Seguridad para PyMEs

Gestin de la seguridad

ESET Latinoamrica: Av. Del Libertador 6250, 6to. Piso Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com

Seguridad para PyMEs

ndice
Introduccin ................................................... 3 Polticas de Seguridad ...................................... 3
Poltica de Seguridad ................................................... 4 Normas y estndares .................................................. 5 Procedimientos .......................................................... 5

Clasificacin de la informacin ......................... 5

Niveles de clasificacin ................................................ 6 Asignacin de dueo de datos ...................................... 6

Acuerdos y contratos ....................................... 7

NDA y SLA .................................................................. 7 Contratacin y desvinculacin de personal .................... 8

Concientizacin y educacin de usuarios ........... 9

Herramientas comunes ............................................... 9

Seguridad para PyMEs

En este primer mdulo del curso de Seguridad para PyMEs, se detallan los elementos ms importantes para comprender la gestin de la seguridad, el proceso necesario para implementar exitosamente controles y medidas de seguridad en la organizacin.

Introduccin
La gestin de la seguridad es el componente clave y primario para un plan exitoso de proteccin de la informacin en una PyME. Sin gestin no hay controles o medidas que provoquen un aseguramiento eficiente de los datos de la organizacin, o se evalen los riesgos a los cuales se est expuesto. Para que esta gestin sea realizada de forma exitosa, debe comprenderse a la seguridad como un proceso dinmico, y trabajar en las siguientes etapas: relevar (anlisis de la situacin), planear (definicin de un plan de controles de seguridad), ejecutar (implementacin de las medidas) y monitorear (evaluar los resultados). Finalmente, comenzar el crculo nuevamente con el relevamiento. Los diferentes elementos que se destacan a continuacin sern utilizados eficientemente si la organizacin, y sus integrantes, comprenden a la seguridad como un ciclo. Para tal fin, es indispensable la colaboracin de mltiples reas, y principalmente la alta gerencia, como responsable final del plan de seguridad.

Polticas de Seguridad
Un programa de Seguridad de la Informacin debe contemplar medidas relacionadas con el personal, de gestin y tecnolgicas. El funcionamiento de la organizacin est directamente relacionado con los componentes informticos y los sistemas de informacin, por lo tanto, aumenta su criticidad en relacin con los resultados de la empresa.

Seguridad para PyMEs

Por tal motivo, un plan de seguridad debe comenzar en los rangos jerrquicos de la organizacin, y ser funcional en todos los niveles de la misma, contemplando la Integridad, Disponibilidad y Confidencialidad de la informacin 1. Para tal fin se definen una serie de documentos que, en conjunto, permiten a cualquier integrante de la organizacin concientizarse respecto de la seguridad de la informacin y conocer qu est permitido y qu no lo est, durante el uso diario de los recursos. Adems, establecen cmo se deben llevar adelante ciertas tareas que involucran el uso de la informacin dentro de la organizacin.

Poltica de Seguridad
Una Poltica de Seguridad es "una declaracin de intenciones de alto nivel que cubre la seguridad de los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se requerirn" 2. Es un documento de alcance global, es decir, su validez debe mantenerse para cualquier integrante de la organizacin. Es una descripcin general de los fundamentos de las medidas de seguridad, qu se desea proteger y cmo se lo desea proteger. Entre otras cosas, una Poltica de Seguridad puede incluir: objetivos y alcance clasificacin de la informacin operaciones permitidas y denegadas con la informacin acuerdos y contratos

Se recomienda que la extensin de este documento no supere las tres pginas. No se deben incluir en una Poltica de Seguridad detalles tcnicos de los procedimientos de uso, ni reglas y/o estndares que se apliquen slo a algunas reas de la empresa. Al ser de alcance global, las Polticas de Seguridad deben ser redactadas con la mayor validez posible en el tiempo, con lenguaje comprensible por cualquier individuo y presentadas con la mayor seriedad y compromiso que la empresa pueda hacerlo.

1 2

Para ms informacin consulte la Gua para el uso seguro de medios informticos de ESET en http://edu.eset-la.com Definido por RFC 1244: Site Security Handbook. J. Reynolds - P. Holbrook. Julio 1991

Seguridad para PyMEs

Es una buena prctica disponer que todos los empleados de la empresa firmen una constancia de haber ledo las Polticas de Seguridad, ya que es una paso ms hacia el conocimiento explicito de las mismas por parte de todos los integrantes de la organizacin.

Normas y estndares
Los estndares son normas que impactan en la operatoria diaria con los recursos de la empresa y el uso de informacin. Pueden ser tanto internos como externos. Entre los estndares internos ms frecuentes se encuentran: Disposicin de hardware por parte de los empleados Software permitido (y prohibido) en el puesto de trabajo Polticas de contraseas y cifrado de informacin

Los estndares externos pueden ser reglamentaciones o legislaciones externas a la empresa.

Procedimientos
Los procedimientos son acciones documentadas que describen paso a paso las tareas a realizar para cumplir con un objetivo. Son tiles para homogeneizar las tareas que involucren la utilizacin de informacin o recursos informticos de la empresa, y minimizar los riesgos que afecten a la seguridad de la misma. Algunos ejemplos de los procedimientos que pueden utilizarse en una PyME son: Cmo configurar una cuenta de correo Cmo conectar una VPN y acceder externamente Cmo realizar el backup de la informacin

Clasificacin de la informacin
En un programa de seguridad es necesario identificar la criticidad de la informacin. Esto permite a la empresa determinar cuntos recursos (tanto econmicos, humanos, como de otra ndole) sern asignados a la proteccin de dicha informacin. Clasificar la informacin de la organizacin es un componente clave para la valorizacin de la misma, tanto por los criterios de asignacin de recursos, antes mencionados, como para la

Seguridad para PyMEs

optimizacin de las medidas de control a implementar para cada tipo de informacin. Cunto ms valiosa sea cierta informacin para la empresa, ms recursos ser posible asignar para su proteccin. Previo a la clasificacin de la informacin, es necesario realizar un relevamiento de la misma, identificando todo dato de valor para la organizacin. En dicha etapa es indispensable la participacin de todos los departamentos, especficamente aquellos individuos con responsabilidades de management sobre las reas. De esta forma, se minimiza la posibilidad de omisin de algn tipo de informacin valiosa y que necesite proteccin.

Niveles de clasificacin
Aunque los criterios para catalogar la informacin pueden ser ms complejos y extensos, en una empresa del tipo PyME se recomienda clasificarla en tres niveles: Confidencial: Informacin slo para uso interno y de carcter restrictivo. Es informacin valiosa que hace a la empresa competitiva. Su divulgacin sin autorizacin puede afectar seriamente a la organizacin. Por ejemplo: una frmula, un cdigo fuente, etc. Privado: Informacin de uso interno de la organizacin. Es informacin sensible y, por lo general, de carcter privado. Su divulgacin puede afectar moderadamente a la organizacin. Por ejemplo: datos financieros, datos mdicos, datos personales, etc. Pblico: Informacin que, aunque su divulgacin no es bienvenida, no implica ningn tipo de impacto en la organizacin. Por ejemplo: listado de direcciones de correo de los empleados.

Asignacin de dueo de datos

El dueo de datos es el principal responsable por la proteccin y el uso que se le de a la informacin. Se debe definir y conocer el dueo de un dato ya que es quien podr determinar para quin debe estar disponible y bajo qu condiciones, a la hora de implementar medidas de seguridad. La definicin de criterios y controles sobre la informacin es realizada en conjunto entre el rea de seguridad y los dueos de datos; aunque tambin es preferible la participacin en la decisin de todas las reas gerenciales, conformando, para tal fin, un comit.

Seguridad para PyMEs

Acuerdos y contratos
En la operatoria diaria de la organizacin, la utilizacin e intercambio de informacin entre todos los actores es comn. Es recomendable, o segn el caso imprescindible, regular de cierta forma la utilizacin de la informacin tanto para personal interno como externo a la empresa. Para este fin se utilizan los acuerdos y contratos. Estos establecen un marco que regula la utilizacin de la informacin, y afecta a todo personal involucrado con la organizacin.

NDA y SLA
Entre los acuerdos y contratos utilizados en un proceso de Gestin de la Seguridad de la Informacin, se destacan como recomendados para su utilizacin en una PyME, el NDA (Nondisclosure agreement en espaol, Contrato de No Divulgacin) y el SLA (Service Level Agreement en espaol, Contrato de Nivel de Servicio). Un NDA es un contrato entre al menos dos partes, que establece las condiciones para compartir informacin confidencial y las restricciones para su uso pblico. Las principales ventajas de firmar un Contrato de No Divulgacin son: Asegura el conocimiento de todas las partes involucradas en operaciones diarias de la empresa, respecto a las restricciones en el uso de informacin confidencial. Establece un documento (contrato) firmado por ambas partes sobre las condiciones. Este documento funciona como apoyo ante cualquier inconveniente suscitado entre las partes respecto al manejo de informacin confidencial. Se deben excluir de este documento los procedimientos, condiciones y reglamentaciones del uso de los recursos y de la informacin en la operatoria diaria. Esta informacin debe incluirse en las Polticas de Seguridad. Un SLA es un contrato entre la empresa y un proveedor de servicio donde se establece la calidad del servicio a contratar. Las principales ventajas de firmar un Contrato de Nivel de Servicio: Establece niveles mnimos de calidad de servicio que el proveedor se compromete a respetar. Brinda una herramienta de apoyo ante el incumplimiento de los niveles mnimos de calidad de servicio por parte del proveedor.

En PyMEs ambos contratos son comnmente utilizados para los siguientes fines:

Seguridad para PyMEs

Al ingresar un nuevo empleado a la organizacin, ste firma un NDA con la empresa respecto al uso de informacin confidencial de la organizacin o de sus clientes, que el empleado reciba. Si la empresa contrata servicios de un proveedor que dispondr de informacin confidencial, es una buena prctica firmar un NDA, estableciendo las condiciones y compromisos que este tendr, respecto a la informacin que obtenga de la empresa. Si la empresa contrata servicios de un proveedor, es una buena prctica firmar un SLA, especficamente cuando se trate de proveedores que dispondrn, de una u otra forma, de informacin confidencial de la organizacin o que podran generar prdida de informacin en el caso de incumplimiento del servicio. Por ejemplo: Proveedores de Internet, Servicios de Hosting, Data Centers, Servicios de Soporte Tcnico, etc.

Al momento de la redaccin de los acuerdos o contratos, la empresa debe asegurar que su contenido no se contradiga con la legislacin laboral y en materia de proteccin de datos existente en el pas.

Contratacin y desvinculacin de personal

Las reas de Seguridad, Recursos Humanos (RRHH), Sistemas, y otros cuya competencia se determine, deben establecer los procedimientos necesarios para asegurar el resguardo de la informacin en los procesos de contratacin y desvinculacin de personal. Previo a la contratacin de personal, es necesario verificar las referencias laborales y educativas de los candidatos. Eventualmente, segn las caractersticas de la organizacin, pueden revisarse antecedentes penales, registros fiscales, huellas en la Web, etc. La realizacin de este tipo de tareas es frecuentemente relegada. Sin embargo, su concrecin est originada exclusivamente en la necesidad de minimizar riesgos, cuyas consecuencias pueden ser costosas para la organizacin. Definida la contratacin de nuevo personal, las tareas principales a realizar son: Firma de NDA entre la empresa y el empleado. Definicin y configuracin de dispositivos de acceso fsico a la organizacin. Definicin y configuracin de credenciales de acceso y permisos a los sistemas de informacin.

Ante la desvinculacin de un empleado de la organizacin, tambin es necesaria la intervencin de las reas de Seguridad y Sistemas a fin de resguardar la informacin. Para poder realizar estas tareas en tiempo y forma, el rea de RRHH debe establecer los procedimientos para informar debidamente al resto de las reas involucradas, sobre la desvinculacin de personal.

Seguridad para PyMEs

Ante este caso, las principales tareas a realizar son: Eliminacin (o deshabilitacin) de permisos de acceso fsico a las instalaciones de la empresa. El empleado debe entregar todo tipo de llave, tarjeta o dispositivo fsico que haya obtenido durante su estada en la organizacin. Eliminacin (o deshabilitacin) de las credenciales del usuario y todos los permisos de acceso a los sistemas de la organizacin, incluidas los sistemas de acceso remoto y dispositivos mviles. Modificacin de claves de acceso compartidas a las cuales el usuario haya tenido acceso.

Concientizacin y educacin de usuarios

La creacin de un programa de seguridad en la empresa contempla la implementacin de una serie de medidas tecnolgicas, y la definicin de polticas y procedimientos de gestin de los controles a implementar. Sin embargo, un tercer componente brinda apoyo a cualquier medida y/o control de seguridad: la concientizacin y educacin de los usuarios. El xito de un programa de seguridad es ms probable si se cuenta con el compromiso del usuario. Ninguna herramienta (Polticas de Seguridad, configuracin de puestos de trabajo, etc.) aporta tanto para involucrar al usuario, como la educacin y concientizacin de los integrantes de la empresa.

Herramientas comunes
Como instrumentos de la seguridad, las herramientas que pueden utilizarse para concientizar a los integrantes de la organizacin son variadas. Entre las ms importantes se encuentran: Contenidos para Intranets: conviene publicar en las redes internas contenidos explicativos y procedimientos asociados a seguridad. Opcionalmente se pueden utilizar herramientas 2.0 como blogs o wikis. Capacitaciones: brindar charlas y capacitaciones desde el rea de seguridad permite afianzar las medidas y controles implementados. Por otro lado, un marco conjunto

Seguridad para PyMEs

10

permite afianzar las relaciones entre quienes implementan las medidas de seguridad y quienes deben respetarlas. Mensajes de login: consiste en informar al usuario respecto a buenas prcticas de seguridad cada vez que ste inicia sesin. Es una herramienta de fcil implementacin en entornos con dominios en red (Active Directory en entornos Windows, LDAP en Linux, y otros Sistemas Operativos). Wallpaper: consiste en forzar un fondo de pantalla en las estaciones de trabajo de los usuarios, indicando conceptos importantes relacionados con la seguridad. Es una herramienta de fcil implementacin en entornos con dominios en red. Posters: colocar a lo largo de las instalaciones de la organizacin posters o afiches alusivos a las buenas prcticas de seguridad. En este tipo de medidas, la informalidad y el humor permiten generar mayor empata con los usuarios. Casos de estudio: trabajos grupales con casos de estudio (reales o ficticios) son propicios para conocer la opinin y postura de los usuarios respecto a la seguridad en la organizacin. Adems, fomentan el debate y el intercambio de ideas. Es recomendable ajustar los planes de educacin y concientizacin de acuerdo con las caractersticas de la empresa y el nivel o conocimiento de los usuarios. Incluso es provechoso realizar las campaas segn las reas involucradas y el tipo de usuario que la compaa posea. Adems, no es taxativamente necesario abarcar todos los puntos aqu descritos, ni planificar un plan de educacin a largo plazo. Cada accin, por mnima que sea, ser positiva para la gestin de la seguridad.

Seguridad para PyMEs

11

Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados. Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC y ESET, spol. s.r.o. ESET, 2012 Acerca de ESET Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (Mxico). Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploracin y un uso mnimo de los recursos. Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento proactivo de variadas amenazas informticas. La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio. Para ms informacin, visite www.eset-la.com