1. Política de seguridad

La política de Seguridad como requisito de la norma ISO 27001 debe considerar en líneas generales los objetivos de la seguridad de la información de la empresa u organización. Así que la primera pregunta a hacernos es

¿Qué queremos conseguir con la Seguridad de la información?

En este documento que es responsabilidad de la dirección, tiene como misión además de establecer los objetivos obtener una visión sintetizada de la funcionalidad y estado del sistema de gestión de la seguridad de la información.

En otras palabras, la política de la seguridad de la información debe ser fácil de entender y explicar de forma resumida para qué sirve la aplicación de esta política de seguridad en la empresa, su utilidad y los responsables.

¿Cómo redactar la política sobre la Seguridad de la Información?

Atendiendo al estándar ISO 27001 tenemos que:

1. Redactar una política de acuerdo a las necesidades de cada Organización:

En este sentido debemos tener en cuenta el tamaño, la estructura y actividad de cada organización, pues no será lo mismo redactar una política para una gran organización donde quizás se requiera un apartado o párrafo específico para cada división y actividad de la misma que para una pequeña empresa.

Tampoco será lo mismo si la actividad de la empresa es la fabricación de componentes que para una empresa que se dedique a proveer servicios de TI.

2. La política de la Seguridad de la Información debe tener en cuenta los objetivos de cada organización

Se trata de plasmar en el documento como la seguridad de la información respalda al negocio en el logro de sus objetivos.

Los objetivos de una organización normalmente tenemos que verlos desde dos perspectivas:

  • Los objetivos comerciales
  • Los objetivos de Seguridad de la información

Una buena recomendación

Los objetivos de la Seguridad de la información no deben ser identificados en sí mismos si no como consecuencia del análisis de los objetivos del negocio en cuanto su necesidad para respaldar su consecución

Los objetivos de seguridad se ven afectados por las limitaciones comerciales y medioambientales, y por las amenazas y vulnerabilidades.

Objetivos medibles

Para ello deberemos considerar métricas que permitan la comparación entre la capacidad de seguridad actual y la capacidad requerida para cumplir con los requisitos del negocio.

3. La política del SGSI debe demostrar que se tienen en cuenta los requisitos de las partes interesadas

Este punto nos lleva a expresar lo que hemos analizado en el punto sobre el contexto de la organización donde hemos identificado las expectativas de las partes interesadas.

Ahora es el momento de mencionar el compromiso de la organización en la satisfacción de estos intereses y de cómo la política de Seguridad e la información contribuye a ello. Por ejemplo en el cumplimiento de los requisitos legales demandados por clientes, socios o entidades gubernamentales Etc.

4. La comunicación de la Política a las partes interesadas:

Este requisito puede ser mencionado incluso dentro del documento de la política para una vez más, dar visibilidad a la preocupación de la dirección por cumplir con el requisito de comunicar la política dentro de la compañía y cuando corresponda, a las partes interesadas. Para ello se puede nombrar al responsable de realizar esta labor y hacer mención a que se establecerán procedimientos y procesos para garantizar que se realiza en tiempo y formas adecuadas.

5. Propietario de la Política

Definir un propietario de la política y un proceso de revisión es otro de los puntos a considerar para cumplir con los requisitos de la ISO norma 27001, que podemos incluir en este punto con el objeto de que la política de la seguridad se mantenga actualizada.

Otros puntos a considerar en la política de la Seguridad.

También podemos incluir dentro de la política de Seguridad aspectos como:

• El alcance del SGSI:
podemos incluir dentro de la política lo que hemos definido como el Alcance del SGSI de forma que quede claro para todo el mundo que partes de la organización y los procesos que están afectados.

No es necesario en este documento ni se recomienda establecer exactamente que sistemas de información están afectados. Es mejor mantener un enfoque a nivel de procesos del negocio y de los servicios internos afectados ya que los sistemas y activos de información son elementos que no aportan dentro de una función.

Lo importante es divulgar que funciones están cubiertas más que sistemas o aplicaciones dado que la política de la Seguridad es un documento no solo para establecer criterios si no para que todos los conozcan

• Las responsabilidades del SGSI:
Parece interesante también determinar o mencionar en este documento las responsabilidades estratégicas para la seguridad dela información dentro de la empresa tales como las responsabilidades sobre la gestión de riesgos, la realización de las auditorías internas o la gestión de los incidentes sobre la seguridad de la información.

• La estructura de la empresa,
Incluir una estructura organizacional donde se determine la asignación, el control y coordinan los roles, el mando y las responsabilidades, y cómo fluye la información entre los diferentes niveles de gestión.

• El enfoque y la metodología para el análisis y evaluación de riesgos
Cuál es el enfoque cuantitativo y cualitativo en cuanto a riesgos aceptables dependiendo de la naturaleza de su empresa y de su tolerancia al riesgo.

2 Objetivos de Seguridad del SGSI

El objetivo general es implementar una serie de iniciativas que en conjunto logren todos los objetivos de seguridad del SGSI

La política de seguridad define lo que se quiere proteger así como las reglas y conductas para los usuarios del sistema para preservar la seguridad de los mismos

Cada servicio ya sea interno o externo plantea riesgos para su sistema y la red a la que está conectado.

Una política de seguridad es un conjunto de pautas que se aplican a actividades y los recursos de una organización incluyendo áreas tales como seguridad física, seguridad del personal, seguridad administrativa y seguridad de la red.

La política de la Seguridad de la Información proporciona una base para la planificación de seguridad incluso cuando se amplían los sistemas o se crean nuevas aplicaciones:

  • Describiendo las responsabilidades del usuario, como proteger la información confidencial y crear contraseñas no triviales.
  • Explicando cómo controlará la efectividad de sus medidas de seguridad.
  • El control y la monitorización nos ayuda a determinar si alguien intenta eludir las salvaguardas para proteger la información.

Para desarrollar su política de seguridad, debe definir claramente sus objetivos de seguridad.

Los objetivos de seguridad se podrían clasificar en las siguientes categorías:

Objetivo 1: Protección de Activos de Información

Un esquema de protección de activos o recursos de información debe garantizar que solo los usuarios autorizados puedan acceder a objetos de información en el sistema.

La capacidad de asegurar todos los tipos de recursos del sistema es una fortaleza del sistema.

Debe definir cuidadosamente las diferentes categorías de usuarios que pueden acceder a su sistema.

Como un concepto dentro de la política de seguridad deberíamos definir qué tipos de autorizaciones de acceso se otorgaran a los distintos grupos de usuarios.

Objetivo 2: Autenticación

Deberemos verificar que los accesos de cualquier tipo en el otro extremo de la sesión realmente es lo que dice ser. La autenticación sólida protege a un sistema contra el riesgo de suplantación de identidad por el que un usuario ya sea humano o una interfaz entre aplicaciones, usa una identidad falsa para acceder a un sistema.

Tradicionalmente, los sistemas han utilizado contraseñas y nombres de usuarios para la autenticación. Podemos utilizar también certificados digitales como una mejora en la seguridad. Cuando accedemos desde el sistema a una red pública como Internet, la autenticación del usuario adquiere nuevas dimensiones. Una diferencia importante entre Internet y su intranet ya que la capacidad para confiar en la identidad de un usuario que inicia sesión se reduce drásticamente. Es por ello que, deberemos pensar en utilizar métodos de autenticación más sólidos que los que proporcionan los procedimientos tradicionales de inicio de sesión de nombre de usuario y contraseña.

Finalmente, los usuarios autenticados pueden tener diferentes tipos de permisos según sus niveles de autorización.

Objetivo 3: Autorización

El nivel de autorización se define en la política de seguridad al discriminar los usuarios que tienen autorización para el acceso a determinados recursos junto con un proceso de segmentación de las aplicaciones y el acceso a los diferentes recursos

Mediante los procesos de autenticación se determina además si el usuario una vez identificado tiene los permisos o la autorización necesaria para acceder a los recursos.

Por lo general, la autorización se realiza en el contexto de la autenticación.

Un elemento a tener en cuenta y que se puede definir en una política de seguridad es la necesidad de revocar las autorizaciones periódicamente o una política de renovaciones para garantizar que las personas que acceden a determinadas informaciones sensibles son siempre las que se han determinado

Objetivo 3: Integridad de la Información

El concepto de integridad se refiere a que la información se mantenga integra dentro las operaciones que se realizan y sobre todo en los procesos de comunicación.

Aquí debemos considerar:

Integridad de los datos

Se define como la necesidad de proteger la información contra modificaciones o manipulaciones no autorizadas. Por tanto, la integridad de los datos depende de las medidas contra los riesgos de manipulación de la seguridad, en el que alguien accede y modifica la información a la que no está autorizado.

Los riesgos para la integridad de la información deben tener en cuenta además la fuente de los datos ya que para el caso de accesos y datos provenientes de redes que no son de confianza como las redes públicas o internet. Para ello se deben estudiar medidas adicionales como “encriptación de datos” o sistemas de doble verificación para transmisiones de datos y comprobaciones de transmisiones finalizadas y terminadas (“comprobación de no repudio”)

Para sistemas de correo electrónico también existen métodos de certificación y medidas de seguridad adicionales para controles de acceso y otros.

Integridad del sistema

La definición de integridad para los sistemas consiste en esperar que el sistema nos proporcione siempre resultados consistentes. Para ello se deben considerar aspectos de rendimiento y consistencia de los distintos sistemas operativos y de la arquitectura del sistema a la hora de elegir cual nos conviene ya que existen sistemas que dificultan enormemente a un hacker imitar o cambiar un programa de sistema operativo cuando usan niveles de seguridad altos.

Irrenunciabilidad de transacciones (No repudio)

Los métodos de comprobación de envíos y recepción de datos permiten obtener protección y seguridad contra las interrupciones mediante certificados digitales y criptografía de clave pública para firmar transacciones, mensajes y documentos de respaldo así como de firma electrónica.

Se trata de garantizar tanto la prueba de que la transmisión fue enviada como de que fue recibida identificando tanto al emisor como al receptor.

Confidencialidad

La política de Seguridad debe garantizar la confidencialidad de la información esto es:

  • La información sensible se mantiene en entornos privados y protegida contra accesos no autorizados y ataques maliciosos
  • Se utilizan medidas especiales orientadas a su protección tales como
  • El cifrado de datos mediante el uso de certificados digitales
  • Conexiones Secure Socket Layer (SSL) o red privada virtual (VPN)
  • Se garantiza la confidencialidad de la información no solo dentro de la red y sistemas privados de la organización sino también cuando la información abandona su red

Objetivo 4: Auditoría de actividades de seguridad.

Se puede establecer como objetivo la constate vigilancia y registro de los posibles incidentes y de actividades sospechosas de forma que podamos prevenir los eventos no deseados

Se trata de supervisar los eventos relevantes para la seguridad a fin de podamos tener por ejemplo un registro de accesos exitosos y no exitosos o denegados. Con esta información podemos evaluar quién está haciendo qué en nuestros sistemas. Y si alguien está intentando violar su seguridad o que se están teniendo dificultades para acceder a nuestro sistema.