Las
políticas son una serie de instrucciones documentadas que indican la
forma en que se llevan a cabo determinados procesos dentro de una
organización, también describen cómo se debe tratar un determinado
problema o situación.
Este documento está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas.
Este documento está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas.
Por
simples qeu parezcan, las políticas de seguridad pueden evitar
desastres mayores
Las
políticas pueden considerarse como un conjunto de leyes obligatorias
propias de una organización, y son dirigidas a un público mayor que
las normas pues las políticas proporcionan las instrucciones
generales, mientras que las normas indican requisitos técnicos
específicos. Las normas, por ejemplo, definirían la cantidad de
bits de la llave secreta que se requieren en un algoritmo de cifrado.
Por otro lado, las políticas simplemente definirían la necesidad de
utilizar un proceso de cifrado autorizado cuando se envíe
información confidencial a través de redes públicas, tales como
Internet.
Entrando
al tema de seguridad informática, una política de seguridad es un
conjunto de reglas y prácticas que regulan la manera en que se deben
dirigir, proteger y distribuir los recursos en una organización
para llevar a cabo los objetivos de seguridad informática de la
misma.
El
objetivo de una política de seguridad informática es la de
implantar una serie de leyes, normas, estándares y prácticas que
garanticen la seguridad, confidencialidad y disponibilidad de la
información, y a su vez puedan ser entendidas y ejecutadas por
todos aquellos miembros de la organización a las que van dirigidos.
La
misión, visión y objetivos varían mucho de una organización a
otra, esto es normal si se considera que una organización es
diferente de otra en sus actividades y en el conjunto de elementos
que la conforman (Elementos humanos, recursos materiales,
infraestructura).
De
manera rápida se definirán los conceptos de misión, visión y
organización.
Misión
Una
misma organización puede tener varias misiones, que son las
actividades objetivas y concretas que realiza. Las misiones también
pretenden cubrir las necesidades de la organización.
La misión es influenciada en momentos concretos por algunos elementos como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas
La misión es influenciada en momentos concretos por algunos elementos como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas
Visión
Es
la imagen idealizada de lo que se quiere crear. Tal idea debe estar
bien definida, pues todas las actividades de la organización estarán
enfocadas a alcanzar esta visión.
Objetivos
Son
actividades específicas enfocadas a cumplir metas reales,
alcanzables y accesibles. Se puede decir que un objetivo es el
resultado que se espera logrra al final de cada operación.
Así,
se vuelve importante considerar la misión, la visión y el objetivo
de ser de la empresa, a fin de realizar un estudio que con base en
éstas permita identificar el conjunto de políticas de seguridad
informática que garantice la seguridad, confidencialidad y
disponibilidad de la información.
Son
las ideas principales a partir de las cuales son diseñadas las
políticas de seguridad.
Los
principios fundamentales son: responsabilidad individual,
autorización, mínimo privilegio, separación de obligaciones,
auditoría y redundancia.
Este
principio dice que cada elemento humano dentro de la organización es
responsable de cada uno de sus actos, aun si tiene o no
conciencia de las consecuencias.
Son
las reglas explícitas acerca de quién y de qué manera puede
utilizar los recursos.
Este
principio indica que cada miembro debe estar autorizado a utilizar
únicamente los recursos necesarios para llevar a cabo su trabajo.
Además de ser una medida de seguridad, también facilita el soporte
y mantenimiento de los sistemas.
Las
funciones deben estar divididas entre las diferentes personas
relacionadas a la misma actividad o función, con el fin de que
ninguna persona cometa un fraude o ataque sin ser detectado. Este
principio junto con el de mínimo privilegio reducen la posibilidad
de ataques a la seguridad, pues los usuarios sólo pueden hacer uso
de los recursos relacionados con sus actividades, además de que
facilita el monitoreo y vigilancia de usuarios, permitiendo registrar
y examinar sus acciones.
Todas
las actividades, sus resultados, gente involucrada en ellos y los
recursos requeridos, deben ser monitoreados desde el inicio y hasta
después de ser terminado el proceso.
Además
es importante considerar que una auditoría informática busca
verificar que las actividades que se realizan así como las
herramientas instaladas y su configuración son acordes al esquema de
seguridad informática realizado y si éste es conveniente a la
seguridad requerida por la empresa.
Trata
entre otos aspectos sobre las copias de seguridad de la información,
las cuales deben ser creadas múltiples veces en lapsos de tiempos
frecuentes y almacenados en lugares distintos.
Sin
embargo, la redundancia como su nombre lo indica, busca “duplicar”
y en este sentido se puede decir que a través de los respaldos se
duplica información, y lo mismo se puede realizar en diferentes
aspectos, como por ejemplo: en cuanto a energía eléctrica, una
planta de luz para garantizar que opere en casos de emergencia,
servidores de datos que entren en operación cuando el primario sufra
una avería, etcétera, de manera tal que la redundancia se considera
en aquellos casos o servicios que se vuelven imprescindibles para la
empresa y que no pueden suprimirse pase lo que pase.
Mulpiles
respaldos de la misma información es un ejemplo de cómo la
redundancia es benéfica
Desde
el primer capítulo de esta investigación, se ha mencionado la
necesidad de mantener el control sobre quién puede tener acceso a
la información (ya sea a los documentos escritos o a los
medios electrónicos) pues no siempre queremos que la información
esté disponible para todo aquel que quiera obtenerla.
0 comentarios:
Publicar un comentario