430 likes | 628 Vues
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados. Políticas y procedimientos de seguridad. Agenda – Módulo iii. Introducción de conceptos Procedimiento para la adopción de políticas Estructura sugerida Estándares y/o Prácticas reconocidas Áreas de contenido propuesto
E N D
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados Políticas y procedimientos de seguridad
Agenda – Módulo iii Introducción de conceptos Procedimiento para la adopción de políticas Estructura sugerida Estándares y/o Prácticas reconocidas Áreas de contenido propuesto Taller de redacción Validación y Divulgación Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
IntroducciónPolíticas de seguridad ¿Qué es una política? ¿Para qué sirve? ¿A quién va dirigida? ¿Cómo se diferencia de un manual o procedimiento? Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
IntroducciónPolíticas de seguridad • ¿Qué es una política? Documento normativo adoptado por la alta gerencia donde establece la importancia para la organización de un asunto a regular, fija los objetivos a alcanzar y define las responsabilidades asociadas a su cumplimiento. Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
IntroducciónPolíticas de seguridad • ¿Para qué sirve una política? • Establecer la posición de la organización • Definir expectativas • Reducir errores, uso indebido o discrepancias • Fijar responsabilidades • Contribuir al cumplimiento con regulaciones • Facilitar la comunicación y comprensión • Referir a otros documentos más específicos Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
IntroducciónPolíticas de seguridad • ¿A quién(es) va(n) dirigida(s)? • Gerencia • Empleados a tarea completa y/o parcial • Consultores • Visitantes • Otros Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
IntroducciónPolíticas de seguridad • ¿Cómo se diferencia de un manual o procedimiento? • General y provee el marco conceptual • Amplia difusión y acceso • Fácil comprensión y cumplimiento • Requiere revisión(es) periódica(s) menor(es) • Sirve de marco para la redacción de: • Procedimientos • Manuales Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Políticas, Procedimientos y/o ManualesPolíticas de seguridad • Políticas: • General • Abarcador • Define posición organizacional • Procedimientos: • Detallado • Específico (área funcional, tipo de usuario) • Apoya cumplimiento con leyes y reglamentos • Manuales: • Específico (segmento de la comunidad) • Define responsabilidad particular • Establece normas de conducta esperada • Provee ejemplos asociados al cumplimiento • Describe consecuencias por incumplimiento Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Procedimiento PropuestoPolíticas de seguridad • Crear comité representativo • Redactar políticas – Comité y Asesor legal • Adoptar políticas – Unidad institucional • Diseminar y concienciar sobre contenido: • Comité • Unidades • Asesor legal • Recursos Humanos • Oficial Cumplimiento • Adoptar o actualizar procedimientos y/o manuales • Integrar controles en sistemas y tecnologías de información • Auditar cumplimiento • Tomar medidas: • Reforzar cumplimiento • Aclarar o modificar contenido Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Ciclo de vida – Políticas de seguridad Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Procedimiento PropuestoPolíticas de seguridad • Crear comité representativo: • Administración: • Gerencia • Administración operacional • Representación de usuarios críticos • Asesor legal y/o Oficial de Cumplimiento • Director de TI • Director de Seguridad • Personal • Otros sectores de la organización: • Auditor interno • Auditor externo Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Procedimiento PropuestoPolíticas de seguridad • Redactarpolítica: • Construirformatogenérico (“template”) • Determinarnecesidad • Identificar estándares o prácticas generalmente reconocidas • Afinar objetivo(s) o intención • Identificar el público al cualvadirigido • Seleccionar entre política, procedimiento o manual • Utilizar el formato “template” correspondiente • Generar el borrador • Validar el borrador • Certificarsulegalidad (Oficina del Asesor Legal) • Someter a la unidadautorizada para aprobación • Allegar recursos para su implantación operacional • Divulgar contenido, expectativas y sanciones Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Procedimiento PropuestoPolíticas de seguridad • Unidad institucional autorizada: • Aprobar política • Establecer fecha de vigencia • Adoptar plan y asignar recursos para: • Diseminar contenido • Concienzar sobre contenido al público que afecta (“Awareness”) • Adiestrar sobre los riesgos que cubre y el impacto que representan • Notificar aprobación a: • Comité • Asesor Legal • Oficina de Recursos Humanos • Unidad de Informática (“IT”) • Oficial de cumplimiento • Adoptar o actualizar procedimientos y/o manuales: • Afectados por la política aprobada o modificada • Implantar operacionalmente la política aprobada o modificada Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Procedimiento PropuestoPolíticas de seguridad • Auditar cumplimiento – métricas y controles: • Auditorías internas • Auditorías externas • Auditorías de cumplimiento • Tomar medidas para reforzar cumplimiento: • Programas de fiscalización (“monitoring”) • Sistemas para hacer cumplir políticas • Sistemas para determinar discrepancias o violaciones • Actuar consistentemente en casos de incumplimiento • Imponer sanciones • Revisión y actualización continua: • Atemperar a los cambios en el entorno • Aclarar o modificar para asegurar cumplimiento Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Implantar • Apoyar usuario • Afinar correspondencia • Integrar tecnologías de control • Auditar • Fiscalizar cumplimiento • Imponer controles y/o sanciones Resumen del Procedimiento propuesto Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
ObjetivosprimariosPolíticasde seguridad • Definir la posición organizacional – Cultura de confianza • Respaldar normativas de cumplimientoaplicables • Mejorar la calidad de la ejecución al contribuir a: • Definirqué se espera • Reducirerrores • Uniformar o estandarizarprocesos • Proveerresultadosconsistentes • Reemplazartradición oral • Apoyarprocesos de aprendizaje o adiestramiento • Proveerlista(s) de cotejoparaverificarcumplimiento • Referenciaparamejorarprocesos Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Bosquejo de ContenidoPolíticas de seguridad Título y fecha de vigencia Introducción Definiciones Contenido Aplicabilidad Excepciones Sanciones Otras disposiciones Unidad responsable Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Bosquejo de ContenidoPolíticasde seguridad • Título: • Título de la política • Fecha de vigencia: • Fecha a partir de la cual entra en vigor • Introducción: • Ubicar en contexto el (los) objetivo(s) que persigue • Explicar cuál es la intención para su aprobación • Enmarcar en la misión, filosofía y visión de la institución • Definiciones: • Términos o conceptos • Objetivos • Conceptos institucionales Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Bosquejo de ContenidoPolíticas de seguridad • Contenido: • Marco legal o reglamentario que la cobija • Descripción de: • ¿Qué permite? • ¿Cómo está permitido? • ¿Cuándo está permitido? • ¿Qué está prohibido? • ¿Cuándo está prohibido? • ¿Por qué está prohibido? • Explicación del impacto • Ejemplo(s) de escenario(s) • Detalle procesal • Responsables de: • Contención, erradicación o recuperación Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Bosquejo de ContenidoPolíticas de seguridad • Aplicabilidad: • ¿A quién(es) aplica? • ¿En cuáles circunstancias? • Contexto que enmarca la aplicabilidad • Excepciones: • ¿Cuándo no aplica? • ¿A quién(es) no aplica y por qué? • Sanciones: • Consecuencias del incumplimiento • Tipos de escenarios y tipo de sanción: • Amonestación • Suspensión • Despido Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Bosquejo de ContenidoPolíticasde seguridad • Otras disposiciones: • Procedimiento para modificar • Unidad responsable de implantar • Identificar la unidad • Identificar persona(s) • Unidad responsable de asegurar cumplimiento • Procedimiento para notificar incumplimiento: • ¿A quién? • ¿Cómo? • ¿Qué proveer? Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Recomendaciones de estiloPolíticas o procedimientosde seguridad El lenguaje y estilo debe ser: • Claro • Conciso y preciso • Sencillo y fácil de entender • Coherente • Asertivo (ir al grano) Debe evitar el uso de: • Acrónimos (descripción completa) • Números romanos • ‘etc.’ y de ‘i.e.’ o ‘e.g.’ • Expresiones de género Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Organizaciones • National Institute of Standards and Technology: • Tecnologías de seguridad • Seguridad de redes y sistemas • Configuración y métricas recomendadas • IT Compliance Institute: • Manejo de riesgos • Seguridad de la información y protección de los datos • Manejo de identidad (acceso) • Manejo de configuración y cambios • Payment Card Industry (PCI) • Sarbanes Oaxley (SOX) • Health Insurance Portability and Accountability Act (HIPAA) Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Organizaciones • SANS: • Seguridad de la información • Seguridad de las redes • ISO 17799(27002): • Seguridad y manejo de la información • Center for Internet Security (CISE) • Sistemas operativos • Configuración equipos • Aplicaciones • Open Compliance Ethics and Governance: • Gobernabilidad • Seguridad de la información Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Organizaciones • Insituto de Auditores Internos: • Configuración equipos y sistemas • Aplicaciones • CobiT • ISACA – Contenido CISM • ISC – Contenido CISSP • COSO • EDUCAUSE Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Políticas de seguridadÁreas de riesgo Proveer tecnología y acceso al personal pone en riesgo: • Activos físicos y electrónicos • Operación diaria y ejecución eficiente • Reputación e imagen organizacional • Cumplimiento con regulaciones aplicables • Responsabilidad civil o criminal - reclamaciones legales • Cultura de confianza Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Áreas de contenido General • Uso de recursos tecnológicos • Navegación (“Computer network & Internet”) • Correo electrónico y mensajería • Privacidad e Integridad de Contenido • Documento electrónico: • Depósito • Transmisión • Retención o archivo • Disposición • Protección de propiedad • Lenguaje al comunicar Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Áreas de contenido general • Protección y uso de Equipo: • Desktops • Laptops • Impresoras y otros periferales • Tecnologías móviles • Programación: • Instalación, copia y modificación de programas • Autenticación (“username & password”) • “Malware”: • Actualización antivirus, “antispyware”, “antispam” • Propagación virus, spam • Desarrollo, instalación y/o propagación de “malware” Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Áreas de contenido general • Clasificación de la información • Acuerdos de Confidencialidad • Acceso a servicios, aplicaciones y tecnologías: • Autenticación • Cifrado • Seguridad de servidores • Seguridad de aplicaciones Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Áreas de contenido especialNavegación • Uso apropiado • Sitios autorizados/no-autorizados: • Contenido relacionado o no a la operación organizacional • Contenido de naturaleza: • Sexualmente explícita • Proselitismo religioso/político • Ofensiva, discriminatoria • Desperdicio de recursos: • Tráfico innecesario • Tráfico voluminoso: • “video/audio streaming” • Juegos • “Chat” • Congestión: • “sniffers” • “scanners” • “IDS/IPS” • Protocolo(s) o conexión(es): FTP, P2P Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Áreas de contenido especialComunicación electrónica (Tipos) Correo electrónico Mensajería (“Instant messaging”) Telefonía IP (“VOIP”) Conversación interactiva (“Chats”) Tecnologías móviles Tecnologías inalámbricas Otras tecnologías Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Áreas de contenido especialdocumentos electronicos • Transaccionales o asociados a la operación: • Aplicaciones o Bancos de datos • Correo electrónico • Documentos generales o específicos • Cubiertos por legislación de privacidad: • HIPAA • GLBA • ECPA • ID Theft • Otras • Pietaje de cámaras de seguridad • Propiedad Intelectual 3ros • Presencia WEB Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Áreas de contenido especialSeguridad Antivirus AntiSpam AntiSpyware Copias de resguardo Uso de dispositivos duplicación móviles (USB/Firewire) Limpieza de dispositivos de almacén (Media Sanitation) Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Taller de redacciónPolíticas de seguridad • Seleccione un área para redactar la política • Utilice el Bosquejo propuesto como guía • Remítase a los modelos recomendados (“best practices”) • Elabore el bosquejo preliminar para la política • Sugiera el proceso a seguir para su implantación operacional Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
referencias Cornell IT Policies SANS, A Short Primer for Developing Security Policies, 2007 UCISA, Information Security Toolkit edition 2.0, 2005 Sedona Conference, THE SEDONA GUIDELINES: Best Practice Guidelines & Commentary for Managing Information & Records in the Electronic Age, 2005 Henson, Developing and Writing Library Policies and Procedures,nd Flyn, The ePolicy Handbook, American Management Association, 2001 EDUCAUSE, Security Policy Best Practices Carmen R. Cintrón Ferrer, 2008, Derechos Reservados