MONOGRÁFICO: Introducción a la seguridad informática - Políticas de seguridad

Osteguna, 2024(e)ko azaroak 21

SOFTWARE - General

Elvira Mifsud-k idatzia

Astelehena, 2012(e)ko martxoa(r)en 26-(e)an 09:18etan

Artikuluen aurkibidea
MONOGRÁFICO: Introducción a la seguridad informática
Seguridad
Mecanismos básicos de seguridad
Vulnerabilidades de un sistema informático
Políticas de seguridad
Amenazas
Nesus
Conclusión y enlaces
Orri guztiak

JPAGE_CURRENT_OF_TOTAL

Políticas de seguridad

¿Cómo podemos proteger el sistema informático?

Lo primero que hemos de hacer es un análisis de las posibles amenazas que puede sufrir el sistema informático, una estimación de las pérdidas que esas amenazas podrían suponer y un estudio de las probabilidades de que ocurran.

A partir de este análisis habrá que diseñar una política de seguridad en la que se establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir.

Definimos Política de seguridad como un “documento sencillo que define las directrices organizativas en materia de seguridad” (Villalón).

La política de seguridad se implementa mediante una serie de mecanismos de seguridad que constituyen las herramientas para la protección del sistema. Estos mecanismos normalmente se apoyan en normativas que cubren áreas mas específicas.

Esquemáticamente:

Los mecanismos de seguridad se dividen en tres grupos:

Prevención:

Evitan desviaciones respecto a la política de seguridad.

Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture (y entienda) información en un sistema de red.

Detección:

Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema.

Ejemplo: la herramienta Tripwire para la seguridad de los archivos.

Recuperación:

Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.

Ejemplo: las copias de seguridad.

Dentro del grupo de mecanismos de prevención tenemos:

Mecanismos de identificación e autenticación

Permiten identificar de forma única 'entidades' del sistema. El proceso siguiente es la autenticación, es decir, comprobar que la entidad es quien dice ser.

Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.

En concreto los sistemas de identificación y autenticación de los usuarios son los mecanismos mas utilizados.

Mecanismos de control de acceso

Los objetos del sistema deben estar protegidos mediante mecanismos de control de acceso que establecen los tipos de acceso al objeto por parte de cualquier entidad del sistema.

Mecanismos de separación

Si el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que permitan separar los objetos dentro de cada nivel.

Los mecanismos de separación, en función de como separan los objetos, se dividen en los grupos siguientes: separación física, temporal, lógica, criptográfica y fragmentación.

Mecanismos de seguridad en las comunicaciones

La protección de la información (integridad y privacidad) cuando viaja por la red es especialmente importante. Clásicamente se utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por la red.

Políticas de seguridad

El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.

La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.

No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.

Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.

Las políticas deben:

definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
mostrar el compromiso de sus altos cargos con la misma
definir la filosofía respecto al acceso a los datos
establecer responsabilidades inherentes al tema
establecer la base para poder diseñar normas y procedimientos referidos a
- Organización de la seguridad
- Clasificación y control de los datos
- Seguridad de las personas
- Seguridad física y ambiental
- Plan de contingencia
- Prevención y detección de virus
- Administración de los computadores

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.

La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.

La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.

Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:

Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad planificada adecuadamente
Un plan de recuperación luego de un incidente
Un sistema documentado actualizado

Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.

<< Aurrekoa - Hurrengoa >>

Índice

Inicio

Equipamiento Tecnológico

Revista INTEFP

► 2013 (11)
- ► Avril (2)
  - • Learnist
  - • MONOGRÁFICO: Introducción de las tecnologías en la educación
- ► Mars (1)
  - • Infografías y competencia digital
- ► Février (2)
  - • Uso de AppInventor en la asignatura de Tecnologías de la Información y la Comunicación
  - • ¿Cómo implementar el e-learning en los procesos de enseñanza-aprendizaje?
- ► Janvier (6)
► 2012 (49)
- ► Décembre (5)
- ► Novembre (6)
- ► Octobre (6)
- ► Septembre (3)
- ► Août (3)
- ► Juillet (3)
- ► Juin (3)
  - • qOrganizer
  - • Storify
  - • MONOGRÁFICO: Zenmap
- ► Mai (4)
  - • Las RSS
  - • Recursos Sismo-Volcánicos para el áula
  - • Microsoft Fix it Center
  - • MONOGRÁFICO: Sistemas de cine en 3D
- ► Avril (3)
- ► Mars (3)
- ► Février (6)
- ► Janvier (4)
► 2011 (53)
- ► Décembre (3)
  - • Móvil learning
  - • YouTube for Schools
  - • MONOGRÁFICO: Drupal 7
- ► Novembre (4)
- ► Octobre (4)
- ► Septembre (5)
- ► Août (3)
- ► Juillet (3)
  - • Tablets con Android
  - • Android
  - • MONOGRÁFICO: Software MAGIX
- ► Juin (5)
- ► Mai (7)
- ► Avril (3)
- ► Mars (8)
- ► Février (4)
  - • Fireshot
  - • MONOGRÁFICO: Redes Wifi
  - • El bolígrafo inteligente
  - • LTSP
- ► Janvier (4)
► 2010 (36)
- ► Décembre (4)
- ► Novembre (4)
- ► Octobre (1)
  - • Fedora Live USB Creator y Sugar
- ► Septembre (3)
  - • MONOGRÁFICO: Presentaciones Orales en Primaria
  - • Realidad Aumentada
  - • Tutorial Apolo
- ► Août (1)
  - • MONOGRÁFICO: Actividades para la enseñanza-aprendizaje de los fenómenos asociados a la Tectónica de Placas y el desarrollo de competencias
- ► Juillet (3)
  - • MONOGRÁFICO: Alfresco
  - • GradeL
  - • Glogster
- ► Juin (2)
  - • MONOGRÁFICO: Matemáticas y las TIC
  - • AppEngine
- ► Mai (3)
- ► Avril (3)
- ► Mars (4)
- ► Février (6)
- ► Janvier (2)
  - • MONOGRÁFICO: Moodle
  - • Ajedrez en Linux
► 2009 (47)
- ► Décembre (5)
- ► Novembre (7)
- ► Octobre (4)
- ► Septembre (1)
  - • Google App Engine
- ► Août (4)
  - • MONOGRÁFICO: JAVA
  - • Synkron
  - • NFS: Sistema de archivos de red
  - • Refrescar datos de un .swf con datos dinámicos XML
- ► Juillet (2)
  - • MONOGRÁFICO: Informática ubicua y aprendizaje ubicuo
  - • FreeMind: mapas conceptuales
- ► Juin (5)
  - • MONOGRÁFICO: Pizarras Digitales (Segunda Parte)
  - • X.Org: sistema X Window
  - • AJEDREZ
  - • Creación de juegos educativos con e-Adventure
  - • KeePass
- ► Mai (4)
- ► Avril (4)
  - • MONOGRÁFICO: eXe
  - • EasyVMX
  - • Pantallas y Alta Definición: un mundo por descubrir
  - • Administrar la red en un IES
- ► Mars (6)
- ► Février (3)
- ► Janvier (2)
  - • Modelo de Aula de Informática
  - • Antivirus 2009 Security Alert

Marcadores Sociales

Nuestra web

Licencia

Este obra está bajo una licencia de Creative commons reconocimiento, no comercial, compartir igual.

© Ministerio de Educación, Cultura y Deporte
Todos los artículos se publican bajo licencia Creative Commons
Información general: observatorio@intef.educacion.es
Instituto Nacional de Tecnologías Educativas y Formación del Profesorado
C/Torrelaguna, 58. 28027 Madrid Tlf: 913 778 348. Fax: 913 778 31

Políticas de seguridad

¿Cómo podemos proteger el sistema informático?

Políticas de seguridad

Índice

Revista INTEFP

Marcadores Sociales

Nuestra web

Artículos relacionados

Licencia