Manual de Polticas de Seguridad Informtica Es una medida que busca establecer los estndares de seguridad a ser seguidos por

todos los involucrados con el uso y mantenimiento de los activos. Es una forma de suministrar un conjunto de normas internas para guiar la accin de las personas en la realizacin de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas, pues est orientada hacia la formacin de hbitos, por medio de manuales de instruccin y procedimientos operativos. Sin embargo, la realizacin del anlisis de riesgos como primer elemento de la accin de seguridad, es un hecho determinante para procesos crticos en que son analizadas todas las amenazas. De esta manera son considerados y analizados todos los activos de la organizacin, sea por muestreo o en su totalidad, para que estn libres de vulnerabilidades con el propsito de reducir los riesgos. Por esta razn sern abordados en esta unidad todos los elementos necesarios para la realizacin de un anlisis de riesgos como etapa de rastreo de vulnerabilidades de todo el ambiente de un proceso de negocios. Entre mayor sea la exposicin o el dao histrico a los bienes de la empresa, el margen de tiempo tomado para el anlisis de riesgos debe ser menor y viceversa. El Manual es elaborada considerando el entorno en que se est trabajando como la tecnologa de la seguridad de la informacin, para que los criterios establecidos estn de acuerdo con las prcticas internas ms recomendadas de la organizacin, con las prcticas de seguridad actualmente adoptadas, para buscar una conformidad mayor con criterios actualizados y reconocidos en todo el mundo. Un Manual de la Poltica de Seguridad Informtica es un conjunto de directrices, normas, procedimientos e instrucciones que gua las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el mbito humano como en el tecnolgico. A partir de sus principios, es posible hacer de la seguridad de la informacin un esfuerzo comn, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarizacin del mtodo de operacin de cada uno de los individuos involucrados en la gestin de la seguridad de la informacin.

reas de Normalizacin del Manual de Seguridad Informtica Es necesario considerar los dos aspectos, tecnolgico y humano al momento de definir un Manual de la Poltica de Seguridad Informtica de la informacin Tecnolgica Hay quienes consideran que Humana Otras personas ven a la seguridad la seguridad de la informacin es apenas como un problema nicamente humano. Es un problema del tecnolgico. buen Pero lo importante definir primero la conducta importante es definir los aspectos ms considerada adecuada para el tratamiento de tcnicos funcionamiento de la informacin y de los recursos utilizados. servidores, estaciones de trabajo, acceso a Por lo tanto, sin el apoyo de la cpula, el Internet, etc. Para eso, el apoyo de la programa de seguridad no consigue dirigir las cpula es fundamental, pues sin ella el acciones necesarias para modificar la cultura programa de seguridad quedara sin de seguridad actual. El resultado es un inversiones para la adquisicin de los programa de seguridad sin el nivel de cultura recursos necesarios. Sin embargo, no se deseado y la falta de Retroalimentacin ms debe dejar de lado las cuestiones apropiado. Sin embargo, no se debe dejar de relacionadas con la buena conducta y la lado los temas tecnolgicos y su sofisticacin. tica profesional de los usuarios. Elaboracin del Manual de Seguridad Informtica El Manual es elaborado tomando como base la cultura de la organizacin y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicacin y comprometimiento. Es importante considerar que para la elaboracin de un Manual de la Poltica de Seguridad Informtica institucional se debe: 1. Integrar el Equipo de Seguridad responsable de definir el Manual de la Poltica de Seguridad. 2. Elaborar el documento final. 3. Hacer oficial el Manual una vez que se tenga definida.

Integrar el Equipo Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y tcnicos de la organizacin y que se renan peridicamente dentro de un cronograma establecido por el Comit de Seguridad. Este comit es formado por un grupo definido de personas responsables por actividades referentes a la creacin y aprobacin de nuevas normas de seguridad en la organizacin. En las reuniones se definen los criterios de seguridad adoptados en cada rea y el esfuerzo comn necesario para que la seguridad alcance un nivel ms elevado. Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones. Elaborar el Documento Final En este documento deben expresarse las preocupaciones de la administracin, donde se establecen normas para la gestin. En la elaboracin de un Manual de la Poltica de Seguridad Informtica no podemos olvidar el lado humano, los descuidos, falta de capacitacin, inters, etc. Se pueden tener problemas de seguridad de la informacin si no son adecuadamente considerados dentro de la misma poltica. Un ejemplo comn es solicitar a los usuarios el cambio de su contrasea o password constantemente y que sta deba tener una complejidad adecuada para la informacin manejada. La parte tecnolgica obviamente tampoco puede dejarse de lado, y dentro del Manual de la Poltica de Seguridad Informtica es necesario considerar elementos que pongan las bases mnimas a seguir en materia de configuracin y administracin de la tecnologa. Por ejemplo, establecer que los servidores con informacin crtica de la empresa no deben prestar servicio de estaciones de trabajo a los empleados. La definicin de la propia poltica, una declaracin de la administracin que apoye los principios establecidos y una explicacin de las exigencias de conformidad con relacin a:

Legislacin y clusulas contractuales; Educacin y formacin en seguridad de la informacin; Prevencin contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.)

Debe contener tambin la atribucin de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestin de los procesos y de la seguridad. No olvidar de que toda documentacin ya existente sobre cmo realizar las tareas debe ser analizada con relacin a los principios de seguridad de la informacin, para aprovechar al mximo las prcticas actuales, evaluar y agregar seguridad a esas tareas. Elaborar una poltica es un proceso que exige tiempo e informacin. Es necesario conocer cmo se estructura la organizacin y cmo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evala el nivel de seguridad existente para poder despus detectar los puntos a analizar para que est en conformidad con los estndares de seguridad. El trabajo de produccin se compone por distintas etapas, entre otras: 1. Objetivos y mbito 2. Entrevistas 3. Investigacin y anlisis de documentos 4. Reunin de poltica 5. Glosario de l Manual de la Poltica de Seguridad 6. Responsabilidades y penalidades Objetivos y mbito En este punto debe constar la presentacin del tema de la norma con relacin a sus propsitos y contenidos, buscando identificar resumidamente cules estndares l Manual trata de establecer, adems de la amplitud que tendr en relacin a entornos, individuos, reas y departamentos de la organizacin involucrados. Entrevista Las entrevistas tratan de identificar junto a los usuarios y administradores de la organizacin las preocupaciones que ellos tienen con los activos, los procesos de negocio, reas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organizacin.

Investigacin y Anlisis de Documentos En esta etapa se identifican y analizan los documentos existentes en la organizacin y los que tienen alguna relacin con el proceso de seguridad en lo referente a la reduccin de riesgos, disminucin de trabajo repetido y falta de orientacin. Entre la documentacin existente, se pueden considerar: libros de rutinas, metodologas, polticas de calidad y otras. Reuniones En las reuniones, realizadas con los equipos involucrados en la elaboracin, se levantan y discuten los temas, adems se redactan los prrafos para la composicin de las normas con base en el levantamiento del objetivo y del mbito del Manual especfica. Glosario Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura del Manual de la Poltica de Seguridad. As todos los lectores deben tener el mismo punto de referencia conceptual de trminos. Por lo tanto se recomienda que l Manual cuente con un glosario especfico donde se especifiquen los trminos y conceptos presentes en toda el Manual de seguridad. Responsabilidades y Penalidades Es fundamental identificar a los responsables, por la gestin de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicacin de sanciones resultantes de casos de inconformidad con el Manual elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relacin a las penalidades que sern aplicadas en casos de infraccin del Manual de la Poltica de Seguridad Informtica. Estructura de los componentes de Manual Si existe ya un estndar de estructura de documentos para polticas dentro de la empresa, ste puede ser adoptado. Sin embargo, a continuacin sugerimos un modelo de estructura de poltica que puede ser desarrollado dentro de su organizacin.

En este modelo, visualizamos que un Manual de la Poltica de Seguridad Informtica est formada por tres grandes secciones: las Directrices, las Normas los Procedimientos e Instrucciones de Trabajo. Su estructura de sustentacin est formada por tres grandes aspectos: Recursos, cultura y retroalimentacin. Directrices Estratgicas En el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la informacin, tenga el nivel de seguridad exigido. Como la informacin no est presente en un nico entorno (microinformtica, por ejemplo) o medio convencional (fax, papel, comunicacin de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener trminos tcnicos de informtica. Se compone de un texto, no tcnico, con las reglas generales que guan a la elaboracin de las normas de seguridad. Normas de Seguridad (Tctico) Conjunto de reglas generales y especficas de la seguridad de la informacin que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institucin, y que pueden ser elaboradas por activo, rea, tecnologa, proceso de negocio, Audiencia a que se destina, etc. Las normas, por estar en un nivel tctico, pueden ser especficas para el pblico a que se destina, por ejemplo para tcnicos y para usuarios. Para Tcnicos Reglas generales de seguridad de informacin dirigida para quien cuida de ambientes informatizados (administradores de red, tcnicos etc.), basadas en los aspectos ms genricos como periodicidad para cambio de claves, copias de seguridad, acceso fsico y otros. Pueden ser ampliamente utilizadas para la configuracin y administracin de ambientes diversos como Windows NT, Netware, Unix etc.

Para Usuarios Reglas generales de seguridad de la informacin dirigida para hacer uso de ambientes informatizados, basadas en aspectos ms genricos como cuidados con claves, cuidados con equipos, inclusin o exclusin de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc. Procedimientos (Operacional) Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e nter-departamentales y sus respectivas etapas de trabajo para la implantacin o manutencin de la seguridad de la informacin. Instruccin de trabajo (Operacional) Conjunto de comandos operativos a ser ejecutados en el momento de la realizacin de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestin. A continuacin presentamos ejemplos de procedimientos e instrucciones de trabajo muy especficas que resultan de beneficio en la operacin diaria. Hacer Oficial el Manual de la Poltica de Seguridad La oficializacin de una poltica tiene como base la aprobacin por parte de la cpula de la organizacin. Debe ser publicada y comunicada de manera empleados, socios, terceros y clientes. Enlaces Relacionados 1. Tarjeta Visa Generadora de Cdigos (Artculo de ?Diario T.I.?) 2. Dispositivo USB que protege transacciones bancarias online(Alfonso Casas, adecuada para todos los

PcWorld.es, 29/oct/2008)
3. OpenSAMM(dragonjar, FeeProxy.google, 26/mr/2009)