Creación del plan, procedimiento y políticas de seguridad

El Plan de Seguridad Informática es la expresión gráfica del Sistema de Seguridad Informática diseñado y constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una Entidad y recoge claramente las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo. Durante el proceso de diseño de un Sistema de Seguridad Informática se distinguen tres etapas:

 1) Determinar las necesidades de protección del sistema informático objeto de análisis, que incluye: Caracterización del sistema informático. Identificación de las amenazas y estimación de los riesgos. Evaluación del estado actual de la seguridad.

 2) Definir e implementar el sistema de seguridad que garantice minimizar los riesgos identificados en la primera etapa. Definir las políticas de seguridad. Definir las medidas y procedimientos a implementar.

 3) Evaluar el sistema de seguridad diseñado. El contenido de cada una de estas etapas se describe en la “Metodología para el diseño de un sistema de Seguridad Informática” elaborada por el Ministerio del Interior. Una vez cumplidas estas etapas se elabora el Plan de Seguridad Informática.

Presentación del documento. La página inicial (portada) contendrá el siguiente título: “PLAN DE SEGURIDAD INFORMATICA” seguido de la denominación de la entidad. En la segunda página se consignarán los datos referidos a la elaboración, revisión y aprobación del Plan de Seguridad Informática, de acuerdo al siguiente formato: 


En la columna “elaborado” se consignan los datos del jefe del equipo que confeccionó el Plan de Seguridad Informática, en la columna “revisado” los de la persona designada para su revisión antes de presentarlo a aprobación y en la columna “aprobado” se reflejan los datos del jefe de la entidad en la que el Plan será implementado. A partir de la página No. 2, cada una de las páginas que conforman el Plan tendrán el encabezamiento siguiente:
 

En la casilla “clasificación del documento” se pondrá la que le fue otorgada de acuerdo a lo establecido para la seguridad y protección de la información oficial.

                           Políticas de Seguridad Informática 

En esta sección se definen los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus características propias y en conformidad con la política vigente en el país en esta materia y el sistema de seguridad diseñado, mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el sistema informático, las cuales se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos, resoluciones y otros documentos rectores. Al definir las políticas de Seguridad Informática se considerarán, entre otros, los aspectos siguientes:

  1. El empleo conveniente y seguro de las tecnologías instaladas y cada uno de los servicios        que éstas pueden ofrecer.
  2. El tratamiento que requiere la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría.
  3. La definición de los privilegios y derechos de acceso a los activos de información para             garantizar su protección contra modificaciones no autorizadas, pérdidas o revelación.
  4. Los principios que garanticen un efectivo control de acceso a las tecnologías, incluyendo el acceso remoto, y a los locales donde éstas se encuentren.
  5. La salva y conservación de la información.
  6. La conexión a redes externas a la Entidad, en especial las de alcance global y la                       utilización de sus servicios. 
  7. Los requerimientos de Seguridad Informática a tener en cuenta durante el diseño o la adquisición de nuevas tecnologías o proyectos de software.
  8. La definición de los principios relacionados con el monitoreo del correo electrónico, la gestión de las trazas de auditoria y el acceso a los ficheros de usuario.
  9. El mantenimiento, reparación y traslado de las tecnologías y el personal técnico que requiere acceso a las mismas por esos motivos.
  10. Las regulaciones con relación a la certificación, instalación y empleo de los Sistemas de Protección Electromagnética.
  11. Las regulaciones relacionadas con la certificación, instalación y empleo de los Sistemas Criptográficos, en los casos que se requiera.
  12. Los principios generales para el tratamiento de incidentes y violaciones de seguridad.

                                SISTEMA DE SEGURIDAD INFORMÁTICA


En esta sección se describe cómo se implementan, en las áreas a proteger, las políticas generales que han sido definidas para toda la entidad, en correspondencia con las necesidades de protección en cada una de ellas, atendiendo a sus formas de ejecución, periodicidad, personal participante y medios. 

 Se describirán por separado los controles de seguridad implementados en correspondencia con su naturaleza, de acuerdo al empleo que se haga de los medios humanos, de los medios técnicos o de las medidas y procedimientos que debe cumplir el personal.
 
Medios Humanos: Aquí se hará referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseño, establecimiento, control, ejecución y actualización del mismo.  

 Medios Técnicos de Seguridad: Se describirán los medios técnicos utilizados en función de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración de los mismos. Para lo cual se tendrá en cuenta:

  • Sistemas Operativos y nivel de seguridad instalado
  • Tipo de redes utilizadas y topología de las mismas
  • Conexiones a redes externas a la entidad
  • Servidores de uso interno y externo
  • Configuración de los servicios
  • Barreras de protección y su arquitectura
  • Empleo de Firewall,de Hosts Bastiones
  • Sistemas Proxy, etc.
  • Filtrado de paquetes
  • Herramientas de administración y monitoreo
  • Habilitación de trazas y subsistemas de auditoría
  • Establecimiento de alarmas del sistema
  • Sistemas de protección criptográfica
  • Dispositivos de identificación y autenticación de usuarios
  • Protección contra programas no deseados
  • Software especiales de seguridad
  • Medios técnicos de detección de intrusos
  • Cerraduras de disqueteras
  • Dispositivos de protección contra robo de equipos y componentes
  • Sistemas de aterramiento
  • Protección electromagnética
  • Fuentes de respaldo de energía eléctrica
  • Medios contra incendios
  • Medios de climatización
  • Otros.

           Medidas y Procedimientos de Seguridad Informática 


En esta parte del Plan se relacionarán las acciones que deben ser realizadas en cada área específica por el personal, en correspondencia con las políticas generales para toda la entidad establecidas y con la ayuda, en los casos que lo requieran, de los medios técnicos, adecuando las mismas a las necesidades de protección de cada una de ellas de acuerdo con el peso del riesgo estimado para cada bien informático objeto de protección.

Un procedimiento de seguridad es una secuencia predeterminada de acciones dirigida a garantizar un objetivo de seguridad. Los procedimientos que se definan serán descritos en los acápites que correspondan o si se desea se hará referencia a ellos agrupándolos al final del Plan en un anexo.

Algunos procedimientos a considerar son los siguientes: 
  • Otorgar (retirar) el acceso de personas a las tecnologías de información y como se controla el mismo. 
  • Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios.
  • Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrónico, Internet)
  •  Definir perfiles de trabajo.
  •  Autorización y control de la entrada/salida de las tecnologías de información. 
  • Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composición, la frecuencia de actualización, quién debe cambiarla, su custodia, etc.
  •  Realización de salva de respaldo, según el régimen de trabajo de las áreas, de forma que las salvas se mantengan actualizadas.
  • Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisión de personal responsable y que en caso del traslado del equipo fuera de la entidad la información clasificada o limitada sea borrada físicamente o protegida su divulgación. 
  • Salva y análisis de registros o trazas de auditoria, especificando quien lo realiza y con qué frecuencia.
  • De protección física
  • A las áreas con tecnologías instaladas
  • A las tecnologías de información

               Listado nominal de Usuarios con acceso a redes de alcance global


Si la entidad tiene acceso a redes de alcance global se anexará un Listado de Usuarios autorizados, especificando Nombre, Apellidos y Cargo que ocupa en la entidad, así como los Servicios para los que está autorizado.

  Registros


Se definirán los documentos de registro que se requieran para el control de la actividad, de acuerdo a los requerimientos del sistema de seguridad diseñado, pudiéndose considerarse entre otros los siguientes:

  •  Registro de inspecciones.
  •  Registro y control de los soportes.
  •  Registro de software de nueva adquisición.
  •  Registro de entrada, salida y movimiento de tecnologías de información. 
  •  Registro de incidencias de la Seguridad Informática.

Comentarios

Entradas más populares de este blog

Evaluacion de riesgos

Tipos de ataques