Fundamentos y Elementos Clave de las Políticas de Seguridad Informática

Entrada publicada en Otras materias y etiquetada control de acceso políticas de seguridad Protección de datos seguridad física Seguridad informatica seguridad lógica el por .

Conceptos básicos

La política de seguridad es una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas de información y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán. La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las distintas medidas a tomar para proteger la seguridad del sistema, las funciones y responsabilidades de los distintos componentes de la organización y los mecanismos para controlar su correcto funcionamiento.

Políticas de seguridad

Las políticas son una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organización; también describen cómo se debe tratar un determinado problema o situación.

Definición e implementación de las políticas de seguridad

Las políticas pueden considerarse como un conjunto de leyes obligatorias propias de una organización, y son dirigidas a un público mayor que las normas, pues las políticas proporcionan las instrucciones generales, mientras que las normas indican requisitos técnicos específicos. Las normas, por ejemplo, definirían la cantidad de bits de la llave secreta que se requieren en un algoritmo de cifrado. Por otro lado, las políticas simplemente definirían la necesidad de utilizar un proceso de cifrado autorizado cuando se envíe información confidencial a través de redes públicas, tales como Internet.

Elementos de las políticas de seguridad

Los elementos base de una política de seguridad informática son:

  1. Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
  2. Objetivos de la política y descripción clara de los elementos involucrados en su definición.
  3. Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
  4. Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
  5. Definición de violaciones y sanciones por no cumplir con las políticas.
  6. Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

1 Seguridad frente al personal

Se deben considerar los siguientes aspectos:

  1. Alta de empleados: Verificación de referencias, cláusulas de confidencialidad en contratos, creación de cuentas, asignación de permisos y atribuciones de acuerdo al manejo de información en el sistema. Además, indicar responsabilidades y obligaciones con respecto a la seguridad de la información que manejan.
  2. Baja de empleados: Los responsables del sistema deben proceder al bloqueo y cancelación de la cuenta del empleado que ha sido dado de baja o la revocación de permisos y privilegios, así como la devolución de equipos, tarjetas de acceso y otros dispositivos.
  3. Funciones, obligaciones y derechos de los usuarios: Se debe indicar claramente los niveles de acceso a los servicios y recursos del sistema informático.
  4. Formación y sensibilización de los usuarios: Información periódica a empleados sobre accesos a sistema de información y sus responsabilidades, además considerar capacitaciones sobre manejo de información y acceso al sistema según el tipo de información que maneje.

2 Seguridad física

La Seguridad Física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

3 Seguridad lógica

La Seguridad Lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.

Los objetivos que se plantean son:

  1. Restringir el acceso a los programas y archivos.
  2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
  3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
  4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
  5. Que la información recibida sea la misma que ha sido transmitida.
  6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
  7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.
3.1 Control de acceso

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *