CIBERGRAFIA
martes, 25 de marzo de 2014
jueves, 20 de marzo de 2014
CONTROLES PARA VALIDAR POLÍTICAS DE SEGURIDAD
Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable.
Después de tener las
políticas de seguridad en una empresa es importante implantar los controles.
Para realizar los
controles vamos a utiliza la norma ISO 27001 define cómo organizar la
seguridad de la información en cualquier tipo de organización, con o sin fines
de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta
norma constituye la base para la gestión de la seguridad de la información.
La ISO 27001 es
para la seguridad de la información lo mismo que la ISO 9001 es para
la calidad: es una norma redactada por los mejores especialistas del mundo en
el campo de seguridad de la información y su objetivo es proporcionar una
metodología para la implementación de la seguridad de la información en una
organización. También permite que una organización sea certificada, lo cual
significa que una entidad de certificación independiente ha confirmado que la
seguridad de la información se ha implementado en esa organización de la mejor
forma posible.
A raíz de la importancia
de la norma ISO 27001, muchas legislaturas han tomado esta norma como
base para confeccionar las diferentes normativas en el campo de la protección
de datos personales, protección de información confidencial, protección de
sistemas de información, gestión de riesgos operativos en instituciones
financieras, etc.
PROTECCIÓN CONTRA CÓDIGO MÓVIL Y
MALIGNO
El objetivo de este
control es la protección de la integridad del software y la información
almacenada en los sistemas.
El código móvil es aquel
que se transfiere de un equipo a otro para ser ejecutado en el destino final,
este empleo es muy común en las arquitecturas cliente-servidor, y se está
haciendo más común en las arquitecturas “víctima-gusano”, por supuesto con un
empleo no tan deseado. Sobre el empleo seguro de Código móvil, recomiendo que
el que esté interesado, profundice en una metodología que está haciendo las
cosas bien, que se denomina “Proof-Carring Code” (PCC), la cual propone la
implementación de medidas para garantizar que los programas que serán
ejecutados en el cliente lo hagan de forma segura. Se puede encontrar mucha
información al respecto en Internet.
ADMINISTRACIÓN DE LA SEGURIDAD DE
REDES
Los dos controles
hacen hincapié en la necesidad de administrar y controlar lo que sucede en
nuestra red, es decir, implementar todas las medidas posibles para evitar
amenazas, manteniendo la seguridad de los sistemas y aplicaciones a través del
conocimiento de la información que circula por ella. Se deben implementar
controles técnicos, que evalúen permanentemente los servicios que la red
ofrece, tanto propios como tercerizados.
MANEJO
DE MEDIOS
Como “medio” debe
entenderse todo elemento capaz de almacenar información (discos, cintas,
papeles, etc. tanto fijos como removibles). Por lo tanto el objetivo es, a través de sus cuatro
controles, prevenir la difusión, modificación, borrado o destrucción de cualquiera
de ellos o lo que en ellos se guarda.
Las medidas a
considerar para administrar medios fijos y removibles, su almacenamiento seguro
y también por períodos prolongados, evitar el uso incorrecto de los mismos y un
control específico para la documentación.
De todo ello, lo que
debe rescatarse especialmente, es el planteo de este problema de los medios,
procedimentarlo, practicarlo y mejorarlo con la mayor frecuencia que se pueda.
SERVICIOS
DE COMERCIO ELECTRÓNICO
Este grupo, supone que la empresa sea la
prestadora de servicios de comercio electrónico, es decir, no aplica a que los
empleados realicen una transacción, por parte de la empresa o por cuenta
propia, con un servidor ajeno a la misma.
La prestación de
servicios de comercio electrónico por parte de una empresa exige el cumplimiento
de varios detalles desde el punto de vista de la seguridad:
ü Metodologías seguras
de pago.
ü Confidencialidad e
integridad de la transacción.
ü Mecanismos de no
repudio.
ü Garantías de
transacción.
MONITORIZACIÓN
Este apartado tiene
como objetivo la detección de actividades no autorizadas en la red y reúne seis
controles. Los aspectos más importantes a destacar son:
ü Auditar Logs que
registren actividad, excepciones y eventos de seguridad.
ü Realizar revisiones
periódicas y procedimientos de monitorización del uso de los sistemas.
ü Implementación de
robustas medidas de protección de los Logs de información de seguridad. Se debe
considerar que una de las primeras enseñanzas que recibe cualquier aprendiz de
intruso, es a borrar sus huellas para poder seguir operando sin ser descubierto
el mayor tiempo posible. Por esta razón, es una de las principales tareas de
seguridad, la de proteger todo indicio o prueba de actividad sospechosa.
En casos de máxima
seguridad, se llega hasta el extremo de tener una impresora en línea, que va
registrando sobre papel en tiempo real, cada uno de los logs que se configuran
como críticos, pues es uno de los pocos medios que no puede ser borrado remotamente
una vez detectada la actividad.
Así como es vital,
ser estricto con el control de Logs, lo es también el saber lo antes posible,
si cualquiera de ellos está fallando, pues esa debe ser la segunda lección de un
aprendiz de intruso. Es decir, lograr que se dejen de generar eventos de seguridad
por cada paso que da. Por lo tanto, es necesario implementar un sistema de
alarmas que monitorice el normal funcionamiento de los sistemas de generación
de eventos de seguridad y/o Logs.
CONTROL
DE ACCESO A SISTEMAS OPERATIVOS
El acceso no autorizado a nivel sistema
operativo presupone uno de los mejores puntos de escalada para una intrusión;
de hecho son los primeros pasos de esta actividad, denominados “Fingerprintig
y footprinting”, pues una vez identificados los sistemas operativos,
versiones y parches, se comienza por el más débil y con solo conseguir un
acceso de usuario, se puede ir escalando en privilegios hasta llegar a encontrar
el de ”root”, con lo cual ya no hay más que hablar. La gran ventaja que
posee un administrador, es que las actividades sobre un sistema operativo son
mínimas, poco frecuentes sus cambios, y desde ya que no comunes a nivel usuario
del sistema, por lo tanto si se saben emplear las medidas adecuadas, se puede
identificar rápidamente cuando la actividad es sospechosa, y en definitiva es
lo que se propone en este grupo: Seguridad en la validación de usuarios del
sistema operativo, empleo de identificadores únicos de usuarios, correcta administración
de contraseñas, control y limitación de tiempos en las sesiones y por último
POLÍTICAS DE SEGURIDAD DE LA INFORMACION
Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Es recomendable subdividirla en un Plan y en una Política de seguridad.
La seguridad de la información se entiende como la preservación de las siguientes características:
Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
La seguridad de la información se entiende como la preservación de las siguientes características:
Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
 |
| ELEMENTOS DE LA INFORMACIÓN |
La información
hoy en día es uno de los activos más importantes de toda empresa todo lo que se
pueda realizar en cuanto a salvaguardar los datos no está de más.
Teniendo en cuenta lo anterior vamos a presentar 10 Politicas de seguridad de la informacion:
1. PROTECCION Y RESPALDO DE LA INFORMACION.
Se
deberán implementar los mecanismos necesarios que garantizar un
adecuado tratamiento en el ciclo de vida de la información,
especialmente para los casos que requieren mantener la disponibilidad de
la misma.
La información de la empresa deberá mantenerse disponible a las personas autorizadas para ello en el momento en que se necesite.
La institución deberá identificar mecanismos que permitan que las actividades de respaldo y recuperación de la información sean adecuadas costo / beneficio.
Los niveles de protección y clasificación establecidos para la información de la institución deberán ser mantenidos en todo momento. (Acceso, toma de respaldo, backup, transporte, recuperación, otros). Por lo tanto se deben mantener los controles y medidas establecidas para esto.
La institución deberá identificar mecanismos que permitan que las actividades de respaldo y recuperación de la información sean adecuadas costo / beneficio.
Los niveles de protección y clasificación establecidos para la información de la institución deberán ser mantenidos en todo momento. (Acceso, toma de respaldo, backup, transporte, recuperación, otros). Por lo tanto se deben mantener los controles y medidas establecidas para esto.
2. ESCRITORIO Y BLOQUEO DE SESIONEvitar riesgos potenciales a los activos de información de la Empresa, asociados a su accionar cotidiano y ya sean de manera accidental o intencionada, que puedan ocasionar la interrupción total o parcial, de las actividades de la institución.
Aqui se define como deberán seguirse al interior de la institución para la protección de la información, tanto física como digitalizada y con acceso a través de los sistemas de cómputo, estos lineamientos deberán ser seguidos por todos y cada una de las áreas involucradas en estas actividades..
Aqui se define como deberán seguirse al interior de la institución para la protección de la información, tanto física como digitalizada y con acceso a través de los sistemas de cómputo, estos lineamientos deberán ser seguidos por todos y cada una de las áreas involucradas en estas actividades..
3. PROTECCION CONTRA SOFTWARE NOCIVO
Se pretende formular politicas que permitan minimizar el riesgo generado por el acceso a Internet y a redes públicas, el intercambio de medios de almacenamiento removibles, el intercambio de información con instituciones externas, etc., los cuales exponen los sistemas de la Empresa a la propagación interna y externa de software con código malicioso o nocivo, el cual puede comprometer directamente la integridad, la disponibilidad y la confidencialidad de la información procesada por cada uno de los componentes de la red.
4. PROTECCION DURANTE LA NAVEGACION EN INTERNET
Todas las aplicaciones de producción que manejen información sensible de la empresa, deben generar logs que muestren cada modificación, incorporación y borrado de la información. Esto incluye modificaciones a los sistemas de producción y modificaciones a los sistemas fuente.
Los sistemas que manejen información valiosa, sensible o crítica deben además contener y activar forzosamente el log sobre todos los eventos o procesos relacionados con la seguridad de acceso a los mismos. Ejemplo: Varios intentos de contraseña, intentos de uso de privilegios no autorizados, entre otros.
El acceso a Internet será utilizado con propósitos autorizados o con el destino por el cual fue provisto. El Responsable de Seguridad Informática definirá procedimientos para solicitar y aprobar accesos a Internet. Los accesos serán autorizados formalmente por el Responsable de la Unidad Organizativa a cargo del personal que lo solicite. Asimismo, se definirán las pautas de utilización de Internet para todos los usuarios.
5. SEGURIDAD DE COMERCIO ELECTRONICO.
Esta política pretende prevenir la revelación de información privada, el fraude en contra o en nombre de la Empresa la privacidad de la información de cuentas y la seguridad de las transacciones realizadas a través de Internet o redes externas.
6. SEGURIDAD DEL CORREO ELECTRONICO
Esta política pretende asegurar la privacidad de los mensajes de correo electrónico, el buen uso del sistema y el compromiso inherente de la Empresa al suministrar este servicio a su personal.
7. LOGGING O REGISTRO HISTORICO DE ACTIVIDADES
Todas las aplicaciones de producción que manejen información sensible de la empresa, deben generar logs que muestren cada modificación, incorporación y borrado de la información. Esto incluye modificaciones a los sistemas de producción y modificaciones a los sistemas fuente.
Los sistemas que manejen información valiosa, sensible o crítica deben además contener y activar forzosamente el log sobre todos los eventos o procesos relacionados con la seguridad de acceso a los mismos. Ejemplo: Varios intentos de contraseña, intentos de uso de privilegios no autorizados, entre otros.
8. SEGURIDAD DE LOS SISTEMAS ELECTRÓNICOS DE OFICINA
Se controlarán los mecanismos de distribución y difusión tales como documentos,computadoras, computación móvil, comunicaciones móviles, correo, correo de voz,comunicaciones de voz en general, multimedia, servicios o instalaciones postales, equipos de fax, etc.
9. POLITICA DE ACCESO A LA RED
Se controlará el acceso a los servicios de red tanto internos como externos. El Responsable del Área Informática tendrá a cargo el otorgamiento del acceso a los servicios y recursos de red, únicamente de acuerdo al pedido formal del titular de una Unidad Organizativa que lo solicite para personal de su incumbencia.
10. SEGURIDAD INSTITUCIONAL
Toda persona que ingresa como usuario nuevo a la empresa para manejar equipos de cómputo y hacer uso de servicios informáticos debe aceptar las condiciones de confidencialidad, de uso adecuado de los bienes informáticos y de la información.
Suscribirse a:
Entradas (Atom)