Implementacin de una Poltica de Seguridad

La implementacin de medidas de seguridad, es un proceso Tcnico-Administrativo. Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria. Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organizacin. La implementacin de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como administrativamente. Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen. Es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin. Una PSI informtica deber abarcar:

Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organizacin. Responsabilidades de los usuarios con respecto a la informacin que generan y a la que tienen acceso. Requerimientos mnimos para la configuracin de la seguridad de los sistemas al alcance de la poltica. Definicin de violaciones y las consecuencias del no cumplimiento de la poltica. Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria de la ley. Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin sacrificar su precisin) sobre el porque de las decisiones tomadas. Finalmente, como documento dinmico de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios, etc.

Una proposicin de una forma de realizar una PSI adecuada puede apreciarse en el siguiente diagrama:

Se comienza realizando una evaluacin del factor humano, el medio en donde se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias. Luego de evaluar estos elementos y establecida la base del anlisis, se originan un programa de seguridad, el plan de accin y las normas y procedimientos a llevar a cabo. Para que todo lo anterior llegue a buen fin debe realizarse un control peridico de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditora a los archivos Logs de estos controles. Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulacin de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulacin y los casos reales registrados generan una realimentacin y revisin que permiten adecuar las polticas generadas en primera instancia. Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la poltica falle. Es importante destacar que la Seguridad debe ser considerada desde la fase de diseo de un sistema. Si la seguridad es contemplada luego de la implementacin del mismo, el personal se enfrentar con problemas tcnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayora de los casos, un menor grado de seguridad. "Construya la seguridad desde el principio. La mxima de que es ms caro aadir despus de la implementacin es cierta." (1) Julio C. Ardita menciona: "Muchas veces nos llaman cuando est todo listo, faltan dos semanas y quieren que lo aseguremos (...) llegamos, miramos y vemos que la seguridad es imposible de implementar. ltimamente nos llaman en el diseo y nosotros los orientamos y proponemos las soluciones que se pueden adoptar (...)" (2)

Queda claro que este proceso es dinmico y continuo, sobre el que hay que adecuarse continuamente a fin de subsanar inmediatamente cualquier debilidad descubierta, con el fin de que estas polticas no caigan en desuso.

DESCRIPCIN DE LAS POLITICAS

POLITICA 1: ACCESO A LA INFORMACIN POLITICA 2: ADMINISTRACION DE CAMBIOS POLITICA 3: SEGURIDAD DE LA INFORMACION POLITICA 4: SEGURIDAD PARA LOS SERVICIOS INFORMATICOS POLITICA 5: SEGURIDAD EN RECURSOS INFORMATICOS POLITICA 6: SEGURIDAD EN COMUNICACIONES POLITICA 7: SEGURIDAD PARA USUARIOS TERCEROS POLITICA 8: SOFTWARE UTILIZADO POLITICA 9: ACTUALIZACION DE HARDWARE POLITICA 10 : ALMACENAMIENTO Y RESPALDO POLITCA 12 : AUDITORIA POLITICA 13 : SEGURIDAD FISICA POLITICA 14 : ESCRITORIOS LIMPIOS POLITICA 15 : ADMINISTRACION DE LA SEGURIDAD