PARTICIPACION DEL PERSONAL

POLITICAS Y NORMAS

MONITOREO DE RED

Politicas de Seguridad Informatica

• Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización.

• No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello.

• Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.

Elementos de una política de seguridad informática

• Una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.

Las PSI deben considerar entre otros, los siguientes elementos:

• • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.

• • Objetivos de la política y descripción clara de los elementos involucrados en su definición.

• • Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.

• • Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política.

• • Definición de violaciones y de las consecuencias del no cumplimiento de la política.

• • Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.

Espere lo inesperado • Imagine lo que sucedería si: • • La información esencial fuera robada, se perdiera, estuviera en peligro,

fuera alterada o borrada. • • Los sistemas de correo electrónico no funcionaran durante un día o

más. ¿Cuánto costaría esta improductividad? • • Los clientes no pudieran enviar órdenes de compra a través de la red

durante un prolongado periodo de tiempo.

• Se espera que los ejecutivos corporativos se interesen cada vez más directamente en la prevención de desastres físicos y espionaje. Implementar una política de seguridad completa le da valor a su empresa. También mejorará la credibilidad y reputación de la empresa y aumentará la confianza de los accionistas principales, lo que le dará a la empresa una ventaja estratégica.

Identifique las amenazas

• Amenazas externas: Se originan fuera de la organización y son los virus, gusanos, caballos de Troya, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionaje industrial.

• o Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la información sensible e importante. Las amenazas internas también incluyen el uso indebido del acceso a Internet por parte de los empleados, así como los problemas que podrían ocasionar los empleados al enviar y revisar el material ofensivo a través de Internet.

• Evalué los riesgos: Éste puede ser uno de los componentes más desafiantes del desarrollo de una política de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cuáles tienen el potencial para causar mucho daño. El costo puede ser más que monetario - se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad legal, atención pública indeseada, la pérdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad.

• Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las áreas de la empresa. Sería ideal la participación de un representante por cada departamento de la compañía. Los principales integrantes del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Públicas.

• Establezca políticas de seguridad: Cree una política que apunte a los documentos asociados; parámetros y procedimientos, normas, así como los contratos de empleados. Estos documentos deben tener información específica relacionada con las plataformas informáticas, las plataformas tecnológicas, las responsabilidades del usuario y la estructura organizacional.

• Implemente una política en toda la organización: La política que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos específicos. También puede requerir que todos los empleados firmen la declaración; si la firman, debe comunicarse claramente. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política:

• o Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento.

• o Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la información. Asegúrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses.

• o Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la política de seguridad de la compañía.

• Los Problemas de la seguridad • Los problemas de seguridad que surgen día a día llevan a que las altas

gerencias se pregunten si el nivel de Seguridad Informática alcanzado por la estructura existente es el que realmente necesita la organización.

• Los “Penetration Test“ y el análisis por medio de herramientas detectoras de vulnerabilidades sólo dan una foto parcial de la realidad de la Seguridad Informática de una organización ,ya que no toman en cuenta la misión de negocio de cada uno de los sistemas, que es la que debe determinar el grado de criticidad de los riesgos y el nivel de las contramedidas a implementar dentro de una ecuación económica equilibrada.

• Por lo tanto, la única forma de evaluar la Seguridad Informática de una Organización es conocer la misión de sus sistemas y aplicar metodologías de análisis específicas.

• Capacitación en Seguridad Informática de todo el Personal: • La capacitación de todas las capas del personal de una

organización (desde la alta gerencia hasta los empleados de base y pasando por los de Tecnología y Sistemas), con cursos adecuados a su forma de interacción con los sistemas informáticos, es la clave para convertir a las personas de parte del problema a parte de la solución de la Seguridad Informática y lograr una minimización de los riesgos por errores, impericias o desconocimientos.

• Ninguna implementación de Seguridad Informática actual funcionará correctamente sin esta etapa.

• Esto servicio tiene como objetivo el desarrollo completo del Proyecto de Seguridad Informática de una organización compuesto por su Política de Seguridad y sus Planes de Contingencia y Continuidad de Negocios.

El servicio está compuesto por los siguientes pasos

• Análisis de riesgos críticos inmediatos y desarrollo de contramedidas de aplicación rápida para acotar la problemática más urgente.

• • Reanálisis de Riesgos Informáticos Físicos, Técnicos y Administrativos con respecto a la Integridad, Disponibilidad y Confidencialidad de la Información que manejan los Sistemas de la Empresa.

• • Análisis de las Políticas de Seguridad Informáticas implementadas o, en caso de que no existan de manera formal de las soluciones de Seguridad Existentes.

• • Análisis de cumplimiento de las normas de Seguridad Informática que debe cumplir la Empresa, ya sea que provengan de su Casa Matriz, de Estándares Internacionales, de Auditorías Externas o entidades reguladoras (por ejemplo: Banco Central).

• Análisis del impacto generado por el personal en la variación de los niveles de Seguridad.

• • Análisis de los Planes de Contingencia y Continuidad de Negocios existentes.

• • Desarrollo de un Plan de Reingeniería Acotada para llevar el nivel de Seguridad Informática de la empresa a un valor adecuado a la criticidad de las Unidades de Negocio y los Sistemas que la conforman.

• • Implementación de la Reingeniería de la Política de Seguridad. • • Implementación de la Reingeniería de los Planes de Contingencia y

Continuidad de Negocios. • • Capacitación al personal. • • Implementación de un sistema de Control por oposición de la Seguridad

Informática de la organización.

Monitoreo de red

• El término Monitoreo de red describe el uso de un sistema que constantemente monitoriza una red de computadoras en busca de componentes defectuosos o lentos, para luego informar a los administradores de redes mediante correo electrónico, pager u otras alarmas. Es un subconjunto de funciones de la administración de redes

• Mientras que un sistema de detección de intrusos monitorea una red por amenazas del exterior (externas a la red), un sistema de monitoreo de red busca problemas causados por la sobrecarga y/o fallas en los servidores, como también problemas de la infraestructura de red (u otros dispositivos).

• Por ejemplo, para determinar el estatus de un servidor web, software de monitoreo puede enviar, periódicamente, peticiones HTTP (Protocolo de Transferencia de Hipertexto) para obtener páginas; para un servidor de correo electrónico, enviar mensajes mediante SMTP (Protocolo de Transferencia de Correo Simple), para luego ser retirados mediante IMAP (Protocolo de Acceso a Mensajes de Internet) o POP3 (Protocolo Post Office)

• Comúnmente, los datos evaluados son tiempo de respuesta y disponibilidad (o uptime), aunque estadísticas tales como consistencia y fiabilidad han ganado popularidad. La generalizada instalación de dispositivos de optimización para Redes de área extensa tiene un efecto adverso en la mayoría del software de monitoreo, especialmente al intentar medir el tiempo de respuesta de punto a punto de manera precisa, dado el límite visibilidad de ida y vuelta1

• Fallas de peticiones de estado, tales como que la conexión no pudo ser establecida, tiempo de espera agotado, entre otros, usualmente produce una acción desde del sistema de monitoreo. Estas acciones pueden variar: una alarma puede ser enviada al administrador, ejecución automática de mecanismos de controles de fallas, etcétera.

• Monitorear la eficiencia del estado del enlace de subida se denomina Medición de tráfico de red