Datos del Profesor: Ing. Jesús Vílchez Sandoval
CIP 129615 email:[email protected]
http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
Que es una Política de Seguridad Elaboración de una Política de Seguridad Política del SGSI y Políticas Especificas Reglamento de Seguridad de Información Laboratorio
Contenido
La política de seguridad es un documento de alto nivel que denota El compromiso de la gerencia con la seguridad de la información.
© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
Que es una política de seguridad?
«Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»
A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información
Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.
Que es una política de seguridad?
Elaboración de una política
de seguridad
«No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios»
-- Anonimo
Hay 11 etapas que deben realizarse a lo largo de la vida de una política de seguridad. Estas etapas pueden agruparse en 4 Fases:
Ciclo de vida una política de seguridad
Desarrollo Creación Revisión Aprobación
Implementación Comunicación Cumplimiento Excepciones
Mantenimiento Concientización Monitoreo Cumplimiento Mantenimiento
Eliminación Retiro
Para elaborar una política de seguridad de la información es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción.
Elaboración de una política de seguridad
a. Exigencias de la Política
b. Etapas de producción de la política.
Elab
orac
ión
de u
na p
olíti
ca d
e se
gurid
ad
a. Exigencias de la Política de seguridad La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado en seguridad de los profesionales involucrados con su aplicación y compromiso. Es importante considerar que para la elaboración de una política de seguridad institucional se debe realizar lo siguiente:
a. Integrar el comité de seguridad responsable de definir la política
b. Elaborar el documento final
c. Hacer oficial la política una vez que se tenga definida
Elab
orac
ión
de u
na p
olíti
ca d
e se
gurid
ad
b. Etapas de producción de una política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras:
o Objetivos y ámbito o Entrevista o Investigación y análisis de documentos o Reunión de política o Glosario de la política o Responsabilidades y penalidades
Documentos de una política de seguridad
• En este modelo visualizamos que una política de seguridad este formada por 3 grandes secciones: – Las Directrices – Las Normas – Los procedimientos e
instrucciones de trabajo
• Su estructura de sustentación está formada por tres grandes aspectos: – Herramientas, – Cultura organizacional – Monitoreo.
Las Directrices (Estrategias)
• Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información.
• Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido.
Las Normas (Tacticas)
• Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina. Pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios.
Normas de Seguridad para técnicos Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros.
Normas de Seguridad para Usuarios Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros.
Procedimientos e Instrucciones (operacional)
Procedimiento Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en el modelo de paso a paso para los usuarios del activo en cuestión.
Elab
orac
ión
de u
na p
olíti
ca d
e se
gurid
ad
Items de una política de seguridad Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.
Políticas del SGSI y Políticas
Especificas
Confidencialidad, Disponibilidad e Integridad
Políticas especificas de la seguridad
ISO 27001:2005 – Anexo “A”
• Política del SGSI
4.2.1.b
• Seguridad de Información
A.5.1.1
• Código Móvil
A.10.4.2
• Backup
A.10.5.1
• Intercambio de información
A.10.8.1
• Sistemas de información de negocio
A.10.8.5
• Control de accesos
A.11.1.1
• Bloqueo de pantalla y puesto de trabajo despejado
A.11.3.3
• Uso de los servicios de red
A.11.4.1
• Computación móvil y comunicaciones
A.11.7.1
• Teletrabajo
A.11.7.2
• Controles criptográficos
A.12.3.1
Política del SGSI Se define en términos de las características de la Institución, la organización, sus ubicaciones, activos y tecnología. Incluye un marco de trabajo para establecer objetivos y brinda un sentido general de dirección y principios para la acción respecto a la seguridad de información. Toma en consideración requerimientos legales o regulatorios y de
negocios, y obligaciones de seguridad contractuales. Se alinea con el contexto de gestión de riesgos estratégico de la
organización en el cual se establece y mantiene el SGSI Establece el criterio contra el cual el riesgo será evaluado Es aprobada por la gerencia
La política del SGSI es considerada como un nivel superior de la política de seguridad de información. Estas políticas pueden ser descritas en un mismo documento
Política del SGSI
Reglamento de seguridad la información
«Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»
» Es de aplicación general a todo el personal de la empresa o institución.
» Debe ser aprobado por el Comité de Gestión de Seguridad
» Está compuesto por un conjunto de políticas específicas de Seguridad de la Información.
» Debe ser de conocimiento y uso cotidiano del personal interno y externo a la Institución.
Definición
Conjunto de principios, directivas y requerimientos de Seguridad de la Información que garanticen la confidencialidad, integridad y disponibilidad de la información que se procesa, intercambia, reproduce y conserva en los activos de información que soportan los procesos y actividades de una Institución.
Política de Código Móvil
ISO 27001:2005 Control 10.4.2
• Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que éste sea ejecutado.
El código móvil es un código de software que se transfiere desde una computadora a otra y luego ejecuta automáticamente y realiza una función específica con poco o ninguna interacción del usuario.
Política de Backup
ISO 27001:2005 Control 10.5.1
• Se deben hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en concordancia con la política acordada de recuperación.
Política para Intercambio de Información y software
ISO 27001:2005 Control 10.8.1
• Se deben establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la información a través de todos los tipos de instalaciones de comunicación
Información Correo
Voz
Fax
Video
Software Descarga de
Internet
Proveedores
Política de Sistemas de Información de Negocios
ISO 27001:2005 Control 10.8.5
• Se deben desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información de negocios.
Los sistemas de información permiten distribuir rápidamente y compartir información de negocio. Controles de acceso Clasificación de información Identificación de usuarios Backup Contingencias
Política de Control de Accesos
ISO 27001:2005 Control 11.1.1
• Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Considerar acceso físico y lógico. “Todo lo que no está explícitamente permitido debe estar prohibido”
Política de Pantalla y Escritorio Limpio
ISO 27001:2005 Control 11.3.3
• Se debe adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento, así como, una política de pantalla limpia para instalaciones de procesamiento de información.
Política de uso de los Servicios de la Red
ISO 27001:2005 Control 11.4.1
• Los usuarios sólo deben tener acceso directo a los servicios para los que estén autorizados de una forma específica.
Redes y Servicios de red permitidos • Web • Correo electrónico • Mensajería instantánea • VPN / Acceso remoto.
Política de Informática Móvil y Comunicaciones
ISO 27001:2005 Control 11.7.1
• Se debe adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática.
• Laptops • Teléfonos celulares • Agendas PDA • Dispositivos inalámbricos Consideraciones: Uso en áreas públicas Software malicioso Backup Robo
Política de Teletrabajo
ISO 27001:2005 Control 11.7.2
• Se debe desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de teletrabajo.
Consideraciones: Robo de equipos Fuga de información Propiedad intelectual Auditoria a equipos Licencia de software Protección antivirus
Política de uso de Controles Criptográficos
ISO 27001:2005 Control 12.3.1
• La organización debe desarrollar e implementar una política de uso de las medidas criptográficas para proteger la información.
Consideraciones: Situaciones en las que debe utilizarse Nivel de protección requerido (tipo, algoritmo) Responsabilidad Regulaciones
? Preguntas
Laboratorio
«No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios»
-- Anonimo
Ejercicio
Elaborar una Política de Seguridad
SEGURIDAD EN REDES FIN SESION 01
Top Related