Las políticas de seguridad de activos de información: Un enfoque para su implementación.
Las entidades requieren formalizar su modelo de seguridad y establecer un marco de referencia para la administración y control de los activos de información. Como parte de estas funciones, deben documentarse, aprobarse y comunicarse formalmente las políticas, estándares y lineamientos que se establezcan en la organización, de forma tal que éstas apoyen el cumplimiento de las metas estratégicas de la Gerencia. A continuación se presenta un breve resumen de los principales tópicos que deben ser abordados en las políticas de seguridad de activos de información.
Control de acceso: Identificación, autenticación, autorización y registro.
El control de acceso es un elemento importante en la seguridad de un sistema, debido a que es el primer paso en la protección de los activos de información de una organización, por lo tanto es necesario asegurar que todo el que acceda a los recursos de la organización posea credenciales apropiadas, que dichas credenciales hayan sido preparadas, y que las mismas correspondan con el usuario. La primera actividad que se ejecuta durante el control de acceso es la identificación, para ello se deben establecer políticas dentro de la organización que fomenten el uso de identificaciones de usuario (o user ID) únicos e intransferibles. Esto permite una asociación inequívoca en el sistema de los privilegios autorizados y las actividades que realiza el usuario. En contraposición, debe suprimirse el uso de cuentas genéricas que compartan múltiples usuarios.
El segundo paso es la autenticación. El primer medio (y en muchos casos, el único) utilizado es la clave de acceso, o password. Las políticas de seguridad de la empresa deben estipular que la clave de acceso debe ser lo suficientemente larga y compleja para que no pueda adivinarse ni ser generada mediante programas especializados, llevando preferiblemente combinaciones de caracteres en mayúscula y minúscula, números, e incluso caracteres alfanuméricos. Se debe cambiar periódicamente y no permitir su reutilización a fin de evitar la creación de la clave de acceso favorita de cada usuario. Otro aspecto importante es asegurar que el procedimiento de asignación de claves de accesos, por parte del personal de soporte al usuario, estipule medidas como la entrega de claves de acceso generados al azar, cumpliendo con todos los requerimientos anteriormente mencionados, y adicionalmente se debe forzar su cambio inmediato por parte del usuario la primera vez que se conecte.
De igual forma se deben poner en práctica estrategias de concienciación y políticas de seguridad, a fin de evitar que el usuario divulgue su clave de acceso, lo escriba y que se asegure de no ser observado durante su utilización. Una vez el usuario se ha identificado y es autenticado correctamente, se debe validar sus privilegios de acceso en las aplicaciones informáticas. Para ello es necesario instaurar políticas organizacionales donde se definen grupos de trabajo dependiendo de las funciones y las responsabilidades que los usuarios desempeñen en la organización, por lo tanto el administrador de las aplicaciones debe asegurar que los usuarios pertenezcan al grupo de trabajo correspondiente y que los permisos de accesos son apropiados y asignados únicamente de acuerdo a una adecuada segregación de funciones y en base a las funciones y responsabilidades asignadas a los usuarios.
Control de Cambios en las aplicaciones informáticas
Se deben instaurar políticas y procedimientos que deben ser soportados por un proceso estándar para la implantación de cambios en las aplicaciones informáticas, el cual debe incluir niveles de aprobación de las solicitudes, realización de pruebas en entorno de desarrollo o test, control de los cambios realizados y traspaso al entorno de producción, entre otros. De igual forma las políticas de seguridad deben asegurar la segregación de las funciones que se realizan en el entorno de producción, desarrollo y prueba, con el propósito de que los cambios en las aplicaciones informáticas son autorizados, desarrollados, probados por los responsables de las áreas involucradas antes de su traspaso al entorno de producción. Finalmente, deben existir políticas en los procesos de Control de Cambios que estipulen procesos de reversión en caso de que causen conflictos o problemas (Rollback).
Cifrado
El cifrado permite que información importante para la organización sea resguardada y protegida contra accesos no autorizados, por lo cual deben establecerse políticas donde se estipule que toda información considerada por la organización como confidencial, sensible o crítica debe mantenerse cifrada mientras se mantenga almacenada y sea transmitida a través de cualquier plataforma tecnológica. De este modo se asegura que los activos de información de la empresa se gestione en un entorno confiable y seguro.
Seguridad Física
Ante la ausencia de una apropiada política de seguridad física en el Centro de Procesamiento de Datos (CPD), los controles de acceso establecidos para los activos de información podrían ser omitidos, afectando su privacidad, integridad o la continuidad de las operaciones. Con base a esto, el establecimiento de políticas y procedimientos de acceso físico deberá considerar aquellos aspectos de identificación del personal, autorización y control de excepciones, restricción de ubicaciones según funciones, entrada y salida de equipos y mobiliario, entre otros.
Monitorización – respuesta a incidentes
En el desarrollo de las políticas y procedimientos de seguridad informática, debe considerarse la inclusión de políticas de monitorización y detección de intrusiones. El primer paso en la detección de intrusiones se realiza a través de la monitorización, es por ello que se deben implantar políticas para la monitorización y seguimiento de toda actividad que suceda en cada uno de los componentes de la plataforma tecnológica de la organización.
Estas políticas debe plantear el monitoreo de toda conexión a una aplicación informática, a fin de detectar cualquier actividad anómala en la que pueda incurrir un usuario, y tomar las medidas correspondientes. Una vez una intrusión es detectada, se debe contar con planes de acción para responder a dichas intrusiones.
Uso de Internet y servicios relacionados
La facilidad de acceso que provee Internet a los empleados, hace que sea un riesgo potencial para la organización. Los usuarios pueden ser partícipes intencionales o accidentales de ataques a los activos de información, mediante la utilización de los servicios de correo, navegación, Chat y transferencias de archivos (FTP). Los virus y otros tipos de código malicioso abundan en Internet, y en cualquier punto de la súper autopista de la información se puede encontrar a usuarios maliciosos que desean obtener un punto de acceso a información restringida. Es por ello que es necesario establecer políticas de acceso y control del uso de Internet y sus servicios relacionados. Con respecto a la información que pueda ser enviada o extraída de Internet, ya sea a través de descargas desde páginas o desde correos electrónicos, se deben implantar controles donde se prohíba el envío o recepción de información crítica a menos que se tenga control sobre las condiciones en las cuales se establecerá la comunicación. De igual modo, cada usuario debe estar seguro que la persona que envía o recibe la información, ya sea a través de un e-mail o una página, es confiable y cuenta con controles de acceso al menos similares. Finalmente, se debe implantar una política donde se regule el uso de las cuentas de correo, ya que los usuarios que tengan acceso a las cuentas de correo electrónico deben limitarse a utilizar las cuentas para uso relacionado a las labores que desempeñan en la organización, y no deben utilizar el correo para uso personal.
Yazomary García García
Miembro del Comité Consultivo de RASI-CGCEE
Para ampliar o aclarar la información presentada en particular pueden contactar con nosotros a través de nuestra dirección de correo electrónico: [email protected]