Podemos implementar un firewall, podemos instalar un IPS, tener antivirus, filtrado de contenido y toda la tecnologia existente, pero si no tenemos una politica de seguridad informatica clara y ademas con apoyo politico de parte de la direccion de la empresa, la seguridad sera vulnerable en el eslabon mas debil de la cadena : El ser humano.Por qué ?
La Politica de Seguridad de la información, representa el compromiso de una compania con la seguridad de su información.
Esta es un conjunto de documentos que describen cuáles son los objetivos que deben cumplirse por parte de todas las actividades relacionadas con la Información de la organización.
La necesidad de una política tambien surge por aspectos legales que debe cumplir una organización para no verse comprometida ante la justicia ante el caso un incidente.
Otro de los objetivos que persigue la Política de SI es definir responsabilidades.
Otro de los objetivos que persigue la Política de SI es definir responsabilidades.
Dependiendo del tipo de organización ya existen responsabilidades legales por parte de los administradores sobre la confidencialidad de la información independientemente de una política.
Por otra parte una Política de Seguridad forman parte del conjunto de buenas prácticas aplicadas por empresas en todo el mundo.
Quién ?
La Política de Seguridad Informática debe ser seguidas por casi toda la organización y en especial por todas las personas relacionadas con las tecnologías de la información.
Cuándo ?
Nunca es tarde para desarrollar una Política de Seguridad de la Información, por supuesto que es mejor hacerlo antes que un problema ocurra.
Muchas veces las empresas se ven obligadas a su creacion por necesidad de compliance con leyes(SOX) o por normas del mercado (PCI DSS).
En gral la reducción de los riesgos impulsan a las compañias a su desarollo.
Cómo ?
Cómo ?
Dado que toda Política debe estar alineada con los objetivos de negocio de una empresa, entonces el proceso de creación de la misma debe descubrir de que forma ayudar a conseguir estas metas.
Ejemplos de objetivos, pueden ser :
- En un laboratorio pueden ser proteger las fórmulas desarrolladas.
En una empresa que realiza outsorcing la disponibilidad de los sistemas.
En un banco la confidencialidad de la información.
Un Analisis de Riesgo puede ayudar a encontrar los puntos sobre los cuales la Politica hara mayor énfasis.
Por supuesto dependiendo del tamaño de la organizacion seran los recursos que participaran en la elaboración de la misma, pero mientras mas areas participen, mas facil sera elaborar una
Politica aceptable por la organización.
Al momento de realizar la Politica debemos tener en cuenta la "cultura" de la organizacion para facilitar su implantacion, si trabajamos en una empresa donde existe mucha confianza entre los empleados y la politica es muy restrictiva, seguramente sera dificil lograr su implantacion.
Qué ?
La Política debe centrarse sobre los activos más importante a ser protegidos para alcanzar los objetivos antes mencionados.Como se dijo anteriormente el Analisis de Riesgo ayudara a encontrar esta informacion.
Planificación y Desarrollo
Planificación y Desarrollo
El equipo a cargo de la creación de una política de seguridad dependerá del tamaño de la organización.
Si la organización cuenta con un Security Officer, el estara a cargo de coordinar su desarrollo.
Las principales áreas que deberian participar en su creación son :
- Integrantes del Dpto de Seguridad de la Información
Integrantes del area de IT
Juridico
Recursos Humanos
Opcionales
- Seguridad Fisica
Auditoria
Usuarioa
Estructura
Una politica de la información deberia dividirse en tres categorias
Directrices
Las directrices son las reglas estrategicas que la compañia define para proteger su información, deben ser principios basicos que luego seran detallados en las normas y procedimientos.
Las directrices son las reglas estrategicas que la compañia define para proteger su información, deben ser principios basicos que luego seran detallados en las normas y procedimientos.
Normas
Las normas son documentos de nivel tactico, donde se definen tecnologias y los controles que ajudaran a cumplir con las directrices fijadas.
Las normas son documentos de nivel tactico, donde se definen tecnologias y los controles que ajudaran a cumplir con las directrices fijadas.
Procedimientos
Los procedimientos son los documentos donde se detallan lo que debe realizarse para cumplir con lo establecido por las normas. Dado que son de nivel operativo, deben ser claros y explicar el "Como se hace" para utilizar las tecnologias que las normas dictan.
Los procedimientos son los documentos donde se detallan lo que debe realizarse para cumplir con lo establecido por las normas. Dado que son de nivel operativo, deben ser claros y explicar el "Como se hace" para utilizar las tecnologias que las normas dictan.
Por ejemplo :
Una directriz dice que debe garantizarse la disponibilidad de las informaciones criticas para la empresa.
Una norma indicara que se debera contar con una UPS para garantizar que en caso de corte energetico las informaciones criticas esten disponibles.
Una norma indicara que se deben realizar backups de las informaciones criticas.
El procedimiento indicara como se debe configurar la UPS, como se deben conectar los equipos, el plan de mantenimiento y revision periodica.
Otro procedimiento indicara que los equipos criticos deben estar conectados a una linea de energia en particular.
Existira un procedimento que indicara como realizar el backup, a que hora, como se configurara el agente de backup...etc.
Se debe aclarar que si bien tendremos normas y procedimientos generales para todos los usuarios, tambien exisitiran un grupo de normas y procedimientos tecnicos que tendran como objetivo el area de TI de una empresa.
Recomendaciones
La Politica de SI debe estar escrita en terminos claros y simples ya que esta orientada no solamente a personal tecnico. El usuario debe poder comprender lo que se le pide, de otra manera generaremos confusiones que pueden hacer fracasar la implementacion.
Mantenimiento
Los cambios tecnologicos, las fusiones, las leyes afectan a la Politica de SI y periodicamente debemos realizar el manteniemiento de la misma.
Dependiendo del tamaño de la organización sera el tiempo entre revisiones, en gral en las empresas medianas y chicas es de una vez al año y en las grandes cada dos.
La Politica de SI y Recursos Humanos
La Politica de SI debe ser informada al ingreso de toda persona a la empresa, como asi tambien las consecuencias de no seguir la misma. La publicacion en una Intranet permitira mantener al personal actualizado respecto a las modificaciones.
Al momento de los cambios o la implantacion, es interesante hacer participar al area de Marketing para ajudarnos a encontrar los mejores medios para su publicacion y distribucion.
Anexo
El estado Argentino aprobo la Politica de Seguridad Informatica para los organismos publicosmediante la Disposición N° 006 del 3 de agosto de 2005 , el boletin oficial dice :
EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION
DISPONE:
Artículo 1° — Apruébase la “Política de Seguridad de la Información Modelo” que como Anexo
I forma parte de la presente Disposición, y que se encuentra publicada en la dirección de Internet http://www.sgp.gov.ar/sitio/PSI_Modelov1_200507.pdf, siendo el tamaño del archivo de 461.173 bytes y su código de verificación SHA1 “00a15269053db95d2d2b600383654cb3d12b17a7”.
Para la correcta verificación de la autoría e integridad del documento antes mencionado, se recomienda seguir las instrucciones publicadas en el sitio http://www.sgp.gov.ar/sitio/psi_modelo.htm .
I forma parte de la presente Disposición, y que se encuentra publicada en la dirección de Internet http://www.sgp.gov.ar/sitio/PSI_Modelov1_200507.pdf, siendo el tamaño del archivo de 461.173 bytes y su código de verificación SHA1 “00a15269053db95d2d2b600383654cb3d12b17a7”.
Para la correcta verificación de la autoría e integridad del documento antes mencionado, se recomienda seguir las instrucciones publicadas en el sitio http://www.sgp.gov.ar/sitio/psi_modelo.htm .
No comments:
Post a Comment