Professional Documents
Culture Documents
Electivo de especialidad II
NORMA IRAM-Error: Reference source not found
Tema a tratar: Políticas de seguridad
Índice N de página
1. Introducción...........................................................003
a. ¿Qué es la seguridad de la información?............................003
b. ¿Por que es necesaria la seguridad de la información?..............004
c. ¿Cómo establecer los requerimientos de seguridad?..................005
d. Evaluación de los riesgos en materia de seguridad..................006
e. Selección de controles.............................................007
f. Punto de partida para la seguridad de la información...............008
g. Factores críticos de éxito.........................................009
h. Desarrollo de lineamientos propios.................................010
2. Políticas de seguridad.................................................011
a. Introducción.......................................................011
b. Definición política de seguridad...................................014
c. Seguridad informática..............................................015
d. Objetivo de las políticas..........................................016
e. Políticas de seguridad de la información (Norma ISO)...............017
f. Revisión y evaluación..............................................018
g. Análisis de las razones por las cuales no se implementan políticas de
seguridad..........................................................019
h. Responsabilidades..................................................020
i. Beneficios de las políticas........................................021
3. Anexos
a. Norma ISO 17799....................................................022
b. Directrices del estándar...........................................023
c. Certificación......................................................024
Truffa F. / Vargas M.
.
Electivo de especialidad II
1. Introducción
La información es un recurso que, como el resto de los importantes activos comerciales, tiene
valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de
la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad
comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las
oportunidades.
La información puede existir en muchas formas. Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada
en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la
información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en
forma adecuada.
Se deben establecer estos controles para garantizar que se logren los objetivos específicos de
seguridad de la organización.
La información y los procesos, sistemas y redes que le brindan apoyo constituyen importantes
recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden
ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el
cumplimiento de las leyes y la imagen comercial.
Las organizaciones y sus redes y sistemas de información, se enfrentan en forma creciente con
amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por
computadora, espionaje, sabotaje, vandalismo, incendio o inundación. Daños tales como los
ataques mediante virus informáticos, "hacking" y denegación de servicio se han vuelto más
comunes, ambiciosos y crecientemente sofisticados.
Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede
lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos
adecuados. La identificación de los controles que deben implementarse requiere una cuidadosa
planificación y atención a todos los detalles. La administración de la seguridad de la información,
exige, como mínimo, la participación de todos los empleados de la organización. También puede
requerir la participación de proveedores, clientes y accionistas. Asimismo, puede requerirse el
asesoramiento experto de organizaciones externas. Los controles de seguridad de la información
resultan considerablemente más económicos y eficaces si se incorporan en la etapa de
especificación de requerimientos y diseño.
Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres
recursos principales para lograrlo.
El primer recurso consiste en evaluar los riesgos que enfrenta la organización. Mediante la
evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y
probabilidades de ocurrencia, y se estima el impacto potencial.
El segundo recurso está constituido por los requisitos legales, normativos, reglamentarios y
contractuales que deben cumplir la organización, sus socios comerciales, los contratistas y los
prestadores de servicios.
Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos
de seguridad. Las erogaciones derivadas de la satisfacción de las necesidades de control deben
ser equilibradas con respecto al impacto potencial de las fallas de seguridad en los negocios. Las
técnicas de evaluación de riesgos pueden aplicarse a toda la organización, o sólo a partes de la
misma, así como a los sistemas de información individuales, componentes de sistemas o servicios
específicos cuando esto resulte factible, viable y provechoso.
a) impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las
potenciales consecuencias por una pérdida de la confidencialidad, integridad o
disponibilidad de la información y otros recursos;
b) probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y
vulnerabilidades predominantes, y los controles actualmente implementados.
Los resultados de esta evaluación ayudarán a orientar ya determinar las prioridades y acciones de
gestión adecuadas para la administración de los riesgos concernientes a seguridad de la
información, y para la implementación de los controles seleccionados a fin de brindar protección
contra dichos riesgos. Puede resultar necesario que el proceso de evaluación de riesgos y
selección de controles deba llevarse acabo en varias ocasiones, a fin de cubrir diferentes partes de
la organización o sistemas de información individuales.
Es importante llevar a cabo revisiones periódicas de los riesgos de seguridad y de los controles
implementados a fin de:
Las revisiones deben llevarse a cabo con diferentes niveles de profundidad según los resultados
de evaluaciones anteriores y los niveles variables de riesgo que la gerencia está dispuesta a
aceptar. Frecuentemente, las evaluaciones de riesgos se realizan primero en un nivel alto, a fin de
priorizar recursos en áreas de alto riesgo, y posteriormente en un nivel más detallado, con el objeto
de abordar riesgos específicos.
E. Selección de controles
Los controles deben seleccionarse teniendo en cuenta el costo de implementación en relación con
los riesgos a reducir y las pérdidas que podrían producirse de tener lugar una violación de la
seguridad. También deben tenerse en cuenta los factores no monetarios, como el daño en la
reputación.
Algunos controles de este documento pueden considerarse como principios rectores para la
administración de la seguridad de la información, aplicables a la mayoría de las organizaciones. Se
explican con mayor detalle en el siguiente párrafo, bajo el título de "Punto de partida para la
seguridad de la información".
Algunos controles pueden considerarse como principios rectores que proporcionan un buen punto
de partida para la implementación de la seguridad de la información. Están basados en requisitos
legales fundamentales, o bien se consideran como práctica recomendada de uso frecuente
concerniente a la seguridad de la información.
Los controles que se consideran esenciales para una organización, desde el punto de vista legal
comprenden:
Se debe observar que aunque todos los controles mencionados en este documento son
importantes, la relevancia de cada uno de ellos debe ser determinada teniendo en cuenta los
riesgos específicos que afronta la organización. Por ello, si bien el enfoque delineado
precedentemente se considera un buen punto de partida, éste no pretende reemplazar la selección
de controles que se realiza sobre la base de una evaluación de riesgos.
La experiencia ha demostrado que los siguientes factores, a menudo resultan críticos para la
implementación exitosa de la seguridad de la información, dentro de una organización:
Este código de práctica puede ser considerado como un punto de partida para el desarrollo de
lineamientos específicos, aplicables a cada organización. No todos los lineamientos y controles de
este código de práctica resultarán aplicables. Más aún, es probable que deban agregarse controles
que no están incluidos en este documento. Ante esta situación puede resultar útil retener
referencias cruzadas que faciliten la realización de pruebas de cumplimiento por parte de auditores
y socios.
2. Políticas de seguridad
A. Introducción
"Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo
sucede, nos lamentamos de no haber invertido más... Más vale dedicar recursos a la seguridad
que convertirse en una estadística."
Hoy es imposible hablar de un sistema cien por cien seguro, sencillamente porque el costo de la
seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre
perder un negocio o arriesgarse a ser hackeadas.
La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a
plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de
vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni más ni menos que un
gran avance con respecto a unos años atrás.
En este sentido, las Políticas de Seguridad Informática (PSI), surgen como una herramienta
organizacional para concientizar a cada uno de los miembros de una organización sobre la
importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía
desarrollarse y mantenerse en su sector de negocios.
De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere un alto
compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y
constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las
organizaciones modernas.
Está lejos de mi intención (y del alcance del presente) proponer un documento estableciendo lo
que debe hacer un usuario o una organización para lograr la mayor Seguridad Informática posible.
Sí está dentro de mis objetivos proponer los lineamientos generales que se deben seguir para
lograr (si así se pretendiese) un documento con estas características.
Esto adquiere mayor importancia aún cuando el tema abordado por estas políticas es la Seguridad
Informática. Extensos manuales explicando como debe protegerse una computadora o una red con
un simple Firewall, un programa antivirus o un monitor de sucesos. Falacias altamente
remuneradas que ofrecen la mayor "Protección" = "Aceite de Serpiente" del mundo.
He intentado dejar en claro que la Seguridad Informática no tiene una solución definitiva aquí y
ahora, sino que es y será (a mi entender) el resultado de la innovación tecnológica, a la par del
avance tecnológico, por parte de aquellos que son los responsables de nuestros sistemas.
En palabras de Julio C. Ardita: "Una política de seguridad funciona muy bien en EE.UU. pero
cuando estos manuales se trajeron a América Latina fue un fiasco... Armar una política de
procedimientos de seguridad en una empresa está costando entre 150-350 mil dólares y el
resultado es ninguno... Es un manual que llevado a la implementación nunca se realiza... Es muy
difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y
procedimientos por un lado y la parte física por otra." (1)
Para continuar, hará falta definir algunos conceptos aplicados en la definición de una PSI:
Plan: conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos.
Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.
Estrategia: conjunto de decisiones que se toman para determinar políticas, metas y programas.
Política: definiciones establecidas por la dirección, que determina criterios generales a adoptar en
distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.
Control: capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una
acción tomada para hacer un hecho conforme a un plan. (2)
Riesgo: proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos
desafortunados, etc., que puede tener un efecto adverso. Sinónimos: amenaza, contingencia,
emergencia, urgencia, apuro.
Ahora, "una Política de Seguridad es un conjunto de requisitos definidos por los responsables de
un sistema, que indica en términos generales que está y que no está permitido en el área de
seguridad durante la operación general del sistema." (3)
La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que
cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." (4)
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen
las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de
seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que
la seguridad comienza y termina con personas." (5) y debe:
• Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido
proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
• Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para
proteger un lápiz.
• Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
• Definir estrategias y criterios generales a adoptar en distintas funciones y actividades,
donde se conocen las alternativas ante circunstancias repetidas.
B. Definición
Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de
seguridad, procedimientos (véase referencias más adelante). Debe estar fácilmente accesible de
forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede ser
también un documento único o inserto en un manual de seguridad. Se debe designar un propietario
que será el responsable de su mantenimiento y su actualización a cualquier cambio que se
requiera.
C. Seguridad informática:
La seguridad informática está concebida para proteger los activos informáticos de la empresa,
entre los que se encuentran:
• La información
Se ha convertido en uno de los elementos más importantes y valiosos dentro de una
organización. La seguridad informática debe ser administrada según los criterios establecidos
por los administradores y supervisores, evitando que usuarios externos y no autorizandos
puedan acceder a ella sin autorización. De lo contrario la organización corre el riesgo de que la
información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada,
ocasionando lecturas erradas o incompletas de la misma. Otra función de la seguridad
informática en esta área es la de asegurar el acceso a la información en el momento oportuno,
incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de
accidentes, atentados o desastres.
• La infraestructura computacional
Una parte fundamental para el almacenamiento y gestión de la información, asi como para el
funcionamiento mismo de la organización. La función de la seguridad informática en esta área
es velar que los equipos funcionen adecuadamente y preveer en caso de falla planesde robos,
incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor
que atente contra la infraestructura informática.
• Los usuarios
Son las personas que utilizan la estructura tecnológica, zorra de comunicaciones y que
gestionan la información. La seguridad informática debe establecer normas que minimizen los
riesgos a la información o infraestructura informática. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de
usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de
seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la
organización en general.
Los responsables del nivel gerencial deben aprobar y publicar un documento que contenga la
política de seguridad y comunicarlo a todos los empleados, según corresponda. Éste debe poner
de manifiesto su compromiso y establecer el enfoque de la organización con respecto a la gestión
de la seguridad de la información. Como mínimo, deben incluirse las siguientes pautas:
Esta política debe ser comunicada a todos los usuarios de la organización de manera pertinente,
accesible y comprensible.
F. Revision y evaluación
La política debe tener un propietario que sea responsable del mantenimiento y revisión de la
misma de acuerdo con un proceso definido. Ese proceso debe garantizar que se lleve acabo una
revisión en respuesta a cualquier cambio que pueda afectar la base original de evaluación de
riesgos, por ej., incidentes de seguridad significativos, nuevas vulnerabilidades o cambios en la
infraestructura técnica o de la organización. También deben programarse revisiones periódicas de
lo siguiente:
A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices
de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas
alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de
la necesidad y beneficios de buenas políticas de seguridad informática.
Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren
expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos
comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los
encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes
de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación
con esos asuntos.
Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del
negocio, a su misión y visión, con el propósito de que quienes toman las decisiones reconozcan su
importancia e incidencias en las proyecciones y utilidades de la empresa.
Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la
seguridad de la empresa, ellas deben responder a intereses y necesidades empresariales basadas
en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus
recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la
formalización y materialización de los compromisos adquiridos con la empresa.
H. Responsabilidades
Los beneficios de un sistema de seguridad con políticas claramente concebidas bien elaboradas
son inmediatos, ya que SASF trabajará sobre una plataforma confiable, que se refleja en los
siguientes puntos:
• Aumento de la productividad.
3. Anexos
ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la
información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization
for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de
Information technology - Security techniques - Code of practice for information security
management. Tras un periodo de revisión y actualización de los contenidos del estándar, se
publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar
ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez
en 1995.
En España existe la publicación nacional UNE-ISO/IEC 17799 que fue elaborada por el comité
técnico AEN/CTN 71 y titulada Código de buenas prácticas para la Gestión de la Seguridad de la
Información, que es una copia idéntica y traducida del inglés de la Norma Internacional ISO/IEC
17799:2000. La edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima que
esté disponible en la segunda mitad del año 2006.
En Bolivia, la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde
agosto de 2004, estandarizando de esta forma los diversos proyectos y metodologías en este
campo, respondiendo a la necesidad de seguridad por el uso intensivo de internet y redes de datos
institucionales. La supervisión de su cumplimiento está a cargo de la Oficina Nacional de Gobierno
Electrónico e Informática - ONGEI ([1]).
En Chile, se empleó la ISO/IEC 17799:2005 para crear una norma que establece las
características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los
documento electrónicos de los órganos de la Administración del Estado de la República de Chile, y
cuya aplicación se recomienda para los mismos fines, denominado Decreto Supremo No. 83,
"NORMA TÉCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO
ELECTRÓNICO".
El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y
publicación local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado
y liberado, pero el estándar nacional logra así asegurar que el contenido haya sido precisamente
traducido y refleje completa y fehacientemente el estándar ISO/IEC 17799. A continuación se
muestra una tabla con los estándares equivalentes de diversos países:
La versión de 2005 del estándar incluye las siguientes once secciones principales:
Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de
la información. Para cada uno de los controles se indica asimismo una guía para su implantación.
El número total de controles suma 133 entre todas las secciones aunque cada organización debe
considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.
Certificación
La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios
que puedan permitir el establecimiento de un sistema de certificación adecuado para este
documento.