1

Políticas de Seguridad:Un Enfoque Holístico

Samuel LinaresResponsable Área Seguridad Tecnocom

Miembro Comisión Seguridad de Asimelec

2

00ín

dic

e 01 Introducción02 ¿Seguridad?03 Visión de la Seguridad: Un Enfoque Holístico04 Objeto de las Políticas de Seguridad05 Infraestructura e Implementación: Elementos de Soporte06 Formación, Educación y Concienciación

3

Intr

od

ucc

ión

4

Amenazas: Nos acechan…In

tro

du

cció

n • Robo de información• Sabotaje de datos• Entradas no autorizadas al sistema• Abuso interno• Denegación de Servicio• Virus, Troyanos, Gusanos• Fraude telefónico• Robo de material

5

¿Y qué hacemos habitualmente?In

tro

du

cció

n • ¡A quién va a interesarle mi información!• Tengo un Firewall, así que estoy protegido• Ya sería mala suerte que tuviese una

Inspección• ¡Lo que me interesa es que FUNCIONE YA!,

después ya veremos la seguridad…

6

¡Vamos al Supermercado!

Anti-Spam

Anti-Virus

Policy Management

Mail Routing

Internet

Firewall

MTAs

Groupware

Users

PublicWeb

Servers

IntranetWeb

Servers

Internal NetworkUsers

Firewall

Users

ProxyPublic Interne

t

Firewall VPNSecure WAN

K9

IPS

Main Office

Data Center

Application Servers

Cisco Unity

Cisco CallManager

PIX Firewall Appliance

6500 FW Service Module

ASA 5500 Security Appliance

SecureWireless

7

Incluso escribimos una política de seguridad…In

tro

du

cció

n

8

¿Y de qué nos sirve? In

tro

du

cció

n

Los Fumadores no se me Enfaden…

9

¿Seguridad?S

egu

rid

ad:

Co

nce

pto

s

La Seguridad es un Proceso de Mejora Contínua

La Solución no es sólo Tecnológica

Cumplimiento LOPD: Obligatoriedad, Multas

Estándares: ISO 27001, camino a seguir

Redes, Sistemas, Procesos… ORGANIZACIÓN

10

Vis

ión

de

la S

egu

rid

ad

SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus, VPNs, Control de Contenidos, etc.AntiVirus, VPNs, Control de Contenidos, etc.

DISEÑO: Topologías, Arquitecturas, ServiciosDISEÑO: Topologías, Arquitecturas, Servicios

GESTIÓN Y OPERACIÓN: Procedimientos, PolíticasGESTIÓN Y OPERACIÓN: Procedimientos, Políticas

ESTÁNDARES: ISO27001, BS7799ESTÁNDARES: ISO27001, BS7799

LEGISLACIÓN: LOPD, LSSI/CE, SoXLEGISLACIÓN: LOPD, LSSI/CE, SoX

Implementar

Gestionar

Planificar

Probar

CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA

11

IMPLEMENTACIÓN AUDITORÍACONSULTORÍA

Vis

ión

de

la S

egu

rid

ad

SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus, VPNs, Control de Contenidos, etc.AntiVirus, VPNs, Control de Contenidos, etc.

DISEÑO: Topologías, Arquitecturas, ServiciosDISEÑO: Topologías, Arquitecturas, Servicios

GESTIÓN Y OPERACIÓN: Procedimientos, PolíticasGESTIÓN Y OPERACIÓN: Procedimientos, Políticas

ESTÁNDARES: ISO27001, BS7799ESTÁNDARES: ISO27001, BS7799

LEGISLACIÓN: LOPD, LSSI/CE, SoXLEGISLACIÓN: LOPD, LSSI/CE, SoX

Implementar

Gestionar

Planificar

Probar

12

¿Por qué las Necesito?P

olít

icas

de

Seg

uri

dad

Porque las malas prácticas se extienden…

Si abro la mayoría de

puertos en el firewall mi aplicación funcionará

Dejaré la puerta del cuarto de

ordenadores abierta. Es

más cómodo y barato

Han bloqueado mi web favorita, menos mal

que tengo un módem jeje

Creo que utilizaré mi

nombre como

password, así no se me

olvidará

A nosotros nos pasa igual,

¿cómo configuras tu

firewall?

¡Para qué necesitam

os la puerta

cerrada!

¡Genial! Un módem,

¿cuál es el número de teléfono?

Nunca se me ocurre una

buena password, ¿cuál

usas tú?

Fuente: Steve LambMicrosoft Technet UK

13

Bufff… hay que ver cómo está Beyonce

en esta revista…

¡Otra vez! ¡La alarma de

siempre! ¡Qué pesadez!

Tranquilo. Pepe la apagará en

cuanto la vea. Lo hace siempre.

Creo que la va a desactivar mañana

14

Origen GeneralP

olít

icas

de

Seg

uri

dad

Política Organizativa “Directriz”

(Declaración de Seguridad y Directivas

de la Dirección)

Normativas

Objetivos de la Organización

Fines Organizativos

Legislación

Intereses de los Accionistas

EL “ENTORNO”EL “ENTORNO”

15

Origen General (II)P

olít

icas

de

Seg

uri

dad Política Organizativa “Directriz”

(Declaración de Seguridad de la Dirección)

“Plantillas”(“Baselines”)

Estándares GuíasProcedimientos

Políticas de Implementación Funcionales

(Directivas de Seguridad de la Dirección)

16

Política de Seguridad de DirecciónP

olít

icas

de

Seg

uri

dad • Proporciona los Objetivos y Metas de la Dirección

por Escrito

• Documenta el Cumplimiento (legislación, normativa, estándares)

• Crea una Cultura de la Seguridad (incorpora seguridad a la cultura organizativa existente)

• Públicamente accesibles (en la organización)

• Se Anticipa y Protege de Sorpresas

Política de Seguridad de la Dirección:“La Seguridad es Esencial para esta compañía y su Futuro”Pepe Pótamo (CEO)

17

Política de Seguridad de Dirección (II)P

olít

icas

de

Seg

uri

dad

• Establece la función/actividad de seguridad– Grupo de Seguridad

• Establece responsabilidades/seguimientos personales individualmente:– Cada empleado responsable de sus acciones

• Tiene en cuenta futuros potenciales conflictos:– Establece marco resolutor de conflictos de intereses o

interpretaciones.

• Asegura que empleados y contratas estén al tanto de la Política Organizativa y sus cambios

• Obliga a un plan de respuesta a incidencias

• Establece procesos para manejo de excepciones, recompensas, disciplinas

18

Una Buena Política de Seguridad Debe…P

olít

icas

de

Seg

uri

dad

• Ser corta (1 o 2 páginas, un tríptico)

• Ser Fácilmente comprensible y CLARA

• Declarar abiertamente la importancia de la información (y su seguridad) para el negocio

• Informar a los empleados de sus responsabilidades y cómo utilizar adecuadamente los recursos de la organización

• Sentar la base para su desarrollo en otras políticas funcionales y procedimientos

• Declarar la existencia de Sanciones y Recompensas (especificadas en otras políticas o programas de concienciación)

19

¿Por qué son Importantes las Políticas?P

olít

icas

de

Seg

uri

dad

• Los recursos IT son utilizados por todos en la organización… pero no todos son gurús de IT

• Son la primera línea de defensa de amenazas internas y externas

• El 96% de los “ciber-ataques” fallarían si se siguiesen unas políticas de seguridad básicas

• Cuando las reglas y responsabilidades no están bien definidas, la seguridad falla

• No son sólo un concepto con el que “aplacar” los auditores (¡no deben serlo!)

• Las políticas que son copias de guías de mejores prácticas son como las dietas y el ejercicio físico… algo a lo que se aspira, pero que rara vez se consigue

20

P

olít

icas

de

Seg

uri

dad

Un ejemplo…

21

Roles Organizativos y ResponsabilidadesO

rga

niz

ac

ión

y R

es

po

ns

ab

ilid

ad • Cada uno tiene un rol y responsabilidad

• Deben asignarse funciones específicas de seguridad

• Roles Específicos y Responsabilidades:– Dirección Ejecutiva

– Profesionales de la Seguridad de los Sistemas de Información

– Propietarios de la información/activos

– “Custodios” de la información/activos (administradores, etc.)

22

Roles Organizativos y Responsabilidades (II)O

rga

niz

ac

ión

y R

es

po

ns

ab

ilid

ad • Consideraciones de Terceras Partes:

– Proveedores/Fabricantes

– Contratas

– Empleados Temporales

– Clientes

• Buenas Prácticas para el Personal:– Descripción de puesto y roles definidos y

responsabilidades

– Menor Privilegio / “Need to know”

– Separación de responsabilidades

– Rotación de puestos de trabajo

– Vacaciones obligatorias

23

Relaciones con Terceras Partes O

rga

niz

ac

ión

y R

ep

on

sa

bili

da

de

s

El servicio de limpieza…. …. Ese gran desconocido….

… que tiene acceso TOTAL

24

Infraestructura de las PolíticasP

olít

icas

de

Seg

uri

dad • Políticas Funcionales

• Implementan e Interpretan la política de seguridad de alto nivel de la organización.

• Ejemplos:– Clasificación de Datos

– Certificación y Acreditación

– Control de Acceso

– Externalización o Outsourcing

– Acceso Remoto

– Uso Aceptable e Internet

– Privacidad

– Cambio de Passwords, etc.

25

Todos ellos aplican los

principios de la política de

seguridad en cada proceso de

negocio y sistema

Implementación de las PolíticasP

olít

icas

de

Seg

uri

dad Los elementos de soporte surgen desde las

Políticas:

Estándares

Procedimientos

Plantillas (“Baselines”)

Guías

26

Implementación de las Políticas (II)P

olít

icas

de

Seg

uri

dad

• Estándares: Adopción de productos y mecanismos comunes hardware y software

• Procedimientos: Acciones Requeridas Paso a Paso

• Plantillas (“Baselines”): Establece implementaciones consistentes de mecanismos de seguridad. Plataforma Única.

• Guías: Recomendaciones para implementaciones de productos de seguridad, planificación, etc.

ProductoEstándar

Corporativo

Desktop

AntiVirus

Firewall Config.VPN

PlantillaConfiguración

Corporativa

ConfiguraciónIDS

Reglas dePassword

Proced.Corporatvos

ISO17799Common Criteria

ITIL…

27

Niveles de Planificación de SeguridadP

olít

icas

de

Seg

uri

dad

• Tres Niveles de Planificación de Seguridad:– Estratégico: años

– Táctico: trimestres

– Operativo: días, semanas, meses

• Los tres planes deben estar integrados

• La transición entre niveles debe ser “transparente”

PolíticPolíticaa

• La Política debe/puede dirigir otras decisiones:

Tecn

olog

íaPr

oces

osDoc

umen

tación

Ope

racion

esAud

itor

íaOtros

…

28

¿Cómo logramos nuestro objetivo?P

olít

icas

de

Seg

uri

dad

29

Logremos nuestro ObjetivoP

olít

icas

de

Seg

uri

dad • Creer en los empleados

• Prevenir las “debilidades naturales” de la política de seguridad

• Educar a los usuarios en la política y el valor de los activos

• “Está prohibido hacer eso”: explicar a los usuarios Por Qué– Cómo hará “su vida más fácil o mejor”

• Revisar regularmente el cumplimiento de los objetivos

• Hacer correcciones si es necesario

30Formación y Concienciación en Seguridad

31

Formación, Educación y Concienciación en SeguridadE

du

ca

ció

n y

Co

nc

ien

cia

ció

n

• Formación de la concienciación– Vídeos, boletines, posters, charlas, etc.

– Motivación del personal

– Recompensas

• Formación del puesto de trabajo– Centrado en habilidades relacionadas con la seguridad

– Incrementar la posibilidad de “medición” de sus acciones

– Formación especializada para personal específico

• Educación Profesional

• Identificar a la audiencia

“Puedes formar o entrenar un perro, pero no puedes educarlo”

32

Educación de los UsuariosE

du

ca

ció

n y

Co

nc

ien

cia

ció

n • Campaña de difusión de la seguridad

• Actualizaciones periódicas

• Boletines, trípticos, posters…

• Reuniones en Grupos

• Salvapantallas

• Firmas en las Políticas de Uso Aceptable

• Destructores de documentos

• Auditorías Periódicas

• “Recompensas”

• Los “Amigos” no son siempre los “Amigos”:– Confianza, relaciones “telefónicas”: Ingeniería Social

33

34

A RecordarS

ervi

cio

s d

e S

egu

rid

adUna Sesión Formativa

NO es suficiente

Actualizaciones periódicas para

mantener al personal ATENTO

Transmitir Aplicación

Personal a su Vida…

Evitad ser el

Enemigo

¡Actualizadla!

No os convertais en otra fuente de “ruido” a ser

ignorada

Haced la Política ACCESIBLE: publicadla en una página Web, un

tríptico, facilitad su búsqueda

¡Compromiso Dirección!

Sed Creativos

35

Sam

uel

Lin

ares

¡Muchas Gracias por su Atención!

Samuel LinaresEmail: Samuel.Linares@tecnocom.esWeb Profesional: http://www.tecnocom.esWeb Personal: http://www.infosecman.com