Política de seguridad informática: Qué incluir

Gibrán García C.

hace 9 años

¿Qué es una política de seguridad informática? ¿Qué debe incluir? ¿Es realmente necesario tener ese tipo de medidas?

Todos somos vulnerables

Los últimos años se han visto envueltos en muchos ataques a la seguridad en internet. Podemos mencionar solo como ejemplo el descubrimiento de una vulnerabilidad en los protocolos OAuth y OpenID en el pasado año de 2014, algo que ponía en riesgo a millones de usuarios de los servicios de autenticación de Facebook y Google entre otros. Un atacante podría hacer uso de estas vulnerabilidades para obtener contraseñas de acceso, robar datos personales de los usuarios y redirigir a sitios maliciosos (Ranchal, 2014).

Ante esta perspectiva, una pequeña empresa o un usuario común fácilmente pudiera pensar: “si esas grandes empresas son tan vulnerables, con cuánta más razón nuestros sistemas podrían ser fácilmente atacados”. Allí es donde entra en juego una adecuada Política de Seguridad.

¿Qué es una política de seguridad informática?

Una Política de Seguridad Informática es un documento o conjunto de documentos que “recoge las directrices u objetivos de una organización con respecto a la seguridad de la información” (Aguilera, 2011).

Generalmente, engloba cuatro grupos:

Identificación de riesgos y amenazas.
Medidas de seguridad para afrontar esos riesgos.
Reglas y procedimientos que deben aplicarse para afrontar los riesgos.
Detección de vulnerabilidades.
Plan de contingencia.

¿Qué debe incluir una política de seguridad informática?

Es por eso que podemos concluir que los siguientes son los 5 puntos más importantes que deben incluirse en las políticas de seguridad de una red:

Manejo de un IDS (Sistema de Detección de Intrusos). Considerar la implementación de un IDS, su manejo (De Host o de Red, Reactivo o Pasivo), el mecanismo de detección de ataques (por Patrón, o por Heurística), así como todas las bitácoras que éste arroje. Un ejemplo de software de IDS es Snort, quien dispone de un lenguaje de creación de reglas para definir los patrones que se utilizarán para monitorear el sistema, asi como reglas y filtros ya predefinidos. (Snort.org)
Registro de todos los recursos de cómputo activos en la empresa. Esto implica tener el registro de todas las computadoras, así como de los sistemas operativos y software instalado en ellas, y los usuarios asociados a ellas. También se debe tener en registro los dispositivos de red en uso dentro de la empresa, para evitar que los mismos empleados instalen por su cuenta dispositivos sin protección (por ejemplo un Acces Point). Así mismo, es preciso contemplar el control sobre el uso de teléfonos inteligentes y tabletas electrónicas.
Políticas de contraseñas. Deben existir contraseñas en cualquier nivel de acceso al equipo. Las computadoras deben tener como mínimo tres niveles de acceso: contraseña a nivel Bios, a nivel sistema operativo y a nivel aplicación. El acceso a la red también deberá estar protegido por contraseña. Los usuarios deben estar enterados de en qué consiste una contraseña segura, así como de los métodos para cambiar ésta y la periodicidad con la que debe hacerlo. Existen varias herramientas de software que pueden ser útiles, una de ellas es MaxPassword (para Windows) o Cryptix (para OS X).
Actualización de las aplicaciones. Debido a que en todo sistema siempre se están descubriendo huecos de seguridad, es imprescindible que los usuarios entiendan el valor de actualizar sus sistemas en todos los niveles, incluyendo lenguajes de programación, protocolos y software base. Una forma sencilla de mantenerse protegido es actualizando el software.
Capacitación a los usuarios. Todo usuario de un equipo de cómputo conectado a la red empresarial deberá saber los riesgos que existen dentro de internet, como es el pishing, la ingeniería social, los virus (como los que vienen en el 90% del software pirata), así como a desconfiar de mensajes y correos electrónicos de desconocidos.

Un ejemplo de software de IDS es Snort, quien dispone de un lenguaje de creación de reglas

¿Son realmente necesarias tantas y tan estrictas medidas?

Algunas personas consideran que disponiendo de un buen software de seguridad pueden ser flexibles con las normas de las políticas de seguridad. Sin embargo, es obvio que esto no es posible. Debido a la naturaleza del software, no podemos predecir cuando uno de los recursos en los que confiamos puede llegar a ser vulnerable, por lo que nada sustituye la prevención y control de riesgos. Algo tan simple como cambiar esa contraseña que no has modificado desde hace más de un año puede hacer la diferencia.

Referencias:

Aguilera P. (2011). Introducción a la seguridad informática. Editex. España.
Inteco (2015). Política de contraseñas y seguridad de la información. Disponible en [http://www.unirioja.es/servicios/si/seguridad/difusion/politica_contrasenas.pdf]
Ranchal J. (2014). Vulnerabilidad crítica en OAuth y OpenID. Consultado en [http://muyseguridad.net/2014/05/04/vulnerabilidad-critica-oauth-y-openid/].
Software MaxPasswords disponible en [http://www.max2k.com/programs.php?id=3]
Software Cryptix disponible en [http://www.rbcafe.com/cryptix-rbcafe/]

¿Qué te pareció este artículo?

Poco informativo ()
No era lo que buscaba ()
Regular ()
Interesante ()
Excelente ()

(Visto 1.157 veces)

Tu comentario

opiniones