deben configurar el protector
de pantalla para que se active al cabo de 15 minutos de inactividad y que requiera
una contraseña al reasumir la actividad. Además el usuario debe
activar el protector de pantalla manualmente cada vez que se ausente de su oficina.
" Si un PCs tiene acceso a datos confidenciales, debe poseer un mecanismo
de control de acceso especial, preferiblemente por hardware.
" Los datos confidenciales que aparezcan en la pantalla deben protegerse
de ser vistos por otras personas mediante disposición apropiada del mobiliario
de la oficina y protector de pantalla. Cuando ya no se necesiten o no sean de
utilidad, los datos confidenciales se deben borrar.
" Debe implantarse un sistema de autorización y control de acceso
con el fin de restringir la posibilidad de los usuarios para leer, escribir,
modificar, crear, o borrar datos importantes. Estos privilegios deben definirse
de una manera consistente con las funciones que desempeña cada usuario.
" No está permitido llevar al sitio de trabajo computadores portátiles
(laptops) y en caso de ser necesario se requiere solicitar la autorización
correspondiente.
" Para prevenir la intrusión de hackers a través de puertas
traseras, no está permitido el uso de módems en PCs que tengan
también conexión a la red local (LAN), a menos que sea debidamente
autorizado. Todas las comunicaciones de datos deben efectuarse a través
de la LAN de la Compañía.
" A menos que se indique lo contrario, los usuarios deben asumir que todo
el software la Compañía está protegido por derechos de
autor y requiere licencia de uso. Por tal razón es ilegal y está
terminantemente prohibido hacer copias o usar ese software para fines personales..
" Los usuarios no deben copiar a un medio removible (como un diskette),
el software o los datos residentes en las computadoras de la Compañía,
sin la aprobación previa de la gerencia.
" No pueden extraerse datos fuera de la sede de la Compañía
sin la aprobación previa de la gerencia. Esta política es particularmente
pertinente a aquellos que usan a computadoras portátiles o están
conectados a redes como Internet.
" Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse
actualizada. Si se detecta la presencia de un virus u otro agente potencialmente
peligroso, se debe notificar inmediatamente al Jefe de Seguridad Informática
y poner la PC en cuarentena hasta que el problema sea resuelto.
" Sólo pueden bajarse archivos de redes externas de acuerdo a los
procedimientos establecidos. Debe utilizarse un programa antivirus para examinar
todo software que venga de afuera o inclusive de otros departamentos de la Compañía.
" No debe utilizarse software bajado de Internet y en general software
que provenga de una fuente no confiable, a menos que se haya sido comprobado
en forma rigurosa y que esté aprobado su uso por el Departamento de Informática.
" Para prevenir demandas legales o la introducción de virus informáticos,
se prohíbe estrictamente la instalación de software no autorizado,
incluyendo el que haya sido adquirido por el propio usuario. Así mismo,
no se permite el uso de software de distribución gratuita o shareware,
a menos que haya sido previamente aprobado por el Departamento de Informática.
" Para ayudar a restaurar los programas originales no dañados o
infectados, deben hacerse copias de todo software nuevo antes de su uso, y deben
guardarse tales copias en un lugar seguro.
" No deben usarse diskettes u otros medios de almacenamiento en cualquier
computadora de la Compañía a menos que se haya previamente verificado
que están libres de virus u otros agentes dañinos.
" Periódicamente debe hacerse el respaldo de los datos guardados
en PCs y servidores y las copias de respaldo deben guardarse en un lugar seguro,
a prueba de hurto, incendio e inundaciones. Los programas y datos vitales para
la operación de Compañía debe guardarse en otra sede, lejos
del edificio.
" Los usuarios de PCs son responsables de proteger los programas y datos
contra pérdida o daño. Para sistemas multiusuario y sistemas de
comunicaciones, el Administrador de cada uno de esos sistemas es responsable
de hacer copias de respaldo periódicas. Los gerentes de los distintos
departamentos son responsables de definir qué información debe
respaldarse, así como la frecuencia del respaldo (por ejemplo: diario,
semanal) y el método de respaldo (por ejemplo: incremental, total).
" La información de la Compañía clasificada como confidencial
o de uso restringido, debe guardarse y transmitirse en forma cifrada, utilizando
herramientas de encriptado robustas y que hayan sido aprobadas por la Gerencia
de Informática.
" No debe borrarse la información original no cifrada hasta que
se haya comprobado que se puede recuperar desde los archivos encriptados mediante
el proceso de descifrado.
" El acceso a las claves utilizadas para el cifrado y descifrado debe limitarse
estrictamente a las personas autorizadas y en ningún caso deben revelarse
a consultores, contratistas y personal temporal.
" Siempre que sea posible, deba eliminarse información confidencial
de de los computadores y unidades de disco duro antes de que les mande a reparar.
Si esto no es posible, se debe asegurar que la reparación sea efectuada
por empresas responsables, con las cuales se haya firmado un contrato de confidencialidad.
Alternativamente, debe efectuarse la reparación bajo la supervisión
de una representante de la Compañía.
" No deben salirse las impresoras desatendidas, sobre todo si se está
imprimiendo (o se va a imprimir) información confidencial de la Compañía.
" El personal que utiliza un computador portátil que contenga información
confidencial de la Compañía, no debe dejarla desatendida, sobre
todo cuando esté de viaje, y además esa información debe
estar cifrada.
4. Políticas de seguridad para las comunicaciones
Propiedad de la información
Con el fin de mejorar la productividad, la Compañía promueve el
uso responsable de las comunicaciones en forma electrónica, en particular
el teléfono, el correo de voz, el correo electrónico, y el fax.
Los sistemas de comunicación y los mensajes generados y procesados por
tales sistemas, incluyendo las copias de respaldo, se deben considerar como
propiedad de la Compañía y no propiedad de los usuarios de los
servicios de comunicación.
Uso de los sistemas de comunicación
" Los sistemas de comunicación de la Compañía generalmente
sólo deben usarse para actividades de trabajo. El uso personal en forma
ocasional es permisible siempre y cuando consuma una cantidad mínima
de tiempo y recursos, y además no interfiera con las productividad del
empleado ni con las actividades de la Compañía.
" Se prohíbe el uso de los sistemas de comunicación para
actividades comerciales privadas o para propósitos de entretenimiento
y diversión.
" La navegación en Internet para fines personales no debe hacerse
a expensas del tiempo y los recursos de la Compañía y en tal sentido
deben usarse las horas no laborables.
Confidencialidad y privacidad
" Los recursos, servicios y conectividad disponibles vía Internet
abren nuevas oportunidades, pero también introducen nuevos riesgos. En
particular, no debe enviarse a través de Internet mensajes con información
confidencial a menos que estén cifrada. Para tal fin debe utilizarse
PGP (Pretty Good Privacy), Outolook, Outlook Express u otros productos previamente
aprobados por la Gerencia de Informática.
" Los empleados y funcionarios de la Compañía no deben interceptar
las comunicaciones o divulgar su contenido. Tampoco deben ayudar a otros para
que lo hagan. La Compañía se compromete a respetar los derechos
de sus empleados, incluyendo su privacidad. También se hace responsable
del buen funcionamiento y del buen uso de sus redes de comunicación y
para lograr esto, ocasionalmente es necesario interceptar ciertas comunicaciones.
" Es política de la Compañía no monitorear regularmente
las comunicaciones. Sin embargo, el uso y el contenido de las comunicaciones
puede ocasionalmente ser supervisado en caso de ser necesario para actividades
de mantenimiento, seguridad o auditoría. Puede ocurrir que el personal
técnico vea el contenido de un mensaje de un empleado individual durante
el curso de resolución de un problema.
" De manera consistente con prácticas generalmente aceptadas, la
Compañía procesa datos estadísticos sobre el uso de los
sistemas de comunicación. Como ejemplo, los reportes de la central telefónica
(PABX) contienen detalles sobre el número llamado, la duración
de la llamada, y la hora en que se efectuó la llamada.
Reenvío de mensajes
Tomando en cuenta que cierta información está dirigida a personas
específicas y puede no ser apta para otros, dentro y fuera de la Compañía,
se debe ejercer cierta cautela al remitir los mensajes. En todo caso no debe
remitirse información confidencial de la Compañía sin la
debida aprobación.
Borrado de mensajes
Los mensajes que ya no se necesitan deben ser eliminados periódicamente
de su área de almacenamiento. Con esto se reducen los riesgos de que
otros puedan acceder a esa información y además se libera espacio
en disco.
5. Políticas de seguridad para redes
Propósito
El propósito de esta política es establecer las directrices, los
procedimientos y los requisitos para asegurar la protección apropiada
de la Compañía al estar conectada a redes de computadoras.
Alcance
Esta política se aplica a todos los empleados, contratistas, consultores
y personal temporal de la Compañía.
Aspectos generales
Es política de la Compañía prohibir la divulgación,
duplicación, modificación, destrucción, pérdida,
mal uso, robo y acceso no autorizado de información propietaria. Además,
es su política proteger la información que pertenece a otras empresas
o personas y que le haya sido confiada.
Modificaciones
Todos los cambios en la central telefónica (PABX) y en los servidores
y equipos de red de la Compañía, incluyendo la instalación
de el nuevo software, el cambio de direcciones IP, la reconfiguración
de routers y switchs, deben ser documentados y debidamente aprobados, excepto
si se trata de una situación de emergencia. Todo esto es para evitar
problemas por cambios apresurados y que puedan causar interrupción de
las comunicaciones, caída de la red, denegación de servicio o
acceso inadvertido a información confidencial.
Cuentas de los usuarios
" Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde
declara conocer las políticas y procedimientos de seguridad, y acepta
sus responsabilidades con relación al uso de esa cuenta.
" La solicitud de una nueva cuenta o el cambio de privilegios debe ser
hecha por escrito y debe ser debidamente aprobada.
" No debe concederse una cuenta a personas que no sean empleados de la
Compañía a menos que estén debidamente autorizados, en
cuyo caso la cuenta debe expirar automáticamente al cabo de un lapso
de 30 días.
" Privilegios especiales, tal como la posibilidad de modificar o barrar
los archivos de otros usuarios, sólo deben otorgarse a aquellos directamente
responsable de la administración o de la seguridad de los sistemas.
" No deben otorgarse cuentas a técnicos de mantenimiento ni permitir
su acceso remoto a menos que el Administrador de Sistemas o el Gerente de Informática
determinen que es necesario. En todo caso esta facilidad sólo debe habilitarse
para el periodo de tiempo requerido para efectuar el trabajo (como por ejemplo,
el mantenimiento remoto). Si hace falta una conexión remota durante un
periodo más largo, entonces se debe usar un sistema de autenticación
más robusto basado contraseñas dinámicas, fichas (tokens)
o tarjetas inteligentes.
" Se prohíbe el uso de cuentas anónimas o de invitado (guest)
y los usuarios deben entrar al sistema mediante cuentas que indiquen claramente
su identidad. Esto también implica que los administradores de sistemas
Unix no deben entrar inicialmente como "root", sino primero empleando
su propio ID y luego mediante "set userid" para obtener el acceso
como "root". En cualquier caso debe registrarse en la bitácora
todos los cambios de ID.
" Toda cuenta queda automáticamente suspendida después de
un cierto periodo de inactividad. El periodo recomendado es de 30 días.
" Los privilegios del sistema concedidos a los usuarios deben ser ratificados
cada 6 meses. El Administrador de Sistemas debe revocar rápidamente la
cuenta o los privilegios de un usuario cuando reciba una orden de un superior,
y en particular cuando un empleado cesa en sus funciones.
" Cuando un empleado es despedido o renuncia a la Compañía,
debe desactivarse su cuenta antes de que deje el cargo.
Contraseñas y el control de acceso
" El usuario no debe guardar su contraseña en una forma legible
en archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios
donde pueda ser encontrada. Si hay razón para creer que una contraseña
ha sido comprometida, debe cambiarla inmediatamente. No deben usarse contraseñas
que son idénticas o substancialmente similares a contraseñas previamente
empleadas. Siempre que posible, debe impedirse que los usuarios vuelvan a usar
contraseñas anteriores.
" Nunca debe compartirse la contraseña o revelarla a otros. El hacerlo
expone al usuario a las consecuencias por las acciones que los otros hagan con
esa contraseña.
" Está prohibido el uso de contraseñas de grupo para facilitar
el acceso a archivos, aplicaciones, bases de datos, computadoras, redes, y otros
recursos del sistema. Esto se aplica en particular a la contraseña del
administrador.
" Las contraseña inicial emitida a un nuevo usuario sólo
debe ser válida para la primera sesión. En ese momento, el usuario
debe escoger otra contraseña.
" Las contraseñas predefinidas que traen los equipos nuevos tales
como routers, switchs, etc., deben cambiarse inmediatamente al ponerse en servicio
el equipo.
" Para prevenir ataques, cuando el software del sistema lo permita, debe
limitarse a 3 el número de consecutivos de intentos infructuosos de introducir
la contraseña, luego de lo cual la cuenta involucrada queda suspendida
y se alerta al Administrador del sistema. Si se trata de acceso remoto vía
módem por discado, la sesión debe ser inmediatamente desconectada.
" Para el acceso remoto a los recursos informáticos de la Compañía,
la combinación del ID de usuario y una contraseña fija no proporciona
suficiente seguridad, por lo que se recomienda el uso de un sistema de autenticación
más robusto basado en contraseñas dinámicas, fichas (tokens)
o tarjetas inteligentes.
" Si no ha habido ninguna actividad en un terminal, PC o estación
de trabajo durante un cierto periodo de tiempo, el sistema debe automáticamente
borrar la pantalla y suspender la sesión. El periodo recomendado de tiempo
es de 15 minutos. El re-establecimiento de la sesión requiere que el
usuario proporcione se autentique mediante su contraseña (o utilice otro
mecanismo, por ejemplo, tarjeta inteligente o de proximidad).
" Si el sistema de control de acceso no está funcionando propiamente,
debe rechazar el acceso de los usuarios hasta que el problema se haya solucionado.
" Los usuarios no deben intentar violar los sistemas de seguridad y de
control de acceso. Acciones de esta naturaleza se consideran violatorias de
las políticas de la Compañía, pudiendo ser causal de despido.
" Para tener evidencias en casos de acciones disciplinarias y judiciales,
cierta clase de información debe capturarse, grabarse y guardarse cuando
se sospeche que se esté llevando a cabo abuso, fraude u otro crimen que
involucre los sistemas informáticos.
" Los archivos de bitácora (logs) y los registros de auditoría
(audit trails) que graban los eventos relevantes sobre la seguridad de los sistemas
informáticos y las comunicaciones, deben revisarse periódicamente
y guardarse durante un tiempo prudencial de por lo menos tres meses. Dicho archivos
son importantes para la detección de intrusos, brechas en la seguridad,
investigaciones, y otras actividades de auditoría. Por tal razón
deben protegerse para que nadie los pueda alterar y que sólo los pueden
leer las personas autorizadas.
" Los servidores de red y los equipos de comunicación (PABX, routers,
etc.) deben estar ubicados en locales apropiados, protegidos contra daños
y robo. Debe restringirse severamente el acceso a estos locales y a los cuartos
de cableado a personas no autorizadas mediante el uso de cerraduras y otros
sistemas de acceso (por ejemplo, tarjetas de proximidad).
Documento preparado por: Víctor Cappuccio email c.victor@cantv.net
Versión 1
Fecha: 04-06-2002
Advertencia: Todos los derechos reservados. Toda información y diseño
de este sitio de Internet son propiedad material de Victor Cappuccio que son
propiedad original del autor o publicador. Está estrictamente prohibida
la reproducción, total o parcial del material encontrado en este sitio
de Internet, sin el consentimiento y aceptación por escrito del propietario.