SEGURIDAD DE LA INFORMACION Políticas de seguridad División Operaciones y
Download
Report
Transcript SEGURIDAD DE LA INFORMACION Políticas de seguridad División Operaciones y
SEGURIDAD DE LA
INFORMACION
Políticas de seguridad
Julio 2004
División Operaciones y
Tecnologías
Porqué hablar de la Seguridad
de la Información?
Porque el negocio se sustenta a partir de la
información que maneja.....
Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Diseño y ejecución de
acciones para conseguir
objetivo
Planificación de
Objetivos
Control (de resultados de
acciones contra objetivos)
Sistemas de
Información
Registro de
transacciones
Entorno
Transacciones
ORGANIZACION
Porque no sólo es un tema Tecnológico.
Porque la institución no cuenta con Políticas
de Seguridad de la Información
formalmente aceptadas y conocidas por
todos.
CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el paciente la tome”
¿ Entonces, por donde partir?........
Reconocer los activos de
información importantes para la
institución..
Información propiamente tal : bases de datos,
archivos, conocimiento de las personas
Documentos: contratos, manuales, facturas,
pagarés, solicitudes de créditos.
Software: aplicaciones, sistemas operativos,
utilitarios.
Físicos: equipos, edificios, redes
Recursos humanos: empleados internos y externos
Servicios: electricidad, soporte, mantención.
Reconocer las Amenazas a que
están expuestos...
Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
Ejemplos:
–
–
–
–
–
Desastres naturales (terremotos, inundaciones)
Errores humanos
Fallas de Hardware y/o Software
Fallas de servicios (electricidad)
Robo
Reconocer las Vulnerabilidades
Vulnerabilidad: “ una debilidad que facilita
la materialización de una amenaza”
Ejemplos:
– Inexistencia de procedimientos de trabajo
– Concentración de funciones en una sola persona
– Infraestructura insuficiente
Identificación de Riesgos
Riesgo: “ La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte un activo”
Que debe analizarse?
– El impacto (leve ,moderado,grave)
– La probabilidad (baja, media, alta)
Contexto general de seguridad
valoran
Propietarios
Quieren minimizar
definen
Salvaguardas
Pueden tener
conciencia de
Amenazas
Que pueden
tener
explotan
RIESGO
RECURSOS
Reducen
Vulnerabili
dades
Permiten o
facilitan
Daño
Principales problemas:
No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
No se puede medir la severidad y la probabilidad
de los riesgos.
Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
Se cree que la solución de seguridad interferirá
con el rendimiento o apariencia del producto o
servicio del negocio.
Estándares de Seguridad
Normas Internacionales de seguridad
– Proporcionan un conjunto de buenas prácticas en
gestión de seguridad de la información:
– Ejemplos ISO/IEC 17799,COBIT,ISO 15408
Se ha homologado a la realidad Chilena NCh2777
la ISO 17799 que tiene la bondad de ser
transversal a las organizaciones , abarcando la
seguridad como un problema integral y no
meramente técnico.
Ley 19.233 sobre delitos informáticos.
Ley 19.628 sobre protección de los datos
personales.
Ley 19.799 sobre firma electrónica
¿Qué es una Política?
Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asunto o campo determinado.
¿Qué es una Política de
Seguridad?
Conjunto de directrices que permiten
resguardar los activos de información .
¿Cómo debe ser la política de
seguridad?
Definir la postura del Directorio y de la gerencia
con respecto a la necesidad de proteger la
información corporativa.
Rayar la cancha con respecto al uso de los
recursos de información.
Definir la base para la estructura de seguridad de
la organización.
Ser un documento de apoyo a la gestión de
seguridad informática.
Tener larga vigencia , manteniéndose sin grandes
cambios en el tiempo.
Ser general , sin comprometerse con tecnologías
específicas.
Debe abarcar toda la organización
Debe ser clara y evitar confuciones
No debe generar nuevos problemas
Debe permitir clasificar la información en
confidencial, uso interno o pública.
Debe identificar claramente funciones específicas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la información.
Qué debe contener una política
de seguridad de la información?
Políticas específicas
Procedimientos
Estándares o prácticas
Estructura organizacional
Políticas Específicas
Definen en detalle aspectos específicos que
regulan el uso de los recursos de información y
están más afectas a cambios en el tiempo que la
política general.
Ejemplo:
– Política de uso de Correo Electrónico:
• Definición del tipo de uso aceptado: “El servicio de correo
electrónico se proporciona para que los empleados realicen
funciones propias del negocio,cualquier uso personal deberá
limitarse al mínimo posible”
• Prohibiciones expresas: “ Se prohíbe el envío de mensajes
ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”
• Declaración de intención de monitorear su uso: “La empresa
podrá monitorear el uso de los correos en caso que se sospeche
del mal uso”
Procedimiento
Define los pasos para realizar una actividad
Evita que se aplique criterio personal.
Ejemplo:
– Procedimiento de Alta de Usuarios:
• 1.- Cada vez que se contrate a una persona , su jefe directo
debe enviar al Adminsitrador de Privilegios una solicitud
formal de creación de cuenta, identificando claramente los
sistemas a los cuales tendrá accesos y tipos de privilegios.
• 2.-El Administrador de privilegios debe validar que la solicitud
formal recibida indique: fecha de ingreso,perfil del usuario,
nombre , rut, sección o unidad a la que pertenece.
• 3.- El Administrador de privilegios creará la cuenta del usuario
a través del Sistema de Administración de privilegios y
asignará una clave inicial para que el usuario acceda
inicialmente.
• 4.- El Administrados de privilegios formalizará la creación de
la cuenta al usuario e instruirá sobre su uso.
Estándar
En muchos casos depende de la tecnología
Se debe actualizar periódicamente
Ejemplo:
– Estándar de Instalación de PC:
• Tipo de máquina:
– Para plataforma de Caja debe utilizarse máquinas Lanix
– Para otras plataformas debe utilizarse máquinas Compaq o HP.
– Procesador Pentium IV , con disco duro de 40 GB y memoria
Ram 253 MB
• Registro:
– Cada máquina instalada debe ser registrada en catastro
computacional identificando los números de serie de componente
y llenar formulario de traslado de activo fijo
• Condiciones electricas:
– Todo equipo computacional debe conectarse a la red electrica
computacional y estar provisto de enchufes MAGIC
Que se debe tener en cuenta
Objetivo: qué se desea lograr
Alcance: qué es lo que protegerá y qué áreas serán
afectadas
Definiciones: aclarar terminos utilizados
Responsabilidades: Qué debe y no debe hacer cada
persona
Revisión: cómo será monitoreado el cumplimiento
Aplicabilidad: En qué casos será aplicable
Referencias: documentos complementarios
Sanciones e incentivos
Ciclo de vida del Proyecto
Creación
Colaboración
Publicación
Educación
Cumplimiento
Enfoque
Metodológico
Políticas de seguridad y
Controles
Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas
Si no se tienen políticas claras , no se sabrá qué
controlar.
Orientación de los controles:
– PREVENIR la ocurrencia de una amenaza
– DETECTAR la ocurrencia de una amenaza
– RECUPERAR las condiciones ideales de
funcionamiento una vez que se ha producido un evento
indeseado.
Ejemplo:Modelo Seguridad
Informática (MSI) a partir de
políticas de seguridad de la
información institucionales
Estructura del modelo adoptado:
– Gestión IT (Tecnologías de Información)
– Operaciones IT
Para cada estructura incorpora
documentación asociada como políticas
específicas, procedimientos y estándares.
Gestión IT
Objetivo: contar con procedimientos
formales que permitan realizar
adecuadamente la planeación y desarrollo
del plan informático.
Contiene:
– Objetivo y estrategia institucional
– Plan Informático y comité informática
– Metodología de Desarrollo y Mantención
Operaciones IT
Objetivo: Contar conprocedimientos formales para
asegurar la operación normal de los Sistemas de
Información y uso de recursos tecnológicos que
sustentan la operación del negocio.
Contiene:
– Seguridad Física sala servidores
•
•
•
•
•
•
•
Control de acceso a la sala
Alarmas y extinción de incendios
Aire acondicionado y control de temperaturas
UPS
Piso y red electrica
Contratos de mantención
Contratos proveedores de servicios
– Respaldos y recuperación de información:
• Ficha de servidores
• Política Respaldos: diarios,semanales,mensuales,
históricos
– Bases de datos, correo electrónico, datos de usuarios,
softawre de aplicaciones, sistemas operativos.
• Administración Cintoteca:
– Rotulación
– Custodia
– Requerimientos, rotación y caduciddad de cintas.
– Administración de licencias de software y
programas
– Seguridad de Networking:
•
•
•
•
•
•
•
Características y topología de la Red
Estandarización de componentes de red
Seguridad física de sites de comunicaciones
Seguridad y respaldo de enlaces
Seguridad y control de accesos de equipos de comunicaciones
Plan de direcciones IP
Control de seguridad WEB
– Control y políticas de adminsitración de Antivirus
• Configuración
• Actualización
• Reportes
– Traspaso de aplicaciones al ambiente de explotación
•
•
•
•
•
•
•
Definición de ambientes
Definición de datos de prueba
Adminsitración de versiones de sistema de aplicaciones
Programas fuentes
Programas ejecutables
Compilación de programas
Testing:
– Responsables y encargados de pruebas
– Pruebas de funcionalidad
– Pruebas de integridad
• Instalación de aplicaciones
• Asignación de responsabilidades de harware y software para
usuarios
• Creación y eliminación de usuarios :
– Internet, Correo electrónico
• Administración de privilegios de acceso a sistemas
• Administración y rotación de password:
–
–
–
–
–
Caducidad de password
Definición de tipo y largo de password
Password de red , sistemas
Password protectores de pantalla, arranque PC
Fechas y tiempos de caducidad de usuarios
• Controles de uso de espacio en disco en serviodres
– Adquisición y administración equipamiento usuarios:
• Política de adquisiciones
• Catastro computacional
• Contrato proveedores equipamiento
Conclusiones
La Información es uno de los activos mas valiosos
de la organización
Las Políticas de seguridad permiten disminuir los
riesgos
Las políticas de seguridad no abordan sólo aspectos
tecnológicos
El compromiso e involucramiento de todos es la
premisa básica para que sea real.
La seguridad es una inversión y no un gasto.
No existe nada 100% seguro
Exige evaluación permanente.
La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.