Polticas de Seguridad de Informacin Empresa Virtual IT Expert

2011
ndice

a) Definicin de la seguridad de la informacin

b) Objetivos de la Seguridad de Informacin

c) Alcance generale de la Seguridad de Informacin

d) Responsables

e) Explicacin de las polticas

f) Explicacin de los principios y normas

g) Requisitos de Cumplimiento de la Seguridad 1) cumplimiento de requisitos legales y contractuales 2) requisitos de instruccin en materia de seguridad 3) prevencin y deteccin de virus y dems software malicioso 4) administracin de la continuidad comercial 5) consecuencias de las violaciones a la poltica de seguridad 6) Responsabilidades generales y especficas en materia de gestin de la seguridad de la informacin h) Documentos de Respaldo I) Bibliografa

a) Definicin de la seguridad de la informacin

El proponer o identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas. Esto adquiere mayor importancia an cuando el tema abordado por estas polticas es la Seguridad Informtica. Extensos manuales explicando cmo debe protegerse una computadora o una red con un simple Firewall, un programa antivirus o un monitor de sucesos. Falacias altamente remuneradas que ofrecen la mayor "Proteccin" = "Aceite de Serpiente" del mundo. Hay que dejar en claro que la Seguridad Informtica no tiene una solucin definitiva aqu y ahora, sino que es y ser el resultado de la innovacin tecnolgica, a la par del avance tecnolgico, por parte de aquellos que son los responsables de nuestros sistemas. Para continuar, har falta definir algunos conceptos aplicados en la definicin de una Politica de Seguridad Informtica (PSI): Plan: conjunto de decisiones que definen cursos de accin futuros y los medios para conseguirlos. Consiste en disear un futuro deseado y la bsqueda del modo de conseguirlo. Estrategia : Conjunto de decisiones que se toman para determinar polticas, metas y programas. Poltica: definiciones establecidas por la direccin, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas. Meta: objetivo cuantificado a valores predeterminados. Procedimiento: Definicin detallada de pasos a ejecutar para desarrollar una actividad determinada. Norma: forma en que realiza un procedimiento o proceso. Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones. Proyeccin: prediccin del comportamiento futuro, basndose en el pasado sin el agregado de apreciaciones subjetivas. Pronostico: prediccin del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prev influirn en los acontecimientos futuros. Control: capacidad de ejercer o dirigir una influencia sobre una situacin dada o hecho. Es una accin tomada para hacer un hecho conforme a un plan. (2)

Riesgo: proximidad o posibilidad de un dao, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro. Ahora, una Poltica de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en trminos generales que est y que no est permitido en el rea de seguridad durante la operacin general del sistema. La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero, ante todo, una poltica de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas y debe: Ser holstica (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave. Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lpiz. Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia. Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.

Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los que deseamos proteger y el porqu de ello.

b) Objetivos de la Seguridad de Informacin

Generalmente, los sistemas de informacin incluyen todos los datos de una compaa y tambin en el material y los recursos de software que permiten a una compaa almacenar y hacer circular estos datos. Los sistemas de informacin son fundamentales para las compaas y deben ser protegidos. Generalmente, la seguridad informtica consiste en garantizar que el material y los recursos de software de una organizacin se usen nicamente para los propsitos para los que fueron creados y dentro del marco previsto. La seguridad informtica se resume, por lo general, en cinco objetivos principales: Integridad: garantizar que los datos sean los que se supone que son Confidencialidad: asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambian Disponibilidad: garantizar el correcto funcionamiento de los sistemas de informacin

Evitar el rechazo: garantizar de que no pueda negar una operacin realizada. Autenticacin: asegurar que slo los individuos autorizados tengan acceso a los recursos Adems de buscar cumplir los 5 objetivos mencionados lneas arriba, la seguridad informtica est concebida para proteger los activos informticos, entre los que se encuentran: La informacin contenida Se ha convertido en uno de los elementos ms importantes dentro de una organizacin. La seguridad informtica debe ser administrada segn los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorizacin. De lo contrario la organizacin corre el riesgo de que la informacin sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra funcin de la seguridad informtica en esta rea es la de asegurar el acceso a la informacin en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daos o prdida producto de accidentes, atentados o desastres. La infraestructura computacional Una parte fundamental para el almacenamiento y gestin de la informacin, as como para el funcionamiento mismo de la organizacin. La funcin de la seguridad informtica en esta rea es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro elctrico y cualquier otro factor que atente contra la infraestructura informtica. Los usuarios Son las personas que utilizan la estructura tecnolgica, zona de comunicaciones y que gestionan la informacin. La seguridad informtica debe establecer normas que minimicen los riesgos a la informacin o infraestructura informtica. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informtica minimizando el impacto en el desempeo de los funcionarios y de la organizacin en general y como principal contribuyente al uso de programas realizados por programadores.

c) Alcance generales de la Seguridad de Informacin El alcance de las presentes polticas de seguridad para la empresa virtual IT Expert, son las siguientes: Nivel de Seguridad Organizativo:

o o o

Seguridad Organizacional Excepciones de Responsabilidad Clasificacin y Control de Activos

Seguridad Ligada al Personal

Nivel de Seguridad Fsica o o o Seguridad Fsica Seguridad Ambiental Seguridad de los Equipos

Nivel de Seguridad Lgico o o o o o Control de Accesos Administracin del Acceso a Usuarios Seguridad en Acceso a terceros Control de Acceso a la red Control de acceso a las aplicaciones

d) Responsables Dentro de la empresa ITExpert, cada uno de los integrantes de la misma posee roles y responsabilidades especficas. El gerente general, es el encargado del manejo de la empresa, asesoria a los proyectos y toma de decisiones (en conjunto con el gerente de proyectos y recursos). La gerente de Proyectos y recursos se encarga de gestionar y manejar todos los proyectos que se den en IT Expert y, a su vez, al personal humano que se encuentre dentro de la empresa. Sobre dicha persona recae el deber de la toma de decisiones acerca de todo aquello que involucre tanto a algn proyecto especfico o algn recuso dentro de los mismos. Luego, tenemos a los jefes de proyecto, los cuales se hacen responsables de todo lo que involucre cada uno de los mismos. Por ltimo, tenemos a los recursos de apoyo, dentro de los que destacan el administrador del centro de cmputo y el DBA. El administrador del centro de cmputo es el encargado de manejar todos los servidores, a nivel lgico, del centro de cmputo. Cualquier despliegue de alguna aplicacin se hace a travs de dicha persona. Por ltimo, el DBA es el

encargado administrar y manejar todas las bases de datos existentes en los servidores de IT Expert, asumiendo la entera responsabilidad de lo que pueda suceder con las mismas, para bien o para mal.

e) Explicacin de las polticas

f) Explicacin de los principios y normas

g) Requisitos de Cumplimiento de la Seguridad 1) cumplimiento de requisitos legales y contractuales 2) requisitos de instruccin en materia de seguridad 3) prevencin y deteccin de virus y dems software malicioso 4) administracin de la continuidad comercial 5) consecuencias de las violaciones a la poltica de seguridad 6) Responsabilidades generales y especficas en materia de gestin de la seguridad de la informacin