SEGURIDAD INFORMATICA II VIII. DEFINICIÓN DE POLÍTICAS DE SEGURIDAD . UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II VIII. DEFINICIÓN DE POLÍTICAS DE SEGURIDAD . E.I. L.E. Prof. Ramón Castro Liceaga

Políticas de seguridad Este tipo de políticas definen los requerimientos técnicos para la seguridad en un sistema de cómputo y de redes informáticas. Establecen las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que se denomina norma de seguridad. En cuanto a la administración de la seguridad ésta políticas se apoyan en documentos concretos donde se establecen principios y objetivos de seguridad. Las políticas de seguridad entran en un marco normativo de documentos como normas a seguir, políticas de uso, procedimientos de seguridad e instructivos técnicos

Objetivo de las Políticas de seguridad. Su propósito es orientar y controlar a las acciones para la toma de decisiones sobre problemas de seguridad que se presenten repitan dentro de una organización, asimismo servir de base para desarrollar los procedimientos de seguridad.

Políticas de seguridad: Documento formal. La empresa debe contar con un documento formalmente elaborado sobre el tema, el cual obligatoriamente será divulgado entre todos los empleados. No puede ser únicamente una carta de intención ni debe tener detalle. Las políticas deben contener claramente las prácticas que serán adoptadas por la compañia.

(cada mes, semestre o anual). Actualización de las políticas de seguridad. Dado que los sistemas se actualizan constantemente, las políticas de seguridad deben ser revisadas y de ser necesario actualizadas periodicamente. (cada mes, semestre o anual).

Compromiso de los involucrados. Para que las políticas de seguridad surtan efecto es necesario lograr la concientización, entendimiento, aceptación y compromiso de todos los involucrados en la seguridad.

Elementos de las Politicas de seguridad Informática Definir que es la seguridad de la información, sus objetivos y su importancia dentro de la empresa - Mostrar el compromiso de la alta gerencia con la misma - Deben mostrar la filosofía respecto al acceso a la información Deben establecer las bases para diseñar normas y procedimientos referidos a: 1) Organización de la seguridad 2) Clasificación y control de los datos 3) Seguridad de las personas 4) Seguridad física y ambiental 5) Plan de contingencia 6) Prevención y detección de virus y códigos maliciosos 7) Administración de los equipos y redes informáticas

Estructura de políticas, normas y procedimientos de seguridad informática. A partir de las Políticas de seguridad, podemos desarrollar las normas y posteriormente los procedimientos de seguridad que serán la guía para la realización de actividades de seguridad en las empresas u organizaciones.

Norma de seguridad. Estas normas son un apoyo de las políticas de seguridad ya que deben ser muy claras y concretas generalmente agrupadas por área dentro de la organización.

Procedimientos de seguridad. Estos documentos son un gran apoyo de las políticas de seguridad ya que determina las tareas, procesos o acciones relacionadas con la seguridad y personas responsables en la ejecución de estas tareas.

Instrucción técnica de seguridad Se enfocan a los aspectos técnicos de la seguridad y procedimientos concretos sobre el sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Son especificaciones detalladas de los algoritmos o pasos a ejecutar. A través de esta instrucción, se documentan los aspectos técnicos o comandos necesarios para que el personal ejecute la instrucción técnica de manera precisa.

Ejemplos. En la UNAM contamos con múltiples ejemplos de servicios, políticas y normas de seguridad informática establecidas por diversas dependencias universitarias como son las siguientes: -Políticas de uso del servidor Rigel en la FCA. http://rigel.fca.unam.mx/rigel/node/8 El servidor de Rigel es un servicio que proporciona el Centro de Informática de la Facultad de Contaduría y Administración (CIFCA) para el apoyo de las actividades académicas e informáticas de los alumnos y profesores de esta facultad en la UNAM. Entre otros servicios contamos con conexiones remotas, bases de datos y lenguajes de programación, transferencia de archivos, registro de usuarios y acceso al Webmail. El servidor cuenta con 14 políticas de uso que garantizan la administración y seguridad de la información y que a continuación se mencionan.

Ejemplos. 1.- Sólo se permite una cuenta por persona. 2.- Las cuentas son personales e intransferibles por lo que no puede prestarlas por ningún motivo. 3.- Se le recomienda cambiar su contraseña inmediatamente después de recibir la misma. 4.- Se recomienda que la contraseña contenga por lo menos 8 caracteres alfanuméricos y de ser posible símbolos. 5.- El espacio en disco está restringido a 100 MB por usuario. Es responsabilidad del usuario administrar y respaldar su información, incluyendo correo, bases de datos y directorio home. 6.- Está prohibido utilizar los recursos del servidor para labores no académicas. 7.- Está prohibido el envío de mails masivos (SPAM) desde este servidor. 8. No deberá modificar los datos de configuración de la cuenta que se le asignó, de lo contrario se dará de baja. 9.- Es responsabilidad del usuario de la cuenta el mal uso que se le dé a ésta, por lo tanto se prohíbe colocar snifers, cracks, troyanos, scaners y exploits. 10.- Está prohibido realizar cualquier tipo de escaneos a otros nodos de la red, ya sea interna o externa. 11.- No se permite el almacenamiento de software. 12.- Está prohibido el almacenamiento de imágenes, videos y música que no tengan relación con un proyecto académico. 13.- Si el administrador sospecha de alguna actividad ilícita, se reserva el derecho de suspender la cuenta y llevar a cabo un análisis minucioso de la misma. 14.- Cualquier incumplimiento en las políticas anteriores o de las políticas que emite la UNAM, será causa de la suspensión inmediata de la cuenta, así como de aplicar las sanciones correspondientes.