12.185 cursos gratis
8.410.107 alumnos
Facebook Twitter YouTube
Busca cursos gratis:

Delitos informáticos

Autor: Joaquin Galileo Soto Campos
Curso:
9,13/10 (88 opiniones) |33854 alumnos|Fecha publicación: 15/09/2004
Envía un mensaje al autor

Capítulo 33:

 ¿Por qué se necesita una política de seguridad?

La imagen que frecuentemente viene a la mente cuando se discute sobre seguridad está la del gran firewall que permanece al resguardo de la apertura de su red, defendiendo de ataques de malévolos hackers. Aunque un firewall jugará un papel crucial, es sólo una herramienta que debe ser parte de una estrategia más comprensiva y que será necesaria a fin de proteger responsablemente los datos de la red. Por una parte, sabiendo cómo configurar un firewall para permitir las comunicaciones que se quiere que ingresen, mientras salvaguarda otros datos, es un hueso muy duro de roer.

Aún cuando se tenga las habilidades y experiencia necesaria para configurar el firewall correctamente, será difícil conocer la administración de riesgos que está dispuesto a tomar con los datos y determinar la cantidad de inconveniencias a resistir para protegerlos. También se debe considerar cómo asegurar los hosts que están siendo accesados. Incluso con la protección de firewall, no hay garantía que no se pueda desarrollar alguna vulnerabilidad. Y es muy probable que haya un dispositivo en peligro. Los modems, por ejemplo, pueden proveer un punto de acceso a su red que completamente sobrepase su firewall. De hecho, un firewall puede aumentar la probabilidad que alguien establecerá un módem para el acceso al Internet mediante otro ISP (ISP - Internet Service Providers, cualquier empresa o institución que provea de conexión a Internet), por las restricciones que el firewall puede imponer sobre ellos (algo para recordar cuando se empieza a configurar su firewall). Se puede proveer restricciones o «protección,» que puede resultar ser innecesario una vez que las consecuencias se entienden claramente como un caso de negocio. Por otra parte, los riesgos pueden justificar el incremento de restricciones, resultando incómodo. Pero, a menos que el usuario esté prevenido de estos peligros y entienda claramente las consecuencias para añadir el riesgo, no hay mucho que hacer.

Los temas legales también surgen. ¿Qué obligaciones legales tiene para proteger su información?. Si usted está en una compañía de publicidad puede tener algunas responsabilidades definitivas al respecto.

Asegurar sus datos involucra algo más que conectarse en un firewall con una interface competente. Lo que se necesita es un plan comprensivo de defensa. Y se necesita comunicar este plan en una manera que pueda ser significativo para la gerencia y usuarios finales. Esto requiere educación y capacitación, conjuntamente con la explicación, claramente detallada, de las consecuencias de las violaciones. A esto se le llama una «política de seguridad» y es el primer paso para asegurar responsablemente la red. La política puede incluir instalar un firewall, pero no necesariamente se debe diseñar su política de seguridad alrededor de las limitaciones del firewall.

Elaborar la política de seguridad no es una tarea trivial. Ello no solamente requiere que el personal técnico comprenda todas las vulnerabilidades que están involucradas, también requiere que ellos se comuniquen efectivamente con la gerencia. La gerencia debe decidir finalmente cuánto de riesgo debe ser tomado con el activo de la compañía, y cuánto se debería gastar en ambos, en dólares e inconvenientes, a fin de minimizar los riesgos. Es responsabilidad del personal técnico asegurar que la gerencia comprenda las implicaciones de añadir acceso a la red y a las aplicaciones sobre la red, de tal manera que la gerencia tenga la suficiente información para la toma de decisiones. Si la política de seguridad no viene desde el inicio, será difícil imponer incluso medidas de seguridad mínimas. Por ejemplo, si los empleados pueden llegar a alterarse si ellos imprevistamente tienen que abastecer logins y contraseñas donde antes no lo hacían, o están prohibidos particulares tipos de acceso a Internet. Es mejor trabajar con estos temas antes de tiempo y poner la política por escrito. Las políticas pueden entonces ser comunicadas a los empleados por la gerencia. De otra forma, los empleados no lo tomarán en serio, o se tendrán batallas de políticas constantes dentro de la compañía con respecto a este punto. No solamente con estas batallas tendrán un impacto negativo sobre la productividad, es menos probable que la decisión tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de las guerras políticas.

El desarrollo de una política de seguridad comprende la identificación de los activos organizativos, evaluación de amenazas potenciales, la evaluación del riesgo, implementación de las herramientas y tecnologías disponibles para hacer frente a los riesgos, y el desarrollo de una política de uso. Debe crearse un procedimiento de auditoria que revise el uso de la red y servidores de forma periódica.

Identificación de los activos organizativos: Consiste en la creación de una lista de todas las cosas que precisen protección.

Por ejemplo: -
* Hardware: ordenadores y equipos de telecomunicación -
* Software: programas fuente, utilidades, programas de diagnóstico, sistemas operativos, programas de comunicaciones. -
* Datos: copias de seguridad, registros de auditoria, bases de datos.

Valoración del riesgo:
Conlleva la determinación de lo que se necesita proteger. No es más que el proceso de examinar todos los riesgos, y valorarlos por niveles de seguridad.

Definición de una política de uso aceptable:
Las herramientas y aplicaciones forman la base técnica de la política de seguridad, pero la política de uso aceptable debe considerar otros aspectos:
* ¿Quién tiene permiso para usar los recursos?
* ¿Quién esta autorizado a conceder acceso y a aprobar los usos?
* ¿Quién tiene privilegios de administración del sistema?
* ¿Qué hacer con la información confidencial?
* ¿Cuáles son los derechos y responsabilidades de los usuarios?

Por ejemplo, al definir los derechos y responsabilidades de los usuarios:
* Si los usuarios están restringidos, y cuáles son sus restricciones.
* Si los usuarios pueden compartir cuentas o dejar que otros usuarios utilicen sus cuentas.
* Cómo deberían mantener sus contraseñas los usuarios.
* Con qué frecuencia deben cambiar sus contraseñas.
* Si se facilitan copias de seguridad o los usuarios deben realizar las suyas.  

Nuestras novedades en tu e-mail

Escribe tu e-mail:

Al presionar "Recibir" estás dándote de alta y aceptas las condiciones legales de mailxmail

Cursos similares a Delitos informáticos


  • Vídeo
  • Alumnos
  • Valoración
  • Cursos
1. Los virus informáticos
¿Cuántas veces hemos sido víctimas de un virus informático sin darnos cuenta?... [08/01/03]
25.735  
2. Virus informáticos
Lamentablemente, los virus son una realidad de todos los días. Si usted aún no fue... [21/02/06]
6.741  
3. Tipos de virus informáticos
Con la popularización de Internet los virus se han extendido por varias razones,... [28/01/05]
10.699  

Capítulos del curso


¿Qué es mailxmail.com?|ISSN: 1699-4914|Ayuda
Publicidad|Condiciones legales de mailxmail


¿Recibir novedades de Seguridad informática? ¡No te costará nada!