1
Políticas de Seguridad:Un Enfoque Holístico
Samuel LinaresResponsable Área Seguridad Tecnocom
Miembro Comisión Seguridad de Asimelec
2
00ín
dic
e 01 Introducción02 ¿Seguridad?03 Visión de la Seguridad: Un Enfoque Holístico04 Objeto de las Políticas de Seguridad05 Infraestructura e Implementación: Elementos de Soporte06 Formación, Educación y Concienciación
3
Intr
od
ucc
ión
4
Amenazas: Nos acechan…In
tro
du
cció
n • Robo de información• Sabotaje de datos• Entradas no autorizadas al sistema• Abuso interno• Denegación de Servicio• Virus, Troyanos, Gusanos• Fraude telefónico• Robo de material
5
¿Y qué hacemos habitualmente?In
tro
du
cció
n • ¡A quién va a interesarle mi información!• Tengo un Firewall, así que estoy protegido• Ya sería mala suerte que tuviese una
Inspección• ¡Lo que me interesa es que FUNCIONE YA!,
después ya veremos la seguridad…
6
¡Vamos al Supermercado!
Anti-Spam
Anti-Virus
Policy Management
Mail Routing
Internet
Firewall
MTAs
Groupware
Users
PublicWeb
Servers
IntranetWeb
Servers
Internal NetworkUsers
Firewall
Users
ProxyPublic Interne
t
Firewall VPNSecure WAN
K9
IPS
Main Office
Data Center
Application Servers
Cisco Unity
Cisco CallManager
PIX Firewall Appliance
6500 FW Service Module
ASA 5500 Security Appliance
SecureWireless
7
Incluso escribimos una política de seguridad…In
tro
du
cció
n
8
¿Y de qué nos sirve? In
tro
du
cció
n
Los Fumadores no se me Enfaden…
9
¿Seguridad?S
egu
rid
ad:
Co
nce
pto
s
La Seguridad es un Proceso de Mejora Contínua
La Solución no es sólo Tecnológica
Cumplimiento LOPD: Obligatoriedad, Multas
Estándares: ISO 27001, camino a seguir
Redes, Sistemas, Procesos… ORGANIZACIÓN
10
Vis
ión
de
la S
egu
rid
ad
SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus, VPNs, Control de Contenidos, etc.AntiVirus, VPNs, Control de Contenidos, etc.
DISEÑO: Topologías, Arquitecturas, ServiciosDISEÑO: Topologías, Arquitecturas, Servicios
GESTIÓN Y OPERACIÓN: Procedimientos, PolíticasGESTIÓN Y OPERACIÓN: Procedimientos, Políticas
ESTÁNDARES: ISO27001, BS7799ESTÁNDARES: ISO27001, BS7799
LEGISLACIÓN: LOPD, LSSI/CE, SoXLEGISLACIÓN: LOPD, LSSI/CE, SoX
Implementar
Gestionar
Planificar
Probar
CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA
11
IMPLEMENTACIÓN AUDITORÍACONSULTORÍA
Vis
ión
de
la S
egu
rid
ad
SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus, VPNs, Control de Contenidos, etc.AntiVirus, VPNs, Control de Contenidos, etc.
DISEÑO: Topologías, Arquitecturas, ServiciosDISEÑO: Topologías, Arquitecturas, Servicios
GESTIÓN Y OPERACIÓN: Procedimientos, PolíticasGESTIÓN Y OPERACIÓN: Procedimientos, Políticas
ESTÁNDARES: ISO27001, BS7799ESTÁNDARES: ISO27001, BS7799
LEGISLACIÓN: LOPD, LSSI/CE, SoXLEGISLACIÓN: LOPD, LSSI/CE, SoX
Implementar
Gestionar
Planificar
Probar
12
¿Por qué las Necesito?P
olít
icas
de
Seg
uri
dad
Porque las malas prácticas se extienden…
Si abro la mayoría de
puertos en el firewall mi aplicación funcionará
Dejaré la puerta del cuarto de
ordenadores abierta. Es
más cómodo y barato
Han bloqueado mi web favorita, menos mal
que tengo un módem jeje
Creo que utilizaré mi
nombre como
password, así no se me
olvidará
A nosotros nos pasa igual,
¿cómo configuras tu
firewall?
¡Para qué necesitam
os la puerta
cerrada!
¡Genial! Un módem,
¿cuál es el número de teléfono?
Nunca se me ocurre una
buena password, ¿cuál
usas tú?
Fuente: Steve LambMicrosoft Technet UK
13
Bufff… hay que ver cómo está Beyonce
en esta revista…
¡Otra vez! ¡La alarma de
siempre! ¡Qué pesadez!
Tranquilo. Pepe la apagará en
cuanto la vea. Lo hace siempre.
Creo que la va a desactivar mañana
14
Origen GeneralP
olít
icas
de
Seg
uri
dad
Política Organizativa “Directriz”
(Declaración de Seguridad y Directivas
de la Dirección)
Normativas
Objetivos de la Organización
Fines Organizativos
Legislación
Intereses de los Accionistas
EL “ENTORNO”EL “ENTORNO”
15
Origen General (II)P
olít
icas
de
Seg
uri
dad Política Organizativa “Directriz”
(Declaración de Seguridad de la Dirección)
“Plantillas”(“Baselines”)
Estándares GuíasProcedimientos
Políticas de Implementación Funcionales
(Directivas de Seguridad de la Dirección)
16
Política de Seguridad de DirecciónP
olít
icas
de
Seg
uri
dad • Proporciona los Objetivos y Metas de la Dirección
por Escrito
• Documenta el Cumplimiento (legislación, normativa, estándares)
• Crea una Cultura de la Seguridad (incorpora seguridad a la cultura organizativa existente)
• Públicamente accesibles (en la organización)
• Se Anticipa y Protege de Sorpresas
Política de Seguridad de la Dirección:“La Seguridad es Esencial para esta compañía y su Futuro”Pepe Pótamo (CEO)
17
Política de Seguridad de Dirección (II)P
olít
icas
de
Seg
uri
dad
• Establece la función/actividad de seguridad– Grupo de Seguridad
• Establece responsabilidades/seguimientos personales individualmente:– Cada empleado responsable de sus acciones
• Tiene en cuenta futuros potenciales conflictos:– Establece marco resolutor de conflictos de intereses o
interpretaciones.
• Asegura que empleados y contratas estén al tanto de la Política Organizativa y sus cambios
• Obliga a un plan de respuesta a incidencias
• Establece procesos para manejo de excepciones, recompensas, disciplinas
18
Una Buena Política de Seguridad Debe…P
olít
icas
de
Seg
uri
dad
• Ser corta (1 o 2 páginas, un tríptico)
• Ser Fácilmente comprensible y CLARA
• Declarar abiertamente la importancia de la información (y su seguridad) para el negocio
• Informar a los empleados de sus responsabilidades y cómo utilizar adecuadamente los recursos de la organización
• Sentar la base para su desarrollo en otras políticas funcionales y procedimientos
• Declarar la existencia de Sanciones y Recompensas (especificadas en otras políticas o programas de concienciación)
19
¿Por qué son Importantes las Políticas?P
olít
icas
de
Seg
uri
dad
• Los recursos IT son utilizados por todos en la organización… pero no todos son gurús de IT
• Son la primera línea de defensa de amenazas internas y externas
• El 96% de los “ciber-ataques” fallarían si se siguiesen unas políticas de seguridad básicas
• Cuando las reglas y responsabilidades no están bien definidas, la seguridad falla
• No son sólo un concepto con el que “aplacar” los auditores (¡no deben serlo!)
• Las políticas que son copias de guías de mejores prácticas son como las dietas y el ejercicio físico… algo a lo que se aspira, pero que rara vez se consigue
20
P
olít
icas
de
Seg
uri
dad
Un ejemplo…
21
Roles Organizativos y ResponsabilidadesO
rga
niz
ac
ión
y R
es
po
ns
ab
ilid
ad • Cada uno tiene un rol y responsabilidad
• Deben asignarse funciones específicas de seguridad
• Roles Específicos y Responsabilidades:– Dirección Ejecutiva
– Profesionales de la Seguridad de los Sistemas de Información
– Propietarios de la información/activos
– “Custodios” de la información/activos (administradores, etc.)
22
Roles Organizativos y Responsabilidades (II)O
rga
niz
ac
ión
y R
es
po
ns
ab
ilid
ad • Consideraciones de Terceras Partes:
– Proveedores/Fabricantes
– Contratas
– Empleados Temporales
– Clientes
• Buenas Prácticas para el Personal:– Descripción de puesto y roles definidos y
responsabilidades
– Menor Privilegio / “Need to know”
– Separación de responsabilidades
– Rotación de puestos de trabajo
– Vacaciones obligatorias
23
Relaciones con Terceras Partes O
rga
niz
ac
ión
y R
ep
on
sa
bili
da
de
s
El servicio de limpieza…. …. Ese gran desconocido….
… que tiene acceso TOTAL
24
Infraestructura de las PolíticasP
olít
icas
de
Seg
uri
dad • Políticas Funcionales
• Implementan e Interpretan la política de seguridad de alto nivel de la organización.
• Ejemplos:– Clasificación de Datos
– Certificación y Acreditación
– Control de Acceso
– Externalización o Outsourcing
– Acceso Remoto
– Uso Aceptable e Internet
– Privacidad
– Cambio de Passwords, etc.
25
Todos ellos aplican los
principios de la política de
seguridad en cada proceso de
negocio y sistema
Implementación de las PolíticasP
olít
icas
de
Seg
uri
dad Los elementos de soporte surgen desde las
Políticas:
Estándares
Procedimientos
Plantillas (“Baselines”)
Guías
26
Implementación de las Políticas (II)P
olít
icas
de
Seg
uri
dad
• Estándares: Adopción de productos y mecanismos comunes hardware y software
• Procedimientos: Acciones Requeridas Paso a Paso
• Plantillas (“Baselines”): Establece implementaciones consistentes de mecanismos de seguridad. Plataforma Única.
• Guías: Recomendaciones para implementaciones de productos de seguridad, planificación, etc.
ProductoEstándar
Corporativo
Desktop
AntiVirus
Firewall Config.VPN
PlantillaConfiguración
Corporativa
ConfiguraciónIDS
Reglas dePassword
Proced.Corporatvos
ISO17799Common Criteria
ITIL…
27
Niveles de Planificación de SeguridadP
olít
icas
de
Seg
uri
dad
• Tres Niveles de Planificación de Seguridad:– Estratégico: años
– Táctico: trimestres
– Operativo: días, semanas, meses
• Los tres planes deben estar integrados
• La transición entre niveles debe ser “transparente”
PolíticPolíticaa
• La Política debe/puede dirigir otras decisiones:
Tecn
olog
íaPr
oces
osDoc
umen
tación
Ope
racion
esAud
itor
íaOtros
…
28
¿Cómo logramos nuestro objetivo?P
olít
icas
de
Seg
uri
dad
29
Logremos nuestro ObjetivoP
olít
icas
de
Seg
uri
dad • Creer en los empleados
• Prevenir las “debilidades naturales” de la política de seguridad
• Educar a los usuarios en la política y el valor de los activos
• “Está prohibido hacer eso”: explicar a los usuarios Por Qué– Cómo hará “su vida más fácil o mejor”
• Revisar regularmente el cumplimiento de los objetivos
• Hacer correcciones si es necesario
30Formación y Concienciación en Seguridad
31
Formación, Educación y Concienciación en SeguridadE
du
ca
ció
n y
Co
nc
ien
cia
ció
n
• Formación de la concienciación– Vídeos, boletines, posters, charlas, etc.
– Motivación del personal
– Recompensas
• Formación del puesto de trabajo– Centrado en habilidades relacionadas con la seguridad
– Incrementar la posibilidad de “medición” de sus acciones
– Formación especializada para personal específico
• Educación Profesional
• Identificar a la audiencia
“Puedes formar o entrenar un perro, pero no puedes educarlo”
32
Educación de los UsuariosE
du
ca
ció
n y
Co
nc
ien
cia
ció
n • Campaña de difusión de la seguridad
• Actualizaciones periódicas
• Boletines, trípticos, posters…
• Reuniones en Grupos
• Salvapantallas
• Firmas en las Políticas de Uso Aceptable
• Destructores de documentos
• Auditorías Periódicas
• “Recompensas”
• Los “Amigos” no son siempre los “Amigos”:– Confianza, relaciones “telefónicas”: Ingeniería Social
33
34
A RecordarS
ervi
cio
s d
e S
egu
rid
adUna Sesión Formativa
NO es suficiente
Actualizaciones periódicas para
mantener al personal ATENTO
Transmitir Aplicación
Personal a su Vida…
Evitad ser el
Enemigo
¡Actualizadla!
No os convertais en otra fuente de “ruido” a ser
ignorada
Haced la Política ACCESIBLE: publicadla en una página Web, un
tríptico, facilitad su búsqueda
¡Compromiso Dirección!
Sed Creativos
35
Sam
uel
Lin
ares
¡Muchas Gracias por su Atención!
Samuel LinaresEmail: [email protected] Profesional: http://www.tecnocom.esWeb Personal: http://www.infosecman.com
Top Related