Encabezados
...

Política de seguridad de sistemas de información

Ahora, cada persona u organización tiene información que no desea publicar o, por el contrario, hay planes de despedirse de ella lo más costoso posible. Y para esto, se necesita una política de seguridad. Este es un tiempo operativo, cuya tarea es suprimir la distribución incontrolada de datos que no deberían ser conocidos por el público en general. Ella está trabajando en temas de posible pérdida o falta de acceso, que en cualquier caso afectará el trabajo. Además, si esto todavía sucediera, generalmente se proporciona un conjunto de medidas para minimizar el daño. De hecho, una política de seguridad es un conjunto de reglas y regulaciones con respecto al equipo y al personal de una organización, a los que también se aplica. ¿Cómo se debe maximizar su efectividad?

Complejidad sobre todo

política de seguridadEl tema de la protección de la información debe abordarse por completo, pero antes que nada, es necesario bloquear todos los canales posibles de pérdida de datos. Esto es necesario porque la aplicación de medidas individuales casi no aumenta la seguridad de todo el sistema. Veamos un ejemplo. Tenemos una casa En él, instalamos una puerta blindada en la que hay cerraduras extremadamente complejas. ¡Pero al mismo tiempo dejamos las ventanas abiertas! ¿Está protegida nuestra casa? La respuesta es no. Aunque, si aún vivimos no en una casa de un piso, sino en el piso 125 de un rascacielos, entonces todavía aumentaremos ligeramente la seguridad. Un principio similar se aplica a la protección en los sistemas de información. Las medidas separadas pueden aumentar significativamente la seguridad o tener un efecto mínimo. En cualquier caso, es necesario abordar desde el punto de vista de la complejidad.

¿Qué es deseable hacer?

la política de seguridad esA menudo, para garantizar la seguridad, crean un sistema de protección de información integrado (ISIS) completo, que es una combinación de medidas de ingeniería y organización, así como software y hardware. Juntos, aseguran el funcionamiento normal de los sistemas automatizados. La administración de políticas de seguridad es deseable no solo depender de la tecnología informática, sino también del personal de la organización.

Medidas organizativas

Es un componente muy importante y a menudo subestimado. Según las medidas organizativas, comprenda el desarrollo y la implementación en la práctica de una política oficial sobre seguridad de la información. Esto incluye:

  1. Redacción de descripciones de trabajo que los usuarios y el personal de servicio deben cumplir.
  2. Desarrollo de reglas de administración para componentes individuales del sistema.
  3. Creación de un plan de acción para identificar intentos de acceso no autorizados.
  4. Desarrollo de reglas que estipularán la contabilidad, el almacenamiento, la reproducción y la destrucción de los medios de información confidencial.
  5. El estudio de los problemas de identificación.
  6. Desarrollo de un plan para la falla del equipo de protección y el surgimiento de una situación extrema.
  7. Capacitar a todos los usuarios en las reglas y recomendar la seguridad de la información, así como monitorear su implementación.

Problemas para ignorar las medidas organizativas

implementación de la política de seguridad¿Qué pasará si no llevas a cabo una capacitación en esta área? Entonces la gente se convierte en la parte más difícil del sistema de defensa. El resultado de ignorar este aspecto es a menudo incluso la imposibilidad de restaurar el sistema de información en general. Y los objetivos de la política de seguridad no siempre se lograrán y con grandes problemas. Pero incluso si hay una copia de seguridad de los datos, tomará algún tiempo recrearlos.Además, la creación de instrucciones facilitará el trabajo en situaciones donde todo fue creado por un empleado y restaurado o refinado por otro.

El aspecto más importante de las medidas organizativas.

marco de política de seguridadLos usuarios deben estar entrenados para reconocer a los atacantes. Veamos algunos ejemplos que le demostrarán cuán difíciles son:

  1. El empleado recibe una llamada o un correo electrónico del director u otro gerente superior pidiéndole su contraseña, que le dará acceso a la base de datos para probar el sistema, modificar el componente de software o realizar otra tarea plausible. El resultado será la recepción por parte del estafador de la posibilidad de su eliminación o distorsión significativa, lo que conllevará pérdidas.
  2. El empleado visita la página web, como él cree, de su empresa, pero en realidad es falsa. Introduce sus datos. Y eso es todo: un atacante tiene acceso al sistema. Además, para que el empleado no se dé cuenta de que no está allí, se puede realizar la redirección y la autorización automática en el sitio web oficial.
  3. Un empleado infectado con un atacante se enjuaga con medios en los cuales el programa abrirá el acceso a la base de datos, lo eliminará o tomará otras acciones desagradables.

Y estas no son todas las opciones posibles, sino solo algunas.

Preparación de la base de un sistema integrado de seguridad de la información.

El desarrollo de una política de seguridad requiere un enfoque serio e inclusivo. Esto se hace por etapas. Primero debe examinar el sistema de información y telecomunicaciones. El análisis de su arquitectura, topología, componentes, un inventario de recursos de información. Todos los propietarios y usuarios deben estar identificados y poseer documentación relevante. Dependiendo de la importancia, diferentes buitres del secreto. Debe recordarse que la política de seguridad se basa en los datos recopilados y analizados. Cuanto mayor sea el conjunto de información que se procesará, mejor será el resultado final.

Definido con protección

desarrollo de políticas de seguridadEs necesario construir un modelo de amenaza. En él, un sistema informático se presenta como un conjunto de servicios. Cada uno de ellos tiene su propio conjunto de funciones, que le permite identificar muchas amenazas. Entre ellos están:

  1. Amenazas a la privacidad. Esto incluye todo lo relacionado con la lectura no autorizada de los contenidos;
  2. Amenazas a la integridad. Todo lo relacionado con modificaciones no autorizadas o que conlleve la destrucción de información;
  3. Amenazas a la accesibilidad. Esto incluye la posibilidad de mal uso del sistema de información;
  4. Amenazas de observación. Explora todas las posibilidades de problemas con la identificación y asegura el control sobre las acciones del usuario.

Los marcos de políticas de seguridad deben tener soluciones para cada posible amenaza. Pero al mismo tiempo es necesario adherirse a una línea razonable. Por lo tanto, no tiene sentido determinar la confidencialidad de la información que se publica en el sitio web oficial de la organización y debe ser accesible para todos los que deseen la idea.

Naturaleza de las amenazas.

objetivos de política de seguridadEstá determinado por lo que actúa como la causa de los problemas. Hay tres tipos:

  1. Carácter natural Esto incluye desastres naturales, incendios y problemas similares. Hacen el mayor daño físico. Es muy difícil defenderse de ellos. Pero la probabilidad de tal amenaza es la más baja. Como protección, se utiliza la colocación en diferentes territorios y características estructurales del edificio (engrosamiento de la pared, protección contra incendios, etc.).
  2. Carácter técnico Esto incluye accidentes, fallas de equipos, mal funcionamiento. Causan daños relativamente altos. Están protegidos de ellos utilizando mecanismos de duplicación de datos.
  3. El factor humano. Por esto no siempre se entiende la intención intencional del mal.Esto también puede incluir errores en el diseño, operación, desarrollo de componentes del sistema, acciones no intencionadas por parte de los usuarios. Desde un punto de vista puramente técnico, una mujer de limpieza no capacitada en la sala de servidores representa una amenaza no menos importante para el equipo que un grupo organizado y experimentado de crackers informáticos.

Los objetivos de la política de seguridad son prevenir estos problemas y, si ocurrieran, implementar un conjunto de medidas que minimicen el daño recibido.

Características del modelo de amenaza

La política de seguridad es un conjunto de normas y reglamentos.Al desarrollarlo, debe tenerse en cuenta que los diferentes tipos de información deben tener un sistema de seguridad diferente. Entonces, con respecto a los datos públicos que se encuentran en el sitio web, podemos decir que es necesario cuidar su integridad y accesibilidad. Como todos deberían verlos, se puede ignorar el problema de privacidad. Mientras que los datos que circulan dentro de la empresa deben protegerse del acceso no autorizado. Pero la protección total de todo al más alto nivel requiere mucha fuerza y ​​recursos. Por lo tanto, se determinan con los datos más importantes, lo que garantiza la mayor seguridad. Y otra información está protegida de acuerdo con su valor.

Modelo de intrusos

Está construido sobre personas. Identifica todos los tipos posibles de infractores y les da una descripción detallada. Por lo tanto, los modelos se crean en relación con crackers profesionales, mercenarios sin experiencia, gamberros comunes, empleados de la empresa. El mayor peligro en este caso lo proporciona el primero. Esto se debe al hecho de que tienen el conjunto de conocimientos y medios técnicos necesarios para llevar a cabo el acceso no autorizado. Los profesionales son seguidos por los empleados de las empresas, ya que tienen acceso a la información y también pueden familiarizarse con la organización del sistema de seguridad. Esto ya ofrece oportunidades mínimas para influir en los recursos. Por lo tanto, si hay motivación, los empleados pueden causar un daño significativo (que, en general, no es infrecuente). Y si los atacantes también recurren a ellos, entonces esta es generalmente una historia triste.

La documentación

la política de seguridad se basa enCuando se completan todos los pasos anteriores, se resuelven todos los documentos necesarios, tales como: "Política de seguridad de la información", "Términos de referencia para la creación de un CSIS" y otros temas. Después de eso, se realiza una selección de protección de software y hardware, y se configuran sus características. En última instancia, se está desarrollando documentación sobre el "Proyecto técnico para la creación de un CSIS". Cuando todo esté listo, ya es posible comenzar a implementar las herramientas, medidas y formas seleccionadas para proteger el sistema de información.

Control

gestión de políticas de seguridadPero solo crear no es suficiente. También es necesario asegurarse de que todo funciona correctamente y ver periódicamente que esta condición persista. Para hacer esto, se lleva a cabo un monitoreo de integridad, clarificación de requisitos (revisión) y se analiza el estado del sistema de información. Si hablamos del administrador responsable de la seguridad, entonces la regla "un buen administrador es alguien que tiene la capacidad de dormir constantemente" no se aplica aquí. El sistema de información es un objeto dinámico en el que las condiciones internas y externas cambian constantemente. Del mismo modo, la estructura de una organización no es algo permanente. Se pueden crear nuevas unidades estructurales o departamentos, servicios (como soporte o bases de datos), o habrá un cambio de una habitación a otra. La información que circula por el sistema también cambia. Por lo tanto, la política de seguridad en los sistemas de información debe tener en cuenta todos los aspectos anteriores y tenerlos en cuenta. Esto no quiere decir que la seguridad es algo que se ha establecido. No, dada la necesidad de mejora continua y adaptación a los desafíos, sería mejor llamarlo un proceso.

Puntuación

Usado para determinar la efectividad.Existen técnicas especiales con las que puede determinar este parámetro. Es solo que realizar tal verificación por sí solo es bastante difícil debido al hecho de que todos los defectos visibles deberían haber sido eliminados por los creadores del sistema de protección. Por lo tanto, como regla general, esta tarea a menudo se confía a un tercero. Y ella, desde una posición diferente, se acercará a la prueba y es muy probable que pueda notar un punto débil que los propios desarrolladores no vieron. De hecho, dichos inspectores actúan como crackers, pero ya se han beneficiado del uso de todos los datos posibles en forma de pagos en efectivo de la propia empresa. Es a partir de esos momentos que se realiza la implementación de la política de seguridad.

Conclusión

objetivos de política de seguridadQuizás las pequeñas empresas no tienen sentido desarrollar su propia política de seguridad. Pero para las grandes empresas que planean operar durante mucho tiempo, su valor en ciertos momentos puede ser extraordinario. Si una política de seguridad se desarrolla a un alto nivel, entonces los representantes de la compañía nunca sabrán de qué los protegió. E incluso si parece que no tiene sentido, el uso de esta experiencia en cualquier campo de actividad es extremadamente importante.


Agrega un comentario
×
×
¿Estás seguro de que deseas eliminar el comentario?
Eliminar
×
Motivo de la queja

Negocios

Historias de éxito

Equipo