Beruflich Dokumente
Kultur Dokumente
Agenda 1. Contexto 2. Seguridad 3. Polticas y mecanismos de seguridad 4. Ejemplo 5. Auditora 6. Conclusiones 7. Propuesta metodolgica 8. Referencias tiles
2
Introduccin
Qu es un sistema basado en tecnologas de la informacin (IT System) ?
- Es todo sistema de soporte general (computador, infraestructura de red, Internet) o aplicacin que se ejecute sobre un sistema de soporte general, empleando datos e informacin, para generar conocimiento que satisface un conjunto de requerimientos especficos
(Definicin propuesta por el NIST en el documento Risk Management Guide for Information Technology Systems)
Buenas Prcticas y
1. Contexto
La seguridad informtica es un esfuerzo organizacional importante (econmico, tiempo, etc.) Pasar la auditora informtica no es garanta de nada, a pesar del aval o certificado. Qu garanta hay de que se cumplan las polticas y procedimientos y se conserve un nivel aceptable de seguridad informtica? Ninguna, pues nunca se cumplen al pie de la letra. Por qu? Por causas organizacionales, en un sentido simplista. Veamos cules
2. Seguridad informtica
Los tres principios bsicos: 1. Confidencialidad: autorizados. acceso slo a los sujetos
2. Integridad: los objetos slo son modificados intencionadamente por los sujetos autorizados. 3. Disponibilidad: acceso oportuno e ininterrumpido a los objetos slo a los sujetos autorizados. La combinacin de la triada CID NO es universal sino especfica a cada organizacin o empresa. Debe haber un balance entre apertura y secreca.
2. Operativos: son aquellas polticas de seguridad que prescriben procedimientos, tareas, o actividades a ejecutar. Buscar el balance entre ambos: ni tanto que queme al santo, ni tanto que no lo alumbre en el marco de la triada que define la seguridad.
8
TI dice: el virus no lleg por los servidores de correo sino por el uso de cuentas gratuitas fuera de control .
10
11
12
Hecho #1:Las polticas y procedimientos son "violados" abierta o encubiertamente, siempre, cuando por razones prcticas y/o polticas as conviene; as, las mejores herramientas tecnolgicas ya no ayudan. Qu papel juega la auditora?
13
15
6. Conclusiones
La violacin de las polticas y procedimientos es universal y es una caracterstica organizacional, ms que un problema de comportamiento.
La dualidad formal-informal: (el deber ser vs el ser, las expectativas vs la realidad), es imposible lograr un perfecto empate y tiene causas organizacionales; debe buscarse un balance pertinente. La ambigedad lingstica al definir y/o al interpretar los requerimientos de seguridad, las polticas de seguridad y los mecanismos de seguridad. El auditor objetivo y libre de prejuicios no existe. La auditora frecuentemente es un performance donde cada quien desempea su papel lo que elimina su legitimidad y utilidad.
16
Determinarn que tan seguros o protegidos estn los activos de informacin de una organizacin.
El xito de una poltica de seguridad depende de sus objetivos, no de las herramientas utilizadas para implantar la poltica.
18
1. Para cumplir con regulaciones legales o tcnicas 2. Como gua para el comportamiento profesional y personal 3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que tengan responsabilidades y tareas similares 4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales en el trabajo 5. Permite encontrar las mejores prcticas en el trabajo 6. Permiten asociar la filosofa de una organizacin (lo abstracto) al trabajo (lo concreto)
19
DEFINICIN DE POLTICA
Es importante aclarar el trmino poltica desde el comienzo. Qu queremos dar a entender cuando decimos POLTICA o ESTNDAR o MEJOR PRCTICA o GUA o PROCEDIMIENTO? Estos son trminos utilizados en seguridad informtica todos los das, pero algunas veces son utilizados correctamente, otras veces no.
20
10
POLTICA
Declaracin general de principios que presenta la posicin de la administracin para un rea de control definida. Las polticas se elaboran con el fin de que tengan aplicacin a largo plazo y guen el desarrollo de reglas y criterios ms especficos que aborden situaciones concretas. Las polticas son desplegadas y soportadas por estndares, mejores prcticas, procedimientos y guas. Las polticas deben ser pocas (es decir, un nmero pequeo), deben ser apoyadas y aprobadas por las directivas de la universidad, y deben ofrecer direccionamientos a toda la organizacin o a un conjunto importante de dependencias. Por definicin, las polticas son obligatorias y la incapacidad o imposibilidad para cumplir una poltica exige que se apruebe una excepcin.
21
ESTNDAR
Regla que especifica una accin o respuesta que se debe seguir a una situacin dada. Los estndares son orientaciones obligatorias que buscan hacer cumplir las polticas. Los estndares sirven como especificaciones para la implementacin de las polticas: son diseados para promover la implementacin de las polticas de alto nivel de la organizacin antes que crear nuevas polticas.
22
11
MEJOR PRCTICA
Es una regla de seguridad especfica a una plataforma que es aceptada a travs de la industria al proporcionar el enfoque ms efectivo a una implementacin de seguridad concreta. Las mejores prcticas son establecidas para asegurar que las caractersticas de seguridad de sistemas utilizados con regularidad estn configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a travs de la organizacin.
23
GUA
Una gua es una declaracin general utilizada para recomendar o sugerir un enfoque para implementar polticas, estndares y buenas prcticas. Las guas son, esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, sern seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.
24
12
PROCEDIMIENTO
Los procedimientos definen especficamente cmo las polticas, estndares, mejores prcticas y guas sern implementados en una situacin dada. dependientes de la Los procedimientos son
tecnologa o de los procesos y se refieren a plataformas, aplicaciones o procesos especficos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema especfico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueo del proceso o del sistema. Los procedimientos seguirn las polticas de la organizacin, los estndares, las mejores prcticas y las guas tan cerca como les sea posible, y a la vez se ajustarn a los requerimientos procedimentales o tcnicos establecidos dentro de la dependencia donde ellos se aplican.
25
26
13
27
28
14
Muchas gracias!
15