Plan de Seguridad Informática y Medios de Control Informáticos
La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.
Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos sistemas).
En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos que existen y que pueden vulnerar de manera palpable cualquier equipo o sistema informático. Así, por ejemplo, nos encontramos con los llamados virus residentes que son aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que es la memoria RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que se realizan en el ordenador en cuestión llevando a cabo la infección de programas o carpetas que formen parte fundamental de aquellas.
La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización alore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.
Plan de Seguridad Informática
El plan de seguridad deberá de expresar el radio de acción que abarca el Plan, de acuerdo al Sistema Informático objeto de protección, para el cual fueron determinados los riesgos y diseñado el Sistema de Seguridad. La importancia de dejar definido claramente el alcance del Plan (y de ahí su inclusión al comienzo del mismo) consiste en que permite tener a priori una idea precisa de la extensión y los límites en que el mismo tiene vigencia.
Se describirá de manera detallada el sistema informático de la entidad, precisando los elementos que permitan identificar sus particularidades y las de sus principales componentes: la información, las tecnologías de información, las personas y los inmuebles, considerando entre otros:
- Bienes informáticos, su destinación e importancia.
- Redes instaladas, estructura, tipo y plataformas que utilizan.
- Aplicaciones en explotación.
- Servicios informáticos y de comunicaciones disponibles.
Una vez definido el alcance se detallara la descripción del sistema informático, corresponde finalizar esta primera parte con la formulación de las conclusiones obtenidas durante la determinación de las necesidades de protección mediante la evaluación de los riesgos. Estas conclusiones incluyen:
- Cuáles son los bienes informáticos más importantes para la gestión de la entidad y por lo tanto requieren de una atención especial desde el punto de vista de la protección, especificando aquellos considerados de importancia crítica por el peso que tienen dentro del sistema.
- Qué amenazas pudieran tener un mayor impacto sobre la entidad en caso de materializarse sobre los bienes a proteger.]
- Cuáles son las áreas con un mayor peso de riesgo y qué amenazas lo motivan.
Los bienes informáticos más importantes a proteger son:
- La red de trabajo interno de la Oficina
- El servidor de aplicaciones.
- Las bases de datos de la intranet
- El servicio de correo electrónico
Las amenazas más importantes a considerar de acuerdo al impacto que pudieran tener sobre la empresa son:
- El acceso no autorizado a la red, tanto producto de un ataque externo como interno.
- Pérdida de disponibilidad.
- La sustracción, alteración o pérdida de datos.
- ·Fuga de información clasificada
- La introducción de programas malignos.
- El empleo inadecuado de las tecnologías y sus servicios.
Las áreas sometidas a un mayor peso riesgo y las amenazas que lo motivan son:
- El local de los servidores de la red (acceso no autorizado y pérdida de disponibilidad).
- El local de Economía (alteración o pérdida de datos, pérdida de disponibilidad y la introducción de programas malignos)
- El Departamento de Investigación y Desarrollo (alteración o pérdida de datos, pérdida de disponibilidad y la introducción de programas malignos)
- Las oficinas de la Dirección, del Departamento de Cuadros y del Departamento de Seguridad y Defensa (fuga de información clasificada)
Deberá de Tener Políticas de Seguridad y definan los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus características, en conformidad con la política vigente en el país en esta materia y el sistema de seguridad diseñado.
Establecen las normas generales que debe cumplir el personal que participa en el sistema informático y se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores en las leyes, resoluciones, reglamentos, y otros documentos rectores.
Las políticas que se describan comprenden toda la organización, ya que es obligatorio su cumplimiento en las áreas que las requieran, razón por la cual serán lo suficientemente generales y flexibles para poder implementarse en cada caso mediante las medidas y procedimientos que demanden las características específicas de cada lugar.
Para concebir un Plan de Seguridad deberá de haber Medidas y Procedimientos a Seguir.
- Clasificación y control de los bienes informáticos.
Estas medidas y procedimientos persiguen identificar los bienes de acuerdo a su importancia, controlar y supervisar que sean utilizados en funciones propias de trabajo y garantizar su protección.
Medidas:
- Los bienes informáticos deberán estar identificados y controlados, hasta nivel de componentes.
- Cada uno de los bienes informáticos debe estar puesto bajo la custodia documentada legalmente de una persona, que actuando por delegación de la dirección, es responsable de su protección.
- Se realizarán auditorías periódicas para comprobar el control de Tecnologías Informáticas.
- Cada ordenador contara con un expediente técnico donde se registraran todos los cambios que ocurran con el equipo.
- El Dpto. de Informática y el Dpto. de Economía son los responsables del control de los medios informáticos.
Alta de Medios Informáticos para su uso.
- Realizar controles sobre los bienes informáticos que se encuentran en cada departamento según el inventario de economía.
- Elaborar informe con los resultados de cada control y ponerlo en conocimiento de la dirección del centro.
- Notificar al Especialista de Seguridad Informática y al Especialista de Informática la incorporación de cualquier medio informático al Centro.
- Garantizar que el local donde se ubique el medio informático cuente con las medidas de protección física requeridas.
- Instalar el software autorizado a utilizar en el área a la que fue asignado el medio informático, dejando constancia en el Registro de software autorizado que incluye el Expediente Técnico del medio informático
Informático del área.
Integrar el equipo al dominio de la red de la Entidad y dejar en funcionamiento el equipo.
- Actualizar el Sistema Informático de la Entidad.
- Confeccionar el Expediente Técnico del medio informático.
- Firma del Acta de Responsabilidad Material que incluye el Expediente Técnico del medio informático.
- Capacitar al personal encargado de la operación y protección del medio informático en materia de Seguridad Informática.
- Chequear periódicamente el cumplimiento de este procedimiento en los C/D.
Control de Medios Informáticos
- Aplicar a cada PC la herramienta Everest para obtener los datos de sus componentes.
- Confeccionar el Expediente Técnico.
- Velar porque los expedientes se encuentren actualizados y se registren en ellos todos los cambios.
- Sellar todas las PC y registrar el número del sello y los cambios que se hagan de los mismos en el Registro de Control de Sellos.
- Revisar periódicamente que se registren en los expedientes de las PC las revisiones y cambios que se realicen en el equipo.
- Chequear periódicamente el cumplimiento de este procedimiento en los C/D.
Asignación y control de Medios Informáticos Portátiles.
- Solicitar por escrito a la Administración Interna la asignación del Medio Informático Portátil
- Una vez aprobada la solicitud, se notifica al Jefe del Dpto. de Informática para que proceda recoger el medio del almacén.
- Prepara el medio informático con el software autorizados necesarios para su uso.
- Entrega el medio informático al funcionario que hará uso del mismo, dejando constancia en el Acta de Responsabilidad Materia del Expediente Técnico del que se confecciona en el momento de entrega.
- Solicita autorización escrita a la Administración Interna, para la entrada y salida de la Entidad del bien informático.
- Evalúa y autoriza el uso del bien informático fuera de las instalaciones de la Entidad.
- Garantiza en el acceso principal de la Entidad que la salida y entrada de computadoras portátiles se realice por el personal autorizado.
- En caso de que sea necesario la entrada de una computadora portátil ajena a la Entidad por cuestiones de trabajo, solicitar la autorización temporal en el Control de Pases.
- Conservar por un periodo no menor de un año las autorizaciones escritas para la entrada y salida de los equipos portátiles.
- Actualizar el Registro Usuarios autorizados a utilizar las portátiles fuera de la Entidad.
- Revisar periódicamente que el Registro de Usuarios autorizados a utilizar las portátiles fuera de la Entidad se encuentre debidamente actualizado.
- Chequear periódicamente el cumplimiento de este procedimiento en los C/D.
Las medidas y procedimientos de este acápite tienen como objetivo garantizar el cumplimiento de las funciones y responsabilidades de las personas vinculadas con las tecnologías y sus servicios, así como la documentación de las mismas.
Se deberá contar con Plan y Medidas de Seguridad Física y Ambiental. Esto para evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones, las tecnologías y la información de la organización. Dentro de las cuales se deberá de contar con Medidas generales para todas las áreas con tecnologías informáticas, Medidas para el ahorro de energía en todas las estaciones de trabajo y Medidas para el Control de Acceso a los locales.
Además La gestión del sistema de seguridad implica el control de las acciones que se realizan dentro del sistema informático y su garantía de que se ajustan a las políticas de seguridad establecidas para el empleo de las tecnologías y sus servicios. Para ello la Seguridad de Operaciones va dirigida a lograr la eficiente gestión de la seguridad y garantizar que se cumplan las regulaciones vigentes en el país.
Tomar en cuenta el Respaldo de la Información las que se implementen garantizara mantener la integridad y disponibilidad de la información y de las instalaciones de procesamiento de la información frente a cualquier eventualidad.