Inicio > Seguridad > Políticas de Seguridad de la Información

Políticas de Seguridad de la Información

Hace tiempo cuando empecé a abordar el tema de la seguridad informática cometí el error de pensar que la seguridad en una organización podía lograrse con una gran cantidad de herramientas y elementos técnicos. El tiempo, la experiencia y la permanente capacitación me han demostrado cuan equivocado estaba y es por eso que he decidido volcar en estas líneas algunos argumentos que ayuden a aquellos que recién comienzan a no cometer los mismos errores.

En el mundo actual la INFORMACIÓN es el elemento primordial de cualquier organización y por ende la SEGURIDAD DE LA INFORMACIÓN (SI) es un asunto tan importante como la información misma, pues afecta directamente a la organización o a individuos de la misma.

Como aprendimos en la escuela siempre que hay un proceso de comunicación los elementos que intervienen son: la información transmitida, el emisor, el medio por el cual se transmite y el receptor.
Si acordamos en llamar ACTIVOS a estos elementos entonces, podremos identificar lo que la SI debe proteger:

  • a información
  • los equipos que la soportan
  • las personas que la utilizan

El primer paso para abordar el tema de la SI es reconocer los RIESGOS a los que están expuestos esos activos y el impacto que esto origina a los objetivos de la organización.

Actualmente existen infinidad de legislaciones, políticas, normas, metodologías y herramientas que dan soporte a la SI y que pueden ser libremente utilizadas por las organizaciones a fin de ordenar la gestión de la seguridad.

Algunas de estas normas simplemente buscan la normalización de las tareas, como es el caso de la ISO 17799, y otras tienen como objetivo la certificación internacional en estos temas, como la ISO-9001 o la BS-7799.

Más allá de cual sea el criterio aplicado, incluso puede ser uno propio, llegaremos a que todas las etapas se pueden resumir en el concepto que la SI tiene como objetivo preservar:

  • CONFIDENCIALIDAD: la información debe ser accesible sólo a aquellas personas autorizadas a tal fin.
  • INTEGRIDAD: la información y sus métodos de procesamiento deben ser completos y exactos.
  • DISPONIBILIDAD: la información y sus recursos relacionados deben estar disponibles cada vez que se los requiera.

Para lograr estos objetivos es fundamental contar con el acuerdo y compromiso de todos los involucrados, ser acordes y estar alineados a los objetivos generales de la organización.

Así, es más que claro que la seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión, política y procedimientos adecuados que consideren a las personas como el primer eslabón, y generalmente el más débil, de una compleja cadena de responsabilidades.

Abordar el problema de minimizar (o eliminar) estos riegos es un gran desafío pero lograremos un gran avance con tan solo organizar la gestión, aprovechar las opciones de seguridad de los sistemas utilizados, aprender a eliminar las configuraciones por defecto, utilizar herramientas licenciadas (o libres) y aprovechar la experiencia y base de conocimientos de aquellos que ya han superado exitosamente este desafío.

La evaluación de riesgos y, en general, las mejoras en la gestión de la SI puede aplicarse a toda la organización o solo a partes de la misma.

Para evaluar los riesgos se deben tener en cuenta las consecuencias (impacto potencial de una falla) y la probabilidad de que dicha falla ocurra. Estas fallas generalmente serán el producto de las amenazas y vulnerabilidades existentes y, los controles implementados para minimizarlas.

Una vez identificados los riesgos que enfrenta la organización y que atentan contra las tres propiedades deseables de la Información, deberemos establecer los requerimientos mínimos de seguridad deseados.

Para ellos deberemos analizar los riesgos identificados, los requisitos externos (leyes, contratos, reglamentaciones, etc.) y los requisitos internos que ha desarrollado la organización para respaldar sus operaciones (métodos de procesamiento de la información, normas, procesos, etc.).

La selección de los controles a implementar puede hacerse sobre normativas y estándares existentes o diseñarse nuevos en base a la experiencia y necesidades a satisfacer. Luego de evaluar los controles se tendrá un costo estimado de implementación que deberá contrastarse con los costos de asumir los riesgos.

Una vez seleccionados los controles a realizar para minimizar los riesgos identificados se deberá contar con un método de medición adecuado que nos permita establecer fehacientemente que dichos controles son efectivos habiendo logrado los resultados esperados.

Por último esta metodología deberá ser revisada periódicamente para identificar nuevos riesgos y controles a implementar. Así, habremos logrado un metodología de MEJORA CONTINUA en materia de SI que puede resumirse como:

Lo que es monitoreado, puede ser medido, y lo que es medido puede ser gestionado. En este proceso es vital la correcta definición de los indicadores de desempeño.

Según el Modelo de Shewhart-Deming de Mejora Continua citado anteriormente

(PHVA = Planificar-Hacer-Verificar-Actuar o PDCA = Plan-Do-Check-Act en inglés), estos indicadores nos dirán si:

  • lo que se Planeo se implementó (Planificación -> Implementación)
  • lo que se Implementó se revisó (Implementación -> Verificación)
  • lo que se Revisó se mantuvo y se mejoró (Verificación -> Acción)

Recordemos que el objetivo de la mejora continua debe ser soportado por un proceso de gestión y no por un proceso tecnológico.

Al ser este un proceso largo y tedioso, la política de seguridad podrá ser llevada a la práctica de la mejor manera posible siempre y cuando se definan claramente las tareas a realizar y el plan de acciones asociado. Para esta etapa es recomendable dividir estas tareas en:

  • Establecer objetivos y alcance de la política. La misma no necesariamente debe alcanzar toda la organización.
  • Clasificar, identificar y valorar los riesgos. Decidir las acciones a tomar sobre los riesgos.
  • Seleccionar los controles a implementar para mitigar los riesgos.
  • Formular un plan concreto de las acciones a realizar.
  • Capacitar.
  • Implementar los controles.
  • Realizar revisiones y mediciones para verificar la efectividad de los controles implementados.
  • Implementar mejoras sobre el modelo actual.

Por supuesto, y como ya se ha mencionado esta política debe llevarse a cabo con el respaldo y compromiso de la dirección, teniendo en cuenta que muchos de los controles implementados serán efectivos solamente con una adecuada capacitación de todos los involucrados.

Sea cual sea la metodología aplicada y la forma de llevarla a cabo esta debe ser:

  • Medible: puede ser auditada por una tercera parte independiente.
  • Replicable: en la medida en que el sistema es formal y contiene procesos estructurados facilitará la replicación del sistema en otro lugar.
  • Escalable: los procesos y controles establecidos pueden ser desarrollados centralmente y luego distribuídos o bien, incorporarse nuevos procesos .

Fuente: http://www.segu-info.com.ar/
Autor: Lic. Cristian F. Borghello

Categorías:Seguridad Etiquetas:
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: