Como consultor de seguridad, he sido testigo de muchos intentos de implementar un programa de seguridad. Algunos intentos fallan porque hay una falta de soporte de gestión, otros fallan porque no hay cumplimiento, y otros por falta de experiencia.
Pero el problema más común es descuidar el programa de seguridad una vez que es implementado. Algunos de los problemas comunes son:
- falta de actualización de las políticas;
- los cambios no son rastreados;
- no se realizan auditorías internas; y
- falta de un «calendario» para implementar parches y arreglos.
Es muy importante que se utilice, actualice y enfoque un ciclo de vida adherido por seguridad.
Este documento presenta políticas de seguridad como un documento informativo para explicar lo que debes saber antes de escribir una política de seguridad.
Preparación adecuada, conocimiento y la recopilación de información facilitará la creación de una política de seguridad. Aquí responderemos a cuestiones básicas sobre una política de seguridad.
¿Por qué necesito una? ¿Cómo puedo elaborarla? ¿De qué amenazas debería preocuparme? ¿Cómo sé qué proteger?
También hablaremos de las amenazas y claves de seguridad comunes y los componentes de la política de seguridad.
Indice
¿Qué es la política de seguridad?
La Política de seguridad de la información (ISP) es un conjunto de reglas promulgadas por una organización para garantizar que todos los usuarios o redes de la estructura de TI dentro del dominio de la organización cumplan con las prescripciones sobre la seguridad de los datos almacenados digitalmente dentro de los límites de la organización extiende su autoridad.
Un ISP rige la protección de la información, que es uno de los muchos activos que una corporación necesita proteger.
Poniendo en práctica los argumentos lógicos de la racionalización, se podría decir que una política puede ser tan amplia como los creadores quieren que sea: Básicamente, todo, de la A a la Z en términos de seguridad de TI, y aún más. Por esa razón, el énfasis aquí se pone en algunos elementos clave, pero debe tener en cuenta la libertad de las organizaciones de pensamiento cuando forjan sus propias pautas.
En términos básicos, una política de seguridad es un plan que define el «uso aceptable» (basado en el riesgo aceptable) de todos los medios electrónicos dentro de una empresa u organización. Hay unos pocos elementos clave que deben considerarse al desarrollar políticas de seguridad.
¿Porque y qué datos necesitan protección? ¿Cuál es el impacto financiero negativo si se produce una violación o si el activo se pierde o se destruye
También incluye un análisis final de la tasa anual de ocurrencia de un incidente de seguridad. Según este análisis, ¿es esta política esencial y está justificada financieramente?
Una vez que la política está justificada, ¿está claro quién es responsable de qué?
Si se implementa, ¿será exigible?
Para que cualquier política tenga éxito durante un período de tiempo debe haber personas designadas capacitadas y con autoridad para llevar a cabo la política. Es muy importante que se revisen todas las áreas clave al desarrollar cualquier política de seguridad de la información. Existen tres áreas clave que analizamos a continuación.
¿Se puede implementar esta política?
¿Está disponible la mano de obra y la experiencia para implementar y respaldar la seguridad propuesta? ¿El departamento legal apoya las acciones propuestas?
Por ejemplo, si se ha agregado un sistema de detección de intrusos a la política, ¿son los miembros del personal conocedores de los sistemas de detección de intrusiones? ¿Es el personal capaz de implementar el nuevo sistema? Si la respuesta es no, entonces el trabajo podría ser subcontratado
¿Quién revisa los registros del sistema de detección de intrusos y lo mantiene? ¿Esto requerirá mano de obra adicional? Si necesitamos una nueva contratación a tiempo completo para administrar el sistema, puede no tener el apoyo de la gerencia. Un enfoque alternativo puede ser capacitar al personal existente en temas técnicos.
Otra cuestión es legal. Una organización puede estar en una situación en la que debe cumplir con ciertas leyes locales y estatales. Y cualquier parte
de la política que no cumpla con las leyes dará lugar a que se ignore esa política.
Además, la redacción adecuada también es extremadamente importante. Es recomendable consultar con la asesoría legal corporativa para la revisión de “causa y efecto” antes de implementar una política de seguridad. Al hacer esto, el riesgo de litigio se reduce considerablemente.
¿Está claro quién es responsable de qué?
Todos los empleados deben tener sus respectivos roles descritos en la política.
Todos estas preguntas deben ser respondidas en la política de seguridad.
- ¿Quién va a implementar la política?
- Responsable de hacer cumplir la política
- ¿Quién va a mantener el hardware y software de seguridad?
- Persona encargada de realizar controles de seguridad y auditorías
- ¿De qué es responsable el administrador del sistema?
- ¿Qué son las redes?
Responsabilidades del administrador y del administrador de seguridad
Sin gestión de apoyo, es una pérdida de tiempo implementar una política de seguridad. Si la administración es reacia ahora, probablemente serán más partidarios una vez que la seguridad ha sido violada Es una mentalidad equivocada, pero ocurre con frecuencia. Además, la mayoría de los usuarios no tienen un concepto de seguridad.
Los empleados desafiarán la seguridad y las políticas, pero si hay medidas disciplinarias e implicaciones impuestas por la administración, entonces el cumplimiento es mayor.
La gerencia no siempre puede estar allí para hacer cumplir la política. Por eso es importante monitorizar y verificar el cumplimiento. Para revisar, gestionar y cumplir con las políticas la monitorización de los activos es muy importante.
¿Por qué necesito una política de seguridad?
Se necesita una política de seguridad para informar a los usuarios y miembros del personal de la necesidad y su responsabilidad de proteger la tecnología y la información crítica de la organización.
Una política de seguridad cumple muchas funciones. Es un documento central que describe la actividad aceptable de la red y las sanciones por mal uso. También proporciona un foro para identificar y aclarar las metas y objetivos de seguridad para la organización en su conjunto.
Una buena política de seguridad muestra a cada empleado cómo es responsable de ayudar a mantener un ambiente seguro.
Las políticas de seguridad son beneficiosas ya que son la base de un programa de seguridad. Sin políticas, el programa de seguridad de una organización será de corta duración. Informan a los empleados de las pautas que protegen la información y los activos de la empresa. Y proporcionará pautas de uso aceptable y uso prohibido que reducirán automáticamente los riesgos si los empleados se adhieren a ella.
Las políticas de seguridad también sirven como una buena base para realizar auditorías de la red y sus recursos. Sirve como una línea de base a seguir al tratar de descubrir vulnerabilidades o al realizar análisis forenses si se ha violado la seguridad.
El desarrollo de una política de seguridad ayudará a definir objetivos estratégicos, identificar activos críticos y descubrir vulnerabilidades potenciales o existentes.
Apoyo de la gerencia
Una política de seguridad sólida comienza con el apoyo de la dirección de la empresa. Sin apoyo, las políticas de seguridad podrían ser inexistentes.
En la mayoría de los casos, la gerencia es responsable en última instancia de establecer las reglas para una seguridad sólida de la infraestructura.
Las políticas de seguridad, y la seguridad en general, generalmente se encuentran en la parte inferior de las prioridades de los ejecutivos. Existen escusas como: las políticas son demasiado difíciles de desarrollar, requieren mucho trabajo y son caras, son difíciles de implementar, los usuarios se quejan y lo etiquetan como una molestia, etc.
En la mayoría de los casos es necesario un incidente de seguridad grave o un caso excepcional para obtener el apoyo de la gerencia.
Es importante ser persistente con respecto a las políticas de seguridad. ¡No te rindas! Adopta la filosofía para hacer «lo que sea necesario». Al final, el trabajo duro y la diligencia serán compensados.
Identificar y ubicar los activos de la compañía
Aquí hay algunas preguntas que debemos hacernos:
- ¿Qué tiene la compañía que otros quieren?
- ¿Qué procesos, datos o sistemas de información son críticos para la empresa? ¿
- ¿Cuáles son las consecuencias ocasionadas por una paralización de la organización?
Las respuestas proporcionadas a estas preguntas probablemente representarán los activos de la empresa. Por ejemplo, los activos pueden ir desde bases de datos con datos críticos, sistemas de aplicación con información vital de la compañía, el cliente o el empleado, información clasificada, unidades compartidas, servidores de correo electrónico y servidores web.
Todo lo que es esencial para dirigir la empresa, o podría poner en peligro la empresa, es un activo y debe estar protegido.
Identificar amenazas
¿A qué tipos de amenazas es susceptible la empresa?
Esto puede variar según el tipo de empresa en cuestión, pero hay tres «características» de amenaza que deberían siempre tenerse en cuenta: confidencialidad, integridad y disponibilidad.
Confidencialidad se refiere a información a la que solo pueden acceder determinadas personas (es decir, gerentes, supervisores, empleados selectos). Es información que debe permanecer privada para la empresa y para ciertos empleados dentro de la empresa.
La integridad se refiere a la información y datos de la empresa. Es importante que sea absolutamente precisa y actualizada.
La disponibilidad se refiere a la accesibilidad de la información de la empresa. Es vital que la información y los recursos de una empresa estén fácilmente disponibles.
A continuación se muestra una lista parcial de las amenazas más comunes que pueden poner en peligro la confidencialidad,
integridad y disponibilidad de los activos de una empresa.
Hackers
Los hackers se encuentran entre las amenazas externas más conocidas para los sistemas de información.
Pueden clasificarse en tres categorías: hackers, crackers y phreakers.
El término pirata informático se puede definir como un individuo que irrumpe en los sistemas informáticos para aprender más sobre ellos. Generalmente no tienen la intención de dañar u obtener ganancia financiera; sin embargo, pueden transmitir involuntariamente información valiosa a otros, que podrían dañar los sistemas.
El término Cracker se refiere al «criminal hacker «. Estas personas tienen la intención de dañar los sistemas de información. Mientras que los motivos pueden variar, todos están dispuestos a conseguir un ganancia personal.
El termino Phreaker se refiere a un individuo que se enorgullece de comprometer los sistemas telefónicos. Se sabe que redirigen las líneas telefónicas, desconectan líneas telefónicas, venden escuchas telefónicas, etc.
Virus / Troyanos / Gusanos
Los virus, troyanos y gusanos son probablemente los más perjudiciales para la seguridad.
Los virus son modificaciones realizadas en archivos de programas existentes que se autoduplican.
Los troyanos son programas que infectan sistemas al utilizar a usuarios finales poco confiables que creen que están jugando a un juego o leyendo archivos adjuntos de correo electrónico.
Los gusanos se diferencian al tener la capacidad de replicarse. Estos aprovechan las redes de área local y los clientes de correo electrónico.
Se ha estimado que unos 200 virus, troyanos y gusanos se lanzan cada semana, la mejor defensa sigue siendo el antivirus implementado correctamente y una política sólida para hacerla cumplir.
Denegación de servicio (DOS)
Un ataque de denegación de servicio suele ser un intento de denegar a un usuario o grupo de usuarios la capacidad de usar un servicio en particular.
Los intentos de denegación de servicio pueden ser intencionales inundando una red para evitar el tráfico o involuntariamente utilizando un
servidor de la empresa para almacenar grandes cantidades de software, negando así el acceso a ese servidor. Puede ser difícil identificar este tipo de ataque porque el tráfico puede parecer un acceso válido
Los ataques de denegación de servicio y de denegación de servicio distribuidos pueden interrumpir la conectividad de la red, anular el ancho de banda, etc. Algunas opciones a considerar al planificar esta situación son filtros de enrutador configurados correctamente, parches de inundación TCP SYN, deshabilitar los servicios de red que no se utilizan y observar el rendimiento de la máquina.
Ingeniería social
La ingeniería social es una técnica popular utilizada para violar la seguridad que no requiere un ordenador.
Hay muchas definiciones para describir la ingeniería social. La mayoría está de acuerdo en una cosa: con ella se intenta reunir información que otorgue acceso a los sistemas con intención maliciosa. Es similar a la piratería, pero manipula la confianza del individuo para obtener su información en lugar de manipular a la compañía.
Esto se puede lograr a través de varios métodos. Uno de ellos es el teléfono. Las personas pueden llamar y actuar como alguien con «influencia»
dentro de una empresa y simplemente decir que han olvidado su contraseña o que no pueden obtener acceso a un servidor o aplicación en particular.
Aquí es importante incluir pautas (dentro de las políticas de seguridad y/o programas de capacitación) para verificar la identidad cuando se realizan estas llamadas y se solicita información.
Otra técnica popular se conoce como el basurero. Las personas realmente irán a través de contenedores de basura de la compañía buscando información valiosa que les ayudará a obtener acceso a los sistemas. Artículos como guías telefónicas, manuales, gráficos, etc. pueden servir como información valiosa para un hacker. Asegúrate de agregar una política para destruir cualquier información sensible.
Hay muchos otros tipos de ingeniería social, como ingeniería social en línea. Este es un problema que suele ser pasado por alto. Asegúrate de esbozar, en detalle, las medidas preventivas contra los ataques de ingeniería social.
Amenazas internas
Los usuarios son una amenaza de seguridad muy común pero pasada por alto. Mientras la mayoría de los incidentes relacionados con los usuarios finales no son intencionales, pueden garantizar una situación desastrosa.
Salas de chat, juegos, reproductor real, audio real, etc., todos abren ciertos puertos para la comunicación que pueden conducir a un punto de entrada para un intruso (hacker). Los usuarios finales también tienden a escribir nombres de usuario y contraseñas y ocultarlos debajo de sus teclados, en sus escritorios o algún otro lugar fácilmente accesible para otras personas.
Es necesario abordar estos problemas en una política de capacitación del usuario final y un uso aceptable para mitigar estos riesgos. Es recomendable que los empleados firmen las pautas de uso aceptable para asegurarse de que estén al tanto.
Desastres naturales: inundaciones, tornados, incendios, etc.
La madre naturaleza también es una amenaza real. Las inundaciones, tornados, incendios y terremotos pueden convertirse en un desastre para una empresa. En caso de que ocurra un desastre, el mejor plan es tener un plan probado de recuperación de desastres.
Dentro de este plan debe haber una sección detallada para realizar copias de seguridad de todos los sistemas críticos y almacenar estas copias de seguridad en una ubicación externa. También debería haber una ubicación de respaldo (nuevamente, accesible en un tiempo razonable e identificado
en la política) donde una empresa puede implementar las copias de seguridad que se han almacenado fuera del sitio.
Elementos de la política de seguridad
Dentro de los elementos que debe contener una política de seguridad, debemos destacar los siguientes:
Propósito
Las instituciones crean políticas de seguridad de la información por una variedad de razones:
- Establecer un enfoque general para la seguridad de la información.
- Para detectar y prevenir el compromiso de la seguridad de la información, como el mal uso de datos, redes, sistemas informáticos y aplicaciones.
- Con la finalidad de proteger la reputación de la empresa con respecto a sus responsabilidades éticas y legales.
- Para observar los derechos de los clientes; Proporcionar mecanismos efectivos para responder a las quejas y consultas relacionadas con el incumplimiento real o percibido de la política es una forma de lograr este objetivo.
Alcance
La política de seguridad debe abordar todos los datos, programas, sistemas, instalaciones, otra infraestructura tecnológica, usuarios de tecnología y terceros en una organización determinada, sin excepción.
Objetivos de seguridad de la información
Una organización que se esfuerza por componer una política de seguridad que funcione debe tener objetivos bien definidos con respecto a la seguridad y la estrategia sobre la cual la gerencia ha llegado a un acuerdo.
Cualquier disonancia existente en este contexto puede hacer que el proyecto de política de seguridad de la información sea disfuncional. Lo más importante que debe recordar un profesional de seguridad es que su conocimiento de las prácticas de administración de seguridad le permitiría incorporarlas en los documentos que se le encomiende redactar, y eso es una garantía de integridad, calidad y viabilidad.
La simplificación del lenguaje de políticas es una cosa que puede suavizar las diferencias y garantizar el consenso entre el personal administrativo. En consecuencia, se deben evitar las expresiones ambiguas. Debería evitarse la redundancia de la redacción de la política (por ejemplo, la repetición sin sentido por escrito), ya que haría que los documentos no estuvieran en sintonía con una ilegibilidad que obstaculiza la evolución. Al final, toneladas de detalles pueden impedir el cumplimiento completo a nivel de política.
Entonces, cómo la administración ve la seguridad de TI parece ser uno de los primeros pasos cuando una persona tiene la intención de aplicar nuevas reglas en este departamento. Además, un profesional de seguridad debe asegurarse de que esta política tenga la misma importancia que otras políticas promulgadas dentro de la corporación.
Se considera que la seguridad de la información salvaguarda tres objetivos principales:
- Confidencialidad: los activos de datos e información deben limitarse a las personas autorizadas para acceder y no deben divulgarse a otros;
- Integridad: mantener los datos intactos, completos y precisos, y los sistemas de TI operativos;
- Disponibilidad: un objetivo que indica que la información o el sistema está a disposición de los usuarios autorizados cuando sea necesario.
Autoridad y política de control de acceso
Por lo general, una política de seguridad tiene un patrón jerárquico.
Significa que el personal inferior generalmente está obligado a no compartir la pequeña cantidad de información que tienen a menos que esté explícitamente autorizado. Por el contrario, un gerente superior puede tener suficiente autoridad para tomar una decisión sobre qué datos se pueden compartir y con quién, lo que significa que no están sujetos a los mismos términos de la política de seguridad de la información.
Entonces, la lógica exige que la política de seguridad debe abordar cada posición básica en la organización con especificaciones que aclaren su estado de autoridad.
El refinamiento de la política se lleva a cabo simultáneamente con la definición del control administrativo. En esencia, se trata de una delegación de control basada en la jerarquía en la que uno puede tener autoridad sobre su propio trabajo. El gerente del proyecto tiene autoridad sobre los archivos del proyecto que pertenecen a un grupo al que está designado y el administrador del sistema tiene autoridad únicamente sobre los archivos del sistema.
Obviamente, un usuario puede tener la «necesidad de saber» para un tipo particular de información. Por lo tanto, los datos deben tener suficiente atributo de granularidad para permitir el acceso autorizado apropiado. Esta es la delgada línea de encontrar el delicado equilibrio entre permitir el acceso a aquellos que necesitan usar los datos como parte de su trabajo y negarlo a entidades no autorizadas.
El acceso a la red y los servidores de la compañía, ya sea en el sentido físico de la palabra, debe realizarse a través de inicios de sesión únicos que requieren autenticación en forma de contraseñas, datos biométricos, tarjetas de identificación o tokens, etc.
El monitoreo en todos los sistemas debe implementarse para registre los intentos de inicio de sesión (exitosos y fallidos) y la fecha y hora exactas de inicio y cierre de sesión.
Clasificación de datos
Los datos pueden tener un valor diferente. Las graduaciones en el índice de valor pueden imponer separación y procedimientos de manejo específicos para cada tipo.
Por lo tanto, un sistema de clasificación de información puede tener éxito al prestar atención a la protección de datos que tiene una importancia significativa para la organización, y omitir información insignificante que de otro modo sobrecargaría los recursos de la organización.
La política de clasificación de datos puede organizar todo el conjunto de información de la siguiente manera:
- Datos de alto riesgo: los datos protegidos por la legislación estatal, así como los requisitos financieros, de nómina y de personal.
- Información confidencial: los datos de esta clase no disfrutan del privilegio de estar bajo el ala de la ley, pero el propietario de los datos considera que deben protegerse contra la divulgación no autorizada.
- Información pública: esta información se puede distribuir libremente.
Los propietarios de datos deben determinar tanto la clasificación de datos como las medidas exactas que un custodio de datos debe tomar para preservar la integridad de acuerdo con ese nivel.
Soporte de datos y operaciones
En esta parte podemos encontrar cláusulas que estipulan:
- La regulación de los mecanismos generales del sistema responsables de la protección de datos.
- Respaldo de datos
- Movimiento de datos
Sesiones de concienciación sobre seguridad
Compartir las políticas de seguridad de TI con el personal es un paso crítico.
Hacerlos leer y firmar para reconocer un documento no significa necesariamente que estén familiarizados y entiendan las nuevas políticas. Una sesión de capacitación involucraría a los empleados en una actitud positiva hacia la seguridad de la información, lo que asegurará que tengan una noción de los procedimientos y mecanismos establecidos para proteger los datos, por ejemplo, los niveles de confidencialidad y los problemas de sensibilidad de los datos.
Dicha capacitación de sensibilización debe abordar un amplio alcance de temas vitales:
- cómo recopilar, usar, eliminar datos,
- mantener la calidad de los datos,
- gestión de registros,
- confidencialidad,
- privacidad,
- utilización adecuada de los sistemas de TI,
- uso correcto de las redes sociales, etc.
Responsabilidades, derechos y deberes del personal
Las consideraciones generales en esta dirección se inclinan hacia la responsabilidad de las personas designadas para llevar a cabo la implementación, educación, respuesta a incidentes, revisiones de acceso de usuarios y actualizaciones periódicas de una política de seguridad.
La prevención del robo, el conocimiento de la información y los secretos industriales que podrían beneficiar a los competidores se encuentran entre las razones más citadas por las que una empresa puede querer emplear a la política de seguridad para defender sus activos digitales y sus derechos intelectuales.
Referencia a la legislación relevante
Las principales leyes que afectan a las empresas en materia de seguridad de la información son:
- LSSI: regula el régimen jurídico de los servicios relacionados con Internet y contratación electrónica, como mensajes de texto y llamadas telefónicas.
- RGPD y LOPDGDD: estas son las normas que protegen la privacidad de los datos personales en nuestro país. Todas las empresas manejan datos personales de proveedores, clientes o trabajadores y, por tanto, deben cumplir estas leyes.
- Ley de Propiedad Intelectual: esta ley protege cualquier obra literaria, científica o artística originada por cualquier clase de actividad empresarial.
Otros elementos
La política de seguridad puede incluir también:
- Procedimiento de protección antivirus,
- procedimiento de detección de intrusiones, proceso de trabajo remoto,
- directrices técnicas,
- auditoría,
- requisitos de los empleados,
- consecuencias por incumplimiento,
- acciones disciplinarias,
- empleados despedidos,
- seguridad física de TI,
- referencias a documentos de respaldo.
Conclusión
Debido al descuido en su mayoría, muchas organizaciones, sin pensarlo mucho, eligen descargar muestras de políticas de TI de un sitio web y copiar este material listo para intentar reajustar de alguna manera sus objetivos y metas de políticas a un molde que generalmente es complicado
Una política de seguridad de alto grado puede marcar la diferencia entre un negocio en crecimiento y uno exitoso.
La mejora de la eficiencia, el aumento de la productividad, la claridad de los objetivos que tiene cada entidad, comprender qué TI y datos se deben asegurar y por qué, identificar el tipo y los niveles de seguridad requeridos y definir las mejores prácticas de seguridad de la información son razones suficientes para respaldar esta declaración.
Si quieres liderar una empresa próspera en la era digital de hoy, sin duda debes tener una buena política de seguridad de la información.