Tipos de políticas de seguridad

006-tipo-politicas-711x400

Para ver el video de este capitulo en YouTube

Puedes descargar el archivo “Estructura y Contenido de las Políticas de Seguridad” que contiene más de 187 puntos que deben ser considerados durante la creación de las políticas, pulsando —–> AQUÍ.


De acuerdo al nivel de restricciones impuestas en la organización, las políticas de seguridad pueden ser clasificadas de la siguiente forma: Promiscuas, Permisivas, Prudentes o Paranoicas.

En las empresas donde están implementadas políticas de seguridad promiscuas, los empleados no tienen ningún tipo de restricción en su acceso a Internet, pueden tener acceso a cualquier página web, descargar cualquier archivo, e instalar aplicaciones sin ningún tipo de control, incluso se permite el acceso remoto de los usuarios externos a los recursos de la empresa. Este tipo de politicas son muy peligrosas para las empresas ya que permite la libre circulación de virus y troyanos dentro y fuera de la organización. Basta decir que este tipo de políticas son una pesadilla para los administradores de sistemas y redes.

En una empresa que implemente políticas de seguridad permisivas, la mayor parte del tráfico hacia y desde Internet es permitido, sin embargo, muchos de los servicios y ataques ya conocidos se encuentran bloqueados. Por esta causa, los administradores se enfocan en mantener la plataforma actualizada para bloquear los nuevos tipos de ataques identificados, cosa que es muy díficil de hacer por la cantidad de tipos de ataques existentes y los nuevos que aparecen día a día.

Cuando se implementan políticas de seguridad prudentes, los administradores comienzan por bloquear todo tipo de tráfico hacia y desde Internet y solo se habilitan los servicios necesarios y seguros. Toda la actividad en las redes es monitoreada. Este tipo de políticas proporcionan la mayor seguridad posible manteniendo la conectividad en la empresa. Este tipo de póliticas es la más recomendada.

Las políticas de seguridad paranoicas. Evitan a toda costa la conectividad desde y hacia Internet, tambien se controla de forma estricta el uso de las computadoras en la empresa y el uso de los recursos de redes. Este tipo de política puede causar problemas porque los usuarios siempre buscaran la forma de evadir este tipo de controles.

EJEMPLOS DE POLITICAS DE SEGURIDAD

Algunos ejemplos de políticas de seguridad utilizadas y ampliamente aceptadas por las empresas a nivel mundial son:

 

Política de uso aceptable Define el uso aceptado de los recursos de computación de la empresa.
Política de cuentas de usuario Define el proceso para crear y mantener las cuentas de usuarios en la red, el correo electrónico y otros servicios que utilice la empresa. Define los derechos y responsabilidades de los usuarios y los niveles de autoridad.
Política de claves Define como deben ser creadas y administradas las claves de los usuarios y de los servicios en la empresa. Define longitud, complejidad y los mecanismos o controles para su protección.
Política de correo Define quien tiene derecho a usar el correo corporativo y cual es el uso correcto del mismo.
Política de protección de la información Define los niveles de sensibilidad de la información y quien puede y debe tener acceso a cada nivel de información. Tambien debe definir quien es el propietario de la información y quienes son los responsables de su mantenimiento.
Política de administración de firewalls Define los procesos para permitir o denegar el acceso, la administración y el monitoreo de los firewalls de la empresa.
Política de acceso remoto Define quien debe o puede tener acceso remoto a la empresa, el mecanismo para realizar dicho acceso y los controles que se deben aplicar para proteger dichas conexiones.
Política de conexión a la red Define el proceso que debe realizarse para poder conectar un nuevo dispositivo a la red independientemente si es de la empresa o pertenece a algún cliente o proveedor.

Debe definir quienes son los responsables de realizar cada tarea y quienes son los responsables de autorizar dichas conexiones.

Política de destrucción de datos Debe incluir los procedimientos para la destrucción segura de los datos cuando aplique, como por ejemplo en equipos fuera de servicio. Debe definir roles y responsabilidades.
Política de accesos especiales Esta política debe definir los terminos y condiciones que deben regir para las conexiones o accesos definidos como “especiales” y que no esten cubiertos por otras políticas.

Esta lista no es exhaustiva, pueden existir otras políticas de seguridad que vamos a ir viendo a medida que avancemos en el curso.

Otros capitulos:

  1. Introducción al curso, contenido y avance del primer módulo ( Video ).
  2. Concepto de Seguridad de la Información ( Video ) y ( Articulo ).
  3. Amenazas y controles de seguridad ( Video  y  Articulo ).
  4. Introducción a las políticas de seguridad ( Video y Articulo )
  5. Estructura y contenido de las políticas de seguridad (Video y Articulo)

 

Anuncios

Un comentario Agrega el tuyo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s