Diseño de Una Propuesta de Política de Ciberseguridad

Diseño de una propuesta de política de ciberseguridad Introducción Se puede considerar que la base para cualquier empresa pueda operar de una forma más confiable en cuanto a seguridad informática, se comienza con la definición de políticas y normas apropiadas. La seguridad de la empresa es una función que deberá evaluar riesgos, basándose en políticas y normas que cubran en su totalidad las necesidades de la empresa en materia de seguridad.

Justificación La seguridad de la información es la prioridad de la empresa para un buen manejo y confiabilidad.

Definición de la política de ciberseguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema.

Definición de ciberseguridad Consiste en la aplicación de procesos de análisis y gestión de riesgos relacionados con el uso de procesamiento, almacenamiento y

transmisión de información o datos.

Alcance: Las políticas cubren todos los aspectos de gestión que realizan los encargados de cada área de la empresa, para obtener un apropiado nivel de protección de los datos.

Objetivo: Es implantar políticas de ciberseguridad para la protección de datos, con el fin de reglamentar la gestión de información al interior de la empresa.

Aplicación de la política (cómo se va a hacer efectiva la ejecución de la política) La asamblea de la empresa concede su autorización para el establecimiento de la política de seguridad de la información, este fallo es una prueba más del compromiso que tiene la directiva al velar por la seguridad la empresa. La directiva como parte de su compromiso garantiza:

1. El estudio y certificación de las políticas aquí incluidas. 2. Impulsar la concientización sobre la seguridad informática. 3. Darle la difusión requerida para que todo el personal tenga acceso a las políticas establecidas. 4. Obtener los controles adecuados para la protección de recursos y conservar las políticas de seguridad. 5. Realizar inspecciones de cumplimiento de las políticas implantadas.

Con la implementación de estas políticas se busca concientizar a todo el que forme parte del personal y terceros la importancia de la seguridad. El incumplimiento de las políticas de seguridad acarreara correctivos para disminuir daños contra la seguridad. Dichas correcciones pueden ser desde administrativas, disciplinarias a penales, según sea el caso.

Acceso de usuarios a las computadoras Los usuarios realizaran un uso adecuado y responsable de los sistemas protegiendo la información a la cual se le permite el acceso. Normas Los usuarios deben hacerse responsables de las acciones realizadas en los sistemas, así como del usuario y contraseña asignados para su acceso. Los titulares no deben compartir sus cuentas de usuario y contraseñas con ninguna persona. El personal asignado por terceras partes que posean acceso al sistema, deben adaptarse a los lineamientos implantados por la empresa.

Perfiles de seguridad La empresa deberá asignar los perfiles de seguridad para establecer restricciones o permisos a que tiene derecho cada usuario cuando ingresa al sistema. Normas El administrador del sistema determinara que acciones, reportes, registro, etc. del sistema estarán disponibles para cada usuario.

A cada usuario se le debe asignar un perfil. Los perfiles serán creados de acuerdo al cargo del usuario. De ser necesario varios usuarios pueden tener el mismo perfil para facilitar los permisos o restricciones.

Contraseñas Todas las contraseñas de cuentas que den acceso a recursos del sistema de la empresa deberán seguir las siguientes normas.

Normas Toda contraseña deberá ser cambiada por lo menos una vez cada 6 meses. Las contraseñas no deben ser adjuntadas en mensajes de correos, ni ningún otro tipo de comunicación. Las contraseñas deben contener números y letras, alternando mayúsculas y minúsculas para aumentar la seguridad. Se debe evitar utilizar datos personales como contraseña. La asignación de contraseñas debe ser de manera individual y queda estrictamente prohibido hacer uso compartido de las mismas. Los usuarios no deben guardar las contraseñas en el sistema.

Correo electrónico

Debido a lo significativo que resulta el uso del correo para facilitar la comunicación entre administrativos y terceras personas, se ofrecerá un servicio seguro para el cumplimiento de actividades, acatando siempre los principios de confidencialidad, y autenticidad de quien efectúa la comunicación por este recurso.

Normas La dirección debe crear y difundir un procedimiento para la administración de cuentas de correo electrónico. La dirección debe establecer procedimientos e implantar controles para detectar y proteger el sistema contra código malicioso. La cuenta de correo asignada es de carácter individual por lo tanto ningún otra persona de la empresa o tercero, bajo ninguna circunstancia deberá utilizar una cuenta que no le pertenezca. La información contenida en el correo debe ser en relación a las labores del usuario de la empresa. Este no debe ser utilizado para ocupaciones personales. La información contenida en los buzones de correo es única y exclusivamente de la empresa y cada usuario es responsable de su buzón de correo.

Uso de internet Consciente de la importancia de internet como herramienta laboral, se proporcionara los recursos necesarios para asegurar su disponibilidad a los usuarios que lo requieran para la realización de actividades diarias en la empresa. Normas

La dirección deberá proporcionar recursos necesarios para la implementación, administración y mantenimiento requeridos para la prestación del servicio de internet. La dirección debe implementar controles para impedir la descarga de software no autorizado y evitar acceso a sitios restringidos. Deberá crear campañas para concientizar al personal, respecto a los cuidados que deben tener en cuenta al utilizar internet. El uso del servicio de internet tiene que ser relacionado a actividades laborales. Los usuarios tienen prohibido el acceso a servicios interactivos como Facebook, Yahoo, skype y similares. Queda prohibido el uso y descarga de juegos, música, películas y fondos de pantalla, etc. No está permitido el intercambio no autorizado de información propiedad de la empresa, clientes y administrativos, con terceros.

Antivirus La empresa debe proporcionar mecanismos para garantizar la protección de información y sistemas en donde se procesa y almacena. Implantando controles para evitar la difusión, modificación o daño permanente ocasionado por software malicioso. Normas La dirección debe proveer herramientas como antivirus, para reducir el riesgo de propagacion de software malicioso. La dirección debe asegurar que el antivirus cuente con las licencias de uso, certificando su autenticidad y la posibilidad de actualización periódica.

Tiene que certificar que el antivirus tenga las últimas actualizaciones para mitigar vulnerabilidades. Los usuarios no deberán cambiar la configuración del antivirus definida por la dirección, solo deberá realizar el escaneo de virus. Los usuarios que detecten alguna infección por software malicioso deberán notificarlo, para que la dirección tome las medidas de control necesarias. Los usuarios deben asegurarse de que los archivos adjuntos por correo, o descargados de cualquier medio de almacenamiento provengan de fuentes conocidas para evitar la propagacion de virus informáticos.

Respaldo y recuperación La empresa certificara la generación de copias de seguridad y almacenamiento de información critica, ofreciendo los recursos necesarios y estableciendo los procedimientos para la realización de estas actividades.

Normas Deberán generar los procedimientos para la generación, restauración y almacenamiento para las copias de respaldo de la información. Debe definir las condiciones de transporte de copias de seguridad que son almacenadas externamente. Es responsabilidad de cada usuario del sistema de la empresa identificar la información crítica que debe ser respaldada y almacenarla de acuerdo a su nivel de clasificación.

Detección de intrusos La empresa proporcionara los controles para detectar actividades inapropiadas, incorrectas, o anormales desde el exterior o interior de un sistema informático. Normas El usuario que sospeche de un suceso de un incidente de seguridad deberá reportarlo de inmediato a la dirección, señalando porque considera que es un incidente. Cuando exista el conocimiento de que información confidencial ha sido modificada, alterada o borrada sin aprobación de administrativos competentes, se deberá notificar lo antes posible a la dirección.

Acceso remoto La empresa dispondrá las condiciones y requisitos para el establecimiento de conexiones remotas al sistema de la empresa, también proveerá las herramientas y controles necesarios para que las conexiones se efectúen de manera segura. Normas Deberán analizar y aprobar los procedimientos de conexión remota al sistema de la empresa. Las conexiones remotas son permitidas únicamente a personal autorizado y por periodos de tiempo dispuestos con anterioridad de acuerdo con las labores ejercidas. Deberá revisar la seguridad de los controles utilizados sobre las conexiones remotas a los recursos de la plataforma tecnológica de la empresa. Los usuarios que realizan conexión remota deberán contar con autorización requerida y deben acatar las condiciones de uso.

Las conexiones tendrán que ser en computadoras previamente identificadas y no en computadoras públicas.

Auditoría Se definirán las bases para un adecuado control y seguimiento de operaciones técnicas y administrativas, para prevenir la correcta administración de recursos y el cumplimiento de normas establecidas por parte de la empresa. Normas El área de auditoria es responsable de la vigilancia, control y seguimiento de las operaciones técnicas y administrativas. Auditoria también podrá realizar auditorías o exámenes especiales a solicitud de la dirección. Auditoria deberá realizar revisiones y evaluaciones de vulnerabilidades detectadas. Realizara la verificación del cumplimiento de las normas en el ámbito de seguridad. Crearan propuestas de medidas preventivas y de corrección.

Entrenamiento de concientización (security awareness training) La empresa se encargara del entrenamiento de concientizar al personal de la misma sobre los aspectos de seguridad de la información. El personal debe involucrarse y asumir las responsabilidades como parte del sistema integral de seguridad.

Normas Se deben entender los riesgos de seguridad de los recursos informáticos. Se deberá tener buenas prácticas en el manejo de los soportes informáticos. Se debe clasificar y manejar adecuadamente la información. Tener presente que cualquier incumplimiento a las normas establecidas podría generar graves consecuencias para la empresa. Se proporcionaran guías de acceso a internet y uso del correo electrónico.

Conclusiones Establecer políticas de seguridad es realmente necesario ya que son muy importantes para lograr que los sistemas informáticos se operen de una manera más segura. El acceso no autorizado o ataques perpetrados a los sistemas de una empresa pueden ocasionar en su mayoría graves problemas. Esto indica que la clave para desarrollar con éxito un programa efectivo de seguridad de la información es implantar las políticas de ciberseguridad