Vigilando los sistemas
Por una correcta Política de Seguridad
La mayor parte de los responsables de seguridad de las empresas se tienen que preocupar no sólo de asegurar sus servidores frente a agresiones externas e internas, sino de trabajos que exceden de sus funciones. Normalmente por falta de presupuesto, o de una mala asignación de las funciones, la figura del responsable de seguridad se ve desvirtuada. La seguridad es un proceso continuo que requiere tiempo, y en el que normalmente no se invierte lo necesario. Según Donald Bennett de Cisco Systems “el problema es que todavía se requiere una mayor labor de divulgación, ya que muchas personas piensan que con un firewall tienen todo resuelto”.
Y precisamente éste es el problema con el que nos encontramos. Si bien un firewall soluciona muchos problemas, con otros no sirve en absoluto. Si permitimos, por ejemplo, que alguien visite nuestro sitio web, estamos expuestos a lo que el Instituto Sans y el FBI consideran los tres fallos de seguridad más importantes si usamos tecnología Microsoft sin la correspondiente protección. Por supuesto, esto mismo se puede dar en cualquier servicio ofrecido al usuario y en cualquier sistema operativo. Por esta razón, y para ayudar en su tarea a los responsables de seguridad de las empresas, estas dos entidades han elaborado la lista con las 20 amenazas de seguridad mas peligrosas. De nuevo, la seguridad es un elemento cambiante, que requiere de un continuo esfuerzo.
Por esto, es muy importante tener desde el primer momento diseñada una correcta política de seguridad, que permita que los diferentes elementos que la conformen sean estables e independientes entre sí, pero por supuesto no dejando de lado la robustez imprescindible que necesita.
Una política de seguridad es una guía que establece una serie de principios básicos que nos ayudarán a abordar los temas referentes a la salvaguarda de la información de la empresa. Establece la adecuada forma de actuación del personal en cada caso, según los recursos de que se disponga. Así, el resultado final de la política debe determinar lo que debe ser protegido y cómo cada entidad individual tiene su parte en ello, más que el método técnico para realizarlo. Esto último se realizará en los procedimientos de seguridad, que nos dicen como proteger los recursos, y los diferentes mecanismos para implementarla.
Los puntos a definir en una política de seguridad deben ser: determinación del porqué se necesita, identificación de los recursos a proteger, determinación de posibles riesgos, modelo de confianza para la política, responsabilidades de los usuarios respecto a la información a la que tienen acceso, consecuencias de las rupturas y del no cumplimiento de la política
Erróneamente pudiera dar la sensación de que no es necesario ningún tipo de seguridad, o que se puede gestionar sobre la marcha. Hay un sinfín de casos particulares que deberían estar englobados en la política de seguridad, de forma que se de respuesta directa o indirecta a preguntas sobre las que puede que nadie haya pensado antes: ¿se pueden compartir cuentas de usuario entre varias personas?; ¿puede una secretaria compartir la cuenta de un directivo para gestionar su correo?; ¿y cuando surja un proyecto en común entre dos empleados?; ¿de qué forma se protegen los datos de la compañía?; cuando un empleado se va, ¿qué ocurre con sus cuentas y sus datos?
No se puede definir una política de seguridad sin saber que decisiones tomar (o no) frente a un incidente. Por ello, es imprescindible el segundo paso, identificar los activos más valiosos para la empresa. Algunos son evidentes, como las bases de datos, el hardware o las copias de seguridad. Otros lo son menos, como los propios empleados.
Un buen ejemplo de las características que toda buena política de seguridad ha de contemplar sería: fácil mantenimiento e implementación, aceptación de posibles fallos y subsanación de errores, así como una clara definición de las áreas de actuación de cada cargo.
La política de seguridad ni es, ni debe ser nunca un documento estático. En una política tan restrictiva que no permite utilizar los sistemas para lo que fueron diseñados, habría que rebajar el grado de seguridad hasta que su uso fuese aceptable. Asimismo, si la seguridad es tan laxa que nos encontramos en un claro peligro potencial, deberíamos aumentar los niveles de seguridad, restringiendo hasta llegar a un punto aceptable.
Luis Cembreros Bondi, Director Comercial de Axioma