SEGURIDAD DE LA INFORMACION

Políticas de seguridad

Yessica Gómez G.

Porqué hablar de la Seguridad de la Información?

Porque el negocio se sustenta a partir de la información que maneja.....

Entorno

Sistemas de Información

Estrategia de negocio

Funciones y procesos de negocio

ACTIVIDADES DE LA EMPRESA

Planificación de Objetivos

Diseño y ejecución de acciones para conseguir objetivo

Control (de resultados de acciones contra objetivos)

Registro de transacciones

Transacciones

ORGANIZACION

Porque no sólo es un tema Tecnológico. Porque la institución no cuenta con Políticas

de Seguridad de la Información formalmente aceptadas y conocidas por todos.

CULTURA de la seguridad , responsabilidad de TODOS

ACTITUD proactiva,

Investigación permanente

Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor.

“Ninguna medicina es útil a menos que el paciente la tome”

¿ Entonces, por donde partir?........

Reconocer los activos de información importantes para la institución.. Información propiamente tal : bases de datos,

archivos, conocimiento de las personas Documentos: contratos, manuales, facturas,

pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos,

utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.

Reconocer las Amenazas a que están expuestos... Amenaza:” evento con el potencial de afectar

negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”.

Ejemplos: – Desastres naturales (terremotos, inundaciones)

– Errores humanos

– Fallas de Hardware y/o Software

– Fallas de servicios (electricidad)

– Robo

Reconocer las Vulnerabilidades

Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza”

Ejemplos:– Inexistencia de procedimientos de trabajo– Concentración de funciones en una sola

persona– Infraestructura insuficiente

Identificación de Riesgos

Riesgo: “ La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo”

Que debe analizarse?– El impacto (leve ,moderado,grave)– La probabilidad (baja, media, alta)

Contexto general de seguridad

PropietariosPropietariosvaloran

Quieren minimizar

SalvaguardasSalvaguardasdefinen

Pueden tener conciencia de

Amenazas explotan

VulnerabilidadesVulnerabilidades

Permiten o facilitan

DañoDaño

RECURSOSRECURSOSQue pueden tener

Reducen

RIESGORIESGO

Principales problemas: No se entienden o no se cuantifican las amenazas

de seguridad y las vulnerabilidades. No se puede medir la severidad y la probabilidad

de los riesgos. Se inicia el análisis con una noción preconcebida

de que el costo de los controles será excesivo o que la seguridad tecnológica no existe.

Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.

Estándares de Seguridad Normas Internacionales de seguridad

– Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información:

– Ejemplos ISO/IEC 17799,COBIT,ISO 15408 Se ha homologado a la realidad Chilena NCh2777 la

ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente técnico.

Ley 19.233 sobre delitos informáticos. Ley 19.628 sobre protección de los datos personales. Ley 19.799 sobre firma electrónica

¿Qué es una Política?

Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado.

¿Qué es una Política de Seguridad?Conjunto de directrices que permiten resguardar los activos de información .

¿Cómo debe ser la política de seguridad? Definir la postura del Directorio y de la gerencia

con respecto a la necesidad de proteger la información corporativa.

Rayar la cancha con respecto al uso de los recursos de información.

Definir la base para la estructura de seguridad de la organización.

Ser un documento de apoyo a la gestión de seguridad informática.

Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo.

Ser general , sin comprometerse con tecnologías específicas.

Debe abarcar toda la organización Debe ser clara y evitar confuciones No debe generar nuevos problemas Debe permitir clasificar la información en

confidencial, uso interno o pública. Debe identificar claramente funciones específicas

de los empleados como : responsables, custodio o usuario , que permitan proteger la información.

Qué debe contener una política de seguridad de la información? Políticas específicas Procedimientos Estándares o prácticas Estructura organizacional

Políticas Específicas Definen en detalle aspectos específicos que regulan el

uso de los recursos de información y están más afectas a cambios en el tiempo que la política general.

Ejemplo:– Política de uso de Correo Electrónico:

• Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible”

• Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”

• Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso”

Procedimiento Define los pasos para realizar una actividad Evita que se aplique criterio personal. Ejemplo:

– Procedimiento de Alta de Usuarios:• 1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al

Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios.

• 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece.

• 3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente.

• 4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso.

Estándar En muchos casos depende de la tecnología Se debe actualizar periódicamente Ejemplo:

– Estándar de Instalación de PC:• Tipo de máquina:

– Para plataforma de Caja debe utilizarse máquinas Lanix – Para otras plataformas debe utilizarse máquinas Compaq o HP.– Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB

• Registro:– Cada máquina instalada debe ser registrada en catastro computacional

identificando los números de serie de componente y llenar formulario de traslado de activo fijo

• Condiciones electricas:– Todo equipo computacional debe conectarse a la red electrica

computacional y estar provisto de enchufes MAGIC

Que se debe tener en cuenta Objetivo: qué se desea lograr Alcance: qué es lo que protegerá y qué áreas serán

afectadas Definiciones: aclarar terminos utilizados Responsabilidades: Qué debe y no debe hacer

cada persona Revisión: cómo será monitoreado el cumplimiento Aplicabilidad: En qué casos será aplicable Referencias: documentos complementarios Sanciones e incentivos

Ciclo de vida del Proyecto

Creación Colaboración Publicación Educación Cumplimiento

Enfoque Metodológico

Políticas de seguridad y Controles Los controles son mecanismos que ayudan a

cumplir con lo definido en las políticas Si no se tienen políticas claras , no se sabrá qué

controlar. Orientación de los controles:

– PREVENIR la ocurrencia de una amenaza

– DETECTAR la ocurrencia de una amenaza

– RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.

Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales Estructura del modelo adoptado:

– Gestión IT (Tecnologías de Información)– Operaciones IT

Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares.

Gestión IT

Objetivo: contar con procedimientos formales que permitan realizar adecuadamente la planeación y desarrollo del plan informático.

Contiene:– Objetivo y estrategia institucional– Plan Informático y comité informática– Metodología de Desarrollo y Mantención

Operaciones IT Objetivo: Contar conprocedimientos formales para

asegurar la operación normal de los Sistemas de Información y uso de recursos tecnológicos que sustentan la operación del negocio.

Contiene:– Seguridad Física sala servidores

• Control de acceso a la sala• Alarmas y extinción de incendios• Aire acondicionado y control de temperaturas• UPS • Piso y red electrica• Contratos de mantención • Contratos proveedores de servicios

– Respaldos y recuperación de información:• Ficha de servidores• Política Respaldos: diarios,semanales,mensuales,

históricos– Bases de datos, correo electrónico, datos de usuarios,

softawre de aplicaciones, sistemas operativos.

• Administración Cintoteca:– Rotulación– Custodia– Requerimientos, rotación y caduciddad de cintas.

– Administración de licencias de software y programas

– Seguridad de Networking:• Características y topología de la Red

• Estandarización de componentes de red

• Seguridad física de sites de comunicaciones

• Seguridad y respaldo de enlaces

• Seguridad y control de accesos de equipos de comunicaciones

• Plan de direcciones IP

• Control de seguridad WEB

– Control y políticas de adminsitración de Antivirus• Configuración

• Actualización

• Reportes

– Traspaso de aplicaciones al ambiente de explotación• Definición de ambientes• Definición de datos de prueba• Adminsitración de versiones de sistema de aplicaciones• Programas fuentes• Programas ejecutables• Compilación de programas• Testing:

– Responsables y encargados de pruebas– Pruebas de funcionalidad– Pruebas de integridad

• Instalación de aplicaciones• Asignación de responsabilidades de harware y software para

usuarios

• Creación y eliminación de usuarios :– Internet, Correo electrónico

• Administración de privilegios de acceso a sistemas• Administración y rotación de password:

– Caducidad de password– Definición de tipo y largo de password– Password de red , sistemas– Password protectores de pantalla, arranque PC– Fechas y tiempos de caducidad de usuarios

• Controles de uso de espacio en disco en serviodres

– Adquisición y administración equipamiento usuarios:• Política de adquisiciones• Catastro computacional• Contrato proveedores equipamiento

Conclusiones La Información es uno de los activos mas valiosos

de la organización Las Políticas de seguridad permiten disminuir los

riesgos Las políticas de seguridad no abordan sólo aspectos

tecnológicos El compromiso e involucramiento de todos es la

premisa básica para que sea real. La seguridad es una inversión y no un gasto. No existe nada 100% seguro Exige evaluación permanente.

La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.