El documento presenta los conceptos clave para el desarrollo de una política de seguridad efectiva. Explica que una política de seguridad debe identificar los riesgos, establecer objetivos y responsabilidades, e implementar salvaguardas de seguridad. Además, debe ser específica a la organización, de fácil comprensión y cubrir todos los aspectos relevantes para gestionar la seguridad de la información.
2. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Contenido
Políticas de Seguridad
Procedimientos de Seguridad
Gestión de la Seguridad
Manuales Operativos
Implantación
3. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Gestión global de Seguridad de un Sistema de Información
Fases:
Análisis y Gestión de
Riesgos
Determinar Objetivos y
Política de Seguridad
Establecer Planificación
de Seguridad
Implantar Salvaguardas
Monitorización y gestión
de Cambios en la
Seguridad
4. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Introducción
Seguridad de la organización: Conjunto de decisiones aceptadas en una
comunidad que determinan una postura sobre la seguridad
Explican qué está permitido y qué no
Determina los límites del comportamiento aceptable y la respuesta si se
sobrepasan
Tiene que identificar los riesgos
5. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Introducción
Ha de ser específica a la organización
Al diseñar una solución de seguridad deben tomarse decisiones.
Éstas forman la forma de actuación de la organización
Al prepararla con anterioridad al diseño:
Las decisiones habrán sido tomadas a priori
Existirá un documento de referencia para todos
Será más completa
6. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Política de Seguridad
Documento que establece quién está autorizado a acceder a qué tipo de
información y señala los estándares y reglas que se van a adoptar y qué
tipo de medidas de seguridad serán necesarias.
Define qué se protege, de quién/qué y por qué
Da pautas de actuación ante posibles problemas
Define responsabilidades
7. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Propósito
Definir lo que se entiende por seguridad:
Autenticación
Autorización
Privacidad de los datos
Integridad de los datos
Informar a los empleados y directivos de su obligación de proteger los activos
de la organización
8. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Propósito
Especificar los mecanismos mediante los cuales se ha de satisfacer
dichas obligaciones
Proveer los principios básicos por los que han de guiarse al adquirir,
configurar y auditar el sistema de información.
Proporcionar el compromiso y soporte de la
Dirección en todo lo relacionado a la seguridad
9. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Errores comunes
Si la organización no tiene una política de seguridad informática formal:
Cada organización la tiene implícitamente
No se pueden tomar decisiones
La política de seguridad no tiene planes de respuesta en caso de
incidentes o desastres
Los planes no funcionan cuando se necesitan
10. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Reglas básicas para la Definición de Políticas de Seguridad
R1: Debe cubrir TODOS los aspectos involucrados en posibles
contingencias.
R2: Debe ADECUARSE a las necesidades y recursos de la organización.
Pretendemos que un ataque a nuestros bienes sea MAS COSTOSO que
su valor, INVIERTIENDO MENOS de lo que vale.
11. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Pasos a seguir
Evaluación de riesgos
Definir la estrategia, los objetivos de seguridad
Definir qué hay que hacer cuando se viola la política
Notificar a la autoridad competente
Corregir el problema
Acciones disciplinarias
Excepciones
Comunicar e implementar la política
12. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Especificaciones
Debe ser corta, precisa y de fácil comprensión
Las cuestiones y conflictos deberán ser resueltos refiriéndose a la política
establecida
La responsabilidad debe ir aparejada a autoridad
La política debe proteger a la gente igual que protege a los datos
La política protege la propiedad, la reputación y la continuidad de la
actividad
Deber ser conocida por TODOS los afectados dentro de la organización
13. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Especificaciones
Debe Incluir:
Declaración de propósitos
Debe cubrir los objetivos básicos (Autenticidad, Confidencialidad,
Integridad y Disponibilidad)
Define quién es quién
Quienes son los usuarios
Quién identifica los datos y accesos
Quién debe auditar
Quién debe responder
14. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Especificaciones
No debe incluir:
Nombres del personal
Nombres de productos
Nombres de estándares específicos o niveles de seguridad
15. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Aspectos importantes
Las medidas de seguridad tienen que ser transparentes a los usuarios
Es importante la cultura de la seguridad entre los usuarios:
Que generan aproximadamente el 80% de los problemas de seguridad
Todo bien determinado en la política de seguridad
16. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Siguientes pasos
A partir de esta política de seguridad se aplican las medidas y se redactan
las subpolíticas, normas y procedimientos:
Seguridad Física
Seguridad Lógica
Mantenimiento de HW y SW
Etc
17. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Guión Política
Objetivos: qué quiere conseguir la política
Alcance: que elementos de la organización están
incluidos
Políticas Específicas
Responsabilidades: Define el responsable
Revisión: Quién ha aprobado la política
18. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Un caso concreto...
Borrador de cómo se definiría una política de seguridad en una entidad bancaria
Declaración de propósitos
“Para dar soporte a la actividad diaria de la entidad bancaria (en adelante la
Entidad), el Laboratorio de Cálculo proporciona recursos informáticos
(ordenadores, redes de comunicaciones, y sistemas de información) a los
empleados y clientes de la Entidad. “
19. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Un caso concreto...
Derechos y Responsabilidades
“Los ordenadores y la red proporcionan acceso y recursos dentro y fuera del
ámbito de la Entidad, a la vez que permiten la comunicación con usuarios a
través del mundo. Este privilegio de tener un acceso abierto, implica que los
usuarios han de actuar con responsabilidad. Los usuarios han de respetar los
derechos de los otros usuarios, respetar la integridad del sistema y de los
recursos físicos y respetar las leyes y las regulaciones vigentes.”
20. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Un caso concreto…
Derechos y Responsabilidades
“El usuario se compromete a utilizar los recursos informáticos de la Entidad
exclusivamente para fines relacionados estrictamente con su actividad diaria,
queda explícitamente excluido cualquier uso comercial no autorizado.”
21. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Un caso concreto...
Contexto legal
“El contexto legal incluye las leyes existentes y las regulaciones de la Entidad,
incluyendo no sólo las normas específicas a los sistemas informáticos, si no
también las normas generales de conducta”. (ej. LOPD)
Los acuerdos existentes con otras entidades bancarias.
“El uso incorrecto podrá ser perseguido judicialmente”.
22. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Uso Incorrecto
Ejemplos de uso incorrecto
“Las actividades de la siguiente lista son ejemplos de uso incorrecto, aunque
no los incluye todos:
Uso de cuentas de ordenador sin autorización. Obtener el password de una cuenta
de usuario sin la autorización del propietario.
Uso de la red informática de la Entidad para conseguir acceso no autorizado a
cualquier ordenador.
Realizar con conocimiento de causa cualquier acto que interfiera en el correcto
funcionamiento de los ordenadores, terminales, periféricos o de la red informática.
23. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Uso Incorrecto
Ejemplos de uso incorrecto (II)
Violaciones de las leyes de protección de datos, de licencias de programas y
de derechos de autor (Copyright).
Utilizar el correo electrónico para insultar u ofender a personas o entidades.
Enmascarar la identidad de una cuenta de usuario o de ordenador.
Robo de información.
Venta de información.
Divulgación de información privada.
24. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Uso Incorrecto
Ejemplos de uso incorrecto (III)
“Algunas de estas actividades no serán consideradas como uso incorrecto de
los recursos informáticos de la Entidad cuando estén autorizadas para probar
o incrementar la seguridad informática de la misma.”
Aplicación
“Las sanciones podrán ser impuestas por uno o más de los estamentos
jurídicos del estado.”
25. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Procedimientos de Seguridad
Documentación que forma el Sistema de Gestión del Sistema de
Información y deja claramente definidas las responsabilidades, tareas y
todos aquellos deberes y derechos de los usuarios frente a la seguridad
del sistema
“La Seguridad somos todos”
26. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Documentación de Seguridad
Formato
Plantillas de documentación
Control de versiones
quién la revisa (y cuando)
quién la aprueba (y cuando)
Objetivos
Alcance
Validez
Confidencialidad
Contenido
27. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
Legislación
No conocer una ley no exime de su cumplimiento
Leyes a tener en cuenta:
LOPD (Ley Orgánica de Protección de datos
LSSICE (Ley de Servicios de la Sociedad de
Información y Comercio Electrónico)
Una política de seguridad debe garantizar el cumplimiento de la legislación
vigente y mantenerse actualizada conforme a la misma.
28. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Política de Seguridad
¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
ramiro@ramirocid.com
@ramirocid
http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
http://www.youtube.com/user/cidramiro
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL