Política de seguridad y

métodos para su implantación

Índice

• Política de seguridad
• Métodos no criptográficos para su implantación
• Protocolos criptográficos básicos

2
Ciclo de vida de la Seguridad
Análisis de
riesgos

Planificación y ¿Quién puede

Gestión de crisis ¿Qué recursos y
Arquitectura estar interesado
sistemas son
en atacar los
críticos?
sistemas?

Cumplimiento
Análisis "Gap"
legal y auditoria
¿Qué impacto
¿Qué tiene un ataque
vulnerabilidades en los recursos y
existen? sistemas
Monitorización y Integración y
análisis forense desarrollo
críticos?

Operaciones

3
 Política de Seguridad
Una política de seguridad es un conjunto de objetivos de seguridad para una empresa, reglas de
comportamiento para usuarios y administradores, además de unos requisitos del sistema

• Política de identificación y autenticación

• Política de contraseñas
• Política de uso aceptable (AUP)
• Política de acceso remoto
• Política de mantenimiento de sistemas
• Política de gestión de incidentes
• …

4
Audiencia de una política de seguridad

5
 Jerarquía en la política de seguridad
Política de Gobierno
Política Técnica Política de Usuarios

Comunicaciones
(VoIP, correo Acceso remoto Redes Aplicaciones Identidad Contraseñas Antivirus
electrónico)

6
El programa de seguridad
• Declaración a alto nivel de los requisitos de seguridad de
Políticas los sistemas informáticos

• Especifican como configurar dispositivos, como instalar y

Legislación Estándares configurar aplicaciones software, y como utilizar los
vigente sistemas informáticos y otros recursos de la organización,
teniendo en cuenta las intenciones de la política asociadas

• Definen instrucciones paso a paso para realizar diversas

Procedimientos tareas en base con las políticas y los estándares asociados

• Ofrecen consejo sobre como logar las metas determinadas

Guías por la política de seguridad, pero son sugerencias, no
reglas
7
 Concienciación de la seguridad
Concienciar al personal de los riesgos de seguridad y sus consecuencias
Explicar todas las políticas y procedimientos de seguridad de los sistemas informáticos de la
organización
Informar sobre las consecuencias del incumplimiento
Elementos:
◦ Campañas de sensibilización
◦ Cursos para la formación del personal

8
Respuesta ante incidentes
Aún a pesar de todo, debemos tener preparado un plan para responder ante un incidente:
◦ Establecer un protocolo de respuesta
◦ Auditoria de sistemas

Para ello debemos recopilar información sobre:

◦ Motivo
◦ Oportunidad
◦ Medios

9
 Definir e implementar un SGSI

1 2 3 4 5 6 7

• Estado inicial de • Contexto de la • Política y • Evaluación de • Documentación • Implementación • Auditoria interna

la organización organización objetivos riesgos • Revisión del
• Alcance • Tratamiento sistema
• Selección de
controles
• Declaración de
aplicabilidad

10
 Implementación de controles
Auditoría
Análisis de
Recuperación Análisis de Riesgos
vulnerabilidades

Análisis
Forense Respuesta
ante incidentes
Alta disponibilidad
Firewall
Selección de
Monitorización
controles

Honeypots
Monitor de red
IDS/IPS Copias de Seguridad
Implementación
Controles de Acceso

11
 Tras el análisis de riesgos
Crítico • Atención inmediata
¿Quién puede
¿Qué recursos y
estar interesado
sistemas son
en atacar los
críticos?
sistemas?
Grave • Atención
RIESGOS
¿Qué impacto
¿Qué tiene un ataque
• Estudio de
Apreciable
vulnerabilidades en los recursos y
existen? sistemas
críticos? tratamiento

Asumible • No se van a
tomar acciones

12
Métodos de tratamiento del riesgo

1 2 3 4
Mitigación Asumir Eliminar Transferir
• Selección de controles • El riesgo es aceptable • Evitar la actividad o • Gestión del riesgo en
hasta un nivel de • No se toman medidas condición que conlleva manos de un tercero
riesgo aceptable el riesgo

13
Tratamiento del riesgo
Resultados análisis de
riesgo

¿Son
satisfactorios?

Opciones de tratamiento del riesgo

Mitigar Asumir Eliminar Transferir

Riesgo residual

¿Son
satisfactorios?
14
 Criterios de selección de controles
Compromiso entre la seguridad y el coste de implementar las medidas de seguridad asociadas:
Grado de Seguridad
120

100

80

60

40

20

0
0 10 20 30 40 50 60 70 80 90 100
Riesgo Coste Control Coste total

15
 Guía CCN de selección de productos

URL: https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/2536-ccn-stic-
105-catalogo-de-productos-de-seguridad-de-las-tecnologias-de-la-informacion-y-la-comunicacion/file.html

16
 Declaración de Aplicabilidad
Documento donde justificamos:
◦ Los controles seleccionados en fases anteriores
◦ La justificación de las inclusiones y las exclusiones de los controles recomendados por la norma seleccionada
Repaso de los posibles controles y su selección

Sección Objetivo Control Estado Justificación

A.6.1 Organización interna 6.1.1. Roles y responsabilidades en la
seguridad de la información
6.1.2. Segregación de tareas
6.1.3 Contacto con las autoridades
Aplicar Exigido por ISO 27002
Aplicar Se han definido roles para la realización de tareas,
evitar uso indebido y el impacto de los incidentes de
seguridad
No aplicar No se considera que este control reduzca el riesgo
de los activos identificados

17
Implementación de controles
Tras seleccionar los contextos de los controles debemos implementar los procesos que se
encargan de realizar esos controles:

1. Diseñar los procesos y los controles

2. Describir esos procesos y controles
3. Escribir las políticas específicas
4. Escribir los procedimientos asociados
5. Definir los registros asociados a los controles

18
 Monitorización y Auditoría
La monitorización efectiva de un sistema consiste en la Sensores
recolección de datos desde diversas fuentes, que
llamaremos sensores, para analizar diferentes tipos de
datos creados por diferentes personas con diversos Ubicación Datos Actividad
propósitos
Auditoría: descubrir vulnerabilidades existentes Red Informar
◦ Internas: ¿cómo de bien funciona la seguridad?
◦ Externas: certificar la seguridad del sistema
Host Eventos

Servicio Control

19
 Planes de respuesta ante incidentes
El objetivo final de cualquier plan de respuesta a incidentes (IR, Incident Response) es contener,
recuperar y reanudar las operaciones normales lo más rápido y sin problemas posible

Recuperación
Detección de Respuesta y Revisión y
y
incidentes contención mejora
reanudación

20
 Continuidad del Negocio
El plan de continuidad del negocio (BCP, Business Plan de Continuidad del
Continuity Plan) incluye: Negocio
◦ La recuperación ante desastres
◦ Los procedimientos para restaurar los procesos del
negocio que se han podido interrumpir por un desastre Iniciación del plan

◦ Las funcionalidades de la infraestructura subyacente que

es necesaria para dar soporte a esos procesos
◦ El reinicio del trabajo diario de los empleados
relacionados
Análisis de impacto en el negocio
Desarrollo de Estrategias de Recuperación
Ensayos o ejercicios

21
Educación y Formación en seguridad
Las organizaciones no pueden proteger la confidencialidad, la integridad y
la disponibilidad de la información en el entorno de sistemas altamente
interconectados de la actualidad sin garantizar que todas las personas
involucradas en el uso y la administración de TI:
◦ Comprenden sus roles y responsabilidades relacionadas con la misión
de la organización
◦ Comprenden la política, los procedimientos y las prácticas de seguridad
de TI de la organización
◦ Tienen al menos un conocimiento adecuado de los diversos controles
de gestión, operativos y técnicos necesarios y disponibles para proteger
los recursos de TI de los que son responsables
El factor 'personas', no la tecnología, es clave para proporcionar un nivel
adecuado de seguridad. Si las personas son la clave, también son uno de
los eslabones más débiles, por tanto se debe prestar más atención a este
objetivo

22
 Modelo SETA (NIST SP 800-18)
Características Educación Formación Concienciación
Orientación ¿Por qué? ¿Cómo? ¿Qué?
Nivel Interiorización Conocimiento Información
Objetivo Comprensión Adquisición de Concienciación
habilidades
Métodos Debates Clases Vídeos
Seminarios Casos prácticos Posters
Lecturas Talleres Juegos
Actividades interactivas
Evaluación Trabajos escritos Resolución de problemas Cuestionario
verdadero/falso o
selección múltiple
Temporalización A largo plazo Inmediatos A corto plazo

URL: https://csrc.nist.gov/publications/detail/sp/800-50/final 23
Tipos de formación
Personal Técnico
Sistemas operativos y aplicaciones:
actualizaciones, vulnerabilidades,…
Gestión y administración de soluciones
de seguridad perimetral
Copias de seguridad y mecanismos de
contingencia
Sistemas de seguridad individuales
Gestión de incidentes
Seguridad en soportes extraíbles
….
Empleados
Ataques de ingeniería social
Protección del puesto de trabajo
Práctica sobre los controles de acceso
físico
Tratamiento y manejo seguro de
dispositivos móviles
Seguridad navegando en la red
Seguridad en aplicaciones
…
24
 Protocolos criptográficos básicos (I)
Tipos de algoritmos criptográficos:
◦ Funciones hash
◦ Sistema de clave privada en origen y destino
◦ Sistemas de clave pública en el origen (en el destino habrá una clave privada)
◦ La seguridad reside en su clave
Autenticación, integridad, privacidad y no repudio
Métodos:
◦ Firma digital
◦ Certificado digital – Autoridad de certificación
◦ El estándar X.509
◦ Modelos de infraestructura de clave pública, PKI
◦ Autoridad de registro, IPSec para VPNs (PKCS), SCEP

25
Protocolos criptográficos básicos (II)
SSL (Secure Socket Layer) – Https
◦ Seguridad a nivel de transporte
SET (Secure Electronic Transactions)
◦ No mejora la seguridad de SSL
◦ Trata de mejorar el propio proceso de comercio electrónico
IPSec – A nivel de IP
◦ Authentication Header (AH)
◦ Encapsulating Security Payload (ESP)

PGP (Pretty Good Privacy)

◦ Aseguramiento del tráfico generado por el correo electrónico

26
Seguridad WiFi
WEP (Wired Equivalent Privacy) es un protocolo inseguro con múltiples vulnerabilidades
conocidas
WPA2 (Wi-Fi Protected Access, versión 2):
◦ Dos versiones: WPA-Personal (PSK) y WPA-Enterprise (servidor RADIUS)
◦ Protocolos de cifrado:
◦ Temporal Key Integrity Protocol (TKIP)  Garantiza la compatibilidad
◦ CCMP basado en AES (Advanced Encryption Protocol)
◦ Esquema de autenticación para WPA-Enterprise: protocolo EAP (RFC 2284)
◦ EAP-MD5  inseguro
◦ EAP-TLS  sólo certificado por WiFI Alliance
◦ EAP-LEAP (EAP ligero o EAP-cisco)  utiliza contraseñas muy fuertes, pero es ceptible ataques de fuerza bruta
◦ PEAP (EAP protegido)
◦ Protocolos de control de acceso basados en puertos

27
 Política de seguridad y
métodos para su implantación