martes, 30 de agosto de 2011

Política de seguridad

Proveer acceso a los servicios de la red de una empresa y proveer acceso al mundo exterior a través de la organización, da al personal e institución muchos beneficios. Sin embargo, a mayor acceso que se provea, mayor es el peligro de que alguien explote lo que resulta del incremento de
vulnerabilidad.
De hecho, cada vez que se añade un nuevo sistema, acceso de red o aplicación se agregan vulnerabilidades potenciales y aumenta la mayor dificultad y complejidad de la protección.
Sin embargo, si se está dispuesto a enfrentar realmente los riesgos, es posible cosechar los beneficios de mayor acceso mientras se minimizan los obstáculos.
Para lograr esto, se necesitará un plan complejo, así como los recursos para ejecutarlo. También se debe tener un conocimiento detallado de los riesgos que pueden ocurrir en todos los lugares posibles, así como las medidas que pueden ser tomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga abrumadora, y podría muy bien serlo, especialmente en organizaciones pequeñas que no tienen personal experto en todos los temas. Alguien podría estar tentado para contratar un consultor de seguridad y hacerlo con él; aunque esto puede ser una buena manera para outsourcing, todavía necesita saber lo suficiente y observar la honestidad del consultor.
59
Después de todo, se le va a confiar a ellos los bienes más importantes de la organización.
Para asegurar una red adecuadamente, no solamente se necesita un profundo entendimiento de las características técnicas de los protocolos de red, sistemas operativos y aplicaciones que son accesadas, sino también lo concerniente al planeamiento. El plan es el primer paso y es la base para asegurar que todas las bases sean cubiertas.
¿Por qué se necesita una política de seguridad?
La imagen que frecuentemente viene a la mente cuando se discute sobre seguridad está la del gran firewall que permanece al resguardo de la apertura de su red, defendiendo de ataques de malévolos hackers. Aunque un firewall jugará un papel crucial, es sólo una herramienta que debe ser parte de una estrategia más comprensiva y que será necesaria a fin de proteger responsablemente los datos de la red. Por una parte, sabiendo cómo configurar un firewall para permitir las comunicaciones que se quiere que ingresen, mientras salvaguarda otros datos, es un hueso muy duro de roer.
Aún cuando se tenga las habilidades y experiencia necesaria para configurar el firewall correctamente, será difícil conocer la administración de riesgos que está dispuesto a tomar con los datos y determinar la cantidad de inconveniencias a resistir para protegerlos. También se debe considerar cómo asegurar los hosts que están siendo accesados. Incluso con la protección de firewall, no hay garantía que no se pueda desarrollar alguna vulnerabilidad. Y es muy probable
que haya un dispositivo en peligro. Los modems, por ejemplo, pueden proveer un punto de acceso a su red que completamente sobrepase su firewall. De hecho, un firewall puede aumentar la probabilidad que alguien establecerá un 60 módem para el acceso al Internet mediante otro ISP (ISP - Internet Service Providers, cualquier empresa o institución que provea de conexión a Internet), por las restricciones que el firewall puede imponer sobre ellos (algo para recordar cuando se empieza a configurar su firewall). Se puede proveer restricciones o «protección,» que puede resultar ser innecesario una vez que las consecuencias se entienden claramente como un caso de negocio. Por otra parte, los riesgos pueden justificar el incremento de restricciones, resultando incómodo. Pero, a menos que el usuario esté prevenido de estos peligros y entienda claramente las consecuencias para añadir el riesgo, no hay mucho que hacer.
Los temas legales también surgen. ¿Qué obligaciones legales tiene para proteger su información?. Si usted está en una compañía de publicidad puede tener algunas responsabilidades
definitivas al respecto.
Asegurar sus datos involucra algo más que conectarse en un firewall con una interface competente. Lo que se necesita es un plan comprensivo de defensa. Y se necesita comunicar este plan en una manera que pueda ser significativo para la gerencia y usuarios finales. Esto requiere educación y capacitación, conjuntamente con la explicación, claramente detallada, de las consecuencias de las violaciones. A esto se le llama una «política de seguridad» y es el primer paso para asegurar responsablemente la red. La política puede incluir instalar un firewall, pero no necesariamente se debe diseñar su política de seguridad alrededor de las limitaciones del firewall.
Elaborar la política de seguridad no es una tarea trivial. Ello no solamente requiere que el personal técnico comprenda todas las vulnerabilidades que están involucradas, también requiere que ellos se comuniquen efectivamente con la gerencia.
La gerencia debe decidir finalmente cuánto de riesgo debe 61 ser tomado con el activo de la compañía, y cuánto se debería gastar en ambos, en dólares e inconvenientes, a fin de minimizar
los riesgos. Es responsabilidad del personal técnico asegurar que la gerencia comprenda las implicaciones de añadir acceso a la red y a las aplicaciones sobre la red, de tal
manera que la gerencia tenga la suficiente información para la toma de decisiones. Si la política de seguridad no viene desde el inicio, será difícil imponer incluso medidas de seguridad mínimas. Por ejemplo, si los empleados pueden llegar a alterarse si ellos imprevistamente tienen que abastecer logins y contraseñas donde antes no lo hacían, o están prohibidos particulares tipos de acceso a Internet. Es mejor trabajar con estos temas antes de tiempo y poner la política por escrito.
Las políticas pueden entonces ser comunicadas a los empleados por la gerencia. De otra forma, los empleados no lo tomarán en serio, o se tendrán batallas de políticas constantes dentro de la compañía con respecto a este punto. No solamente con estas batallas tendrán un impacto negativo sobre la productividad, es menos probable que la decisión tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de las guerras políticas.
El desarrollo de una política de seguridad comprende la identificación de los activos organizativos, evaluación de amenazas potenciales, la evaluación del riesgo, implementación de las herramientas y tecnologías disponibles para hacer frente a los riesgos, y el desarrollo de una política de uso.
Debe crearse un procedimiento de auditoria que revise el uso de la red y servidores de forma periódica. Identificación de los activos organizativos: Consiste en la creación de una lista de todas las cosas que precisen protección.
62
Por ejemplo:
• Hardware: ordenadores y equipos de telecomunicación
• Software: programas fuente, utilidades, programas de diagnóstico, sistemas operativos, programas de comunicaciones.
• Datos: copias de seguridad, registros de auditoria, bases de datos. Valoración del riesgo: Conlleva la determinación de lo que se necesita proteger. No es más que el proceso de examinar todos los riesgos, y valorarlos por niveles de seguridad.
Definición de una política de uso aceptable:
Las herramientas y aplicaciones forman la base técnica de la política de seguridad, pero la política de uso aceptable debe considerar otros aspectos:
• ¿Quién tiene permiso para usar los recursos?
• ¿Quién esta autorizado a conceder acceso y a aprobar los usos?
• ¿Quién tiene privilegios de administración del sistema?
• ¿Qué hacer con la información confidencial?
• ¿Cuáles son los derechos y responsabilidades de los usuarios?
Por ejemplo, al definir los derechos y responsabilidades de los usuarios: 63
• Si los usuarios están restringidos, y cuáles son sus restricciones.
• Si los usuarios pueden compartir cuentas o dejar
que otros usuarios utilicen sus cuentas.
• Cómo deberían mantener sus contraseñas los usuarios.
• Con qué frecuencia deben cambiar sus contraseñas.
• Si se facilitan copias de seguridad o los usuarios deben realizar las suyas.

No hay comentarios:

Publicar un comentario