MANUAL DE PROCEDIMIENTO PARA LA ELABORACION DE

POLITICAS DE SEGURIDAD TÉCNICAS DE ENCRIPTACIÓN,

CERTIFICADOS DIGITALES Y FIRMA DIGITAL

Por: Guillermo Rogel

INTRODUCCIÓN

En toda organización hay información que está al alcance de muchas

personas y pocas veces realizamos un análisis, para poder determinar

que es público y que es confidencias, y cada usuario a que partes debe

tener accesos y a cuáles no.

Así también a medida que la tecnología avanza también la delincuencia

informática y por ello es importante con el fin de garantizar, integridad,

confiabilidad, disponibilidad, etc. Realizar en toda corporación las

políticas de seguridad.

OBJETIVO

Establecer políticas en los diferentes aspectos, que logren hacer del uso

de las tecnologías algo más seguro y confiable, aplicando los diferentes

normativas.

FASES

Fases para la elaboración de manual de seguridad de la organización:

1. Definir objetivos

2. Recopilación de información de la organización

3. Levantamiento de software

4. Levantamiento de hardware

5. Análisis actual

6. Determinación de riesgos

7. Establecer tipos de seguridades necesarias

a. Seguridad de Usuarios

b. Seguridad de Hardware

c. Técnicas de encriptación

d. Certificados digitales

e. Firma digital

f. Otros.

8. Estructuración del manual

9. Revisión total vs Objetivos

10. Divulgación.

11. Revisiones Periodicas.

1. Definir objetivos

Antes de empezar cualquier trabajo, se debe establecer que se quiere

lograr.

Junto con los objetivos se debe establecer el alcance, es decir hasta

donde se quiere controlar.

2. Recopilación de información de la organización

Toda organización es diferente, por ello se debe obtener la mayor

cantidad de información provista por:

a. Usuarios

b. Clientes

c. Administrativos

d. Operativos

e. Y cualquier forma en la que se pueda extraer.

3. Levantamiento de software

Estamos acostumbrados, a que cada persona administre el software que

tiene en sus pc´s, antes de eliminar el software es importante, hacer un

inventario para saber que está instalado.

También es importante tener en claro los roles de usuario, que tienen

para un posterior evaluó.

4. Levantamiento de hardware

Si queremos cuidar nuestra información debemos saber con que

hardware contamos, para saber que es lo que tenemos que cuidar.

No solo es saber que tenemos sino en donde están y quienes tienen

acceso.

5. Análisis actual

Con la información recopilada, podemos estructurar una situación, real

de la organización.

Este paso es importante, si queremos llegar a algún lugar debemos

conocer en donde estamos.

6. Determinación de riesgos

Aplicando conocimientos de gestión de riesgos se debe, establecer a

que riesgos están sujetos nuestros activos.

Algunos de nuetros activos tendrán una mayor probabilidad de riesgo

mientras que otros solo una escasa, por ello se debe hacer un estudio

exhaustivo y detallado.

7. Determinación de amenazas.

Si tenemos una Pc conectada a una red tenemos amenazas constantes

ya sea internas o externas, si la tenemos conectada a internet las

amenazas serán mucho mayores.

Al igual que en los riesgos aui también se debe ver los tipos de

amenazas que podemos tener, mientras mejor sea nuestro análisis

mejor será, nuestras salvaguardas.

8. Establecer tipos de seguridades necesarias (salvaguardas)

El siguiente paso es establecer cuales serán las medidas que

aplicaremos para que estemos mejor preparados para un posible

ataque.

a. Seguridad de Usuarios

Establecer claramente los roles, cada persona tiene su papel en la

organización y por ello le es requirente solo alguna información.

Mientras más celosos seamos en la limitación de usuarios mas segura

estará nuestra información.

b. Seguridad de Software

La mayoría de robos de información, suplantación, etc, la conseguimos

nosotros mismos al instalar aplicaciones de carácter sospechoso.

Se debe establecer políticas claras de software, solo el que es necesario

y lo demás debe ser borrado.

Establecer personas responsables de la instalación de software no todos

pueden hacerlo.

c. Seguridad de Hardware

Nuestros equipos deben estar protegidos no solo de los externos, sino

también de los internos, la mejor forma es poner en lugares seguros y

vigilados los equipos que tienen información más valiosa.

d. Técnicas de encriptación

Dependiendo de la información que nuestra organización posea, y su

forma de manejarla, debemos tal vez recurrir a técnicas de encriptación

para poder evitar las fugas de información.

e. Certificados digitales

Nos permiten:

Autentificar la identidad del usuario, de forma electrónica, ante

terceros.

Firmar electrónicamente de forma que se garantice la integridad

de los datos trasmitidos y su procedencia.

Un documento firmado no puede ser manipulado, ya que la firma

está asociada matemáticamente tanto al documento como al

firmante

Se debe establecer la política de cuando debe ser utilizada esta

técnica.

f. Firma digital

Esta es una técnica para evitar la suplantación de identidad, es

necesario establecer, en qué casos los usuarios deberán enviar

documentos firmados digitalmente.

g. Otros.

Dependiendo de la organización, tal vez será necesario recurrir a otros

mecanismos o técnicas.

9. Estructuración del manual

Luego de establecer todos los incisos, debemos proceder a

estructurarlos y editar de una forma organizada.

El éxito de este manual radica en la facilidad que se tendrá para

encontrar la información, se debe hacer del manual algo que estimule la

aplicación y estudio.

10. Revisión total vs Objetivos

Luego de elaborar el manual se debe evaluar, si al aplicar todas las

políticas establecidas, se logra cumplir con los objetivos planteados

inicialmente, el no cumplimiento de los objetivos requerirá la

reestructuración de este manual.

11. Divulgación.

Los manuales, tienden a quedarse en los cajones de los escritorios. Esto

es algo que se debe evitar.

Se debe:

Lograr que el manual llegue a conocimientos de todos

Hacer mención continua del mismo.

Establecer políticas de actualización.