Creando Políticas de Seguridad Eficientes!

Cisco Employee

policy.jpg¿De qué sirve un firewall, IPS sensor, el dispositivo de encriptación, o cualquier otro producto de seguridad  si usted no tiene los lineamientos, políticas y mejores prácticas sobre cómo configurar y usar efectivamente a ellos? La edificación de fuertes políticas de seguridad es crucial para cualquier organización. Estas políticas deben ser fuertes, pero también realistamente flexible para adaptarse a las necesidades siempre cambiantes.

Las políticas de seguridad deben crearse con bastante detalle, pero también deben de ser bastante fácil de entender. Igualmente deben de mantener un equilibrio entre la ejecución y la productividad de cada organización. Una política de seguridad es inútil si impide la productividad. Durante las etapas de diseño de políticas de seguridad, usted debe de puntualizar las razones por la cual esa política es necesaria. Durante este proceso, usted también debe de definir las personas que van a estar a cargo de ejecutar la política y sus responsabilidades. Además, usted debe discutir cómo manejar y reaccionar cualquier violación de cada política. Dependiendo del tamaño y los objetivos de su organización, es posible documentar las políticas de seguridad en un documento grande o en varios mas pequeños.

Nota: En la mayoría de los casos, documentos más pequeños son más fáciles de mantener y actualizar, en lugar de tener manuscritos tan grandes que no se puede leer o mantener al día. En algunas ocasiones, ciertas políticas pueden ser apropiadas para casi todas las áreas dentro de su organización, mientras que otras pueden ser específicas para determinados entornos. Al mismo tiempo que las políticas deben de ser fuertes y flexibles, también deben ser “ejecutables”. Una organización puede tener muchas políticas diferentes en función de sus aplicaciones y sistemas. Algunas políticas son implementadas debido cumplimiento de varias regulaciones. Por ejemplo: Sarbanes-Oxley y el “Health Insurance Portability and Accountability Act” (HIPAA) de 1996. Las siguientes son algunas de las políticas más comunes en cada organización:

  • Políticas para la seguridad física
  • Protección de información trascendental 
  • Seguridad perimetral
  • El uso aceptable de las aplicaciones y sistemas específicos
  • Acceso remoto (VPNs)
  • La seguridad de conexiones inalámbricas
  • Centro de datos de seguridad
  • Extranets y zonas desmilitarizadas (DMZ)
  • Gestión de parches

Los siguientes son ejemplos de otras políticas:

  • Seguridad de laboratorios de sistemas
  • Protocolos de encriptación aceptables
  • Red de control de admisión
  • Gestión de la identidad de usuarios y de maquinas

“Trust” o la “confianza” es el tema principal de muchas políticas. Muchos dicen que las políticas no se pueden escribir si usted confía en que todos sus empleados hagan lo correcto. Idealmente, usted desearía confiar en todos sus recursos, pero eso no es ser realista. Incluso, diferentes tipos de usuarios (como a su personal, los clientes y los contratistas) se debe “confiar” en diferentes niveles. Asegúrese de que el nivel de acceso este de acuerdo con el nivel de confianza.

A lo mejor usted es parte de una organización pequeña o es su primera vez creando políticas de seguridad y se pregunta: “¿Cómo empiezo????” SANS tiene varios templates de políticas de seguridad que se pueden descargar en el siguiente enlace:

http://www.sans.org/security-resources/policies/

Algunas personas piensan de las políticas de seguridad son solo documentos largos que sólo definen el nivel de acceso a los sistemas de una organización. Sin embargo, las políticas incluyen todos los elementos anteriormente mencionados y temas, tales como:

  • Base de parámetros de configuración de dispositivos para el manejo de la infraestructura (como routers, switches, firewalls, etc.)
  • Directrices para el envío de correos electrónicos a direcciones externas
  • Procedimientos de gestión de la configuración y el control de cambio de sistemas

Procedimientos de gestión de configuración y el control de cambio de sistemas es un tema candente en la planificación de procedimientos de respuesta a incidentes. Usted tiene que mantenerse al tanto todo el tiempo de como cambios en los equipos de red puedan afectar a la seguridad general de la red y de su organización. Recuerde que estas políticas tienen que ser lo suficientemente flexible como para adaptarse a los cambios que hacen los miembros del personal que responden a los incidentes de seguridad en su organización (i.e., incident management). Todos los grupos de seguridad (como Infosec, CSIRT, etc.) deben de revisar la lista de requisitos empresariales y técnicos a fin de identificar la configuración de red específica o problemas de diseño y satisfacer las necesidades de seguridad general de la organización. Asegúrese siempre de que los niveles actuales de software de revisión de equipos de red, equipos de usuarios y servidores estén al día con los arreglos de seguridad y revisiones. La actualización de las políticas de seguridad  deben de ser manejadas frecuentemente (según sea necesario). Por lo menos, en muchas ocasiones es bueno hacer una revisión anual para asegurar que las políticas de seguridad no se vuelvan obsoletas debido a los cambios tecnológicos y las demandas del mercado. Se recomienda contratar a expertos en la materia (en inglés “subject matter experts” o SMEs) en la revisión de las políticas existentes, ya que usted debe considerar varios factores, además de los incluidos en el desarrollo inicial. Violaciones de seguridad, desviaciones, e información de auditoría pertinente también deben de ser examinados cuando están revisando una política existente.

Usted puede utilizar varias técnicas en la planificación, desarrollo y actualización de las políticas de seguridad. Pero siempre tenga en consideración lo siguiente: la política debe reflejar ante todo lo que es bueno para la seguridad de la organización en su conjunto, sin limitar la productividad. Déjeme sus comentarios e ideas de como se pueden crear mejores políticas de seguridad en la industria.

3111
Visitas
5
ÚTIL
0
Comentarios