En una empresa es muy importante tener unas políticas de seguridad que aseguren el buen trabajo y labor de los trabajadores. Además, solo se debería permitir el acceso a determinadas personas. En este artículo veremos cómo diseñar e implementar políticas de seguridad que nos permiten asegurar la privacidad de la información que existe en nuestra empresa.
Primeros pasos en la seguridad de una empresa
En primer lugar, vamos a hablar de un pasos iniciales que toda empresa debería llevar a cabo. Serían los siguientes
Control de acceso
En este caso se garantiza que la persona que está viendo un recurso de la empresa tiene permisos para hacerlo. No es una buena idea que haya muchas personas con permisos que no deberían tener. Lo ideal es que cada departamento tengan en la red una carpeta compartida que solo pueda ser vista por los miembros de ese departamento.
Simplicidad
Cuanto más complejo sea un sistema más difícil es protegerlo. Se debe diseñar el sistema de manera sencilla y obtener resultados adecuados sin sobrecargar el sistema con programas redundantes.
Seguridad basada en host de red
Los equipos informáticos en una red poseen unos servicios que pueden utilizar y que pueden permitir difundir ataques si un equipo ha sido vulnerado. Lo ideal es bloquear puertos e impedir el inicio de determinados servicios. Para el bloqueo de puertos debemos utilizar un cortafuegos.
Seguridad basada en la red
Este tipo de seguridad se basa en el uso de cortafuegos físicos. Se controla el acceso a los equipos (host) desde la red y se impide cualquier acceso no permitido.
Check Point
Se trata de un punto de control. Un equipo o host por el que pasa todo el flujo de información y se comprueba que no haya anomalías en los sistemas.
Defensa en profundidad
Se trata de emplear todos los medios técnicos y humanos disponibles para asegurar que nuestros sistemas estén listos y sin problemas.
Alcance de la política de seguridad
Para definir la política de seguridad de una empresa deberemos responder a estas 3 preguntas:
- ¿Qué hay que proteger?
- ¿De qué hay que protegerlos?
- ¿Hasta donde podemos proteger?
Una vez que tengamos las tres cuestiones iniciales, podemos proceder al diseño de las medidas de seguridad a implementar.
Elementos a proteger
Se dividen en cuatro categorías:
- Hardware, son los elementos físicos de un sistema informático, lo que vemos con los ojos.
- Software, aplicaciones lógicas implementadas en el hardware.
- Datos, la información, lo más importante que tiene una compañía. En este caso deberemos proteger contra malware a todos los host de la red. Además deberemos hacer copias de seguridad de esos y por último, deberemos de implementar mecanismos criptográficos para que los datos sean confidenciales.
- Comunicaciones, la información no se almacena aisladamente. Viaja a través de toda la red corporativa y por tanto, es de vital importancia elaborar un plan de protección de las comunicaciones.
Grado de protección
Cuanto debemos invertir en proteger un elemento del sistema va a depender de su función. Si es un ordenador clave, la red pasa por él, debemos invertir mucho tiempo y dinero en tenerlo listo y preparado para cualquier evetualidad. Si es un equipo de un puesto intermedio/bajo es posible que no sea necesario medidas activas de protección.
Relación inversión/beneficio
Los primeros pasos en el análisis de seguridad se basan en identificar a qué amenazas están expuestos los elementos del sistema, analizar que consecuencias tendrías el quebrantamiento de su seguridad y medir la probabilidad de que ocurran estos incidentes. Por tanto, queremos una política de seguridad que permite minimizar el impacto de posibles amenazas.
Hay tres tipos de herramientas que van a actuar como mecanismos de seguridad:
- Preventivas. Aumentan la seguridad de un sistema mientras se trabaja en él. Un ejemplo es el uso de contraseñas y usuarios.
- Detectoras. Son aquellos que se emplean contra la violación de seguridad o intentos de ella. En este caso hablaríamos de antivirus, antimalware, programas anti espía, etc..
- De recuperación. Se recupera nuevamente un sistema vulnerado tras cargar una copia de seguridad que hayamos hecho previamente.
Objetivos de la política de seguridad
Los objetivos de las políticas de seguridad son cuatro:
Confidencialidad
La confidencialidad se basa en que solo las personas que tienen permisos o las máquinas autorizadas tienen acceso a determinada información. Se basa en tres mecanismos:
- Autenticación. Verifica la identidad de un usuario o equipo, normalmente mediante usuario y contraseña en el primer caso y registro en la red en el segundo caso.
- Autorización. Los usuarios van a tener diferentes permisos sobre la información de la red. Estos permisos son de lectura (un usuario puede leer un documento), modificacción (un usuario puede leer y modificar un documento) y ejecución (un usuario tiene todos los permisos sobre un elemento).
- Cifrado. La información viaja cifrada, de forma que si alguien intercepta una comunicación no verá la información original sino un texto ininteligible.
Disponibilidad
Los usuarios de una red puede acceder a documentos con normalidad si tienen permisos para hacerlo.
Integridad
Los datos quedan almacenados tal y como espera el usuario y no han sido alterados sin su consentimiento.
No repudio
Un usuario no puede negar la validez de un documento si ha sido enviado por él mismo. Puede haber usurpaciones de identidad pero si alguien envía un correo desde una cuenta de correo asociada a una persona, ésta no puede negar que ese correo lo ha enviado él.