• Author / Uploaded
• Dayana Noriega

Citation preview

Políticas de Seguridad Definiciones Generales El término política de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema. Al tratarse de `términos generales’, aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y qué lo denegado en cierta parte de la operación del sistema, lo que se denomina política de aplicación específica. Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos. Surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. Características La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, una política de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas, y debe: • Ser holística (cubrir todos los aspectos relacionados con la misma). • Adecuarse a las necesidades y recursos. • Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia. • Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas. • Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión. • Deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc. Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la

Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello. Elementos de una Política de Seguridad Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos: • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. • Objetivos de la política y descripción clara de los elementos involucrados en su definición. • Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. • Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. • Definición de violaciones y sanciones por no cumplir con las políticas. • Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. • Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesitan, especialmente la información crítica. • Los recursos del sistema y la información manejada en el mismo ha de ser útil para alguna función. • Integridad: la información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado. • Autenticidad: el sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema. • Confidencialidad: la información sólo ha de estar disponible para agentes autorizados, especialmente su propietario. • Posesión: los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios. Normativas Para cubrir de forma adecuada los elementos anteriores, con el objetivo permanente de garantizar la seguridad corporativa, una política se suele dividir en puntos más concretos a veces llamados normativas. Ellas definen las siguientes líneas de actuación: • Seguridad organizacional. Aspectos relativos a la gestión de la seguridad dentro de la organización (cooperación con elementos externos, outsourcing, estructura del área de seguridad…). • Clasificación y control de activos. Inventario de activos y definición de sus mecanismos de control, así como etiquetado y clasificación de la información corporativa. • Seguridad del personal. Formación en materias de seguridad, cláusulas de confidencialidad, reporte de incidentes, monitorización de personal. • Seguridad física y del entorno. Bajo este punto se engloban aspectos relativos a la seguridad física de los recintos donde se encuentran los diferentes recursos - incluyendo los humanos - de la organización y de los sistemas en sí, así como la definición de controles genéricos de seguridad.

• Gestión de comunicaciones y operaciones. Este es uno de los puntos más interesantes desde un punto de vista estrictamente técnico, ya que engloba aspectos de la seguridad relativos a la operación de los sistemas y telecomunicaciones, como los controles de red, la protección frente a malware, la gestión de copias de seguridad o el intercambio de software dentro de la organización. • Controles de acceso. Definición y gestión de puntos de control de acceso a los recursos informáticos de la organización: contraseñas, seguridad perimetral, monitorización de acceso. • Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las aplicaciones, cifrado de datos, control de software. • Gestión de continuidad de negocio. Definición de planes de continuidad, análisis de impacto, simulacros de catástrofes. • Requisitos legales. Evidentemente, una política ha de cumplir con la normativa vigente en el país donde se aplica; si una organización se extiende a lo largo de diferentes países, su política tiene que ser coherente con la normativa del más restrictivo de ellos. En este apartado de la política se establecen las relaciones con cada ley: derechos de propiedad intelectual, tratamiento de datos de carácter personal, exportación de cifrado… junto a todos los aspectos relacionados con registros de eventos en los recursos (logs) y su mantenimiento. Parámetros para Establecer Políticas de Seguridad Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos: Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas. Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. También es necesario identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área. Además monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente. Como así también, detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas. Razones que Impiden la Aplicación de las Políticas de Seguridad Informática A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática. Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad.

Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa. La Información y el Delito El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho. Se considera que no existe una definición formal y universal de delito informático pero se han formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de "delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no han sido objeto de tipificación aún. Tipos de Delitos Informáticos La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos: 1. Fraudes cometidos mediante manipulación de computadoras 2. Manipulación de los datos de entrada 3. Daños o modificaciones de programas o datos computarizados Delincuente y Victima 1. Sujeto Activo 2. Sujeto Pasivo Legislación Nacional En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones políticojurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales. La ONU señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y los delitos informáticos se constituyen en una forma de crimen transnacional. 4.1 Políticas de Seguridad Informática Las políticas son una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organización, también describen cómo se debe tratar un determinado problema o situación. Este documento está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas. Las políticas pueden considerarse como un conjunto de leyes obligatorias propias de una organización, y son dirigidas a un público mayor que las normas pues las políticas proporcionan las instrucciones generales, mientras que las normas indican requisitos técnicos específicos. Las normas, por ejemplo, definirían la cantidad de bits de la llave secreta que se requieren en un algoritmo de cifrado. Por otro lado, las políticas simplemente definirían la necesidad de utilizar un proceso de cifrado autorizado cuando se envíe información confidencial a través de redes públicas, tales como Internet.

Entrando al tema de seguridad informática, una política de seguridad es un conjunto de reglas y prácticas que regulan la manera en que se deben dirigir, proteger y distribuir los recursos en una organización para llevar a cabo los objetivos de seguridad informática de la misma. 4.1.1 Objetivo de una política de seguridad El objetivo de una política de seguridad informática es la de implantar una serie de leyes, normas, estándares y prácticas que garanticen la seguridad, confidencialidad y disponibilidad de la información, y a su vez puedan ser entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos. 4.1.2 Misión, visión y objetivos de la organización La misión, visión y objetivos varían mucho de una organización a otra, esto es normal si se considera que una organización es diferente de otra en sus actividades y en el conjunto de elementos que la conforman (Elementos humanos, recursos materiales, infraestructura). De manera rápida se definirán los conceptos de misión, visión y organización. Misión Una misma organización puede tener varias misiones, que son las actividades objetivas y concretas que realiza. Las misiones también pretenden cubrir las necesidades de la organización. La misión es influenciada en momentos concretos por algunos elementos como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas Visión Es la imagen idealizada de lo que se quiere crear. Tal idea debe estar bien definida, pues todas las actividades de la organización estarán enfocadas a alcanzar esta visión. Objetivos Son actividades específicas enfocadas a cumplir metas reales, alcanzables y accesibles. Se puede decir que un objetivo es el resultado que se espera logrra al final de cada operación. Así, se vuelve importante considerar la misión, la visión y el objetivo de ser de la empresa, a fin de realizar un estudio que con base en éstas permita identificar el conjunto de políticas de seguridad informática que garantice la seguridad, confidencialidad y disponibilidad de la información. 4.1.3 Principios fundamentales de las políticas de seguridad Son las ideas principales a partir de las cuales son diseñadas las políticas de seguridad. Los principios fundamentales son: responsabilidad individual, autorización, mínimo privilegio, separación de obligaciones, auditoría y redundancia. 4.1.3.1 Responsabilidad individual Este principio dice que cada elemento humano dentro de la organización es responsable de cada uno de sus actos, aun si tiene o no conciencia de las consecuencias. 4.1.3.2 Autorización Son las reglas explícitas acerca de quién y de qué manera puede utilizar los recursos. 4.1.3.3 Mínimo privilegio

Este principio indica que cada miembro debe estar autorizado a utilizar únicamente los recursos necesarios para llevar a cabo su trabajo. Además de ser una medida de seguridad, también facilita el soporte y mantenimiento de los sistemas. 4.1.3.4 Separación de obligaciones Las funciones deben estar divididas entre las diferentes personas relacionadas a la misma actividad o función, con el fin de que ninguna persona cometa un fraude o ataque sin ser detectado. Este principio junto con el de mínimo privilegio reducen la posibilidad de ataques a la seguridad, pues los usuarios sólo pueden hacer uso de los recursos relacionados con sus actividades, además de que facilita el monitoreo y vigilancia de usuarios, permitiendo registrar y examinar sus acciones. 4.1.3.5 Auditoría Todas las actividades, sus resultados, gente involucrada en ellos y los recursos requeridos, deben ser monitoreados desde el inicio y hasta después de ser terminado el proceso. Además es importante considerar que una auditoría informática busca verificar que las actividades que se realizan así como las herramientas instaladas y su configuración son acordes al esquema de seguridad informática realizado y si éste es conveniente a la seguridad requerida por la empresa. 4.1.3.6 Redundancia Trata entre otos aspectos sobre las copias de seguridad de la información, las cuales deben ser creadas múltiples veces en lapsos de tiempos frecuentes y almacenados en lugares distintos. Sin embargo, la redundancia como su nombre lo indica, busca “duplicar” y en este sentido se puede decir que a través de los respaldos se duplica información, y lo mismo se puede realizar en diferentes aspectos, como por ejemplo: en cuanto a energía eléctrica, una planta de luz para garantizar que opere en casos de emergencia, servidores de datos que entren en operación cuando el primario sufra una avería, etcétera, de manera tal que la redundancia se considera en aquellos casos o servicios que se vuelven imprescindibles para la empresa y que no pueden suprimirse pase lo que pase. 4.1.4 Políticas para la confidencialidad Desde el primer capítulo de esta investigación, se ha mencionado la necesidad de mantener el control sobre quién puede tener acceso a la información (ya sea a los documentos escritos o a los medios electrónicos) pues no siempre queremos que la información esté disponible para todo aquel que quiera obtenerla. Por ello existen las políticas de confidencialidad, encargadas de establecer la relación entre la clasificación del documento y el cargo (nivel jerárquico dentro de la organización) que una persona requiere para poder acceder a tal información. 4.1.5 Políticas para la integridad La política de integridad está orientada principalmente a preservar la integridad antes que la confidencialidad, esto se ha dado principalmente porque en muchas de las aplicaciones comerciales del mundo real es más importante mantener la integridad de los datos pues se usan para la aplicación de actividades automatizadas aún cuando en otros ambientes no es así, como en los ámbitos gubernamental o militar. 4.1.6 Modelos de Seguridad: abstracto, concreto, de control de acceso y de flujo de información Un modelo de seguridad es la presentación formal de una política de seguridad ejecutada por el sistema. El modelo debe identificar el conjunto de reglas y prácticas que regulan cómo un sistema maneja, protege y distribuye la información.

Los modelos de seguridad pueden ser de dos tipo, abstracto y concreto: Modelo Abstracto Se ocupa de las entidades abstractas como sujetos y objetos. Modelo Concreto Traduce las entidades abstractas a entidades de un sistema real como procesos y archivos. También pueden clasificarse como modelos de control de acceso y modelos de flujo de información. Modelos de control de acceso Identifican las reglas necesarias para que un sistema lleve a cabo el proceso que asegura que todo acceso a los recursos, sea un acceso autorizado, en otras palabras, se enfoca a la protección, administración y monitoreo de los procedimientos de acceso a la información. Estos modelos refuerzan el principio fundamental de seguridad de autorización, ya que éste protege tanto a la confidencialidad como a la integridad. Modelos de flujo de información Una meta de las políticas de seguridad es proteger la información. Los modelos de control de acceso se aproximan a dicha meta indirectamente, sin relacionarse con la información pero sí con objetos (tales como archivos) que contienen información. Estos modelos se enfocan a proteger los objetos con los que se trabajan en el sistema una vez que se han superado los procesos de control de acceso. 4.1.7 Desarrollo de políticas orientadas a servicios de seguridad Las políticas de seguridad son un conjunto de normas y procedimientos que tienen por objetivo garantizar la seguridad en cada proceso en los que estén involucrados. Esto es aplicable a todos los procesos llevados a cabo en una organización, incluso los servicios de seguridad (Confidencialidad, autenticación, integridad, no repudio, control de acceso, disponibilidad) son diseñados con base en estos documentos. 4.1.8 Publicación y Difusión de las Políticas de Seguridad Como todos los documentos creados por una organización, se debe decidir correctamente hacia qué grupos van dirigidas las políticas de seguridad, por qué medios se van a dar a conocer, si se desea que otros grupos puedan conocer su contenido. El objetivo principal de la publicación y difusión es que el grupo objetivo entienda en qué consisten las políticas y se cree conciencia sobre su importancia a través de pláticas y talleres para tal fin. 4.2 Procedimientos y Planes de Contingencia Solo cuando una organización toma conciencia de lo importante que es la seguridad de sus recursos incluyendo sus tecnologías de la información, es cuando empieza a diseñar y establecer medidas de seguridad que tienen por objetivo protegerla de diversas situaciones perjudiciales. Aunque prevenir éstos desastres es de vital importancia, tampoco se puede descuidar la casi inevitable eventualidad de que sucedan, para ello también se necesita formular y establecer una serie de procedimientos que permitan enfrentar los problemas y posteriormente restaurar las condiciones normales de operación del área afectada. 4.2.1 Procedimientos Preventivos

Contempla todos los procedimientos antes de que se materialice una amenaza, su finalidad es evitar dicha materialización. Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que realiza la organización, los recursos que tiene disponibles, que es lo que quiere proteger, las instalaciones en que labore y la tecnología que use. Las actividades que se realizan en este punto son las siguientes: -Copias de seguridad de las bases de datos y otros tipos de documentos con información indispensable para la organización -Instalación de dispositivos de seguridad tales como cerraduras, alarmas, puertas electrónicas, cámaras de seguridad, software de protección para los equipos de cómputo, entre otros. -Inspeccionar y llevar un registro constante del funcionamiento y estado de los recursos informáticos, la infraestructura y las condiciones del edificio. -Instauración de servicios de seguridad, como líneas telefónicas de emergencia, extintores, construcción de rutas de emergencia (Entrada y salida), plantas eléctricas de emergencia, etc. -Establecer un centro de servicio alternativo que cuente con los recursos necesarios para continuar las operaciones de la organización hasta el momento en que el centro de trabajo normal pueda ser usado en condiciones normales. -Capacitación del personal en el uso adecuado de las tecnologías informáticas, en le ejecución correcta de sus labores y en la ejecución de los procedimientos de emergencia. 4.2.2 Procedimientos Correctivos Los procedimientos correctivos son acciones enfocadas a contrarrestar en lo posible los daños producidos por un desastre, ataque u otra situación desfavorable y restaurar el funcionamiento normal del centro de operación afectado. Al igual que los procedimientos preventivos, pueden variar según los recursos disponibles, pero también varía dependiendo el daño que se quiere contrarrestar pues no todas las emergencias requieren el uso de todos los procedimientos correctivos definidos por la organización. 4.2.3 Planes de Contingencia El Plan de Contingencias es el instrumento de gestión para el manejo de las Tecnologías de la Información y las Comunicaciones. Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de una institución en caso de desastres y situaciones catastróficas como incendios, terremotos, inundaciones, etc. pero también contiene las medidas para enfrentar los daños producidos por robo, sabotaje e incluso ataques terroristas. El plan de contingencia es un requisito indispensable para que una respuesta de emergencia sea rápida y efectiva. Sin una previa planificación de contingencia se perderá mucho tiempo en los primeros días de una emergencia. 4.2.3.1 Objetivos y Características de un Plan de Contingencias Los principales puntos que debe cumplir un plan de contingencia son: -Reducir la probabilidad de que ocurra un desastre. -Establecer los procedimientos necesarios para enfrentar y solucionar los eventos negativos que se presenten. -Aminorar los efectos negativos de un desastre una vez ocurrido. -Asegurar la continuidad de las operaciones de la organización. -Reestablecer el funcionamiento normal de las áreas afectadas por el desastre.

-Dar a conocer el plan de contingencia al personal involucrado. Para lograr tales objetivos, se debe diseñar e implantar una serie de procedimientos acorde a las necesidades y recursos disponibles que permitan responder de manera oportuna y precisa a todos los eventos negativos a los que se enfrente la organización. Estos procedimientos deben estar basados en los resultados obtenidos de un análisis previo de riesgos y un establecimiento de prioridades. 4.2.3.2 Fases del Plan de Contingencia Un plan de contingencias está dividido en fases, esto facilita el monitoreo del desempeño de dicho plan así como también ayuda a la detección de fallos e implementación de mejoras, pues cada fase está enfocado a una serie de aspectos específicos y cualquier posible cambio se aplicará a partir de la fase apropiada sin necesidad de modificar todo el plan completo. Las fases se pueden dividir en análisis y diseño, desarrollo, pruebas y mantenimiento. 4.2.3.2.1 Análisis y Diseño En esta fase se identifican las funciones de la organización que pueden considerarse como críticas y se les da un orden jerárquico de prioridad. Se define y se documentan las amenazas a las que están expuestas las funciones críticas y se analiza el impacto que tendrá un desastre en las funciones en caso de materializarse. También se definen los niveles mínimos de servicio aceptable para cada problema planteado. Se identifican las posibles alternativas de solución así como evaluar una relación de costo/beneficio para cada alternativa propuesta 4.2.3.2.2 Desarrollo de un plan de contingencias En esta fase se creará la documentación del plan, cuyo contenido mínimo será: Objetivo del plan. Modo de ejecución. Tiempo de duración. Costes estimados. Recursos necesarios. Evento a partir del cual se pondrá en marcha el plan. Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades. Es necesario que el plan sea validado por los responsables de las áreas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurídicas que pudiesen derivarse de las actuaciones contempladas en él. 4.2.3.2.3 Pruebas y Mantenimiento Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos en la etapa de diseño. Las pruebas no deben buscar comprobar si un plan funciona, mas bien debe enfocarse a buscar problemas y fallos en el plan para así poder corregirlos. Es necesario documentar las pruebas para su aprobación por parte de las áreas implicadas En la fase de mantenimiento se corrigen los errores encontrados durante las pruebas, pero también se revisa que los elementos preparados para poner en acción el plan de contingencia estén en condiciones óptimas para ser usados de un momento a otro para contrarrestar un desastre. En caso contrario, se les debe reparar o sustituir. Algunas de las actividades realizadas en esta fase son: - Verificar la disponibilidad de los colaboradores incluidos en la lista del plan de contingencia. - Verificar los procedimientos que se emplearan para almacenar y recuperar los datos (backup). - Comprobar el correcto funcionamiento del disco extraíble, y del software encargado de realizar dicho backup.

- Realizar simulacros, capacitando al personal en el uso de los procedimientos indicados en el plan de contingencia para la medición de su efectividad. Implementación de una Política de Seguridad La implementación de medidas de seguridad, es un proceso Técnico-Administrativo. Como este proceso debe abarcartoda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria. Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organización. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativamente. Por esto, será necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y técnicos que se generen. Es fundamental no dejar de lado la notificación a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organización con el fin de otorgar visibilidad a los actos de la administración. Una PSI informática deberá abarcar: Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización. Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso. Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política. Definición de violaciones y las consecuencias del no cumplimiento de la política. Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley. Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas. Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, etc. Una proposición de una forma de realizar una PSI adecuada puede apreciarse en el siguiente diagrama: Se comienza realizando una evaluación del factor humano, el medio en donde se desempeña, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias. Luego de evaluar estos elementos y establecida la base del análisis, se originan un programa de seguridad, el plan de acción y las normas y procedimientos a llevar a cabo. Para que todo lo anterior llegue a buen fin debe realizarse un control periódico de estas políticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditoría a los archivos Logs de estos controles. Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulación de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulación y los casos reales registrados generan una realimentación y revisión que permiten adecuar las políticas generadas en primera instancia.

Por último el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la política falle. Es importante destacar que la Seguridad debe ser considerada desde la fase de diseño de un sistema. Si la seguridad es contemplada luego de la implementación del mismo, el personal se enfrentará con problemas técnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayoría de los casos, un menor grado de seguridad. "Construya la seguridad desde el principio. La máxima de que es más caro añadir después de la implementación es cierta." (1) Julio C. Ardita menciona: "Muchas veces nos llaman cuando está todo listo, faltan dos semanas y quieren que lo aseguremos (...) llegamos, miramos y vemos que la seguridad es imposible de implementar. Últimamente nos llaman en el diseño y nosotros los orientamos y proponemos las soluciones que se pueden adoptar (...)" (2)

Queda claro que este proceso es dinámico y continuo, sobre el que hay que adecuarse continuamente a fin de subsanar inmediatamente cualquier debilidad descubierta, con el fin de que estas políticas no caigan en desuso.