Plan de seguridad Informática.
Imagen creada con herramienta de inteligencia artificial.
Puede escuchar el contenido de la entrada aquí. Fue creado con una voz de inteligencia artificial. Tiempo aproximado: 8 minutos.
El Plan de seguridad de las TIC (PSTIC) es la expresión más acabada que sustenta un sistema de gestión de la seguridad de la información (SGSI) y tiene como finalidad concentrar el mandato de la organización para prevenir los incidentes que asechan en su accionar.
Es por ello, que es un documento de trabajo y conocimiento de todos en una institución. Solo así, los usuarios de las TIC estarán en condiciones de actuar en concordancia con los objetivos de protección en la organización.
El PSTIC, también conocido como Plan de Seguridad Informática (PSI) es una estrategia de prevención ante incidentes. En el se exponen los mecanismos para evitar, mitigar, enfrentar o trasladar efectos negativos y lograr el restablecimiento de los procesos vitales luego de un incidente.
Para prevenirlos se establecen acciones que se anteponen a posibles amenazas. Por ello, su punto de partida, es un estudio de vulnerabilidades, para enfocar el trabajo en los riesgos probables de la organización para prevenir las incidencias.
La tenencia del PSTIC es obligatoria a partir de lo expuesto en el artículo 18 del decreto 360/2019 establece su elaboración sobre la metodología que contiene el anexo de la resolución 129 del propio año del MINCOM.
Para iniciar el proceso se realiza un análisis de riesgos, cuya gestión se desarrolla a través del PSTIC. Sin embargo, para comenzar los trabajos deben estar claras las respuestas a los siguientes aspectos:
- qué se trata de proteger
- de qué es necesario protegerse,
- cuan probables son las amenazas,
Solo así se podrá desarrollar un plan que contenga los controles a implementar (políticas, medias y procedimientos) para proteger los bienes informáticos de forma razonable y rentable.
Y realizar un último momento en el ciclo la evaluación y perfeccionamiento de los procesos ante cada debilidad o vulnerabilidad que sea detectada.
Pero el problema no termina ahí, sino que vuelve a iniciarse y por ello el PSTIC es un documento en constante perfeccionamiento.
El PSTIC posee una estructura definida en la norma legal antes mencionada del MINCOM:
Alcance. Ubica los límites de acción de plan en el orden físico y lógico, en resumen su entramado e interrrelaciones.
Caracterización del sistema informático. Permite un conocimiento general de la organización y los recursos de que dispone para cumplir su misión con el sustento de las TIC.
La caracterización del sistema informático es mas que una descripción de cuantos servidores, activos, swichts, sistemas operativos y de aplicación existen en la red, es más que un inventario, porque tiene la función además de conocer estos datos, de mostrar las interrelaciones de todo el sistema, es también un análisis de la estructura física y lógica de la red.
Resultado del análisis de riesgos. Puntualiza las áreas que resultan críticas y con mayor nivel de importancia en la protección por el nivel de incidencia de los riesgos analizados.
Políticas de seguridad informática. Expresan el mandato de la organización para garantizar la seguridad de la información, o sea, el Qué debe ser protegido, Qué es más importante, Qué debe ser protegido, Qué es permitido y qué no lo está y Qué tratamiento dar a los problemas de seguridad.
Responsabilidades. Especifica las obligaciones de directivos, especialistas y del personal en general con respecto a la seguridad de las TIC.
Medidas y procedimientos de seguridad informática. Detallan la forma en cómo se cumplen los mandatos de la organización (políticas) para garantizar la seguridad de la información ante las amenazas y riesgos.
Son el mecanismo a través del que son definidos de manera clara cómo, cuándo, quien y donde se cumplen las políticas establecidas en el PSTIC. Por ende, no hay política sin medidas y procedimientos, ni medidas y procedimientos que no se sustenten en una política.
Las medidas no serán NUNCA una aspiración y su sustento tiene que ser real y se establecen para que sean redundantes, por si una falla otra resuelva la situación.
Anexos del plan de seguridad informática. Establecen los controles documentales que deben ser utilizados en la organización para sustentar la seguridad de la información.
Pero como se mencionó antes, de nada vale la perfección del documento, si no se conoce por los usuarios que interactúan con las TIC, porque ese conocimiento marca el modo de actuación de los usuarios de las TIC desde la prevención, ante cada situación de las que se describe de antemano en el PSTIC.
Este documento organiza las medidas y procedimientos en secciones que hacen más comprensible su organización:
- Clasificación y control de bienes.
- Personal.
- Seguridad física y ambiental.
- Seguridad en operaciones.
- Identificación, autenticación y control de acceso
- Seguridad ante programas malignos.
- Respaldo de información.
- Seguridad en redes.
- Gestión de incidentes de seguridad.
Estas secciones a su vez se orientan las acciones en el sentido de la prevención, la detección y la recuperación.
Por ejemplo, para la prevención se establece que las contraseñas son intransferibles y secretas. Sin embargo, puede que exista una filtración por un descuido del usuario al seleccionar la opción «recordar» en el navegador.
Puede que se produzca una suplantación de identidad, puede ocurrir también que la entregue en respuesta a un correo de phishing.
Esto implica la necesidad de establecer acciones para:
Educar al usuario en que las contraseñas son intrasferibles y no se entregan a nadie por ninguna vía.
Sistema de detección y prevención de intrusos que permita detectar tráfico anormal en el correo y la navegación.
Acciones para evitar que se continúe utilizando indebidamente la credencial usurpada.
Análisis y solución del incidente con el usuario.
Esto muestra que el PSTIC es expresión de las buenas prácticas, que se sustentan en los estándares internacionales. En el caso de Cuba, giran en torno a las normas ISO de la serie 27000, que marcan las maneras de actuar para garantizar la seguridad de la información.
Estas son razones para afirmar, que el PSI es un documento de estudio obligatorio para todas las personas que interactúan con las TIC en una organización, solo así se podrá conocer los procedimientos a ejecutar en cada situación y que está permitido dentro del sistema informático de la entidad.
En el PSTIC de la UO se establece como política la obligatoriedad de las salvas documentadas de la información. En dicho documento se establecen las acciones que norman el proceso de preparación, realización y verificación, que tienen una esencia preventiva. Pero a su vez hacen posible, ante la detección de un incidente de pérdida de información, desarrollar la recuperación de esta.
Es obligatorio realizar la notificación de los incidentes a las autoridades en ciberseguridad y los decisores de la institución. Este como se explicara en la entrega anterior tiene como objetivo la prevención, al aprender de los sucesos ocurridos.
Se pudieran anotar muchos aspectos que están contenidos en el PSTIC sobre acceso al sistema informático, uso de antivirus, control a través de las trazas o las necesarias medidas de ahorro energético, pero todo tributa a la prevención y pueden comparase con lo establecido en los temas y controles de la norma ISO 27002 que es expresión de buenas prácticas y prevención.
El intento de agrupar en este breve espacio, todo el contenido del PSTIC, es una misión imposible. Solo la realización de un estudio concienzudo que garantice el conocimiento de este documento, será garantía de un modo de actuación desde la prevención en el ámbito de las TIC.