Embed Size (px)
Citation preview
Políticas de seguridad, Normas y Planificación
Introducción
Para proteger su entorno de red, la organización debe establecer una funcional y unprograma de seguridad de la información
El programa de seguridad de la información comienza con la creación o revisión de la información de la organización, las políticas de seguridad, normas y prácticas
La creación de seguridad de la información, la arquitectura, el desarrollo y uso de detallado plan de seguridad de información creará una planificación para el éxito futuro
Sin políticas, planos y la planificación, no se cumplirán las necesidades de seguridad de cualquier organización
Política de Seguridad Información, Estándares y Prácticas
La administración debe considerar políticas como base para todos los esfuerzos en la seguridad de la información
Las políticas deben ser directas en cómo deben abordarse los problemasy las tecnologías utilizadas.
Las políticas de seguridad son el control más económico para ejecutar pero el más difícil de implementar.
Es difícil hacer una política, porque la política debe:
- Nunca entrar en conflicto con las leyes
- Ponerse en pie en el tribunal, en caso de impugnación
- Ser administradas adecuadamente a través de la difusión y documento de aceptación
Política de Seguridad Información, Estándares y Prácticas cont.
Para que una política se considera eficaz y legalmente exigible debe tener:
Difusión (distribución): la organización debe ser capaz de demostrar que la política pertinente haya sido fácilmente disponible para su revisión por los empleados.
Revisión (lectura): La organización debe ser capaz de demostrar que difundirá el documento en forma inteligible, incluyendo versiones para analfabetos, lectura no-Inglés, y la lectura de deterioro empleados
Política de Seguridad Información, Estándares y Prácticas cont.
Para que una política que se considera eficaz y legalmente exigible: (cont.)
Comprensión (entendimiento): La organización debe ser capaz de demostrar que los empleados comprenden los requisitos y contenido de la política.
Cumplimiento (acuerdo): La organización debe ser capaz de demostrar que los empleados se comprometen a cumplir con la política a través de acto o afirmación.
La aplicación uniforme: la organización debe ser capaz de que lapolítica a demostrar ha sido uniformemente forzada.
Definiciones
Política es un conjunto de directrices o instrucciones dela alta dirección de la organización que implementa a regular las actividades de los miembros de la organización que toman decisiones, toman medidas y llevan a cabo otros deberes.
Las políticas son leyes orgánicas.
Las normas por el contrario, son detalladas declaraciones de lo que se debe hacer para cumplir con una política.
Las prácticas son procedimientos y directrices con eficacia paraexplicar cómo cumplir con la política.
Políticas, Normas, y Prácticas
Enterprise Information Security Policy
(EISP) EISP también se conoce como la política de seguridad general.
Establece la dirección estratégica, el alcance y el tono para todo los esfuerzos de seguridad dentro de la organización.
Es un documento de nivel ejecutivo , por lo general redactado por o con el CIO de la organización y por lo general es de 2 a 10 páginas largas
Enterprise Information Security Policy
(EISP) (continuación) Aborda Normalmente cumplimiento en dos áreas:
- Cumplimiento general para garantizar la reunión derequisitos para el establecimiento del programa y responsabilidades asignadas a diversos componentes de la organización.
- El uso de sanciones especificas y medidas disciplinarias
Enterprise Information Security Policy
(EISP) Elementos Descripción general de la filosofía corporativa de la seguridad.
Información sobre la estructura de seguridad de la información organizacional y las personas que cumplen elpapel de seguridad de la información
Responsabilidades de seguridad totalmente articulados que son compartidas por todos los miembros de la organización (empleados, contratistas, consultores, socios, y los visitantes)
Responsabilidades de seguridad totalmente articulados que son únicas para cada rol dentro de la organización
Política de Seguridad Asunto Específico (ISSP)
Directrices necesarias para utilizar las diferentes tecnologías y procesos adecuadamente:
El ISSP: - Aborda las áreas específicas de la tecnología - Requiere actualizaciones frecuentes - Contiene declaración en cuestión relativa a la organización de posición sobre un tema
Tres enfoques: - Crear varios documentos independientes ISSP - Crear un único documento exhaustivo ISSP - Crear un documento modular ISSP
Componentes de un ISSP Efectiva
1. Declaración de la política .
a. Ámbito de aplicación y aplicabilidad b. Definición de la tecnología dirigido c. Responsabilidades
2. El acceso y el uso autorizado .
a. El acceso del usuario b. El uso justo y responsable c. Protección de la privacidad
3. Prohibido el uso.
a. Uso o mal uso disruptivo b. uso Penal c. Materiales ofensivos o de acoso d. Derechos de autor, licencia, u otra propiedad intelectual e. Otras restricciones
4. gestión de sistemas .
a.Gestión de almacenado materiales b. monitoreo del Empleador c. protección contra virus d. La seguridad física e. Encryption
5. Violaciones de la política .
a. Procedimientos para la presentación de informes, violaciónes b. Las sanciones por violaciones
6. Revisión de la política y la modificación una. Revisión programada de la política y Procedimientos para la modificación 7. Limitaciones de responsabilidad una. Las declaraciones de responsabilidad o exenciones de responsabilidad
Políticas de Sistemas Específicos (SysSP)
SysSPs es codificado con frecuencia como las normas y procedimientos utilizadas al configurar o mantener sistemas.
SysSPs se divide en dos grupos:
- Orientación gerencial: creada por gestión para orientar la implementación y configuración de la tecnología, así como para regular comportamientos de las personas en la organización
- Especificaciones técnicas: políticas técnicas o un conjunto de configuraciones para implementar la gestión de lapolítica.
Políticas de Sistemas Específicos (SysSP) cont.
Las SysSPs técnicos se dividen en:
- Listas de control de acceso (ACL) - consisten en el acceso listas de control, matrices y tablas de capacidad dederechos y privilegios de gobierno de un particular, ousuario a un sistema particular - Las políticas de reglas de configuración comprenden específica códigos de configuración introducidos en la seguridad sistemas para guiar la ejecución del sistema.
Gestión de Políticas
Las políticas son documentos que deben estarmadministrados y están en constante cambio
Consideraciones especiales se deben hacer para que lasorganizaciones experimentan fusiones, absorciones, y las asociaciones
Para seguir siendo viable, las políticas de seguridad deben tener:
- Un individuo responsable de opiniones - Un calendario de los exámenes - Una política de emisión y fecha de revisión específica
Marcos y Estándares de la Industria
Idea general de las vulnerabilidades de los sistemas de TI, el equipo de seguridad se desarrolla con un plan de seguridad que se utiliza para implementar un programa de seguridad .
La seguridad es la base para el diseño, selección, y la ejecución de todos los programas de seguridad , incluyendo la implementación de políticas, gestión de la política actual, la gestión del riesgo programas, la educación y los programas de formación, controles tecnológicos, y el mantenimiento de programa de seguridad
Marcos y Estándares de la Industria (cont)
El marco de seguridad es esquema del conjunto deestrategias de seguridad de la información y la hoja de ruta para cambios previstos en la organización de entorno a la seguridad de la información.
Debido a que cada entorno de seguridad de información es único, un equipo de seguridad puede ser necesario para modificar o adaptar piezas de varios marcos
ISO 27000
Una de las reglas de seguridad más ampliamente referenciada en modelos de la tecnología de la información - llamada Código de Prácticas para la gestión de seguridad, originalmente publicado como Norma Británica 7799
Se adoptó este Código de Prácticas como norma internacional ISO / IEC 17799 en el año 2000 y pasa a ser la norma ISO / IEC 27002 en 2007
El propósito declarado de la norma ISO / IEC 27002 es "dar recomendaciones para la seguridad de la información para su uso por aquellos que son responsables de iniciar, implementar o mantener la seguridad en la organización "
Modelos NIST de Seguridad
Otro enfoque disponible se describe en documentos disponibles en csrc.nist.gov:
- SP 800-12: Una introducción a la seguridad informática: El Manual NIST - SP 800-14: Principios de seguridad generalmente aceptados y prácticas para garantizar Tecnología de la Información Sistemas - SP 800-18 Rev 1: La Guía para el desarrollo de Planes de Seguridad de los Sistemas de Información Federales - 800-26 SP: Manual de seguridad de autoevaluación para Sistemas de Tecnología de la Información - SP 800-30: Gestión de Riesgos de la Información ySistemas de Tecnología
Arquitectura de Seguridad IETF
Mientras se promueve ninguna arquitectura específica a través del Internet Engineering Task Force, El Grupo de Trabajo del Área de Seguridad actúa como asesor depensión para los protocolos y las áreas desarrolladas y promovidas a través del Internet Society
RFC 2196: Site Security Handbook proporciona una visión general de cinco áreas básicas de seguridad con discusiones detalladas sobre el desarrollo e implementación.
Los capítulos sobre temas tan importantes como la seguridad, políticas, arquitectura de seguridad técnica, la seguridad servicios y gestión de incidentes de seguridad
Benchmarking y Mejores Prácticas
La evaluación comparativa y las mejores prácticas son métodos fiables utilizados por algunas organizaciones para evaluar prácticas de seguridad.
Es posible obtener información mediante la evaluación comparativa y el uso de las mejores prácticas y por lo tanto funciónhacia atrás para el diseño eficaz.
La Agencia Federal de Prácticas de Seguridad del Sitio (fasp.nist.gov) proporciona las mejores prácticas para los organismos públicos y se adapta fácilmente a las organizaciones privadas
Esferas de Seguridad
Diseño de la arquitectura de seguridad
Defensa en profundidad
- Uno de los fundamentos de las arquitecturas de seguridad es el requisito para implementar la seguridad en capas - Requiere que la organización establezca suficientes controles de seguridad y las garantías por lo que un intruso se enfrenta a múltiples capas de controles
Perímetro de Seguridad
- Punto en el que la seguridad de una organización decide dar protección terminal y comienza el mundo exterior - Por desgracia, el perímetro no se aplica a ataques internos frente a las amenazas de los empleados o en el lugar amenazas físicas
Educación Seguridad, Capacitación y conciencia
Las políticas ponen en práctica la formación en seguridad, capacitación y sensibilización.
SETA es la medida de control diseñado para reducir las brechas de seguridad accidentales.
Suplemento de educación general y la formación de programas para educar al personal sobre la información seguridad
Educación se basa en conocimiento general que los empleados deben poseer para hacer su trabajo, familiarizarlos con la manera de hacer su trabajo de forma segura
Elementos SETA
Programa ¨ SETA consta de tres elementos: - La educación de seguridad - La formación en seguridad - Conciencia de Seguridad
La organización puede que no sea capaz o dispuesta a realizar todos los elementos, pero puede subcontratar
La finalidad de SETA es mejorar la seguridad a través de:
- Mejorar la conciencia de la necesidad de proteger los recursos del sistema - El desarrollo de habilidades y conocimientos para el uso de las computadoras, los usuarios pueden realizar su trabajo de forma más segura - Construcción de un conocimiento profundo, como sea necesario, para diseñar, implementar y operar los programas de seguridad
Educación de Seguridad
Todos en una organización necesitan ser entrenados y ser conscientes de la seguridad de la información, pero no todos los miembro de la organización necesitan un oficial, título o certificado en seguridad de la información
Para la educación formal adecuada se necesitan individuos aptos en seguridad, un empleado puede identificar un currículo proveniente de fuentes municipales e instituciones de educación superior o continuar educación
Varias universidades tienen formales cursos en seguridad de la información
Entrenamiento de Seguridad
Involucra proporcionar a los miembros de la organización con información detallada y práctica en la instrucción diseñada para prepararlos para llevar a cabo sus funciones de manera segura.
Seguridad de la información puede gestionar entrenamiento personalizado desarrollado en la empresa o externalizar el programa de formación
Conciencia de la Seguridad
Una de las cosas implementada con menos frecuencia.
Diseñado para mantener la seguridad de información en vanguardia de las mentes de los usuarios
No tiene que ser complicado o costoso
Si el programa no se ha implementado de forma activa, losempleados comienzan a 'desconectarse', y el riesgo de accidentes y fallas de los empleados aumenta
Estrategias de Continuidad
Los gerentes deben proporcionar una planificación estratégica para asegurar que los sistemas de información continúen la disponibilidad cuando se produzcan ataques
Planes - para los eventos de este tipo se denominan en una número de maneras: - Los planes de continuidad del negocio (BCP) - Los planes de recuperación de desastres (PRM) - Los planes de respuesta a Incidentes (IRP) - Planes de contingencia
Las grandes organizaciones pueden tener muchos tipos de planes y las pequeñas organizaciones pueden tener unplan simple, pero la mayoría tienen una planificación inadecuada
Planes de Contingencia
Planificación de Contingencia (CP):
- Planificación de la respuesta de Incidentes (IRP) - La planificación de recuperación de desastres (DRP) - Planificación de la continuidad (BCP)
Funciones principales de estos tres tipos:
- IRP se centra en la respuesta inmediata, pero si el ataque se intensifica o es desastrosa, los cambios en el proceso sonpara la recuperación de desastres y el BCP - El DRP generalmente se centra en las operaciones de restauración de el sitio principal después de los desastres que ocurren, y, como tal, está estrechamente relacionada con el BCP - BCP se produce simultáneamente con DRP cuando un daño es mayor o largo plazo, lo que requiere establecimiento de operaciones en el sitio alternativo
Equipo de Planificación de Contingencia
Antes de que comience la planificación, un equipo tiene que planificar el esfuerzo y la preparación de los documentos resultantes
Campeón : gerente de alto nivel para apoyar, promover y apoyar los hallazgos del proyecto
El director del proyecto: lidera el proyecto y se asegura de queun proceso de planificación de proyectos se utiliza, un plan completo y proyecto se desarrolla, los recursos del proyecto se gestionan con prudencia
Los miembros del equipo: deben ser gerentes o su representantes de diversas comunidades de interés (negocios, TI y seguridad de la información)
Business Impact Analysis
Comienza con el análisis de impacto en el negocio (BIA) - Si el ataque tiene éxito, ¿qué hacemos entonces?
Equipo CP conduce BIA en las siguientes etapas: - La identificación de amenazas de ataque - Análisis de la unidad de negocios - Ataque de escenarios de éxito - Evaluación de Daños potenciales - Clasificación del plan subordinado
Amenaza Ataque Identificación y Priorización
Actualizar la lista de amenaza con los últimos desarrollos y agregar el perfil de ataque
Perfil de Ataque es la descripción detallada de actividades durante un ataque
Deben ser desarrollados para cada amenaza
Se utiliza para determinar la extensión del daño que podría dar lugar a la unidad de negocios si el ataque fuera exitoso
Análisis de la Unidad de Negocios
Segunda tarea importante dentro de la BIA es el análisis y priorización de las funciones de la empresa dentro de la organización.
Identificar las áreas funcionales de la organización y dar prioridad a ellos como a los que son más vital
Enfoque en la lista de prioridades de las diversas funciones que la organización realiza
Escenarios de Ataque en desarrollo
A continuación, cree una serie de escenarios que representan el impacto de un ataque con éxito de cada amenaza que podría tener en cada área funcional priorizado con: - Los detalles sobre el método de ataque - Indicadores de ataque - Consecuencias generales
Ataque - detalles de escenarios de éxito se añaden a perfil de ataque, incluyendo el mejor, el peor, y más posibles resultados
Evaluación de Potencial de daño
Desde el éxito de ataque desarrollado previamente escenarios, el equipo de planificación de la BIA debe estimar costo de los mejores, peores y más probables casos
Costos - incluyen acciones de equipo de respuesta
Este resultado final se conoce como un ataque caso extremo
Clasificación basado en un plan subordinado
Una vez que el daño potencial ha sido evaluado, un plan de subordinación debe ser desarrollado e identificado
Los planes subordinados tendrán en cuenta identificación de reacción a, y la recuperación de cada supuesto de un ataque .
Cada caso extremo escenario de ataque se clasifica como desastroso o no.
Diferencia - si existe o no una organización es capaz de tomar medidas eficaces durante el evento de lucha contra el efecto de la ataque
Planificación de Respuesta a Incidentes
Planificación de la respuesta - abarca la identificación de la clasificación de y la respuesta a un incidente.
Un incidente es el ataque contra un activo de información que plantea una amenaza clara a la confidencialidad, integridad o disponibilidad de recursos de información.
Los ataques sólo están clasificados como incidentes si tienen las siguientes características:
- Se dirigen contra los activos de información - Tener una oportunidad realista de éxito - ¿Podría poner en peligro la confidencialidad, la integridad o la disponibilidad de recursos de información ?
Un IR(Respuesta a incidente en ingles) es más reactivo que proactivo, con excepción de la planificación y la preparación de equipos IR
Planificación de Incidentes
Las respuestas predefinidas permiten a la organización reaccionar con rapidez y eficacia a los incidentes detectados.
Esto supone que la organización cuenta con un equipo de RI (respuesta de incidentes) y puede detectar el incidente
Un equipo IR consiste en aquellas personas necesarias para manejar los sistemas cuando un problema se produce.
Una RI consta de los siguientes cuatro fases: - Planificación - Detección - Reacción - Recuperación
Incidentes o Desastres
?Cuándo un incidente convertirse en un desastre?
- La organización no es capaz de mitigar el impacto de un incidente durante el incidente - El nivel de daño o destrucción es tan grave que la organización no es capaz de recuperarse rápidamente
La diferencia puede ser sutil
La organización debe decidir qué incidentes se clasifican como desastres y por lo tanto tener el nivel apropiado de respuesta
La planificación de recuperación de desastres
La planificación de recuperación de desastres (DRP) es la planificación, la preparación y la recuperación de un desastre.
El equipo de planificación de contingencia debe decidir qué acciones constituyen los desastres y que constituyen incidentes
Cuando las situaciones se clasifican como desastres, debe haber uncambio de planes sobre la manera de responder, tomar acción para asegurar la mayoría de los activos de valor del sistema para preservar el valor para el largo plazo, incluso en el riesgo de más interrupciones en el plazo inmediato
Pasos de el DRP
Debe haber un establecimiento claro de las prioridades
Debe haber una clara delegación de funciones y responsabilidades.
Alguien debe iniciar la lista de alerta y notificar al personal clave
Alguien debe estar encargado de la documentación de la catástrofe
Si, y sólo si es posible, algunos intentos deben hacerse para mitigar el impacto de la catástrofe sobre las operaciones de la organización
Gestión de Crisis
La gestión de la crisis se produce durante y después de un desastre y se centra en las personas involucradas y abordan la viabilidad de la empresa
El equipo de gestión de crisis se encarga de la gestión de eventos, desde la perspectiva de la empresa a través de: - Apoyo a las familias durante la crisis - La determinación de impacto en las operaciones de negocio y si es necesario, la declaración de desastre por lo que debe- Mantenerse informado el pública - Mantener la comunicación con los principales clientes, proveedores, socios, agencias reguladoras, la industria organizaciones, medios de comunicación, otras partes interesadas
Plan de Continuidad del Negocio
Los esquemas de planificación de continuidad del negocio deben darrestablecimiento de las operaciones críticas del negocio durante un desastre que las operaciones de los impactos.
Si el desastre ha hecho que la empresa no sea utilizable para la continuidad de las operaciones, debe haber un plan de para permitir que el negocio siga funcionando.
Un BCP (plan de continuidad de negocio en ingles) es algo más simple que un IRP o DRP
Consiste principalmente en la selección de la continuidad estrategica y la integración del almacenamiento de datos fuera del sitio y funciones de recuperación en esta estrategia
Resumen
Para tener redes seguras con eficacia, una organización debe establecer y tener bien diseñado un programa de seguridad de la información.
La creación del programa de seguridad de la información requiere políticas de seguridad de la información, estándares y prácticas, una arquitectura de seguridad de la información; y un detallado plan de seguridad de información.
Debe hacerse una política para toda planificación de la seguridad de la información, diseño, y despliegue con el fin de dirigir cómo los temas son destinatarios y cómo se utilizan las tecnologías
Resumen (continuación)
Una política nunca debe entrar en conflicto con las leyes, pero debería dar pie en el tribunal en caso de impugnación.
Para ser eficaz y legalmente exigible, la política debe ser difundida, revisada, entendida, cumplida y aplicada de manera uniforme.
Un equipo identifica la seguridad de la información susvulnerabilidades y luego desarrolla la seguridad modelo que se utiliza para implementar la seguridad programa
Resumen (continuación)
El marco de la seguridad es el esquema de pasos a seguir para diseñar e implementar la seguridad de la información.
El (SETA) tiene como finalidad la educación de seguridad, capacitación y
conciencia, mejorar el conocimiento de la necesidad de proteger el sistema sus recursos y usuarios, para realizar trabajos de forma más segura, y la construcción de conocimiento para diseñar, implementar, operar la seguridad de los programas
Resumen (continuación)
TI y sus gerentes deben asegurar que la InfoSec tenga la disponibilidad continua de los sistemas de información
Se consigue con diversos planes de contingencia: respuesta a incidentes (IR), la recuperación de desastres (DR), continuidad de negocio (BC)
Los IR identifican direcciones del plan, la clasificación, respuesta y recuperación de incidentes
El plan de DR aborda la preparación y la recuperación del desastre
El plan de BC asegura que las funciones críticas del negocio continuar si se produce un evento catastrófico
