Auditoria de Seguridad Informática
Para realizar una evaluación de la Seguridad, es importante conocer cómo desarrollar y ejecutar la implantación de un Sistema de Seguridad.
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.
Las consideraciones de un Sistema Integral de Seguridad deben contemplar:
Definir elementos administrativos
Definir Políticas de Seguridad: A nivel departamental, a nivel institucional
Organizar y dividir las responsabilidades
Contemplar la Seguridad Física contra catástrofes (incendios, terremotos, inundaciones, etc.)
Definir prácticas de Seguridad para el personal: Plan de emergencia, Plan de evacuación, Uso de recursos de emergencia (extinguidores, etc.)
Definir el tipo de Pólizas de Seguros
Definir elementos técnicos de procedimientos: Técnicas de aseguramiento del sistema
Codificar la información: Criptografía
Contraseñas difíciles de averiguar (letras mayúsculas, minúsculas, números y símbolos ) que deben ser cambiadas periódicamente
Vigilancia de Red: Tecnologías repelentes o protectoras (Cortafuegos (firewalls), sistema de detección de intrusos, etc.)
Anti-spyware, antivirus, llaves para protección de software, etc.
Mantener los sistemas de información (sistemas operativos y programas) con las actualizaciones que más impacten en la Seguridad
Definir las necesidades de Sistemas de Seguridad para hardware y software
Flujo de energía
Cableados locales y externos
Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos
Planificación de los papeles de los Auditores internos y externos
Planificación de programas de contingencia o recuperación de desastre y sus respectivas pruebas (Simulación)
Planificación de Pruebas al Plan de Contingencia con carácter periódico
Política de Destrucción de basura, copias, fotocopias, discos duros, etc.
Para dotar de medios necesarios al elaborar su Sistema de Seguridad, se debe considerar los siguientes puntos:
Sensibilizar a los ejecutivos de la organización en torno al tema de Seguridad
Se debe realizar un Diagnóstico de la situación de riesgo y Seguridad de la información en la organización a nivel software, hardware, recursos humanos y ambientales
Elaborar un Plan para un Programa de Seguridad
Etapas para implantar un Plan de Seguridad
Para que su Plan de Seguridad entre en vigor y los elementos empiecen a funcionar, se observen y acepten las nuevas políticas del nuevo Sistema de Seguridad, se deben seguir los siguientes pasos:
Introducir el tema de Seguridad en la visión de la empresa
Definir los procesos de Flujo de Información y sus Riesgos en cuanto a todos los recursos participantes
Capacitar a los Gerentes y Directivos, contemplando el enfoque global
Designar y capacitar a Supervisores de área
Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas
Mejorar las comunicaciones internas
Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel
Capacitar a todos los trabajadores en los elementos básicos de Seguridad y Riesgo para el manejo del software, hardware y con respecto a la Seguridad Física
Beneficios de un Sistema de Seguridad
Los beneficios de un Sistema de Seguridad bien elaborados son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
Aumento de la productividad
Compromiso con la misión de la compañía
Ayuda a formar equipos competentes
Mejora de los climas laborales para los Recursos Humanos
Disposiciones que acompañan la Seguridad
Desde el punto de vista de Seguridad, se debe contar con un conjunto de disposiciones o acción para llevarse a cabo en caso de presentarse situaciones de riesgo:
Obtener una especificación de todas las aplicaciones, los programas y archivos de datos
Medidas y Planes de Contingencia en caso de desastre como pérdida total de datos, abuso, etc.
Prioridades en cuanto a acciones de seguridad de corto y largo plazo
Verificar el tipo de acceso que tienen las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de Operación y viceversa
Que los operadores no sean los únicos en resolver los problemas que se presentan
Razones que impiden la aplicación de las Políticas de Seguridad Informática
A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de Seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito; la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas Políticas de Seguridad Informática.
Esta situación ha llevado a que muchas empresas con activos muy importantes se encuentren expuestas a problemas de seguridad y riesgos innecesarios los cuales, en muchos casos, comprometen información sensible y, por ende, la imagen corporativa.
Ante esta situación, los encargados de la Seguridad deben confirmar que las personas entienden los asuntos importantes de la Seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos. Si se quiere que las Políticas de Seguridad sean aceptadas deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que quienes toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.
Es importante señalar que las Políticas, por sí solas, no constituyen una garantía para la Seguridad de la organización. Ellas deben responder a intereses y necesidades organizacionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos y a reconocer, en los mecanismos de Seguridad Informática, factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización.
Puesta en marcha de una Política de Seguridad
Generalmente se ocupa exclusivamente de asegurar los derechos de acceso a los datos y los recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio.
La Seguridad Informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el Sistema Informático con toda confianza. Por eso, en lo referente a elaborar una Política de Seguridad, conviene:
Elaborar reglas y procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión.
Sensibilizar los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, quienes tienen que conseguir que los recursos y derechos de acceso sean coherentes con la Política de Seguridad definida.Fuente: http://www.univalle.edu/publicaciones/journal/journal18/pagina17.htm
No hay comentarios:
Publicar un comentario