unidad ii sesion 01 (politicas de seguridad)
TRANSCRIPT
![Page 1: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/1.jpg)
Datos del Profesor: Ing. Jesús Vílchez Sandoval
CIP 129615 email:[email protected]
http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
![Page 2: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/2.jpg)
Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
![Page 3: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/3.jpg)
Que es una Política de Seguridad Elaboración de una Política de Seguridad Política del SGSI y Políticas Especificas Reglamento de Seguridad de Información Laboratorio
Contenido
La política de seguridad es un documento de alto nivel que denota El compromiso de la gerencia con la seguridad de la información.
© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
![Page 4: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/4.jpg)
Que es una política de seguridad?
«Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»
![Page 5: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/5.jpg)
A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información
Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.
Que es una política de seguridad?
![Page 6: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/6.jpg)
Elaboración de una política
de seguridad
«No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios»
-- Anonimo
![Page 7: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/7.jpg)
Hay 11 etapas que deben realizarse a lo largo de la vida de una política de seguridad. Estas etapas pueden agruparse en 4 Fases:
Ciclo de vida una política de seguridad
Desarrollo Creación Revisión Aprobación
Implementación Comunicación Cumplimiento Excepciones
Mantenimiento Concientización Monitoreo Cumplimiento Mantenimiento
Eliminación Retiro
![Page 8: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/8.jpg)
Para elaborar una política de seguridad de la información es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción.
Elaboración de una política de seguridad
a. Exigencias de la Política
b. Etapas de producción de la política.
![Page 9: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/9.jpg)
Elab
orac
ión
de u
na p
olíti
ca d
e se
gurid
ad
a. Exigencias de la Política de seguridad La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado en seguridad de los profesionales involucrados con su aplicación y compromiso. Es importante considerar que para la elaboración de una política de seguridad institucional se debe realizar lo siguiente:
a. Integrar el comité de seguridad responsable de definir la política
b. Elaborar el documento final
c. Hacer oficial la política una vez que se tenga definida
![Page 10: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/10.jpg)
Elab
orac
ión
de u
na p
olíti
ca d
e se
gurid
ad
b. Etapas de producción de una política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras:
o Objetivos y ámbito o Entrevista o Investigación y análisis de documentos o Reunión de política o Glosario de la política o Responsabilidades y penalidades
![Page 11: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/11.jpg)
Documentos de una política de seguridad
• En este modelo visualizamos que una política de seguridad este formada por 3 grandes secciones: – Las Directrices – Las Normas – Los procedimientos e
instrucciones de trabajo
• Su estructura de sustentación está formada por tres grandes aspectos: – Herramientas, – Cultura organizacional – Monitoreo.
![Page 12: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/12.jpg)
Las Directrices (Estrategias)
• Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información.
• Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido.
![Page 13: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/13.jpg)
Las Normas (Tacticas)
• Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina. Pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios.
Normas de Seguridad para técnicos Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros.
Normas de Seguridad para Usuarios Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros.
![Page 14: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/14.jpg)
Procedimientos e Instrucciones (operacional)
Procedimiento Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en el modelo de paso a paso para los usuarios del activo en cuestión.
![Page 15: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/15.jpg)
Elab
orac
ión
de u
na p
olíti
ca d
e se
gurid
ad
Items de una política de seguridad Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.
![Page 16: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/16.jpg)
Políticas del SGSI y Políticas
Especificas
Confidencialidad, Disponibilidad e Integridad
![Page 17: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/17.jpg)
Políticas especificas de la seguridad
ISO 27001:2005 – Anexo “A”
• Política del SGSI
4.2.1.b
• Seguridad de Información
A.5.1.1
• Código Móvil
A.10.4.2
• Backup
A.10.5.1
• Intercambio de información
A.10.8.1
• Sistemas de información de negocio
A.10.8.5
• Control de accesos
A.11.1.1
• Bloqueo de pantalla y puesto de trabajo despejado
A.11.3.3
• Uso de los servicios de red
A.11.4.1
• Computación móvil y comunicaciones
A.11.7.1
• Teletrabajo
A.11.7.2
• Controles criptográficos
A.12.3.1
![Page 18: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/18.jpg)
Política del SGSI Se define en términos de las características de la Institución, la organización, sus ubicaciones, activos y tecnología. Incluye un marco de trabajo para establecer objetivos y brinda un sentido general de dirección y principios para la acción respecto a la seguridad de información. Toma en consideración requerimientos legales o regulatorios y de
negocios, y obligaciones de seguridad contractuales. Se alinea con el contexto de gestión de riesgos estratégico de la
organización en el cual se establece y mantiene el SGSI Establece el criterio contra el cual el riesgo será evaluado Es aprobada por la gerencia
![Page 19: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/19.jpg)
La política del SGSI es considerada como un nivel superior de la política de seguridad de información. Estas políticas pueden ser descritas en un mismo documento
Política del SGSI
![Page 20: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/20.jpg)
Reglamento de seguridad la información
«Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»
![Page 21: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/21.jpg)
» Es de aplicación general a todo el personal de la empresa o institución.
» Debe ser aprobado por el Comité de Gestión de Seguridad
» Está compuesto por un conjunto de políticas específicas de Seguridad de la Información.
» Debe ser de conocimiento y uso cotidiano del personal interno y externo a la Institución.
Definición
Conjunto de principios, directivas y requerimientos de Seguridad de la Información que garanticen la confidencialidad, integridad y disponibilidad de la información que se procesa, intercambia, reproduce y conserva en los activos de información que soportan los procesos y actividades de una Institución.
![Page 22: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/22.jpg)
Política de Código Móvil
ISO 27001:2005 Control 10.4.2
• Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que éste sea ejecutado.
El código móvil es un código de software que se transfiere desde una computadora a otra y luego ejecuta automáticamente y realiza una función específica con poco o ninguna interacción del usuario.
![Page 23: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/23.jpg)
Política de Backup
ISO 27001:2005 Control 10.5.1
• Se deben hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en concordancia con la política acordada de recuperación.
![Page 24: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/24.jpg)
Política para Intercambio de Información y software
ISO 27001:2005 Control 10.8.1
• Se deben establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la información a través de todos los tipos de instalaciones de comunicación
Información Correo
Voz
Fax
Video
Software Descarga de
Internet
Proveedores
![Page 25: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/25.jpg)
Política de Sistemas de Información de Negocios
ISO 27001:2005 Control 10.8.5
• Se deben desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información de negocios.
Los sistemas de información permiten distribuir rápidamente y compartir información de negocio. Controles de acceso Clasificación de información Identificación de usuarios Backup Contingencias
![Page 26: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/26.jpg)
Política de Control de Accesos
ISO 27001:2005 Control 11.1.1
• Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Considerar acceso físico y lógico. “Todo lo que no está explícitamente permitido debe estar prohibido”
![Page 27: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/27.jpg)
Política de Pantalla y Escritorio Limpio
ISO 27001:2005 Control 11.3.3
• Se debe adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento, así como, una política de pantalla limpia para instalaciones de procesamiento de información.
![Page 28: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/28.jpg)
Política de uso de los Servicios de la Red
ISO 27001:2005 Control 11.4.1
• Los usuarios sólo deben tener acceso directo a los servicios para los que estén autorizados de una forma específica.
Redes y Servicios de red permitidos • Web • Correo electrónico • Mensajería instantánea • VPN / Acceso remoto.
![Page 29: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/29.jpg)
Política de Informática Móvil y Comunicaciones
ISO 27001:2005 Control 11.7.1
• Se debe adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática.
• Laptops • Teléfonos celulares • Agendas PDA • Dispositivos inalámbricos Consideraciones: Uso en áreas públicas Software malicioso Backup Robo
![Page 30: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/30.jpg)
Política de Teletrabajo
ISO 27001:2005 Control 11.7.2
• Se debe desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de teletrabajo.
Consideraciones: Robo de equipos Fuga de información Propiedad intelectual Auditoria a equipos Licencia de software Protección antivirus
![Page 31: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/31.jpg)
Política de uso de Controles Criptográficos
ISO 27001:2005 Control 12.3.1
• La organización debe desarrollar e implementar una política de uso de las medidas criptográficas para proteger la información.
Consideraciones: Situaciones en las que debe utilizarse Nivel de protección requerido (tipo, algoritmo) Responsabilidad Regulaciones
![Page 32: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/32.jpg)
? Preguntas
![Page 33: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/33.jpg)
Laboratorio
«No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios»
-- Anonimo
![Page 34: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/34.jpg)
Ejercicio
Elaborar una Política de Seguridad
![Page 35: Unidad ii sesion 01 (politicas de seguridad)](https://reader033.vdocuments.mx/reader033/viewer/2022060117/55889be0d8b42a17268b4746/html5/thumbnails/35.jpg)
SEGURIDAD EN REDES FIN SESION 01