UNIVERSIDAD AUTONOMA DE CIUDAD JUAREZINSTITUTO DE INGENIERIA Y
TECNOLOGIAAriel Rubn Galvn Astorga98474Seguridad de la Informacin
I
Poltica de seguridad
El trmino poltica de seguridad se suele definir como el conjunto
de requisitos definidos por los responsables directos o indirectos
de un sistema que indica en trminos generales qu est y qu no est
permitido en el rea de seguridad durante la operacin general de
dicho sistema.
Cualquier poltica ha de contemplar seis elementos claves en la
seguridad de un sistema informtico:
Disponibilidad Es necesario garantizar que los recursos del
sistema se encontrarn disponibles cuando se necesitan,
especialmente la informacin crtica. Utilidad Los recursos del
sistema y la informacin manejada en el mismo ha de ser til para
alguna funcin. Integridad La informacin del sistema ha de estar
disponible tal y como se almacen por un agente autorizado.
Autenticidad El sistema ha de ser capaz de verificar la identidad
de sus usuarios, y los usuarios la del sistema. Confidencialidad La
informacin slo ha de estar disponible para agentes autorizados,
especialmente su propietario. Posesin Los propietarios de un
sistema han de ser capaces de controlarlo en todo momento; perder
este control en favor de un usuario malicioso compromete la
seguridad del sistema hacia el resto de usuarios.
Componentes de una poltica de seguridad
Una poltica de privacidad Una poltica de acceso Una poltica de
autenticacin Una poltica de contabilidad Una poltica de
mantenimiento Una poltica de divulgacin de informacin
Polticas de seguridad informtica
Las Polticas de Seguridad Informtica deben considerar
principalmente los siguientes elementos:
Alcance de las polticas, incluyendo facilidades, sistemas y
personal sobre la cual aplica. Objetivos de la poltica y descripcin
clara de los elementos involucrados en su definicin.
Responsabilidades por cada uno de los servicios y recursos
informticos aplicado a todos los niveles de la organizacin.
Requerimientos mnimos para configuracin de la seguridad de los
sistemas que abarca el alcance de la poltica. Definicin de
violaciones y sanciones por no cumplir con las polticas.
Responsabilidades de los usuarios con respecto a la informacin a la
que tiene acceso.
Las polticas de seguridad informtica, tambin deben ofrecer
explicaciones comprensibles sobre por qu deben tomarse ciertas
decisiones y explicar la importancia de los recursos. Igualmente,
debern establecer las expectativas de la organizacin en relacin con
la seguridad y especificar la autoridad responsable de aplicar los
correctivos o sanciones.
Las polticas de seguridad deben redactarse en un lenguaje
sencillo y entendible, libre de tecnicismos y trminos ambiguos que
impidan una comprensin clara de las mismas, claro est sin
sacrificar su precisin.
Las polticas de seguridad deben seguir un proceso de
actualizacin peridica sujeto a los cambios organizacionales
relevantes, como son: el aumento de personal, cambios en la
infraestructura computacional, alta rotacin de personal, desarrollo
de nuevos servicios, regionalizacin de la empresa, cambio o
diversificacin del rea de negocios, etc.
Es importante que al momento de formular las polticas de
seguridad informtica, se consideren por lo menos los siguientes
aspectos:
Efectuar un anlisis de riesgos informticos, para valorar los
activos y as adecuar las polticas a la realidad de la empresa.
Reunirse con los departamentos dueos de los recursos, ya que ellos
poseen la experiencia y son la principal fuente para establecer el
alcance y definir las violaciones a las polticas. Comunicar a todo
el personal involucrado sobre el desarrollo de las polticas,
incluyendo los beneficios y riesgos relacionados con los recursos y
bienes, y sus elementos de seguridad. Identificar quin tiene la
autoridad para tomar decisiones en cada departamento, pues son
ellos los interesados en salvaguardar los activos crticos su rea.
Monitorear peridicamente los procedimientos y operaciones de la
empresa, de forma tal, que ante cambios las polticas puedan
actualizarse oportunamente. Detallar explcita y concretamente el
alcance de las polticas con el propsito de evitar situaciones de
tensin al momento de establecer los mecanismos de seguridad que
respondan a las polticas trazadas.
Estandares de seguridad informtica
Dentro de cada una de las organizaciones que tengan su
operatividad basada en tecnologas de la informacin, es recomendable
implementar buenas prcticas de seguridad informtica, ya que en la
mayora de casos en que no se sigue un proceso de implementacin
adecuado, puede generar huecos que aumenten la posibilidad de
riesgos en la informacin. Para el efecto, se crean normas y
estndares internacionales de alto nivel para la administracin de la
seguridad informtica como por ejemplo el ISO 20000.
ISO 20000
La ISO 20000 fue publicada en diciembre de 2005 y es la primera
norma en el mundo especficamente dirigida a la gestin de los
servicios de TI. La ISO 20000 fue desarrollada en respuesta a la
necesidad de establecer procesos y procedimientos para minimizar
los riesgos en los negocios provenientes de un colapso tcnico del
sistema de TI de las organizaciones. ISO 20000 describe un conjunto
integrado de procesos que permiten prestar en forma eficaz
servicios de TI a las organizaciones y a sus clientes.
La norma ISO/IEC 20000 est formada por cinco partes bajo el
mismo ttulo Tecnologa de la informacin. Gestin del servicio:
ISO 20000-1: EspecificacionesEsta parte de la norma ISO 20000
establece los requisitos que necesitan las empresas para disear,
implementar y mantener la gestin de servicios TI. Esta norma ISO
20000 plantea un mapa de procesos que permite ofrecer servicios de
TI con una calidad aceptable para los clientes.
ISO 20000-2: Cdigo de buenas prcticasDescribe las mejoras
prcticas adoptadas por la industria en relacin con los procesos de
gestin del servicio TI, que permite cubrir las necesidades de
negocio del cliente, con los recursos acordados, as como asumir un
riesgo entendido y aceptable.
ISO 20000-3: Gua sobre la definicin del alcance y aplicabilidad
de la norma ISO/IEC 20000-1Proporciona orientacin sobre la
definicin del alcance, aplicabilidad y la demostracin de la
conformidad con los proveedores de servicios orientados a
satisfacer los requisitos de la norma ISO 20000-1, as como los
proveedores de servicios que estn planeando mejoras en el servicio
con la intencin de utilizar la norma como un objetivo de
negocio.
ISO 20000-4: Modelo de referencia de procesosEl modelo de
referencia de proceso proporcionado en la norma ISO / IEC TR
20000-4:2010 es una representacin lgica de los elementos de los
procesos dentro de la gestin de servicios que pueden ser realizadas
en un nivel bsico. Usando el modelo de referencia en una aplicacin
prctica podra requerir elementos adicionales adecuados para el
entorno y circunstancias. ISO 20000-5: Ejemplo de implementacinISO
/ IEC TR 20000-5:2010 es un plan de implementacin ejemplar que
provee orientacin a proveedores de servicios sobre cmo implementar
un sistema de gestin de servicios para cumplir con los requisitos
de la norma ISO / IEC 20000-1 o para proveedores de servicios que
estn planeando mejoras en el servicio e intentan utilizar la norma
ISO / IEC 20000 como un objetivo de negocio. Tambin podra ser til
para los proveedores de servicios de asesoramiento en cmo lograr de
mejor forma los requisitos de la norma ISO / IEC 20000-1.
Fuentes:
http://auditoriasistemas.com/auditoria-informatica/politicas-de-seguridad/
http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsec-html/node333.html
http://www.overti.es/iso-20000/
http://www.iso.org/iso/home/about.htm
http://www.iso.org/iso/home/search.htm?qt=20000&sort=rel&type=simple&published=on
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50624
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=51988
