1
Políticas de Seguridad:
Un Enfoque Holístico
Samuel Linares
Responsable Área Seguridad Tecnocom
Miembro Comisión Seguridad de Asimelec
00índice
2
01 Introducción
02 ¿Seguridad?
03 Visión de la Seguridad: Un Enfoque Holístico
04 Objeto de las Políticas de Seguridad
05 Infraestructura e Implementación: Elementos
de Soporte
06 Formación, Educación y Concienciación
Introducción
3
4
Introducción
Amenazas: Nos acechan…
•
•
•
•
•
•
•
•
Robo de información
Sabotaje de datos
Entradas no autorizadas al sistema
Abuso interno
Denegación de Servicio
Virus, Troyanos, Gusanos
Fraude telefónico
Robo de material
5
Introducción
¿Y qué hacemos habitualmente?
• ¡A quién va a interesarle mi información!
• Tengo un Firewall, así que estoy protegido
• Ya sería mala suerte que tuviese una
Inspección
• ¡Lo que me interesa es que FUNCIONE YA!,
después ya veremos la seguridad…
6
¡Vamos al Supermercado!
Internet
Firewall
MTAs
Intranet
Web
Servers
Internal
Network
Users
Users
Proxy
Firew
all
Public
Web
Server
s
Public
Interne
t
Main Office
Anti-Spam
K9
Anti-Virus
Policy Management
Secure WAN
Application
Servers
VPN
Firewall
Cisco Call
Manager
Mail Routing
Groupware
Cisco Unity
Data Center
Users
6500 FW Service Module
Secure
Wireless
ASA 5500
Security
PIX
Firewall
Appliance
Appliance
IPS
7
Introducción
Incluso escribimos una política de seguridad…
8
Introducción
¿Y de qué nos sirve?
Los Fumadores no se me Enfaden…
9
Seguridad: Conceptos
¿Seguridad?
La Seguridad es un Proceso de Mejora Contínua
La Solución no es sólo Tecnológica
Cumplimiento LOPD: Obligatoriedad, Multas
Estándares: ISO 27001, camino a seguir
Redes, Sistemas, Procesos… ORGANIZACIÓN
10
Visión de la Seguridad
Planificar
Gestionar
Implementar
Probar
LEGISLACIÓN: LOPD, LSSI/CE, SoX
ESTÁNDARES: ISO27001, BS7799
GESTIÓN Y OPERACIÓN: Procedimientos, Políticas
DISEÑO: Topologías, Arquitecturas, Servicios
SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam,
AntiVirus, VPNs, Control de Contenidos, etc.
CONSULTORÍA
IMPLEMENTACIÓN
AUDITORÍA
Visión de la Seguridad
11
LEGISLACIÓN: LOPD, LSSI/CE, SoX
ESTÁNDARES: ISO27001, BS7799
GESTIÓN Y OPERACIÓN: Procedimientos, Políticas
DISEÑO: Topologías, Arquitecturas, Servicios
SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam,
AntiVirus, VPNs, Control de Contenidos, etc.
CONSULTORÍA
IMPLEMENTACIÓN
Planificar
Gestionar
Implementar
Probar
AUDITORÍA
Políticas de Seguridad
¿Por qué las Necesito?
Si abro la
mayoría
de
A nosotros
nos
puertos en el
pasami
igual, ¿cómo
firewall
configuras tu
aplicación
firewall?
funcionará
Han bloqueado
mi web favorita,
¡Genial!
Unque
menos
mal
módem,
tengo
un ¿cuál
módem
jeje de
es el número
teléfono?
Porque las malas prácticas se
extienden…
12
Dejaré la puerta
del cuarto de
ordenadores
abierta. Es más
¡Para qué
cómodo ynecesitamos
barato
la puerta
cerrada!
Nunca se me
ocurre una buena
Creo que
password, ¿cuál
usas tú?utilizaré mi
nombre como
password, así
no se me
olvidará
Fuente: Steve Lamb
Microsoft Technet UK
13
Bufff… hay que
ver cómo está
Beyonce en esta
revista…
¡Otra vez! ¡La
alarma de siempre!
¡Qué pesadez!
Tranquilo. Pepe la
apagará en cuanto
la vea. Lo hace
siempre. Creo que
la va a desactivar
mañana
14
Políticas de Seguridad
Origen General
Normativas
EL “ENTORNO”
Fines Organizativos
Política Organizativa
“Directriz”
(Declaración de
Seguridad y Directivas
de la Dirección)
Objetivos de
la Organización
Legislación
Intereses de
los Accionistas
15
Políticas de Seguridad
Origen General (II)
Política Organizativa “Directriz”
(Declaración de Seguridad de la
Dirección)
Políticas de Implementación Funcionales
(Directivas de Seguridad de la Dirección)
Estándares
Guías
“Plantillas”
(“Baselines”)
Procedimientos
16
Políticas de Seguridad
Política de Seguridad de Dirección
• Proporciona los Objetivos y Metas de la Dirección
por Escrito
• Documenta el Cumplimiento (legislación,
normativa, estándares)
• Crea una Cultura de la Seguridad (incorpora
seguridad a la cultura organizativa existente)
• Públicamente accesibles (en la organización)
• Se Anticipa y Protege de Sorpresas
Política de Seguridad de la Dirección:
“La Seguridad es Esencial para esta compañía y su Futuro”
Pepe Pótamo (CEO)
17
Políticas de Seguridad
Política de Seguridad de Dirección (II)
• Establece la función/actividad de seguridad
– Grupo de Seguridad
• Establece responsabilidades/seguimientos
personales individualmente:
– Cada empleado responsable de sus acciones
• Tiene en cuenta futuros potenciales conflictos:
– Establece marco resolutor de conflictos de intereses o
interpretaciones.
• Asegura que empleados y contratas estén al tanto
de la Política Organizativa y sus cambios
• Obliga a un plan de respuesta a incidencias
• Establece procesos para manejo de excepciones,
recompensas, disciplinas
18
Políticas de Seguridad
Una Buena Política de Seguridad Debe…
• Ser corta (1 o 2 páginas, un tríptico)
• Ser Fácilmente comprensible y CLARA
• Declarar abiertamente la importancia de la
información (y su seguridad) para el negocio
• Informar a los empleados de sus responsabilidades
y cómo utilizar adecuadamente los recursos de la
organización
• Sentar la base para su desarrollo en otras políticas
funcionales y procedimientos
• Declarar la existencia de Sanciones y
Recompensas (especificadas en otras políticas o
programas de concienciación)
19
Políticas de Seguridad
¿Por qué son Importantes las Políticas?
• Los recursos IT son utilizados por todos en la
organización… pero no todos son gurús de IT
• Son la primera línea de defensa de amenazas internas
y externas
• El 96% de los “ciber-ataques” fallarían si se siguiesen
unas políticas de seguridad básicas
• Cuando las reglas y responsabilidades no están bien
definidas, la seguridad falla
• No son sólo un concepto con el que “aplacar” los
auditores (¡no deben serlo!)
• Las políticas que son copias de guías de mejores
prácticas son como las dietas y el ejercicio físico… algo
a lo que se aspira, pero que rara vez se consigue
Políticas de Seguridad
20
Un ejemplo…
21
Organización y Responsabilidad
Roles Organizativos y Responsabilidades
• Cada uno tiene un rol y responsabilidad
• Deben asignarse funciones específicas de
seguridad
• Roles Específicos y Responsabilidades:
– Dirección Ejecutiva
– Profesionales de la Seguridad de los Sistemas de
Información
– Propietarios de la información/activos
– “Custodios” de la información/activos (administradores,
etc.)
22
Organización y Responsabilidad
Roles Organizativos y Responsabilidades (II)
• Consideraciones de Terceras Partes:
–
–
–
–
Proveedores/Fabricantes
Contratas
Empleados Temporales
Clientes
• Buenas Prácticas para el Personal:
– Descripción de puesto y roles definidos y
responsabilidades
– Menor Privilegio / “Need to know”
– Separación de responsabilidades
– Rotación de puestos de trabajo
– Vacaciones obligatorias
23
Organización y Reponsabilidades
Relaciones con Terceras Partes
El servicio de limpieza….
…. Ese gran desconocido….
… que tiene acceso TOTAL
24
Políticas de Seguridad
Infraestructura de las Políticas
• Políticas Funcionales
• Implementan e Interpretan la política de seguridad
de alto nivel de la organización.
• Ejemplos:
–
–
–
–
–
–
–
–
Clasificación de Datos
Certificación y Acreditación
Control de Acceso
Externalización o Outsourcing
Acceso Remoto
Uso Aceptable e Internet
Privacidad
Cambio de Passwords, etc.
25
Políticas de Seguridad
Implementación de las Políticas
Los elementos de soporte surgen desde las
Políticas:
Estándares
Procedimientos
Plantillas (“Baselines”)
Guías
Todos ellos
aplican los
principios de la
política de
seguridad en cada
proceso de
negocio y sistema
26
Políticas de Seguridad
Implementación de las Políticas (II)
• Estándares: Adopción de productos y mecanismos
comunes hardware y software
• Procedimientos: Acciones Requeridas Paso a Paso
• Plantillas (“Baselines”): Establece implementaciones
consistentes de mecanismos de seguridad. Plataforma
Única.
• Guías: Recomendaciones para implementaciones de
productos de seguridad, planificación, etc.
Plantilla
Configuración
Corporativa
Producto
Estándar
Corporativo
Proced.
Corporatvos
Desktop
Firewall
AntiVirus
Reglas de
Config.
Password
VPN
Configuración
IDS
ISO17799
Common Criteria
ITIL
…
27
Políticas de Seguridad
Niveles de Planificación de Seguridad
• La Política debe/puede dirigir otras decisiones:
Política
• Tres Niveles de Planificación de Seguridad:
– Estratégico: años
– Táctico: trimestres
– Operativo: días, semanas, meses
• Los tres planes deben estar integrados
• La transición entre niveles debe ser
“transparente”
28
Políticas de Seguridad
¿Cómo logramos nuestro objetivo?
29
Políticas de Seguridad
Logremos nuestro Objetivo
• Creer en los empleados
• Prevenir las “debilidades naturales” de la
política de seguridad
• Educar a los usuarios en la política y el valor de
los activos
• “Está prohibido hacer eso”: explicar a los
usuarios Por Qué
– Cómo hará “su vida más fácil o mejor”
• Revisar regularmente el cumplimiento de los
objetivos
• Hacer correcciones si es necesario
Formación y Concienciación en Seguridad
30
31
Educación y Concienciación
Formación, Educación y Concienciación en Seguridad
• Formación de la concienciación
– Vídeos, boletines, posters, charlas, etc.
– Motivación del personal
– Recompensas
• Formación del puesto de trabajo
– Centrado en habilidades relacionadas con la seguridad
– Incrementar la posibilidad de “medición” de sus acciones
– Formación especializada para personal específico
• Educación Profesional
• Identificar a la audiencia
“Puedes formar o entrenar un perro, pero no puedes educarlo”
32
Educación y Concienciación
Educación de los Usuarios
•
•
•
•
•
•
•
•
•
•
Campaña de difusión de la seguridad
Actualizaciones periódicas
Boletines, trípticos, posters…
Reuniones en Grupos
Salvapantallas
Firmas en las Políticas de Uso Aceptable
Destructores de documentos
Auditorías Periódicas
“Recompensas”
Los “Amigos” no son siempre los “Amigos”:
– Confianza, relaciones “telefónicas”: Ingeniería Social
33
34
Servicios de Seguridad
A Recordar
Una Sesión
Formativa
NO es
suficiente
Actualizaciones
periódicas para
mantener al personal
ATENTO
No os convertais en
otra fuente de “ruido” a
ser ignorada
Haced la Política
ACCESIBLE: publicadla
en una página Web, un
tríptico, facilitad su
búsqueda
Sed
Creativos
Evitad
ser el
Enemigo
Transmitir
Aplicación
Personal a su
Vida…
¡Actualizadla!
¡Compromiso Dirección!
35
Samuel Linares
¡Muchas Gracias por su Atención!
Samuel Linares
Email: [email protected]
Web Profesional: http://www.tecnocom.es
Web Personal: http://www.infosecman.com
Descargar

Diapositiva 1