Datos del Profesor: Ing. Jesús Vílchez Sandoval

CIP 129615 email:jvilchez@utp.edu.pe

http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094

Coordinador de la Oficina de Calidad y Acreditación - FIEM

Ing. Jesús Vílchez Sandoval

Sistemas de

SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio

Que es una Política de Seguridad Elaboración de una Política de Seguridad Política del SGSI y Políticas Especificas Reglamento de Seguridad de Información Laboratorio

Contenido

La política de seguridad es un documento de alto nivel que denota El compromiso de la gerencia con la seguridad de la información.

© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados

Que es una política de seguridad?

«Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»

A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información

Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.

Que es una política de seguridad?

Elaboración de una política

de seguridad

«No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios»

-- Anonimo

Hay 11 etapas que deben realizarse a lo largo de la vida de una política de seguridad. Estas etapas pueden agruparse en 4 Fases:

Ciclo de vida una política de seguridad

Desarrollo Creación Revisión Aprobación

Implementación Comunicación Cumplimiento Excepciones

Mantenimiento Concientización Monitoreo Cumplimiento Mantenimiento

Eliminación Retiro

Para elaborar una política de seguridad de la información es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción.

Elaboración de una política de seguridad

a. Exigencias de la Política

b. Etapas de producción de la política.

Elab

orac

ión

de u

na p

olíti

ca d

e se

gurid

ad

a. Exigencias de la Política de seguridad La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado en seguridad de los profesionales involucrados con su aplicación y compromiso. Es importante considerar que para la elaboración de una política de seguridad institucional se debe realizar lo siguiente:

a. Integrar el comité de seguridad responsable de definir la política

b. Elaborar el documento final

c. Hacer oficial la política una vez que se tenga definida

Elab

orac

ión

de u

na p

olíti

ca d

e se

gurid

ad

b. Etapas de producción de una política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras:

o Objetivos y ámbito o Entrevista o Investigación y análisis de documentos o Reunión de política o Glosario de la política o Responsabilidades y penalidades

Documentos de una política de seguridad

• En este modelo visualizamos que una política de seguridad este formada por 3 grandes secciones: – Las Directrices – Las Normas – Los procedimientos e

instrucciones de trabajo

• Su estructura de sustentación está formada por tres grandes aspectos: – Herramientas, – Cultura organizacional – Monitoreo.

Las Directrices (Estrategias)

• Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información.

• Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido.

Las Normas (Tacticas)

• Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina. Pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios.

Normas de Seguridad para técnicos Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros.

Normas de Seguridad para Usuarios Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros.

Procedimientos e Instrucciones (operacional)

Procedimiento Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en el modelo de paso a paso para los usuarios del activo en cuestión.

Elab

orac

ión

de u

na p

olíti

ca d

e se

gurid

ad

Items de una política de seguridad Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.

Políticas del SGSI y Políticas

Especificas

Confidencialidad, Disponibilidad e Integridad

Políticas especificas de la seguridad

ISO 27001:2005 – Anexo “A”

• Política del SGSI

4.2.1.b

• Seguridad de Información

A.5.1.1

• Código Móvil

A.10.4.2

• Backup

A.10.5.1

• Intercambio de información

A.10.8.1

• Sistemas de información de negocio

A.10.8.5

• Control de accesos

A.11.1.1

• Bloqueo de pantalla y puesto de trabajo despejado

A.11.3.3

• Uso de los servicios de red

A.11.4.1

• Computación móvil y comunicaciones

A.11.7.1

• Teletrabajo

A.11.7.2

• Controles criptográficos

A.12.3.1

Política del SGSI Se define en términos de las características de la Institución, la organización, sus ubicaciones, activos y tecnología. Incluye un marco de trabajo para establecer objetivos y brinda un sentido general de dirección y principios para la acción respecto a la seguridad de información. Toma en consideración requerimientos legales o regulatorios y de

negocios, y obligaciones de seguridad contractuales. Se alinea con el contexto de gestión de riesgos estratégico de la

organización en el cual se establece y mantiene el SGSI Establece el criterio contra el cual el riesgo será evaluado Es aprobada por la gerencia

La política del SGSI es considerada como un nivel superior de la política de seguridad de información. Estas políticas pueden ser descritas en un mismo documento

Política del SGSI

Reglamento de seguridad la información

«Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»

» Es de aplicación general a todo el personal de la empresa o institución.

» Debe ser aprobado por el Comité de Gestión de Seguridad

» Está compuesto por un conjunto de políticas específicas de Seguridad de la Información.

» Debe ser de conocimiento y uso cotidiano del personal interno y externo a la Institución.

Definición

Conjunto de principios, directivas y requerimientos de Seguridad de la Información que garanticen la confidencialidad, integridad y disponibilidad de la información que se procesa, intercambia, reproduce y conserva en los activos de información que soportan los procesos y actividades de una Institución.

Política de Código Móvil

ISO 27001:2005 Control 10.4.2

• Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que éste sea ejecutado.

El código móvil es un código de software que se transfiere desde una computadora a otra y luego ejecuta automáticamente y realiza una función específica con poco o ninguna interacción del usuario.

Política de Backup

ISO 27001:2005 Control 10.5.1

• Se deben hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en concordancia con la política acordada de recuperación.

Política para Intercambio de Información y software

ISO 27001:2005 Control 10.8.1

• Se deben establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la información a través de todos los tipos de instalaciones de comunicación

Información Correo

Voz

Fax

Video

Software Descarga de

Internet

Proveedores

Política de Sistemas de Información de Negocios

ISO 27001:2005 Control 10.8.5

• Se deben desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información de negocios.

Los sistemas de información permiten distribuir rápidamente y compartir información de negocio. Controles de acceso Clasificación de información Identificación de usuarios Backup Contingencias

Política de Control de Accesos

ISO 27001:2005 Control 11.1.1

• Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.

Considerar acceso físico y lógico. “Todo lo que no está explícitamente permitido debe estar prohibido”

Política de Pantalla y Escritorio Limpio

ISO 27001:2005 Control 11.3.3

• Se debe adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento, así como, una política de pantalla limpia para instalaciones de procesamiento de información.

Política de uso de los Servicios de la Red

ISO 27001:2005 Control 11.4.1

• Los usuarios sólo deben tener acceso directo a los servicios para los que estén autorizados de una forma específica.

Redes y Servicios de red permitidos • Web • Correo electrónico • Mensajería instantánea • VPN / Acceso remoto.

Política de Informática Móvil y Comunicaciones

ISO 27001:2005 Control 11.7.1

• Se debe adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática.

• Laptops • Teléfonos celulares • Agendas PDA • Dispositivos inalámbricos Consideraciones: Uso en áreas públicas Software malicioso Backup Robo

Política de Teletrabajo

ISO 27001:2005 Control 11.7.2

• Se debe desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de teletrabajo.

Consideraciones: Robo de equipos Fuga de información Propiedad intelectual Auditoria a equipos Licencia de software Protección antivirus

Política de uso de Controles Criptográficos

ISO 27001:2005 Control 12.3.1

• La organización debe desarrollar e implementar una política de uso de las medidas criptográficas para proteger la información.

Consideraciones: Situaciones en las que debe utilizarse Nivel de protección requerido (tipo, algoritmo) Responsabilidad Regulaciones

? Preguntas

Laboratorio

«No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios»

-- Anonimo

Ejercicio

Elaborar una Política de Seguridad

SEGURIDAD EN REDES FIN SESION 01