Seguridad Informática

Políticas de Seguridad

¿Qué es una política de seguridad?

Una política de seguridad es un documento largo creado de distintas políticas. Ejemplo

Antes de crear e implementar una política de seguridad en una organización. Asegurar que se tiene la participación de la gerencia; o de lo contrario, no habrá cumplimiento de la política; resultando en que nadie sigue la politica.

Cada política, debe ser consistente, con las mismas secciones que aparecen en todas:

  1. Overview (Breve explicación).
  2. Scope (Alcance de la política).
  3. Policy (Determinar la política).
  4. Enforcement (Acciones disciplinarias de no seguir la política).
  5. Definitions (Definiciones de términos técnicos).
  6. Revision History (Revisión Histórica de la política).

Tipos de políticas de seguridad:

  • Politica Estándar (Se debe seguir).
  • Pautas (Recomendación que no es necesaria seguir).
  • Procedimentales (Documentación paso a paso de como hacer una tarea).

Consideraciones generales en las Políticas de Seguridad:

  1. Los usuarios deben leer y firmar la politica de uso aceptable (AUP). Se debe identificar los tipos de acciones que violarían la AUP como pueden ser:  mal uso de Internet, e-mail, equipos, portátiles, dispositivos móviles, o Redes Sociales.
  2. La política de contraseñas especifica los requisitos por la organización. Contiene reglas como la longitud mínima de la contraseña, el mínimo tiempo de vida, el máximo tiempo de vida, la comlejidad de la contraseña, y las mejores prácticas como no compartirla.
  3. La política de eliminación segura de dispositivos está diseñada para asegurar que los empleados saben que no pueden donar los viejos dispositivos sin haber destruido previamente toda la información confidencial en el dispositivo.
  4. La política de VPN está diseñada para especificar bajo que condiciones los empleados pueden conectarse remotamente a la red, siempre que sea a través de VPN.
  5. Las políticas que afectan al personal de administración/gerencia de la empresa, deberán ser firmadas por cada usuario ejecutivo, siguiendo consideraciones tales como consentimiento de no divulgación (NDA), continua formación, onboarding, acciones adversas y/o AUP.
  6. Las politicas que afectan al departamento informatico de administración, debe tener consideraciones tales como el cambio administrativo, eliminación física del equipamiento, o el tiempo de respuesta a incidentes.
  7. Las politicas que afectan al personal que tiene acceso a información sensible y/o altos cargos, siguen consideraciones tales como la política de privacidad, clasificación de la información (top secret, confidencial, sin clasificar, alto/medio/bajo nivel, publico/privado, propietario), o la retencion de los datos (retención de los mismos , y la edad de ellos).

Las políticas que afectan al departamento de Recursos Humanos:

  1. Política de contratación: Siguiendo consideraciones como el proceso de entrevista, el contactar referencias, comprobar la experiencia, la firma de documentos, o el no ir drogado.
  2. Politicas de finalización: Sigue consideraciones de cómo actuar en función de  una “finalización amigable”, o una “finalización con bronca”. Recomendable finalizar de foma amistosa la relación laboral.
  3. Política de vacaciones: Debe hacerse cumplir para que sea más fácil detectar las actividades fraudulentas llevadas a cabo por empleados.
  4. Politicas de seguridad para Recursos Humanos: Sigue consideraciones como la separación de tareas, la rotación de tareas, y la de menor/menos privilegios.

Entrenamiento del usuario:

Es fundamental entrenar al usuario para asegurar el cumplimiento y exito en la implantación de una política. Si el usuario no participa de la política, será muy difícil implementarla con éxito. Seguir las siguientes consideraciones:

  1. Educar al personal en general, y en específico, a los usuarios en cada rol que les corresponde a usuario de negocios, equipo tecnico, gerencia, propietario de los datos, propietario del sistema, usuario privilegiado.
  2. La política de concienciación, como la forma de impartir la formacion son muy importantes. La fomración se puede impartir mediante seminarios, desayunos informativos, CD-ROM, recursos en la intranet, o videos formativos bajo demanda.
  3. Educar y concienciar a los usuarios de los malos hábitos que conllevan un riesgo para la organización, tales cómo la política de contraseñas, manejo de la información, política de escritorio limpio, esperar a que la puerta se cierre y la separación para evitar el “Tailgating”, o el llevar los dispositivos pernosales al trabajo.
  4. Educar en cuanto a las nuevas amenazas y tendencias en seguridad, el uso de las Redes Sociales, las redes P2P (torrent), etc; y realizar métricas de entrenamiento y seguimiento, para comprobar el éxito de la formación.

Ejemplo de politica de seguridad (creada como proyecto para CompTIA Security+ 501):

  • AUP y seguridad en redes Wireless (Noviembre/2018):

    • //github.com/baah-romero/Security-Policies—Policitas-de-Seguridad/blob/master/Spanish-Espanol/Pol%C3%ADtica%20de%20uso%20y%20seguridad%20en%20redes%20WIFI.pdf

Fuentes:

  • Cuenta Github: //github.com/baah-romero
  • Libro CompTIA Security+ 501