2.1 Introducción y Conceptos Básicos
Política de Seguridad:
Declaración de intenciones de alto nivel que cubre la seguridad de los sistemas
informáticos y que proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones técnicas y organizativas que se
requieran.
Plan de seguridad:
Conjunto de decisiones que definen los curos de acción futuros, asi como los
medios que se van a utilizar para conseguirlos.
Procedimiento de Seguridad:
Definición detallada de los pasos a ejecutar para llevar a cabo unas tareas
determinadas.
2.2 Definición e implementación de las
políticas de seguridad
Conjunto de normas y procedimientos establecidos por una organización
para regular el uso de la información y de los sistemas que la tratan con
el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a
la misma.
Sin embargo, se puede incurrir en una falsa sensación de seguridad si las
políticas de seguridad no se han implementado correctamente en toda la
organización.
2.3 Inventario de los recursos y
definición de los servicios ofrecidos
La implementación de los distintos elementos de las políticas de seguridad
requiere de un inventario previo y del mantenimiento de un registro
actualizado de los recursos del sistema informático de la organización:
equipamiento hardware y de comunicaciones, software, datos
documentación, mensuales, consumibles, etcétera.
Asimismo, será necesario identificar los distintos puntos de acceso a la red y
los tipos de conexiones utilizadas.
2.4 Seguridad frente al personal
La política de seguridad del sistema informático frente al personal de
la organización requiere contemplar los siguientes aspectos:
1. Alta de empleados
2. Baja de empleados
3. Funciones, obligaciones y derechos de los usuarios
4. Formación y sensibilización de los usuarios.
2.5 Adquisición de productos La política de seguridad relacionada con la adquisición de productos
tecnológicos necesarios para el desarrollo y el mantenimiento del sistema
informático de la organización debe contemplar una serie de actividades
ligadas al proceso de compra. Todas estas actividades deberán ser incluida en
una guía de compras y evaluación de productos TIC, para garantizar que éstos
satisfacen las características de seguridad definida por la organización.
Por otra parte, antes de vender p deshacerse de equipos propios, la empresa
se encargara de borrar de forma segura todos los datos y aplicaciones que
estos contienen.
2.6 Relación con proveedores
En la Política de Relación con Proveedores se deberían estipular las
clausulas y exigencias habituales de la firma de contratos con los
proveedores, a fin de delimitar las responsabilidades y requisitos del
servicio contratado.
2.7 Seguridad física de las instalaciones
Las medidas relacionadas con la seguridad física deberían contemplar,
en primer lugar, las características de construcción de los edificios o
instalaciones donde se vayan a ubicar los recursos informáticos y del
sistema de información, analizando aspectos como la selección de los
elementos constructivos internos más adecuados, para cumplir con el
máximo nivel de protección exigido por la normativa de construcción.
2.8 Sistemas de protección electrónica
Las directrices de seguridad relacionadas con la protección electrónica de los
equipos informáticos deben cumplir con aspectos como:
1. Adecuada conexión de los equipos altos toma tierra
2. Revisión de las instalaciones eléctricas
3. Eliminación de la electricidad estática en las salas donde se ubiquen los
equipos mas importantes, como los servidores.
2.9 Control del nivel de emisiones
electromagnéticas
Todos los equipos informáticos y electrónicos emiten señales
radioelectrónicas que podrían revelar informaciones interés a aquellos
usuarios con los medios para interceptar y analizar dichas señales.
Para ellos, bastaría con una antena direccional, amplificadores y
equipos de radiofrecuencia conectados a un ordenador.
2.10 Vigilancia a la red y de los
elementos de conectividad
Los dispositivos de red como los hubs, switches, routers o puntos de
acceso inalámbricos, podrían facilitar el acceso a la red a los usuarios
no autorizados si no se encuentran protegidos de forma adecuada.
2.11 Protección en el acceso y
configuración de los servidores
Los servidores debido a su importancia para el correcto funcionamiento de
muchas aplicaciones y servicios de la red de la organización y a que suelen
incorporar información sensible, tendrían que estar sometidos a mayores
medidas de seguridad en comparación con los equipos de los usuarios.
2.12 Seguridad en los dispositivos de
almacenamiento
Como los discos duros pueden tener fallos provocados por los sistemas
mecánicos que los componen, se utilizan los sistemas RAID para mejorar la
tolerancia a fallos y la disponibilidad de los medios de almacenamiento.
2.13 Protección de los equipos y
estaciones de trabajo
En estos equipos solo se deberían utilizar las herramientas corporativas
quedando totalmente prohibida la instalación de otras aplicaciones software
en los ordenadores PC de la empresa por parte de sus usuarios.
2.14 Control de los equipos que pueden
salir de la organización
Las políticas de seguridad deberían prestar atención al control de los equipos
que pueden salir de la organización. Los usuarios de estos equipos deben ser
consientes de sus obligaciones y responsabilidades en relación con la
seguridad de los datos y las aplicaciones instaladas.
2.15 Copias de seguridad
Por “copia de respaldo o de seguridad” (backup) se entiende una copia de los
datos de un fichero automatizado en un soporte que posibilite su
recuperación.
2.16 Control de la seguridad de impresoras y
otros dispositivos periféricos.
Las impresoras y otros dispositivos periféricos también pueden manejar
información sensible de la organización, por lo que su seguridad debería ser
contemplada a la hora de definir e implementar las políticas de seguridad.
2.17 Gestión de soporte informático
La organización debería de disponer de un inventario actualizado de los
soportes donde se guarden datos y documentos sensibles: discos duros
externos, CDs, DVDs, pendrives, etcétera.
2.18 Gestión de cuentas de usuario
La gestión de cuentas de usuario constituye un elemento fundamental dentro
de las políticas se seguridad de la organización, ya que de ella dependerá el
correcto funcionamiento de otras medidas y directrices de seguridad como el
control de acceso lógico a los recursos o el registro de la actividad de los
usuarios.
2.19 Identificación y Autentificación de
usuarios
La organización debe disponer de una relación autorizada de usuarios que
tienen acceso autorizado a los recursos de su Sistema de Información,
estableciendo determinados procedimientos de identificación y
autentificación para dicho proceso.
2.20 Autorización y control de acceso
lógico
La organización debe establecer determinados mecanismos para evitar que un
usuario, equipo, servicio o aplicación informática pueda acceder a datos o
recursos con derechos distintos de los autorizados.
2.21 Monitorización de los servidores y
dispositivos de la red
La monitorización del estado y del rendimiento de los servidores y dispositivos
de red constituyen una medida fundamental que deberían estar prevista por
las Políticas de Seguridad, con el objetivo de facilitar la detección de usos no
autorizados, situaciones anómalas o intentos de ataques contra recursos.
2.22 Protección de datos y de
documentos sensibles
La política de seguridad relacionada con la protección de datos debe
contemplar en primer lugar la calificación de los documentos y los datos de la
organización atendiendo a su nivel de confidencialidad.
2.23 Seguridad en las conexiones
remotas
En las Políticas de Seguridad relativa a las conexiones remotas deberían estar
incluidas en las medidas necesarios para garantizar la seguridad en las
conexiones con las delegaciones y otras dependencias de la organización, asi
como la seguridad en los equipos clientes remotos que deseen acceder a los
servicios informáticos centrales de la organización.
2.24 Detección y respuestas ante
incidentes de seguridad
La organización debería de definir un procedimiento de notificación y gestión
de incidencias, de tal modo que se puedan realizar una serie de actividades
previamente especificadas para controlar y limitar el impacto del incidente.
2.25 Otros aspectos a considerar
Seguridad en el desarrollo, implementación y mantenimiento de aplicaciones
informáticas.
Seguridad de las operaciones de administración y mantenimiento de la red y
los equipos
Creación, manejo y almacenamiento de documentos relacionados con la
seguirdad del sistema informático
Cumplimiento de la legislación vigente
Actualización y revisión de las medidas de seguridad.
Top Related