Hola gente!
este es un trabajo practico acerca de las Políticas de Seguridad Informáticas,espero que les sirva




INTRODUCCIÓN


El descubrimiento más importante del siglo XX ha sido sin duda la computadora, que esta provocando cambios en nuestra sociedad cuya importancia hoy sólo podemos intuir, y que los provocará aún más en el futuro.
En la actualidad, nuestro entorno esta prácticamente “controlado” por las nuevas tecnología, que a medida que transcurre el tiempo, avanzan sin límites y en ocasiones son utilizados incorrectamente provocando daños en el mismo sistema en el que han sido creados.
Es indudable el crecimiento de la importancia que tiene el procesamiento de la información en el funcionamiento de cualquier organización. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes ha las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.
Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas. La cuestión es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impediría hacer más negocios.
El trabajo que se presenta a continuación, esta enfocado a las Políticas de Seguridad Informática (PSI), que surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector de negocios.


Políticas de Seguridad

Definiciones Generales

El término política de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema. Al tratarse de `términos generales’, aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y qué lo denegado en cierta parte de la operación del sistema, lo que se denomina política de aplicación específica.
Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.
Surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.
Características
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, una política de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas, y debe:
• Ser holística (cubrir todos los aspectos relacionados con la misma).
• Adecuarse a las necesidades y recursos.
• Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
• Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
• Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.
• Deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc.

Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.
No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello.

Elementos de una Política de Seguridad
Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:
• Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
• Objetivos de la política y descripción clara de los elementos involucrados en su definición.
• Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
• Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
• Definición de violaciones y sanciones por no cumplir con las políticas.
• Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
• Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesitan, especialmente la información crítica.
• Los recursos del sistema y la información manejada en el mismo ha de ser útil para alguna función.
• Integridad: la información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado.
• Autenticidad: el sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.
• Confidencialidad: la información sólo ha de estar disponible para agentes autorizados, especialmente su propietario.
• Posesión: los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios.

Normativas
Para cubrir de forma adecuada los elementos anteriores, con el objetivo permanente de garantizar la seguridad corporativa, una política se suele dividir en puntos más concretos a veces llamados normativas. Ellas definen las siguientes líneas de actuación:
• Seguridad organizacional. Aspectos relativos a la gestión de la seguridad dentro de la organización (cooperación con elementos externos, outsourcing, estructura del área de seguridad…).
• Clasificación y control de activos. Inventario de activos y definición de sus mecanismos de control, así como etiquetado y clasificación de la información corporativa.
• Seguridad del personal. Formación en materias de seguridad, cláusulas de confidencialidad, reporte de incidentes, monitorización de personal.
• Seguridad física y del entorno. Bajo este punto se engloban aspectos relativos a la seguridad física de los recintos donde se encuentran los diferentes recursos - incluyendo los humanos - de la organización y de los sistemas en sí, así como la definición de controles genéricos de seguridad.
• Gestión de comunicaciones y operaciones.
Este es uno de los puntos más interesantes desde un punto de vista estrictamente técnico, ya que engloba aspectos de la seguridad relativos a la operación de los sistemas y telecomunicaciones, como los controles de red, la protección frente a malware, la gestión de copias de seguridad o el intercambio de software dentro de la organización.
• Controles de acceso. Definición y gestión de puntos de control de acceso a los recursos informáticos de la organización: contraseñas, seguridad perimetral, monitorización de acceso.
• Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las aplicaciones, cifrado de datos, control de software.
• Gestión de continuidad de negocio.
Definición de planes de continuidad, análisis de impacto, simulacros de catástrofes.
• Requisitos legales.

Evidentemente, una política ha de cumplir con la normativa vigente en el país donde se aplica; si una organización se extiende a lo largo de diferentes países, su política tiene que ser coherente con la normativa del más restrictivo de ellos. En este apartado de la política se establecen las relaciones con cada ley: derechos de propiedad intelectual, tratamiento de datos de carácter personal, exportación de cifrado… junto a todos los aspectos relacionados con registros de eventos en los recursos (logs) y su mantenimiento.

Parámetros para Establecer Políticas de Seguridad
Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos:
Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa.
Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.
Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
También es necesario identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área.
Además monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
Como así también, detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.

Razones que Impiden la Aplicación de las Políticas de Seguridad Informática
A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática.
Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad.
Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa.

La Información y el Delito
El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho.
Se considera que no existe una definición formal y universal de delito informático pero se han formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de "delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no han sido objeto de tipificación aún.
Tipos de Delitos Informáticos

La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos:
1. Fraudes cometidos mediante manipulación de computadoras
2. Manipulación de los datos de entrada
3. Daños o modificaciones de programas o datos computarizados
Delincuente y Victima
1. Sujeto Activo
2. Sujeto Pasivo
Legislación Nacional
En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales.
La ONU señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y los delitos informáticos se constituyen en una forma de crimen transnacional.



CONCLUSIÓN

Al realizar este trabajo, he podido comprobar que cada vez es más evidente la necesidad de centralizar las políticas de seguridad informática para cubrir virtualmente todo lo que sucede en dicho campo.
Afortunadamente, se ha logrado que muchas organizaciones empiecen a entender la importancia de las de este tipo de seguridad, porque a su alrededor existen proyectos que dependen de manera crítica de un sistema con reglas claramente articuladas. Sin este tipo de políticas informáticas, no se puede garantizar que los sistemas informáticos sean operados de manera segura.
En muchísimos casos la mejor herramienta de seguridad somos nosotros y nuestro sentido común, ya que se ha podido comprobar que los descuidos o imprudencias son la principal fuente de las brechas de seguridad, tanto desde el punto de vista del usuario personal como de las empresas.
También es evidente que se debe pensar en la forma de castigar dichos abusos en contra de la seguridad de la información, y como así también, algo mucho más importante como lograr probar el delito. Este sigue siendo el principal inconveniente a la hora de legislar por el carácter intangible de la información.


Espero comentarios