Políticas de seguridad informática de una empresa y ejemplos

Políticas de seguridad informática de una empresa y ejemplos

La etapa de definición de las necesidades de seguridad en informática es el primer paso hacia la implementación de una política de seguridad. El objetivo es determinar las necesidades de una organización mediante la redacción de un inventario del sistema de información y luego estudiar los riesgos y amenazas que representan para implementar una política de seguridad apropiada.

¿En qué consiste la etapa de definición?

La etapa de definición se compone entonces de tres etapas:

  1. Identificación de las necesidades.
  2. Análisis de los riesgos.
  3. Definición de la política de seguridad.

¿Qué se debe tener en cuenta para identificar las necesidades?

La etapa de identificación de las necesidades de una empresa en materia de seguridad informática consiste en realizar en primer lugar un inventario del sistema de información, en particular de la siguiente información:

  • Personas y funciones.
  • Materiales, servidores y los servicios que éstos brindan.
  • Esquematización de la red (esquema de direcciones, topologías físicas y lógicas, etc.).
  • Lista de los nombres de dominio de la empresa.
  • Infraestructura de la comunicación (routers, conmutadores, etc.).
  • Información delicada.

¿Cómo hacer el análisis de los riesgos?

La etapa de análisis de riesgos consiste en relevar los diferentes riesgos que se advierten, estimar sus probabilidades y, por último, estudiar su impacto. La mejor forma de analizar el impacto de una amenaza consiste en calcular el costo de los daños que causaría (por ejemplo, un ataque a un servidor o un daño de los datos de vital importancia de la compañía).

Partiendo de esta base, sería interesante confeccionar una tabla de riesgos y de sus potencialidades (es decir, la probabilidad de que existan) dándoles niveles escalonados de acuerdo con una escala que debe definirse. Por ejemplo:

  • Infundado (o improbable): la amenaza es probablemente inexistente.
  • Débil: la amenaza tiene pocas probabilidades de existir.
  • Moderada: la amenaza es real.
  • Alta: la amenaza tiene muchas probabilidades de existir.

¿Cómo definir la política de seguridad?

La política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos. Esta política define un número de reglas, procedimientos y prácticas óptimas que aseguren un nivel de seguridad que esté a la altura de las necesidades de la organización.

Este documento se debe presentar como un proyecto que incluya a todos, desde los usuarios hasta el rango más alto de la jerarquía, para ser aceptado por todos. Una vez redactada la política de seguridad, se deben enviar a los empleados las cláusulas que los impliquen para que la política tenga el mayor impacto posible.

¿Qué métodos permiten desarrollar una política de seguridad?

Existen muchos métodos para desarrollar una política de seguridad. A continuación, se mostrará una lista no exhaustiva de los métodos principales:

  • MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux [metodología del análisis de riesgos informáticos por niveles]), desarrollado por CLUSIF.
  • MEHARI (Methode Harmonisée d'Analyse de RIsques [método armonizado de análisis de riesgos]).
  • EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité [expresión de las necesidades e identificación de los objetivos de seguridad]), desarrollado por la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information).
  • Estándar ISO 17799.

Enciclopedia