Poltica de seguridad

Definicin

La poltica define cmo debera implementarse la

seguridad
La poltica definir los mecanismos adecuados a
utilizar para proteger la informacin y los sistemas
Regula el comportamiento del personal en el uso
de los recursos de la organizacin

Objetivo

La poltica proporciona las reglas que gobiernan

cmo deberan ser configurados los sistemas y
cmo deberan actuar los empleados de una
organizacin en circunstancias normales o de
contingencia

Poltica de seguridad

Definiciones

El programa de Poltica de Seguridad es un documento de nivel

ejecutivo

Bosquejado por el Oficial de Seguridad de Informacin

(CIO; Chief Information Officer)

Generalmente 2 a 10 pginas de extensin

Este modela la filosofa de la seguridad en el ambiente TI
En l se definen:

Objetivos

Alcances

Restricciones

Aplicabilidad del programa de poltica de seguridad en

la organizacin

Poltica de seguridad

Hitos de una buena poltica de seguridad

Para cada aspecto de la poltica:

Autoridad Quin es el responsable?

mbito A quin afecta?
Caducidad Cundo termina?
Especificidad Qu se requiere?
Claridad Es entendible por todos?

Poltica de seguridad

Caractersticas de una buena poltica de seguridad

(RFC 2196: [Link]

Se tiene que poder poner en prctica mediante

procedimientos concretos de administracin de sistemas,
mediante la publicacin de guas sobre el uso aceptable de
los recursos informticos

Debe ser realista (ojo con la usabilidad)

Debe ser implementable

Se debe obligar su cumplimiento mediante herramientas de
seguridad, donde sea posible, y mediante sanciones, donde la
prevencin no sea posible tcnicamente
Debe definir claramente las reas de responsabilidad de los
usuarios, los administradores y la direccin

Tiene que haber un responsable para toda situacin posible

Poltica de seguridad

Componentes de una buena poltica de seguridad

(RFC 2196: [Link]

Una poltica de privacidad que asegure un nivel mnimo

de privacidad en cuanto a acceso a correo electrnico,
archivos de usuario y loggins (lo que se ingresa desde
teclado)
Una poltica de acceso que defina los niveles de
seguridad, los derechos y privilegios, caractersticas de las
conexiones a las redes internas y externas, mensajes de
aviso y notificacin, etc
Una poltica de responsabilidad que defina las
responsabilidades de los usuarios, y del personal tcnico y
de gestin. Debe definir los procedimientos de auditoria y
de gestin de incidentes (a quin avisar, cundo y cmo,
etc.)
Una poltica de autentificacin que establezca un
esquema de claves o contraseas, que especifique
modelos para la autentificacin remota o el uso de
dispositivos de autentificacin

Poltica de seguridad

Componentes de una buena poltica de seguridad

(RFC 2196: [Link]

Una declaracin de disponibilidad, que aclare las expectativas

de los usuarios en cuanto a la disponibilidad de los recursos.
Debe definir temas como la redundancia, la recuperacin ante
intrusiones, informacin de contacto para comunicar las
fallas en los sistemas y/o en la red, etc
Una poltica de mantenimiento que describa cmo se lleva a
cabo el mantenimiento interno y externo, si se permite
mantenimiento remoto y/o mantenimiento por outsourcing
Una poltica de comunicacin de violaciones que defina qu
tipos de amenazas, y cmo y a quin se deben comunicar
Informacin de soporte que indique a los usuarios, personal
tcnico y administracin cmo actuar ante cualquier
eventualidad, qu tipo de informacin se considera confidencial
o interna, referencias a otros procedimientos de seguridad,
referencias a legislacin de la compaa y externa, etc

Poltica de seguridad

Componentes de una buena poltica de seguridad

(RFC 2196: [Link]

Los creadores de las polticas de seguridad deberan considerar

la bsqueda de asistencia legal en la creacin de la poltica
Una vez que la poltica de seguridad esta establecida debe ser
claramente comunicada a los usuarios, soporte tcnico,
administradores y gerentes. El personal debe firmar indicando
que han ledo, entendido y estn de acuerdo en cumplir con
la poltica. Finalmente la poltica debera ser revisada en forma
regular para ver si es soporta satisfactoriamente las necesidades
de seguridad

Poltica de seguridad

Quines deben estar involucrados al formar la poltica?

Resp.: personal de todos los niveles. La siguiente lista es de los

individuos que deben estar envueltos en la creacin y revisin de los
documentos de la poltica de seguridad:

1) Oficial de seguridad (CIO)

2) Soporte tcnico

3) Administradores de los distintos departamentos

4) Equipo de respuesta ante un incidente de seguridad

5) Representantes de los usuarios afectados por la poltica de

seguridad

6) Administrador y/o gerente

7) Asesor legal (si se necesita)

Administrador representa a quienes tienen el presupuesto y la
autoridad para implementar y hacer cumplir las polticas
Soporte son quienes tienen el conocimiento tcnico y pueden dar
sugerencias con respecto a la factibilidad de la implementacin
Consulta legal sabe de las ramificaciones legales de las distinta
opciones

Poltica de seguridad

Qu hace una buena poltica de seguridad?

Las caractersticas de una buena poltica de

seguridad incluyen:

1. Debe ser implementable a travs de procedimientos de

sistemas administrativos y mecanismos tcnicos
2. Debe estar respaldado por herramientas de seguridad
3. Debe definir claramente las reas de responsabilidad
para los usuario, administradores y gerentes

Polticas de informacin

La poltica de informacin define qu informacin de

la empresa es confidencial y cmo debera estar
protegida

P.e. cada empleado es responsable de proteger la

informacin confidencial que llegue a sus manos

La informacin puede estar en papel o en bits

La informacin confidencial puede incluir:

Diseos de productos, informacin de patentes,

directorio telefnico de la compaa
Nminas, domicilios y nmeros telefnicos de los
empleados, e-mails, seguro social, etc

Polticas de informacin

Clasificaciones

Por lo general se definen dos o tres niveles de

clasificacin

El nivel ms bajo debera ser de dominio pblico

Otro nivel puede ser denominada propietaria, delicada o
confidencial para la compaa
Puede darse a conocer a los empleados o a otras
organizaciones previo acuerdo de confidencialidad
Puede causar dao a la empresa si es conocida por el
pblico o la competencia
Si existe un tercer nivel puede ser llamado restringido o
protegido
Slo es conocido por un nmero limitado de
empleados

Polticas de informacin

Marcacin y almacenamiento de la informacin

confidencial

La poltica debera definir cmo rotular esta informacin

Si est en formato impreso debera rotularse en la parte superior
e inferior de cada pgina
Poltica de escritorio limpio (e.d. ninguna informacin
confidencial debera dejarse sobre el escritorio)
Se debe hacer uso de archivadores y cajones con llaves
Si el usuario tiene oficina debera dejarla siempre cerrada
Cuando la informacin se encuentra en formato digital se
pueden utilizar niveles de proteccin:

Controles de acceso a los archivos (privilegios)

Usuario y contrasea

La informacin puede estar cifrada

Polticas de informacin

Transmisin de la informacin confidencial

Existen diversas maneras de enviar informacin

confidencial:

E-mail, correo regular, fax, etc.

E-mail: cifrar archivos adjuntos y/o el cuerpo principal
del mensaje
Si se envan copias fsicas se debe buscar un
mecanismo que requiera de una confirmacin firmada de
recibo (p.e. correo certificado)
Si es enviado por fax, coordinar con el destinatario para
que est junto a la mquina hasta que llegue el
documento

Polticas de informacin

Destruccin de la informacin confidencial

La que se arroja a la basura o a contenedores de reciclaje puede

quedar al alcance de personas no autorizadas
El papel con informacin confidencial debera destruirse

Existen trituradoras de corte cruzado

Poca probabilidad de que la informacin pueda ser

reconstruida
La informacin digital almacenada en un medio magntico
puede ser recuperada despus de su eliminacin

Existen programas comerciales que borran la informacin de

manera ms segura (p.e. PGP Desktop y BCWipe)

[Link]

[Link]

Polticas de seguridad

Identificacin y autentificacin

Se debe definir cmo sern identificados los usuarios

Se debe definir un estndar para las ID de los usuarios
Se debe definir mecanismos de autentificacin o validacin
para los administradores y usuarios

Si es mediante el uso de contraseas, entonces se debe

definir la longitud mnima, la duracin y el contenido de sta
Se puede definir distintos niveles de robustez en el mecanismo
de autentificacin

P.e. para accesos remotos como VPN

Uso de smart card como mtodo robusto para la

autentificacin o validacin

Biometra

Polticas de seguridad

Control de acceso

Definir el requerimiento estndar para los controles

de acceso que se establecern el los archivos
digitales
El mecanismo debe proporcionar alguna forma de
control de acceso

Polticas de seguridad

Conectividad de redes

Para cada tipo de conexin se debe especificar las reglas para la

conectividad y los mecanismos de proteccin que sern empleados

Conexiones por marcacin telefnica (modem callback)

Conexiones permanentes

Definir el equipo de seguridad que se utilizar (p.e. la implementacin

de un firewall)

Acceso remoto al sistemas internos

Especificar requerimientos tcnicos de identificacin y autentificacin

Especificar mecanismos de acceso, comunicacin segura y de

autentificacin robusta (p.e. VPN)
Procedimientos para permitir a los empleados obtener autorizacin
para un acceso de esta clase

Redes inalmbricas

Condiciones bajo las cuales se debera permitir la operacin de una red

inalmbrica y procedimientos para obtener autorizacin en el uso de
esta red
Especificar mecanismos de autentificacin y cifrado (p.e. WEP, WPA,
WPA2)

Polticas de seguridad

Cdigo malintencionado

La poltica deber especificar en qu lugar se

ubicarn los programas de seguridad que buscarn
cdigos malintencionados (p.e. virus, rootkits,
backdoors, troyanos, etc)

Servidores de archivos, servidores de correo electrnico,

servidor web, etc

Requerimientos para que examinen tipos especficos

de archivos y verifiquen cuando sean abiertos o
hacerlos en forma peridica
Definir las actualizaciones peridicas de los
programas de seguridad (p.e. actualizacin mensual
del antivirus)

Polticas de seguridad

Cifrado

La poltica debera definir el tipo de algoritmo de

cifrado aceptables para su uso al interior de la
organizacin
Especificar procedimientos para la administracin de
la clave

Apndices

Las configuraciones detalladas de seguridad para

los sistemas operativos, dispositivos de red, equipos
de telecomunicaciones, debern situarse en
apndices
Esto permitir que estos documentos detallados se
puedan modificar sin tener que cambiar la poltica de
seguridad de la organizacin

Polticas de uso de los

computadores

Define quin puede usar los computadores de la

organizacin y cmo pueden ser utilizados
Generalmente se omite ya que parece un simple
sentido comn
El problema de omitir la propiedad y el uso de los
computadores es que la organizacin quede
expuesta a demandas legales por parte de los
empleados

Polticas de uso de los

computadores

Propiedad de los computadores

Debe establecer claramente que los computadores

son de propiedad de la organizacin y que stos son
proporcionados a los empleados para su uso de
acuerdo a sus funciones dentro de la organizacin
Debe prohibir el uso de computadores ajenos a la
organizacin que se utilice para hacer negocios
dentro de la misma

P.e. si los empleados siguen trabajando en sus casas la

empresa debe proporcionar un computador adecuado

Definir que slo computadores pertenecientes a la

organizacin podrn tener acceso remoto a sta

Polticas de uso de los

computadores

Propiedad de la informacin

Establecer que la informacin almacenada o utilizada en los

computadores de la organizacin pertenece a ella
No sirve generar carpetas privadas u ocultas por parte de los
usuarios

Uso aceptable de los computadores

Establecer que los computadores de la organizacin

nicamente pueden utilizarse para propsitos del negocio
En los turnos de noche la organizacin podra dejar que los
empleados se entretengan con juegos, pero debera estar
establecido con claridad en la poltica
En cuanto al software, se debe especificar que ningn software
no autorizado puede ser instalado
Adems debe definir quin carga el software autorizados

Polticas de uso de los

computadores

Nulas expectativas de privacidad

Se debe declarar que el empleado no debera tener

esperanzas de privacidad respecto a cualquier
informacin almacenada, enviada o recibida en o
desde cualquier computador de la organizacin
El empleado debe comprender que cualquier
informacin, incluyendo el e-mail, puede ser
examinada por los administradores
Incluso los administradores pueden hacer
seguimiento de los sitios web que se visitan

Polticas de uso de Internet

Polticas de uso de Internet

Las organizaciones conceden conectividad a Internet a sus

empleados para que stos puedan realizar sus labores con
mayor eficacia y de este modo beneficiar a la organizacin
Definir los usos apropiados de Internet: investigacin
relacionada con el negocio, adquisiciones, comunicaciones por
e-mail, etc
Definir los usos no apropiados de Internet: visitas a sitios web no
relacionados con el negocio, descarga de software protegido por
derecho de autor, comercio o intercambio de msica o envo de
cadenas
Establecer que la organizacin puede dar seguimiento al uso de
Internet por parte de los empleados, y que stos no deben tener
expectativas de privacidad cuando hagan uso de Internet

Polticas de uso de Internet

Polticas de e-mail

Cuestiones de correo interno

La poltica no debera entrar en conflicto con otras

polticas de recursos humanos:

La poltica de e-mail debe hacer referencia al acoso u

hostigamiento sexual

No se deben enviar bromas subidas de tono a los

colaboradores por medio del e-mail
Comentarios inapropiados o subidos de tono
Establecer que el empleado no tenga expectativas de
privacidad del e-mail

Polticas de e-mail

Cuestiones de correo externo

El e-mail que sale de la organizacin puede contener

informacin confidencial
La poltica debe definir cmo debera estar protegida esta
informacin
Puede ser apropiado que la organizacin coloque una exencin
de responsabilidad (disclaimer) o una firma en la parte inferior,
para indicar que la informacin del propietario debe ser
protegida. P.e.:

Este mensaje es de naturaleza confidencial y puede contener

informacin protegida por normas de secreto y propiedad
intelectual. Si usted ha recibido este correo electrnico por error, le
agradeceremos se comunique inmediatamente con nosotros por
este misma va y tenga adems la amabilidad de borrar el mensaje
y sus adjuntos; as mismo, usted no deber copiar el mensaje ni
sus adjuntos ni divulgar su contenido a ninguna persona. Muchas
gracias

Sobre el e-mail entrante, se debe considerar examinar los archivos

adjuntos (virus, gusanos, troyanos, etc)

Polticas de respaldos

Frecuencia de respaldos

Almacenamientos de respaldos

Debe definir con qu frecuencia se realizarn los respaldos de

informacin
Lo tpico es que se hagan respaldos completos un da a la
semana y respaldos incrementales a diario

Respaldo incremental se respalda slo los archivos que han

cambiado desde el ltimo respaldo
Guardar los medios utilizados para los respaldos en una
ubicacin segura y accesible

Informacin que ser respaldada

Los archivos de datos que se modifican con frecuencia

Polticas de respaldos

Prximamente

Plan de recuperacin de desastres

Plan de continuidad del negocio

Temas tareas

XSS
Programar socket para realizar un ataque de
escaneo de puertos de algn servidor
Ingeniera social
Esteganografa
Seguridad inlmbrica (Cristobal Rojas)
IP Spoofing ARP poisoning (Nicols Delgado)
Ataque DDoS (Jaime Campano)
Colisiones de funciones hash (Ral Lpez)
Criptografa cuntica
Kerberos y Radius (Mauricio Caroca)
IDS e IPS (Snort) 2 alumnos (Valeria y Alejandro
Medina)
Anlisis forense
Test de penetracin
GPG GNU FSF

Polticas de respaldos

Actividad

Formar grupos de 4 personas

1 representante de la gerencia

1 representante de los usuarios (empleados)

1 Oficial de seguridad (CIO)

1 asesor legal (opcional)

Generar un programa de poltica de seguridad para una
empresa donde todos los integrantes estn plenamente de
acuerdo y se alcancen los objetivos de seguridad, de negocio y
considere aspectos legales (si aplica)

Empresa en estudio:

Empresa ficticia