Issuu on Google+

SEGURIDAD DE LA INFORMACION Pol铆ticas de seguridad

Yessica G贸mez G.


Porqué hablar de la Seguridad de la Información? ♦ Porque el negocio se sustenta a partir de la

información que maneja.....


Estrategia de negocio

Funciones y procesos de negocio

ACTIVIDADES DE LA EMPRESA Dise帽o y ejecuci贸n de acciones para conseguir objetivo

Planificaci贸n de Objetivos

Control (de resultados de acciones contra objetivos)

Sistemas de Informaci贸n

Registro de transacciones

Entorno

Transacciones

ORGANIZACION


♦ Porque no sólo es un tema Tecnológico. ♦ Porque la institución no cuenta con

Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.


CULTURA de la seguridad , responsabilidad de TODOS

ACTITUD proactiva, Investigaci贸n permanente


♦ Porque la seguridad tiene un costo, pero la

INSEGURIDAD tiene un costo mayor. “Ninguna medicina es útil a menos que el paciente la tome”

¿ Entonces, por donde partir?........


Reconocer los activos de información importantes para la institución.. ♦ Información propiamente tal : bases de datos,

archivos, conocimiento de las personas ♦ Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. ♦ Software: aplicaciones, sistemas operativos, utilitarios. ♦ Físicos: equipos, edificios, redes ♦ Recursos humanos: empleados internos y externos ♦ Servicios: electricidad, soporte, mantención.


Reconocer las Amenazas a que están expuestos... ♦ Amenaza:” evento con el potencial de afectar

negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. ♦ Ejemplos: – – – – –

Desastres naturales (terremotos, inundaciones) Errores humanos Fallas de Hardware y/o Software Fallas de servicios (electricidad) Robo


Reconocer las Vulnerabilidades ♦ Vulnerabilidad: “ una debilidad que facilita

la materialización de una amenaza” ♦ Ejemplos: – Inexistencia de procedimientos de trabajo – Concentración de funciones en una sola persona – Infraestructura insuficiente


Identificación de Riesgos ♦ Riesgo: “ La posibilidad de que una

amenaza en particular explote una vulnerabilidad y afecte un activo” ♦ Que debe analizarse? – El impacto (leve ,moderado,grave) – La probabilidad (baja, media, alta)


Contexto general de seguridad valoran

Propietarios

Quieren minimizar

definen

Salvaguardas Pueden tener conciencia de

Amenazas

Que pueden tener

explotan

RECURSOS

Reducen

Vulnerabili dades

RIESGO RIESGO

Permiten o facilitan

Da単o


Principales problemas: ♦ No se entienden o no se cuantifican las amenazas

de seguridad y las vulnerabilidades. ♦ No se puede medir la severidad y la probabilidad de los riesgos. ♦ Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe. ♦ Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.


Estándares de Seguridad ♦ Normas Internacionales de seguridad – Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información: – Ejemplos ISO/IEC 17799,COBIT,ISO 15408 ♦ Se ha homologado a la realidad Chilena NCh2777

la ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente técnico. ♦ Ley 19.233 sobre delitos informáticos. ♦ Ley 19.628 sobre protección de los datos personales. ♦ Ley 19.799 sobre firma electrónica


¿Qué es una Política? ♦ Conjunto de orientaciones o directrices que

rigen la actuación de una persona o entidad en un asunto o campo determinado.

¿Qué es una Política de Seguridad? ♦Conjunto de directrices que permiten

resguardar los activos de información .


¿Cómo debe ser la política de seguridad? ♦ Definir la postura del Directorio y de la gerencia

con respecto a la necesidad de proteger la información corporativa. ♦ Rayar la cancha con respecto al uso de los recursos de información. ♦ Definir la base para la estructura de seguridad de la organización. ♦ Ser un documento de apoyo a la gestión de seguridad informática. ♦ Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo.


♦ Ser general , sin comprometerse con tecnologías

específicas. ♦ Debe abarcar toda la organización ♦ Debe ser clara y evitar confuciones ♦ No debe generar nuevos problemas ♦ Debe permitir clasificar la información en confidencial, uso interno o pública. ♦ Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información.


Qué debe contener una política de seguridad de la información? ♦ Políticas específicas ♦ Procedimientos ♦ Estándares o prácticas ♦ Estructura organizacional


Políticas Específicas ♦ Definen en detalle aspectos específicos que

regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. ♦ Ejemplo: – Política de uso de Correo Electrónico: • Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” • Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” • Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso”


Procedimiento ♦ Define los pasos para realizar una actividad ♦ Evita que se aplique criterio personal. ♦ Ejemplo: – Procedimiento de Alta de Usuarios: • 1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. • 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. • 3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. • 4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso.


Estándar ♦ En muchos casos depende de la tecnología ♦ Se debe actualizar periódicamente ♦ Ejemplo: – Estándar de Instalación de PC: • Tipo de máquina: – Para plataforma de Caja debe utilizarse máquinas Lanix – Para otras plataformas debe utilizarse máquinas Compaq o HP. – Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB

• Registro: – Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo

• Condiciones electricas: – Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC


Que se debe tener en cuenta ♦ Objetivo: qué se desea lograr ♦ Alcance: qué es lo que protegerá y qué áreas serán

afectadas ♦ Definiciones: aclarar terminos utilizados ♦ Responsabilidades: Qué debe y no debe hacer cada persona ♦ Revisión: cómo será monitoreado el cumplimiento ♦ Aplicabilidad: En qué casos será aplicable ♦ Referencias: documentos complementarios ♦ Sanciones e incentivos


Ciclo de vida del Proyecto ♦ Creación ♦ Colaboración ♦ Publicación ♦ Educación ♦ Cumplimiento

Enfoque Metodológico


Políticas de seguridad y Controles ♦ Los controles son mecanismos que ayudan a

cumplir con lo definido en las políticas ♦ Si no se tienen políticas claras , no se sabrá qué controlar. ♦ Orientación de los controles: – PREVENIR la ocurrencia de una amenaza – DETECTAR la ocurrencia de una amenaza – RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.


Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales ♦ Estructura del modelo adoptado: – Gestión IT (Tecnologías de Información) – Operaciones IT ♦ Para cada estructura incorpora

documentación asociada como políticas específicas, procedimientos y estándares.


Gestión IT ♦ Objetivo: contar con procedimientos

formales que permitan realizar adecuadamente la planeación y desarrollo del plan informático. ♦ Contiene: – Objetivo y estrategia institucional – Plan Informático y comité informática – Metodología de Desarrollo y Mantención


Operaciones IT ♦ Objetivo: Contar conprocedimientos formales para

asegurar la operación normal de los Sistemas de Información y uso de recursos tecnológicos que sustentan la operación del negocio. ♦ Contiene: – Seguridad Física sala servidores • • • • • • •

Control de acceso a la sala Alarmas y extinción de incendios Aire acondicionado y control de temperaturas UPS Piso y red electrica Contratos de mantención Contratos proveedores de servicios


– Respaldos y recuperación de información: • Ficha de servidores • Política Respaldos: diarios,semanales,mensuales, históricos – Bases de datos, correo electrónico, datos de usuarios, softawre de aplicaciones, sistemas operativos.

• Administración Cintoteca: – Rotulación – Custodia – Requerimientos, rotación y caduciddad de cintas.

– Administración de licencias de software y programas


– Seguridad de Networking: • • • • • • •

Características y topología de la Red Estandarización de componentes de red Seguridad física de sites de comunicaciones Seguridad y respaldo de enlaces Seguridad y control de accesos de equipos de comunicaciones Plan de direcciones IP Control de seguridad WEB

– Control y políticas de adminsitración de Antivirus • Configuración • Actualización • Reportes


– Traspaso de aplicaciones al ambiente de explotación • • • • • • •

Definición de ambientes Definición de datos de prueba Adminsitración de versiones de sistema de aplicaciones Programas fuentes Programas ejecutables Compilación de programas Testing: – Responsables y encargados de pruebas – Pruebas de funcionalidad – Pruebas de integridad

• Instalación de aplicaciones • Asignación de responsabilidades de harware y software para usuarios


• Creación y eliminación de usuarios : – Internet, Correo electrónico

• Administración de privilegios de acceso a sistemas • Administración y rotación de password: – – – – –

Caducidad de password Definición de tipo y largo de password Password de red , sistemas Password protectores de pantalla, arranque PC Fechas y tiempos de caducidad de usuarios

• Controles de uso de espacio en disco en serviodres

– Adquisición y administración equipamiento usuarios: • Política de adquisiciones • Catastro computacional • Contrato proveedores equipamiento


Conclusiones ♦ La Información es uno de los activos mas valiosos

de la organización ♦ Las Políticas de seguridad permiten disminuir los riesgos ♦ Las políticas de seguridad no abordan sólo aspectos tecnológicos ♦ El compromiso e involucramiento de todos es la premisa básica para que sea real. ♦ La seguridad es una inversión y no un gasto. ♦ No existe nada 100% seguro ♦ Exige evaluación permanente.


♌ La clave es encontrar el justo equilibrio de

acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.


MARULANDA