políticas de seguridad de la información - bps.gub.uy · explotada por una o más amenazas. ......

Políticas de Seguridad de la Información

Introducción

1


• Capacitación/Concientización sobre las Políticas de Seguridad de la Información del BPS.

• Objetivo: conocer, entender y poner en prácticas las Políticas de Seguridad de la Información.

• Duración: 1 jornada.

• Capacitadores (integrantes de CSEI-GSEG): – Alvaro Arias

– Martin Uberti

– Mauricio Papaleo

• Evaluación: 1 cuestionario de múltiple opción.

2

• Introducción

• Políticas de Seguridad de la Información

• Marco Conceptual y Estructura documental

• Ciclo de vida de las Políticas y Plan de Trabajo

• Definiciones

• Políticas Específicas

• Referencias

• Preguntas

Agenda

3

• Introducción




• Definiciones


• Referencias

• Preguntas

Agenda

4

Video

5

CNN Chile Ataques cibernéticos nos generan nuevos interrogantes sobre Seguridad de la Información Duración 2:23

Trabajo Grupal

Intente enumerar, al menos 10 problemas relacionados con la Seguridad de la Información, más críticos con respecto a su impacto.

6

Duración: 10 minutos

Introducción

La Información

• La información es uno de los

activos más importantes en

el mundo actual.

• El uso intensivo de herramientas informáticas para tratar esa información es una realidad actual en todas las organizaciones, pero acarrea nuevas problemáticas.

7

Introducción

Problemáticas • Variedad de vulnerabilidades y

amenazas, como la aparición de fallas de seguridad informática tanto por aspectos técnicos como por cuestiones humanas, operativas, etc..

• La seguridad debe ser encarada como un todo (personas, procesos, herramientas) y debe existir un compromiso muy fuerte de la alta gerencia.

8

Introducción Además…

Existen normas establecidas: • Secreto Tributario • Secreto Bancario • ………

Y nuevas leyes que comienzan a incorporar temas del tratamiento de la información: • Ley 18.331 Protección de Datos Personales y Acción de

Habeas Data • Ley 18.381 Derecho de Acceso a la Información Pública • Ley 18.600 Documento Electrónico y Firma Electrónica • Decretos del Poder Ejecutivo:

• N°450/2009 Gobierno Electrónico en Red • N°451/2009 Reglamentación Centro Nacional de

Respuesta a Incidentes de Seguridad Informática • N°452/2009 Política de Seguridad de la

Información para Organismos de la Administración Pública

9

Introducción

Volviendo a las problemáticas… • ¿Que son las vulnerabilidades? Es una debilidad de un activo o de un

grupo de activos, que puede ser explotada por una o más amenazas.

• ¿Que son las amenazas? Son una causa potencial de un

incidente indeseado, que puede dar lugar a daños a un sistema o una organización. Las amenazas “explotan” vulnerabilidades.

10

Introducción

Amenaza

Naturales Incendios,

terremotos, inundaciones

Humanas

Maliciosas

Internas

Externas

No Maliciosas Impericia

11

Introducción

¿Por qué aumentan las amenazas? • Rédito económico • Falta de capacitación • Técnicas de ingeniería social • Mayor dependencia de los sistemas

informáticos • Crecimiento exponencial de redes y

usuarios • Inmadurez de nuevas tecnologías • Alta disponibilidad de herramientas

automatizadas para el ataque • Nuevas técnicas de ataques distribuidos

12

Introducción

¿Y en Uruguay?

13

• 2010: se supo de 23 ataques informáticos graves. Fuente: CERTuy

• Fiscal Mirtha Guianze: 2 veces le robaron el laptop con información confidencial.

• Se detectaron ataques de phishing que cobraban la plata a través del BROU.

• Sitios web atacados: Ministerio del Interior, Ministerio de Turismo, Ministerio de Ganadería…

Introducción

14

• Introducción




• Definiciones


• Referencias

• Preguntas

Agenda

15


¿Por qué tener Políticas de Seguridad de la Información?

• Aumenta el nivel de seguridad en las organizaciones

• Permite mejorar la planificación de actividades relacionadas

• Permite la mejora continua

• Aumento el Involucramiento

• Incrementa el Conocimiento

• Permite mejorar el cumplimiento

de Leyes y Decretos

16

VIDEO

17

INTECO Conceptos básicos sobre Seguridad de la Información


Políticas de Seguridad de la Información • Buscan garantizar condiciones y características

de los datos y la información basándose en: – Confidencialidad: que la información sea

accesible solo por aquellas personas autorizadas.

– Integridad: en el sentido de salvaguardar la exactitud y totalidad de la información así como los métodos de procesamiento y transmisión.

– Disponibilidad: que solo los usuarios autorizado tengan acceso a la información (y a los recursos relacionados) cada vez que lo necesiten.

18


Contexto BPS • Preocupación constante por la

Seguridad de la Información desde las áreas funcionales e informáticas.

• Implantación de diferentes tipos de controles de forma progresiva a lo largo del tiempo.

• Auditorías internas llevadas a cabo con tales objetivos y diferentes consultorías (Ej. KPMG – 2004).

• Creación del Grupo de Trabajo (R.D. 33-15/2006 de 20/09/06) creado por el Directorio para la definición, difusión, gestión y control de la Política de Seguridad Corporativa.

19


El Grupo de Trabajo esta integrado por: • Auditoría Interna (coordinación) • Administración • Asesoría en Informática y Tecnologías (ASIT) • Coordinación de Servicios Informáticos (CSEI) ¿Que hicimos a nivel de CSEI?: creación del área Gestión de Seguridad. Luego, como parte de este Grupo de Trabajo, ASIT Y CSEI presentaron una propuesta de Políticas de Seguridad de la Información.

20

• Introducción




• Definiciones


• Referencias

• Preguntas

Agenda

21

¿Por qué Políticas de Seguridad de la Información en el BPS?

• La Seguridad de la Información debe de estar en el núcleo de cualquier programa de Seguridad.

• Necesidad de complementar los controles tecnológicos con buenas prácticas por parte de los funcionarios.

• Capacitación, formación y sensibilización son elementos fundamentales.

• Reconocimiento de que la seguridad es importante para el BPS y que debe ser un compromiso de todos sus funcionarios.

Marco Conceptual y Estructura Documental

22

Beneficios • Proveen una forma recomendada de cómo

manejar la seguridad de la información. • Base sólida, escalable y común para aplicar

a lo largo y ancho de todo el BPS. • Aumentan la concientización sobre la

seguridad en todos los funcionarios. • Permiten mostrar cumplimientos de leyes,

normas y reglas establecidas a nivel nacional e internacional establecidas para la protección de activos vitales.

• Permiten ser medibles, controlables y mejorables, por estar basadas en estándares internacionales.


23


Consideraciones tomadas • Concisa, fácil de entender. • Que indicara claramente por qué es importante la Seguridad de la

Información en el BPS. • Que incluyera lo que esta permitido y lo que no, las responsabilidades

involucradas y las posibles sanciones. • Que permitiera un fácil mantenimiento (son documentos «vivos»).

• Utilizar un enfoque iterativo, comenzando con las de más impacto y una adopción gradual.

• Que mantuviera un equilibrio razonable entre los niveles de protección y los de productividad

24

ARQ -

TOGAF

Proceso Desarroll

o SW - RUP

Gestión de Proyectos - PMI

Gestión de Calidad - Deming

Medición y Análisis - CMMI

Gestión de Servicios ITIL/ISO

20000

Niveles de madurez - CMMI

PLAN CALIDAD

CSEI

Políticas Seguridad de la Información ISO 27000

UNIT-ISO/IEC 20000

UNIT-ISO/IEC 27002

UNIT-ISO/IEC 18044


Marco Conceptual

25


Estructura Documental • Política General con principios y

compromisos generales a nivel de la Seguridad de la Información

• Políticas Específicas orientando grandes temas o subtemas particulares pautando comportamiento

• Normas o Estándares para el uso de determinadas tecnologías.

• Procedimientos detallados de implementación en ambientes operativos.

26


Política General

Apoya los principios y compromisos de la Política de Seguridad Corporativa en lo relacionado con la Seguridad de la información.

27

(RD 40-3/2010 22/12/2010)


Políticas Específicas

• Forman parte de la Política de Seguridad de la Información y tienen el mismo nivel de obligatoriedad.

• Orientadas a grandes temas o subtemas particulares pautando el comportamiento que en cada caso se debe de cumplir.

28


Normas o Estándares • Son documentos específicos para el

uso de determinadas tecnologías de forma uniforme en el BPS, con la finalidad de alcanzar las Políticas Especificas definidas.

• Se basan en documentos publicados por la Administración de Normas y Estándares Informáticos de la ASIT

29


Procedimientos

Expresan en forma detallada como deben implantarse las políticas específicas sustentadas por los Estándares y las Mejores Prácticas, en un ambiente operativo determinado.

30


Políticas Especificas Cifrado de Datos Conexión de Usuarios Externos Plan de Contingencia Informática Control de Acceso Lógico Correo Electrónico Equipos Móviles Estaciones de Trabajo Manejo de Medios Removibles Respaldos Retiro y Trasiego de Equipamiento Informático Uso de Internet Privacidad y Uso en Internet Gestión de Incidentes de Seguridad de la Información

31

(RGG 170/2011

07/06/2011)

• Introducción




• Definiciones


• Referencias

• Preguntas

Agenda

32

Ciclo de Vida de las Políticas y Plan de Trabajo

Ciclo de Vida de las Políticas

• Las Políticas deben tener un ciclo de vida donde se revisen y corrijan constantemente.

• No son ESTATICAS sino que se van modificando conforme las necesidades del negocio y/o las tecnologías van cambiando.

33


Plan de Trabajo • Redacción inicial. • Revisión Legal. • Revisión Gerencial (CSEI-ASIT).

• Adopción de las Políticas por el BPS (R.D. 40-3/2010 de 22/12/10).

• Establecimiento del Periodo de Gracia (1 año) para comenzar a controlarlas.

34

Concientización

Implantación

Auditorías


Plan de Trabajo 2011-2012:

• Aprobación por GG de las Políticas Específicas.

• Concientización y Capacitación a todos los funcionarios (presencial y online).

• Redacción de la «última milla» (PROCEDIMIENTOS).

• Implantación del Proceso de Gestión de Incidentes de Seguridad.

2012-2013 y más allá:

• Implementación de los Procedimientos (Controles).

• Recepción de Incidentes

• Auditorias.

• Ciclo de Vida.

35

VIDEO

36

INTECO Que aporta la Seguridad de la Información al negocio?

Video

37

INTECO Si no lo haces en tu vida normal, ¿Por qué lo haces en Internet?

Duración 2:23

Trabajo Grupal

• Enumere 5 problemas que consideren graves en materia de Seguridad de la Información en el BPS.

• Enumere 5 actividades que considera que ayudan a mejorar la Seguridad de la Información en el BPS.

38

Duración: 15minutos

• Introducción




• Contenido y Definiciones


• Referencias

• Preguntas

Agenda

39

Contenido y Definiciones ¿Qué contiene la Política de Seguridad de la

Información del BPS ?

• El reconocimiento de la importancia de identificar y proteger activos de información por parte del Directorio.

• El compromiso de implementar las medidas de Seguridad comprendidas en la Política.

• Como será la implantación de la Política.

• La estructura de los documentos.

• Las responsabilidades.

• Define el alcance y el cumplimiento.

40

Contenido y Definiciones

Estructura de los Documentos

41


Responsabilidades Todos los funcionarios

Cumplimiento de las Políticas

Gerentes Nivel 1 y todos los funcionarios con niveles de supervisión Verificar el cumplimiento por parte del personal a su cargo

Gestión de Seguridad Implementar las acciones que se desprendan de las Políticas Especificas

Unidad de Auditoría Interna Practicar auditorias periódicas sobre sistemas y actividades vinculantes

42


Alcance y Cumplimiento

• Todos los funcionarios y usuarios de la información y las empresas contratadas.

• Usuarios Externos.

• Sanciones de acuerdo al marco vigente y aplicable: Reglamento de Responsabilidad Administrativa.

43


¿Cómo se implementan?

• Mediante un conjunto de controles – Procedimientos, buenas prácticas.

– Funciones de software e infraestructura

• ¿Que implica?: – Rol activo de todos los funcionarios

– Capacitar/Concientizar

– Establecer objetivos de mejora continua

– Cumplir con requisitos legales y contractuales

44


Activo de Información.

Activo de Tratamiento de la Información.

Propietario de un Activo/Activo de Tratamiento de la Información.

Sistema de Autorizaciones Corporativo.

Dueño de un Identificador.

Spam.

45


Activo de Información

• archivos, bases de datos, documentación, manuales, procedimientos, planes de continuidad, información de configuración y cualquier otro componente de la misma categoría.

Activo de Tratamiento de la Información

• Software de aplicación, software del sistema, herramientas y programas de desarrollo.

46


Propietario de un Activo/Activo de Tratamiento de la Información

• Funcionario del BPS a quien se ha designado como propietario de un Activo/Activo de Tratamiento de la Información del BPS.

Sistema de Autorización Corporativo

• Sistema informático que centraliza los permisos de acceso a las distintas funcionalidades de los Activos de Tratamiento de la Información.

47


Dueño de un Identificador

• Persona o Sistema a quien se le asigno un identificador y contraseña para su uso exclusivo y entera responsabilidad.

SPAM

• Mensaje electrónico no solicitado enviado en forma masiva. Sus contenidos pueden variar, siendo los más comunes: publicidad, pedidos de ayuda, ventas, ofertas.

48


HOAX (ó bulo informático) • Con este término inglés se hace referencia a un correo electrónico que

nos llega con contenido falso o engañoso y atrayente. Generalmente es distribuido en cadena por sus sucesivos receptores a todos sus contactos debido a su contenido impactante que parece provenir de una fuente seria y fiable o porque el mismo mensaje pide ser reenviado.

• Las personas que crean el bulo suelen tener como objetivo captar direcciones de correo (para luego sí mandar spam, virus, mensajes con suplantación de identidad o más hoax a gran escala) o confundir y manipular a la opinión pública de la sociedad.

• Básicamente, los bulos u hoax pueden tratar temas tales como: alertas sobre virus incurables, rumores sobre personas, instituciones o empresas, mensajes de temática religiosa, cadenas de solidaridad, cadenas de la suerte, métodos para hacerse millonario, regalos de grandes compañías y leyendas urbanas entre otros.

49

• Introducción






• Referencias

• Preguntas

Agenda

50

PSE 01 – Cifrado de Datos

PSE 01 – Cifrado de Datos • Objetivo:

Establece lineamientos para el tratamiento de datos que por su clasificación requieran un mayor nivel de seguridad para asegurar la confidencialidad, autenticidad e integridad.

• Alcance: Todos los Activos de la Información que contengan datos del BPS y cuya clasificación amerite el cifrado de los mismos.

51


¿Que significa cifrado de datos? El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo mediante la transformación del contenido, de manera que sólo pueda leerlo la persona que cuente con la herramientas y autorización adecuada para poder verlos.

Ejemplos Ingreso a aplicaciones web (https) Firma y encriptado de Correo Electrónico, Word. Encriptado del disco duro. Respaldos encriptados.

52


53

PSE 02 – Conexión de Usuarios Externos

PSE02 – Conexión de Usuarios Externos Orientado a personas físicas y jurídicas que realizan actividades con el BPS mediante los Servicios en Línea.

El propósito es impedir que usuarios no autorizados accedan a información a la cuál no tienen autorización, protegiendo adecuadamente la conexión y los servicios.

54


• Alcance

Sistemas de autorización y autenticación.

A los sectores que gestionan y desarrollan estas aplicaciones.

A las áreas que suministran usuarios a personas, físicas ó jurídicas y sistemas externos al BPS

55


Gestión de las solicitudes Debe existir un procedimiento formal, con conocimiento para

los Propietarios de los Activos de Información y Activos de Tratamiento de la Información.

Se debe de manejar la gestión completa del ciclo: solicitud, aprobación, modificación, revocación y notificación.

Principio de la mínima autorización necesaria.

Autenticación Posibilidad de utilizar diferentes tecnologías.

Ciclo de vida de las Contraseñas y Alta Seguridad para las mismas.

56


Autorización

Utilización del Sistema Corporativo de Autorizaciones (SCA).

Principio de la mínima autorización necesaria

Lo único habilitado es lo que esta en el SCA

Auditoria

Quien, que, cuando, donde, eventualmente por qué y cómo.

57


Ejemplos

• Contratos de acceso a los Servicios en Línea

• Sistema de Autorizaciones Corporativas.

58

Infografía Contraseñas + comunes

59

Infografía Contraseñas más comunes

PSE 03 – Control de Acceso Lógico

PSE03 – Control de Acceso Lógico Orientado a los funcionarios y personal contratado. Pautas de seguridad para proteger el acceso a los Activos de la Información y a los Activos de Tratamiento la Información del BPS, previniendo pérdidas, daños, hurtos y preservando la confidencialidad, integridad y disponibilidad de la información del BPS. Se logra mediante adecuados controles en:

• Ciclo de Vida de las Solicitudes de Autorizaciones • Autenticación, • Autorización y • Auditoria

60


• Alcance

Procedimientos de brindar acceso a los Activos y Activos de Tratamiento de la Información.

Todos los identificadores y contraseñas.

Las autorizaciones a los Activos y Activos de Tratamiento de la Información

Trazas de auditoría

61


Gestión de Solicitud Debe de existir en el procedimiento una aprobación previa.

Jerarca inmediato es el responsable del ciclo de vida (inicio/modificación/baja de la solicitud de acceso) y debe de realizar un proceso de revisión periódica.

Siempre utilizar el principio de la mínima autorización necesaria para la tarea a desarrollar al solicitar las autorizaciones.

Siempre debe de existir la comunicación al Propietario.

No se permite acceso a producción de personal de áreas de Tecnología.

Identificación y Autenticación Uso exclusivo del Dueño – personal e intransferible.

Ciclo de vida de las Contraseñas y Alta Seguridad para las mismas.

62


Autorización Utilización del SCA

Principio de la mínima autorización necesaria

Lo único habilitado es lo que esta en el SCA

Auditoria Quién, qué, en qué, cuándo, dónde, desde dónde, hacia

dónde de todos los accesos recibidos.

Se debe de tener una auditoría específica de los accesos a los Activos de la Información y Activos de Tratamiento de la Información del personal de las áreas de Tecnología.

63


• Otros medios Procedimiento formal específico para la compra,

instalación y configuración de componentes de hardware y software.

El acceso a otros video, fotocopiadoras, scanner debe ser establecido.

El acceso equipos móviles y módems, solo se podrá realizar con la autorización de la Gerencia General, bajo la justificación debida del Gerente N1.

64


Ejemplos Conexión a los sistemas del Banco

Solicitud de usuario y contraseña cuando prendemos el PC

65

Video

Buenas prácticas para elegir las contraseñas!

http://www.explania.com/en/animations/detail/how-to-choose-a-safe-password

66

















PSE 04 – Correo Electrónico

PSE04 – Correo Electrónico Herramienta de trabajo proporcionada por el BPS para la actividad laboral de sus funcionarios Permite la comunicación dentro y fuera del BPS

• Objetivo Proteger la información del BPS en el uso del correo

electrónico Optimizar el uso de los recursos de la red Resguardar la imagen y el prestigio institucional

• Alcance TODOS los funcionarios autorizados a usar correo

electrónico.

67


Uso individual, siendo considerado propiedad del BPS.

Correo interno es universal, correo externo solo con autorización.

Destinado a fines laborales exclusivamente.

Individual e intransferible.

No esta permitido acceder a comunicaciones de otros usuarios.

Esta prohibido enviar spam, cadenas, etc., o cualquier tipo de material considerado ilegal, obsceno, malicioso, etc.

En caso de incidentes, investigaciones, está permitido el acceso.

En caso de envío de información crítica, se deben de tomar las medidas apropiadas.

68


Esta prohibido falsear la identidad de un correo.

No esta permitido abrir correos ni archivos adjuntos provenientes de medios y/o personas desconocidas.

El correo es un medio limitado:

Eliminar los mensajes que no sean necesarios

No usar el sistema de correo como administrador de archivos

69


Ejemplos

Enviar spam, cadenas

Enviar archivos «grandes» -utilizar carpetas-

Abrir correo de spam

70

VIDEO

71

ARCERT Proteja sus datos personales.

PSE 05 – Equipos Móviles

PSE05 – Equipos Móviles Equipos que tienen la particularidad de poder llevarse a cualquier parte y conectarse a alguna red (ej.: laptops, netbook, teléfonos celulares).

• Objetivo Generar pautas que regulen la asignación y utilización del

equipamiento móvil del BPS Implementación de medidas de seguridad para resguardar la

información

• Alcance Todas las dependencias del BPS Uso en forma individual o colectiva por parte de funcionarios

o personal con autorización

72


Deben de contar con una adecuada protección física. Deben implementar medidas de control de acceso. Deben de utilizar técnicas de cifrado seguras Se debe de prestar atención al respaldos de la información. Deben de contar con protección contra virus y malware Contiene reglas y sugerencias sobre redes potencialmente peligrosas

y exposición de información en lugares de uso público Se debe de establecer un procedimiento para solicitud, retiro y

devolución de estos equipos. La información del equipo se deberá destruir de forma segura (al final

de su vida útil) Solo personal autorizado podrá realizar reparaciones y

mantenimientos (no instalar/desinstalar). Solo equipos móviles otorgados por el BPS podrán tener un acceso

irrestricto a la red del BPS

73


Ejemplos

Encriptar la información del disco.

No dejarlos en lugares indebidos.

No utilizarlo para otros fines que los laborales.

74

PSE 06 – Estaciones de Trabajo

PSE06 – Estaciones de Trabajo Computadora personal de escritorio o PC (y los periféricos que están conectados a ésta) que permite acceder a servidores y otros equipos conectados a la red. Proporcionados para apoyar el cumplimiento de su misión • Objetivo

Pautas de Seguridad para proteger y prevenir perdidas, daños, hurtos; evitando el compromiso de los recursos.

Preservar la continuidad de las actividades informáticas del BPS

• Alcance Todas las dependencias del BPS Funcionarios o personal con autorización que accedan de forma

individual o compartida.

75


Forman parte del inventario.

Son para un uso determinado; cualquier otro uso es considerado indebido.

Debe de ser ubicado y protegido de forma de reducir las oportunidades de daños.

Solo personal autorizado puede realizar mantenimiento, instalación/desinstalación.

Prohibido instalarle dispositivos.

Prohibido utilizarlo para conseguir acceso no autorizado.

76


Son de uso individual. Si se comparten, cada funcionario utilizará su usuario y contraseña.

Deberán contar con:

Cifrado seguro (determinados equipos).

Protección contra virus y malware

Control de Acceso.

La información que contiene, al llegar al final de su vida útil, será destruida de forma segura.

77


Ejemplos

Bloquear siempre la estación de trabajo.

No permitir que otro la utilice con mi usuario.

No instalar ningún software/hardware.

Reportar cualquier comportamiento sospechoso.

78

Infografía

79

Infografía Hackeo de un Pc

PSE 07 – Manejo de Medios Removibles

PSE07 – Manejo de Medios Removibles Permiten almacenar información para ser transportada (ej.: cintas, discos, memorias flash (flash disk), pendrives).

• Objetivo

Evitar la divulgación, modificación, borrado o destrucción indeseada de la información

• Alcance

Todos los usuarios de medios magnéticos o electrónicos removibles

80


Solo se podrán utilizar medios magnéticos o electrónicos removibles que pertenezcan al BPS.

La adquisición y uso debe autorizarse si existen razones de funcionamiento.

Se deberá bloquear el uso de dispositivos en los puestos de trabajo que no sean necesarios o no pertenezcan al BPS

Deben de existir procedimientos de solicitud, entrega, devolución y destrucción.

81


Ejemplos Encriptar la información. Tener mucho cuidado con el

manejo. Utilizar solamente los

brindados por el BPS. Al fin de la vida útil,

destruirlos adecuadamente.

82

PSE 08 – Plan de Contingencia Informática

PSE08 – Plan de Contingencia Informática

El desarrollo e implementación de un Plan de Contingencia Informática es una herramienta básica para garantizar que las actividades informáticas del BPS, puedan restablecerse dentro de los plazos requeridos para la continuidad.

83


• Objetivo El objetivo de esta Política es minimizar interrupciones y proteger el normal funcionamiento de los Activos de la Información y Activos de Tratamiento de la Información críticos en los servicios del BPS contra los efectos de fallas de ellos o contra desastres, hasta un nivel aceptable mediante la combinación de diferentes controles. • Alcance Todos los Activos y Activos de Tratamiento de la Información identificados en el BPS y considerados críticos.

84


Deberá estar coordinado con el Plan de Recuperación del Negocio Actividades y Tareas que deberá incluir: Inventario de los Activos de Información y de los

Activos de Tratamiento de la Información, con su criticidad asociada y tiempo de indisponibilidad.

Análisis de riesgos del Inventario. Desarrollo e implementación. Estructura para la Planificación. Pruebas, mantenimiento y reevaluación. Capacitación a los funcionarios para su aplicación.

85


Propietarios de los Activos de Información y de los Activos de Tratamiento de la Información: responsabilidad de evaluar la criticidad y tiempo máximo de indisponibilidad de los activos a su cargo.

Seguridad de la Información: participará en la clasificación, el análisis de riesgos, la definición, desarrollo, estructura, implementación, prueba y actualización.

Áreas informáticas en general: responsabilidad de participar en el análisis de riesgo, en la implementación del Plan, así como en las pruebas, mantenimiento, reevaluación y actualización

86


Ejemplos

Clasificar adecuadamente los Activos

Calcular correctamente su tiempo de indisponibilidad.

Integrar el PCI con los procesos de Gestión de forma de hacerlo mantenible.

87

PSE 09 – Privacidad y Uso en Internet

PSE09 – Privacidad y Uso en Internet Es una política muy «particular», esta orientada a los usuarios externos. El objetivo es determinar cuáles son las prácticas relacionadas con la información de los Servicios del BPS en Internet, conteniendo el tipo de información que se recopila y de la que se hace un seguimiento y de qué modo se la utiliza. Describe otros asuntos importantes referidos a la privacidad y las normas de acceso y uso que deben de respetar los usuarios al ingresar.

88


• Alcance Esta política tiene como alcance todos los Servicios del BPS

brindados en Internet, tanto para personas físicas como jurídicas. Consentimiento implícito -> sino no utilizar los Servicios. Se explicita la información que es recolectada en los sitios web Se explicita como se utiliza la información personal Se explica como el BPS maneja Seguridad de la Información en

Internet. La responsabilidad con respecto a vínculos a sitios que no pertenecen

a BPS Y se le indican ciertas normas de acceso y uso obligatorias:

Acceso Identificación del usuario Finalidad de Uso Obligaciones con respecto a los equipos y sistemas informáticos del BPS. No realizar actividades contrarias a la ley, la moral y el orden público El respeto por los Derechos de autor (copyright)

89


Ejemplos Los Servicios en Línea del BPS

toman información del puesto del usuario para estadísticas cada vez que se ingresa.

El BPS protege la información de forma de cumplir con las leyes.

Los usuarios externos deben de respetar las reglas para su utilización.

90

PSE 10 – Respaldo de la Información

PSE10 – Respaldo de la Información

Una respaldo o backup (su nombre en Inglés) es una copia de seguridad - o el proceso de copia de seguridad - con el fin de que estas puedan utilizarse para restaurar los datos originales después de una eventual pérdida.

91


• Objetivo

Establecer pautas para respaldar la información del BPS, previniendo pérdidas y/o destrucción de la misma

• Alcance

Todos aquellos activos de información soportados en medios informáticos

92


Se debe garantizar la reconstrucción de la información al estado en que se encontraba al momento de producirse su pérdida o destrucción. Debe incluir todo! ¿Qué es todo? - Se debe de definir. ¿Qué debe incluirse en un respaldo? – Todo lo que implique y sea necesario para asegurar su continuidad ¿Cuánto tiempo debe de guardarse? - Se deberán tener en cuenta requerimientos legales. La metodología debe estar documentada

93


Deben probarse regularmente.

Cifrado de respaldos si la clasificación lo amerita.

Generar logs para su control.

Considerar análisis de requerimiento de resguardado y recuperación en tiempo de análisis.

La información en estaciones de trabajo no se respalda.

No usar medios de almacenamiento más allá de su vida útil.

Periodos de guarda de acuerdo a normativa.

94


Ejemplos: Tener claros los tiempos

de recuperación del Activo de Información.

Para información crítica se deberá utilizar almacenamiento corporativo centralizado.

Resguardarlos adecuadamente.

95

PSE 11 – Retiro y Trasiego de Equipamiento Informático

PSE11 – Retiro y Trasiego de Equipamiento Informático Es la actividad de trasladar equipos informáticos de un lugar a otro, ya sea para su arreglo, como para su nueva ubicación; debe ser reglamentado a efectos de evitar pérdidas, hurtos, etc. Objetivo Establecer pautas de seguridad para proteger los equipos

informáticos cuando estos deban ser retirados o trasladados tanto dentro como fuera del BPS.

Alcance Aplica a todas las dependencias del BPS y empresas contratadas

y comprende el retiro y trasiego de equipos informáticos por parte de los funcionarios del BPS y del personal con autorización para hacerlo.

96


El equipamiento no debe salir del BPS sin previa autorización.

Establecer procedimientos para retiro y reingreso.

Establecer procedimientos para el trasiego.

Establecer procedimientos para el retiro definitivo por rotura u obsolencia

97


Ejemplos:

Cambio de un funcionario de una sección a otra.

Ingreso y salida con el notebook del BPS.

Traslado a reparación de equipamiento.

98

PSE 12 – Uso de Internet

PSE12 – Uso de Internet El uso de Internet permite el acceso a sitios Web mediante la utilización de un Navegador Web, y las personas puede colaborar y compartir información online. Mientras que en la primera generación de la Web los usuarios se limitaban a consumir información, en la Web actual los usuarios pueden además crear, como por ejemplo en la participación en Blogs o Wikis o redes sociales tipo Facebook, etc. La diversidad de posibilidades que ofrece Internet permite facilitar muchas de las actividades de los funcionarios del BPS, pero es importante resaltar que también conlleva riesgos.

99


• Objetivo

Reducir los riesgos asociados al uso de las tecnologías relacionadas con Internet

• Alcance

Todas las dependencias del BPS y a todos los funcionarios que tengan autorización para el uso de Internet

100


Uso individual Acceso con fines laborales y con autorización de

jerarquía habilitadora. No se permite descarga ni instalación de software Se permite el bloqueo de acceso a sitios inapropiados. Se pueden realizar monitoreo de las conexiones por

parte de los usuarios. No se deben probar los mecanismos de seguridad. Acceso a cuentas de correos personales no esta

permitido Único acceso a internet es brindado por el Organismo

101


Control de Acceso Conexión solo mediante usuario de red y utilizando

contraseña actual para autenticarse Usuarios son responsables de resguardar el acceso a los

recursos informáticos Privacidad Todo puede ser monitoreado y revisado. Confidencialidad Prohibido dar opiniones a titulo del BPS en Internet. Disponibilidad del servicio No hay responsabilidad en fallas ajenas al BPS

102


Ejemplos:

Descarga de programas

Utilización de Internet en redes sociales.

Utilización solo con autorización de N1 y GG.

Utilización de Servicios de otras empresas.

Uso de módems 3G

103

VIDEO

104

Banelco Consejos para la Seguridad en Internet

• Introducción






• Referencias

• Preguntas

Agenda

105

Referencias

• ISO/IEC 20000-27001-27002-18044 • Charlas CERTuy 2009 – “Normas UNIT-ISO/IEC 20000-27002-18044:

Integración de Procesos y Controles en el BPS” • Material Taller AGESIC – “Sistema de Gestión de Seguridad de la

Información” • SANS Institute – “Information Security Policy - A Development Guide for

Large and Small Companies” • ORACLE/SUN – “Data Security Policy - Structure and Guidelines”

106

Preguntas

107

políticas de seguridad de la información - bps.gub.uy · explotada por una o más amenazas. ......

Documents