Capitulo 2

Políticas, Planes y

Procedimientos de seguridad.

2.1 Introducción y Conceptos Básicos

Política de Seguridad:

Declaración de intenciones de alto nivel que cubre la seguridad de los sistemas

informáticos y que proporciona las bases para definir y delimitar

responsabilidades para las diversas actuaciones técnicas y organizativas que se

requieran.

Plan de seguridad:

Conjunto de decisiones que definen los curos de acción futuros, asi como los

medios que se van a utilizar para conseguirlos.

Procedimiento de Seguridad:

Definición detallada de los pasos a ejecutar para llevar a cabo unas tareas

determinadas.

2.2 Definición e implementación de las

políticas de seguridad

Conjunto de normas y procedimientos establecidos por una organización

para regular el uso de la información y de los sistemas que la tratan con

el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a

la misma.

Sin embargo, se puede incurrir en una falsa sensación de seguridad si las

políticas de seguridad no se han implementado correctamente en toda la

organización.

2.3 Inventario de los recursos y

definición de los servicios ofrecidos

La implementación de los distintos elementos de las políticas de seguridad

requiere de un inventario previo y del mantenimiento de un registro

actualizado de los recursos del sistema informático de la organización:

equipamiento hardware y de comunicaciones, software, datos

documentación, mensuales, consumibles, etcétera.

Asimismo, será necesario identificar los distintos puntos de acceso a la red y

los tipos de conexiones utilizadas.

2.4 Seguridad frente al personal

La política de seguridad del sistema informático frente al personal de

la organización requiere contemplar los siguientes aspectos:

1. Alta de empleados

2. Baja de empleados

3. Funciones, obligaciones y derechos de los usuarios

4. Formación y sensibilización de los usuarios.

2.5 Adquisición de productos La política de seguridad relacionada con la adquisición de productos

tecnológicos necesarios para el desarrollo y el mantenimiento del sistema

informático de la organización debe contemplar una serie de actividades

ligadas al proceso de compra. Todas estas actividades deberán ser incluida en

una guía de compras y evaluación de productos TIC, para garantizar que éstos

satisfacen las características de seguridad definida por la organización.

Por otra parte, antes de vender p deshacerse de equipos propios, la empresa

se encargara de borrar de forma segura todos los datos y aplicaciones que

estos contienen.

2.6 Relación con proveedores

En la Política de Relación con Proveedores se deberían estipular las

clausulas y exigencias habituales de la firma de contratos con los

proveedores, a fin de delimitar las responsabilidades y requisitos del

servicio contratado.

2.7 Seguridad física de las instalaciones

Las medidas relacionadas con la seguridad física deberían contemplar,

en primer lugar, las características de construcción de los edificios o

instalaciones donde se vayan a ubicar los recursos informáticos y del

sistema de información, analizando aspectos como la selección de los

elementos constructivos internos más adecuados, para cumplir con el

máximo nivel de protección exigido por la normativa de construcción.

2.8 Sistemas de protección electrónica

Las directrices de seguridad relacionadas con la protección electrónica de los

equipos informáticos deben cumplir con aspectos como:

1. Adecuada conexión de los equipos altos toma tierra

2. Revisión de las instalaciones eléctricas

3. Eliminación de la electricidad estática en las salas donde se ubiquen los

equipos mas importantes, como los servidores.

2.9 Control del nivel de emisiones

electromagnéticas

Todos los equipos informáticos y electrónicos emiten señales

radioelectrónicas que podrían revelar informaciones interés a aquellos

usuarios con los medios para interceptar y analizar dichas señales.

Para ellos, bastaría con una antena direccional, amplificadores y

equipos de radiofrecuencia conectados a un ordenador.

2.10 Vigilancia a la red y de los

elementos de conectividad

Los dispositivos de red como los hubs, switches, routers o puntos de

acceso inalámbricos, podrían facilitar el acceso a la red a los usuarios

no autorizados si no se encuentran protegidos de forma adecuada.

2.11 Protección en el acceso y

configuración de los servidores

Los servidores debido a su importancia para el correcto funcionamiento de

muchas aplicaciones y servicios de la red de la organización y a que suelen

incorporar información sensible, tendrían que estar sometidos a mayores

medidas de seguridad en comparación con los equipos de los usuarios.

2.12 Seguridad en los dispositivos de

almacenamiento

Como los discos duros pueden tener fallos provocados por los sistemas

mecánicos que los componen, se utilizan los sistemas RAID para mejorar la

tolerancia a fallos y la disponibilidad de los medios de almacenamiento.

2.13 Protección de los equipos y

estaciones de trabajo

En estos equipos solo se deberían utilizar las herramientas corporativas

quedando totalmente prohibida la instalación de otras aplicaciones software

en los ordenadores PC de la empresa por parte de sus usuarios.

2.14 Control de los equipos que pueden

salir de la organización

Las políticas de seguridad deberían prestar atención al control de los equipos

que pueden salir de la organización. Los usuarios de estos equipos deben ser

consientes de sus obligaciones y responsabilidades en relación con la

seguridad de los datos y las aplicaciones instaladas.

2.15 Copias de seguridad

Por “copia de respaldo o de seguridad” (backup) se entiende una copia de los

datos de un fichero automatizado en un soporte que posibilite su

recuperación.

2.16 Control de la seguridad de impresoras y

otros dispositivos periféricos.

Las impresoras y otros dispositivos periféricos también pueden manejar

información sensible de la organización, por lo que su seguridad debería ser

contemplada a la hora de definir e implementar las políticas de seguridad.

2.17 Gestión de soporte informático

La organización debería de disponer de un inventario actualizado de los

soportes donde se guarden datos y documentos sensibles: discos duros

externos, CDs, DVDs, pendrives, etcétera.

2.18 Gestión de cuentas de usuario

La gestión de cuentas de usuario constituye un elemento fundamental dentro

de las políticas se seguridad de la organización, ya que de ella dependerá el

correcto funcionamiento de otras medidas y directrices de seguridad como el

control de acceso lógico a los recursos o el registro de la actividad de los

usuarios.

2.19 Identificación y Autentificación de

usuarios

La organización debe disponer de una relación autorizada de usuarios que

tienen acceso autorizado a los recursos de su Sistema de Información,

estableciendo determinados procedimientos de identificación y

autentificación para dicho proceso.

2.20 Autorización y control de acceso

lógico

La organización debe establecer determinados mecanismos para evitar que un

usuario, equipo, servicio o aplicación informática pueda acceder a datos o

recursos con derechos distintos de los autorizados.

2.21 Monitorización de los servidores y

dispositivos de la red

La monitorización del estado y del rendimiento de los servidores y dispositivos

de red constituyen una medida fundamental que deberían estar prevista por

las Políticas de Seguridad, con el objetivo de facilitar la detección de usos no

autorizados, situaciones anómalas o intentos de ataques contra recursos.

2.22 Protección de datos y de

documentos sensibles

La política de seguridad relacionada con la protección de datos debe

contemplar en primer lugar la calificación de los documentos y los datos de la

organización atendiendo a su nivel de confidencialidad.

2.23 Seguridad en las conexiones

remotas

En las Políticas de Seguridad relativa a las conexiones remotas deberían estar

incluidas en las medidas necesarios para garantizar la seguridad en las

conexiones con las delegaciones y otras dependencias de la organización, asi

como la seguridad en los equipos clientes remotos que deseen acceder a los

servicios informáticos centrales de la organización.

2.24 Detección y respuestas ante

incidentes de seguridad

La organización debería de definir un procedimiento de notificación y gestión

de incidencias, de tal modo que se puedan realizar una serie de actividades

previamente especificadas para controlar y limitar el impacto del incidente.

2.25 Otros aspectos a considerar

Seguridad en el desarrollo, implementación y mantenimiento de aplicaciones

informáticas.

Seguridad de las operaciones de administración y mantenimiento de la red y

los equipos

Creación, manejo y almacenamiento de documentos relacionados con la

seguirdad del sistema informático

Cumplimiento de la legislación vigente

Actualización y revisión de las medidas de seguridad.

2.26 Realización de pruebas y auditorias

periódicas

La realización de pruebas y auditorias periódicas de seguridad constituyen un

elemento de gran importancia para poder comprobar la adecuada

implementación de las directrices medidas definidas en las Políticas de

Seguridad.