SEGURIDAD DE LA INFORMACION

Polticas de seguridad

LIC. Liliana Ruth Ulloa Crdova

C . P . COMPUTACION E INFORMATICA

PORQU HABLAR DE LA SEGURIDAD DE LA INFORMACIN?

Porque el negocio se sustenta a partir de la informacin que maneja.....

Estrategia de negocio

Funciones y procesos de negocio

ACTIVIDADES DE LA EMPRESA
Planificacin de Objetivos Diseo y ejecucin de acciones para conseguir objetivo
Control (de resultados de acciones contra objetivos)

Sistemas de Informacin

Registro de transacciones

Transacciones

Entorno

ORGANIZACION

 Porque no slo es un tema Tecnolgico. Porque la institucin no cuenta con Polticas de Seguridad de la Informacin formalmente aceptadas y conocidas por todos.

CULTURA de la seguridad , responsabilidad de TODOS

ACTITUD proactiva,

Investigacin permanente

Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. Ninguna medicina es til a menos que el paciente la tome

Entonces, por donde partir?........

RECONOCER LOS ACTIVOS DE INFORMACIN IMPORTANTES PARA LA INSTITUCIN..

Informacin propiamente tal : bases de datos, archivos, conocimiento de las personas

Documentos: contratos, manuales, facturas, pagars, solicitudes de crditos. Software: aplicaciones, sistemas operativos, utilitarios. Fsicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantencin.

RECONOCER LAS AMENAZAS A QUE ESTN EXPUESTOS...

Amenaza: evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Informacin. Ejemplos:
Desastres naturales (terremotos, inundaciones) Errores humanos Fallas de Hardware y/o Software Fallas de servicios (electricidad) Robo

RECONOCER LAS VULNERABILIDADES

Vulnerabilidad: una debilidad que facilita la materializacin de una amenaza

Ejemplos:
Inexistencia de procedimientos de trabajo Concentracin de funciones en una sola persona Infraestructura insuficiente

IDENTIFICACIN DE RIESGOS
Riesgo: La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo Que debe analizarse? El impacto (leve ,moderado,grave) La probabilidad (baja, media, alta)

CONTEXTO GENERAL DE SEGURIDAD

Propietarios
Quieren minimizar

valoran

definen

Salvaguardas
Pueden tener conciencia de
Que pueden tener Reducen

RECURSOS

Amenazas

explotan

Vulnerabili dades

Permiten o facilitan

Dao

RIESGO

PRINCIPALES PROBLEMAS:
No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. No se puede medir la severidad y la probabilidad de los riesgos. Se inicia el anlisis con una nocin preconcebida de que el costo de los controles ser excesivo o que la seguridad tecnolgica no existe. Se cree que la solucin de seguridad interferir con el rendimiento o apariencia del producto o servicio del negocio.

ESTNDARES DE SEGURIDAD

Normas Internacionales de seguridad

Proporcionan un conjunto de buenas prcticas en gestin de seguridad de la informacin: Ejemplos ISO/IEC 17799,COBIT,ISO 15408

Se ha homologado a la realidad Chilena NCh2777 la ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente tcnico. Ley 19.233 sobre delitos informticos. Ley 19.628 sobre proteccin de los datos personales. Ley 19.799 sobre firma electrnica

QU ES UNA POLTICA?
Conjunto de orientaciones o directrices que rigen la actuacin de una persona o entidad en un asunto o campo determinado.

Qu es una Poltica de Seguridad?

Conjunto de directrices que permiten

resguardar los activos de informacin .

CMO DEBE SER LA POLTICA DE SEGURIDAD?

Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la informacin corporativa. Rayar la cancha con respecto al uso de los recursos de informacin. Definir la base para la estructura de seguridad de la organizacin. Ser un documento de apoyo a la gestin de seguridad informtica. Tener larga vigencia , mantenindose sin grandes cambios en el tiempo.

 Ser general , sin comprometerse con tecnologas especficas. Debe abarcar toda la organizacin Debe ser clara y evitar confuciones No debe generar nuevos problemas Debe permitir clasificar la informacin en confidencial, uso interno o pblica. Debe identificar claramente funciones especficas de los empleados como : responsables, custodio o usuario , que permitan proteger la informacin.

QU DEBE CONTENER UNA POLTICA DE SEGURIDAD DE LA INFORMACIN?

Polticas especficas

Procedimientos
Estndares o prcticas Estructura organizacional

POLTICAS ESPECFICAS
Definen en detalle aspectos especficos que regulan el uso de los recursos de informacin y estn ms afectas a cambios en el tiempo que la poltica general. Ejemplo:
Poltica de uso de Correo Electrnico:
Definicin del tipo de uso aceptado: El servicio de correo electrnico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deber limitarse al mnimo posible
Prohibiciones expresas: Se prohbe el envo de mensajes ofensivos. Deber evitarse el envo de archivos peligrosos

Declaracin de intencin de monitorear su uso: La empresa podr monitorear el uso de los correos en caso que se sospeche del mal uso

PROCEDIMIENTO
Define los pasos para realizar una actividad Evita que se aplique criterio personal. Ejemplo:
Procedimiento de Alta de Usuarios:
1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Administrador de Privilegios una solicitud formal de creacin de cuenta, identificando claramente los sistemas a los cuales tendr accesos y tipos de privilegios. 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso, perfil del usuario, nombre , Rut, seccin o unidad a la que pertenece. 3.- El Administrador de privilegios crear la cuenta del usuario a travs del Sistema de Administracin de privilegios y asignar una clave inicial para que el usuario acceda inicialmente. 4.- El Administrados de privilegios formalizar la creacin de la cuenta al usuario e instruir sobre su uso.

ESTNDAR
En muchos casos depende de la tecnologa Se debe actualizar peridicamente Ejemplo:
Estndar de Instalacin de PC:
Tipo de mquina:
Para plataforma de Caja debe utilizarse mquinas Lanix Para otras plataformas debe utilizarse mquinas Compaq o HP. Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB

Registro:
Cada mquina instalada debe ser registrada en catastro computacional identificando los nmeros de serie de componente y llenar formulario de traslado de activo fijo

Condiciones electricas:
Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC

QUE SE DEBE TENER EN CUENTA

Objetivo: qu se desea lograr Alcance: qu es lo que proteger y qu reas sern afectadas Definiciones: aclarar terminos utilizados Responsabilidades: Qu debe y no debe hacer cada persona Revisin: cmo ser monitoreado el cumplimiento Aplicabilidad: En qu casos ser aplicable Referencias: documentos complementarios Sanciones e incentivos

CICLO DE VIDA DEL PROYECTO

Creacin

Colaboracin
Publicacin Educacin Cumplimiento

Enfoque Metodolgico

POLTICAS DE SEGURIDAD Y CONTROLES

Los controles son mecanismos que ayudan a cumplir con lo definido en las polticas Si no se tienen polticas claras , no se sabr qu controlar.

Orientacin de los controles:

PREVENIR la ocurrencia de una amenaza DETECTAR la ocurrencia de una amenaza

RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.

EJEMPLO:MODELO SEGURIDAD INFORMTICA (MSI) A PARTIR DE POLTICAS DE SEGURIDAD DE LA INFORMACIN INSTITUCIONALES

Estructura del modelo adoptado: Gestin IT (Tecnologas de Informacin) Operaciones IT

Para cada estructura incorpora documentacin asociada como polticas especficas, procedimientos y estndares.

GESTIN IT
Objetivo: contar con procedimientos formales que permitan realizar adecuadamente la planeacin y desarrollo del plan informtico. Contiene: Objetivo y estrategia institucional Plan Informtico y comit informtica Metodologa de Desarrollo y Mantencin

OPERACIONES IT
Objetivo: Contar conprocedimientos formales para asegurar la operacin normal de los Sistemas de Informacin y uso de recursos tecnolgicos que sustentan la operacin del negocio. Contiene:
Seguridad Fsica sala servidores
Control de acceso a la sala Alarmas y extincin de incendios Aire acondicionado y control de temperaturas UPS Piso y red electrica Contratos de mantencin Contratos proveedores de servicios

 Respaldos y recuperacin de informacin:

Ficha de servidores
Poltica Respaldos: diarios,semanales,mensuales, histricos Bases de datos, correo electrnico, datos de usuarios, softawre de aplicaciones, sistemas operativos. Administracin Cintoteca: Rotulacin Custodia Requerimientos, rotacin y caduciddad de cintas. Administracin de licencias de software y programas

 Seguridad de Networking:
Caractersticas y topologa de la Red
Estandarizacin de componentes de red Seguridad fsica de sites de comunicaciones Seguridad y respaldo de enlaces Seguridad y control de accesos de equipos de comunicaciones Plan de direcciones IP Control de seguridad WEB

Control y polticas de adminsitracin de Antivirus

Configuracin Actualizacin Reportes

 Traspaso de aplicaciones al ambiente de explotacin

Definicin de ambientes Definicin de datos de prueba Adminsitracin de versiones de sistema de aplicaciones Programas fuentes Programas ejecutables Compilacin de programas Testing:
Responsables y encargados de pruebas Pruebas de funcionalidad Pruebas de integridad

Instalacin de aplicaciones Asignacin de responsabilidades de harware y software para usuarios

 Creacin y eliminacin de usuarios :

Internet, Correo electrnico

Administracin de privilegios de acceso a sistemas Administracin y rotacin de password:

Caducidad de password Definicin de tipo y largo de password Password de red , sistemas

Password protectores de pantalla, arranque PC

Fechas y tiempos de caducidad de usuarios

Controles de uso de espacio en disco en serviodres

Adquisicin y administracin equipamiento usuarios:

Poltica de adquisiciones Catastro computacional Contrato proveedores equipamiento

CONCLUSIONES
La Informacin es uno de los activos mas valiosos de la organizacin

Las Polticas de seguridad permiten disminuir los riesgos

Las polticas de seguridad no abordan slo aspectos tecnolgicos El compromiso e involucramiento de todos es la premisa bsica para que sea real.

La seguridad es una inversin y no un gasto.

No existe nada 100% seguro Exige evaluacin permanente.

 La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.