política de seguridad
DESCRIPTION
Presentación sobre los aspectos importantes a tener en cuenta al momento de desarrollar e implementar una correcta política de seguridad en una organización. Siguiendo los principios de la ISO/IEC 27001, con el fin último de mejorar la gestión de la seguridad en los sistemas de informaciónTRANSCRIPT
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Ramiro Cid | @ramirocid
1
Política de Seguridad
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Contenido
� Políticas de Seguridad
� Procedimientos de Seguridad
� Gestión de la Seguridad� Manuales Operativos
� Implantación
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Gestión global de Seguridad de un Sistema de Información
Fases:
Análisis y Gestión de Riesgos
Determinar Objetivos y Política de Seguridad
Establecer Planificaciónde Seguridad
Implantar Salvaguardas
Monitorización y gestión de Cambios en la
Seguridad
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Introducción
Seguridad de la organización: Conjunto de decisiones aceptadas en una comunidad que determinan una postura sobre la seguridad
� Explican qué está permitido y qué no
� Determina los límites del comportamiento aceptable y la respuesta si se sobrepasan
� Tiene que identificar los riesgos
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Introducción
Ha de ser específica a la organización
Al diseñar una solución de seguridad deben tomarse decisiones. Éstas forman la forma de actuación de la organización
Al prepararla con anterioridad al diseño:
� Las decisiones habrán sido tomadas a priori
� Existirá un documento de referencia para todos
� Será más completa
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Política de Seguridad
Documento que establece quién está autorizado a acceder a qué tipo de información y señala los estándares y reglas que se van a adoptar y qué
tipo de medidas de seguridad serán necesarias.
� Define qué se protege, de quién/qué y por qué
� Da pautas de actuación ante posibles problemas
� Define responsabilidades
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Propósito
Definir lo que se entiende por seguridad:
� Autenticación� Autorización� Privacidad de los datos� Integridad de los datos
Informar a los empleados y directivos de su obligación de proteger los activos
de la organización
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Propósito
� Especificar los mecanismos mediante los cuales se ha de satisfacer
dichas obligaciones
� Proveer los principios básicos por los que han de guiarse al adquirir,
configurar y auditar el sistema de información.
� Proporcionar el compromiso y soporte de la
Dirección en todo lo relacionado a la seguridad
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Errores comunes
� Si la organización no tiene una política de seguridad informática formal:
� Cada organización la tiene implícitamente
� No se pueden tomar decisiones
� La política de seguridad no tiene planes de respuesta en caso de incidentes o desastres
� Los planes no funcionan cuando se necesitan
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Reglas básicas para la Definición de Políticas de Seguridad
R1: Debe cubrir TODOS los aspectos involucrados en posibles contingencias.
R2: Debe ADECUARSE a las necesidades y recursos de la organización.
Pretendemos que un ataque a nuestros bienes sea MAS COSTOSO que su valor, INVIERTIENDO MENOS de lo que vale.
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Pasos a seguir
� Evaluación de riesgos
� Definir la estrategia, los objetivos de seguridad
� Definir qué hay que hacer cuando se viola la política
� Notificar a la autoridad competente
� Corregir el problema
� Acciones disciplinarias
� Excepciones
� Comunicar e implementar la política
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Especificaciones
� Debe ser corta, precisa y de fácil comprensión
� Las cuestiones y conflictos deberán ser resueltos refiriéndose a la política establecida
� La responsabilidad debe ir aparejada a autoridad
� La política debe proteger a la gente igual que protege a los datos
� La política protege la propiedad, la reputación y la continuidad de la actividad
� Deber ser conocida por TODOS los afectados dentro de la organización
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Especificaciones
Debe Incluir:
� Declaración de propósitos
� Debe cubrir los objetivos básicos (Autenticidad, Confidencialidad, Integridad y Disponibilidad)
� Define quién es quién
� Quienes son los usuarios
� Quién identifica los datos y accesos
� Quién debe auditar
� Quién debe responder
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Especificaciones
No debe incluir:
� Nombres del personal
� Nombres de productos
� Nombres de estándares específicos o niveles de seguridad
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Aspectos importantes
� Las medidas de seguridad tienen que ser transparentes a los usuarios
� Es importante la cultura de la seguridad entre los usuarios:
� Que generan aproximadamente el 80% de los problemas de seguridad
� Todo bien determinado en la política de seguridad
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Siguientes pasos
A partir de esta política de seguridad se aplican las medidas y se redactan
las subpolíticas, normas y procedimientos:
� Seguridad Física� Seguridad Lógica� Mantenimiento de HW y SW� Etc
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Guión Política
� Objetivos: qué quiere conseguir la política
� Alcance: que elementos de la organización están
incluidos
� Políticas Específicas
� Responsabilidades: Define el responsable
� Revisión: Quién ha aprobado la política
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Un caso concreto...
Borrador de cómo se definiría una política de seguridad en una entidad bancaria
� Declaración de propósitos
“Para dar soporte a la actividad diaria de la entidad bancaria (en adelante la Entidad), el Laboratorio de Cálculo proporciona recursos informáticos (ordenadores, redes de comunicaciones, y sistemas de información) a los empleados y clientes de la Entidad. “
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Un caso concreto...
Derechos y Responsabilidades
� “Los ordenadores y la red proporcionan acceso y recursos dentro y fuera del ámbito de la Entidad, a la vez que permiten la comunicación con usuarios a través del mundo. Este privilegio de tener un acceso abierto, implica que los usuarios han de actuar con responsabilidad. Los usuarios han de respetar los derechos de los otros usuarios, respetar la integridad del sistema y de los recursos físicos y respetar las leyes y las regulaciones vigentes.”
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Un caso concreto…
Derechos y Responsabilidades
� “El usuario se compromete a utilizar los recursos informáticos de la Entidad exclusivamente para fines relacionados estrictamente con su actividad diaria, queda explícitamente excluido cualquier uso comercial no autorizado.”
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Un caso concreto...
Contexto legal
� “El contexto legal incluye las leyes existentes y las regulaciones de la Entidad, incluyendo no sólo las normas específicas a los sistemas informáticos, si no también las normas generales de conducta”. (ej. LOPD)
� Los acuerdos existentes con otras entidades bancarias.
� “El uso incorrecto podrá ser perseguido judicialmente”.
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Uso Incorrecto
Ejemplos de uso incorrecto
� “Las actividades de la siguiente lista son ejemplos de uso incorrecto, aunque no los incluye todos:� Uso de cuentas de ordenador sin autorización. Obtener el password de una cuenta
de usuario sin la autorización del propietario.
� Uso de la red informática de la Entidad para conseguir acceso no autorizado a cualquier ordenador.
� Realizar con conocimiento de causa cualquier acto que interfiera en el correcto funcionamiento de los ordenadores, terminales, periféricos o de la red informática.
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Uso Incorrecto
Ejemplos de uso incorrecto (II)
� Violaciones de las leyes de protección de datos, de licencias de programas y de derechos de autor (Copyright).
� Utilizar el correo electrónico para insultar u ofender a personas o entidades.
� Enmascarar la identidad de una cuenta de usuario o de ordenador.
� Robo de información.
� Venta de información.
� Divulgación de información privada.
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Uso Incorrecto
Ejemplos de uso incorrecto (III)
� “Algunas de estas actividades no serán consideradas como uso incorrecto de los recursos informáticos de la Entidad cuando estén autorizadas para probar o incrementar la seguridad informática de la misma.”
Aplicación
� “Las sanciones podrán ser impuestas por uno o más de los estamentos jurídicos del estado.”
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Procedimientos de Seguridad
Documentación que forma el Sistema de Gestión del Sistema de
Información y deja claramente definidas las responsabilidades, tareas y
todos aquellos deberes y derechos de los usuarios frente a la seguridad
del sistema
“La Seguridad somos todos”
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Documentación de Seguridad
Formato
� Plantillas de documentación� Control de versiones
� quién la revisa (y cuando)� quién la aprueba (y cuando)
� Objetivos� Alcance� Validez� Confidencialidad� Contenido
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
Legislación
No conocer una ley no exime de su cumplimiento
Leyes a tener en cuenta:
� LOPD (Ley Orgánica de Protección de datos� LSSICE (Ley de Servicios de la Sociedad de
Información y Comercio Electrónico)
Una política de seguridad debe garantizar el cumplimiento de la legislación vigente y mantenerse actualizada conforme a la misma.
ramirocid.com [email protected] Twitter: @ramirocid
Política de Seguridad
¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
@ramirocid
http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
http://www.youtube.com/user/cidramiro
Ramiro CidCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL