6. Políticas, planes y procedimientos deseguridad

[Plano Organizacional]

6.1 Definiciones

Podemos definir una Política de Seguridad como una "declaración de intenciones de alto nivel que cubre laseguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidadespara las diversas actuaciones técnicas y organizativas que se requieran " (RFCs 1244 y 2196).

Un Plan de seguridad es un conjunto de decisiones que definen cursos de acción futuros, así como losmedios que se van a utilizar para conseguirlos.

Un Procedimiento de seguridad es la definición detallada de los pasos a ejecutar para llevar a cabo unastareas determinadas. Los Procedimientos de Seguridad permiten aplicar e implantar las Políticas de Seguridadque han sido aprobadas por la organización.

En este sentido, las Políticas definen "qué" se debe proteger en el sistema, mientras que los Procedimientos de

Seguridad describen "cómo" se debe conseguir dicha protección. En definitiva, si comparamos las Políticas deSeguridad con las Leyes en un Estado de Derecho, los Procedimientos serían el equivalente a los Reglamentosaprobados para desarrollar y poder aplicar las Leyes.

6.2 Características deseables de las políticas de seguridad

Las políticas de seguridad deberían poder ser implementadas a través de determinados procedimientosadministrativos y la publicación de unas guías de uso aceptable del sistema por parte del personal, asícomo mediante la instalación, configuración y mantenimiento de determinados dispositivos y herramientasde hardware que implanten servicios de seguridad.

Deben definir claramente las responsabilidades exigidas al personal con acceso al sistema: técnicos,analistas y programadores, usuarios finales, directivos, personal externo a la organización.

Debe cumplir con las exigencias del entorno legal.

Se tienen que revisar de forma periódica para poder adaptarlas a las nuevas exigencias de laorganización y del entorno tecnológico y legal.

Aplicación del principio de "Defensa en profundidad": definición e implantación de varios niveles o capasde seguridad.

Asignación de los mínimos privilegios: los servicios, las aplicaciones y usuarios del sistema deberían tenerasignados los mínimos privilegios necesarios para que puedan realizar sus tareas. La política por defectodebe ser aquella en la que todo lo que no se encuentre expresamente permitido en el sistema estaráprohibido. Las aplicaciones y servicios que no sean estrictamente necesarios deberían ser eliminados delos sistemas informáticos.

Configuración robusta ante fallos: los sistemas deberían ser diseñados e implementados para que, encaso de fallo, se situaran en un estado seguro y cerrado, en lugar de en uno abierto y expuesto aaccesos no autorizados.

Las Políticas de Seguridad no deben limitarse a cumplir con los requisitos impuestos por el entorno legal olas exigencias de terceros, sino que deberían estar adaptadas a las necesidades reales de cadaorganización.

6.3 Definición e implantación de las políticas de seguridad

Aspectos a considerar:

Alcance: recursos, instalaciones y procesos de la organización sobre los que se aplican.Objetivos perseguidos y prioridades de seguridad.Compromiso de la Dirección de la organización.Clasificación de la información e identificación de los activos a proteger.Análisis y gestión de riesgos.Elementos y agentes involucrados en la implantación de las medidas de seguridad.Asignación de responsabilidades en los distintos niveles organizacionales.Definición clara y precisa de los comportamientos exigidos y de los que están prohibidos por parte delpersonal (Appropiate User Policy)Identificación de las medidas, normas y procedimientos de seguridad a implantar.Gestión de las relaciones con terceros (clientes, proveedores, socios)Gestión de incidentes.Planes de contingencia y de continuidad del negocio.Cumplimiento de la legislación vigente.Definición de las posibles violaciones y de las consecuencias derivadas del incumplimiento de las políticasde seguridad.

Personas implicadas en las Políticas de seguridad:

Directivos y responsables de los distintos departamentos y áreas funcionales de la organización.Personal del Departamento de Informática y ComunicacionesMiembros del Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT, Computer SecurityIncident Response Team), en caso de que éste exista.Representantes de los usuarios que pueden verse afectados por las medidas adoptadas.Consultores externos expertos en seguridad informática.

Documentos

Título y codificación.Fecha de publicación.Fecha de entrada en vigor.Fecha prevista de revisión o renovación.Ambito de aplicación ( a toda la organización o sólo a un determinado departamento o unidad denegocio).Descripción detallada de los objetivos de seguridadPersona responsable de la revisión y aprobaciónDocumento (o documentos) al que reemplaza o modificaOtros documentos relacionados.

En los procedimientos será necesario especificar además:

Descripción detallada de las actividades que se deben ejecutarPersonas o departamentos responsables de su ejecución

Momento y/o lugar en que deben realizarseControles para verificar su correcta ejecución

6.4 Inventario de los recursos y definición de los serviciosofrecidos

La implantación de los distintos elementos de las Políticas de Seguridad requiere de un inventario previo y delmantenimiento de un registro actualizado de los recursos del sistema informático de la organización:equipamiento de hardware y de comunicaciones, software, datos, documentación, manuales, consumibles, etc.

Asimismo, será necesario identificar los distintos puntos de acceso a la red y los tipos de conexiones utilizadas.

Centros de tratamiento y locales donde se encuentren ubicados losservidores/computadoras o se almacenen medios de almacenamiento concopias de los datos.Puestos de trabajo, bien locales o remotos, desde los que se pueda teneracceso a los ficheros con datos de carácter personal.Servidores, computadoras personales, laptops, agendas electrónicas,impresoras y otro equipamiento informático.Sistemas operativos y aplicaciones informáticas instaladas.Infraestructura de red de datos y de comunicaciones de la organización.Documentación y manuales de las aplicaciones y dispositivos del sistemainformático.Bases de datos, archivos y documentos.

El inventario de los distintos recursos facilitará el posterior análisis de las vulnerabilidades del sistemainformático, identificando los posibles objetivos de los ataques o intentos de intrusión.

Distinguir entre los servicios ofrecidos para los usuarios internos y aquellos que sean para usuarios externos.

Los responsables de la organización deberían definir las condiciones de uso aceptable para cada uno de estosservicios, así como qué áreas o departamentos se van a encargar de ofrecer los distintos servicios y quépersonas serán las responsables de administrar y supervisar cada uno de estos servicios.

6.5 Realización de pruebas y auditorías periódicas.

La realización de pruebas y auditorías periódicas de seguridad constituyen un elemento de gran importanciapara poder comprobar la adecuada implantación de las directrices y medidas definidas en las Políticas deSeguridad.

Análisis de posibles vulnerabilidades del sistema informático, empleando herramientas como Nessus oInternet Security Scanner para tratar de localizar de forma automática algunas de las vulnerabilidadesmás conocidas.

Sondeos de seguridad que complementan el análisis de vulnerabilidades con tareas de detección y derevisión de la instalación y configuración de los equipos de seguridad (firewalls, antivirus, IDS, entreellos).

Pruebas de intrusión, en las que no sólo se detectan las vulnerabilidades, sino que se trata de explotarlas que se hayan identificado para tratar de comprometer el sistema afectado.

Otras pruebas de seguridad que contemplan aspectos humanos y organizacionales, recurriendo atécnicas como la "Ingeniería Social" para tratar de descubrir información sensible o determinados detallessobre la configuración y el funcionamiento del sistema.

El análisis y evaluación de riesgos, en el que se pretende determinar cuál es el nivel de riesgo asumidopor la organización a partir del análsis de posibles amenazas y vulnerabilidades.

Por otra parte, también conviene estudiar la respuesta de la organización ante ataques simulados ydeterminados tipos de incidentes de seguridad, de forma que se pueda comprobar la adecuada ejecuciónde las tareas y la disponibilidad de recursos previstos en los planes de contingencia.En los trabajos de auditoría se deberá revisar el nivel de cumplimiento de los requisitos legales.

6.6 Elementos de las políticas de seguridad

6.6.1 Seguridad frente al personal

Alta de empleados

Revisar sus referenciasContratos de confidencialidad cuando los datos sean sensiblesDefinir el procedimiento para la creación de cuentas de usuario (identificación y autenticación)Establecer derechos, obligaciones y responsabilidades

Baja de empleados

Definir el procedimiento de cancelación o bloqueo de cuentasRevocación de permisos y privilegiosDevolución de equipos, tarjetas y otros dispositivos

Funciones, obligaciones y derechos de los usuarios

Otros aspectos:

Privacidad de los usuariosComplementar con manuales de políticas y procedimientosSensibilización de los usuariosPosibles violaciones y sanciones

6.6.2 Adquisición de productos

Evaluación de productos de acuerdo a las necesidades y requisitos del sistema, características técnicas,características de seguridad, costo-beneficio, fabricante, etc.Evaluación de proveedoresComparativos de ofertasTérminos y condiciones de compraInstalación y configuración de productosFormación y soporte a usuarios (incluyendo el personal técnico)Tareas de soporte y mantenimiento postventaActualización de productos con nuevas versiones y parches de seguridad

6.6.3 Seguridad física de las instalaciones

Protección frente a daños por fuego, inundación, explosiones, accesos no autorizados, etc.Selección de elementos constructivos internos más adecuados: puertas, paredes, suelos y falsos techos,canalizaciones eléctricas y de comunicaciones.Definición de distintas áreas o zonas de seguridad dentro del edifcicio:

Areas públicas: pueden acceder sin restricciones personas ajenas a la organización.Areas internas: reservadas a los empleadosAreas de acceso restringido: áreas criticas a las que sólo pueden acceder un grupo reducido deempleados con el nivel de autorización requerido (tener un listado de ellas).

Disponibilidad de zonas destinadas a la carga, descarga y almacenamiento de suministros.Implantación de sistemas de vigilancia basados en cámaras de CCTV (Circuito Cerrado de Televisión),alarmas y detectores de movimiento.Control de condiciones ambientales en las instalaciones, mediante un sistema independiente deventilación, calefacción, aire acondicionado y humidificación/deshumidificación (HVAC: Heating, Ventilatingand Air Conditioning System), en un esquema 24x7.

Otras:

Cerraduras, candados y mecanismos de anclajes de equiposFirmas de contratos o bitácoras de entrada y salidas al "site" o "data center"

6.6.4 Sistemas de protección eléctrica

Adecuada conexión de los equipos a la toma de tierraRevisión de instalación eléctrica especifica para el sistema informático, aislada del resto de la instalacióneléctrica de la organización.Filtrado de ruidos e interferencias electromagnéticas que pueden afectar el normal funcionamiento de losequiposUtilización de Sistemas de Alimentación Ininterrumpida (UPS) ej (http://www.apc.com)

6.6.5 Control de nivel de emisiones electromagnéticas

Todos los equipos informáticos y electrónicos emiten señales radioeléctricas que podrían revelar información deinterés a aquellos usuarios con los medios para interceptar y analizar dichas señales. Bastaría un antenadireccional , amplificadores y equipos de radiofrecuencia conectados a una computadora.

Esto puede hacerse para duplicar la imagen de monitoresInformación escrita en discos duros o bien enviada a través de la red

Se debe seguir el estándar TEMPEST (Transient Electromagnetic Pulse Emission Standar, Estándar de emisiónde pulsos electromagnéticos transitorios) :

Aislamiento (jaula de Faraday)FiltrosUsar fibra óptica o cables apantallados (STP: Shielded Twister Pair)

6.6.6 Vigilancia de la red y de los elementos de conectividad

Cuidar todo lo relacionado con dispositivos de red, como los hubs, switches, routers o puntos de accesoinalámbricos, impidiendo accesos no autorizados.

Se pueden recurrir a medidas extremas como tubos con aire a presión o reflexómetros

6.6.7 Protección en el acceso y configuración de los servidores

Contraseñas de accesoSeparación de serviciosRespaldosEtc. (de todo este tema se hablará más adelante)

6.6.8 Copias de seguridad

Registro de copias

Registro de restauraciones

6.6.9 Control de la seguridad de impresoras y otros dispositivos periféricos

Limitar y controlar accesosHorariosEvitar comparticiones

6.6.10 Administración de los soportes/mantenimientos informáticos

* Contemplarlos en el presupuesto

6.6.11 Borrado de información

Garantizar que no exista recuperación de información de los dispositivos ej con Wipe(http://wipe.sourceforge.net/ y http://abaababa.ouvaton.org/wipe/)Eliminar toda información sensible al usuario, cookies, addressbook, passwords

En el caso de papel o inclusive discos enteros utilizar máquinas destructoras (ej.http://www.semshred.com/)

6.6.12 Autorización y control de acceso

Mediante el control de acceso a los distintos recursos del sistema es posible implementar las medidas definidaspor la organización, teniendo en cuenta las restricciones de acceso a las aplicaciones, a los datos guardados, alos servicios ofrecidos y a otros recursos de tipo lógico del sistema.

El modelo de seguridad aplicado en el Control de Acceso se basa en la definición y gestión de determinadosobjetos lógicos (dispositivos lógicos, archivos, servicios) y sujetos (usuarios y grupos, equipos, procesos,roles) a los que se conceden derechos y privilegios para realizar determinadas operaciones sobre los objetos.Estos derechos y privilegios se pueden verificar mediante el proceso de autorización de acceso.

Podemos distinguir dos tipos de control de acceso:

Control de Acceso Obligatorio (MAC, Mandatory Access Control): los permisos de acceso son definidos porel sistema operativo.Control de Acceso Discrecional (DAC, Discrecionary Access Control): los permisos de acceso los controla yconfigura el propietario de cada objeto.

6.6.13 Protección de datos y documentos sensibles

Clasificación de documentos y datos de acuerdo a su nivel de importancia y confidencialidad:

Información sin clasificar o desclasificadaInformación de uso internoInformación confidencialInformación secreta o reservada

Se puede recurrir a mecanismos como la encriptación cuando sea necesario. (www.digisafe.com)

6.6.14 Auditoría a la administración de la seguridad

Tiene como objetivo poder verificar de manera periódica la correcta configuración de los equipos y el nivel deimplantación de las políticas y procedimientos de seguridad definidos por la organización, así como laadecuación de éstas a las nuevas necesidades y características del sistema informático de la organización.

Existen organismos reconocidos para asistir en esta tarea como la ISACA ( Information Systems Audit andControl Association, www.isaca.org)

Etapas en una auditoría:

Planificación de la auditoría (tareas a realizar y recursos necesarios), definiendo el ámbito y los objetivosperseguidos. Asimismo, será necesario proceder a la validación de estos objetivos con los dueños yresponsables del sistema.

1.

Realización de las tareas planificadas, documentando cada una de estas tareas y los resultadosobtenidos.

2.

Validación de los resultados de la auditoría3.Elaboración del informe con los resultados de la auditoría, las conclusiones y recomendaciones4.Presentación y aprobación de la auditoría por parte de los dueños y responsables del sistema5.

Nota: llevar un registro de las auditorías ("audit trails")