Sean todos bienvenidos una vez más a Código Seguro, en el día de hoy mis estimados lectores, este autor les hablará acerca de una de las recomendaciones dadas en varios artículos anteriores de la columna, me refiero en este caso al Plan de Seguridad de las TIC que debe existir en cada una de las organizaciones del país. Un plan de seguridad informática, como también es conocido, es fundamental para proteger los sistemas y datos de una organización contra posibles amenazas de ciberseguridad en las organizaciones.
En Cuba según el Decreto 360 “Sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional” se establece en su Artículo 19 que el diseño del Sistema de Seguridad Informática y la elaboración del Plan de Seguridad Informática de cada entidad se realizan en correspondencia con las metodologías establecidas por el Ministerio de Comunicaciones. Según este decreto el Plan de Seguridad de las TIC de una organización es el documento que incluye, describe y aplica las políticas, medidas y procedimientos diseñados para esta a partir de los riesgos estimados, así como establece las responsabilidades de los diferentes actores que participan en su ejecución.
Su correcta implementación garantiza la seguridad tanto de la información de los consumidores como de las empresas. Carecer de un plan de seguridad informática expone a riesgos de fuga de información y, en algunos casos, a responsabilidades legales. Es crucial priorizar acciones para enfrentar y prevenir ataques de terceros, como hackers y ciberdelincuentes.
Según la metodología aprobada por el MINCOM en su resolución 129/2019 entre los elementos clave que se deben considerar para la elaboración de dicho Plan se encuentran:
- Alcance del PSI: Este puede variar según las necesidades y características específicas de cada organización. Expresa el radio de acción que abarca el Plan, de acuerdo con el Sistema Informático objeto de protección, para el cual fueron determinados los riesgos y diseñado el Sistema de Seguridad.
- Caracterización del Sistema Informático: En este apartado se describe de manera detallada el sistema informático de la entidad, además se precisan los elementos que permitan identificar sus particularidades y las de sus principales componentes: la información, las tecnologías de información, las personas y los inmuebles, y se considera entre otros: Infraestructura tecnológica, bienes informáticos, su destino e importancia, aplicaciones en explotación, entre otros.
- Resultados del análisis de riesgos: El análisis de riesgos es un proceso continuo. Los resultados deben revisarse y actualizarse regularmente para mantener la seguridad del sistema. El análisis revela las posibles amenazas a las que está expuesto el sistema informático. Estas pueden incluir ataques de malware, acceso no autorizado o pérdida de datos. Por otra parte se identifican las debilidades en el sistema, como configuraciones incorrectas, software desactualizado o falta de cifrado. Finalmente los riesgos se clasifican según su impacto y probabilidad. Esto ayuda a enfocar los esfuerzos en las áreas más críticas.
- Políticas de Seguridad Informática: Son un conjunto de normas, reglas y directrices que permiten garantizar la confidencialidad, integridad y disponibilidad de la información, al tiempo que minimizan los riesgos asociados al uso de la tecnología en una organización. Estas políticas se desarrollan a alto nivel y luego se detallan en procedimientos e instrucciones técnicas para su implementación. Se definen los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus características, de conformidad con la política vigente en el país en esta materia y el sistema de seguridad diseñado.
- Responsabilidades: Se describe la estructura concebida en la Entidad para la gestión de la Seguridad Informática, se especifican las atribuciones, funciones y obligaciones de las distintas categorías de personal, que incluyen: directivos a los distintos niveles; jefes y especialistas de informática; administradores de redes, sistemas y aplicaciones; especialistas de seguridad informática y de seguridad y protección y usuarios comunes de las tecnologías de Información.
- Medidas y Procedimientos de Seguridad Informática: Se describe cómo se implementan, en las áreas a proteger, las políticas que han sido definidas para la entidad, en correspondencia con las necesidades de protección en cada una de ellas, de acuerdo con sus formas de ejecución, periodicidad, personal participante y medios. Se describen por separado los controles de seguridad implementados, en correspondencia con su naturaleza, se combinan el empleo de los recursos humanos y de los medios técnicos con las acciones que son realizadas.
Las diversas acciones desarrolladas para prevenir intrusiones o mitigar el impacto de las violaciones exitosas se denominan controles o contramedidas. En vista de la variedad de métodos utilizados por los atacantes para infiltrarse en las infraestructuras informáticas y perturbar las operaciones, se desarrolla una amplia gama de contramedidas diferentes. Algunas de ellas se utilizan para limitar el acceso físico a una infraestructura informática (por ejemplo, sistemas de entrada con llave, escáneres de retina o de huellas dactilares), otras bloquean el acceso o protegen la privacidad en las redes (por ejemplo, cortafuegos, cifrado de datos o escáneres de virus y programas espía), mientras que otras contramedidas están diseñadas para permitir la recuperación tras una intrusión con éxito (por ejemplo, copias de seguridad frecuentes de los archivos importantes). De forma general se dictaminan medidas en función de la clasificación y control de los bienes informáticos, del personal, la seguridad física y ambiental, la seguridad de operaciones, la identificación, autenticación y el control de Acceso, la seguridad ante programas malignos, el respaldo de la información, la seguridad en redes, y la gestión de incidentes de Sseguridad.
- Anexos: Se anexa el listado nominal de Usuarios con acceso a los servicios de red, los registros. Además es importante anexar los documentos de registro que se determinen a partir de los eventos y procedimientos que demanden dejar constancia, ya sea por requerimientos legales y de supervisión, con fines de análisis para elaborar tendencias o simplemente para el control de las actividades que se realizan, en correspondencia con las necesidades del SGSI implementado. Además se sugiere tener un control de cambios adecuado, donde se registren aquellos cambios que motivan variaciones en el PSI y que por su magnitud no ameritan editar el plan en su totalidad nuevamente.
Finalmente se debe añadir que los planes de seguridad informática son esenciales para proteger los sistemas y datos de una organización. Establecer políticas, procedimientos y medidas de seguridad adecuadas garantiza la confidencialidad, integridad y disponibilidad de la información. Además, la concienciación y la adaptación constante a las nuevas amenazas son clave para mantener la seguridad en el ciberespacio. Por hoy nos despedimos hasta la próxima semana.