Post on 12-Feb-2016
description
POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
AGENDA – MÓDULO III Introducción de conceptos Procedimiento para la adopción de
políticas Estructura sugerida Estándares y/o Prácticas reconocidas Áreas de contenido propuesto Taller de redacción Validación y Divulgación
2Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
¿Qué es una política? ¿Para qué sirve? ¿A quién va dirigida? ¿Cómo se diferencia de un manual
o procedimiento?
3
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
¿Qué es una política?
Documento normativo adoptado por la alta gerencia donde establece la importancia para la organización de un asunto a regular, fija los objetivos a alcanzar y define las responsabilidades asociadas a su cumplimiento.
4
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
¿Para qué sirve una política? • Establecer la posición de la organización• Definir expectativas • Reducir errores, uso indebido o discrepancias• Fijar responsabilidades• Contribuir al cumplimiento con regulaciones• Facilitar la comunicación y comprensión• Referir a otros documentos más específicos
5
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
¿A quién(es) va(n) dirigida(s)?
Gerencia Empleados a tarea completa y/o
parcial Consultores Visitantes Otros
6
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
¿Cómo se diferencia de un manual o procedimiento? General y provee el marco conceptual Amplia difusión y acceso Fácil comprensión y cumplimiento Requiere revisión(es) periódica(s)
menor(es) Sirve de marco para la redacción de:
Procedimientos Manuales
7
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
Políticas: General Abarcador Define posición organizacional
Procedimientos: Detallado Específico (área funcional, tipo de usuario) Apoya cumplimiento con leyes y reglamentos
Manuales: Específico (segmento de la comunidad) Define responsabilidad particular Establece normas de conducta esperada Provee ejemplos asociados al cumplimiento Describe consecuencias por incumplimiento
8
POLÍTICAS, PROCEDIMIENTOS Y/O MANUALESPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
Crear comité representativo Redactar políticas – Comité y Asesor legal Adoptar políticas – Unidad institucional Diseminar y concienciar sobre contenido:
◦ Comité◦ Unidades◦ Asesor legal◦ Recursos Humanos◦ Oficial Cumplimiento
Adoptar o actualizar procedimientos y/o manuales Integrar controles en sistemas y tecnologías de información Auditar cumplimiento Tomar medidas:
◦ Reforzar cumplimiento◦ Aclarar o modificar contenido
9
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
CICLO DE VIDA – POLÍTICAS DE SEGURIDADDeterminar necesidad y
Redactar Borrador
Revisar, aprobar y diserminar
Ajustar procedimientos
y manuales
Integrar controles de
cumplimiento mediante TI
Auditar controles y
proponer ajustes
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
10
Crear comité representativo: Administración:
Gerencia Administración operacional Representación de usuarios críticos Asesor legal y/o Oficial de Cumplimiento Director de TI Director de Seguridad
Personal Otros sectores de la organización:
Auditor interno Auditor externo
11
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Redactar política:◦ Construir formato genérico (“template”)◦ Determinar necesidad◦ Identificar estándares o prácticas generalmente reconocidas◦ Afinar objetivo(s) o intención ◦ Identificar el público al cual va dirigido◦ Seleccionar entre política, procedimiento o manual◦ Utilizar el formato “template” correspondiente◦ Generar el borrador◦ Validar el borrador◦ Certificar su legalidad (Oficina del Asesor Legal)◦ Someter a la unidad autorizada para aprobación◦ Allegar recursos para su implantación operacional◦ Divulgar contenido, expectativas y sanciones
12
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Unidad institucional autorizada: Aprobar política Establecer fecha de vigencia Adoptar plan y asignar recursos para:
Diseminar contenido Concienzar sobre contenido al público que afecta (“Awareness”) Adiestrar sobre los riesgos que cubre y el impacto que
representan Notificar aprobación a:
Comité Asesor Legal Oficina de Recursos Humanos Unidad de Informática (“IT”) Oficial de cumplimiento
Adoptar o actualizar procedimientos y/o manuales: Afectados por la política aprobada o modificada Implantar operacionalmente la política aprobada o
modificada
13
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Auditar cumplimiento – métricas y controles: Auditorías internas Auditorías externas Auditorías de cumplimiento
Tomar medidas para reforzar cumplimiento: Programas de fiscalización (“monitoring”) Sistemas para hacer cumplir políticas Sistemas para determinar discrepancias o violaciones Actuar consistentemente en casos de incumplimiento Imponer sanciones
Revisión y actualización continua: Atemperar a los cambios en el entorno Aclarar o modificar para asegurar cumplimiento
14
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III 15
Determinar necesidad•Comparar modelos (“Best Practices”)
Desarrollar borrador
•Revisar , ajustar y aprobar
Divulgar y adiestrar usuarios•Desarrollar o modificar procesos
Resumen del Procedimiento propuesto
Implantar• Apoyar usuario• Afinar
correspondencia• Integrar
tecnologías de control
Auditar• Fiscalizar
cumplimiento• Imponer
controles y/o sanciones
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Definir la posición organizacional – Cultura de confianza
Respaldar normativas de cumplimiento aplicables Mejorar la calidad de la ejecución al contribuir a:
◦ Definir qué se espera◦ Reducir errores◦ Uniformar o estandarizar procesos◦ Proveer resultados consistentes◦ Reemplazar tradición oral
Apoyar procesos de aprendizaje o adiestramiento Proveer lista(s) de cotejo para verificar cumplimiento Referencia para mejorar procesos
Módulo III 16
OBJETIVOS PRIMARIOSPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Título y fecha de vigencia Introducción Definiciones Contenido Aplicabilidad Excepciones Sanciones Otras disposiciones Unidad responsable
17
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Título: Título de la política
Fecha de vigencia: Fecha a partir de la cual entra en vigor
Introducción: Ubicar en contexto el (los) objetivo(s) que persigue Explicar cuál es la intención para su aprobación Enmarcar en la misión, filosofía y visión de la
institución Definiciones:
Términos o conceptos Objetivos Conceptos institucionales
18
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Contenido: Marco legal o reglamentario que la cobija Descripción de:
¿Qué permite? ¿Cómo está permitido? ¿Cuándo está permitido? ¿Qué está prohibido? ¿Cuándo está prohibido? ¿Por qué está prohibido?
Explicación del impacto Ejemplo(s) de escenario(s) Detalle procesal Responsables de:
Contención, erradicación o recuperación
19
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Aplicabilidad: ¿A quién(es) aplica? ¿En cuáles circunstancias? Contexto que enmarca la aplicabilidad
Excepciones: ¿Cuándo no aplica? ¿A quién(es) no aplica y por qué?
Sanciones: Consecuencias del incumplimiento Tipos de escenarios y tipo de sanción:
Amonestación Suspensión Despido
20
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Otras disposiciones:◦ Procedimiento para modificar
Unidad responsable de implantar◦ Identificar la unidad◦ Identificar persona(s)
Unidad responsable de asegurar cumplimiento◦ Procedimiento para notificar incumplimiento:
¿A quién? ¿Cómo? ¿Qué proveer?
21
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
El lenguaje y estilo debe ser: Claro Conciso y preciso Sencillo y fácil de entender Coherente Asertivo (ir al grano)
Debe evitar el uso de: Acrónimos (descripción completa) Números romanos ‘etc.’ y de ‘i.e.’ o ‘e.g.’ Expresiones de género
Módulo III 22
RECOMENDACIONES DE ESTILOPOLÍTICAS O PROCEDIMIENTOS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
ESTÁNDARES Y PRÁCTICAS GENERALMENTE ACEPTADAS
ORGANIZACIONES National Institute of Standards and Technology:
Tecnologías de seguridad Seguridad de redes y sistemas Configuración y métricas recomendadas
IT Compliance Institute: Manejo de riesgos Seguridad de la información y protección de los datos Manejo de identidad (acceso) Manejo de configuración y cambios Payment Card Industry (PCI) Sarbanes Oaxley (SOX) Health Insurance Portability and Accountability Act (HIPAA)
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
24
ORGANIZACIONES SANS:
Seguridad de la información Seguridad de las redes
ISO 17799(27002): Seguridad y manejo de la información
Center for Internet Security (CISE) Sistemas operativos Configuración equipos Aplicaciones
Open Compliance Ethics and Governance: Gobernabilidad Seguridad de la información
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
25
ORGANIZACIONES Insituto de Auditores Internos:
Configuración equipos y sistemas Aplicaciones
CobiT ISACA – Contenido CISM ISC – Contenido CISSP COSO EDUCAUSE
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
26
ÁREAS DE CONTENIDO SUGERIDOPOLÍTICAS DE SEGURIDAD
Proveer tecnología y acceso al personal pone en riesgo:
◦ Activos físicos y electrónicos◦ Operación diaria y ejecución eficiente◦ Reputación e imagen organizacional◦ Cumplimiento con regulaciones aplicables◦ Responsabilidad civil o criminal - reclamaciones legales◦ Cultura de confianza
Módulo III 28
POLÍTICAS DE SEGURIDADÁREAS DE RIESGO
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Uso de recursos tecnológicos Navegación (“Computer network & Internet”) Correo electrónico y mensajería Privacidad e Integridad de Contenido Documento electrónico:
Depósito Transmisión Retención o archivo Disposición
Protección de propiedad Lenguaje al comunicar
Módulo III 29
ÁREAS DE CONTENIDO GENERAL
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Protección y uso de Equipo:◦ Desktops◦ Laptops◦ Impresoras y otros periferales◦ Tecnologías móviles
Programación:◦ Instalación, copia y modificación de programas
Autenticación (“username & password”) “Malware”:
◦ Actualización antivirus, “antispyware”, “antispam”◦ Propagación virus, spam◦ Desarrollo, instalación y/o propagación de “malware”
Módulo III 30
ÁREAS DE CONTENIDO GENERAL
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
ÁREAS DE CONTENIDO GENERAL Clasificación de la información Acuerdos de Confidencialidad Acceso a servicios, aplicaciones y
tecnologías: Autenticación Cifrado
Seguridad de servidores Seguridad de aplicaciones
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
31
Uso apropiado Sitios autorizados/no-autorizados:
◦ Contenido relacionado o no a la operación organizacional◦ Contenido de naturaleza:
Sexualmente explícita Proselitismo religioso/político Ofensiva, discriminatoria
Desperdicio de recursos:◦ Tráfico innecesario◦ Tráfico voluminoso:
“video/audio streaming” Juegos “Chat”
◦ Congestión: “sniffers” “scanners” “IDS/IPS”
Protocolo(s) o conexión(es): FTP, P2P
Módulo III 32
ÁREAS DE CONTENIDO ESPECIALNAVEGACIÓN
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Correo electrónico Mensajería (“Instant messaging”) Telefonía IP (“VOIP”) Conversación interactiva (“Chats”) Tecnologías móviles Tecnologías inalámbricas Otras tecnologías
Módulo III 33
ÁREAS DE CONTENIDO ESPECIALCOMUNICACIÓN ELECTRÓNICA (TIPOS)
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
ÁREAS DE CONTENIDO ESPECIALDOCUMENTOS ELECTRONICOS Transaccionales o asociados a la operación:
Aplicaciones o Bancos de datos Correo electrónico Documentos generales o específicos
Cubiertos por legislación de privacidad: HIPAA GLBA ECPA ID Theft Otras
Pietaje de cámaras de seguridad Propiedad Intelectual 3ros Presencia WEB
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
34
ÁREAS DE CONTENIDO ESPECIALSEGURIDAD
Antivirus AntiSpam AntiSpyware Copias de resguardo Uso de dispositivos duplicación móviles
(USB/Firewire) Limpieza de dispositivos de almacén
(Media Sanitation)
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
35
TALLER DE REDACCIÓN
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
37Módulo III
TALLER DE REDACCIÓNPOLÍTICAS DE SEGURIDAD
Seleccione un área para redactar la política Utilice el Bosquejo propuesto como guía Remítase a los modelos recomendados (“best
practices”) Elabore el bosquejo preliminar para la
política Sugiera el proceso a seguir para su
implantación operacional
REFERENCIAS Cornell IT Policies SANS, A Short Primer for Developing Security Policies,
2007 UCISA, Information Security Toolkit edition 2.0, 2005 Sedona Conference, THE SEDONA GUIDELINES: Best Practice
Guidelines & Commentary for Managing Information & Records in the Electronic Age, 2005
Henson, Developing and Writing Library Policies and Procedures,nd
Flyn, The ePolicy Handbook, American Management Association, 2001
EDUCAUSE, Security Policy Best Practices
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
38