SEGURIDAD DE LA INFORMACION Políticas de seguridad División Operaciones y

Download Report

Transcript SEGURIDAD DE LA INFORMACION Políticas de seguridad División Operaciones y

SEGURIDAD DE LA
INFORMACION
Políticas de seguridad
Julio 2004
División Operaciones y
Tecnologías
Porqué hablar de la Seguridad
de la Información?
 Porque el negocio se sustenta a partir de la
información que maneja.....
Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Diseño y ejecución de
acciones para conseguir
objetivo
Planificación de
Objetivos
Control (de resultados de
acciones contra objetivos)
Sistemas de
Información
Registro de
transacciones
Entorno
Transacciones
ORGANIZACION
 Porque no sólo es un tema Tecnológico.
 Porque la institución no cuenta con Políticas
de Seguridad de la Información
formalmente aceptadas y conocidas por
todos.
CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
 Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el paciente la tome”
¿ Entonces, por donde partir?........
Reconocer los activos de
información importantes para la
institución..
 Información propiamente tal : bases de datos,
archivos, conocimiento de las personas
 Documentos: contratos, manuales, facturas,
pagarés, solicitudes de créditos.
 Software: aplicaciones, sistemas operativos,
utilitarios.
 Físicos: equipos, edificios, redes
 Recursos humanos: empleados internos y externos
 Servicios: electricidad, soporte, mantención.
Reconocer las Amenazas a que
están expuestos...
 Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
 Ejemplos:
–
–
–
–
–
Desastres naturales (terremotos, inundaciones)
Errores humanos
Fallas de Hardware y/o Software
Fallas de servicios (electricidad)
Robo
Reconocer las Vulnerabilidades
 Vulnerabilidad: “ una debilidad que facilita
la materialización de una amenaza”
 Ejemplos:
– Inexistencia de procedimientos de trabajo
– Concentración de funciones en una sola persona
– Infraestructura insuficiente
Identificación de Riesgos
 Riesgo: “ La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte un activo”
 Que debe analizarse?
– El impacto (leve ,moderado,grave)
– La probabilidad (baja, media, alta)
Contexto general de seguridad
valoran
Propietarios
Quieren minimizar
definen
Salvaguardas
Pueden tener
conciencia de
Amenazas
Que pueden
tener
explotan
RIESGO
RECURSOS
Reducen
Vulnerabili
dades
Permiten o
facilitan
Daño
Principales problemas:
 No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
 No se puede medir la severidad y la probabilidad
de los riesgos.
 Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
 Se cree que la solución de seguridad interferirá
con el rendimiento o apariencia del producto o
servicio del negocio.
Estándares de Seguridad
 Normas Internacionales de seguridad
– Proporcionan un conjunto de buenas prácticas en
gestión de seguridad de la información:
– Ejemplos ISO/IEC 17799,COBIT,ISO 15408
 Se ha homologado a la realidad Chilena NCh2777
la ISO 17799 que tiene la bondad de ser
transversal a las organizaciones , abarcando la
seguridad como un problema integral y no
meramente técnico.
 Ley 19.233 sobre delitos informáticos.
 Ley 19.628 sobre protección de los datos
personales.
 Ley 19.799 sobre firma electrónica
¿Qué es una Política?
 Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asunto o campo determinado.
¿Qué es una Política de
Seguridad?
Conjunto de directrices que permiten
resguardar los activos de información .
¿Cómo debe ser la política de
seguridad?
 Definir la postura del Directorio y de la gerencia
con respecto a la necesidad de proteger la
información corporativa.
 Rayar la cancha con respecto al uso de los
recursos de información.
 Definir la base para la estructura de seguridad de
la organización.
 Ser un documento de apoyo a la gestión de
seguridad informática.
 Tener larga vigencia , manteniéndose sin grandes
cambios en el tiempo.
 Ser general , sin comprometerse con tecnologías
específicas.
 Debe abarcar toda la organización
 Debe ser clara y evitar confuciones
 No debe generar nuevos problemas
 Debe permitir clasificar la información en
confidencial, uso interno o pública.
 Debe identificar claramente funciones específicas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la información.
Qué debe contener una política
de seguridad de la información?
 Políticas específicas
 Procedimientos
 Estándares o prácticas
 Estructura organizacional
Políticas Específicas
 Definen en detalle aspectos específicos que
regulan el uso de los recursos de información y
están más afectas a cambios en el tiempo que la
política general.
 Ejemplo:
– Política de uso de Correo Electrónico:
• Definición del tipo de uso aceptado: “El servicio de correo
electrónico se proporciona para que los empleados realicen
funciones propias del negocio,cualquier uso personal deberá
limitarse al mínimo posible”
• Prohibiciones expresas: “ Se prohíbe el envío de mensajes
ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”
• Declaración de intención de monitorear su uso: “La empresa
podrá monitorear el uso de los correos en caso que se sospeche
del mal uso”
Procedimiento
 Define los pasos para realizar una actividad
 Evita que se aplique criterio personal.
 Ejemplo:
– Procedimiento de Alta de Usuarios:
• 1.- Cada vez que se contrate a una persona , su jefe directo
debe enviar al Adminsitrador de Privilegios una solicitud
formal de creación de cuenta, identificando claramente los
sistemas a los cuales tendrá accesos y tipos de privilegios.
• 2.-El Administrador de privilegios debe validar que la solicitud
formal recibida indique: fecha de ingreso,perfil del usuario,
nombre , rut, sección o unidad a la que pertenece.
• 3.- El Administrador de privilegios creará la cuenta del usuario
a través del Sistema de Administración de privilegios y
asignará una clave inicial para que el usuario acceda
inicialmente.
• 4.- El Administrados de privilegios formalizará la creación de
la cuenta al usuario e instruirá sobre su uso.
Estándar
 En muchos casos depende de la tecnología
 Se debe actualizar periódicamente
 Ejemplo:
– Estándar de Instalación de PC:
• Tipo de máquina:
– Para plataforma de Caja debe utilizarse máquinas Lanix
– Para otras plataformas debe utilizarse máquinas Compaq o HP.
– Procesador Pentium IV , con disco duro de 40 GB y memoria
Ram 253 MB
• Registro:
– Cada máquina instalada debe ser registrada en catastro
computacional identificando los números de serie de componente
y llenar formulario de traslado de activo fijo
• Condiciones electricas:
– Todo equipo computacional debe conectarse a la red electrica
computacional y estar provisto de enchufes MAGIC
Que se debe tener en cuenta
 Objetivo: qué se desea lograr
 Alcance: qué es lo que protegerá y qué áreas serán
afectadas
 Definiciones: aclarar terminos utilizados
 Responsabilidades: Qué debe y no debe hacer cada
persona
 Revisión: cómo será monitoreado el cumplimiento
 Aplicabilidad: En qué casos será aplicable
 Referencias: documentos complementarios
 Sanciones e incentivos
Ciclo de vida del Proyecto
 Creación
 Colaboración
 Publicación
 Educación
 Cumplimiento
Enfoque
Metodológico
Políticas de seguridad y
Controles
 Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas
 Si no se tienen políticas claras , no se sabrá qué
controlar.
 Orientación de los controles:
– PREVENIR la ocurrencia de una amenaza
– DETECTAR la ocurrencia de una amenaza
– RECUPERAR las condiciones ideales de
funcionamiento una vez que se ha producido un evento
indeseado.
Ejemplo:Modelo Seguridad
Informática (MSI) a partir de
políticas de seguridad de la
información institucionales
 Estructura del modelo adoptado:
– Gestión IT (Tecnologías de Información)
– Operaciones IT
 Para cada estructura incorpora
documentación asociada como políticas
específicas, procedimientos y estándares.
Gestión IT
 Objetivo: contar con procedimientos
formales que permitan realizar
adecuadamente la planeación y desarrollo
del plan informático.
 Contiene:
– Objetivo y estrategia institucional
– Plan Informático y comité informática
– Metodología de Desarrollo y Mantención
Operaciones IT
 Objetivo: Contar conprocedimientos formales para
asegurar la operación normal de los Sistemas de
Información y uso de recursos tecnológicos que
sustentan la operación del negocio.
 Contiene:
– Seguridad Física sala servidores
•
•
•
•
•
•
•
Control de acceso a la sala
Alarmas y extinción de incendios
Aire acondicionado y control de temperaturas
UPS
Piso y red electrica
Contratos de mantención
Contratos proveedores de servicios
– Respaldos y recuperación de información:
• Ficha de servidores
• Política Respaldos: diarios,semanales,mensuales,
históricos
– Bases de datos, correo electrónico, datos de usuarios,
softawre de aplicaciones, sistemas operativos.
• Administración Cintoteca:
– Rotulación
– Custodia
– Requerimientos, rotación y caduciddad de cintas.
– Administración de licencias de software y
programas
– Seguridad de Networking:
•
•
•
•
•
•
•
Características y topología de la Red
Estandarización de componentes de red
Seguridad física de sites de comunicaciones
Seguridad y respaldo de enlaces
Seguridad y control de accesos de equipos de comunicaciones
Plan de direcciones IP
Control de seguridad WEB
– Control y políticas de adminsitración de Antivirus
• Configuración
• Actualización
• Reportes
– Traspaso de aplicaciones al ambiente de explotación
•
•
•
•
•
•
•
Definición de ambientes
Definición de datos de prueba
Adminsitración de versiones de sistema de aplicaciones
Programas fuentes
Programas ejecutables
Compilación de programas
Testing:
– Responsables y encargados de pruebas
– Pruebas de funcionalidad
– Pruebas de integridad
• Instalación de aplicaciones
• Asignación de responsabilidades de harware y software para
usuarios
• Creación y eliminación de usuarios :
– Internet, Correo electrónico
• Administración de privilegios de acceso a sistemas
• Administración y rotación de password:
–
–
–
–
–
Caducidad de password
Definición de tipo y largo de password
Password de red , sistemas
Password protectores de pantalla, arranque PC
Fechas y tiempos de caducidad de usuarios
• Controles de uso de espacio en disco en serviodres
– Adquisición y administración equipamiento usuarios:
• Política de adquisiciones
• Catastro computacional
• Contrato proveedores equipamiento
Conclusiones
 La Información es uno de los activos mas valiosos
de la organización
 Las Políticas de seguridad permiten disminuir los
riesgos
 Las políticas de seguridad no abordan sólo aspectos
tecnológicos
 El compromiso e involucramiento de todos es la
premisa básica para que sea real.
 La seguridad es una inversión y no un gasto.
 No existe nada 100% seguro
 Exige evaluación permanente.
 La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.