sábado, 21 de junio de 2008

SEGURIDAD DE LA INFORMACIÓN DEL ESTADO PERUANO

PLANEACIÓN DE LA TECNOLOGÍA DE LA INFORMACIÓN

Muchas organizaciones se han resistido a invertir en tecnologías de seguridad de la información no planificando el desarrollo de estos recursos, y en otros casos existe el paradigma referido a la seguridad informática, en el sentido de que la información se encontrará vulnerable por la presencia creciente de intrusos cibernéticos, si hacemos pública la información.

La planeación general de la seguridad de la información, debe ser parte de los objetivos de la Institución debiendo tener en cuenta lo siguiente:

El plan debe fluir directamente de los planes operativos de la organización.
El plan debe describir los requisitos empresariales que satisfarán las metas operativas: no es una lista de deseos computarizada.
Hay que concentrarse en lo que se necesita hacer, no en cómo se hará. Por lo común hay muchas maneras de satisfacer un requisito, y entre ellas hay grandes diferencias en costo.
Debe haber una justificación clara para cada gasto que se haga. Y, desde el principio, hay que incluir la seguridad en el plan de tecnologías de información.

Las arquitecturas de hardware y software, deben mantenerse simples.

PROPUESTA DE POLÍTICAS

Es una forma de comunicarse con los usuarios y los Jefes. Las Políticas de Seguridad de la Información establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos importantes de la organización.

Es una descripción de los que deseamos proteger y el por qué de ello. El proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.


2.1. Planificar la seguridad
· Se realiza la identificación actual de los recursos informáticos, los alcances de los servicios que estos brindan a los usuarios a nivel de aplicaciones, con lo cual se hace una proyección en base al crecimiento de los servicios que se ofrecen, identificando los requerimientos necesarios para implementar y controlar el funcionamiento del mismo.

2.2. Administración del inventario
a. En el momento en que se recibe un equipo o componente electrónico, debe establecerse la configuración de cada pieza del equipo físico y cada programa de computadora debe quedar apropiadamente registrado.
b. El inventario contendrá, una descripción detallada de cada uno de los componentes del sistema, tanto equipo físico como programas de computadora, y de dónde están ubicados (hasta llegar al número de la oficina y escritorio).
c. Utilizar cerraduras y tornillos especializados para cerrar las estaciones de trabajo. Con esto se reduce el robo o la manipulación.
d. Se deberán informar a la alta dirección, de todos los problemas que parezcan sospechosos para proceder a investigarlos.
e. Dividir en compartimientos el almacenamiento y localización de los suministros y activos cibernéticos, según su costo o la importancia que tengan para la misión de la agencia. A menudo se descuida este aspecto.

2.3. Alinearse a la arquitectura de información de la institución
Esta política define la necesidad de considerar dentro de la infraestructura física y funcional de los sistemas de información, el desarrollo de un plan de seguridad en función al crecimiento de esta arquitectura.

2.4. Tomar control de los riesgos
Los riesgos son constantes y se necesita tener los mecanismos necesarios para analizarlos y posteriormente aplicar las estrategias precisas frente a estos riesgos, y no esperar a que ocurran para construir una solución.

2.5. Proteger la privacidad
Es necesario el establecimiento de mecanismos que ayuden a proteger la identificación de las personas, que realizan comunicación para acceder al uso de recursos de información de las entidades públicas.

2.6. Mantener estándares de privacidad
Son las recomendaciones técnicas que facilitan una mejor administración y crecimiento de los recursos informáticos de información a nivel nacional.

2.7. Mantener siempre para los usuarios la implementación de los planes de seguridad

Si el sistema es muy complicado, los usuarios lo evitarán o tratarán de darle un rodeo, con lo que se anularán las medidas de seguridad y se reducirá su utilidad. Las medidas de seguridad modernas pueden ser efectivas sin interferir.

2.8. Desarrollar y cumplir de forma preactiva política, procedimientos y sanciones

Se deben establecer métodos para tener la certeza de que las políticas de seguridad establecidas, se están cumpliendo correctamente.

2.9. Entrenamiento constante en el uso del plan de seguridad de la institución

Consiste en crear formas que aseguren la continuidad de la capacitación y difusión de las políticas de seguridad en todos los niveles de una institución, desde los directivos hasta los operativos.


2.10. Segmentar la información compartida, los sistemas y los usuarios

Esta política tiene la finalidad de proteger apropiadamente la información y los sistemas de acuerdo con su valor.

2.11. Documentar toda la información relevante al tema de seguridad en las instituciones

Esta política consiste en documentar todos los procesos y configuraciones necesarias referidas a temas de seguridad de la información que se implementen en una institución, es decir desde los manuales hasta los procedimientos de aplicación, configuraciones, pruebas realizadas, experiencias obtenidas, entre otros. Sin la respectiva documentación no se tendrá el éxito esperado para lograr la seguridad de la información de una institución.


2.12. Probar, auditar, inspeccionar sitios e investigar continuamente y al azar.

La seguridad de la información es una actividad constante y necesita del establecimiento de acciones continuas, por ello es necesario tomar en consideración las siguientes acciones: