Seguridad informática: políticas

En este capítulo explicaremos las políticas de seguridad que son la base de la seguridad para la infraestructura tecnológica de su empresa.

De alguna manera son los reguladores de los comportamientos de sus empleados hacia el uso de tecnología en el lugar de trabajo, que pueden minimizar el riesgo de ser pirateados, fuga de información, mal uso de Internet y también asegura la protección de los recursos de la empresa.

En la vida real, notará que los empleados de su organización siempre tenderán a hacer clic en URL incorrectas o infectadas con virus o en archivos adjuntos de correo electrónico con virus.

Papel de la política de seguridad en la configuración de protocolos

A continuación se presentan algunos consejos que ayudan a establecer protocolos u para la política de seguridad de una organización.

  • ¿Quién debería tener acceso al sistema?
  • ¿Cómo debe configurarse?
  • ¿Cómo comunicarse con terceros o sistemas?

Las políticas se dividen en dos categorías:

  • Políticas de usuario
  • Políticas de TI.

Las políticas de usuario generalmente definen el límite de los usuarios hacia los recursos informáticos en un lugar de trabajo. Por ejemplo, qué se les permite instalar en su computadora, si pueden usar almacenamientos extraíbles.

Considerando que, las políticas de TI están diseñadas para el departamento de TI, para asegurar los procedimientos y funciones de los campos de TI.

  • General Policies- Esta es la política que define los derechos del personal y el nivel de acceso a los sistemas. Generalmente se incluye incluso en el protocolo de comunicación como medida preventiva en caso de que se produzca algún desastre.

  • Server Policies- Define quién debe tener acceso al servidor específico y con qué derechos. Qué software se debe instalar, nivel de acceso a Internet, cómo se debe actualizar.

  • Firewall Access and Configuration Policies- Define quién debe tener acceso al firewall y qué tipo de acceso, como monitoreo, cambian las reglas. Qué puertos y servicios deben permitirse y si deben ser entrantes o salientes.

  • Backup Policies - Define quién es la persona responsable de la copia de seguridad, cuál debe ser la copia de seguridad, dónde se debe realizar la copia de seguridad, cuánto tiempo se debe guardar y la frecuencia de la copia de seguridad.

  • VPN Policies- Estas políticas generalmente van con la política de firewall, define aquellos usuarios que deben tener acceso a VPN y con qué derechos. Para las conexiones de sitio a sitio con socios, define el nivel de acceso del socio a su red, el tipo de cifrado que se establecerá.

Estructura de una política de seguridad

Cuando compila una política de seguridad, debe tener en cuenta una estructura básica para hacer algo práctico. Algunos de los puntos principales que deben tenerse en cuenta son:

  • Descripción de la Política y para qué sirve
  • ¿Dónde debería aplicarse esta política?
  • Funciones y responsabilidades de los empleados afectados por esta política.
  • Procedimientos que están involucrados en esta política.
  • Consecuencias si la política no es compatible con los estándares de la empresa.

Tipos de políticas

En esta sección veremos los tipos de pólizas más importantes.

  • Permissive Policy - Es una política de restricción media en la que nosotros, como administrador, bloqueamos solo algunos puertos conocidos de malware con respecto al acceso a Internet y solo se tienen en cuenta algunos exploits.

  • Prudent Policy - Esta es una política de alta restricción donde todo está bloqueado con respecto al acceso a Internet, solo se permite una pequeña lista de sitios web, y ahora se permite la instalación de servicios adicionales en las computadoras y se mantienen registros para cada usuario.

  • Acceptance User Policy- Esta política regula el comportamiento de los usuarios hacia un sistema o red o incluso una página web, por lo que se dice explícitamente lo que un usuario puede y no puede hacer en un sistema. Como si se les permite compartir códigos de acceso, pueden compartir recursos, etc.

  • User Account Policy- Esta política define lo que debe hacer un usuario para tener o mantener a otro usuario en un sistema específico. Por ejemplo, acceder a una página web de comercio electrónico. Para crear esta política, debe responder algunas preguntas como:

    • ¿La contraseña debe ser compleja o no?

    • ¿Qué edad deben tener los usuarios?

    • ¿Máximo permitido de intentos o errores para iniciar sesión?

    • ¿Cuándo se debe eliminar, activar o bloquear al usuario?

  • Information Protection Policy - Esta política tiene por objeto regular el acceso a la información, el proceso de información caliente, cómo almacenar y cómo se debe transferir.

  • Remote Access Policy- Esta política es principalmente para grandes empresas donde el usuario y sus sucursales se encuentran fuera de su sede. Indica a qué deben acceder los usuarios, cuándo pueden trabajar y en qué software, como SSH, VPN, RDP.

  • Firewall Management Policy - Esta política tiene que ver explícitamente con su gestión, qué puertos deben bloquearse, qué actualizaciones deben realizarse, cómo realizar cambios en el firewall, cuánto tiempo deben mantenerse los registros.

  • Special Access Policy- Esta política tiene como objetivo mantener a las personas bajo control y monitorear los privilegios especiales en sus sistemas y el propósito de por qué los tienen. Estos empleados pueden ser líderes de equipo, gerentes, gerentes senior, administradores de sistemas y personas de alta designación.

  • Network Policy- Esta política tiene como objetivo restringir el acceso de cualquier persona al recurso de la red y dejar en claro quiénes accederán a la red. También asegurará si esa persona debe estar autenticada o no. Esta política también incluye otros aspectos como, ¿quién autorizará los nuevos dispositivos que se conectarán a la red? La documentación de los cambios de red. Filtros web y niveles de acceso. ¿Quién debe tener conexión inalámbrica y el tipo de autenticación, la validez de la sesión de conexión?

  • Email Usage Policy- Esta es una de las políticas más importantes que se deben aplicar porque muchos usuarios también utilizan el correo electrónico del trabajo para fines personales. Como resultado, la información puede filtrarse al exterior. Algunos de los puntos clave de esta política son que los empleados deben conocer la importancia de este sistema que tienen el privilegio de utilizar. No deben abrir ningún archivo adjunto que parezca sospechoso. Los datos privados y confidenciales no deben enviarse a través de ningún correo electrónico cifrado.

  • Software Security Policy- Esta política tiene que ver con el software instalado en la computadora del usuario y lo que debe tener. Algunos de los puntos clave de esta política son que el Software de la empresa no debe ser entregado a terceros. Solo se debe permitir la lista blanca de software, no se debe instalar ningún otro software en la computadora. No se debe permitir el software Warez ni pirateado.