PSI (Politicas de Seguridad Informatica) [Parte 2]

Razones por las que las políticas de seguridad informática generalmente no se implantan. 

Aunque no todas las empresas son conscientes de los riesgos que corren al no tener PSI en su organización, algunas gastan gran cantidad de tiempo y esfuerzo definiéndolas, convenciendo a los altos mandos (labor extremadamente ardua, ya que estas políticas no aumentan el rendimiento del sistema y a veces lo vuelven más complicado), para  que finalmente sean escritas y archivadas para nunca ser usadas. ¿Qué pasa en esos casos? ¿Por qué ocurre esto?

Muchos factores concurren en la no implantación de las políticas. Uno de ellos, ya tocado anteriormente, es el vocabulario técnico  que los expertos de seguridad manejan. Hacen poco entendible las normas, por la que los empleados las ignoran y siguen actuando de manera convencional. 

Otro de los factores que generalmente se olvida en el establecimiento de las políticas es algo, que aunque ajeno al conocimiento general de los expertos, es muy importante: estrategia de mercadeo. Las políticas de seguridad deben ser presentadas a los altos mandos, y ellos deben ver una retribución en esa inversión, ya que si no se muestra de manera explícita y obvia, podrán pensar que la inversión solo es un “juguete para ingenieros”. Los gerentes deben conocer de manera clara las consecuencias de sus decisiones, lo mejor y lo peor que puede pasar. Las políticas deben integrarse a las estrategias de negocio, misión y visión… todo esto para que se conozca el efecto de las PSI sobre las utilidades de la compañía. ¡MERCADEO!

Un tercer elemento es la ausencia de conexión entre las acciones diarias de los empleados y las PSI. Estas deben ir acompañadas de una visión de negocio que promueva las actividades diarias de los empleados, actividades donde se identifican las necesidades y acciones que hacen existir a las políticas

Para evitar que las políticas no sean implantadas en la compañía, se dejan algunas recomendaciones útiles a la hora de presentarlas a los miembros de la organización.

·         Cree ejemplos donde se den fallas de seguridad que capten la atención de las personas.

·         Haga que estos ejemplos se conecten a las estrategias de la organización

·         Muestre una valoración costo-beneficio ante posibles fallas de seguridad

·         Justifique la importancia de las PSI en función de hechos y situaciones CONCRETAS, que muestren el impacto, limitaciones y  beneficios de estas sobre los activos de la población.

Las políticas de seguridad informática como base de la administración de la seguridad integral. 

Las PSI se definen como el conjunto de lineamientos que una organización debe seguir para garantizar la seguridad de sus sistemas, lineamientos que constituyen un compromiso de la organización para actuar de manera apropiada en situaciones que vulneren la seguridad de la misma. Es por esta razón que se agrupan en el conjunto de acciones usadas por la empresa para proteger sus activos. Sin embargo, siendo lineamientos, estas políticas no constituyen una garantía para la seguridad de la organización.  

Teniendo en cuenta estas premisas, podemos estratificar la seguridad en varios niveles:

·         Estrato de marco jurídico

·         Estrato de medidas técnico-administrativas (procedimientos para la creación de funciones, administración de la seguridad, auditoría de sistemas de información interna…)

Esta estratificación es muy importante porque define los límites de las personas encargadas de cada uno de los temas concernientes a la seguridad. Ambos estratos deben ser independientes y nunca una persona encargada de un estrato puede intervenir o administrar el otro. En cada estrato debe haber una definición de funciones y una separación suficiente de tareas. En este caso, en el estrato técnico - administrativo por ejemplo, pueden existir coordinadores en cada área funcional y geográfica de la organización, dependiendo de la complejidad de la misma. No tiene lógica que un coordinador autorice una transacción de información del sistema al exterior, y luego él mismo la revise. Esto da pie a fraudes o a encubrimientos de anomalías. Deben intervenir siempre personas diferentes en cada elemento del sistema de seguridad. 

Esto es llamado “seguridad integral”: varios usuarios responsables de la política de seguridad informática, engranados en un sistema de seguridad global de la organización (como o es la seguridad física de las instalaciones, los planes de contingencia ante situaciones financieras graves, etc.).

Riesgos en la organización

Las entidades nunca estarán exentas de riesgos inherentes a su naturaleza. Siempre existirá la posibilidad de que se dé una violación a la seguridad o un error respecto a la transferencia de información. Lo ideal sería que cualquier error que vulnere la seguridad del sistema sea suprimido, pero dichas supresiones tienen un costo asociado. Veamos un ejemplo:

Supongamos que un usuario va a acceder a información específica de la empresa. Una de las políticas de seguridad más usadas es la consistente en que el usuario se identifique y se autentique su identidad (política de “login y password”). Y ahora, supongamos que este usuario tomará la información de la empresa para llevarlas, físicamente, a otra empresa. En este caso, se usa otra política de seguridad basada en el cifrado o encriptado de datos (generación de un código que “encripte” y “desencripte” la información dependiendo del usuario), para que, si el dispositivo que contiene  la información cae en otras manos, estos no puedan ver la información. Si quisiéramos asegurarnos de que la información es obtenida por ese usuario autorizado y solo ese usuario, podríamos incluir en la autenticación, medidas biométricas como la detección de la huella digital, el iris, firma con reconocimiento automático, etc. Pero cada uno de estos elementos, como se indicó anteriormente, posee un costo económico.

Es entonces necesario saber hasta qué nivel deseamos exponer nuestra organización a riesgos (detectar los riesgos y tomar decisiones a partir de esta detección), o ciertos elementos de nuestra organización a vulnerabilidades den pro del costo económico asociado. El riesgo máximo  que puede soportar la organización es una decisión primordial para la definición de PSI, y debe contemplar, entre muchos elementos, algunos muy comunes. Expondremos acá algunos de estos elementos:

·         Accesos indebidos a datos (generalmente a través de las redes)

·         “Perdida” de dispositivos magnéticos o sólidos con información crítica de la organización.

·         Daños físicos a los elementos que guardan la información (incendios, inundaciones, terremotos…)

·         Variación o copia indebida de programas para beneficio personal o para causar un daño.

·         Los Hackers y crackers. Los primeros, acceden a los sistemas para detectar vulnerabilidades y los segundos acceden a  los sistemas para generar estragos y daños a la organización.

·         Los virus. Esta amenaza, aunque latente, es de menor importancia ahora que antes, ya que la configuración de los sistemas actuales permite mayor seguridad y flexibilidad en estos temas.   

En definitiva, las amenazas pueden llegar a afectar los datos, las personas, los equipos, los programas, o en un caso extremo, a todos de ellos (desastres naturales, por ejemplo). ¿Qué es lo más crítico que debe protegerse? Sin dudarlo, y como respuesta inicial, las personas resultan el punto más crítico de protección. Nada vale más que una vida humana, y la organización puede reiniciar sus operaciones con un buen factor humano. En segundo caso, los datos son el elemento más crítico de la organización luego de los empleados.

Ahora, aunque el umbral de riesgo es escogido por los altos mandos para la configuración de las PSI, existen unos niveles de trabajo con la información que no pueden ser ignorados, y que deben aplicarse en todo momento para proteger la información. Estos niveles de ri se verán a continuación. 

 Niveles de trabajo con los datos.

Los niveles de datos son los siguientes:

·         Confidencialidad: se refiere a la protección de la información respecto al acceso no autorizado, sea en los elementos computarizados del sistema o en elementos de almacenamiento.

·         Integridad: Protección de la información respecto a modificaciones no autorizadas, tanto a la almacenada en los elementos computarizados de la organización como la usada como soporte. Estas modificaciones pueden llevarse a cabo de manera accidental, intencional, o por errores de hardware-software.

·         Autenticidad: Garantía de que el usuario autorizado para usar un recurso no sea suplantado por otro usuario.

·         No Repudio: Al ser transferida un conjunto de datos, el receptor no puede rechazar la Transferencia, y el emisor debe poder demostrar que envió los datos correspondientes.

·         Disponibilidad de los recursos y de la información: protección de los elementos que poseen la información de manera que en cualquier momento, cualquier usuario autorizado pueda acceder a ella, sin importar el problema que ocurra.

·         Consistencia: capacidad del sistema de actuar de manera constante y consistente, sin variaciones que alteren el acceso a la información.

·         Control de Acceso: posibilidad de controlar los permisos a cualquier usuario para acceder a servicios o datos de la organización.

·         Auditoría: capacidad para determinar todos los movimientos del sistema, como accesos, transferencias, modificaciones, etc., en el momento en que fueron llevados a cabo (fecha y hora). 

¿En que basar la estrategia de seguridad?

Si yo como responsable de la estrategia de seguridad de mi empresa fuera a realizarla, ¿en qué me debo basar? Afortunadamente para nosotros, existe un procedimiento o algoritmo muy conocido y usado para dirigir las estrategias de seguridad de una organización. Es conocido como el  algoritmo “Productor/ consumidor”.

¿Qué es este algoritmo? No es más que un modelo que permite observar las diversas vulnerabilidades de un sistema (niveles de trabajo), y a partid de ellos, permite hacer un análisis de los posibles pasos a seguir. 

El algoritmo está compuesto por 2 entidades: El productor y el consumidor. El productor es el encargado de crear la información,  y el consumidor es el encargado de recibir y usar la información. Existe una tercera entidad llamada “los otros”, que son aquellos que no están autorizados a recibir la información.

Si se establece una comunicación directa entre productor y consumidor, sin trabas, por un largo período de tiempo, diremos que hemos creado un sistema seguro.

Existen eventos o usuarios que pueden provocar alteraciones en esta comunicación. “El estudio de la seguridad, en pocas palabras, se basa en la determinación, análisis y soluciones de las alteraciones del algoritmo”

Ahora, con este modelo, podemos definir 4 tipos de alteraciones principales a este modelo, mostradas a continuación:

Hasta acá hemos usado de manera genérica el vocablo “recurso”, pero debemos definirlo de una manera correcta para poder seguir entendiendo el algoritmo productor/consumidor (o algoritmo P-C).

Los recursos se pueden definir como  todos aquellos bienes, de cualquier índole, que permiten el correcto funcionamiento y existencia de la organización.

De manera que podemos definir 3 tipos de recursos:

·         Físicos: compuestos por todo elemento físico que sostenga la información de la red, como computadores, impresoras, routers, servidores, switches, etc.

·         Lógicos: Todos aquellos recursos que contienen la  información de la organización, como bases de datos, listados, documentos, etc.

·         Servicios: son principalmente programas o aplicaciones que nos permiten realizar algún tipo de trabajo, como el correo electrónico, los procesadores de texto, etc.

Con este término claramente definido, procedemos a explicar cada una de las vulnerabilidades, teniendo en cuenta que cualquier acción que se lleve a cabo para mantener estable el modelo, tiene como objetivo atacar uno de los 4 casos.

Todas las acciones correctivas que se lleven a cabo con el fin de respetar el modelo estarán orientadas a atacar uno de los cuatro casos. Explicaremos y daremos ejemplos de cada uno de ellos.

El caso número uno es el de Interrupción. Este caso afecta la disponibilidad del recurso (tener en cuenta la definición de recurso: físico, lógico y servicio).

Por ejemplo:

El segundo caso es el de  Intercepción, en el cual se pone en riesgo la privacidad de los datos. 

 El tercer caso, Modificación afecta directamente la integridad de los datos que le llegan al consumidor.

El cuarto y último caso es el de la producción impropia de información. En éste, la información que recibe el consumidor es directamente falaz.

Una vez que estamos enterados de que hay sólo cuatro posibles casos de causas posibles de problemas, ¿Qué se hace? Hay que identificar los recursos dentro de la organización.

Saludos desde colombia.

Espero que les haya servido esta informacion.

Comentar es apoyar

PSI (Politicas de Seguridad Informatica) [Parte 1]

¿Qué son entonces las políticas de seguridad informática (PSI)?

Como hemos dicho anteriormente en repetidas ocasiones, el principio y final de toda red es el usuario. Esto hace que las políticas de seguridad deban, principalmente, enfocarse a los usuarios: “una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes”. Indican a las personas cómo actuar frente a los recursos informáticos de la empresa, y sobre todo, no son un conjunto de sanciones, sino más bien una descripción de aquello valioso que deseamos proteger y por qué.

¿Cuáles son los elementos de una política de seguridad informática?

 Si las decisiones tomadas en relación a la seguridad, dependen de las PSI, cada persona debe estar en disposición de aportar lo necesario para poder llegar a una conclusión correcta de las cosas que son importantes en la empresa y que deben ser protegidas. Es por esto que una PSI debe tener los siguientes elementos:

·         Rango de acción de las políticas. Esto se refiere a las personas sobre las cuales se posa la ley, así como los sistemas a los que afecta. 

·         Reconocimiento de la información como uno de los principales activos de la empresa.

·         Objetivo principal de la política y objetivos secundarios de la misma. Si se hace referencia a un elemento particular, hacer una descripción de dicho elemento.

·         Responsabilidades generales de los miembros y sistemas de la empresa.

·         Como la política cubre ciertos dispositivos y sistemas, estos deben tener un mínimo nivel de seguridad. Se debe definir este umbral mínimo.

·         Explicación de lo que se considera una violación y sus repercusiones ante el no cumplimiento de las leyes.

·         Responsabilidad que tienen los usuarios frente a la información a la que tienen acceso.

Ahora, aunque las PSI deben poseer estos elementos expuestos, también debe llevar, implícitos en cada ítem, algunas características:

·         Siempre se debe tener en cuenta cuales son las expectativas de la organización frente a  las PSI, qué es lo que espera de ellas en cuanto a seguridad y eficacia.

·         Siempre que se redacten, las PSI deben permanecer  libre de tecnicismos que dificulten su comprensión por parte de cualquier persona de la organización.

·         Cada política redactada, debe explicar el porqué se toma dicha decisión y por qué se protegen esos servicios o conocimientos particulares.

·         Toda PSI debe ser vigilada por un ente, una autoridad, que la haga cumplir y apique los correctivos necesarios. Sin embargo, no debe confundirse una PSI con una ley, y no debe verse como tal.

·         Así como las características y elementos de una empresa cambian, también deben hacerlo las PSI, por lo que debe tenerse en cuenta, al redactarlas, que deben establecer un esquema de actualización constante, que dependa de las características de la organización.

·         No hay nada obvio. Se debe ser explícito y concreto en cuanto a los alcances y propuestas de seguridad. Esto evita gran cantidad de malos entendidos, y abre el camino para el establecimiento de la política de seguridad específica. 

¿Cómo se establecen las políticas de seguridad? Recomendaciones.

Hemos revisado las características generales de las PSI y los elementos implícitos en cada observación, pero ¿tenemos un esquema de cómo formularlas o establecerlas? He acá entonces varias recomendaciones de cómo idearlas y llevarlas a cabo:

·         Antes que nada, se debe hacer una evaluación de riesgos informáticos, para valorar los elementos sobre los cuales serán aplicadas las PSI.

·         Luego, deben involucrarse, en cada elemento valorado, la entidad que maneja o posee el recurso, ya que ellos son los que tienen el conocimiento y la experiencia manejando ese elemento particular.

·         Después de valorar los elementos e involucrar al personal, debe explicarles cuales son las ventajas de establecer PSI sobre los elementos valorados, así como los riesgos a los cuales están expuestos y las responsabilidades que les serán otorgadas.

·         El siguiente paso es determinar quiénes son las personas que dan las órdenes sobre los elementos valorados en la empresa. Ellos deben conocer el proceso de las PSI, ya que sobre ellos recae la responsabilidad de los activos críticos.

·         Finalmente, deben crearse mecanismos para monitorear a los elementos valorados, las personas involucradas y los altos mandos directores de los elementos. Esto con el objetivo de actualizar fácilmente las PSI cuando sea necesario.

Proposición de una forma de realizar el análisis para llevar a cabo un sistema de seguridad informática

Antes que nada, se crea una base de análisis para el sistema de seguridad, que está basada en varios elementos:

·         Factor humano de la empresa

·         Mecanismos y procedimientos con que cuenta la empresa

·         Ambiente en que se desenvuelve la organización

·         Consecuencias posibles si falla la seguridad de la empresa

·         Amenazas posibles de la empresa.

Luego de evaluado todo este conjunto de elementos, que conforman la base del análisis del sistema de seguridad se procede a realizar el programa de seguridad,  El cual contiene todos los pasos a tomar para asegurar la seguridad deseada. Luego de realizado este programa, se pasa al  plan de acción, que posee todas las acciones a llevar a cabo para implantar el programa de seguridad. El paso siguiente es crear un manual de procedimientos y normativas,  que serán en suma la forma en la que cada elemento del programa debe ser aplicado en el elemento correspondiente, y las acciones a llevar a cabo luego de violada una norma.

Mientras los programas de seguridad, plan de acción y procedimientos son llevados a cabo, se debe ejercer un control y vigilancia de cada uno de ellos, para asegurar su realización. Este control debe ser auditado, con el propósito de generar los log files o archivos de evidencias, que pueden ser revisados en cualquier momento para analizar la forma en la que  fue llevado a cabo el control y poder generar cualquier cambio. La auditada realizada también sirve para generar  simulaciones  que permitan probar el sistema. Estas simulaciones pasan por una revisión que da fe del desempeño de las políticas de seguridad, y que ayuda a modificar las bases del análisis, así como el programa, plan y las normativas de seguridad.

El establecimiento de las políticas de seguridad es un proceso dinámico.

Saludos desde colombia.

Espero que les haya servido esta informacion.

Comentar es apoyar

Redes y seguridad [Taller 1]

Sucede que he ingresado a un curso de redes y seguridad informatica y he decidido compartirlo con ustedes.

Los invito a que ingresen tambien, no solo a este curso, sino a los cientos de cursos viirtuales que ofrece el SENA aqui en colombia. todos son mu buenos. este es el link: Sena virtual

No siemdo mas, empecemos.

___________________________________________________________

Caso real: Usted ha sido contratado en una empresa colombiana, llamada “En-core”, que presta servicios de investigación tecnológica para las empresas del país. Su sede principal se encuentra en Medellín, el mismo lugar donde, hipotéticamente, usted residirá. Esta empresa está en un proceso de expansión, por lo que andan construyendo 2 sucursales más en la misma ciudad, y una de ellas en la capital del país, Bogotá. Usted ha sido contratado para gestionar la seguridad de las redes de esta empresa, debido a que maneja datos críticos y secretos para la competencia. Usted tiene técnicos a su cargo, personal de mantenimiento, y un administrador de red por cada sede (4 en total). De acuerdo a esta situación, responda las siguientes preguntas:

Preguntas interpretativas

____________________________________________________________

1. Antes que nada, un gestor de seguridad debe entender de manera intuitiva los modelos de transmisión y recepción de información. Use una situación de la vida cotidiana, diferente a la expresada en la documentación, para explicarle a sus empleados los elementos del modelo de transmisión-recepción de información.

Capa de Aplicación. Si deseamos enviar una carta por correo ordinario empezaríamos escribiéndola en una hoja, como estamos ejecutando un proceso podemos comparar ese hecho con los programas que se manejan en la capa de aplicación, que sería cualquiera que te permita tratar con datos para después ser enviados por la red.
Capa de Presentación. Cuando escribimos la carta debemos saber que nuestro idioma será entendido por el receptor, sencillo para nosotros con sólo escribir en español, pero en las computadoras como se manejan diferentes protocolos debemos escoger el adecuado, ASCI, jpeg, gif, etc. ese es el trabajo de la capa 6.
Capa de Sesión, normalmente cuando enviamos una carta no necesitamos haber iniciado una conversación con anterioridad, pero imaginemos que enviaremos la misma a un club en donde se exige que en la primer carta se coloquen los datos de afiliación al club y demás contenidos que nos identifiquen como miembros. Ese es el trabajo de la capa 5 establecer mantener y terminar sesiones entre equipos remotos.
Capa de Transporte, siguiendo con el ejemplo de la carta, imaginemos que la misma es demasiado extensa, unas 100 páginas, y el correo sólo nos permite enviar 5 como máximo, deberemos separar entonces en grupos de 5 en 5, este proceso dentro del modelo se realiza con la PDU que se obtienen de las capas superiores: Los Datos, se reducen hasta convertirlos en pedazos manejables llamados Segmentos, entonces una de las tareas de esta capa es la de segmentar los datos en porciones manejables.
Capa de Red, ahora tenemos las cartas agrupadas de 5 en 5 dentro de un sobre que llamamos segmento, ¿cómo los haré llegar a su destino?, debo primero tener un sistema de direcciones que en el caso humano serían: nombre de ciudad, nombre de municipio, nombre de parroquia, código postal, dirección de calle y casa.
Capa de Enlace de datos, Ya tenemos nuestra carta con dirección de origen y destino, pero resulta que cuando llega a la ciudad a ser entregada existen diferentes oficinas de correo para distribuir el mismo, ellos también usarán un sistema de direccionamiento similar a la dirección del destinatario pero sólo disponible a nivel local, podría ser el caso del código postal, en donde existan diferentes trabajadores que tratarán las cartas con igual código. En el mundo de los computadores en esta capa se manejan las direcciones físicas (MAC), que sólo son útiles a nivel local. el dispositivo obtiene el paquete de la capa superior y lo vuelve a encapsular esta vez con direcciones físicas locales. El PDU de esta capa es la Trama que podemos definir como la encapsulación de un paquete con una dirección de capa 2.
Capa Física, esta capa representaría las rutas por donde se van a enviar las cartas, bien sean caminos (cable coaxial) carreteras (cable UTP/STP), autopistas (fibra optica), vía aérea (Wireless), etc. que interconectan el origen con el destino. Esta capa trata las tramas obtenidas de la capa superior y las maneja como Bits, por el medio físico, entoces su PDU sería: el bit.

2. Es objetivo principal del gestor de seguridad explicar el efecto de las políticas de seguridad informática. Explique a los directores de la empresa la siguiente expresión “Las PSI no generan un sistema más óptimo, ni más rápido, ni más eficiente a la hora de procesar información, pero son vitales para la organización”

Primero que todo. Que son las PSI:Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización.
Entonces, a partir de ahi, expliquemos:Las PSI, son muy importantes, por que tenemos que establecer normas y procedimientos para asegurar la información de los datos, nos ayuda a implementar medidas para detectar y detener ataques informáticos , visualizar errores, para que no puedan comprometer la integridad de los datos para la Organización.

Preguntas argumentativas

____________________________________________________________

1. La gestión principal de seguridad de una red se da en la capa 4 cuando se habla de elementos técnicos, y en la capa 8 cuando se habla de elementos administrativos. ¿Por qué?

Porque la capa 8, es la que inicialmente puede generar el error ya que esta es directamente al ingreso de los datos, el error humano se transmite atreves dela red (capa 4) puesto que esta transporta los datos ingresados.

2 ¿Por qué debemos tener en cuenta la capa 8 a la hora de generar una política de seguridad informática?

Por que como decíamos anteriormente es la seguridad delos datos y la veracidad de los mismos ingresados por el usuario (humano), ya sea por un administrador de Red o personal de confianza.

Preguntas propositivas

____________________________________________________________

1. De acuerdo con los tipos de redes existentes, y la estructura de la empresa en la que se encuentra, proponga la forma en la que los elementos deben interconectarse entre sí, tanto en los edificios, como entre las sedes de una misma ciudad, y a su vez con la sucursal en la capital. Defina el tipo de red por alcance, por topología, por dirección de los datos, y todas las características que considere deba tener la definición de la misma.

Para la implementacion de esta red, yo propondria una combinacion de WAN y LAN. La primera, para el enlace entre las ciudades y la segunda para el trafico local de la red. Ademas de servidores redundantes en cada una de las ciudades, por si se corta la comunicacion entre ellas.

2. Proponga un plan de trabajo de comunicación inicial, teniendo en cuenta los diversos problemas en capa 8, para explicar las medidas de seguridad que se impondrán. Tenga en cuenta que en este plan no debe estar incluído lo que se dirá, ni el porqué, sino solo los pasos a seguir para comunicar las PSI, las personas involucradas y prioritarias, los tipos de problemas que se cubrirán, etc.

Debemos cubrir el 100% de la información ingresada , controlaríamos de una mejor manera el personal humano que tiene acceso a la plataforma informativa y los recursos otorgamos para el ingreso de la información, son los Administradores quienes tienen la mayor responsabilidad de la manipulación de los datos y los Gerentes quienes otorgan responsabilidades a los Administradores, tiene mayor responsabilidad en la seguridad.cubrirán, etc.

Bueno, hasta aqui el cuestionario de esta semana, Hasta la proxima.

Saludos desde colombia.

COMENTAR ES APOYAR