Las polticas y procedimientos en seguridad informtica

Ing. Mario Valle 21/Mayo/2010

Agenda 1. Contexto 2. Seguridad 3. Polticas y mecanismos de seguridad 4. Ejemplo 5. Auditora 6. Conclusiones 7. Propuesta metodolgica 8. Referencias tiles
2

Introduccin
Qu es un sistema basado en tecnologas de la informacin (IT System) ?
- Es todo sistema de soporte general (computador, infraestructura de red, Internet) o aplicacin que se ejecute sobre un sistema de soporte general, empleando datos e informacin, para generar conocimiento que satisface un conjunto de requerimientos especficos
(Definicin propuesta por el NIST en el documento Risk Management Guide for Information Technology Systems)

Buenas Prcticas y

1 Poltica de seguridad de la informacin

Objetivo: Proporcionar directrices que soporten y orienten el proceso de seguridad de la informacin en la organizacin.
- Documento con las polticas de seguridad de la informacin.
Expresa el enfoque de la organizacin para manejar y controlar la seguridad de la informacin que posee. Este documento debe ser aprobado por la gerencia de la organizacin y debe asegurarse su comunicacin a todos los empleados de la organizacin

- Revisin y evaluacin peridica de las polticas.

Asegurar su adecuacin a las expectativas de seguridad de la informacin de la organizacin
4

1. Contexto
La seguridad informtica es un esfuerzo organizacional importante (econmico, tiempo, etc.) Pasar la auditora informtica no es garanta de nada, a pesar del aval o certificado. Qu garanta hay de que se cumplan las polticas y procedimientos y se conserve un nivel aceptable de seguridad informtica? Ninguna, pues nunca se cumplen al pie de la letra. Por qu? Por causas organizacionales, en un sentido simplista. Veamos cules

2. Seguridad informtica
Los tres principios bsicos: 1. Confidencialidad: autorizados. acceso slo a los sujetos

2. Integridad: los objetos slo son modificados intencionadamente por los sujetos autorizados. 3. Disponibilidad: acceso oportuno e ininterrumpido a los objetos slo a los sujetos autorizados. La combinacin de la triada CID NO es universal sino especfica a cada organizacin o empresa. Debe haber un balance entre apertura y secreca.

3.1. Polticas de seguridad

Una poltica de seguridad es un "enunciado especfico sobre lo que est y lo que no est permitido" Una ley, norma o regla dentro de la organizacin. Quin debe definirlas, el negocio o TICs? El rea de negocio + el rea de seguridad de TICs El objetivo: Que el negocio opere con un nivel de seguridad aceptable.
7

3.2. Mecanismos de seguridad

Un mecanismo de seguridad es un medio que permite reforzar las polticas de seguridad. 1. Tcnicos: aquellos utilizan la tecnologa . que

2. Operativos: son aquellas polticas de seguridad que prescriben procedimientos, tareas, o actividades a ejecutar. Buscar el balance entre ambos: ni tanto que queme al santo, ni tanto que no lo alumbre en el marco de la triada que define la seguridad.
8

4.1. Polticas de seguridad Ejemplo real

1. El servidor de correo identifica y manda mensajes a la basura el SPAM y las amenazas. 2. Estropea la comunicacin al equivocarse quin, el sistema o el administrador? 3. Los usuarios evaden este "problema" con cuentas gratuitas como Yahoo, Gmail, Hotmail, etc. Problema: campus. Virus en el De qu sirve la justificacin? Es adecuada esta poltica de seguridad? - SI: TI dice se detienen amenazas, incluso las propias, aunque, no siempre el SPAM, jejejeje - NO: dicen los dems nos obligan a usar cuentas gratuitas En la prctica no es til: por ejemplo, no se puede bloquear el correo de Yahoo del director, l lo ordena. No detiene amenazas, estropea la comunicacin y vulnera la confianza en la comunicacin, entre otros daos.
9

TI dice: el virus no lleg por los servidores de correo sino por el uso de cuentas gratuitas fuera de control .

4.2. Ejemplo de inseguridad

Alguien de ustedes confiara en la autenticidad de este mensaje, llegado como spam al buzn de correo elelecttrnico? Es una comunicacin segura? Qu afecta? seguridad y negocios. La los

10

4.3. Encabezados del e-mail apcrifo

From Estrena Fri May 16 15:31:51 2008 X-Apparently-To: jzavalar@yahoo.com via 209.191.68.229; Fri, 16 May 2008 15:37:28 -0700 X-Originating-IP:[148.235.52.21] Return-Path: <prodigy@prodigy.net.mx> Authentication-Results: mta385.mail.re4.yahoo.com from=prodigy.net.mx; domainkeys=neutral (no sig) Received: from 148.235.52.21 (EHLO nlpiport16.prodigy.net.mx) (148.235.52.21) by mta385.mail.re4.yahoo.com with SMTP; Fri, 16 May 2008 15:37:28 -0700 X-IronPortAV:E=Sophos;i="4.27,499,1204524000"; d="jpg'145?scan'145,208,217,145";a="8827 3887" Received: from nlpiport02.prodigy.net.mx ([148.235.52.117]) by nlpiport16.prodigy.net.mx with ESMTP; 16 May 2008 17:31:55 -0500 Received: from dsl-189-181-247-236.prodinfinitum.com.mx (HELO [10.0.0.106]) ([189.181.247.236]) by nlpiport02.prodigy.net.mx with SMTP; 16 May 2008 17:31:50 -0500 Date: Fri, 16 May 2008 17:31:51 -0500 Mime-version: 1.0 Subject: Laptop Nueva con menos de Cinco Mil Pesos From: "Estrena" <prodigy@prodigy.net.mx> Add Mobile Alert To: jzavalar@yahoo.com Message-Id: <5161731.KHRUMMMQ @prodigy.net.mx> Reply-to: saidimportadora@gmail.com Original-recipient: rfc822;jzavalar@yahoo.com Content-Type: multipart/mixed; Boundary="-=BOUNDARY_5161731_YMSC_MQMX_RT QW_HSOR" Content-Length: 178301

11

4.4. Las polticas de seguridad en la prctica

Universalmente se violan El no cumplimiento estricto, de las polticas (incluso las de seguridad) es una propiedad organizacional, no un problema de comportamiento o disciplina. No hay evidencias de las reglas informales paralelas no escritas, y nunca las habr.

12

4.5. Las polticas se violan, universalmente.

Hecho #1:Las polticas y procedimientos son "violados" abierta o encubiertamente, siempre, cuando por razones prcticas y/o polticas as conviene; as, las mejores herramientas tecnolgicas ya no ayudan. Qu papel juega la auditora?
13

5.1. Objetivos formales de la auditora

Evala la satisfaccin de expectativas [y no de necesidades] de usuarios, reas y organizaciones
- Cmo balancear entre expectativas y necesidades y entre lo abstracto de la organizacin y lo concreto de las personas?

Se busca la consistencia en un entorno (de negocios y de sistemas) totalmente dinmico.

- Cmo lograrla si es imposible una consistencia total? Hasta qu grado?

Busca ser "controlable" y auditable (que haya evidencias).

- Qu significa esto, cuando mucho del objeto de trabajo es intangible y simblico?.

Est orientada a la efectividad y la eficiencia

14

5.2. Auditora de seguridad informtica

Auditora es comparar lo normado con lo ejecutado en cuanto a procedimientos, polticas, estndares y lineamientos organizacionales La auditora verifica que los procedimientos, estndares, mtodos, normas, etc., sean aplicados en forma conveniente [para quin?] y consistente [respecto a qu?] La Calidad Total es un mito hoy en da: No existe ms all del discurso. El costo de supervisin y mantenimiento de congruencia es alto, comparado con la utilidad prctica relativa que representan los manuales de organizacin o los aspectos formales.

15

6. Conclusiones
La violacin de las polticas y procedimientos es universal y es una caracterstica organizacional, ms que un problema de comportamiento.
La dualidad formal-informal: (el deber ser vs el ser, las expectativas vs la realidad), es imposible lograr un perfecto empate y tiene causas organizacionales; debe buscarse un balance pertinente. La ambigedad lingstica al definir y/o al interpretar los requerimientos de seguridad, las polticas de seguridad y los mecanismos de seguridad. El auditor objetivo y libre de prejuicios no existe. La auditora frecuentemente es un performance donde cada quien desempea su papel lo que elimina su legitimidad y utilidad.
16

Qu tpicos cubre ISO/IEC 17799:2000?

Recomienda prcticas dentro de una organizacin para establecer y controlar las reas de:
Poltica de Seguridad de la Informacin Estructuracin del Proceso de Seguridad Clasificacin y Control de Activos de la Organizacin Seguridad y Personal Seguridad Fsica y Ambiental Gestin de las Comunicaciones y de las Operaciones Control de Acceso Desarrollo y Mantenimiento de Sistemas Gestin de la Continuidad del Negocio Cumplimiento con el Marco Jurdico
17

1 Poltica de seguridad de la informacin

Qu debe incluir el documento?
- Una definicin de seguridad de la informacin, su alcance y objetivos y su importancia para garantizar el cumplimiento de la misin de la organizacin.

Factores que intervienen:

Servicios ofrecidos (y sus riesgos) vs. Seguridad proporcionada (nivel de seguridad) Facilidad de uso vs. Seguridad Costos de la seguridad (monetario, rendimiento) vs. Riesgos (perdida de confidencialidad, integridad y disponibilidad).

Determinarn que tan seguros o protegidos estn los activos de informacin de una organizacin.
El xito de una poltica de seguridad depende de sus objetivos, no de las herramientas utilizadas para implantar la poltica.
18

POR QU TENER POLTICAS ESCRITAS

Existen varias razones por las cuales es recomendable tener polticas escritas en una organizacin como la Universidad Nacional de Colombia. La siguiente es una lista de algunas de estas razones.

1. Para cumplir con regulaciones legales o tcnicas 2. Como gua para el comportamiento profesional y personal 3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que tengan responsabilidades y tareas similares 4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales en el trabajo 5. Permite encontrar las mejores prcticas en el trabajo 6. Permiten asociar la filosofa de una organizacin (lo abstracto) al trabajo (lo concreto)
19

DEFINICIN DE POLTICA
Es importante aclarar el trmino poltica desde el comienzo. Qu queremos dar a entender cuando decimos POLTICA o ESTNDAR o MEJOR PRCTICA o GUA o PROCEDIMIENTO? Estos son trminos utilizados en seguridad informtica todos los das, pero algunas veces son utilizados correctamente, otras veces no.

20

10

POLTICA
Declaracin general de principios que presenta la posicin de la administracin para un rea de control definida. Las polticas se elaboran con el fin de que tengan aplicacin a largo plazo y guen el desarrollo de reglas y criterios ms especficos que aborden situaciones concretas. Las polticas son desplegadas y soportadas por estndares, mejores prcticas, procedimientos y guas. Las polticas deben ser pocas (es decir, un nmero pequeo), deben ser apoyadas y aprobadas por las directivas de la universidad, y deben ofrecer direccionamientos a toda la organizacin o a un conjunto importante de dependencias. Por definicin, las polticas son obligatorias y la incapacidad o imposibilidad para cumplir una poltica exige que se apruebe una excepcin.
21

ESTNDAR
Regla que especifica una accin o respuesta que se debe seguir a una situacin dada. Los estndares son orientaciones obligatorias que buscan hacer cumplir las polticas. Los estndares sirven como especificaciones para la implementacin de las polticas: son diseados para promover la implementacin de las polticas de alto nivel de la organizacin antes que crear nuevas polticas.

22

11

MEJOR PRCTICA
Es una regla de seguridad especfica a una plataforma que es aceptada a travs de la industria al proporcionar el enfoque ms efectivo a una implementacin de seguridad concreta. Las mejores prcticas son establecidas para asegurar que las caractersticas de seguridad de sistemas utilizados con regularidad estn configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a travs de la organizacin.

23

GUA
Una gua es una declaracin general utilizada para recomendar o sugerir un enfoque para implementar polticas, estndares y buenas prcticas. Las guas son, esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, sern seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.

24

12

PROCEDIMIENTO
Los procedimientos definen especficamente cmo las polticas, estndares, mejores prcticas y guas sern implementados en una situacin dada. dependientes de la Los procedimientos son

tecnologa o de los procesos y se refieren a plataformas, aplicaciones o procesos especficos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema especfico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueo del proceso o del sistema. Los procedimientos seguirn las polticas de la organizacin, los estndares, las mejores prcticas y las guas tan cerca como les sea posible, y a la vez se ajustarn a los requerimientos procedimentales o tcnicos establecidos dentro de la dependencia donde ellos se aplican.
25

Un ejemplo de los requerimientos de seguridad interrelacionados podra ser:

En el nivel ms alto, se puede elaborar una POLTICA, para toda la organizacin, que obligue a garantizar seguridad en el correo electrnico cuyo contenido sea informacin confidencial. 2. Esta POLTICA podra ser soportada por varios ESTNDARES, incluyendo por ejemplo, que los mensajes de este tipo sean enviados utilizando algn sistema de criptografa aprobado por la universidad y que sean borrados de manera segura despus de su envo. 3. Una MEJOR PRCTICA, en este ejemplo, podra estar relacionada sobre la manera de configurar el correo sobre un tipo especfico de sistema (Windows o Linux) con el fin de garantizar el cumplimiento de la POLTICA y del ESTNDAR. 4. Los PROCEDIMIENTOS podran especificar requerimientos para que la POLTICA y los ESTNDARES que la soportan, sean aplicados en una dependencia especfica, por ejemplo la Oficina de Control Interno. 5. Finalmente, las GUAS podran incluir informacin sobre tcnicas, configuraciones y secuencias de comandos recomendadas que deben seguir los usuarios para asegurar la informacin confidencial enviada y recibida a travs del servicio de correo electrnico.

26

13

27

28

14

Muchas gracias!

15