Capitulo 2 Políticas, Planes y Procedimientos de seguridad.
2.1 Introducción y Conceptos Básicos Política de Seguridad: Declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran. Plan de seguridad: Conjunto de decisiones que definen los curos de acción futuros, asi como los medios que se van a utilizar para conseguirlos. Procedimiento de Seguridad: Definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas.
2.2 Definición e implementación de las políticas de seguridad Conjunto de normas y procedimientos establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. Sin embargo, se puede incurrir en una falsa sensación de seguridad si las políticas de seguridad no se han implementado correctamente en toda la organización.
2.3 Inventario de los recursos y definición de los servicios ofrecidos La implementación de los distintos elementos de las políticas de seguridad requiere de un inventario previo y del mantenimiento de un registro actualizado de los recursos del sistema informático de la organización: equipamiento hardware y de comunicaciones, software, datos documentación, mensuales, consumibles, etcétera. Asimismo, será necesario identificar los distintos puntos de acceso a la red y los tipos de conexiones utilizadas.
2.4 Seguridad frente al personal La política de seguridad del sistema informático frente al personal de la organización requiere contemplar los siguientes aspectos: 1. Alta de empleados 2. Baja de empleados 3. Funciones, obligaciones y derechos de los usuarios 4. Formación y sensibilización de los usuarios.
2.5 Adquisición de productos La política de seguridad relacionada con la adquisición de productos tecnológicos necesarios para el desarrollo y el mantenimiento del sistema informático de la organización debe contemplar una serie de actividades ligadas al proceso de compra. Todas estas actividades deberán ser incluida en una guía de compras y evaluación de productos TIC, para garantizar que éstos satisfacen las características de seguridad definida por la organización. Por otra parte, antes de vender p deshacerse de equipos propios, la empresa se encargara de borrar de forma segura todos los datos y aplicaciones que estos contienen.
2.6 Relación con proveedores En la Política de Relación con Proveedores se deberían estipular las clausulas y exigencias habituales de la firma de contratos con los proveedores, a fin de delimitar las responsabilidades y requisitos del servicio contratado.
2.7 Seguridad física de las instalaciones Las medidas relacionadas con la seguridad física deberían contemplar, en primer lugar, las características de construcción de los edificios o instalaciones donde se vayan a ubicar los recursos informáticos y del sistema de información, analizando aspectos como la selección de los elementos constructivos internos más adecuados, para cumplir con el máximo nivel de protección exigido por la normativa de construcción.
2.8 Sistemas de protección electrónica Las directrices de seguridad relacionadas con la protección electrónica de los equipos informáticos deben cumplir con aspectos como: 1. Adecuada conexión de los equipos altos toma tierra 2. Revisión de las instalaciones eléctricas 3. Eliminación de la electricidad estática en las salas donde se ubiquen los equipos mas importantes, como los servidores.
2.9 Control del nivel de emisiones electromagnéticas Todos los equipos informáticos y electrónicos emiten señales radioelectrónicas que podrían revelar informaciones interés a aquellos usuarios con los medios para interceptar y analizar dichas señales. Para ellos, bastaría con una antena direccional, amplificadores y equipos de radiofrecuencia conectados a un ordenador.
2.10 Vigilancia a la red y de los elementos de conectividad Los dispositivos de red como los hubs, switches, routers o puntos de acceso inalámbricos, podrían facilitar el acceso a la red a los usuarios no autorizados si no se encuentran protegidos de forma adecuada.
2.11 Protección en el acceso y configuración de los servidores Los servidores debido a su importancia para el correcto funcionamiento de muchas aplicaciones y servicios de la red de la organización y a que suelen incorporar información sensible, tendrían que estar sometidos a mayores medidas de seguridad en comparación con los equipos de los usuarios.
2.12 Seguridad en los dispositivos de almacenamiento Como los discos duros pueden tener fallos provocados por los sistemas mecánicos que los componen, se utilizan los sistemas RAID para mejorar la tolerancia a fallos y la disponibilidad de los medios de almacenamiento.
2.13 Protección de los equipos y estaciones de trabajo En estos equipos solo se deberían utilizar las herramientas corporativas quedando totalmente prohibida la instalación de otras aplicaciones software en los ordenadores PC de la empresa por parte de sus usuarios.
2.14 Control de los equipos que pueden salir de la organización Las políticas de seguridad deberían prestar atención al control de los equipos que pueden salir de la organización. Los usuarios de estos equipos deben ser consientes de sus obligaciones y responsabilidades en relación con la seguridad de los datos y las aplicaciones instaladas.
2.15 Copias de seguridad Por copia de respaldo o de seguridad (backup) se entiende una copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
2.16 Control de la seguridad de impresoras y otros dispositivos periféricos. Las impresoras y otros dispositivos periféricos también pueden manejar información sensible de la organización, por lo que su seguridad debería ser contemplada a la hora de definir e implementar las políticas de seguridad.
2.17 Gestión de soporte informático La organización debería de disponer de un inventario actualizado de los soportes donde se guarden datos y documentos sensibles: discos duros externos, CDs, DVDs, pendrives, etcétera.
2.18 Gestión de cuentas de usuario La gestión de cuentas de usuario constituye un elemento fundamental dentro de las políticas se seguridad de la organización, ya que de ella dependerá el correcto funcionamiento de otras medidas y directrices de seguridad como el control de acceso lógico a los recursos o el registro de la actividad de los usuarios.
2.19 Identificación y Autentificación de usuarios La organización debe disponer de una relación autorizada de usuarios que tienen acceso autorizado a los recursos de su Sistema de Información, estableciendo determinados procedimientos de identificación y autentificación para dicho proceso.
2.20 Autorización y control de acceso lógico La organización debe establecer determinados mecanismos para evitar que un usuario, equipo, servicio o aplicación informática pueda acceder a datos o recursos con derechos distintos de los autorizados.
2.21 Monitorización de los servidores y dispositivos de la red La monitorización del estado y del rendimiento de los servidores y dispositivos de red constituyen una medida fundamental que deberían estar prevista por las Políticas de Seguridad, con el objetivo de facilitar la detección de usos no autorizados, situaciones anómalas o intentos de ataques contra recursos.
2.22 Protección de datos y de documentos sensibles La política de seguridad relacionada con la protección de datos debe contemplar en primer lugar la calificación de los documentos y los datos de la organización atendiendo a su nivel de confidencialidad.
2.23 Seguridad en las conexiones remotas En las Políticas de Seguridad relativa a las conexiones remotas deberían estar incluidas en las medidas necesarios para garantizar la seguridad en las conexiones con las delegaciones y otras dependencias de la organización, asi como la seguridad en los equipos clientes remotos que deseen acceder a los servicios informáticos centrales de la organización.
2.24 Detección y respuestas ante incidentes de seguridad La organización debería de definir un procedimiento de notificación y gestión de incidencias, de tal modo que se puedan realizar una serie de actividades previamente especificadas para controlar y limitar el impacto del incidente.
2.25 Otros aspectos a considerar Seguridad en el desarrollo, implementación y mantenimiento de aplicaciones informáticas. Seguridad de las operaciones de administración y mantenimiento de la red y los equipos Creación, manejo y almacenamiento de documentos relacionados con la seguirdad del sistema informático Cumplimiento de la legislación vigente Actualización y revisión de las medidas de seguridad.
2.26 Realización de pruebas y auditorias periódicas La realización de pruebas y auditorias periódicas de seguridad constituyen un elemento de gran importancia para poder comprobar la adecuada implementación de las directrices medidas definidas en las Políticas de Seguridad.