6. Polticas, planes y procedimientos deseguridad

[Plano Organizacional]

6.1 Definiciones

Podemos definir una Poltica de Seguridad como una "declaracin de intenciones de alto nivel que cubre laseguridad de los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidadespara las diversas actuaciones tcnicas y organizativas que se requieran " (RFCs 1244 y 2196).

Un Plan de seguridad es un conjunto de decisiones que definen cursos de accin futuros, as como losmedios que se van a utilizar para conseguirlos.

Un Procedimiento de seguridad es la definicin detallada de los pasos a ejecutar para llevar a cabo unastareas determinadas. Los Procedimientos de Seguridad permiten aplicar e implantar las Polticas de Seguridadque han sido aprobadas por la organizacin.

En este sentido, las Polticas definen "qu" se debe proteger en el sistema, mientras que los Procedimientos de

Seguridad describen "cmo" se debe conseguir dicha proteccin. En definitiva, si comparamos las Polticas deSeguridad con las Leyes en un Estado de Derecho, los Procedimientos seran el equivalente a los Reglamentosaprobados para desarrollar y poder aplicar las Leyes.

6.2 Caractersticas deseables de las polticas de seguridad

Las polticas de seguridad deberan poder ser implementadas a travs de determinados procedimientosadministrativos y la publicacin de unas guas de uso aceptable del sistema por parte del personal, ascomo mediante la instalacin, configuracin y mantenimiento de determinados dispositivos y herramientasde hardware que implanten servicios de seguridad.

Deben definir claramente las responsabilidades exigidas al personal con acceso al sistema: tcnicos,analistas y programadores, usuarios finales, directivos, personal externo a la organizacin.

Debe cumplir con las exigencias del entorno legal.

Se tienen que revisar de forma peridica para poder adaptarlas a las nuevas exigencias de laorganizacin y del entorno tecnolgico y legal.

Aplicacin del principio de "Defensa en profundidad": definicin e implantacin de varios niveles o capasde seguridad.

Asignacin de los mnimos privilegios: los servicios, las aplicaciones y usuarios del sistema deberan tenerasignados los mnimos privilegios necesarios para que puedan realizar sus tareas. La poltica por defectodebe ser aquella en la que todo lo que no se encuentre expresamente permitido en el sistema estarprohibido. Las aplicaciones y servicios que no sean estrictamente necesarios deberan ser eliminados delos sistemas informticos.

Configuracin robusta ante fallos: los sistemas deberan ser diseados e implementados para que, encaso de fallo, se situaran en un estado seguro y cerrado, en lugar de en uno abierto y expuesto aaccesos no autorizados.

Las Polticas de Seguridad no deben limitarse a cumplir con los requisitos impuestos por el entorno legal olas exigencias de terceros, sino que deberan estar adaptadas a las necesidades reales de cadaorganizacin.

6.3 Definicin e implantacin de las polticas de seguridad

Aspectos a considerar:

Alcance: recursos, instalaciones y procesos de la organizacin sobre los que se aplican.Objetivos perseguidos y prioridades de seguridad.Compromiso de la Direccin de la organizacin.Clasificacin de la informacin e identificacin de los activos a proteger.Anlisis y gestin de riesgos.Elementos y agentes involucrados en la implantacin de las medidas de seguridad.Asignacin de responsabilidades en los distintos niveles organizacionales.Definicin clara y precisa de los comportamientos exigidos y de los que estn prohibidos por parte delpersonal (Appropiate User Policy)Identificacin de las medidas, normas y procedimientos de seguridad a implantar.Gestin de las relaciones con terceros (clientes, proveedores, socios)Gestin de incidentes.Planes de contingencia y de continuidad del negocio.Cumplimiento de la legislacin vigente.Definicin de las posibles violaciones y de las consecuencias derivadas del incumplimiento de las polticasde seguridad.

Personas implicadas en las Polticas de seguridad:

Directivos y responsables de los distintos departamentos y reas funcionales de la organizacin.Personal del Departamento de Informtica y ComunicacionesMiembros del Equipo de Respuesta a Incidentes de Seguridad Informtica (CSIRT, Computer SecurityIncident Response Team), en caso de que ste exista.Representantes de los usuarios que pueden verse afectados por las medidas adoptadas.Consultores externos expertos en seguridad informtica.

Documentos

Ttulo y codificacin.Fecha de publicacin.Fecha de entrada en vigor.Fecha prevista de revisin o renovacin.Ambito de aplicacin ( a toda la organizacin o slo a un determinado departamento o unidad denegocio).Descripcin detallada de los objetivos de seguridadPersona responsable de la revisin y aprobacinDocumento (o documentos) al que reemplaza o modificaOtros documentos relacionados.

En los procedimientos ser necesario especificar adems:

Descripcin detallada de las actividades que se deben ejecutarPersonas o departamentos responsables de su ejecucin

Momento y/o lugar en que deben realizarseControles para verificar su correcta ejecucin

6.4 Inventario de los recursos y definicin de los serviciosofrecidos

La implantacin de los distintos elementos de las Polticas de Seguridad requiere de un inventario previo y delmantenimiento de un registro actualizado de los recursos del sistema informtico de la organizacin:equipamiento de hardware y de comunicaciones, software, datos, documentacin, manuales, consumibles, etc.

Asimismo, ser necesario identificar los distintos puntos de acceso a la red y los tipos de conexiones utilizadas.

Centros de tratamiento y locales donde se encuentren ubicados losservidores/computadoras o se almacenen medios de almacenamiento concopias de los datos.Puestos de trabajo, bien locales o remotos, desde los que se pueda teneracceso a los ficheros con datos de carcter personal.Servidores, computadoras personales, laptops, agendas electrnicas,impresoras y otro equipamiento informtico.Sistemas operativos y aplicaciones informticas instaladas.Infraestructura de red de datos y de comunicaciones de la organizacin.Documentacin y manuales de las aplicaciones y dispositivos del sistemainformtico.Bases de datos, archivos y documentos.

El inventario de los distintos recursos facilitar el posterior anlisis de las vulnerabilidades del sistemainformtico, identificando los posibles objetivos de los ataques o intentos de intrusin.

Distinguir entre los servicios ofrecidos para los usuarios internos y aquellos que sean para usuarios externos.

Los responsables de la organizacin deberan definir las condiciones de uso aceptable para cada uno de estosservicios, as como qu reas o departamentos se van a encargar de ofrecer los distintos servicios y qupersonas sern las responsables de administrar y supervisar cada uno de estos servicios.

6.5 Realizacin de pruebas y auditoras peridicas.

La realizacin de pruebas y auditoras peridicas de seguridad constituyen un elemento de gran importanciapara poder comprobar la adecuada implantacin de las directrices y medidas definidas en las Polticas deSeguridad.

Anlisis de posibles vulnerabilidades del sistema informtico, empleando herramientas como Nessus oInternet Security Scanner para tratar de localizar de forma automtica algunas de las vulnerabilidadesms conocidas.

Sondeos de seguridad que complementan el anlisis de vulnerabilidades con tareas de deteccin y derevisin de la instalacin y configuracin de los equipos de seguridad (firewalls, antivirus, IDS, entreellos).

Pruebas de intrusin, en las que no slo se detectan las vulnerabilidades, sino que se trata de explotarlas que se hayan identificado para tratar de comprometer el sistema afectado.

Otras pruebas de seguridad que contemplan aspectos humanos y organizacionales, recurriendo atcnicas como la "Ingeniera Social" para tratar de descubrir informacin sensible o determinados detallessobre la configuracin y el funcionamiento del sistema.

El anlisis y evaluacin de riesgos, en el que se pretende determinar cul es el nivel de riesgo asumidopor la organizacin a partir del anlsis de posibles amenazas y vulnerabilidades.

Por otra parte, tambin conviene estudiar la respuesta de la organizacin ante ataques simulados ydeterminados tipos de incidentes de seguridad, de forma que se pueda comprobar la adecuada ejecucinde las tareas y la disponibilidad de recursos previstos en los planes de contingencia.En los trabajos de auditora se deber revisar el nivel de cumplimiento de los requisitos legales.

6.6 Elementos de las polticas de seguridad

6.6.1 Seguridad frente al personal

Alta de empleados

Revisar sus referenciasContratos de confidencialidad cuando los datos sean sensiblesDefinir el procedimiento para la creacin de cuentas de usuario (identificacin y autenticacin)Establecer derechos, obligaciones y responsabilidades

Baja de empleados

Definir el procedimiento de cancelacin o bloqueo de cuentasRevocacin de permisos y privilegiosDevolucin de equipos, tarjetas y otros dispositivos

Funciones, obligaciones y derechos de los usuarios

Otros aspectos:

Privacidad de los usuariosComplementar con manuales de polticas y procedimientosSensibilizacin de los usuariosPosibles violaciones y sanciones

6.6.2 Adquisicin de productos

Evaluacin de productos de acuerdo a las necesidades y requisitos del sistema, caractersticas tcnicas,caractersticas de seguridad, costo-beneficio, fabricante, etc.Evaluacin de proveedoresComparativos de ofertasTrminos y condiciones de compraInstalacin y configuracin de productosFormacin y soporte a usuarios (incluyendo el personal tcnico)Tareas de soporte y mantenimiento postventaActualizacin de productos con nuevas versiones y parches de seguridad

6.6.3 Seguridad fsica de las instalaciones

Proteccin frente a daos por fuego, inundacin, explosiones, accesos no autorizados, etc.Seleccin de elementos constructivos internos ms adecuados: puertas, paredes, suelos y falsos techos,canalizaciones elctricas y de comunicaciones.Definicin de distintas reas o zonas de seguridad dentro del edifcicio:

Areas pblicas: pueden acceder sin restricciones personas ajenas a la organizacin.Areas internas: reservadas a los empleadosAreas de acceso restringido: reas criticas a las que slo pueden acceder un grupo reducido deempleados con el nivel de autorizacin requerido (tener un listado de ellas).

Disponibilidad de zonas destinadas a la carga, descarga y almacenamiento de suministros.Implantacin de sistemas de vigilancia basados en cmaras de CCTV (Circuito Cerrado de Televisin),alarmas y detectores de movimiento.Control de condiciones ambientales en las instalaciones, mediante un sistema independiente deventilacin, calefaccin, aire acondicionado y humidificacin/deshumidificacin (HVAC: Heating, Ventilatingand Air Conditioning System), en un esquema 24x7.

Otras:

Cerraduras, candados y mecanismos de anclajes de equiposFirmas de contratos o bitcoras de entrada y salidas al "site" o "data center"

6.6.4 Sistemas de proteccin elctrica

Adecuada conexin de los equipos a la toma de tierraRevisin de instalacin elctrica especifica para el sistema informtico, aislada del resto de la instalacinelctrica de la organizacin.Filtrado de ruidos e interferencias electromagnticas que pueden afectar el normal funcionamiento de losequiposUtilizacin de Sistemas de Alimentacin Ininterrumpida (UPS) ej (http://www.apc.com)

6.6.5 Control de nivel de emisiones electromagnticas

Todos los equipos informticos y electrnicos emiten seales radioelctricas que podran revelar informacin deinters a aquellos usuarios con los medios para interceptar y analizar dichas seales. Bastara un antenadireccional , amplificadores y equipos de radiofrecuencia conectados a una computadora.

Esto puede hacerse para duplicar la imagen de monitoresInformacin escrita en discos duros o bien enviada a travs de la red

Se debe seguir el estndar TEMPEST (Transient Electromagnetic Pulse Emission Standar, Estndar de emisinde pulsos electromagnticos transitorios) :

Aislamiento (jaula de Faraday)FiltrosUsar fibra ptica o cables apantallados (STP: Shielded Twister Pair)

6.6.6 Vigilancia de la red y de los elementos de conectividad

Cuidar todo lo relacionado con dispositivos de red, como los hubs, switches, routers o puntos de accesoinalmbricos, impidiendo accesos no autorizados.

Se pueden recurrir a medidas extremas como tubos con aire a presin o reflexmetros

6.6.7 Proteccin en el acceso y configuracin de los servidores

Contraseas de accesoSeparacin de serviciosRespaldosEtc. (de todo este tema se hablar ms adelante)

6.6.8 Copias de seguridad

Registro de copias

Registro de restauraciones

6.6.9 Control de la seguridad de impresoras y otros dispositivos perifricos

Limitar y controlar accesosHorariosEvitar comparticiones

6.6.10 Administracin de los soportes/mantenimientos informticos

* Contemplarlos en el presupuesto

6.6.11 Borrado de informacin

Garantizar que no exista recuperacin de informacin de los dispositivos ej con Wipe(http://wipe.sourceforge.net/ y http://abaababa.ouvaton.org/wipe/)Eliminar toda informacin sensible al usuario, cookies, addressbook, passwords

En el caso de papel o inclusive discos enteros utilizar mquinas destructoras (ej.http://www.semshred.com/)

6.6.12 Autorizacin y control de acceso

Mediante el control de acceso a los distintos recursos del sistema es posible implementar las medidas definidaspor la organizacin, teniendo en cuenta las restricciones de acceso a las aplicaciones, a los datos guardados, alos servicios ofrecidos y a otros recursos de tipo lgico del sistema.

El modelo de seguridad aplicado en el Control de Acceso se basa en la definicin y gestin de determinadosobjetos lgicos (dispositivos lgicos, archivos, servicios) y sujetos (usuarios y grupos, equipos, procesos,roles) a los que se conceden derechos y privilegios para realizar determinadas operaciones sobre los objetos.Estos derechos y privilegios se pueden verificar mediante el proceso de autorizacin de acceso.

Podemos distinguir dos tipos de control de acceso:

Control de Acceso Obligatorio (MAC, Mandatory Access Control): los permisos de acceso son definidos porel sistema operativo.Control de Acceso Discrecional (DAC, Discrecionary Access Control): los permisos de acceso los controla yconfigura el propietario de cada objeto.

6.6.13 Proteccin de datos y documentos sensibles

Clasificacin de documentos y datos de acuerdo a su nivel de importancia y confidencialidad:

Informacin sin clasificar o desclasificadaInformacin de uso internoInformacin confidencialInformacin secreta o reservada

Se puede recurrir a mecanismos como la encriptacin cuando sea necesario. (www.digisafe.com)

6.6.14 Auditora a la administracin de la seguridad

Tiene como objetivo poder verificar de manera peridica la correcta configuracin de los equipos y el nivel deimplantacin de las polticas y procedimientos de seguridad definidos por la organizacin, as como laadecuacin de stas a las nuevas necesidades y caractersticas del sistema informtico de la organizacin.

Existen organismos reconocidos para asistir en esta tarea como la ISACA ( Information Systems Audit andControl Association, www.isaca.org)

Etapas en una auditora:

Planificacin de la auditora (tareas a realizar y recursos necesarios), definiendo el mbito y los objetivosperseguidos. Asimismo, ser necesario proceder a la validacin de estos objetivos con los dueos yresponsables del sistema.

1.

Realizacin de las tareas planificadas, documentando cada una de estas tareas y los resultadosobtenidos.

2.

Validacin de los resultados de la auditora3.Elaboracin del informe con los resultados de la auditora, las conclusiones y recomendaciones4.Presentacin y aprobacin de la auditora por parte de los dueos y responsables del sistema5.

Nota: llevar un registro de las auditoras ("audit trails")