Rúbriques
...

Política de seguretat en sistemes d'informació

Ara, qualsevol persona o organització té informació que no hi ha cap voluntat de publicar o, per contra, hi ha plans per acomiadar-la el més car possible. I per això cal una política de seguretat. Es tracta d’un temps de funcionament, la tasca de la qual és suprimir la distribució incontrolada de dades que no hauria de ser coneguda pel gran públic. Està treballant en qüestions de possibles pèrdues o no d'accés, que en qualsevol cas afectaran la feina. A més, si encara succeïa, se sol proporcionar un conjunt de mesures per minimitzar els danys. De fet, una política de seguretat és un conjunt de normes i regulacions sobre els equipaments i el personal d’una organització, als quals també s’aplica. Com s’ha de maximitzar la seva efectivitat?

Complexitat per sobre de tot

política de seguretatEl problema de la protecció de la informació s’ha de resoldre completament, però primer cal bloquejar tots els canals possibles de pèrdua de dades. Això és necessari perquè l’aplicació de mesures individuals gairebé no augmenta la seguretat de tot el sistema. Mirem un exemple. Tenim una casa. En ella vam instal·lar una porta blindada en la qual hi ha panys extremadament complexos. Però al mateix temps vam deixar les finestres obertes! La nostra llar està protegida? La resposta és que no. Tot i que, si encara vivim no en una casa d’un sol pis, sinó al 125è pis d’un gratacel, tot i així augmentarem lleugerament la seguretat. Un principi similar s'aplica a la protecció en sistemes d'informació. Les mesures separades poden augmentar significativament la seguretat o fer un efecte mínim. En qualsevol cas, cal apropar-se des del punt de vista de la complexitat.

Què és desitjable fer?

la política de seguretat ésSovint, per tal de garantir la seguretat, creen un sistema integrat de protecció de la informació integrat (ISIS), que és una combinació de mesures d’enginyeria i organització, a més de programari i maquinari. Junts, asseguren el funcionament normal dels sistemes automatitzats. La gestió de les polítiques de seguretat és desitjable no només basant-se en la tecnologia informàtica, sinó també en el personal de l'organització.

Mesures organitzatives

És un component molt important i sovint subestimat. En virtut de les mesures organitzatives, s’entén el desenvolupament i la implementació en la pràctica d’una política oficial de seguretat de la informació. Això inclou:

  1. Redacció de les descripcions de feina que han d’adherir els usuaris i el personal de serveis.
  2. Desenvolupament de regles d'administració de components del sistema.
  3. Creació d’un pla d’acció per identificar intents d’accés no autoritzats.
  4. Desenvolupament de regles que estipulin la comptabilitat, l’emmagatzematge, la reproducció i la destrucció de suports d’informació confidencials.
  5. L’estudi dels problemes d’identificació.
  6. Elaboració d'un pla en cas de fallades d'equips de protecció i aparició d'una situació extremadament gran.
  7. Formar a tots els usuaris en les normes i recomanar la seguretat de la informació, així com supervisar-ne la implementació.

Problemes per ignorar les mesures organitzatives

implementació de polítiques de seguretatQuè passarà si no feu formació en aquest àmbit? Llavors, la gent es converteix en la part més difícil del sistema de defensa. El resultat d’ignorar aquest aspecte és sovint fins i tot la impossibilitat de restaurar el sistema d’informació en general. I els objectius de la política de seguretat no sempre s’assoliran i amb grans problemes. Però, fins i tot si hi ha una còpia de seguretat de les dades, es necessita una bona estona la recreació.A més, la creació d’instruccions facilitarà el treball en situacions en què tot ha estat creat per un empleat i restaurat o refinat per un altre.

L’aspecte més important de les mesures organitzatives

marc de la política de seguretatEls usuaris han d’estar formats per reconèixer els atacants. Anem a donar alguns exemples que us demostraran el complicats que són:

  1. L’empleat rep una trucada o un correu electrònic del director o un altre directiu superior demanant la seva contrasenya, que donarà accés a la base de dades per provar el sistema, modificar el component del programari o realitzar una altra tasca plausible. El resultat serà el rebut per part del defraudador de la possibilitat de la seva eliminació o distorsió important, que comportarà pèrdues.
  2. L’empleat visita la pàgina web, segons ell creu, de la seva empresa, però en realitat és fals. Introdueix les seves dades. I tot, un atacant té accés al sistema. A més, per tal que l'empleat no s'adoni que no hi és, es pot realitzar una redirecció i autorització automàtica al lloc web oficial.
  3. Un empleat infectat amb un atacant té un mitjà de comunicació on el programa obrirà l’accés a la base de dades, l’eliminarà o farà algunes altres accions desagradables.

I no són totes les opcions possibles, sinó només algunes.

Elaboració de la base d’un sistema integrat de seguretat de la informació

El desenvolupament d’una política de seguretat requereix un enfocament seriós i inclusiu. Això es fa per etapes. Primer cal examinar el sistema d’informació i telecomunicacions. L’anàlisi de la seva arquitectura, topologia, components, un inventari de recursos d’informació. Tots els propietaris i usuaris han de ser identificats i posseeixen la documentació pertinent. Segons la importància, diferent voltors de secret. Cal recordar que la política de seguretat es basa en les dades recollides i analitzades. Com més gran es tracti la matèria d’informació, millor serà el resultat final.

Definida amb protecció

desenvolupament de polítiques de seguretatCal construir un model d’amenaça. En ella es presenta un sistema informàtic com un conjunt de serveis. Cadascuna d’elles té el seu propi conjunt de funcions, que permet identificar moltes amenaces. Entre ells es troben:

  1. Amenaça a la privadesa. Això inclou tot el relacionat amb la lectura no autoritzada dels continguts;
  2. Amenaça a la integritat. Tot el que es refereixi a una modificació no autoritzada o comporti la destrucció de la informació;
  3. Amenaces d’accessibilitat. Això inclou la possibilitat de mal ús del sistema d'informació;
  4. Amenaces d’observació. Explora totes les possibilitats de problemes amb la identificació i assegura el control sobre les accions dels usuaris.

Els marcs de polítiques de seguretat han de tenir solucions per a qualsevol amenaça possible. Però alhora cal adherir-se a una línia raonable. Per tant, no té cap sentit esbrinar la confidencialitat de la informació publicada al lloc web oficial de l'organització i que hauria de ser accessible per a tots aquells que ho desitgin.

Natura de les amenaces

objectius de la política de seguretatEs determina per què actua com a causa dels problemes. Hi ha tres tipus:

  1. Personatge natural. Això inclou desastres naturals, incendis i problemes similars. Fan el major dany físic. El més difícil és defensar-los. Però la probabilitat d'aquesta amenaça és la més baixa. Com a protecció, s’utilitza col·locació en diferents territoris i característiques estructurals de l’edifici (espessiment de la paret, protecció contra incendis, etc.).
  2. Caracter tècnic. Inclou accidents, fallades d’equips, disfuncions. Causen danys relativament elevats. Estan protegits d’ells mitjançant mecanismes de duplicació de dades.
  3. El factor humà. Per sempre no sempre s’entén la intenció mal intencionada.Això també pot incloure errors en el disseny, funcionament, desenvolupament de components del sistema, accions no desitjades dels usuaris. Des d’un punt de vista purament tècnic, una senyora de neteja sense formació a la sala de servidors no representa menys una amenaça per a l’equip que un grup organitzat i experimentat de crackers informàtics.

Els objectius de la política de seguretat són prevenir aquests problemes i, si es produïen, implementar un conjunt de mesures que minimitzi els danys rebuts.

Funcions del model d’amenaça

la política de seguretat és un conjunt de normes i regulacionsQuan es desenvolupa, cal tenir en compte que els diferents tipus d'informació han de tenir un sistema de seguretat diferent. Així doncs, pel que fa a les dades públiques que es troben al lloc web, podem dir que cal tenir cura de la seva integritat i accessibilitat. Com que tothom els ha de veure, es pot ignorar el problema de privadesa. Mentre que les dades que circulen per l’empresa han d’estar protegides d’accés no autoritzat. Però la màxima protecció de tot el més alt nivell requereix molta força i recursos. Per tant, es determinen amb les dades més importants, que garanteixen la major seguretat. I una altra informació està protegida d’acord amb el seu valor.

Model d’intrusió

Està construït sobre les persones. Identifica tots els possibles tipus de violadors i els dóna una descripció detallada. Així doncs, es creen models relatius a crackers professionals, mercenaris sense experiència, hooligans ordinaris, empleats de l'empresa. El perill més gran en aquest cas el proporciona el primer. Això es deu al fet que disposen del conjunt de coneixements i mitjans tècnics necessaris per dur a terme un accés no autoritzat. Els professionals són seguits pels empleats de les empreses, ja que tenen accés a la informació i també poden conèixer amb l’organització del sistema de seguretat. Això ja proporciona oportunitats mínimes per influir en els recursos. Per tant, si hi ha motivació, els empleats poden causar danys importants (cosa que, en general, no és infreqüent). I si els atacants també recorren a ells, aquesta és generalment una història trista.

La documentació

es basa en la política de seguretatQuan es completen tots els passos anteriors, es elaboren tots els papers necessaris, com ara: “Política de seguretat de la informació”, “Condicions de referència per a la creació d’un CSIS” i altres problemes. Després, es realitza una selecció de protecció de programari i maquinari i es configuren les seves característiques. En última instància, s’està desenvolupant documentació sobre el “Projecte tècnic de creació d’un CSIS”. Quan tot estigui a punt, ja és possible començar a implementar les eines, mesures i formes de protecció del sistema d’informació seleccionades.

Control

gestió de polítiques de seguretatPerò simplement crear no és suficient. També cal assegurar-se que tot funciona correctament i, periòdicament, veure que aquesta condició persisteix. Per fer-ho, es fa un seguiment de la integritat, es clarifica els requisits (revisió) i s’analitza l’estat del sistema d’informació. Si parlem de l’administrador responsable de seguretat, no s’aplica aquí la regla “un bon administrador és algú que té la capacitat de dormir constantment”. El sistema d’informació és un objecte dinàmic en què les condicions internes i externes canvien constantment. Així mateix, l’estructura d’una organització no és quelcom permanent. Es poden crear noves unitats estructurals o departaments, serveis (com ara suport o bases de dades), o hi haurà un trasllat d’una habitació a una altra. La informació que circula pel sistema també canvia. Per tant, la política de seguretat dels sistemes d'informació ha de tenir en compte tots els aspectes anteriors i tenir-los en compte. Això no vol dir que la seguretat sigui alguna cosa establerta. No, donada la necessitat de millorar i adaptar-se contínuament als reptes, seria millor anomenar-lo procés.

Puntuació

S'utilitza per determinar l'eficàcia.Hi ha tècniques especials amb les quals podeu determinar aquest paràmetre. Només es fa que dur a terme aquest control per si sol és bastant difícil perquè tots els creadors del sistema de protecció haurien de ser eliminats tots els defectes visibles. Per tant, per regla general, aquesta tasca sovint es confia a un tercer. I ella, des d’una posició diferent, s’acostarà a la prova i és molt probable que pugui notar un punt feble que va desaprofitar els propis desenvolupadors. De fet, aquests inspectors actuen com a crackers, però ja s’han beneficiat d’utilitzar totes les dades possibles en forma de pagaments en efectiu de la mateixa empresa. A partir d’aquests moments es fa la implementació de la política de seguretat.

Conclusió

objectius de la política de seguretatPotser la petita empresa no té sentit desenvolupar la seva pròpia política de seguretat. Però per a les grans empreses que pensen operar durant molt de temps, el seu valor en certs moments pot ser extraordinari. Si es desenvolupa una política de seguretat a un nivell elevat, els representants de l’empresa mai no sabrien de què els protegia. I encara que sembli que no té sentit, l’ús d’aquesta experiència en qualsevol àmbit d’activitat és extremadament important.


Afegeix un comentari
×
×
Esteu segur que voleu eliminar el comentari?
Suprimeix
×
Motiu de la queixa

La nena va intentar no gastar diners durant un mes. L'experiment li va deixar diversos sentiments

Empreses

Històries d’èxit

Equipament