Politica de seguridad informatica

Politica de seguridad informatica gy bobkin12 Aeza6pR 03, 2010 14 pagos POLíTlCAS DE SEGURIDAD INFORMÁTICA (SEG) a. Generalidades La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes ha las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traido consigo, la aparición de nuevas amenazas para los sistemas de información.

Estos riesgos que se enfrentan ha llevado a que muchas esarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas lo cual uede ocasionar serios problemas Swipe to page a los bienes, servicio En este sentido, las p tica como una herramien organ los colaboradores de sensibilidad de la inf presa. rmática surgen ncientizar a importancia y cos que permiten a la empresa crecer y mantenerse competitiva.

Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para stablecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. b. Definición de Políticas de Seguridad Informática Una política de seguridad informática es una forma de comunicarse con con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es ás bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos asi como, un motor de intercambio y desarrollo en el ámbito de sus negocios.

Por tal razón, las politicas de seguridad deben concluir en una posición consciente y Vlgilante del personal por el uso y limitaciones de los recursos y sewicios informáticos. c. Elementos de una Política de Seguridad Informática Como una política de seguridad debe orientar las decisiones que e toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos: o Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. o Objetivos de la política y descripción clara de los elementos involucrados en su definición. o Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. o Requerimientos mínimos para configuración de la eguridad de los sistemas que abarc o Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. Definición de violaciones y sanciones por no cumplir con las polticas. o Responsabilidades de los usuarios con respecto a la informacion a la que tiene acceso. Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la utoridad responsable de aplicar los correctivos o sanciones.

Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión. Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos ervlclos, regionalizaclón de la empresa, cambio o diversificación del área de negocios, etc. . Parámetros para Establecer Políticas de Seguridad Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos: o Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las politicas a la realidad de la empresa. o Reunirs valorar los activos y así adecuar las políticas a la realidad de la empresa. Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para stablecer el alcance y definir las violaciones a las políticas. o Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área. o Monitorear periódlcamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las pollticas puedan actualizarse oportunamente. o Detallar explícita y concretamente el alcance de las oliticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas. . Razones que Impiden la Aplicación de las Políticas de Seguridad Informática A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informática.

Otros inconvenientes lo representan los tecnicismos informaticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en segur 40F estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: «más dinero para juguetes del Departamento de Sistemas’ . Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa.

Ante esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos. Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.

Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la rganización, ellas deben responder a intereses y necesidades organlzacionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización. . PRIVACIDAD EN LA RED Y CONTROL DE INTRUSOS (PRIV) 3. 1. Privacidad en la Red Las comunicaciones son la base de los negocios modernos, pues Sin las mismas ninguna empresa podría sobrevi s OF comunicaciones son la base de los negocios modernos, pues sin as mismas ninguna empresa podría sobrevivir. Por tal razón, es necesario que las organizaciones mantengan sus servidores, datos e instalaciones lejos de los hackers y piratas informátlcos.

La temática de la privacidad de las redes ha ido cobrando, desde hace más de una década, un lugar bien importante en el entorno del desarrollo de la informática, ya que las empresas se sienten amenazadas por el crimen informático y busca incansablemente tecnologías que las protejan del mismo, para lo cual destinan partidas en sus presupuestos para fortalecer la seguridad de la información y de las comunicaciones.

El mantener una red segura fortalece la confianza de los clientes en la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos (agrupaciones, profesionales, aficionados y accidentales) que asedian día a día las redes. De forma cotidiana estos hackers aportan novedosas técnicas de intrusión, códigos malignos mas complejos y descubren nuevos vacíos en las herramientas de software. . Definición de Privacidad de las Redes Las redes son sistemas de almacenamiento, procesamiento y transmisión de datos que están compuestos de elementos de transmslón (cables, enlaces inalámbricos, satélites, ncaminadores, pasarelas, conmutadores, etc. ) y servicios de apoyo (sistema de nombres de dominio incluidos los servidores raíz, sem•icio de identificación de llamadas, servicios de autenticación, etc. ).

Conectadas a las redes existe un número cada vez mayor de aplicaciones (sistemas de entrega de correo electrónico, navegadores, etc. ) mayor de aplicaciones (sistemas de entrega de correo electrónico, navegadores, etc. ) y equipos terminales (servidores, teléfonos, computadoras personales, teléfonos móviles, etc. ). Así pues, las redes en las empresas, son los medos que permiten a comunicación de diversos equipos y usuarios, pero también están propensas a ser controladas o accesadas por personas no autorizadas.

Cuando nos referimos a la privacidad de la red, se evoca al cuidado o medidas establecidas para que la información de los sistemas como puede ser datos de clientes, servicios contratados, reportes financieros y administrativos, estrategias de mercado, etc. , no sea consultada por intrusos. c. Requisitos para Mantener la Privacidad de las Redes Las redes deben cumplir los siguientes requisitos o características para mantener su privacidad y poder ser más seguras ante las osibilidades de intrusión 1 .

Disponibilidad: significa que los datos son accesibles, inclusive en casos de alteraciones, cortes de corriente, catástrofes naturales, accidentes o ataques. Esta característica es particularmente importante cuando una avería de la red puede provocar interrupciones o reacciones en cadena que afecten las operaciones de la empresa. 2. Autenticacón: confirmaclón de la identidad declarada de usuarios. Son necesarios métodos de autenticación adecuados para muchos servicios y aplicaciones, como la conclusión de un contrato en línea, el control del acceso a determinados servicios y atos, la autenticación de los sitios web, etc 3.

Integridad: confirmación de que los datos que han sido enviados, recibidos o almacenados son completos y no h confirmación de que los datos que han sido enviados, recibidos o almacenados son completos y no han sido modificados. La integridad es especialmente importante en relación con la autenticación para la conclusión de contratos o en los casos en los que la exactitud de los datos es crítica 4. Confidencialidad: protección de las comunicaciones o los datos almacenados contra su interceptación y lectura por parte de personas no autorizadas.

La confidencialidad es necesaria ara la transmisión de datos sensibles y es uno de los requisitos principales a la hora de dar respuesta a las inquietudes en materia de intimidad de los usuarios de las redes de comunicacion. Es preciso tener en cuenta todos los factores que pueden amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados.

La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información ara resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la dlsponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles. d. Riesgos o Amenazas a la Privacidad de las Redes Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son: 1 .

Interceptación de las Comunicaciones: la comunicación puede ser intercept son: 1 . Interceptación de las Comunicaciones: la comunicación uede ser interceptada y los datos copiados o modificados. La interceptación puede realizarse mediante el acceso fisico a las líneas de las redes, por ejemplo, pinchando la línea, o controlando las transmisiones. 2. Acceso no Autorizado a Ordenadores y Redes de Ordenadores: el acceso no autorizado a ordenadores o redes de ordenadores se realiza habitualmente de forma mal intencionada para copiar, modificar o destruir datos.

Técnicamente, se conoce como intrusión y adopta varias modalidades: explotación de información interna, ataques aprovechando la tendencia de la gente a utilizar contraseñas previsibles, aprovechar la tendencia e la gente a desvelar información a personas en apariencia fiables e interceptación de contraseñas. 3. Perturbación de las Redes: actualmente las redes se encuentran ampliamente digitalizadas y controladas por ordenadores, pero en el pasado la razón de perturbación de la red más frecuente era un fallo en el sistema que controla la red y los ataques a las redes estaban dirigidos principalmente a dichos ordenadores.

En la actualidad, los ataques más peligrosos se concretan a los puntos débiles y más vulnerables de los componentes de las redes como son sistemas operativos, encaminadores, conmutadores, servidores de nombres de ominio, etc. 4. Ejecución de Programas que Modifican y Destruyen los Datos: los ordenadores funcionan con programas informáticos, pero lamentablemente, los programas pueden usarse también para desactivar un ordenador y para borrar o modificar los datos.

Cuando esto ocurre en un ordenador que forma Cuando esto ocurre en un ordenador que forma parte de una red, los efectos de estas alteraciones pueden tener un alcance considerable. por ejemplo, un wrus es un programa informático mal intencionado que reproduce su propio código que se adhiere, de modo que cuando se ejecuta el programa informático infectado se activa el código del virus. . Declaración Falsa: a la hora de efectuar una conexión a la red o de recibir datos, el usuario formula hipótesis sobre la identidad de su interlocutor en función del contexto de la comunicación.

Para la red, el mayor riesgo de ataque procede de la gente que conoce el contexto. Por tal razón, las declaraciones falsas de personas físicas o jurídicas pueden causar daños de diversos tipos. como pueden ser transmitir datos confidenciales a personas no autorizadas, rechazo de un contrato, etc. 6. Accidentes no Provocados: numerosos problemas de seguridad se deben a accidentes imprevistos o no provocados omo: son tormentas, inundaciones, incendios, terremotos, interrupción del servicio por obras de construcción, defectos de programas y errores humanos o deficiencias de la gestión del operador, el proveedor de servicio o el usuario. . 2. DETECCION DE INTRUSOS Los sistemas computarizados y aplicaciones están en permanente evolución, por tal razón pueden surgir nuevos puntos vulnerables. A pesar de los avances en los sistemas de seguridad, los usuarios no autorizados con herramientas muy sofisticadas tienen grandes posibilidades de accesar las redes, sistemas o sitios de las organizaciones e int 4