SEGURIDAD DE LA

INFORMACION

Políticas de seguridad

Yessica Gómez G.
Porqué hablar de la Seguridad
de la Información?
 Porque el negocio se sustenta a partir de la
información que maneja.....
 Estrategia de Funciones y procesos de
negocio negocio

ACTIVIDADES DE LA EMPRESA
Diseño y ejecución de
Planificación de acciones para conseguir
Objetivos objetivo

Control (de resultados de

acciones contra objetivos)

Sistemas de Registro de Transacciones

Información transacciones

Entorno ORGANIZACION
 Porque no sólo es un tema Tecnológico.
 Porque la institución no cuenta con Políticas
de Seguridad de la Información
formalmente aceptadas y conocidas por
todos.
 CULTURA de la seguridad ,
responsabilidad de TODOS

ACTITUD proactiva,
Investigación permanente
 Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el paciente la tome”

¿ Entonces, por donde partir?........

Reconocer los activos de
información importantes para la
institución..
 Información propiamente tal : bases de datos,
archivos, conocimiento de las personas
 Documentos: contratos, manuales, facturas,
pagarés, solicitudes de créditos.
 Software: aplicaciones, sistemas operativos,
utilitarios.
 Físicos: equipos, edificios, redes
 Recursos humanos: empleados internos y externos
 Servicios: electricidad, soporte, mantención.
Reconocer las Amenazas a que
están expuestos...
 Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
 Ejemplos:
– Desastres naturales (terremotos, inundaciones)
– Errores humanos
– Fallas de Hardware y/o Software
– Fallas de servicios (electricidad)
– Robo
Reconocer las Vulnerabilidades
 Vulnerabilidad: “ una debilidad que facilita
la materialización de una amenaza”
 Ejemplos:
– Inexistencia de procedimientos de trabajo
– Concentración de funciones en una sola
persona
– Infraestructura insuficiente
Identificación de Riesgos
 Riesgo: “ La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte un activo”
 Que debe analizarse?
– El impacto (leve ,moderado,grave)
– La probabilidad (baja, media, alta)
 Contexto general de seguridad
valoran
Propietarios
Quieren minimizar

definen
Salvaguardas

Pueden tener Que pueden RECURSOS

Reducen
conciencia de tener

Amenazas Vulnerabili Daño

explotan Permiten o
dades facilitan

RIESGO
Principales problemas:
 No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
 No se puede medir la severidad y la probabilidad
de los riesgos.
 Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
 Se cree que la solución de seguridad interferirá
con el rendimiento o apariencia del producto o
servicio del negocio.
Estándares de Seguridad
 Normas Internacionales de seguridad
– Proporcionan un conjunto de buenas prácticas en gestión
de seguridad de la información:
– Ejemplos ISO/IEC 17799,COBIT,ISO 15408
 Se ha homologado a la realidad Chilena NCh2777 la
ISO 17799 que tiene la bondad de ser transversal a
las organizaciones , abarcando la seguridad como un
problema integral y no meramente técnico.
 Ley 19.233 sobre delitos informáticos.
 Ley 19.628 sobre protección de los datos personales.
 Ley 19.799 sobre firma electrónica
¿Qué es una Política?
 Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asunto o campo determinado.
¿Qué es una Política de
Seguridad?
Conjunto de directrices que permiten
resguardar los activos de información .
¿Cómo debe ser la política de
seguridad?
 Definir la postura del Directorio y de la gerencia con
respecto a la necesidad de proteger la información
corporativa.
 Rayar la cancha con respecto al uso de los recursos
de información.
 Definir la base para la estructura de seguridad de la
organización.
 Ser un documento de apoyo a la gestión de seguridad
informática.
 Tener larga vigencia , manteniéndose sin grandes
cambios en el tiempo.
 Ser general , sin comprometerse con tecnologías
específicas.
 Debe abarcar toda la organización
 Debe ser clara y evitar confuciones
 No debe generar nuevos problemas
 Debe permitir clasificar la información en
confidencial, uso interno o pública.
 Debe identificar claramente funciones específicas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la información.
Qué debe contener una política
de seguridad de la información?
 Políticas específicas
 Procedimientos
 Estándares o prácticas
 Estructura organizacional
Políticas Específicas
 Definen en detalle aspectos específicos que regulan el
uso de los recursos de información y están más afectas
a cambios en el tiempo que la política general.
 Ejemplo:
– Política de uso de Correo Electrónico:
• Definición del tipo de uso aceptado: “El servicio de correo
electrónico se proporciona para que los empleados realicen
funciones propias del negocio,cualquier uso personal deberá
limitarse al mínimo posible”
• Prohibiciones expresas: “ Se prohíbe el envío de mensajes
ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”
• Declaración de intención de monitorear su uso: “La empresa podrá
monitorear el uso de los correos en caso que se sospeche del mal
uso”
Procedimiento
 Define los pasos para realizar una actividad
 Evita que se aplique criterio personal.
 Ejemplo:
– Procedimiento de Alta de Usuarios:
• 1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al
Adminsitrador de Privilegios una solicitud formal de creación de cuenta,
identificando claramente los sistemas a los cuales tendrá accesos y tipos de
privilegios.
• 2.-El Administrador de privilegios debe validar que la solicitud formal
recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o
unidad a la que pertenece.
• 3.- El Administrador de privilegios creará la cuenta del usuario a través del
Sistema de Administración de privilegios y asignará una clave inicial para que
el usuario acceda inicialmente.
• 4.- El Administrados de privilegios formalizará la creación de la cuenta al
usuario e instruirá sobre su uso.
Estándar
 En muchos casos depende de la tecnología
 Se debe actualizar periódicamente
 Ejemplo:
– Estándar de Instalación de PC:
• Tipo de máquina:
– Para plataforma de Caja debe utilizarse máquinas Lanix
– Para otras plataformas debe utilizarse máquinas Compaq o HP.
– Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB
• Registro:
– Cada máquina instalada debe ser registrada en catastro computacional
identificando los números de serie de componente y llenar formulario de
traslado de activo fijo
• Condiciones electricas:
– Todo equipo computacional debe conectarse a la red electrica computacional
y estar provisto de enchufes MAGIC
Que se debe tener en cuenta
 Objetivo: qué se desea lograr
 Alcance: qué es lo que protegerá y qué áreas serán
afectadas
 Definiciones: aclarar terminos utilizados
 Responsabilidades: Qué debe y no debe hacer cada
persona
 Revisión: cómo será monitoreado el cumplimiento
 Aplicabilidad: En qué casos será aplicable
 Referencias: documentos complementarios
 Sanciones e incentivos
Ciclo de vida del Proyecto
 Creación
 Colaboración
 Publicación
Enfoque
 Educación Metodológico
 Cumplimiento
Políticas de seguridad y
Controles
 Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas
 Si no se tienen políticas claras , no se sabrá qué
controlar.
 Orientación de los controles:
– PREVENIR la ocurrencia de una amenaza
– DETECTAR la ocurrencia de una amenaza
– RECUPERAR las condiciones ideales de
funcionamiento una vez que se ha producido un evento
indeseado.
Ejemplo:Modelo Seguridad
Informática (MSI) a partir de
políticas de seguridad de la
información institucionales
 Estructura del modelo adoptado:
– Gestión IT (Tecnologías de Información)
– Operaciones IT
 Para cada estructura incorpora
documentación asociada como políticas
específicas, procedimientos y estándares.
Gestión IT

 Objetivo: contar con procedimientos

formales que permitan realizar
adecuadamente la planeación y desarrollo
del plan informático.
 Contiene:
– Objetivo y estrategia institucional
– Plan Informático y comité informática
– Metodología de Desarrollo y Mantención
Operaciones IT
 Objetivo: Contar conprocedimientos formales para
asegurar la operación normal de los Sistemas de
Información y uso de recursos tecnológicos que
sustentan la operación del negocio.
 Contiene:
– Seguridad Física sala servidores
• Control de acceso a la sala
• Alarmas y extinción de incendios
• Aire acondicionado y control de temperaturas
• UPS
• Piso y red electrica
• Contratos de mantención
• Contratos proveedores de servicios
– Respaldos y recuperación de información:
• Ficha de servidores
• Política Respaldos: diarios,semanales,mensuales,
históricos
– Bases de datos, correo electrónico, datos de usuarios,
softawre de aplicaciones, sistemas operativos.
• Administración Cintoteca:
– Rotulación
– Custodia
– Requerimientos, rotación y caduciddad de cintas.
– Administración de licencias de software y
programas
– Seguridad de Networking:
• Características y topología de la Red
• Estandarización de componentes de red
• Seguridad física de sites de comunicaciones
• Seguridad y respaldo de enlaces
• Seguridad y control de accesos de equipos de comunicaciones
• Plan de direcciones IP
• Control de seguridad WEB
– Control y políticas de adminsitración de Antivirus
• Configuración
• Actualización
• Reportes
– Traspaso de aplicaciones al ambiente de explotación
• Definición de ambientes
• Definición de datos de prueba
• Adminsitración de versiones de sistema de aplicaciones
• Programas fuentes
• Programas ejecutables
• Compilación de programas
• Testing:
– Responsables y encargados de pruebas
– Pruebas de funcionalidad
– Pruebas de integridad
• Instalación de aplicaciones
• Asignación de responsabilidades de harware y software para
usuarios
 • Creación y eliminación de usuarios :
– Internet, Correo electrónico
• Administración de privilegios de acceso a sistemas
• Administración y rotación de password:
– Caducidad de password
– Definición de tipo y largo de password
– Password de red , sistemas
– Password protectores de pantalla, arranque PC
– Fechas y tiempos de caducidad de usuarios
• Controles de uso de espacio en disco en serviodres
– Adquisición y administración equipamiento usuarios:
• Política de adquisiciones
• Catastro computacional
• Contrato proveedores equipamiento
 Conclusiones
 La Información es uno de los activos mas valiosos
de la organización
 Las Políticas de seguridad permiten disminuir los
riesgos
 Las políticas de seguridad no abordan sólo aspectos
tecnológicos
 El compromiso e involucramiento de todos es la
premisa básica para que sea real.
 La seguridad es una inversión y no un gasto.
 No existe nada 100% seguro
 Exige evaluación permanente.
 La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.