22 oct 2008

Standares, normas, procedimientos y políticas de seguridad

Vía ISO27002.es he podido dar con la Web Open Directory - Computers: Security: Policy: Sample Policies que contiene un buen catálogo de documentos sobre políticas de seguridad.

Algunos de los documentos que se pueden encontrar son:
  • Politicas de Anti-Virus
  • Políticas de Application Service Provider
  • Políticas de Backup
  • Políticas de Certificación and Acreditación
  • Políticas de Criptografía
  • Políticas de Clasificación de Información y de dueños de datos
  • Políticas de Base de Datos
  • Políticas de Disaster Recovery Plan
  • Políticas de DMZ
  • Políticas de uso del correo electrónico
  • Políticas sobre leyes y ética
  • Políticas del uso de Extranet
  • Políticas de Privacidad (HSPD-12) Privacy Policy - Sample privacy policy including Privacy Act systems of records notices, Privacy Act statements and a privacy impact assessment, designed to satisfy the requirements of HSPD-12 “Policy for a Common Identification Standard for Federal Employees and Contractors”
  • Políticas de Identificación and Autenticación
  • Políticas del uso de Internet
  • Políticas del uso del Modem
  • Políticas del uso de la red (Network)pported by subsidiary policies. [PDF]
  • Políticas de Password
  • Políticas de Personal
  • Políticas de seguridad física
  • Políticas de Privacidad
  • Políticas de Acceso remoto
  • Políticas de utilización de recursos
  • Políticas de auditoría
  • Políticas de IT en general
  • Políticas de acuerdos con terceras partes
  • Políticas del uso de VPN
  • Políticas del uso de Wireless
En Guía para la elaboración del marco normativo de Seguridad ISO 27002 ya comenté las diferencias entre Política, Norma y Procedimiento aunque en ingles el término "policy" suele tener un carácter más general. Es habitual encontrar "policies" para todo, aunque muchas veces estos documentos tienen el objetivo de establecer regulaciones y por tanto deberían entenderse como normas.

Aumenta esta confusión además que en la norma ISO 27002 aparezca como control en el punto 5.1.1. la famosa "política de seguridad de la información".
En cualquier caso, el catálogo de documentación contiene una buena recopilación de diferentes enfoques a la hora de establecer un marco normativo, lo que suele venir bien cuando se anda intentando escribir estas cosas.

Como reflexión final, todo documento que intenta ser una política, norma o procedimiento tiene que tener un objetivo base "Que pueda ser algo cumplible". No se trata por tanto de hacer algo que quede bien o que sea completo, sino algo que sea real, asumible y cumplido por el área regulada.

Fuente:
http://sgsi-iso27001.blogspot.com/2008/10/modelos-de-polticas-de-seguridad.html
http://sgsi-iso27001.blogspot.com/2008/01/gua-para-la-elaboracin-del-marco.html
http://www.dmoz.org/Computers/Security/Policy/Sample_Policies/

Suscríbete a nuestro Boletín

2 comentarios:

  1. Hola, como estan? Soy relativamente nuevo en el tema de la Seguridad Informatica, y quiero hacerles una consulta, segun las buenas practicas que sugieren muchas empresas de software, los productos deben instalarse utilizando cuentas genericas, como por ejemplo Admin, Informix, etc.
    Pero las auditorias hacen observaciones sobre el uso de cuentas genericas.
    ¿Quisiera saber cual es vuestra opinion al respecto sobre el uso de dichas cuentas?

    Desde ya muchas gracias.

    Contacto: [email protected]

    ResponderBorrar
  2. Juan Carlos, no soy tampoco de los más experimentados pero lo que creo que te han sugerido los auditores es basados en las buenas prácticas que dice que hay que restringir el uso de super usuarios para ocasiones extremas.
    Es por eso que por ejemplo el usuario Root debe tener su password debidamente securitizado y aislado para evitar su uso.
    Lo que se recomienda usar es una definición de usuarios con determinados privilegios la cual uno puede mediante el uso de su propio usuario hacer un "sudo" al usuario y realizar las tareas pertinentes.
    De ésta forma se logra tener una pista de auditoría efectiva a la hora del seguimiento debido a que se tendrá que usuario logueado, asumió otro perfil y realizó determinada operación.
    Creo que por ese lado puede venir la observación en la auditoría.
    Espero te sirva la información.

    Saludos.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!