En este capítulo se explora el lado humano de la seguridad, desde
el establecimiento de prácticas de contratación seguras y descripciones de trabajo. Además, vamos a ver cómo la formación de los empleados, la gestión y las prácticas de terminación se consideran una parte integral de la creación de un entorno seguro. Finalmente, se analiza la forma de evaluar y gestionar los riesgos de seguridad. Contribute to Personnel Security Policies Las personas son el elemento más débil en cualquier solución de seguridad. No importa lo que los controles físicos o lógicos se despliegan, los seres humanos pueden descubrir maneras de evitarlos. Las personas están involucradas en todo el proceso de desarrollo, la implementación y la administración continua de cualquier solución. Por lo tanto, se debe evaluar el efecto que usuarios, diseñadores, programadores, desarrolladores, administradores y ejecutores tienen en el proceso. La elaboración de las descripciones de trabajo es el primer paso en la definición de las necesidades de seguridad relacionadas con el personal. Cualquier descripción de trabajo para cualquier posición dentro de una organización debería abordar las cuestiones de seguridad. Debe considerarse cuestiones tales como si la posición requiere el manejo de material sensible o acceso a información clasificada Una vez que estos problemas han sido resueltos, la asignación de una clasificación de seguridad a la descripción del trabajo es bastante estándar. Separation of Duties
Es el concepto de seguridad en el que las tareas de trabajo crítico,
importante y sensible se dividen entre varios administradores. Evita que una persona ejerza la capacidad de socavar o desvirtuar los mecanismos de seguridad vitales. Responde a la aplicación del principio de privilegio mínimo para los administradores. Es una protección contra la collusion, que es la ocurrencia de actividad negativa llevada a cabo por dos o más personas, a menudo con fines de fraude, robo o espionaje. Separation of Duties (cont.)
Un ejemplo de separación de funciones relacionadas con cinco
tareas de administración y siete administradores Job Responsibilities
Representan a cada tarea específica, que un empleado debe
llevar a cabo de forma regular. Para mantener la mayor seguridad, el acceso debe ser asignado de acuerdo con el principio de privilegio mínimo (cantidad mínima de acceso necesario para que puedan completar sus tareas de trabajo necesarios o responsabilidades de trabajo). La aplicación de este principio requiere un control de acceso granular de bajo nivel sobre todos los recursos y funciones. Job Rotation
Provee redundancia de conocimiento al existir multiples empleados
con capacidad para desarrollar las tareas de múltiples puestos de trabajo. Ayuda a bajar la probabilidad de downtime o perdida de la productividad si uno o mas empleados no pueden trabajar por un periodo de tiempo extendido. Rotar el personal reduce el riesgo de fraude, modificación de datos, robo, sabotaje, y el mal uso de la información. La rotación de puestos también proporciona una forma de auditoría de pares y protege contra la collusion. Job Rotation (cont.) Cross Training
Al igual que Job Rotation, Cross-training enseña las
responsabilidades y tareas de múltiples posiciones de trabajo para preparar al empleado a cubrir la posición, pero no efectiviza la rotación de forma regular. Cuando varias personas trabajan juntas para perpetrar un delito, se llama collusion. El empleo de los principios de separación de funciones, las responsabilidades del trabajo restringidos, y la rotación en el trabajo reduce la probabilidad de que un compañero de trabajo esté dispuesto a colaborar en una acción ilegal o abusiva debido al mayor riesgo de detección. La colusión puede reducirse mediante una estricta vigilancia de privilegios especiales, como los de un administrador, operador de copia de seguridad, administrador de usuarios, entre otros. Employment Candidate Screening
La rigurosidad del proceso de selección debe reflejar la seguridad
del puesto a cubrir. La investigación al empleado candidato mediante verificación de antecedentes, verificación de referencias y verificación de la educación, son elementos esenciales para demostrar que un candidato es adecuado, cualificado, y digno de confianza para una posición de seguridad. La verificación de antecedentes en medio online y la revisión de las cuentas de redes sociales de los solicitantes se ha convertido en una práctica habitual para muchas organizaciones. Employment Agreement and Policies En este documento se describen las reglas y restricciones de la organización, la política de seguridad, el uso aceptable y las políticas de las actividades, los detalles del trabajo a realizar, violaciones y consecuencias, y el período de tiempo que el empleado estará en el puesto. Otro documento común es un acuerdo de confidencialidad (NDA). Un NDA se utiliza para proteger la información confidencial dentro de una organización para que no sea divulgada por un ex empleado. NCA and NDA
La NDA es un contrato común conocido como acuerdo de no
competencia (NCA). El acuerdo de no competencia intenta evitar que un empleado con conocimientos especiales de los secretos de una organización, utilice esos conocimientos en una organización que compite con la primera, con el fin de evitar que la segunda organización se beneficie de un conocimiento especial del trabajador de esos secretos. Los NCAs también se utilizan para evitar que los trabajadores migren de una compañía a otra de la competencia sólo a causa de los aumentos de sueldo u otros incentivos. A menudo, las NCA tienen un límite de tiempo, tal como seis meses, un año, o incluso tres años. NCA and NDA (cont.)
Muchas compañías requieren a los nuevos empleados la foirma de
un NCA. Sin embargo, la aplicación del NCA en los tribunales a menudo es compleja. Si la NCA podría impedir que una persona obtenga un ingreso razonable a sus conocimientos, los tribunales a menudo invalidan la NCA. Igualmente representan beneficios, tales como: La amenaza de una demanda debido a violaciónes de la NCA es a menudo un incentivo suficiente para impedir que un trabajador no la cumpla. NCA and NDA (cont.)
Si un trabajador no cumple los términos de la NCA, incluso aunque
la corte falle a su favor, el tiempo, el esfuerzo y el costo de tener que defender su posición en la corte, es un elemento de disuasión. Revisar periódicamente los límites de cada descripción de trabajo en relación con lo que está ocurriendo en realidad ayuda a mantener las violaciones de seguridad al mínimo. Una parte clave de este proceso de revisión es hacer cumplir las vacaciones obligatorias. Las vacaciones ausentan al empleado del ambiente de trabajo y coloca un trabajador diferente en su posición, lo que hace que sea más fácil de detectar el abuso, fraude o negligencia por parte del empleado original. Employment Termination Processes
Una fuerte relación entre el departamento de seguridad y de
recursos humanos es esencial para mantener el control y minimizar los riesgos durante la terminación. Antes de que se libere el empleado, todas las insignias de identificación específicas de la organización, de acceso o de seguridad, así como tarjetas, llaves y llaves de acceso deben ser recogidos. Employment Termination Processes (cont.) Employment Termination Processes (cont.) Una entrevista de salida debe llevarse a cabo tan pronto como sea posible. El principal propósito es revisar las restricciones impuestas al ex empleado basadas en el contrato de trabajo, contrato de confidencialidad, y cualquier otra documentación relacionada con la seguridad. En la mayoría de los casos, debe desactivar o eliminar el acceso al sistema de un empleado al mismo tiempo o justo antes de que se les notifique de ser terminado. Vendor Consultant and Contractor controls Se utilizan para definir los niveles de rendimiento, la expectativa, la compensación, y las consecuencias para las entidades, personas u organizaciones que son externos a la organización. A menudo, estos controles se definen en un documento o una política conocida como un acuerdo de nivel de servicio (SLA). Los siguientes temas se tratan comúnmente en los SLA: System uptime (as a percentage of overall operating time) Maximum consecutive downtime (in seconds/minutes/and so on) Peak load Average load Responsibility for diagnostics Failover time (if redundancy is in place) Los SLA comúnmente incluyen multas financieras y de otro tipo que entran en juego si no se mantiene el acuerdo. Compliance
Es el acto de adherirse a las reglas, normas, reglamentos,
estándares o requisitos. A nivel personal, el cumplimiento está relacionado con si los empleados siguen la política de la empresa y llevan a cabo sus tareas en conformidad con los procedimientos estipulados. Si los empleados no cumplen con estas políticas, podría pagar la organización en términos de pérdida de beneficios, cuota de mercado, el reconocimiento y la reputación. Muchas organizaciones dependen del cumplimiento de los empleados con el fin de mantener altos niveles de calidad, de coherencia, de eficiencia y de ahorro de costos. Privacy
Es un principio de la seguridad que busca proteger la información del
individuo empleando controles para garantizar que la misma no es diseminada o accedida en forma no autorizada. Personally identifiable information (PII): cualquier dato que puede fácilmente remontarse a la persona de origen: Un número de teléfono, dirección de correo electrónico, dirección postal, número de la seguridad social, y el nombre, entre otros. Hay muchas competencias legislativas y normativas de cumplimiento en lo que respecta a la privacidad: Many US regulations—such as the Health Insurance Portability and Accountability Act (HIPAA), the Sarbanes-Oxley Act of 2002 (SOX), and the Gramm-Leach-Bliley Act—as well as the EU’s Directive 95/46/EC (aka the Data Protection Directive) and the contractual requirement Payment Card Industry Data Security Standard (PCI DSS) Privacy (cont.)
La privacidad es un problema no sólo para los usuarios externos,
sino también para sus clientes, empleados, proveedores y contratistas. Si se reúne cualquier tipo de información sobre cualquier persona o empresa, debe gestionar su privacidad. En los casos donde la privacidad se ha comprometido, los individuos y las empresas deben ser informados; de lo contrario, se puede enfrentar consecuencias legales. La privacidad también debe gestionarse cuando la empresa decide restringir el uso personal de correo electrónico, la retención de correo electrónico, la grabación de conversaciones telefónicas, la recopilación de información sobre la navegación de sitios onlne, los hábitos de consumo, y otros. Security Governance
Es el conjunto de prácticas relacionadas para apoyar, definir y
dirigir los esfuerzos de seguridad de una organización. Third-party governance es un sistema de supervisión (que puede ser obligatoria por ley, regulación, estándares de la industria, obligación contractual o requisitos de licencia). Por lo general implica un investigador o auditor externo. Las operaciones de servicios externos pueden incluir los guardias de seguridad, mantenimiento, soporte técnico y servicios de contabilidad. Estas partes tienen que permanecer en cumplimiento con la postura de seguridad de la organización, de lo contrario, presentan riesgos y vulnerabilidades adicionales a la misma. Security Governance (cont.)
Los que realizan la evaluación o auditorías in situ deben seguir
protocolos de auditoría (tales como COBIT) y tienen una lista específica de exigencias de investigación. En el proceso de auditoría y evaluación, tanto el auditado como el órgano de gobierno externo, deben participar en un intercambio y revisión de documentos completo y abierto. Esto reduce las posibilidades de requisitos desconocidos o expectativas poco realistas. La revisión de la documentación (Documentation review) es el proceso de la lectura de los materiales intercambiados para verificarlos con los estándares y expectativas. Por lo general se lleva a cabo antes de la inspección in situ. Si la documentación es incompleta, inexacta, o insuficiente, el examen in situ se pospone hasta que la documentación puede ser actualizada y corregida. Security Governance (cont.)
En muchas situaciones, especialmente en relación con el gobierno o
agencias militares o contratistas, no proporcionar suficiente documentación puede resultar en una pérdida o una anulación de la autorización para operar (ATO) La documentación completa y suficiente a menudo puede mantener la ATO existente o proporcionar una ATO temporal (TATO). Una parte de la revisión de la documentación se asegura que las tareas de negocios, los sistemas y las metodologías son prácticos, eficientes y rentables, y sobre todo que apoyan el objetivo de la seguridad a través de la reducción de las vulnerabilidades y el evitar, reducir, o mitigar los riesgos. Risk management, risk assessment, y addressing risk son todos métodos y técnicas involucradas en la realización del examen de los procesos y políticas. Understand and Apply Risk Management Concepts La posibilidad de que algo podría dañar, destruir o divulgar datos u otros recursos se conoce como riesgo. La comprensión de los conceptos de gestión de riesgos, es esencial para el establecimiento de un estado suficiente de seguridad, del gobierno de la seguridad, y prueba legal due care y due diligence. La gestión de riesgos es el proceso detallado de identificar los factores que pudieran causar daños o divulgar los datos, la evaluación de esos factores a la luz del valor de los datos y el costo de contramedidas, y la implementación de soluciones rentables para mitigar o reducir los riesgos. El proceso general de gestión de riesgos se utiliza para desarrollar e implementar estrategias de seguridad de la información. Understand and Apply Risk Management Concepts (cont.) El objetivo principal de la gestión de riesgos es reducir el riesgo a un nivel aceptable. El nivel depende de la organización, el valor de sus activos, el tamaño de su presupuesto, y muchos otros factores. Es imposible diseñar e implementar un ambiente totalmente libre de riesgo; Sin embargo, la reducción significativa del riesgo es posible, a menudo con poco esfuerzo. Los riesgos para IT no son sólo los que provienen de la infraestructura de TI. De hecho, muchos riesgos provienen de fuentes no relacionadas con las computadoras. Tenga en cuenta que la seguridad de TI, comúnmente conocida como la seguridad lógica o técnica, puede proporcionar una protección sólo contra ataques lógicos o técnicos. Para protegerla contra los ataques físicos, deben implementarse protecciones físicas. Understand and Apply Risk Management Concepts (cont.) El proceso por el cual se logran los objetivos de la gestión del riesgo se conoce como análisis de riesgos (risk analysis). Incluye el examen de un entorno de riesgos, la evaluación de cada amenaza en cuanto a su probabilidad de ocurrencia y el costo de los daños que causaría si se produjese, evaluar el costo de diversas contramedidas para cada riesgo, y la creación de un informe de costo / beneficio de contramedidas para presentar a la alta dirección. Además de estas actividades con enfoque de riesgo, gestión del riesgo requiere de la evaluación, valoración, y la asignación de valor a todos los activos dentro de la organización. Sin valoraciones de los activos adecuados, no es posible establecer prioridades y comparar los riesgos con las posibles pérdidas. Risk terminology Asset Un activo es cualquier cosa dentro de un ambiente que debe ser protegido. Puede ser un archivo de computadora, un servicio de red, un recurso del sistema, un proceso, un programa, un producto, una infraestructura de TI, una base de datos, un dispositivo de hardware, muebles, recetas de productos / fórmulas, personal, software, instalaciones, etc. La pérdida o divulgación de un activo podría resultar en un riesgo de seguridad global, la pérdida de productividad, reducción de los beneficios, gastos adicionales, la interrupción de la organización, y numerosas consecuencias intangibles. Risk terminology Asset Valuation La valoración de activos es un valor en dinero asignado a un activo, basado en el costo real y los gastos no monetarios. Estos pueden incluir los costos de desarrollar, mantener, administrar, soportar, reparar y reemplazar un activo; también puede incluir valores más difíciles de identificar, tales como la confianza del público, el apoyo de la industria, aumento de la productividad, la equidad de conocimiento y los beneficios que genera. Risk terminology Threats Cualquier suceso potencial que puede causar un resultado no deseado o no esperado para una organización o para un activo específico, es una amenaza. Puede ser intencional o accidental. Puede proceder de las personas, organizaciones, hardware, redes, estructuras, o de la naturaleza. Los agentes de amenaza explotan las vulnerabilidades de forma intencionada. Son por lo general las personas, pero también podrían ser programas, hardware o sistemas. Los eventos de amenaza son explotaciones accidentales e intencionales de vulnerabilidades. También pueden ser naturales o artificiales. Risk terminology Vulnerability La debilidad en un activo, o la ausencia o la debilidad de una contramedida, es una vulnerabilidad. En otras palabras, una vulnerabilidad es una falla, error, limitación, fragilidad, o susceptibilidad en la infraestructura TI o en cualquier otro aspecto de una organización. Risk terminology Exposure La exposición es ser susceptible a la pérdida de activos debido a una amenaza; existe la posibilidad de que una vulnerabilidad pueda ser explotada por un agente de amenaza o evento de amenaza. Sólo significa que si existe una vulnerabilidad, y si existe una amenaza que puede explotarla, existe la posibilidad de que un evento de amenaza pueda ocurrir. La exposición a una amenaza que se ha realizado se llama exposición experimentada (experienced exposure). Risk terminology Risk El riesgo es la posibilidad o probabilidad de que una amenaza explote una vulnerabilidad para causar daño a un activo. Es una evaluación de la probabilidad o posibilidad. Cada instancia de la exposición es un riesgo. Cuando se escribe como una fórmula, el riesgo se puede definir como sigue: riesgo = amenaza * vulnerabilidad Por lo tanto, la reducción del agente de amenaza o de la vulnerabilidad resulta directamente en una reducción en el riesgo. Todo el propósito de la seguridad es prevenir la realización de los riesgos mediante la eliminación de las vulnerabilidades y el bloqueo de agentes de amenaza y eventos de amenazas que ponen en peligro los activos. Como una herramienta de gestión de riesgos, la seguridad es la aplicación de salvaguardias o contramedidas. Risk terminology Safeguards Una salvaguardia, o contramedida, es todo lo que elimina o reduce la vulnerabilidad o protege contra una o más amenazas. Una medida de seguridad puede ser la instalación de un parche de software, un cambio de configuración, la contratación de guardias de seguridad, la alteración de la infraestructura, la modificación de los procesos, la mejora de la política de seguridad, la formación de personal de manera más eficaz, la electrificación de un cerco perimetral, la instalación de luces, y así sucesivamente. Las salvaguardias son el único medio por el cual se mitiga o se quita el riesgo. Risk terminology Attack Un ataque es la explotación de una vulnerabilidad por un agente de amenaza. En otras palabras, un ataque es cualquier intento deliberado de aprovechar una vulnerabilidad de la infraestructura de seguridad de una organización para causar daño, pérdida, o la revelación de activos. Risk terminology Breach Es la aparición de un mecanismo de seguridad que es vulnerado por un agente de amenaza. Cuando una breach se combina con un ataque, puede dar lugar a una penetración, o intrusión. Una penetración es la condición en la que un agente de amenaza ha obtenido acceso a la infraestructura de una organización a través de la acción de eludir los controles de seguridad y es capaz de poner en peligro directamente a los activos. Risk terminology Final Chapter 2 – Parte 1 de 2