POLITICAS DE SEGURIDAD (Básica)

¿Que tan seguro es seguro?

 

De acuerdo con Fenzi, ningún sistema computacional puede ser completamente seguro. Lo único que se puede hacer es, dificultar que alguien pueda comprometer el sistema. Para proteger un sistema es necesario determinar el nivel de amenaza del que desea protegerse, que riesgos deben o no tomarse en cuenta, y que tan vulnerable es el sistema como resultado.

 

Políticas de seguridad.

 

Para poder ofrecer seguridad a un sistema se debe comenzar por desarrollar una política de seguridad. Las políticas de seguridad deben de poder ser leídas, entendidas y seguidas por los usuarios. Esta debe de proteger al sistema en sí, los datos y la privacidad de los usuarios. En una política de seguridad se deben considerar los siguientes puntos:

 

• ¿Quien hace las políticas?

 

La creación de las políticas tiene que ser un esfuerzo de todo el personal técnico, sin embargo, dado que dichas políticas afectarán a toda la organización es importante que estas políticas sean aceptadas por los directivos de la organización.

 

• Responsabilidades

 

Un elemento importante es asegurarse de que TODOS sepan que mantener la seguridad es su responsabilidad. Esto asegura que cada quien sabe los problemas que tiene alguien asignados con el incumplimiento de sus responsabilidades, claro que existen diferentes niveles de responsabilidad y esto está muy relacionado con el tipo de permisos y accesos que una persona tiene asignados.

 

• Los activos de Hardware:

  • CPU.

  • Teclados.

  • Terminales.

  • Estaciones de trabajo.

  • Impresoras.

  • Unidades de disco.

  • Lineas de comunicación.

  • Servidores Dedicados.

 

• Los activos de Software

  • Programas fuente.

  • Utilerias.

  • Software de diagnóstico.

  • Sistemas Operativos.

 

• Los activos de Datos

  • Repositorios de datos.

  • Auditoría de registros (Logs).

  • Bases de Datos.

 

La seguridad y sus políticas también comprende los aspectos tanto físicos como lógicos, estas políticas normalmente se pueden establecer bajo la forma "Lo que no está permitido está prohibido", es decir nadie puede tener acceso a un servicio a menos de que se haya autorizado previamente.

 

• Seguridad Física

• Acceso controlado a los servidores.

• Quién tiene acceso a los servidores físicamente.

• Quién tiene las contraseñas de administrador.

• Seguridad Lógica

• Quién tiene acceso al sistema.

• Quién tiene permiso de instalar software.

• Quién es dueño de que datos.

• Recuperación ante desastres.

• Hacer uso apropiado del sistema.

• Quién está autorizado para otorgar privilegios.

• Cómo proteger datos sensibles.

 

Claro que la educación y entrenamiento estan relacionadas con las políticas de seguridad ya que es importante que todos en la organización sepan que hacer en un momento dado, es decir establecer normas y procedimientos para el uso de los equipos, la información incluyendo el que hacer para reportar problemas.

 

 

Por: Carlos Castillo

This site use iBizCMS as the Free Content Management System | © 2009 All Rights Reserved by domaingrus.com