Los principios de la seguridad de la información

¿Qué es la política de seguridad?

PRACTICA 5
Las políticas de seguridad son definidas como aquel conjunto de reglas que se aplican a determinadas actividades y recursos de comunicaciones que pertenecen a una organización. Asimismo, se podría considerar que estas mismas constituyen la columna vertebral de la seguridad de la información, ya que se caracterizan por ser un sistema documentado y sistematizado, que establece responsabilidades, apoya a la alta dirección, implica a toda la organización y establece unos requisitos mínimos de seguridad dentro de una determinada empresa.

De este modo, nuestra práctica de hoy va a consistir en redactar una política de seguridad…
INTRODUCCIÓN
Debido al incremento de instalaciones informáticas y el uso de decenas de dispositivos electrónicos, como los televisiones, routers, teléfonos móviles, iPad u ordenadores, es necesario llevar a cabo una mejora de las estrategias de la seguridad de los datos y de todo tipo de información considerada comprometida que pueda existir en mi unidad doméstica. De ahora en adelante el modelo de seguridad creado para roteger la información y activos del domicilio será designado como SECUDOMESTIC, el cual abarca directivas, objetivos y controles relacionados con la Seguridad de la Información en ambiente de TI de la Compañía, con el fin de salvaguardar sus operaciones, usuarios y terceros. 

OBJETIVO
Esta política se ha creado con el fin de proteger los activos del domicilio y de describir el uso correcto de los equipos informáticos y otros dispositivos electrónicos dentro de la misma. Estas mismas reglas se han creado para proteger los individuos que conviven dentro de la casa, ya que el uso inapropiado puede exponer a los sujetos a un riesgo cibernético inimaginable, incluyendo ataques de virus, la malversación de los sistemas y servicios de la red, la violación de datos y el robo de información con fines ilícitos.

Una vez establecido el propósito básico de este documento, se podría decir que en concreto la política pretende:
  • Proteger los activos de la información conforme a su valor.
  • Mejorar de manera periódica el sistema de seguridad de la información del domicilio.
  • Conservar la privacidad de los sujetos que conviven en la unidad doméstica y todos aquellos terceros que puedan entrar en la casa.
  • Garantizar el cumplimiento de los requisitos establecidos.
  • Exponer las directrices necesarias para conseguir los niveles adecuados de seguridad, los cuales deben permitir una buena organización y gestión de los riesgos existentes.
Por ello, todo el personal interno, propietarios del inmueble, y en general quienes tengan responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la información de SECUDOMESTIC, deben adoptar los contenidos del presente documento y en los documentos relacionados con él, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información.

ALCANCE
El documento de política de seguridad de la información se encarga de reglamentar la protección y uso de los activos de información del domicilio, y, como consecuencia, va dirigido a todos aquellos usuarios que tengan algún tipo de contacto con dichos activos y que además se encuentren en el domicilio. Como los usuarios son sujetos independientes, que no poseen una relación familiar, todos y cada uno de ellos deberán acceder a un acuerdo de confidencialidad que les compromete con el cumplimiento de las políticas de seguridad aquí escrita. De este modo, vamos a clasificar a los usuarios de los activos de la información del domicilio:
  • Trabajadores.
  • Estudiantes.
De este modo, los controles de seguridad de la información deben ser suficientemente efectivos para poder asegurar…
La confidencialidad. Quiere decir que la información no estará disponible o no será válida para los individuos que no estén autorizados por todas las personas del domicilio.
La integridad. Implica que la información y aparatos electrónicos, solo podrán ser modificado por los usuarios autorizados para ello.
La disponibilidad. Hace referencia a que toda la información y los recursos informáticos que sean de contenido público para el domicilio, podrán ser utilizados por los usuarios autorizados en el momento en el que lo necesiten, siempre y cuando se cuente con la aceptación de cada uno de los usuarios de la casa.

ACTIVOS Y DISPOSITIVOS
Los activos son definidos como el componente de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Dentro del domicilio existen cinco habitaciones integradas por cinco sujetos que provienen de distintas unidades domésticas, por ello, cada una de las personas posee un dispositivo móvil propio y en la zonas comunes solo se encuentra el dispositivo de red Wi-Fi que comparten todas. Ninguno de los sujetos puede entrar dentro de la habitación personal de la otra persona, por ello es complicado determinar cuántos dispositivos informáticos existen dentro de la casa. Por ende, se procederá a realizar un estudio general de los activos: 
  • Portátiles.
  • Dispositivos móviles.
  • Ipads.
  • Televisores.
  • Red wifi.
Todos estos elementos son considerados como activos físicos, es decir, se trata de objetos o bienes materiales que posee una persona natural o jurídica y que se caracterizan por poseer un valor intrínseco y estar constituidos por máquinas, equipos, edificios y otros bienes de inversión.

RECOMENDACIONES
  • Los perfiles y niveles de acceso a la red deben configurarse en función de las personas que viven dentro del domicilio, por lo que convendría no compartir la clave Wi-Fi a cualquier tercera persona fuera de la unidad doméstica que no pague renta.
  • Cada individuo debe definir y utilizar contraseñas de acceso a sus propios dispositivos que sean diferentes y complicadas, con el objetivo de impedir el robo de los datos, tanto personales como de toda la unidad.
  • Es recomendable no dejar los dispositivos personales en las áreas  comunes de la casa, ya que con el flujo de gente que entra y sale del domicilio puede existir la posibilidad del robo físico del dispositivo.
  • El sistema antivirus instalado en la red Wi-Fi de la casa, debe estar operativo y ser actualizado cada cierto periodo de tiempo.
  • Conviene semana precauciones para evitar el acceso no autorizado a la información personal, propia de terceros, no dejando a la vista ningún soporte de información en las arias públicas de la casa, ya que cualquier persona podría robar dichos documentos con el fin de entrar en sus dispositivos posteriormente.
  • En la medida de lo posible, es aconsejable prevenir que se pueden escuchar conversaciones ajenas, utilizando así auriculares o retirándose a sus propias habitaciones para hablar.
  • Cualquier anomalía que puede afectar a la seguridad de la información y del domicilio Debe notificarse a los integrantes de la casa y al titular de la misma, para que pueda solucionarse rápidamente.
  • Es recomendable revisar y eliminar periódicamente toda la información residual que pueda quedar almacenado el dispositivo personales.
CONSECUENCIAS
El personal de SECUMESTIC tiene la obligación de conocer esta Política de Seguridad de la Información, que es de obligado cumplimiento dentro del alcance identificado, siendo responsabilidad del Responsable de Gestión del Sistema de Seguridad de la Información  disponer los medios necesarios para que la información llegue a los afectados y las afectadas. Como consecuencia, se espera que todas las personas de SECUDOMESTIC se rijan por el modelo de seguridad definido cumplan sus funciones y obligaciones en materia de seguridad de la información, y en concreto que reporten los incidentes en materia de seguridad utilizando las directrices establecidas por la unidad doméstica y mantengan la confidencialidad debida, y las buenas prácticas en el manejo de datos de carácter personal, de equipos y de contraseñas.

En caso contrario, todo incumplimiento de los lineamientos de dicha política de seguridad constituye una falta grave y conlleva la aplicación de sanciones de acuerdo con la normativa, lo cual implica desde la retirada de privilegios como el hecho de traer a familiares y conocidos al domicilio, hasta la posible retirada de la vivienda y extinción del contrato de arrendamiento. El empleado o compañero de piso que deliberadamente no informe las violaciones a esta política también estará sujeto a las sanciones antes mencionadas.

RESPONSABILIDAD
La responsabilidad general de la seguridad de la información recaerá sobre la persona Responsable de Gestión del Sistema de Seguridad de la Información (en cuyo caso soy yo misma), que contará con la ayuda del Director de Seguridad de la Información (en este caso sería la casera encargada de la propiedad) como parte de su equipo. De este mismo modo, se podría considerar que la alta dirección de la seguridad y protección de nuestra unidad será controlada por mí, debido a que estoy en posición de las facultades o conocimientos necesarios sobre la seguridad de la información, mientras que el resto de compañeras de piso serán determinadas como los trabajadores de la empresa que deberán cumplir con las pautas aquí establecidas, con el fin de proteger nuestros activos.

Además, los sistemas administrados por SECUDOMESTIC y los desarrollos de software realizados serán llevados a cabo con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

MATRIZ DE RIESGOS
Las probabilidades de de Amenaza y Magnitud de Daño toman los siguientes valores y condiciones respectivamente…
1 = Insignificante
2 = Baja
3 = Mediana
4 = Alta

De este modo, al introducir los activos dentro del domicilio y determinar las probabilidades de riesgo, nuestra matriz quedaría del siguiente modo:
   ·Bajo Riesgo = 1 – 6 (verde)
   ·Medio Riesgo = 8 – 9 (amarillo)
   ·Alto Riesgo = 12 – 16 (rojo)







En base al color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de información de sufrir un daño significativo, causado por una amenaza, sino también sobre las medidas de protección necesarias. Por ejemplo, se observa que existe un gran riesgo de que los dispositivos sean manoseados por otras terceras personas ajenas a la casa, debido a que es una propiedad en la que pasa mucha gente que es amigo de uno de los residentes, por ende una recomendación de lo mismo se basaría en establecer ciertas reglas entre los compañeros para que no se dejen sus pertenencias en las zonas comunes de la vivienda. Además, el riesgo de los portátiles es muchísimo mayor porque pueden no tener contraseñas y casi siempre se dejan fuera de las habitaciones. 

Entonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar los recursos de una organización, que están más en peligro de sufrir un daño por algún impacto negativo, para posteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superación de las vulnerabilidades y la reducción de las amenazas.
A continuación dejaré la planificación para el sistema de gestión de la seguridad de nuestra casa.



Bienvenidos a mi blog, disfrutad!

Comentarios

Publicar un comentario

Entradas populares de este blog

El modelo de seguridad CIA

Imagen
PRÁCTICAS TEMA 4 Dentro del mundo de la informática, y específicamente, en el ámbito de la seguridad, el modelo CIA es uno de los conceptos más importantes que se deben tener en cuenta. Este se encuentra diseñado con el fin de guiar a las organizaciones, mediante políticas de seguridad cibernética dentro del ámbito de la seguridad informática, es decir, se trata de un modelo que hace referencia a la seguridad cibernética de los usuarios. La ciberseguridad es el conjunto de herramientas, salvaguardias, directrices o conceptos de seguridad que las grandes instituciones pueden utilizar para proteger los activos de la organización y a los usuarios dentro de Internet. De este modo, la ciber seguridad trata de proteger los dispositivos informáticos e individuos que se encuentran conectados a la red, garantizando, así que se alcancen propiedades de seguridad contra riesgos que se puedan producir en el ciber entorno. El modelo CIA (Confidentiality, Integrity and Availability) defiende que para...
Read more »

Análisis forense con Autopsy

Imagen
 PRÁCTICA 12 (2) El objetivo de esta práctica es conocer lo básico sobre el análisis de una imagen de disco con el software libre Autopsy que nos aportará la app de la universidad, myapps. El software Autopsy permite analizar tanto discos duros como teléfonos móviles y es un software de análisis forense de distribución libre, lo cual hace alusión a que es gratuita y nos permitirá localizar muchos de los programas o plugins de código abierto. Durante esta práctica analizaremos las mismas imágenes que analizamos en la práctica de Bulk Extractor, el objetivo es ver las diferencias entre ambos y comprender las ventajas que nos pueden aportar cada uno. EJERCICIO 1 En primer lugar debemos instalar del software de Autopsy con la ejecución del fichero “autopsy-4.5.0-64bit.msi”, pero en mi caso la propia entidad de mi universidad me permite acceder a la aplicación sin tener que descargarla. Una vez abierta la app, creamos un nuevo caso y rellenamos la información del siguiente modo:...
Read more »