Políticas y procedimientos de seguridad

POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD

Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

AGENDA – MÓDULO III Introducción de conceptos Procedimiento para la adopción de

políticas Estructura sugerida Estándares y/o Prácticas reconocidas Áreas de contenido propuesto Taller de redacción Validación y Divulgación

2Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

Módulo III

¿Qué es una política? ¿Para qué sirve? ¿A quién va dirigida? ¿Cómo se diferencia de un manual

o procedimiento?

3

INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD


Módulo III

¿Qué es una política?

Documento normativo adoptado por la alta gerencia donde establece la importancia para la organización de un asunto a regular, fija los objetivos a alcanzar y define las responsabilidades asociadas a su cumplimiento.

4



Módulo III

¿Para qué sirve una política? • Establecer la posición de la organización• Definir expectativas • Reducir errores, uso indebido o discrepancias• Fijar responsabilidades• Contribuir al cumplimiento con regulaciones• Facilitar la comunicación y comprensión• Referir a otros documentos más específicos

5



Módulo III

¿A quién(es) va(n) dirigida(s)?

Gerencia Empleados a tarea completa y/o

parcial Consultores Visitantes Otros

6



Módulo III

¿Cómo se diferencia de un manual o procedimiento? General y provee el marco conceptual Amplia difusión y acceso Fácil comprensión y cumplimiento Requiere revisión(es) periódica(s)

menor(es) Sirve de marco para la redacción de:

Procedimientos Manuales

7



Módulo III

Políticas: General Abarcador Define posición organizacional

Procedimientos: Detallado Específico (área funcional, tipo de usuario) Apoya cumplimiento con leyes y reglamentos

Manuales: Específico (segmento de la comunidad) Define responsabilidad particular Establece normas de conducta esperada Provee ejemplos asociados al cumplimiento Describe consecuencias por incumplimiento

8

POLÍTICAS, PROCEDIMIENTOS Y/O MANUALESPOLÍTICAS DE SEGURIDAD


Módulo III

Crear comité representativo Redactar políticas – Comité y Asesor legal Adoptar políticas – Unidad institucional Diseminar y concienciar sobre contenido:

◦ Comité◦ Unidades◦ Asesor legal◦ Recursos Humanos◦ Oficial Cumplimiento

Adoptar o actualizar procedimientos y/o manuales Integrar controles en sistemas y tecnologías de información Auditar cumplimiento Tomar medidas:

◦ Reforzar cumplimiento◦ Aclarar o modificar contenido

9

PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD

Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

CICLO DE VIDA – POLÍTICAS DE SEGURIDADDeterminar necesidad y

Redactar Borrador

Revisar, aprobar y diserminar

Ajustar procedimientos

y manuales

Integrar controles de

cumplimiento mediante TI

Auditar controles y

proponer ajustes


10

Crear comité representativo: Administración:

Gerencia Administración operacional Representación de usuarios críticos Asesor legal y/o Oficial de Cumplimiento Director de TI Director de Seguridad

Personal Otros sectores de la organización:

Auditor interno Auditor externo

11



Redactar política:◦ Construir formato genérico (“template”)◦ Determinar necesidad◦ Identificar estándares o prácticas generalmente reconocidas◦ Afinar objetivo(s) o intención ◦ Identificar el público al cual va dirigido◦ Seleccionar entre política, procedimiento o manual◦ Utilizar el formato “template” correspondiente◦ Generar el borrador◦ Validar el borrador◦ Certificar su legalidad (Oficina del Asesor Legal)◦ Someter a la unidad autorizada para aprobación◦ Allegar recursos para su implantación operacional◦ Divulgar contenido, expectativas y sanciones

12



Unidad institucional autorizada: Aprobar política Establecer fecha de vigencia Adoptar plan y asignar recursos para:

Diseminar contenido Concienzar sobre contenido al público que afecta (“Awareness”) Adiestrar sobre los riesgos que cubre y el impacto que

representan Notificar aprobación a:

Comité Asesor Legal Oficina de Recursos Humanos Unidad de Informática (“IT”) Oficial de cumplimiento

Adoptar o actualizar procedimientos y/o manuales: Afectados por la política aprobada o modificada Implantar operacionalmente la política aprobada o

modificada

13



Auditar cumplimiento – métricas y controles: Auditorías internas Auditorías externas Auditorías de cumplimiento

Tomar medidas para reforzar cumplimiento: Programas de fiscalización (“monitoring”) Sistemas para hacer cumplir políticas Sistemas para determinar discrepancias o violaciones Actuar consistentemente en casos de incumplimiento Imponer sanciones

Revisión y actualización continua: Atemperar a los cambios en el entorno Aclarar o modificar para asegurar cumplimiento

14



Módulo III 15

Determinar necesidad•Comparar modelos (“Best Practices”)

Desarrollar borrador

•Revisar , ajustar y aprobar

Divulgar y adiestrar usuarios•Desarrollar o modificar procesos

Resumen del Procedimiento propuesto

Implantar• Apoyar usuario• Afinar

correspondencia• Integrar

tecnologías de control

Auditar• Fiscalizar

cumplimiento• Imponer

controles y/o sanciones


Definir la posición organizacional – Cultura de confianza

Respaldar normativas de cumplimiento aplicables Mejorar la calidad de la ejecución al contribuir a:

◦ Definir qué se espera◦ Reducir errores◦ Uniformar o estandarizar procesos◦ Proveer resultados consistentes◦ Reemplazar tradición oral

Apoyar procesos de aprendizaje o adiestramiento Proveer lista(s) de cotejo para verificar cumplimiento Referencia para mejorar procesos

Módulo III 16

OBJETIVOS PRIMARIOSPOLÍTICAS DE SEGURIDAD


Título y fecha de vigencia Introducción Definiciones Contenido Aplicabilidad Excepciones Sanciones Otras disposiciones Unidad responsable

17

BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD


Título: Título de la política

Fecha de vigencia: Fecha a partir de la cual entra en vigor

Introducción: Ubicar en contexto el (los) objetivo(s) que persigue Explicar cuál es la intención para su aprobación Enmarcar en la misión, filosofía y visión de la

institución Definiciones:

Términos o conceptos Objetivos Conceptos institucionales

18



Contenido: Marco legal o reglamentario que la cobija Descripción de:

¿Qué permite? ¿Cómo está permitido? ¿Cuándo está permitido? ¿Qué está prohibido? ¿Cuándo está prohibido? ¿Por qué está prohibido?

Explicación del impacto Ejemplo(s) de escenario(s) Detalle procesal Responsables de:

Contención, erradicación o recuperación

19



Aplicabilidad: ¿A quién(es) aplica? ¿En cuáles circunstancias? Contexto que enmarca la aplicabilidad

Excepciones: ¿Cuándo no aplica? ¿A quién(es) no aplica y por qué?

Sanciones: Consecuencias del incumplimiento Tipos de escenarios y tipo de sanción:

Amonestación Suspensión Despido

20



Otras disposiciones:◦ Procedimiento para modificar

Unidad responsable de implantar◦ Identificar la unidad◦ Identificar persona(s)

Unidad responsable de asegurar cumplimiento◦ Procedimiento para notificar incumplimiento:

¿A quién? ¿Cómo? ¿Qué proveer?

21



El lenguaje y estilo debe ser: Claro Conciso y preciso Sencillo y fácil de entender Coherente Asertivo (ir al grano)

Debe evitar el uso de: Acrónimos (descripción completa) Números romanos ‘etc.’ y de ‘i.e.’ o ‘e.g.’ Expresiones de género

Módulo III 22

RECOMENDACIONES DE ESTILOPOLÍTICAS O PROCEDIMIENTOS DE SEGURIDAD


ESTÁNDARES Y PRÁCTICAS GENERALMENTE ACEPTADAS

ORGANIZACIONES National Institute of Standards and Technology:

Tecnologías de seguridad Seguridad de redes y sistemas Configuración y métricas recomendadas

IT Compliance Institute: Manejo de riesgos Seguridad de la información y protección de los datos Manejo de identidad (acceso) Manejo de configuración y cambios Payment Card Industry (PCI) Sarbanes Oaxley (SOX) Health Insurance Portability and Accountability Act (HIPAA)


24

ORGANIZACIONES SANS:

Seguridad de la información Seguridad de las redes

ISO 17799(27002): Seguridad y manejo de la información

Center for Internet Security (CISE) Sistemas operativos Configuración equipos Aplicaciones

Open Compliance Ethics and Governance: Gobernabilidad Seguridad de la información


25

ORGANIZACIONES Insituto de Auditores Internos:

Configuración equipos y sistemas Aplicaciones

CobiT ISACA – Contenido CISM ISC – Contenido CISSP COSO EDUCAUSE


26

ÁREAS DE CONTENIDO SUGERIDOPOLÍTICAS DE SEGURIDAD

Proveer tecnología y acceso al personal pone en riesgo:

◦ Activos físicos y electrónicos◦ Operación diaria y ejecución eficiente◦ Reputación e imagen organizacional◦ Cumplimiento con regulaciones aplicables◦ Responsabilidad civil o criminal - reclamaciones legales◦ Cultura de confianza

Módulo III 28

POLÍTICAS DE SEGURIDADÁREAS DE RIESGO


Uso de recursos tecnológicos Navegación (“Computer network & Internet”) Correo electrónico y mensajería Privacidad e Integridad de Contenido Documento electrónico:

Depósito Transmisión Retención o archivo Disposición

Protección de propiedad Lenguaje al comunicar

Módulo III 29

ÁREAS DE CONTENIDO GENERAL


Protección y uso de Equipo:◦ Desktops◦ Laptops◦ Impresoras y otros periferales◦ Tecnologías móviles

Programación:◦ Instalación, copia y modificación de programas

Autenticación (“username & password”) “Malware”:

◦ Actualización antivirus, “antispyware”, “antispam”◦ Propagación virus, spam◦ Desarrollo, instalación y/o propagación de “malware”

Módulo III 30

ÁREAS DE CONTENIDO GENERAL


ÁREAS DE CONTENIDO GENERAL Clasificación de la información Acuerdos de Confidencialidad Acceso a servicios, aplicaciones y

tecnologías: Autenticación Cifrado

Seguridad de servidores Seguridad de aplicaciones


31

Uso apropiado Sitios autorizados/no-autorizados:

◦ Contenido relacionado o no a la operación organizacional◦ Contenido de naturaleza:

Sexualmente explícita Proselitismo religioso/político Ofensiva, discriminatoria

Desperdicio de recursos:◦ Tráfico innecesario◦ Tráfico voluminoso:

“video/audio streaming” Juegos “Chat”

◦ Congestión: “sniffers” “scanners” “IDS/IPS”

Protocolo(s) o conexión(es): FTP, P2P

Módulo III 32

ÁREAS DE CONTENIDO ESPECIALNAVEGACIÓN


Correo electrónico Mensajería (“Instant messaging”) Telefonía IP (“VOIP”) Conversación interactiva (“Chats”) Tecnologías móviles Tecnologías inalámbricas Otras tecnologías

Módulo III 33

ÁREAS DE CONTENIDO ESPECIALCOMUNICACIÓN ELECTRÓNICA (TIPOS)


ÁREAS DE CONTENIDO ESPECIALDOCUMENTOS ELECTRONICOS Transaccionales o asociados a la operación:

Aplicaciones o Bancos de datos Correo electrónico Documentos generales o específicos

Cubiertos por legislación de privacidad: HIPAA GLBA ECPA ID Theft Otras

Pietaje de cámaras de seguridad Propiedad Intelectual 3ros Presencia WEB


34

ÁREAS DE CONTENIDO ESPECIALSEGURIDAD

Antivirus AntiSpam AntiSpyware Copias de resguardo Uso de dispositivos duplicación móviles

(USB/Firewire) Limpieza de dispositivos de almacén

(Media Sanitation)


35

TALLER DE REDACCIÓN


37Módulo III

TALLER DE REDACCIÓNPOLÍTICAS DE SEGURIDAD

Seleccione un área para redactar la política Utilice el Bosquejo propuesto como guía Remítase a los modelos recomendados (“best

practices”) Elabore el bosquejo preliminar para la

política Sugiera el proceso a seguir para su

implantación operacional

REFERENCIAS Cornell IT Policies SANS, A Short Primer for Developing Security Policies,

2007 UCISA, Information Security Toolkit edition 2.0, 2005 Sedona Conference, THE SEDONA GUIDELINES: Best Practice

Guidelines & Commentary for Managing Information & Records in the Electronic Age, 2005

Henson, Developing and Writing Library Policies and Procedures,nd

Flyn, The ePolicy Handbook, American Management Association, 2001

EDUCAUSE, Security Policy Best Practices


38

Políticas y procedimientos de seguridad

Documents

Transcript of Políticas y procedimientos de seguridad