370 likes | 567 Vues
Políticas de Seguridad: Un Enfoque Holístico. Samuel Linares Responsable Área Seguridad Tecnocom Miembro Comisión Seguridad de Asimelec. 01 Introducción 02 ¿Seguridad? 03 Visión de la Seguridad: Un Enfoque Holístico 04 Objeto de las Políticas de Seguridad
E N D
Políticas de Seguridad: Un Enfoque Holístico Samuel Linares Responsable Área Seguridad Tecnocom Miembro Comisión Seguridad de Asimelec
01 Introducción 02 ¿Seguridad? 03 Visión de la Seguridad: Un Enfoque Holístico 04 Objeto de las Políticas de Seguridad 05 Infraestructura e Implementación: Elementos de Soporte 06 Formación, Educación y Concienciación 00índice
Amenazas: Nos acechan… • Robo de información • Sabotaje de datos • Entradas no autorizadas al sistema • Abuso interno • Denegación de Servicio • Virus, Troyanos, Gusanos • Fraude telefónico • Robo de material Introducción
¿Y qué hacemos habitualmente? • ¡A quién va a interesarle mi información! • Tengo un Firewall, así que estoy protegido • Ya sería mala suerte que tuviese una Inspección • ¡Lo que me interesa es que FUNCIONE YA!, después ya veremos la seguridad… Introducción
PublicWebServers IntranetWebServers Proxy Internet Firewall Public Internet Main Office Internal Network Firewall MTAs K9 Users Application Servers VPN IPS Firewall Secure WAN Anti-Spam Anti-Virus Policy Management Mail Routing Users ASA 5500 Security Appliance Cisco Call Manager Secure Wireless Cisco Unity Groupware Data Center 6500 FW Service Module Users PIX Firewall Appliance ¡Vamos al Supermercado!
Incluso escribimos una política de seguridad… Introducción
¿Y de qué nos sirve? Introducción Los Fumadores no se me Enfaden…
La Seguridad es un Proceso de Mejora Contínua La Solución no es sólo Tecnológica Cumplimiento LOPD: Obligatoriedad, Multas Estándares: ISO 27001, camino a seguir Redes, Sistemas, Procesos… ORGANIZACIÓN ¿Seguridad? Seguridad: Conceptos
LEGISLACIÓN: LOPD, LSSI/CE, SoX ESTÁNDARES: ISO27001, BS7799 GESTIÓN Y OPERACIÓN: Procedimientos, Políticas DISEÑO: Topologías, Arquitecturas, Servicios SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus, VPNs, Control de Contenidos, etc. CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA Visión de la Seguridad
CONSULTORÍA IMPLEMENTACIÓN AUDITORÍA LEGISLACIÓN: LOPD, LSSI/CE, SoX ESTÁNDARES: ISO27001, BS7799 GESTIÓN Y OPERACIÓN: Procedimientos, Políticas DISEÑO: Topologías, Arquitecturas, Servicios Visión de la Seguridad SISTEMAS DE SEGURIDAD: Firewalls, IDS, IPS, Proxy, AntiSpyware, AntiSpam, AntiVirus, VPNs, Control de Contenidos, etc.
Si abro la mayoría de puertos en el firewall mi aplicación funcionará A nosotros nos pasa igual, ¿cómo configuras tu firewall? Dejaré la puerta del cuarto de ordenadores abierta. Es más cómodo y barato ¡Para qué necesitamos la puerta cerrada! Nunca se me ocurre una buena password, ¿cuál usas tú? Han bloqueado mi web favorita, menos mal que tengo un módem jeje Creo que utilizaré mi nombre como password, así no se me olvidará ¡Genial! Un módem, ¿cuál es el número de teléfono? Porque las malas prácticas se extienden… ¿Por qué las Necesito? Políticas de Seguridad Fuente: Steve Lamb Microsoft Technet UK
¡Otra vez! ¡La alarma de siempre! ¡Qué pesadez! Bufff… hay que ver cómo está Beyonce en esta revista… Tranquilo. Pepe la apagará en cuanto la vea. Lo hace siempre. Creo que la va a desactivar mañana
Origen General Normativas Fines Organizativos EL “ENTORNO” Política Organizativa “Directriz” (Declaración de Seguridad y Directivas de la Dirección) Políticas de Seguridad Legislación Intereses de los Accionistas Objetivos de la Organización
Guías Estándares “Plantillas” (“Baselines”) Procedimientos Origen General (II) Política Organizativa “Directriz” (Declaración de Seguridad de la Dirección) Políticas de Seguridad Políticas de Implementación Funcionales (Directivas de Seguridad de la Dirección)
Política de Seguridad de la Dirección: “La Seguridad es Esencial para esta compañía y su Futuro” Pepe Pótamo (CEO) Política de Seguridad de Dirección • Proporciona los Objetivos y Metas de la Dirección por Escrito • Documenta el Cumplimiento (legislación, normativa, estándares) • Crea una Cultura de la Seguridad (incorpora seguridad a la cultura organizativa existente) • Públicamente accesibles (en la organización) • Se Anticipa y Protege de Sorpresas Políticas de Seguridad
Política de Seguridad de Dirección (II) • Establece la función/actividad de seguridad • Grupo de Seguridad • Establece responsabilidades/seguimientos personales individualmente: • Cada empleado responsable de sus acciones • Tiene en cuenta futuros potenciales conflictos: • Establece marco resolutor de conflictos de intereses o interpretaciones. • Asegura que empleados y contratas estén al tanto de la Política Organizativa y sus cambios • Obliga a un plan de respuesta a incidencias • Establece procesos para manejo de excepciones, recompensas, disciplinas Políticas de Seguridad
Una Buena Política de Seguridad Debe… • Ser corta (1 o 2 páginas, un tríptico) • Ser Fácilmente comprensible y CLARA • Declarar abiertamente la importancia de la información (y su seguridad) para el negocio • Informar a los empleados de sus responsabilidades y cómo utilizar adecuadamente los recursos de la organización • Sentar la base para su desarrollo en otras políticas funcionales y procedimientos • Declarar la existencia de Sanciones y Recompensas (especificadas en otras políticas o programas de concienciación) Políticas de Seguridad
¿Por qué son Importantes las Políticas? • Los recursos IT son utilizados por todos en la organización… pero no todos son gurús de IT • Son la primera línea de defensa de amenazas internas y externas • El 96% de los “ciber-ataques” fallarían si se siguiesen unas políticas de seguridad básicas • Cuando las reglas y responsabilidades no están bien definidas, la seguridad falla • No son sólo un concepto con el que “aplacar” los auditores (¡no deben serlo!) • Las políticas que son copias de guías de mejores prácticas son como las dietas y el ejercicio físico… algo a lo que se aspira, pero que rara vez se consigue Políticas de Seguridad
Un ejemplo… Políticas de Seguridad
Roles Organizativos y Responsabilidades • Cada uno tiene un rol y responsabilidad • Deben asignarse funciones específicas de seguridad • Roles Específicos y Responsabilidades: • Dirección Ejecutiva • Profesionales de la Seguridad de los Sistemas de Información • Propietarios de la información/activos • “Custodios” de la información/activos (administradores, etc.) Organización y Responsabilidad
Roles Organizativos y Responsabilidades (II) • Consideraciones de Terceras Partes: • Proveedores/Fabricantes • Contratas • Empleados Temporales • Clientes • Buenas Prácticas para el Personal: • Descripción de puesto y roles definidos y responsabilidades • Menor Privilegio / “Need to know” • Separación de responsabilidades • Rotación de puestos de trabajo • Vacaciones obligatorias Organización y Responsabilidad
Relaciones con Terceras Partes El servicio de limpieza…. …. Ese gran desconocido…. … que tiene acceso TOTAL Organización y Reponsabilidades
Infraestructura de las Políticas • Políticas Funcionales • Implementan e Interpretan la política de seguridad de alto nivel de la organización. • Ejemplos: • Clasificación de Datos • Certificación y Acreditación • Control de Acceso • Externalización o Outsourcing • Acceso Remoto • Uso Aceptable e Internet • Privacidad • Cambio de Passwords, etc. Políticas de Seguridad
Implementación de las Políticas Los elementos de soporte surgen desde las Políticas: Todos ellos aplican los principios de la política de seguridad en cada proceso de negocio y sistema Estándares Procedimientos Políticas de Seguridad Plantillas (“Baselines”) Guías
Plantilla Configuración Corporativa Producto Estándar Corporativo Reglas de Password Desktop Firewall Config. VPN Configuración IDS AntiVirus Implementación de las Políticas (II) • Estándares: Adopción de productos y mecanismos comunes hardware y software • Procedimientos: Acciones Requeridas Paso a Paso • Plantillas (“Baselines”): Establece implementaciones consistentes de mecanismos de seguridad. Plataforma Única. • Guías: Recomendaciones para implementaciones de productos de seguridad, planificación, etc. Políticas de Seguridad Proced. Corporatvos ISO17799 Common Criteria ITIL …
Niveles de Planificación de Seguridad • La Política debe/puede dirigir otras decisiones: Política Tecnología Auditoría Procesos Operaciones Otros… Documentación Políticas de Seguridad • Tres Niveles de Planificación de Seguridad: • Estratégico: años • Táctico: trimestres • Operativo: días, semanas, meses • Los tres planes deben estar integrados • La transición entre niveles debe ser “transparente”
¿Cómo logramos nuestro objetivo? Políticas de Seguridad
Logremos nuestro Objetivo • Creer en los empleados • Prevenir las “debilidades naturales” de la política de seguridad • Educar a los usuarios en la política y el valor de los activos • “Está prohibido hacer eso”: explicar a los usuarios Por Qué • Cómo hará “su vida más fácil o mejor” • Revisar regularmente el cumplimiento de los objetivos • Hacer correcciones si es necesario Políticas de Seguridad
Formación, Educación y Concienciación en Seguridad • Formación de la concienciación • Vídeos, boletines, posters, charlas, etc. • Motivación del personal • Recompensas • Formación del puesto de trabajo • Centrado en habilidades relacionadas con la seguridad • Incrementar la posibilidad de “medición” de sus acciones • Formación especializada para personal específico • Educación Profesional • Identificar a la audiencia Educación y Concienciación “Puedes formar o entrenar un perro, pero no puedes educarlo”
Educación de los Usuarios • Campaña de difusión de la seguridad • Actualizaciones periódicas • Boletines, trípticos, posters… • Reuniones en Grupos • Salvapantallas • Firmas en las Políticas de Uso Aceptable • Destructores de documentos • Auditorías Periódicas • “Recompensas” • Los “Amigos” no son siempre los “Amigos”: • Confianza, relaciones “telefónicas”: Ingeniería Social Educación y Concienciación
A Recordar Una Sesión Formativa NO es suficiente Actualizaciones periódicas para mantener al personal ATENTO Evitad ser el Enemigo No os convertais en otra fuente de “ruido” a ser ignorada Sed Creativos Transmitir Aplicación Personal a su Vida… Servicios de Seguridad Haced la Política ACCESIBLE: publicadla en una página Web, un tríptico, facilitad su búsqueda ¡Actualizadla! ¡Compromiso Dirección!
¡Muchas Gracias por su Atención! Samuel Linares Samuel LinaresEmail: Samuel.Linares@tecnocom.esWeb Profesional: http://www.tecnocom.esWeb Personal: http://www.infosecman.com