Política de seguridad

ramirocid.com [email protected] Twitter: @ramirocid

Política de Seguridad

Ramiro Cid | @ramirocid

1




Contenido

� Políticas de Seguridad

� Procedimientos de Seguridad

� Gestión de la Seguridad� Manuales Operativos

� Implantación



Gestión global de Seguridad de un Sistema de Información

Fases:

Análisis y Gestión de Riesgos

Determinar Objetivos y Política de Seguridad

Establecer Planificaciónde Seguridad

Implantar Salvaguardas

Monitorización y gestión de Cambios en la

Seguridad



Introducción

Seguridad de la organización: Conjunto de decisiones aceptadas en una comunidad que determinan una postura sobre la seguridad

� Explican qué está permitido y qué no

� Determina los límites del comportamiento aceptable y la respuesta si se sobrepasan

� Tiene que identificar los riesgos



Introducción

Ha de ser específica a la organización

Al diseñar una solución de seguridad deben tomarse decisiones. Éstas forman la forma de actuación de la organización

Al prepararla con anterioridad al diseño:

� Las decisiones habrán sido tomadas a priori

� Existirá un documento de referencia para todos

� Será más completa




Documento que establece quién está autorizado a acceder a qué tipo de información y señala los estándares y reglas que se van a adoptar y qué

tipo de medidas de seguridad serán necesarias.

� Define qué se protege, de quién/qué y por qué

� Da pautas de actuación ante posibles problemas

� Define responsabilidades



Propósito

Definir lo que se entiende por seguridad:

� Autenticación� Autorización� Privacidad de los datos� Integridad de los datos

Informar a los empleados y directivos de su obligación de proteger los activos

de la organización



Propósito

� Especificar los mecanismos mediante los cuales se ha de satisfacer

dichas obligaciones

� Proveer los principios básicos por los que han de guiarse al adquirir,

configurar y auditar el sistema de información.

� Proporcionar el compromiso y soporte de la

Dirección en todo lo relacionado a la seguridad



Errores comunes

� Si la organización no tiene una política de seguridad informática formal:

� Cada organización la tiene implícitamente

� No se pueden tomar decisiones

� La política de seguridad no tiene planes de respuesta en caso de incidentes o desastres

� Los planes no funcionan cuando se necesitan



Reglas básicas para la Definición de Políticas de Seguridad

R1: Debe cubrir TODOS los aspectos involucrados en posibles contingencias.

R2: Debe ADECUARSE a las necesidades y recursos de la organización.

Pretendemos que un ataque a nuestros bienes sea MAS COSTOSO que su valor, INVIERTIENDO MENOS de lo que vale.



Pasos a seguir

� Evaluación de riesgos

� Definir la estrategia, los objetivos de seguridad

� Definir qué hay que hacer cuando se viola la política

� Notificar a la autoridad competente

� Corregir el problema

� Acciones disciplinarias

� Excepciones

� Comunicar e implementar la política



Especificaciones

� Debe ser corta, precisa y de fácil comprensión

� Las cuestiones y conflictos deberán ser resueltos refiriéndose a la política establecida

� La responsabilidad debe ir aparejada a autoridad

� La política debe proteger a la gente igual que protege a los datos

� La política protege la propiedad, la reputación y la continuidad de la actividad

� Deber ser conocida por TODOS los afectados dentro de la organización



Especificaciones

Debe Incluir:

� Declaración de propósitos

� Debe cubrir los objetivos básicos (Autenticidad, Confidencialidad, Integridad y Disponibilidad)

� Define quién es quién

� Quienes son los usuarios

� Quién identifica los datos y accesos

� Quién debe auditar

� Quién debe responder



Especificaciones

No debe incluir:

� Nombres del personal

� Nombres de productos

� Nombres de estándares específicos o niveles de seguridad



Aspectos importantes

� Las medidas de seguridad tienen que ser transparentes a los usuarios

� Es importante la cultura de la seguridad entre los usuarios:

� Que generan aproximadamente el 80% de los problemas de seguridad

� Todo bien determinado en la política de seguridad



Siguientes pasos

A partir de esta política de seguridad se aplican las medidas y se redactan

las subpolíticas, normas y procedimientos:

� Seguridad Física� Seguridad Lógica� Mantenimiento de HW y SW� Etc



Guión Política

� Objetivos: qué quiere conseguir la política

� Alcance: que elementos de la organización están

incluidos

� Políticas Específicas

� Responsabilidades: Define el responsable

� Revisión: Quién ha aprobado la política



Un caso concreto...

Borrador de cómo se definiría una política de seguridad en una entidad bancaria

� Declaración de propósitos

“Para dar soporte a la actividad diaria de la entidad bancaria (en adelante la Entidad), el Laboratorio de Cálculo proporciona recursos informáticos (ordenadores, redes de comunicaciones, y sistemas de información) a los empleados y clientes de la Entidad. “



Un caso concreto...

Derechos y Responsabilidades

� “Los ordenadores y la red proporcionan acceso y recursos dentro y fuera del ámbito de la Entidad, a la vez que permiten la comunicación con usuarios a través del mundo. Este privilegio de tener un acceso abierto, implica que los usuarios han de actuar con responsabilidad. Los usuarios han de respetar los derechos de los otros usuarios, respetar la integridad del sistema y de los recursos físicos y respetar las leyes y las regulaciones vigentes.”



Un caso concreto…

Derechos y Responsabilidades

� “El usuario se compromete a utilizar los recursos informáticos de la Entidad exclusivamente para fines relacionados estrictamente con su actividad diaria, queda explícitamente excluido cualquier uso comercial no autorizado.”



Un caso concreto...

Contexto legal

� “El contexto legal incluye las leyes existentes y las regulaciones de la Entidad, incluyendo no sólo las normas específicas a los sistemas informáticos, si no también las normas generales de conducta”. (ej. LOPD)

� Los acuerdos existentes con otras entidades bancarias.

� “El uso incorrecto podrá ser perseguido judicialmente”.



Uso Incorrecto

Ejemplos de uso incorrecto

� “Las actividades de la siguiente lista son ejemplos de uso incorrecto, aunque no los incluye todos:� Uso de cuentas de ordenador sin autorización. Obtener el password de una cuenta

de usuario sin la autorización del propietario.

� Uso de la red informática de la Entidad para conseguir acceso no autorizado a cualquier ordenador.

� Realizar con conocimiento de causa cualquier acto que interfiera en el correcto funcionamiento de los ordenadores, terminales, periféricos o de la red informática.



Uso Incorrecto

Ejemplos de uso incorrecto (II)

� Violaciones de las leyes de protección de datos, de licencias de programas y de derechos de autor (Copyright).

� Utilizar el correo electrónico para insultar u ofender a personas o entidades.

� Enmascarar la identidad de una cuenta de usuario o de ordenador.

� Robo de información.

� Venta de información.

� Divulgación de información privada.



Uso Incorrecto

Ejemplos de uso incorrecto (III)

� “Algunas de estas actividades no serán consideradas como uso incorrecto de los recursos informáticos de la Entidad cuando estén autorizadas para probar o incrementar la seguridad informática de la misma.”

Aplicación

� “Las sanciones podrán ser impuestas por uno o más de los estamentos jurídicos del estado.”



Procedimientos de Seguridad

Documentación que forma el Sistema de Gestión del Sistema de

Información y deja claramente definidas las responsabilidades, tareas y

todos aquellos deberes y derechos de los usuarios frente a la seguridad

del sistema

“La Seguridad somos todos”



Documentación de Seguridad

Formato

� Plantillas de documentación� Control de versiones

� quién la revisa (y cuando)� quién la aprueba (y cuando)

� Objetivos� Alcance� Validez� Confidencialidad� Contenido



Legislación

No conocer una ley no exime de su cumplimiento

Leyes a tener en cuenta:

� LOPD (Ley Orgánica de Protección de datos� LSSICE (Ley de Servicios de la Sociedad de

Información y Comercio Electrónico)

Una política de seguridad debe garantizar el cumplimiento de la legislación vigente y mantenerse actualizada conforme a la misma.



¿Dudas? ¿preguntas?

¡¡ Muchas Gracias !!

[email protected]

@ramirocid

http://www.linkedin.com/in/ramirocid

http://ramirocid.com http://es.slideshare.net/ramirocid

http://www.youtube.com/user/cidramiro

Ramiro CidCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Technology

Política de seguridad