6.

Polticas, planes y procedimientos de seguridad

[Plano Organizacional] 6.1 Definiciones
Podemos definir una Poltica de Seguridad como una "declaracin de intenciones de alto nivel que cubre la seguridad de los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se requieran " (RFCs 1244 y 2196).

Un Plan de seguridad es un conjunto de decisiones que definen cursos de accin futuros, as como los medios que se van a utilizar para conseguirlos. Un Procedimiento de seguridad es la definicin detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los Procedimientos de Seguridad permiten aplicar e implantar las Polticas de Seguridad que han sido aprobadas por la organizacin.

En este sentido, las Polticas definen "qu" se debe proteger en el sistema, mientras que los Procedimientos de

Seguridad describen "cmo" se debe conseguir dicha proteccin. En definitiva, si comparamos las Polticas de Seguridad con las Leyes en un Estado de Derecho, los Procedimientos seran el equivalente a los Reglamentos aprobados para desarrollar y poder aplicar las Leyes.

6.2 Caractersticas deseables de las polticas de seguridad

Las polticas de seguridad deberan poder ser implementadas a travs de determinados procedimientos administrativos y la publicacin de unas guas de uso aceptable del sistema por parte del personal, as como mediante la instalacin, configuracin y mantenimiento de determinados dispositivos y herramientas de hardware que implanten servicios de seguridad. Deben definir claramente las responsabilidades exigidas al personal con acceso al sistema: tcnicos, analistas y programadores, usuarios finales, directivos, personal externo a la organizacin. Debe cumplir con las exigencias del entorno legal. Se tienen que revisar de forma peridica para poder adaptarlas a las nuevas exigencias de la organizacin y del entorno tecnolgico y legal. Aplicacin del principio de "Defensa en profundidad": definicin e implantacin de varios niveles o capas de seguridad. Asignacin de los mnimos privilegios: los servicios, las aplicaciones y usuarios del sistema deberan tener asignados los mnimos privilegios necesarios para que puedan realizar sus tareas. La poltica por defecto debe ser aquella en la que todo lo que no se encuentre expresamente permitido en el sistema estar prohibido. Las aplicaciones y servicios que no sean estrictamente necesarios deberan ser eliminados de los sistemas informticos. Configuracin robusta ante fallos: los sistemas deberan ser diseados e implementados para que, en caso de fallo, se situaran en un estado seguro y cerrado, en lugar de en uno abierto y expuesto a accesos no autorizados.

Las Polticas de Seguridad no deben limitarse a cumplir con los requisitos impuestos por el entorno legal o las exigencias de terceros, sino que deberan estar adaptadas a las necesidades reales de cada organizacin.

6.3 Definicin e implantacin de las polticas de seguridad

Aspectos a considerar: Alcance: recursos, instalaciones y procesos de la organizacin sobre los que se aplican. Objetivos perseguidos y prioridades de seguridad. Compromiso de la Direccin de la organizacin. Clasificacin de la informacin e identificacin de los activos a proteger. Anlisis y gestin de riesgos. Elementos y agentes involucrados en la implantacin de las medidas de seguridad. Asignacin de responsabilidades en los distintos niveles organizacionales. Definicin clara y precisa de los comportamientos exigidos y de los que estn prohibidos por parte del personal (Appropiate User Policy) Identificacin de las medidas, normas y procedimientos de seguridad a implantar. Gestin de las relaciones con terceros (clientes, proveedores, socios) Gestin de incidentes. Planes de contingencia y de continuidad del negocio. Cumplimiento de la legislacin vigente. Definicin de las posibles violaciones y de las consecuencias derivadas del incumplimiento de las polticas de seguridad.

Personas implicadas en las Polticas de seguridad: Directivos y responsables de los distintos departamentos y reas funcionales de la organizacin. Personal del Departamento de Informtica y Comunicaciones Miembros del Equipo de Respuesta a Incidentes de Seguridad Informtica (CSIRT, Computer Security Incident Response Team), en caso de que ste exista. Representantes de los usuarios que pueden verse afectados por las medidas adoptadas. Consultores externos expertos en seguridad informtica.

Documentos Ttulo y codificacin. Fecha de publicacin. Fecha de entrada en vigor. Fecha prevista de revisin o renovacin. Ambito de aplicacin ( a toda la organizacin o slo a un determinado departamento o unidad de negocio). Descripcin detallada de los objetivos de seguridad Persona responsable de la revisin y aprobacin Documento (o documentos) al que reemplaza o modifica Otros documentos relacionados. En los procedimientos ser necesario especificar adems: Descripcin detallada de las actividades que se deben ejecutar Personas o departamentos responsables de su ejecucin

Momento y/o lugar en que deben realizarse Controles para verificar su correcta ejecucin

6.4 Inventario de los recursos y definicin de los servicios ofrecidos

La implantacin de los distintos elementos de las Polticas de Seguridad requiere de un inventario previo y del mantenimiento de un registro actualizado de los recursos del sistema informtico de la organizacin: equipamiento de hardware y de comunicaciones, software, datos, documentacin, manuales, consumibles, etc. Asimismo, ser necesario identificar los distintos puntos de acceso a la red y los tipos de conexiones utilizadas. Centros de tratamiento y locales donde se encuentren ubicados los servidores/computadoras o se almacenen medios de almacenamiento con copias de los datos. Puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso a los ficheros con datos de carcter personal. Servidores, computadoras personales, laptops, agendas electrnicas, impresoras y otro equipamiento informtico. Sistemas operativos y aplicaciones informticas instaladas. Infraestructura de red de datos y de comunicaciones de la organizacin. Documentacin y manuales de las aplicaciones y dispositivos del sistema informtico. Bases de datos, archivos y documentos.

El inventario de los distintos recursos facilitar el posterior anlisis de las vulnerabilidades del sistema informtico, identificando los posibles objetivos de los ataques o intentos de intrusin. Distinguir entre los servicios ofrecidos para los usuarios internos y aquellos que sean para usuarios externos. Los responsables de la organizacin deberan definir las condiciones de uso aceptable para cada uno de estos servicios, as como qu reas o departamentos se van a encargar de ofrecer los distintos servicios y qu personas sern las responsables de administrar y supervisar cada uno de estos servicios.

6.5 Realizacin de pruebas y auditoras peridicas.

La realizacin de pruebas y auditoras peridicas de seguridad constituyen un elemento de gran importancia para poder comprobar la adecuada implantacin de las directrices y medidas definidas en las Polticas de Seguridad. Anlisis de posibles vulnerabilidades del sistema informtico, empleando herramientas como Nessus o Internet Security Scanner para tratar de localizar de forma automtica algunas de las vulnerabilidades ms conocidas. Sondeos de seguridad que complementan el anlisis de vulnerabilidades con tareas de deteccin y de revisin de la instalacin y configuracin de los equipos de seguridad (firewalls, antivirus, IDS, entre ellos).

Pruebas de intrusin, en las que no slo se detectan las vulnerabilidades, sino que se trata de explotar las que se hayan identificado para tratar de comprometer el sistema afectado. Otras pruebas de seguridad que contemplan aspectos humanos y organizacionales, recurriendo a tcnicas como la "Ingeniera Social" para tratar de descubrir informacin sensible o determinados detalles sobre la configuracin y el funcionamiento del sistema. El anlisis y evaluacin de riesgos, en el que se pretende determinar cul es el nivel de riesgo asumido por la organizacin a partir del anlsis de posibles amenazas y vulnerabilidades. Por otra parte, tambin conviene estudiar la respuesta de la organizacin ante ataques simulados y determinados tipos de incidentes de seguridad, de forma que se pueda comprobar la adecuada ejecucin de las tareas y la disponibilidad de recursos previstos en los planes de contingencia. En los trabajos de auditora se deber revisar el nivel de cumplimiento de los requisitos legales.

6.6 Elementos de las polticas de seguridad

6.6.1 Seguridad frente al personal
Alta de empleados Revisar sus referencias Contratos de confidencialidad cuando los datos sean sensibles Definir el procedimiento para la creacin de cuentas de usuario (identificacin y autenticacin) Establecer derechos, obligaciones y responsabilidades Baja de empleados Definir el procedimiento de cancelacin o bloqueo de cuentas Revocacin de permisos y privilegios Devolucin de equipos, tarjetas y otros dispositivos Funciones, obligaciones y derechos de los usuarios

Otros aspectos:

Privacidad de los usuarios Complementar con manuales de polticas y procedimientos Sensibilizacin de los usuarios Posibles violaciones y sanciones

6.6.2 Adquisicin de productos

Evaluacin de productos de acuerdo a las necesidades y requisitos del sistema, caractersticas tcnicas, caractersticas de seguridad, costo-beneficio, fabricante, etc. Evaluacin de proveedores Comparativos de ofertas Trminos y condiciones de compra Instalacin y configuracin de productos Formacin y soporte a usuarios (incluyendo el personal tcnico) Tareas de soporte y mantenimiento postventa Actualizacin de productos con nuevas versiones y parches de seguridad

6.6.3 Seguridad fsica de las instalaciones

Proteccin frente a daos por fuego, inundacin, explosiones, accesos no autorizados, etc. Seleccin de elementos constructivos internos ms adecuados: puertas, paredes, suelos y falsos techos, canalizaciones elctricas y de comunicaciones. Definicin de distintas reas o zonas de seguridad dentro del edifcicio: Areas pblicas: pueden acceder sin restricciones personas ajenas a la organizacin. Areas internas: reservadas a los empleados Areas de acceso restringido: reas criticas a las que slo pueden acceder un grupo reducido de empleados con el nivel de autorizacin requerido (tener un listado de ellas). Disponibilidad de zonas destinadas a la carga, descarga y almacenamiento de suministros. Implantacin de sistemas de vigilancia basados en cmaras de CCTV (Circuito Cerrado de Televisin), alarmas y detectores de movimiento. Control de condiciones ambientales en las instalaciones, mediante un sistema independiente de ventilacin, calefaccin, aire acondicionado y humidificacin/deshumidificacin (HVAC: Heating, Ventilating and Air Conditioning System), en un esquema 24x7. Otras: Cerraduras, candados y mecanismos de anclajes de equipos Firmas de contratos o bitcoras de entrada y salidas al "site" o "data center"

6.6.4 Sistemas de proteccin elctrica

Adecuada conexin de los equipos a la toma de tierra Revisin de instalacin elctrica especifica para el sistema informtico, aislada del resto de la instalacin elctrica de la organizacin. Filtrado de ruidos e interferencias electromagnticas que pueden afectar el normal funcionamiento de los equipos Utilizacin de Sistemas de Alimentacin Ininterrumpida (UPS) ej (http://www.apc.com)

6.6.5 Control de nivel de emisiones electromagnticas

Todos los equipos informticos y electrnicos emiten seales radioelctricas que podran revelar informacin de inters a aquellos usuarios con los medios para interceptar y analizar dichas seales. Bastara un antena direccional , amplificadores y equipos de radiofrecuencia conectados a una computadora. Esto puede hacerse para duplicar la imagen de monitores Informacin escrita en discos duros o bien enviada a travs de la red Se debe seguir el estndar TEMPEST (Transient Electromagnetic Pulse Emission Standar, Estndar de emisin de pulsos electromagnticos transitorios) : Aislamiento (jaula de Faraday) Filtros Usar fibra ptica o cables apantallados (STP: Shielded Twister Pair)

6.6.6 Vigilancia de la red y de los elementos de conectividad

Cuidar todo lo relacionado con dispositivos de red, como los hubs, switches, routers o puntos de acceso inalmbricos, impidiendo accesos no autorizados. Se pueden recurrir a medidas extremas como tubos con aire a presin o reflexmetros

6.6.7 Proteccin en el acceso y configuracin de los servidores

Contraseas de acceso Separacin de servicios Respaldos Etc. (de todo este tema se hablar ms adelante)

6.6.8 Copias de seguridad

Registro de copias

Registro de restauraciones

6.6.9 Control de la seguridad de impresoras y otros dispositivos perifricos

Limitar y controlar accesos Horarios Evitar comparticiones

6.6.10 Administracin de los soportes/mantenimientos informticos

* Contemplarlos en el presupuesto

6.6.11 Borrado de informacin

Garantizar que no exista recuperacin de informacin de los dispositivos ej con Wipe (http://wipe.sourceforge.net/ y http://abaababa.ouvaton.org/wipe/) Eliminar toda informacin sensible al usuario, cookies, addressbook, passwords

En el caso de papel o inclusive discos enteros utilizar mquinas destructoras (ej. http://www.semshred.com/)

6.6.12 Autorizacin y control de acceso

Mediante el control de acceso a los distintos recursos del sistema es posible implementar las medidas definidas por la organizacin, teniendo en cuenta las restricciones de acceso a las aplicaciones, a los datos guardados, a los servicios ofrecidos y a otros recursos de tipo lgico del sistema. El modelo de seguridad aplicado en el Control de Acceso se basa en la definicin y gestin de determinados objetos lgicos (dispositivos lgicos, archivos, servicios) y sujetos (usuarios y grupos, equipos, procesos, roles) a los que se conceden derechos y privilegios para realizar determinadas operaciones sobre los objetos. Estos derechos y privilegios se pueden verificar mediante el proceso de autorizacin de acceso. Podemos distinguir dos tipos de control de acceso: Control de Acceso Obligatorio (MAC, Mandatory Access Control): los permisos de acceso son definidos por el sistema operativo. Control de Acceso Discrecional (DAC, Discrecionary Access Control): los permisos de acceso los controla y configura el propietario de cada objeto.

6.6.13 Proteccin de datos y documentos sensibles

Clasificacin de documentos y datos de acuerdo a su nivel de importancia y confidencialidad: Informacin Informacin Informacin Informacin sin clasificar o desclasificada de uso interno confidencial secreta o reservada

Se puede recurrir a mecanismos como la encriptacin cuando sea necesario. (www.digisafe.com)

6.6.14 Auditora a la administracin de la seguridad

Tiene como objetivo poder verificar de manera peridica la correcta configuracin de los equipos y el nivel de implantacin de las polticas y procedimientos de seguridad definidos por la organizacin, as como la adecuacin de stas a las nuevas necesidades y caractersticas del sistema informtico de la organizacin. Existen organismos reconocidos para asistir en esta tarea como la ISACA ( Information Systems Audit and Control Association, www.isaca.org) Etapas en una auditora: 1. Planificacin de la auditora (tareas a realizar y recursos necesarios), definiendo el mbito y los objetivos perseguidos. Asimismo, ser necesario proceder a la validacin de estos objetivos con los dueos y responsables del sistema. 2. Realizacin de las tareas planificadas, documentando cada una de estas tareas y los resultados obtenidos. 3. Validacin de los resultados de la auditora 4. Elaboracin del informe con los resultados de la auditora, las conclusiones y recomendaciones 5. Presentacin y aprobacin de la auditora por parte de los dueos y responsables del sistema Nota: llevar un registro de las auditoras ("audit trails")