Creando un programa de seguridad

PorPedro Colmenares

Gerente de innovaciónDigifact Inc.

@pcolmenares

Un consejo antes de comenzar

“No se puede generar la solución de un problema usando el mismo sistema de pensamiento que se

uso para generarlo”. Albert Einstein

Esquemas de seguridad

• Son todas las estrategias, desarrollos, operaciones y esfuerzos, encaminados a agregar seguridad a uno o varios procesos dentro de una organización

• Los sistemas hacen parte de un esquema de seguridad ( pero no son lo único)

• Los esquemas de seguridad se construyen con hábitos

Que tan seguro, es algo seguro.• Una cosa son datos y otra

información

• Hay que entender cual es el “ciclo” de la información

• Tener claro el concepto de “cadena de seguridad”

• Los sistemas de seguridad, deben ser un reflejo de los esquemas de seguridad.

• Debe protegerse:

• El acceso

• El dato

• La información

• El archivo

• El ciclo

Acceso• Puntos clave

• Biométricos

• Sistema único de identificación

• Los niveles

• Físico (capa 1)

• Vlan (capa 2)

• Conectividad (capa 3)

• Usuario (capa 5,6)

• Aplicaciones (capa 7)

Acceso

Datos

• Transporte ( GRE y sus hijos)

• Identificación segura de equipos de encaminamiento

• Llaves y certificados

• Mecanismos

Datos

Información

• Encripción

• Replicación

• Unicidad

• Respaldos

• Sistemas distribuidos

Información

El Ciclo

• La unicidad e identificación del usuario

• La generación de los datos

• Las aplicaciones de transformación

• La generación de la información

• Su transporte

• Su distribución

• Su archivado

El Ciclo

El Archivo

• Tiempo de vida de la información

• Pertinencia

• Recuperación

• Capacidad de actualización

• Cadena de seguridad

El Archivo

Plan de seguridad

• Diagnostico

• Diseño

• Evaluación

Diagnostico

• ¿Que vamos a proteger?

• ¿De que lo vamos a proteger?

• ¿En que nivel estamos ahora?

Diseño

• Crear políticas (hábitos)

• Crear plan

• Crear esquema de ejecución

Evaluación

• Pruebas de procedimiento

• Pruebas de recuperación

• Pruebas de protocolos

• “Solo el arco que se tensa al máximo, sirve”

¿hablamos de que?

• Sistemas Operativos y nivel de seguridad instalado,

• Tipo de redes utilizadas y topología de las mismas,

• Conexiones a redes externas a la entidad,

• Servidores de uso interno y externo,

• Configuración de los servicios,

• Barreras de protección y su arquitectura,

• Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc.

• Filtrado de paquetes,

• Herramientas de administración y monitoreo,

• Habilitación de trazas y subsistemas de auditoría,

• Establecimiento de alarmas del sistema,

• Sistemas de protección criptográfica,

• Dispositivos de identificación y autenticación de usuarios,

• Protección contra programas no deseados,

• Software especiales de seguridad,

• Medios técnicos de detección de intrusos,

• Cerraduras de disqueteras.....etc

La bitácora es clave• Registro de inspecciones.

• Registro y control de los soportes.

• Registro de software de nueva adquisición.

• Registro de entrada, salida y movimiento de tecnologías de información.

• Registro de incidencias de la Seguridad Informática.

Metodología

• Cumplir con los estándares en cada área

• Usar esquemas de documentación estándar

• Generar conocimiento

• Recordad que un “Esquema de Seguridad” es mas que un “Sistema de Seguridad”

• “Afilar el hacha”

Pedro ColmenaresGerente de Innovación

pcolmenares@digifact.biz@pcolmenareswww.digifact.biz