Datos del Profesor: Ing. Jess Vlchez Sandoval CIP 129615 email:jvilchez@utp.edu.pe http://jesusvilchez.wordpress.

com mvil: (51)99 407*1449 / (51)9 9368 0094

Coordinador de la Oficina de Calidad y Acreditacin - FIEM

Ing. Jess Vlchez Sandoval

Sistemas de

SEGURIDAD EN REDES
Basado en la presentacin del Mg. Jean del Carpio

La poltica de seguridad es un documento de alto nivel que denota El compromiso de la gerencia con la seguridad de la informacin.

Contenido
Que es una Poltica de Seguridad Elaboracin de una Poltica de Seguridad Poltica del SGSI y Polticas Especificas Reglamento de Seguridad de Informacin Laboratorio

Copyright

Ing. Jess Vlchez, 2012 Derechos Reservados

Que es una poltica de seguridad?

Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido ms...

Que es una poltica de seguridad?

Una poltica de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que gua las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el mbito humano como en el tecnolgico. A partir de sus principios, es posible hacer de la seguridad de la informacin un esfuerzo comn, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarizacin del mtodo de operacin de cada uno de los individuos involucrados en la gestin de la seguridad de la informacin

Elaboracin de una poltica de seguridad

No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaucin con los malos usuarios -- Anonimo

Ciclo de vida una poltica de seguridad

Hay 11 etapas que deben realizarse a lo largo de la vida de una poltica de seguridad. Estas etapas pueden agruparse en 4 Fases:
Desarrollo
Creacin Revisin Aprobacin

Implementacin

Comunicacin

Cumplimiento

Excepciones

Mantenimiento

Concientizacin

Monitoreo

Cumplimiento

Mantenimiento

Eliminacin

Retiro

Elaboracin de una poltica de seguridad

Para elaborar una poltica de seguridad de la informacin es importante tomar en cuenta las exigencias bsicas y las etapas necesarias para su produccin.

a. Exigencias de la Poltica b. Etapas de produccin de la poltica.

Elaboracin de una poltica de seguridad

a. Exigencias de la Poltica de seguridad

La poltica es elaborada tomando como base la cultura de la organizacin y el conocimiento especializado en seguridad de los profesionales involucrados con su aplicacin y compromiso. Es importante considerar que para la elaboracin de una poltica de seguridad institucional se debe realizar lo siguiente:
a. Integrar el comit de seguridad responsable de definir la poltica b. Elaborar el documento final c. Hacer oficial la poltica una vez que se tenga definida

Elaboracin de una poltica de seguridad

b. Etapas de produccin de una poltica

Elaborar una poltica es un proceso que exige tiempo e informacin. Es necesario conocer cmo se estructura la organizacin y cmo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evala el nivel de seguridad existente para poder despus detectar los puntos a analizar para que est en conformidad con los estndares de seguridad. El trabajo de produccin se compone por distintas etapas, entre otras: o Objetivos y mbito o Entrevista o Investigacin y anlisis de documentos o Reunin de poltica o Glosario de la poltica o Responsabilidades y penalidades

Documentos de una poltica de seguridad

En este modelo visualizamos que una poltica de seguridad este formada por 3 grandes secciones:
Las Directrices Las Normas Los procedimientos e instrucciones de trabajo

Su estructura de sustentacin est formada por tres grandes aspectos:

Herramientas, Cultura organizacional Monitoreo.

Las Directrices (Estrategias)

Conjunto de reglas generales de nivel estratgico donde se expresan los valores de seguridad de la organizacin. Es endosada por el lder empresarial de la organizacin y tiene como base su visin y misin para abarcar toda la filosofa de seguridad de la informacin. Las directrices estratgicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la informacin, tenga el nivel de seguridad exigido.

Las Normas (Tacticas)

Conjunto de reglas generales y especficas de la seguridad de la informacin que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institucin, y que pueden ser elaboradas por activo, rea, tecnologa, proceso de negocio, pblico a que se destina. Pueden ser especficas para el pblico a que se destina, por ejemplo para tcnicos y para usuarios.

Normas de Seguridad para tcnicos Reglas generales de seguridad de informacin dirigida para quien cuida de ambientes informatizados (administradores de red, tcnicos etc.), basadas en los aspectos ms genricos como periodicidad para cambio de claves, copias de seguridad, acceso fsico y otros. Normas de Seguridad para Usuarios Reglas generales de seguridad de la informacin dirigidas para hacer uso de ambientes informatizados, basadas en aspectos ms genricos como cuidados con claves, cuidados con equipos, inclusin o exclusin de usuarios, y otros.

Procedimientos e Instrucciones (operacional)

Procedimiento Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e nter departamentales y sus respectivas etapas de trabajo para la implantacin o manutencin de la seguridad de la informacin. Instruccin de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realizacin de un procedimiento de seguridad establecido por una norma, establecido en el modelo de paso a paso para los usuarios del activo en cuestin.

Elaboracin de una poltica de seguridad

Items de una poltica de seguridad

Seguridad fsica: acceso fsico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuracin de los sistemas operativos, acceso lgico y remoto, autenticacin, Internet, disciplina operativa, gestin de cambios, desarrollo de aplicaciones. Seguridad de usuarios: composicin de claves, seguridad en estaciones de trabajo, formacin y creacin de conciencia. Seguridad de datos: criptografa, clasificacin, privilegios, copias de seguridad y recuperacin, antivirus, plan de contingencia. Auditoria de seguridad: anlisis de riesgo, revisiones peridicas, visitas tcnicas, monitoreo y auditoria. Aspectos legales: prcticas personales, contratos y acuerdos comerciales, leyes y reglamentacin gubernamental.

Polticas del SGSI y Polticas Especificas

Confidencialidad, Disponibilidad e Integridad

Polticas especificas de la seguridad

ISO 27001:2005 Anexo A
Poltica del SGSI Seguridad de Informacin Cdigo Mvil Backup

4.2.1.b
Intercambio de informacin

A.5.1.1
Sistemas de informacin de negocio

A.10.4.2
Control de accesos

A.10.5.1
Bloqueo de pantalla y puesto de trabajo despejado

A.10.8.1
Uso de los servicios de red

A.10.8.5
Computacin mvil y comunicaciones

A.11.1.1
Teletrabajo

A.11.3.3
Controles criptogrficos

A.11.4.1

A.11.7.1

A.11.7.2

A.12.3.1

Poltica del SGSI

Se define en trminos de las caractersticas de la Institucin, la organizacin, sus ubicaciones, activos y tecnologa. Incluye un marco de trabajo para establecer objetivos y brinda un sentido general de direccin y principios para la accin respecto a la seguridad de informacin. Toma en consideracin requerimientos legales o regulatorios y de negocios, y obligaciones de seguridad contractuales. Se alinea con el contexto de gestin de riesgos estratgico de la organizacin en el cual se establece y mantiene el SGSI Establece el criterio contra el cual el riesgo ser evaluado Es aprobada por la gerencia

Poltica del SGSI

La poltica del SGSI es considerada como un nivel polticas pueden ser descritas en un mismo documento

superior de la poltica de seguridad de informacin. Estas

Reglamento de seguridad la informacin

Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido ms...

Definicin
Conjunto de principios, directivas y requerimientos de Seguridad de la Informacin que garanticen la confidencialidad, integridad y disponibilidad de la informacin que se procesa, intercambia, reproduce y conserva en los activos de informacin que soportan los procesos y actividades de una Institucin.

Es de aplicacin general a todo el personal de la empresa o

institucin.

Debe ser aprobado por el Comit de Gestin de Seguridad Est compuesto por un conjunto de polticas especficas de

Seguridad de la Informacin. externo a la Institucin.

Debe ser de conocimiento y uso cotidiano del personal interno y

Poltica de Cdigo Mvil

Donde el uso de cdigo mvil es autorizado, la configuracin debe asegurar que dicho cdigo mvil opera de acuerdo a una poltica ISO 27001:2005 de seguridad definida y que se debe prevenir que ste sea ejecutado. Control 10.4.2

El cdigo mvil es un cdigo de software que se transfiere desde una computadora a otra y luego ejecuta automticamente y realiza una funcin especfica con poco o ninguna interaccin del usuario.

Poltica de Backup
Se deben hacer regularmente copias de seguridad de toda la informacin esencial del negocio y del software, en concordancia con la poltica ISO 27001:2005 acordada de recuperacin. Control 10.5.1

Poltica para Intercambio de Informacin y software

Se deben establecer polticas, procedimientos y controles formales de intercambio con el fin de proteger la ISO 27001:2005 informacin a travs de todos los tipos de instalaciones de comunicacin Control 10.8.1

Informacin
Correo Voz Fax Video

Software
Descarga de Internet Proveedores

Poltica de Sistemas de Informacin de Negocios

Se deben desarrollar e implementar polticas y procedimientos con el fin de proteger la informacin asociada con la interconexin de sistemas de ISO 27001:2005 informacin de negocios. Control 10.8.5

Los sistemas de informacin permiten distribuir rpidamente y compartir informacin de negocio. Controles de acceso Clasificacin de informacin Identificacin de usuarios Backup Contingencias

Poltica de Control de Accesos

Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del ISO 27001:2005 negocio. Control 11.1.1

Considerar acceso fsico y lgico. Todo lo que no est explcitamente permitido debe estar prohibido

Poltica de Pantalla y Escritorio Limpio

Se debe adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento, as como, una poltica de ISO 27001:2005 pantalla limpia para instalaciones de procesamiento de informacin. Control 11.3.3

Poltica de uso de los Servicios de la Red

Los usuarios slo deben tener acceso directo a los servicios para los que estn autorizados ISO 27001:2005 de una forma especfica. Control 11.4.1
Redes y Servicios de red permitidos Web Correo electrnico Mensajera instantnea VPN / Acceso remoto.

Poltica de Informtica Mvil y Comunicaciones

Se debe adoptar una poltica formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de ISO 27001:2005 informtica. Control 11.7.1
Laptops Telfonos celulares Agendas PDA Dispositivos inalmbricos Consideraciones: Uso en reas pblicas Software malicioso Backup Robo

Poltica de Teletrabajo
Se debe desarrollar e implementar una poltica, planes operacionales y procedimientos para las ISO 27001:2005 actividades de teletrabajo. Control 11.7.2
Consideraciones: Robo de equipos Fuga de informacin Propiedad intelectual Auditoria a equipos Licencia de software Proteccin antivirus

Poltica de uso de Controles Criptogrficos

La organizacin debe desarrollar e implementar una poltica de uso de las medidas criptogrficas ISO 27001:2005 para proteger la informacin. Control 12.3.1
Consideraciones: Situaciones en las que debe utilizarse Nivel de proteccin requerido (tipo, algoritmo) Responsabilidad Regulaciones

Preguntas

Laboratorio

No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaucin con los malos usuarios -- Anonimo

Elaborar una Poltica de Seguridad

Ejercicio

SEGURIDAD EN REDES FIN SESION 01