1. Datos del Profesor:
Ing. Jesús Vílchez Sandoval
CIP 129615
email:jvilchez@utp.edu.pe
http://jesusvilchez.wordpress.com
móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
2. Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES
Basado en la presentación del Mg. Jean del Carpio
4. Que es una política de
seguridad?
«Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo
sucede, nos lamentamos de no haber invertido más...»
5. Que es una política de seguridad?
Una política de seguridad es un conjunto de directrices, normas,
procedimientos e instrucciones que guía las actuaciones de trabajo y
define los criterios de seguridad para que sean adoptados a nivel local
o institucional, con el objetivo de establecer, estandarizar y normalizar
la seguridad tanto en el ámbito humano como en el tecnológico.
A partir de sus principios, es posible
hacer de la seguridad de la
información un esfuerzo común, en
tanto que todos puedan contar con un
arsenal informativo documentado y
normalizado, dedicado a la
estandarización del método de
operación de cada uno de los
individuos involucrados en la gestión
de la seguridad de la información
6. Elaboración de una política
de seguridad
«No hay que temer a los ordenadores y al ciberespacio,
Hay que tener precaución con los malos usuarios»
-- Anonimo
7. Ciclo de vida una política de seguridad
Hay 11 etapas que deben realizarse a lo largo de la vida de
una política de seguridad. Estas etapas pueden agruparse
en 4 Fases:
Desarrollo Creación Revisión Aprobación
Implementación Comunicación Cumplimiento Excepciones
Mantenimiento Concientización Monitoreo Cumplimiento Mantenimiento
Eliminación Retiro
8. Elaboración de una política de seguridad
Para elaborar una política de seguridad de la información
es importante tomar en cuenta las exigencias básicas y las
etapas necesarias para su producción.
a. Exigencias de la Política
b. Etapas de producción de la
política.
9. Elaboración de una política de seguridad a. Exigencias de la Política de seguridad
La política es elaborada tomando como base la cultura de la
organización y el conocimiento especializado en seguridad de los
profesionales involucrados con su aplicación y compromiso.
Es importante considerar que para la elaboración de una política de
seguridad institucional se debe realizar lo siguiente:
a. Integrar el comité de seguridad responsable de definir la política
b. Elaborar el documento final
c. Hacer oficial la política una vez que se tenga definida
10. Elaboración de una política de seguridad b. Etapas de producción de una política
Elaborar una política es un proceso que exige tiempo e información.
Es necesario conocer cómo se estructura la organización y cómo son
dirigidos en la actualidad sus procesos.
A partir de este reconocimiento, se evalúa el nivel de seguridad
existente para poder después detectar los puntos a analizar para que
esté en conformidad con los estándares de seguridad.
El trabajo de producción se compone por distintas etapas, entre
otras:
o Objetivos y ámbito
o Entrevista
o Investigación y análisis de documentos
o Reunión de política
o Glosario de la política
o Responsabilidades y penalidades
11. Documentos de una política de seguridad
• En este modelo visualizamos que
una política de seguridad este
formada por 3 grandes secciones:
– Las Directrices
– Las Normas
– Los procedimientos e
instrucciones de trabajo
• Su estructura de sustentación está
formada por tres grandes
aspectos:
– Herramientas,
– Cultura organizacional
– Monitoreo.
12. Las Directrices (Estrategias)
• Conjunto de reglas generales de nivel
estratégico donde se expresan los valores de
seguridad de la organización. Es endosada por
el líder empresarial de la organización y tiene
como base su visión y misión para abarcar toda
la filosofía de seguridad de la información.
• Las directrices estratégicas, en el contexto de
la seguridad, corresponden a todos los valores
que deben ser seguidos, para que el principal
patrimonio de la empresa, que es la
información, tenga el nivel de seguridad
exigido.
13. Las Normas (Tacticas)
• Conjunto de reglas generales y específicas de la seguridad de la
información que deben ser usadas por todos los segmentos
involucrados en los procesos de negocio de la institución, y que pueden
ser elaboradas por activo, área, tecnología, proceso de negocio, público
a que se destina. Pueden ser específicas para el público a que se
destina, por ejemplo para técnicos y para usuarios.
Normas de Seguridad para técnicos
Reglas generales de seguridad de información dirigida para quien cuida de
ambientes informatizados (administradores de red, técnicos etc.), basadas en los
aspectos más genéricos como periodicidad para cambio de claves, copias de
seguridad, acceso físico y otros.
Normas de Seguridad para Usuarios
Reglas generales de seguridad de la información dirigidas para hacer uso de
ambientes informatizados, basadas en aspectos más genéricos como cuidados con
claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros.
14. Procedimientos e Instrucciones (operacional)
Procedimiento
Conjunto de orientaciones para realizar las actividades operativas de
seguridad, que representa las relaciones interpersonales e ínter
departamentales y sus respectivas etapas de trabajo para la implantación o
manutención de la seguridad de la información.
Instrucción de trabajo
Conjunto de comandos operativos a ser ejecutados en el momento de la
realización de un procedimiento de seguridad establecido por una norma,
establecido en el modelo de paso a paso para los usuarios del activo en
cuestión.
15. Elaboración de una política de seguridad Items de una política de seguridad
Seguridad física: acceso físico, infraestructura del edificio, Centro de
Datos.
Seguridad de la red corporativa: configuración de los sistemas
operativos, acceso lógico y remoto, autenticación, Internet, disciplina
operativa, gestión de cambios, desarrollo de aplicaciones.
Seguridad de usuarios: composición de claves, seguridad en
estaciones de trabajo, formación y creación de conciencia.
Seguridad de datos: criptografía, clasificación, privilegios, copias de
seguridad y recuperación, antivirus, plan de contingencia.
Auditoria de seguridad: análisis de riesgo, revisiones periódicas,
visitas técnicas, monitoreo y auditoria.
Aspectos legales: prácticas personales, contratos y acuerdos
comerciales, leyes y reglamentación gubernamental.
16. Políticas del SGSI y Políticas
Especificas
Confidencialidad, Disponibilidad e Integridad
17. Políticas especificas de la seguridad
ISO 27001:2005 – Anexo “A”
• Política del SGSI • Seguridad de • Código Móvil • Backup
Información
4.2.1.b A.5.1.1 A.10.4.2 A.10.5.1
• Intercambio de • Sistemas de • Control de • Bloqueo de
información información de accesos pantalla y puesto
negocio de trabajo
despejado
A.10.8.1 A.10.8.5 A.11.1.1 A.11.3.3
• Uso de los • Computación • Teletrabajo • Controles
servicios de red móvil y criptográficos
comunicaciones
A.11.4.1 A.11.7.1 A.11.7.2 A.12.3.1
18. Política del SGSI
Se define en términos de las características de la Institución, la
organización, sus ubicaciones, activos y tecnología.
Incluye un marco de trabajo para establecer objetivos y brinda un sentido
general de dirección y principios para la acción respecto a la seguridad de
información.
Toma en consideración requerimientos legales o regulatorios y de
negocios, y obligaciones de seguridad contractuales.
Se alinea con el contexto de gestión de riesgos estratégico de la
organización en el cual se establece y mantiene el SGSI
Establece el criterio contra el cual el riesgo será evaluado
Es aprobada por la gerencia
19. Política del SGSI
La política del SGSI es considerada como un nivel
superior de la política de seguridad de información. Estas
políticas pueden ser descritas en un mismo documento
20. Reglamento de seguridad
la información
«Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo
sucede, nos lamentamos de no haber invertido más...»
21. Definición
Conjunto de principios, directivas y requerimientos de Seguridad de la
Información que garanticen la confidencialidad, integridad y disponibilidad de
la información que se procesa, intercambia, reproduce y conserva en los activos
de información que soportan los procesos y actividades de una Institución.
» Es de aplicación general a todo el personal de la empresa o
institución.
» Debe ser aprobado por el Comité de Gestión de Seguridad
» Está compuesto por un conjunto de políticas específicas de
Seguridad de la Información.
» Debe ser de conocimiento y uso cotidiano del personal interno y
externo a la Institución.
22. Política de Código Móvil
• Donde el uso de código móvil es autorizado,
la configuración debe asegurar que dicho
código móvil opera de acuerdo a una política
ISO 27001:2005 de seguridad definida y que se debe prevenir
Control 10.4.2 que éste sea ejecutado.
El código móvil es un código de software que
se transfiere desde una computadora a otra y
luego ejecuta automáticamente y realiza una
función específica con poco o ninguna
interacción del usuario.
23. Política de Backup
• Se deben hacer regularmente copias
de seguridad de toda la información
esencial del negocio y del software,
ISO 27001:2005 en concordancia con la política
Control 10.5.1 acordada de recuperación.
24. Política para Intercambio de
Información y software
• Se deben establecer políticas,
procedimientos y controles formales de
intercambio con el fin de proteger la
ISO 27001:2005 información a través de todos los tipos
Control 10.8.1 de instalaciones de comunicación
Información Software
Correo Descarga de
Voz Internet
Fax
Proveedores
Video
25. Política de Sistemas de Información
de Negocios
• Se deben desarrollar e implementar
políticas y procedimientos con el fin
de proteger la información asociada
ISO 27001:2005 con la interconexión de sistemas de
Control 10.8.5 información de negocios.
Los sistemas de información permiten distribuir
rápidamente y compartir información de negocio.
Controles de acceso
Clasificación de información
Identificación de usuarios
Backup
Contingencias
26. Política de Control de Accesos
• Una política de control de acceso
debe ser establecida, documentada y
revisada y debe estar basada en los
ISO 27001:2005 requerimientos de seguridad y del
Control 11.1.1 negocio.
Considerar acceso físico y lógico.
“Todo lo que no está explícitamente permitido
debe estar prohibido”
27. Política de Pantalla y Escritorio Limpio
• Se debe adoptar una política de escritorio
limpio para papeles y medios removibles de
almacenamiento, así como, una política de
ISO 27001:2005 pantalla limpia para instalaciones de
Control 11.3.3 procesamiento de información.
28. Política de uso de los Servicios de la
Red
• Los usuarios sólo deben tener
acceso directo a los servicios
ISO 27001:2005 para los que estén autorizados
Control 11.4.1 de una forma específica.
Redes y Servicios de red permitidos
• Web
• Correo electrónico
• Mensajería instantánea
• VPN / Acceso remoto.
29. Política de Informática Móvil y
Comunicaciones
• Se debe adoptar una política formal y
medidas de seguridad apropiadas con
el fin de protegernos contra los
ISO 27001:2005 riesgos cuando se usan dispositivos de
Control 11.7.1 informática.
• Laptops
• Teléfonos celulares
• Agendas PDA
• Dispositivos inalámbricos
Consideraciones:
Uso en áreas públicas
Software malicioso
Backup
Robo
30. Política de Teletrabajo
• Se debe desarrollar e implementar
una política, planes operacionales
ISO 27001:2005 y procedimientos para las
Control 11.7.2 actividades de teletrabajo.
Consideraciones:
Robo de equipos
Fuga de información
Propiedad intelectual
Auditoria a equipos
Licencia de software
Protección antivirus
31. Política de uso de Controles
Criptográficos
• La organización debe desarrollar
e implementar una política de
ISO 27001:2005 uso de las medidas criptográficas
Control 12.3.1 para proteger la información.
Consideraciones:
Situaciones en las que debe utilizarse
Nivel de protección requerido (tipo, algoritmo)
Responsabilidad
Regulaciones