Las políticas y procedimientos

en seguridad informática, más

allá de la tecnología: Una

revisión crítica.

2 jzavalar@yahoo.com

Agenda

1. Contexto

2. Seguridad

3. Políticas y mecanismos de seguridad

4. Ejemplo

5. Auditoría

6. Conclusiones

7. Propuesta metodológica

8. Referencias útiles

3 jzavalar@yahoo.com

1. Contexto

La seguridad informática es un esfuerzo organizacional importante (económico, tiempo, etc.)

“Pasar” la auditoría informática no es garantía de nada, a pesar del aval o certificado.

¿Qué garantía hay de que se cumplan las políticas y procedimientos y se conserve un nivel aceptable de seguridad informática? Ninguna, pues nunca se cumplen al pie de la letra.

¿Por qué? Por causas organizacionales, en un sentido simplista. Veamos cuáles…

4 jzavalar@yahoo.com

2. Seguridad informática

Los tres principios básicos:

1. Confidencialidad: acceso sólo a los sujetos

autorizados.

2. Integridad: los objetos sólo son modificados

intencionadamente por los sujetos autorizados.

3. Disponibilidad: acceso oportuno e ininterrumpido a

los objetos sólo a los sujetos autorizados.

La combinación de la triada CID NO es universal

sino específica a cada organización o empresa.

Debe haber un balance entre apertura y secrecía.

5 jzavalar@yahoo.com

3.1. Políticas de seguridad

Una política de seguridad es un "enunciado específico sobre lo que está y lo que no está permitido"

Una ley, norma o regla dentro de la organización.

¿Quién debe definirlas, el negocio o TI?

El área de negocio + el área de seguridad de TI

El objetivo: Que el negocio opere con un nivel de seguridad aceptable.

6 jzavalar@yahoo.com

3.2. Mecanismos de seguridad

Un mecanismo de seguridad es un medio que permite reforzar las políticas de seguridad.

1. Técnicos: aquellos que utilizan la tecnología .

2. Operativos: son aquellas políticas de seguridad que prescriben procedimientos, tareas, o actividades a ejecutar.

Buscar el balance entre ambos: “ni tanto que queme al santo, ni tanto que no lo alumbre” en el marco de la triada que define la seguridad.

7 jzavalar@yahoo.com

4.1. Políticas de seguridad – Ejemplo real

1. El servidor de correo identifica y manda mensajes a la basura el SPAM y las amenazas.

2. Estropea la comunicación al “equivocarse” ¿quién, el sistema o el administrador?

3. Los usuarios evaden este "problema" con cuentas gratuitas como Yahoo, Gmail, Hotmail, etc.

Problema: Virus en el campus.

TI dice: “el virus no llegó por los servidores de correo sino por el uso de cuentas gratuitas fuera de ‘control’ ”.

¿De qué sirve la justificación? ¿Es adecuada esta política de seguridad?

- SI: TI dice “se detienen amenazas, incluso las propias”, aunque, no siempre el SPAM, jejejeje

- NO: dicen “los demás” nos obligan a usar cuentas gratuitas”

En la práctica no es útil: por ejemplo, no se puede bloquear el correo de Yahoo del director, él lo ordena.

No detiene amenazas, estropea la comunicación y vulnera la confianza en la comunicación, entre otros “daños”.

8 jzavalar@yahoo.com

4.2. Ejemplo de inseguridad

¿Alguien de ustedes

confiaría en la

autenticidad de este

mensaje, llegado como

spam al buzón de

correo elelecttrónico?

¿Es una comunicación

segura?

¿Qué afecta? La

seguridad y los

negocios.

9 jzavalar@yahoo.com

4.3. Encabezados del e-mail apócrifo

From Estrena Fri May 16 15:31:51 2008

X-Apparently-To: jzavalar@yahoo.com via 209.191.68.229; Fri, 16 May 2008 15:37:28 -0700

X-Originating-IP:[148.235.52.21]

Return-Path: <prodigy@prodigy.net.mx>

Authentication-Results: mta385.mail.re4.yahoo.com from=prodigy.net.mx; domainkeys=neutral (no sig)

Received: from 148.235.52.21 (EHLO nlpiport16.prodigy.net.mx) (148.235.52.21) by mta385.mail.re4.yahoo.com with SMTP; Fri, 16 May 2008 15:37:28 -0700

X-IronPort-AV:E=Sophos;i="4.27,499,1204524000"; d="jpg'145?scan'145,208,217,145";a="88273887"

Received: from nlpiport02.prodigy.net.mx ([148.235.52.117]) by nlpiport16.prodigy.net.mx with ESMTP; 16 May 2008 17:31:55 -0500

Received: from dsl-189-181-247-236.prod-infinitum.com.mx (HELO [10.0.0.106]) ([189.181.247.236]) by nlpiport02.prodigy.net.mx with SMTP; 16 May 2008 17:31:50 -0500

Date: Fri, 16 May 2008 17:31:51 -0500

Mime-version: 1.0

Subject: Laptop Nueva con menos de Cinco Mil Pesos

From: "Estrena" <prodigy@prodigy.net.mx> Add Mobile Alert

To: jzavalar@yahoo.com

Message-Id: <5161731.KHRUMMMQ @prodigy.net.mx>

Reply-to: saidimportadora@gmail.com

Original-recipient: rfc822;jzavalar@yahoo.com

Content-Type: multipart/mixed; Boundary="--=BOUNDARY_5161731_YMSC_MQMX_RTQW_HSOR"

Content-Length: 178301

10 jzavalar@yahoo.com

4.4. Las políticas de seguridad en la práctica

Universalmente se violan

El no cumplimiento estricto, de las políticas (incluso las de seguridad) es una propiedad organizacional, no un problema de comportamiento o disciplina.

No hay evidencias de las reglas informales paralelas no escritas, y nunca las habrá.

11 jzavalar@yahoo.com

4.5. Las políticas se violan, universalmente.

Hecho #1:Las políticas y

procedimientos son "violados"

abierta o encubiertamente, siempre,

cuando por razones prácticas y/o

políticas así conviene; así, las

mejores herramientas tecnológicas

ya no ayudan.

¿Qué papel juega la auditoría?

12 jzavalar@yahoo.com

5.1. Objetivos formales de la auditoría

Evalúa la satisfacción de expectativas [y no de necesidades] de usuarios, áreas y organizaciones - ¿Cómo balancear entre expectativas y necesidades y

entre lo abstracto de la organización y lo concreto de las personas?

Se busca la consistencia en un entorno (de negocios y de sistemas) totalmente dinámico. - ¿Cómo lograrla si es imposible una consistencia total?

¿Hasta qué grado?

Busca ser "controlable" y auditable (que haya evidencias). - ¿Qué significa esto, cuando mucho del objeto de

trabajo es intangible y simbólico?.

Está orientada a la efectividad y la eficiencia

13 jzavalar@yahoo.com

5.2. Auditoría de seguridad informática

Auditoría es comparar lo normado con lo ejecutado en cuanto a procedimientos, políticas, estándares y lineamientos organizacionales

La auditoría verifica “que los procedimientos, estándares, métodos, normas, etc., sean ‘aplicados’ en forma conveniente [¿para quién?] y consistente” [¿respecto a qué?]

La Calidad Total es un mito hoy en día: No existe más allá del discurso.

El costo de supervisión y mantenimiento de congruencia es alto, comparado con la utilidad práctica relativa que representan los manuales de organización o los aspectos formales.

14 jzavalar@yahoo.com

6. Conclusiones

La violación de las políticas y procedimientos es universal y es una característica organizacional, más que un problema de comportamiento.

La dualidad formal-informal: (“el deber ser” vs “el ser”, “las expectativas” vs la “realidad”), es imposible lograr un perfecto empate y tiene causas organizacionales; debe buscarse un balance pertinente.

La ambigüedad lingüística al definir y/o al interpretar los requerimientos de seguridad, las políticas de seguridad y los mecanismos de seguridad.

El auditor “objetivo” y libre de prejuicios no existe.

La auditoría frecuentemente es un performance donde cada quien desempeña su papel lo que elimina su legitimidad y utilidad.

15 jzavalar@yahoo.com

7. Propuesta metodológica

Investigación

etnográfica, al

estilo de la

Bombón Roz

http://disneylatino.

com/FilmesDisne

y/MONSTERS_IN

C/

16 jzavalar@yahoo.com

8. Referencias útiles

Seguridad informática:

Bishop, Matt. (2003) "What Is Computer Security?," IEEE Security and Privacy 01(1), 67-69.

Morales, Felix. (2000) Auditoría Informática: Curso básico. Barquisimeto.

Zavala-Ruiz, Jesús. (2008) Organizational Analysis of Small Software Organizations, en H. Oktaba y M. Piattini, Software Process Improvement for Small and Medium Enterprises: Techniques and Case Studies (1-41), USA: IGI Global. http://www.igi-global.com/downloads/excerpts/OktabaExc.pdf

Estrategia:

Tzu, Sun. (s.f). El arte de la Guerra.

Musashi, Mayamoto. (s.f.). El Libro de los Cinco Anillos.

¡Muchas gracias!

Jesús Zavala Ruiz

jzavalar@yahoo.com

www.angelfire.com/scifi/jzavalar

17/mayo/2008