Professional Documents
Culture Documents
Introducción
En la actualidad la ausencia de políticas de seguridad en las empresas, puede
ocasionar efectos catastróficos en los negocios de éstas. Escenarios como el que se
presenta a continuación, ocurrido a la Empresa Ebay en diciembre del 2002, son un
claro ejemplo de situaciones en las que se muestra la enorme necesidad de contar con
estas políticas y mantenerlas al día. La presente unidad nos permitirá tener una idea
precisa de los pasos requeridos para su creación e implementación.
FRAUDE
eBay denuncia el intento de robo de información de 55 millones de
clientes
La empresa eBay se dio cuenta que intrusos enviaron fraudulentamente correos a sus 55
millones de usuarios para solicitarles que confirmaran sus datos a través de un portal o
Noticias del sitio de eBay, igualmente falso, para una “comprobación técnica” por ese motivo, pocos
mundo clientes de eBay sospecharon que se trataba de un fraude. La nota señala textualmente:
“Estas solicitudes a menudo contienen enlaces a páginas de Web en las que se les pedirá
que de su información personal... los empleados de eBay nunca le pedirán su
contraseña", aseguran.
“El mensaje fraudulento lleva como título "Error de su cuenta de Ebay" y comienza:
"Distinguido miembro de Ebay (escrito así). Nosotros en Ebay sentimos informarle que
estamos teniendo problemas con la información de cobro de su cuenta".
Objetivos
Contenido de la unidad:
Conceptos básicos y elaboración de la política
Documentos de la política de seguridad
Implantación de la política de seguridad
Capítulo 1 – Conceptos básicos y elaboración de la política
1.1 Introducción
En este capítulo conoceremos en qué consiste una política de seguridad de la
información. Como vimos en la unidad anterior, el análisis de riesgos permite que sean
identificados los puntos críticos en una gestión de procesos con el objetivo de
implementar recomendaciones de seguridad en un ambiente tecnológico y humano. El
siguiente paso es establecer los valores y normas que deben ser seguidos por todos
aquellos involucrados en el uso de la información y sus diversos activos.
Señala también:
“ -Existe la opinión de que la principal amenaza para la seguridad en una
empresa pasa por los mismos empleados.”
Fuente consultada:
http://www.mundoenlinea.cl/noticia.php?noticia_id=375&categoria_id=1
1.2 Objetivos
Conociendo esto, veamos con más profundidad los ámbitos de intervención de una
política de seguridad:
Tecnológica
Hay quienes consideran que la seguridad de la
información es apenas un problema tecnológico.
Pero lo importante es definir los aspectos más
técnicos del buen funcionamiento de servidores,
estaciones de trabajo, acceso a Internet, etc. Para
eso, el apoyo de la Administración es fundamental,
pues sin ella el programa de seguridad quedaría sin
inversiones para la adquisición de los recursos
necesarios. Sin embargo, no se debe dejar de lado
las cuestiones relacionadas con la buena
conducta y la ética profesional de los usuarios.
Humana
Otras personas ven a la seguridad como un
problema únicamente humano. Es importante
definir primero la conducta considerada adecuada
para el tratamiento de la información y de los
recursos utilizados. Por lo tanto, sin el apoyo de la
Administración, el programa de seguridad no
consigue dirigir las acciones necesarias para
modificar la cultura de seguridad actual. El
resultado es un programa de seguridad sin el nivel
de cultura deseado y la falta de monitoreo más
apropiado al orientar empleados, proveedores,
clientes y socios. Sin embargo, no se debe dejar de
lado los temas tecnológicos y su sofisticación,
una vez que también son determinantes para la
implementación de soluciones de seguridad
adecuadas y eficientes.
a) Exigencias de la política
b) Etapas de producción
Exigencias de la política
En virtud que las políticas son guías para orientar la acción de las personas que
intervienen en los procesos de la empresa, a continuación presentamos ejemplos que
ilustran cómo esas acciones pueden comprometer los fines de la política de
seguridad.
De nada nos sirve generar una política completa y correcta en todos los aspectos, si los
empleados de la compañía no la conocen o aplican.
Es importante también dejar muy claras las sanciones a las que pueden hacerse
acreedores los usuarios que no cumplan con las políticas de seguridad en la empresa,
Ejemplos tanto empleados como clientes de la misma.
Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se
estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este
reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar
para que esté en conformidad con los estándares de seguridad.
Objetivos y ámbito
Entrevista
Investigación y análisis de documentos
Reunión de política
Glosario de la política
Responsabilidades y penalidades
Objetivos y ámbito
En este punto debe constar la presentación del tema
de la norma con relación a sus propósitos y
contenidos, buscando identificar resumidamente
cuáles estándares la política trata de establecer,
además de la amplitud que tendrá en relación a
entornos, individuos, áreas y departamentos de la
organización involucrados.
Entrevista
Las entrevistas tratan de identificar junto a los
usuarios y administradores de la organización las
preocupaciones que ellos tienen con los activos, los
procesos de negocio, áreas o tareas que ejecutan o
en la cual participan. Las entrevistas tratan de
identificar las necesidades de seguridad existentes
en la organización.
Glosario de la política
Es importante aclarar cualquier duda conceptual que
pueda surgir en el momento de la lectura de la
política. Así todos los lectores deben tener el mismo
punto de referencia conceptual de términos. Por lo
tanto se recomienda que la política cuente con un
glosario específico donde se especifiquen los
términos y conceptos presentes en toda la política
de seguridad.
Responsabilidades y penalidades
Es fundamental identificar a los responsables, por la
gestión de seguridad de los activos normalizados,
con el objetivo de establecer las relaciones de
responsabilidad para el cumplimiento de tareas,
como las normas de aplicación de sanciones
resultantes de casos de inconformidad con la
política elaborada. De esa manera, se busca el nivel
de conciencia necesario para los involucrados, con
relación a las penalidades que serán aplicadas en
casos de infracción de la política de seguridad.
Para cerrar esta sección sobre las etapas de la política, lo invitamos a reflexionar desde
su perspectiva cuestiones tan vitales como la seguridad de la información.
¿Se cuenta con un equipo técnico capaz de analizar e identificar riesgos en la
documentación de procesos de la empresa?¿Está consciente de la necesidad de incluir
penalidades para aquellos que incumplan la política de seguridad? ¿Cree necesario
formar un comité encargado del análisis de los casos que llegasen a ocurrir?
Preguntas ¿Tiene claro el objetivo principal de la política de seguridad en su empresa?
de reflexión
1.5 Lecciones aprendidas
2.1 Introducción
El “phishing”, también conocido como “carding” o “brand spoofing” consiste en que los
estafadores distribuyen mensajes de correo electrónico con diseño y formatos similares
a los usados por entidades bancarias. En el mensajes se solicita urgentemente a los
clientes del banco (o de servicios como eBay, PayPal o similares) visitar una página de
Internet, cuyo enlace se adjunta, con el fin de verificar sus datos personales e
información sobre su cuenta.
Recordemos que nuestra tarea dentro del área de seguridad es lograr que estos casos
no se presenten en la organización
2.2 Objetivos
Monitoração
ACOMPANHAMENTO
Las normas, por estar en un nivel táctico, pueden ser específicas para el público a
que se destina, por ejemplo para técnicos y para usuarios.
Procedimientos e Procedimiento
Conjunto de orientaciones para realizar las actividades operativas de
instrucciones de
seguridad, que representa las relaciones interpersonales e ínter
trabajo departamentales y sus respectivas etapas de trabajo para la implantación
(Operacional) o manutención de la seguridad de la información.
Instrucción de trabajo
Conjunto de comandos operativos a ser ejecutados en el momento de la
realización de un procedimiento de seguridad establecido por una norma,
establecido en modelo de paso a paso para los usuarios del activo en
cuestión.
Se pueden integrar, por ejemplo, la lista con los procedimientos para la realización de
respaldos de la base de datos, quiénes son los responsables, periodicidad,
almacenamiento, etc.
Se puede contar también con instrucciones de trabajo para la restauración de equipos
Ejemplos portátiles que se tengan que reinstalar, con una guía paso a paso sobre qué hacer en
dicho caso.
¿Su empresa cuenta con normas generales de seguridad en la actualidad? ¿Se encuentran
bien documentadas?
¿Cuenta con un conjunto de directrices generales en la organización?
¿Sus procedimientos técnicos están completamente documentados?
Preguntas
de reflexión
2.4 Acompañamiento de la política
Una política de seguridad, para que sea efectiva, necesita contar con los siguientes
elementos como base de sustentación:
Cultura
Herramientas
Monitoreo
Una vez revisados los ejemplos anteriores, ¿qué respuestas podría encontrar a las
siguientes preguntas?
¿El personal de su empresa cuenta con capacitación continua en materia de
seguridad?
¿Cuenta con sistemas de monitoreo que le permitan alertarse en poco tiempo de
Preguntas
posibles ataques a la seguridad de su empresa?
de reflexión
2.5 Lecciones aprendidas
3.1 Introducción
El éxito en la implantación de un sistema y política de seguridad en la empresa,
depende en gran medida de conocimiento a fondo de los procesos involucrados
cuando dicha implantación es llevada a cabo. Una vez recabada toda la información
necesaria y después de comunicar los logros a todo el personal de la empresa, es
posible incluso, como lo muestra la siguiente nota de prensa sobre la compañía
Nextel, que el proceso y la política de seguridad puedan llegar a implementarse bajo
algún estándar conocido a nivel mundial.
El pasado 7 de octubre de 2004, Nextel S.A. celebró una rueda de prensa en el Hotel
Sofitel Airport. El motivo fue anunciar la Certificación en Seguridad de la Información
obtenida el presente año, como ya hizo una semana antes en otra rueda de prensa
Noticias del celebrada en Bilbao. Esta vez asistieron como ponentes Iñaki Murcia, Director Regional
mundo de la Zona Norte; Agustín Lerma, Security Manager; y Ricardo Acebedo, Director de
Marketing.
Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la
operación necesaria para alcanzar las metas establecidas.
Agrega seguridad a los procesos de negocio y garantiza una gestión
inteligente de los riesgos.
Está de acuerdo con la cultura organizacional y está sustentada por el
compromiso y por el apoyo de la administración.
Permite un buen entendimiento de las exigencias de seguridad y una
evaluación y gestión de los riesgos a los que está sometida la organización.
Si una de las metas de su organización es, por ejemplo, aumentar el número de clientes
que utilizan sus servicios por Internet, es necesario que su política de seguridad facilite
esto en lugar de entorpecerlo.
Como ya lo comentamos antes, de nada sirve tener la mejor política impresa, sino que
Ejemplos sea comunicada adecuadamente a todos los empleados y usuarios de nuestros servicios.
¿Está consciente de todas las metas que tiene su organización a corto y largo plazo?
¿Tiene planeado ya la forma en que se divulgará la política de seguridad?
Preguntas de
reflexión
Para elaborar una política, es necesario delimitar los temas que serán convertidos
en normas.
Usos de la política
Una vez que tenemos una política de seguridad, ésta debe cumplir por lo menos dos propósitos:
La política al ser utilizada de manera correcta, podemos decir que brinda algunas ventajas como
lo son:
Debido a que una política de seguridad impacta la forma de trabajo diario de las
personas, esta debe ser:
Para finalizar la unidad, veamos algunas estadísticas que tienen como finalidad,
identificar los distintos escenarios a los que puede enfrentarse durante este proceso
de implantación, a través del conocimiento de las fallas y problemas más comunes
dentro de las compañías de Latinoamérica.
Las empresas de mayor capital y las de capital extranjero son las que se
Estadísticas preocupan con el tema desde hace más tiempo.
Apenas un 24% contestó que el nivel de adhesión a la política es alto,
revelando que el desafío actual es aumentar la participación de los
empleados.
Cerca del 47% de los ejecutivos entrevistados afirman que el principal
obstáculo en la implementación de la política de seguridad es la falta de
conciencia de los empleados, porque con frecuencia presentan resistencia
en adoptar esas prácticas.
Investimento em segurança
2001 2000 Esta investigación reveló que:
(%) (%)
1. Política de Segurança 71 79 La mayor parte de las empresas
Estadísticas 2. Capacitação da Equipe Técnica 65 73
3. Criptografia 41 54
planea invertir en políticas de
4. Testes de Invasão 38 52 seguridad (71%) y la capacitación
5. Virtual Private Network (VPN) 38 44 del equipo técnico (65%).
6. Análise de Riscos 35 50
7. Sistemas de detecção de 34 41 La mayoría de las empresas (66%)
intrusos afirma poseer una política de
8. Contratação de empresa 30 36
especializada seguridad, sin embargo en 19%
9. Aquisição de software de 29 32 de ellas la política no está
controle de acesso actualizada.
10. Autoridade Certificadora 29 23
11. Certificado digital 28 - Cerca del 41% de las
12. Implementação do Firewall 26 40
13. Sistemas de gestão de 19 -
organizaciones entrevistadas
segurança centralizada señalan la falta de conciencia
14. Smartcard 12 14 por parte de los funcionarios
15. Biométrica 11 - como el principal obstáculo de
16. Segurança em call center 9 -
la implementación de la política
de seguridad.
Principais obstáculos para implementação da
segurança
Cons c iênc ia
Orç amento
Ferramentas