domingo, 2 de diciembre de 2012

POLÍTICAS DE SEGURIDAD.


Las Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizaciónsobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector de negocios. 

POLÍTICAS DE SEGURIDAD INFORMÁTICA

Una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema.

La RFC 1244 define Política de Seguridad como: “una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán.”
 debe:



• Ser holística
• Adecuarse a las necesidades y recursos.
• Ser atemporal.
• Definir estrategias y criterios generales a adoptar en distintas funciones y actividades.

Cualquier política de seguridad debe contemplar Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.


 EVALUACIÓN DE RIESGOS

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.

• Se debe poder obtener una evaluación económica del impacto de estos sucesos.Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).

• Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.

• Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con loscostos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios,etc.) con que se cuenta y las amenazas a las que se está expuesto.


Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:

Tipo de Riesgo Factor

Robo de hardware Alto

Robo de información Alto

Vandalismo Medio

Fallas en los equipos Medio

Virus Informáticos Medio

Equivocaciones Medio

Accesos no autorizados Medio

Fraude Bajo

Fuego Muy Bajo

Terremotos Muy Bajo


 NIVELES DE RIESGO

1. Estimación del riesgo de pérdida del recurso (Ri)

2. Estimación de la importancia del recurso (Ii)

Para la cuantificación del riesgo de perder un recurso, es posible asignar un valor numérico de 0 a 10, tanto a la importancia del recurso (10 es el recurso de mayor importancia) como al riesgo de perderlo (10 es el riesgo más alto).El riesgo de un recurso será el producto de su importancia por el riesgo de perderlo:




Luego, con la siguiente fórmula es posible calcular el riesgo general de los recursos de la red:



IDENTIFICACIÓN DE AMENAZA.

Otros factores que debe considerar para el análisis de riesgo de un recurso de red son su disponibilidad, su integridad y su carácter confidencial, los cuales pueden incorporarse a la fórmula para ser evaluados.

Ejemplo: el Administrador de una red ha estimado los siguientes riesgos y su importancia para los elementos de la red que administra:

Se suele dividir las amenazas existentes según su ámbito de acción:
  • Desastre del entorno (Seguridad Física).
  • Amenazas del sistema (Seguridad Lógica).
  • Amenazas en la red (Comunicaciones).
  • Amenazas de personas (Insiders-Outsiders).
EVALUACIÓN DE COSTOS.
La evaluación de costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades. Un planteamiento posible para desarrollar esta política es el análisis de lo siguiente:
  • ¿Qué recursos se quieren proteger?
  • ¿De qué personas necesita proteger los recursos?
  • ¿Qué tan reales son las amenazas?
  • ¿Qué tan importante es el recurso?
  • ¿Qué medidas se pueden implantar para proteger sus bienes de una manera económica y oportuna?
El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:
  • CP: Valor de los bienes y recursos protegidos.
  • CR:Costo de los medios necesarios para romper las medidas de seguridad establecidas.
  • CS: Costo de las medidas de seguridad.
Para que la política de seguridad sea lógica y consistente se debe cumplir que:
  • CR > CP: o sea que un ataque para obtener los bienes debe ser más costoso que el valor de los mismos. Los beneficios obtenidos de romper las medidas de seguridad no deben compensar el costo de desarrollo del ataque.
  • CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la protección.
Luego, CR > CP > CS y lo que se busca es:
"Minimizar el costo de la protección manteniéndolo por debajo del de los bienes protegidos
"Maximizar el costo de los ataques manteniéndolo por encima del de los bienes protegidos

Valor Intrínseco
Consiste en otorgar un valor a la información contestando preguntas como las mencionadas y examinando minuciosamente todos los componentes a proteger.


Costos Derivados de la Perdida
Una vez más deben abarcarse todas las posibilidades, intentando descubrir todos los valores derivados de la pérdida de algún componente del sistema. Muchas veces se trata del valor añadido que gana un atacante y la repercusión de esa ganancia para el entorno, además del costo del elemento perdido. Deben considerarse elementos como:
  • Información aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.
  • Datos confidenciales de acuerdos y contratos que un atacante podría usar para su beneficio.
  • Tiempos necesarios para obtener ciertos bienes. Un atacante podría acceder a ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.

ESTRATEGIA DE SEGURIDAD.

Para establecer una estrategia adecuada es conveniente pensar una política de protección en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre estos factores.
En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva 
 Estrategia Proactiva (proteger y proceder).
La Estrategia Reactiva (perseguir y procesar).


Implementación.
La implementación de medidas de seguridad, es un proceso Técnico-Administrativo. Como este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
Una PSI informática deberá abarcar:
  • Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición.
  • Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización.
  • Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
  • Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
  • Definición de violaciones y las consecuencias del no cumplimiento de la política.
  • Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley.
  • Explicaciones.
  • Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de Se comienza realizando una evaluación del factor humano, el medio en donde se desempeña, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias.
Auditoria y Control.

La Auditoría consiste en contar con los mecanismos para poder determinar qué es lo que sucede en el sistema, qué es lo que hace cada uno y cuando lo hace.
En cuanto al objetivo del Control es contrastar el resultado final obtenido contra el deseado a fin de incorporar las correcciones necesarias para alcanzarlo, o bien verificar la efectividad de lo obtenido.

Plan de contingencia.

Un Plan de Contingencia de Seguridad Informática consiste los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas.
Se entiende por Recuperación, "tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior al mismo, habiendo reemplazado o recuperado el máximo posible de los recursos e información" .

Backups.

El Backup de archivos permite tener disponible e íntegra la información para cuando sucedan los accidentes. Sin un backup, simplemente, es imposible volver la información al estado anterior al desastre.


Pruebas.

El último elemento de las estrategias de seguridad, las pruebas y el estudio de sus resultados, se lleva a cabo después de que se han puesto en marcha las estrategias reactiva y proactiva. La realización de ataques simulados (Ethical Hacking) en sistemas de pruebas o en laboratorios permiten evaluar los lugares en los que hay puntos vulnerables y ajustar las directivas y los controles de seguridad en consecuencia.
Estas pruebas no se deben llevar a cabo en los sistemas de producción real, ya que el resultado puede ser desastroso. La carencia de laboratorios y equipos de pruebas a causa de restricciones presupuestarias puede imposibilitar la realización de ataques simulados.
La realización de pruebas y de ajustes en las directivas y controles de seguridad en función de los resultados de las pruebas es un proceso iterativo de aprendizaje. Nunca termina, ya que debe evaluarse y revisarse de forma periódica para poder implementar mejoras.


LA POLITICA.
Nivel fisico.
La defensa contra agentes nocivos conlleva tanto medidas proactivas (limitar el acceso) como normativas de contingencia (que hacer en caso de incendio) o medidas de recuperación (realizar copias de seguridad). El grado de seguridad solicitado establecerá las necesidades: desde el evitar el café y el tabaco en las proximidades de equipos electrónicos, hasta el
Amenaza no Intencionada (Desastre Natural)
El siguiente ejemplo ilustra una posible situación:
Una organización no cuenta con sistemas de detección y protección de incendios en la sala de servidores. El Administrador del sistema deja unos papeles sobre el aire acondicionado de la sala. Durante la noche el acondicionador se calienta y se inicia un incendio que arrasa con la sala de servidores y un par de despachos contiguos.

Directivas:
  1. Predecir Ataque/Riesgo: Incendio
  2. Amenaza: Desastre natural. Incendio
  3. Ataque: No existe.
  4. Estrategia Proactiva:
    1. Predecir posibles daños: pérdida de equipos e información.
    2. Determinar y minimizar vulnerabilidades: protección contra incendios.
    3. Evaluar planes de contingencia: backup de la información.
  5. Estrategia Reactiva:
    1. Evaluar daños: perdida de hardware e información.
    2. Determinar su origen y repararlos: bloqueo del aire acondicionado.
    3. Documentar y aprender
    4. Implementar plan de contingencia: recuperar backups.
  6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Nivel humano.

El Usuario
Estas son algunos de las consideraciones que se deberían tener en cuenta para la protección de la información:
  1. Quizás el usuario contempla todas las noticias de seguridad con escepticismo, piensan que los Administradores son paranoicos y se aprovechan de las contadas situaciones dadas. Quizás tengan razón, pero se debe recordar que el mundo virtual no es más que una pequeña muestra del mundo físico, con el agregado que es el campo ideal de impunidad y anonimicidad.
  2. Generalmente se considera que la propia máquina es poco importante para que un atacante la tenga en cuenta. Se debería recordar que este atacante no sabe quien está del otro lado del monitor, por lo que cualquier objetivo (en principio) es tan importante (o no) como cualquier otro.



Amenaza no Intencionada (Empleado)

El siguiente ejemplo ilustra una posible situación de contingencia y el procedimiento a tener en cuenta:
Un empleado, no desea perder la información que ha guardado en su disco rígido, así que la copia (el disco completo) a su carpeta particular del servidor, que resulta ser también el servidor principal de aplicaciones de la organización. No se han definido cuotas de disco para las carpetas particulares de los usuarios que hay en el servidor. El disco rígido del usuario tiene 6 GB de información y el servidor tiene 6,5 GB de espacio libre. El servidor de aplicaciones deja de responder a las actualizaciones y peticiones porque se ha quedado sin espacio en el disco. El resultado es que se deniega a los usuarios los servicios del servidor de aplicaciones y la productividad se interrumpe.
A continuación, se explica la metodología que se debería haber adoptado antes de que el usuario decida realizar su copia de seguridad:

Directivas:
  1. Predecir Ataque/Riesgo: Negación de servicios por abuso de recursos.
  2. Amenaza: No existe. Empleado sin malas intenciones.
  3. Ataque: No existe motivo ni herramienta, solo el desconocimiento por parte del usuario.
  4. Estrategia Proactiva:
    1. Predecir posibles daños: pérdida de productividad por espacio de disco/memoria agotados.
    2. Determinar y minimizar vulnerabilidades: implementar cuotas de discos.
    3. Evaluar planes de contingencia: servidor backup.
    4. Capacitar el usuario.
  5. Estrategia Reactiva:
    1. Evaluar daños: pérdida de producción.
    2. Determinar su origen y repararlos: hacer espacio en el disco.
    3. Documentar y aprender: implementar plan de contingencia.
  6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Amenaza Malintencionada (Insider)
Una empresa competidora ofrece a un usuario cierta suma de dinero para obtener el diseño del último producto desarrollado por su empresa. Como este usuario carece de los permisos necesarios para obtener el diseño se hace pasar como un Administrador, y usando ingeniería social, consigue el nombre de usuario y password de un usuario con los permisos que él necesita.
La política de seguridad asociada a este evento debería haber contemplado:

Directivas:
  1. Predecir Ataque/Riesgo: Robo de información mediante el uso de ingeniería social.
  2. Amenaza: Insider.
  3. Ataque: Ingeniería social.
  4. Estrategia Proactiva:
    1. Predecir posibles daños: pérdida de productividad y/o beneficios.
    2. Determinar y minimizar vulnerabilidades: concientización de los usuarios.
    3. Evaluar planes de contingencia.
  5. Estrategia Reactiva:
    1. Evaluar daños: pérdida de beneficios e información.
    2. Determinar su origen: revelación de login y password por parte el usuario.
    3. Reparación de daños: implementar entrenamiento de los usuarios.
    4. Documentar y aprender.
    5. Implementar plan de contingencia.
  6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Personas Ajenas al Sistema - Amenaza No Intencionada

Un virus ingresa a la empresa mediante un mail enviado a un empleado, y comienza a expandirse dentro de la misma tomando como base la libreta de direcciones de los usuarios:

Directivas:
  1. Predecir Ataque/Riesgo: Negación de servicio del servidor de correo electrónico por gran la cantidad de mensajes enviados/recibidos.
  2. Amenaza: Virus.
  3. Ataque: Virus de correo electrónico.
  4. Estrategia Proactiva:
    1. Predecir posibles daños: pérdida de productividad por negación de servicio.
    2. Determinar y minimizar vulnerabilidades: actualización de antivirus y concientización de usuarios en el manejo del correo electrónico.
    3. Evaluar planes de contingencia: evaluar la importancia de un servidor backup. Antivirus.
  5. Estrategia Reactiva:
    1. Evaluar daños: pérdida de producción.
    2. Determinar su origen: caída del servidor por overflow de mensajes.
    3. Reparación de daños: implementar el servidor backup. Eliminación del virus causante del problema.
    4. Documentar y aprender.
    5. Implementar plan de contingencia: servidor backup.
  6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
Personas Ajenas al Sistema - Amenaza Malintencionada (Out-Sider)
Una persona ingresa al sistema de la empresa, con intenciones de recopilar información para su posterior venta:

Directivas:
  1. Predecir Ataque/Riesgo: Ingreso al sistema por vulnerabilidades en los sistemas o política de claves ineficiente.
  2. Amenaza: Outsider recopilando información significativa.
  3. Ataque: Ingreso al sistema.
  4. Estrategia Proactiva:
    1. Predecir posibles daños: Robo y venta de información. Daño a la imágen de la empresa.
    2. Determinar y minimizar vulnerabilidades: actualización de sistemas vulnerables. Concientización a los usuarios en el manejo de contraseñas fuertes.
    3. Evaluar planes de contingencia: implementación de servidor backup para casos de daño de la información. Recuperación de imagen. Evaluar formas de minimizar el daño por la información robada.
  5. Estrategia Reactiva:
    1. Evaluar daños: información susceptible robada.
    2. Determinar su origen: ingreso al sistema.
    3. Reparación de daños.
    4. Documentar y aprender.
    5. Implementar plan de contingencia: servidor backup.
  6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.








Publicado por en

1 comentario:

Suscribirse a: Enviar comentarios (Atom)