Esquemas de Seguridad Informática

Políticas de Seguridad Procedimientos

Una vez que se han determinado las políticas de seguridad que especifican lo que hay que proteger, es necesario realizar los procedimientos de seguridad que indican como hay que llevar a cabo la protección. Estos procedimientos también constituyen los mecanismos para hacer las políticas. Además resultan útiles, pues indican detalladamente que hay que  hacer cuando sucedan incidentes específicos, son referencias rápidas en casos de emergencia y ayudan a eliminar los puntos de falla críticos.

A continuación se menciona algunos procedimientos que son necesarios, de acuerdo a (Daltabuit Godás & Vázquez Gómez, 2007):


  • Auditoría de la seguridad de los sistemas

Dado que los datos que se almacenan sobre el uso de los sistemas son la principal herramienta para detectar violaciones a las políticas, es necesario especificar detalladamente lo que se desea almacenar.
Como se resguardan estas bitácoras y quien tiene acceso a ellas.


  • Administración de cuentas

Abarca desde cómo se tiene que solicitar una cuenta en su sistema de información, o en varios sistemas hasta qué tienen que hacer el departamento de personal antes de despedir a un empleado. También lo que debe hacerse para cambiar los privilegios de una cuenta o cancelarla. Especifican como se documentan el manejo de las cuentas y como se vigila el cumplimiento de las políticas correspondientes.


  • Administración de autenticadores
Hay cuatro tipos de autenticadores: mediante conocimientos, características físicas, objetos y ubicación geográfica. Los sistemas de control de acceso, en general deben emplear por los menos dos autenticadores de tipos de distintos para cada usuario. Estos procedimientos indican como deben obtenerse los autenticadores, como deben resguardarse, la vigencia de los mismos y las características que deben tener. Por ejemplo el procedimiento de uso de contraseñas indicará su longitud, su posición, el algoritmo de cifrado que se debe emplear para archivarlas y resguardarlas. En el caso de autenticadores biométricos se especifican la característica seleccionada, los algoritmos que permiten uso, cómo se puede evitar que se construya la característica y como se debe archivar y resguarda los datos correspondientes.

  • Administración de la configuración de los sistemas

Define como se instala y prueba un equipo nuevo o un programa nuevo, cómo se documentan los cambios de los equipos y la configuración, a quien se debe informar cuando hagan cambios y quién tiene la autoridad para hacer cambios de equipo, programas y configuración.


  • Respaldos y acervos de datos y programas

Define qué sistema de archivos hay que respaldar, cuando hay que hacer los respaldos, cómo se administran los medios que se utilizan para los respaldos, donde se guardan los respaldos fuera de sitio, como se etiquetan los medios y como documentan los respaldos.


  • Manejo de incidentes

Define cómo se manejan las instrucciones, delimita la responsabilidad de cada miembro del equipo de respuesta, indica que información hay que anotar e investigar, a quién hay que notificar y cuándo, determinar quién, cuándo y cómo se hará el análisis posterior del incidente.


  • Escalamiento del problema

Es una colección de recetas para el personal de soporte de primera línea. Define a quién hay que llamar y cuándo, indica que pasos iniciales hay dar y que información inicial hay que anotar.


  • Planes de respuesta a desastres

Un desastre es un evento de gran escala que afecta a grandes secciones de la organización. El plan debe delinear qué acciones hay que tomar para que los recursos críticos sigan funcionando y minimice el impacto del desastre. Debe indicar que hay que tener fuera del sitio y fácilmente disponible para emplearlo después de un desastre. Hay que estratificar el plan para responder a distintos niveles de daños. Definirá si se requieren sitios alternos “calientes” o “fríos”. Se debe establecer cada cuando se harán   simulacros para probar el plan.