Políticas de Seguridad de la Información - bps.gub.uy · Es una debilidad de un activo o de un...
Transcript of Políticas de Seguridad de la Información - bps.gub.uy · Es una debilidad de un activo o de un...
Políticas de Seguridad de la Información
• Capacitación/Concientización sobre las Políticas de Seguridad de la Información del BPS.
• Objetivo: conocer, entender y poner en prácticas las Políticas de Seguridad de la Información.
• Duración: 1 jornada.
• Capacitadores (integrantes de CSEI-GSEG): – Alvaro Arias
– Martin Uberti
– Mauricio Papaleo
• Evaluación: 1 cuestionario de múltiple opción.
2
• Introducción
• Políticas de Seguridad de la Información
• Marco Conceptual y Estructura documental
• Ciclo de vida de las Políticas y Plan de Trabajo
• Definiciones
• Políticas Específicas
• Referencias
• Preguntas
Agenda
3
• Introducción
• Políticas de Seguridad de la Información
• Marco Conceptual y Estructura documental
• Ciclo de vida de las Políticas y Plan de Trabajo
• Definiciones
• Políticas Específicas
• Referencias
• Preguntas
Agenda
4
Video
5
CNN Chile Ataques cibernéticos nos generan nuevos interrogantes sobre Seguridad de la Información Duración 2:23
Trabajo Grupal
Intente enumerar, al menos 10 problemas relacionados con la Seguridad de la Información, más críticos con respecto a su impacto.
6
Duración: 10 minutos
Introducción
La Información
• La información es uno de los
activos más importantes en
el mundo actual.
• El uso intensivo de herramientas informáticas para tratar esa información es una realidad actual en todas las organizaciones, pero acarrea nuevas problemáticas.
7
Introducción
Problemáticas • Variedad de vulnerabilidades y
amenazas, como la aparición de fallas de seguridad informática tanto por aspectos técnicos como por cuestiones humanas, operativas, etc..
• La seguridad debe ser encarada como un todo (personas, procesos, herramientas) y debe existir un compromiso muy fuerte de la alta gerencia.
8
Introducción Además…
Existen normas establecidas: • Secreto Tributario • Secreto Bancario • ………
Y nuevas leyes que comienzan a incorporar temas del tratamiento de la información: • Ley 18.331 Protección de Datos Personales y Acción de
Habeas Data • Ley 18.381 Derecho de Acceso a la Información Pública • Ley 18.600 Documento Electrónico y Firma Electrónica • Decretos del Poder Ejecutivo:
• N°450/2009 Gobierno Electrónico en Red • N°451/2009 Reglamentación Centro Nacional de
Respuesta a Incidentes de Seguridad Informática • N°452/2009 Política de Seguridad de la
Información para Organismos de la Administración Pública
9
Introducción
Volviendo a las problemáticas… • ¿Que son las vulnerabilidades? Es una debilidad de un activo o de un
grupo de activos, que puede ser explotada por una o más amenazas.
• ¿Que son las amenazas? Son una causa potencial de un
incidente indeseado, que puede dar lugar a daños a un sistema o una organización. Las amenazas “explotan” vulnerabilidades.
10
Introducción
Amenaza
Naturales Incendios,
terremotos, inundaciones
Humanas
Maliciosas
Internas
Externas
No Maliciosas Impericia
11
Introducción
¿Por qué aumentan las amenazas? • Rédito económico • Falta de capacitación • Técnicas de ingeniería social • Mayor dependencia de los sistemas
informáticos • Crecimiento exponencial de redes y
usuarios • Inmadurez de nuevas tecnologías • Alta disponibilidad de herramientas
automatizadas para el ataque • Nuevas técnicas de ataques distribuidos
12
Introducción
¿Y en Uruguay?
13
• 2010: se supo de 23 ataques informáticos graves. Fuente: CERTuy
• Fiscal Mirtha Guianze: 2 veces le robaron el laptop con información confidencial.
• Se detectaron ataques de phishing que cobraban la plata a través del BROU.
• Sitios web atacados: Ministerio del Interior, Ministerio de Turismo, Ministerio de Ganadería…
• Introducción
• Políticas de Seguridad de la Información
• Marco Conceptual y Estructura documental
• Ciclo de vida de las Políticas y Plan de Trabajo
• Definiciones
• Políticas Específicas
• Referencias
• Preguntas
Agenda
15
Políticas de Seguridad de la Información
¿Por qué tener Políticas de Seguridad de la Información?
• Aumenta el nivel de seguridad en las organizaciones
• Permite mejorar la planificación de actividades relacionadas
• Permite la mejora continua
• Aumento el Involucramiento
• Incrementa el Conocimiento
• Permite mejorar el cumplimiento
de Leyes y Decretos
16
Políticas de Seguridad de la Información
Políticas de Seguridad de la Información • Buscan garantizar condiciones y características
de los datos y la información basándose en: – Confidencialidad: que la información sea
accesible solo por aquellas personas autorizadas.
– Integridad: en el sentido de salvaguardar la exactitud y totalidad de la información así como los métodos de procesamiento y transmisión.
– Disponibilidad: que solo los usuarios autorizado tengan acceso a la información (y a los recursos relacionados) cada vez que lo necesiten.
18
Políticas de Seguridad de la Información
Contexto BPS • Preocupación constante por la
Seguridad de la Información desde las áreas funcionales e informáticas.
• Implantación de diferentes tipos de controles de forma progresiva a lo largo del tiempo.
• Auditorías internas llevadas a cabo con tales objetivos y diferentes consultorías (Ej. KPMG – 2004).
• Creación del Grupo de Trabajo (R.D. 33-15/2006 de 20/09/06) creado por el Directorio para la definición, difusión, gestión y control de la Política de Seguridad Corporativa.
19
Políticas de Seguridad de la Información
El Grupo de Trabajo esta integrado por: • Auditoría Interna (coordinación) • Administración • Asesoría en Informática y Tecnologías (ASIT) • Coordinación de Servicios Informáticos (CSEI) ¿Que hicimos a nivel de CSEI?: creación del área Gestión de Seguridad. Luego, como parte de este Grupo de Trabajo, ASIT Y CSEI presentaron una propuesta de Políticas de Seguridad de la Información.
20
• Introducción
• Políticas de Seguridad de la Información
• Marco Conceptual y Estructura documental
• Ciclo de vida de las Políticas y Plan de Trabajo
• Definiciones
• Políticas Específicas
• Referencias
• Preguntas
Agenda
21
¿Por qué Políticas de Seguridad de la Información en el BPS?
• La Seguridad de la Información debe de estar en el núcleo de cualquier programa de Seguridad.
• Necesidad de complementar los controles tecnológicos con buenas prácticas por parte de los funcionarios.
• Capacitación, formación y sensibilización son elementos fundamentales.
• Reconocimiento de que la seguridad es importante para el BPS y que debe ser un compromiso de todos sus funcionarios.
Marco Conceptual y Estructura Documental
22
Beneficios • Proveen una forma recomendada de cómo
manejar la seguridad de la información. • Base sólida, escalable y común para aplicar
a lo largo y ancho de todo el BPS. • Aumentan la concientización sobre la
seguridad en todos los funcionarios. • Permiten mostrar cumplimientos de leyes,
normas y reglas establecidas a nivel nacional e internacional establecidas para la protección de activos vitales.
• Permiten ser medibles, controlables y mejorables, por estar basadas en estándares internacionales.
Marco Conceptual y Estructura Documental
23
Marco Conceptual y Estructura Documental
Consideraciones tomadas • Concisa, fácil de entender. • Que indicara claramente por qué es importante la Seguridad de la
Información en el BPS. • Que incluyera lo que esta permitido y lo que no, las responsabilidades
involucradas y las posibles sanciones. • Que permitiera un fácil mantenimiento (son documentos «vivos»).
• Utilizar un enfoque iterativo, comenzando con las de más impacto y una adopción gradual.
• Que mantuviera un equilibrio razonable entre los niveles de protección y los de productividad
24
ARQ -
TOGAF
Proceso Desarroll
o SW - RUP
Gestión de Proyectos - PMI
Gestión de Calidad - Deming
Medición y Análisis - CMMI
Gestión de Servicios ITIL/ISO
20000
Niveles de madurez - CMMI
PLAN CALIDAD
CSEI
Políticas Seguridad de la Información ISO 27000
UNIT-ISO/IEC 20000
UNIT-ISO/IEC 27002
UNIT-ISO/IEC 18044
Marco Conceptual y Estructura Documental
Marco Conceptual
25
Marco Conceptual y Estructura Documental
Estructura Documental • Política General con principios y
compromisos generales a nivel de la Seguridad de la Información
• Políticas Específicas orientando grandes temas o subtemas particulares pautando comportamiento
• Normas o Estándares para el uso de determinadas tecnologías.
• Procedimientos detallados de implementación en ambientes operativos.
26
Marco Conceptual y Estructura Documental
Política General
Apoya los principios y compromisos de la Política de Seguridad Corporativa en lo relacionado con la Seguridad de la información.
27
(RD 40-3/2010 22/12/2010)
Marco Conceptual y Estructura Documental
Políticas Específicas
• Forman parte de la Política de Seguridad de la Información y tienen el mismo nivel de obligatoriedad.
• Orientadas a grandes temas o subtemas particulares pautando el comportamiento que en cada caso se debe de cumplir.
28
Marco Conceptual y Estructura Documental
Normas o Estándares • Son documentos específicos para el
uso de determinadas tecnologías de forma uniforme en el BPS, con la finalidad de alcanzar las Políticas Especificas definidas.
• Se basan en documentos publicados por la Administración de Normas y Estándares Informáticos de la ASIT
29
Marco Conceptual y Estructura Documental
Procedimientos
Expresan en forma detallada como deben implantarse las políticas específicas sustentadas por los Estándares y las Mejores Prácticas, en un ambiente operativo determinado.
30
Marco Conceptual y Estructura Documental
Políticas Especificas Cifrado de Datos Conexión de Usuarios Externos Plan de Contingencia Informática Control de Acceso Lógico Correo Electrónico Equipos Móviles Estaciones de Trabajo Manejo de Medios Removibles Respaldos Retiro y Trasiego de Equipamiento Informático Uso de Internet Privacidad y Uso en Internet Gestión de Incidentes de Seguridad de la Información
31
(RGG 170/2011
07/06/2011)
• Introducción
• Políticas de Seguridad de la Información
• Marco Conceptual y Estructura documental
• Ciclo de vida de las Políticas y Plan de Trabajo
• Definiciones
• Políticas Específicas
• Referencias
• Preguntas
Agenda
32
Ciclo de Vida de las Políticas y Plan de Trabajo
Ciclo de Vida de las Políticas
• Las Políticas deben tener un ciclo de vida donde se revisen y corrijan constantemente.
• No son ESTATICAS sino que se van modificando conforme las necesidades del negocio y/o las tecnologías van cambiando.
33
Ciclo de Vida de las Políticas y Plan de Trabajo
Plan de Trabajo • Redacción inicial. • Revisión Legal. • Revisión Gerencial (CSEI-ASIT).
• Adopción de las Políticas por el BPS (R.D. 40-3/2010 de 22/12/10).
• Establecimiento del Periodo de Gracia (1 año) para comenzar a controlarlas.
34
Concientización
Implantación
Auditorías
Ciclo de Vida de las Políticas y Plan de Trabajo
Plan de Trabajo 2011-2012:
• Aprobación por GG de las Políticas Específicas.
• Concientización y Capacitación a todos los funcionarios (presencial y online).
• Redacción de la «última milla» (PROCEDIMIENTOS).
• Implantación del Proceso de Gestión de Incidentes de Seguridad.
2012-2013 y más allá:
• Implementación de los Procedimientos (Controles).
• Recepción de Incidentes
• Auditorias.
• Ciclo de Vida.
35
Trabajo Grupal
• Enumere 5 problemas que consideren graves en materia de Seguridad de la Información en el BPS.
• Enumere 5 actividades que considera que ayudan a mejorar la Seguridad de la Información en el BPS.
38
Duración: 15minutos
• Introducción
• Políticas de Seguridad de la Información
• Marco Conceptual y Estructura documental
• Ciclo de vida de las Políticas y Plan de Trabajo
• Contenido y Definiciones
• Políticas Específicas
• Referencias
• Preguntas
Agenda
39
Contenido y Definiciones ¿Qué contiene la Política de Seguridad de la
Información del BPS ?
• El reconocimiento de la importancia de identificar y proteger activos de información por parte del Directorio.
• El compromiso de implementar las medidas de Seguridad comprendidas en la Política.
• Como será la implantación de la Política.
• La estructura de los documentos.
• Las responsabilidades.
• Define el alcance y el cumplimiento.
40
Contenido y Definiciones
Responsabilidades Todos los funcionarios
Cumplimiento de las Políticas
Gerentes Nivel 1 y todos los funcionarios con niveles de supervisión Verificar el cumplimiento por parte del personal a su cargo
Gestión de Seguridad Implementar las acciones que se desprendan de las Políticas Especificas
Unidad de Auditoría Interna Practicar auditorias periódicas sobre sistemas y actividades vinculantes
42
Contenido y Definiciones
Alcance y Cumplimiento
• Todos los funcionarios y usuarios de la información y las empresas contratadas.
• Usuarios Externos.
• Sanciones de acuerdo al marco vigente y aplicable: Reglamento de Responsabilidad Administrativa.
43
Contenido y Definiciones
¿Cómo se implementan?
• Mediante un conjunto de controles – Procedimientos, buenas prácticas.
– Funciones de software e infraestructura
• ¿Que implica?: – Rol activo de todos los funcionarios
– Capacitar/Concientizar
– Establecer objetivos de mejora continua
– Cumplir con requisitos legales y contractuales
44
Contenido y Definiciones
Activo de Información.
Activo de Tratamiento de la Información.
Propietario de un Activo/Activo de Tratamiento de la Información.
Sistema de Autorizaciones Corporativo.
Dueño de un Identificador.
Spam.
45
Contenido y Definiciones
Activo de Información
• archivos, bases de datos, documentación, manuales, procedimientos, planes de continuidad, información de configuración y cualquier otro componente de la misma categoría.
Activo de Tratamiento de la Información
• Software de aplicación, software del sistema, herramientas y programas de desarrollo.
46
Contenido y Definiciones
Propietario de un Activo/Activo de Tratamiento de la Información
• Funcionario del BPS a quien se ha designado como propietario de un Activo/Activo de Tratamiento de la Información del BPS.
Sistema de Autorización Corporativo
• Sistema informático que centraliza los permisos de acceso a las distintas funcionalidades de los Activos de Tratamiento de la Información.
47
Contenido y Definiciones
Dueño de un Identificador
• Persona o Sistema a quien se le asigno un identificador y contraseña para su uso exclusivo y entera responsabilidad.
SPAM
• Mensaje electrónico no solicitado enviado en forma masiva. Sus contenidos pueden variar, siendo los más comunes: publicidad, pedidos de ayuda, ventas, ofertas.
48
Contenido y Definiciones
HOAX (ó bulo informático) • Con este término inglés se hace referencia a un correo electrónico que
nos llega con contenido falso o engañoso y atrayente. Generalmente es distribuido en cadena por sus sucesivos receptores a todos sus contactos debido a su contenido impactante que parece provenir de una fuente seria y fiable o porque el mismo mensaje pide ser reenviado.
• Las personas que crean el bulo suelen tener como objetivo captar direcciones de correo (para luego sí mandar spam, virus, mensajes con suplantación de identidad o más hoax a gran escala) o confundir y manipular a la opinión pública de la sociedad.
• Básicamente, los bulos u hoax pueden tratar temas tales como: alertas sobre virus incurables, rumores sobre personas, instituciones o empresas, mensajes de temática religiosa, cadenas de solidaridad, cadenas de la suerte, métodos para hacerse millonario, regalos de grandes compañías y leyendas urbanas entre otros.
49
• Introducción
• Políticas de Seguridad de la Información
• Marco Conceptual y Estructura documental
• Ciclo de vida de las Políticas y Plan de Trabajo
• Contenido y Definiciones
• Políticas Específicas
• Referencias
• Preguntas
Agenda
50
PSE 01 – Cifrado de Datos
PSE 01 – Cifrado de Datos • Objetivo:
Establece lineamientos para el tratamiento de datos que por su clasificación requieran un mayor nivel de seguridad para asegurar la confidencialidad, autenticidad e integridad.
• Alcance: Todos los Activos de la Información que contengan datos del BPS y cuya clasificación amerite el cifrado de los mismos.
51
PSE 01 – Cifrado de Datos
¿Que significa cifrado de datos? El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo mediante la transformación del contenido, de manera que sólo pueda leerlo la persona que cuente con la herramientas y autorización adecuada para poder verlos.
Ejemplos Ingreso a aplicaciones web (https) Firma y encriptado de Correo Electrónico, Word. Encriptado del disco duro. Respaldos encriptados.
52
PSE 02 – Conexión de Usuarios Externos
PSE02 – Conexión de Usuarios Externos Orientado a personas físicas y jurídicas que realizan actividades con el BPS mediante los Servicios en Línea.
El propósito es impedir que usuarios no autorizados accedan a información a la cuál no tienen autorización, protegiendo adecuadamente la conexión y los servicios.
54
PSE 02 – Conexión de Usuarios Externos
• Alcance
Sistemas de autorización y autenticación.
A los sectores que gestionan y desarrollan estas aplicaciones.
A las áreas que suministran usuarios a personas, físicas ó jurídicas y sistemas externos al BPS
55
PSE 02 – Conexión de Usuarios Externos
Gestión de las solicitudes Debe existir un procedimiento formal, con conocimiento para
los Propietarios de los Activos de Información y Activos de Tratamiento de la Información.
Se debe de manejar la gestión completa del ciclo: solicitud, aprobación, modificación, revocación y notificación.
Principio de la mínima autorización necesaria.
Autenticación Posibilidad de utilizar diferentes tecnologías.
Ciclo de vida de las Contraseñas y Alta Seguridad para las mismas.
56
PSE 02 – Conexión de Usuarios Externos
Autorización
Utilización del Sistema Corporativo de Autorizaciones (SCA).
Principio de la mínima autorización necesaria
Lo único habilitado es lo que esta en el SCA
Auditoria
Quien, que, cuando, donde, eventualmente por qué y cómo.
57
PSE 02 – Conexión de Usuarios Externos
Ejemplos
• Contratos de acceso a los Servicios en Línea
• Sistema de Autorizaciones Corporativas.
58
PSE 03 – Control de Acceso Lógico
PSE03 – Control de Acceso Lógico Orientado a los funcionarios y personal contratado. Pautas de seguridad para proteger el acceso a los Activos de la Información y a los Activos de Tratamiento la Información del BPS, previniendo pérdidas, daños, hurtos y preservando la confidencialidad, integridad y disponibilidad de la información del BPS. Se logra mediante adecuados controles en:
• Ciclo de Vida de las Solicitudes de Autorizaciones • Autenticación, • Autorización y • Auditoria
60
PSE 03 – Control de Acceso Lógico
• Alcance
Procedimientos de brindar acceso a los Activos y Activos de Tratamiento de la Información.
Todos los identificadores y contraseñas.
Las autorizaciones a los Activos y Activos de Tratamiento de la Información
Trazas de auditoría
61
PSE 03 – Control de Acceso Lógico
Gestión de Solicitud Debe de existir en el procedimiento una aprobación previa.
Jerarca inmediato es el responsable del ciclo de vida (inicio/modificación/baja de la solicitud de acceso) y debe de realizar un proceso de revisión periódica.
Siempre utilizar el principio de la mínima autorización necesaria para la tarea a desarrollar al solicitar las autorizaciones.
Siempre debe de existir la comunicación al Propietario.
No se permite acceso a producción de personal de áreas de Tecnología.
Identificación y Autenticación Uso exclusivo del Dueño – personal e intransferible.
Ciclo de vida de las Contraseñas y Alta Seguridad para las mismas.
62
PSE 03 – Control de Acceso Lógico
Autorización Utilización del SCA
Principio de la mínima autorización necesaria
Lo único habilitado es lo que esta en el SCA
Auditoria Quién, qué, en qué, cuándo, dónde, desde dónde, hacia
dónde de todos los accesos recibidos.
Se debe de tener una auditoría específica de los accesos a los Activos de la Información y Activos de Tratamiento de la Información del personal de las áreas de Tecnología.
63
PSE 03 – Control de Acceso Lógico
• Otros medios Procedimiento formal específico para la compra,
instalación y configuración de componentes de hardware y software.
El acceso a otros video, fotocopiadoras, scanner debe ser establecido.
El acceso equipos móviles y módems, solo se podrá realizar con la autorización de la Gerencia General, bajo la justificación debida del Gerente N1.
64
PSE 03 – Control de Acceso Lógico
Ejemplos Conexión a los sistemas del Banco
Solicitud de usuario y contraseña cuando prendemos el PC
65
Video
Buenas prácticas para elegir las contraseñas!
http://www.explania.com/en/animations/detail/how-to-choose-a-safe-password
66
PSE 04 – Correo Electrónico
PSE04 – Correo Electrónico Herramienta de trabajo proporcionada por el BPS para la actividad laboral de sus funcionarios Permite la comunicación dentro y fuera del BPS
• Objetivo Proteger la información del BPS en el uso del correo
electrónico Optimizar el uso de los recursos de la red Resguardar la imagen y el prestigio institucional
• Alcance TODOS los funcionarios autorizados a usar correo
electrónico.
67
PSE 04 – Correo Electrónico
Uso individual, siendo considerado propiedad del BPS.
Correo interno es universal, correo externo solo con autorización.
Destinado a fines laborales exclusivamente.
Individual e intransferible.
No esta permitido acceder a comunicaciones de otros usuarios.
Esta prohibido enviar spam, cadenas, etc., o cualquier tipo de material considerado ilegal, obsceno, malicioso, etc.
En caso de incidentes, investigaciones, está permitido el acceso.
En caso de envío de información crítica, se deben de tomar las medidas apropiadas.
68
PSE 04 – Correo Electrónico
Esta prohibido falsear la identidad de un correo.
No esta permitido abrir correos ni archivos adjuntos provenientes de medios y/o personas desconocidas.
El correo es un medio limitado:
Eliminar los mensajes que no sean necesarios
No usar el sistema de correo como administrador de archivos
69
PSE 04 – Correo Electrónico
Ejemplos
Enviar spam, cadenas
Enviar archivos «grandes» -utilizar carpetas-
Abrir correo de spam
70
PSE 05 – Equipos Móviles
PSE05 – Equipos Móviles Equipos que tienen la particularidad de poder llevarse a cualquier parte y conectarse a alguna red (ej.: laptops, netbook, teléfonos celulares).
• Objetivo Generar pautas que regulen la asignación y utilización del
equipamiento móvil del BPS Implementación de medidas de seguridad para resguardar la
información
• Alcance Todas las dependencias del BPS Uso en forma individual o colectiva por parte de funcionarios
o personal con autorización
72
PSE 05 – Equipos Móviles
Deben de contar con una adecuada protección física. Deben implementar medidas de control de acceso. Deben de utilizar técnicas de cifrado seguras Se debe de prestar atención al respaldos de la información. Deben de contar con protección contra virus y malware Contiene reglas y sugerencias sobre redes potencialmente peligrosas
y exposición de información en lugares de uso público Se debe de establecer un procedimiento para solicitud, retiro y
devolución de estos equipos. La información del equipo se deberá destruir de forma segura (al final
de su vida útil) Solo personal autorizado podrá realizar reparaciones y
mantenimientos (no instalar/desinstalar). Solo equipos móviles otorgados por el BPS podrán tener un acceso
irrestricto a la red del BPS
73
PSE 05 – Equipos Móviles
Ejemplos
Encriptar la información del disco.
No dejarlos en lugares indebidos.
No utilizarlo para otros fines que los laborales.
74
PSE 06 – Estaciones de Trabajo
PSE06 – Estaciones de Trabajo Computadora personal de escritorio o PC (y los periféricos que están conectados a ésta) que permite acceder a servidores y otros equipos conectados a la red. Proporcionados para apoyar el cumplimiento de su misión • Objetivo
Pautas de Seguridad para proteger y prevenir perdidas, daños, hurtos; evitando el compromiso de los recursos.
Preservar la continuidad de las actividades informáticas del BPS
• Alcance Todas las dependencias del BPS Funcionarios o personal con autorización que accedan de forma
individual o compartida.
75
PSE 06 – Estaciones de Trabajo
Forman parte del inventario.
Son para un uso determinado; cualquier otro uso es considerado indebido.
Debe de ser ubicado y protegido de forma de reducir las oportunidades de daños.
Solo personal autorizado puede realizar mantenimiento, instalación/desinstalación.
Prohibido instalarle dispositivos.
Prohibido utilizarlo para conseguir acceso no autorizado.
76
PSE 06 – Estaciones de Trabajo
Son de uso individual. Si se comparten, cada funcionario utilizará su usuario y contraseña.
Deberán contar con:
Cifrado seguro (determinados equipos).
Protección contra virus y malware
Control de Acceso.
La información que contiene, al llegar al final de su vida útil, será destruida de forma segura.
77
PSE 06 – Estaciones de Trabajo
Ejemplos
Bloquear siempre la estación de trabajo.
No permitir que otro la utilice con mi usuario.
No instalar ningún software/hardware.
Reportar cualquier comportamiento sospechoso.
78
PSE 07 – Manejo de Medios Removibles
PSE07 – Manejo de Medios Removibles Permiten almacenar información para ser transportada (ej.: cintas, discos, memorias flash (flash disk), pendrives).
• Objetivo
Evitar la divulgación, modificación, borrado o destrucción indeseada de la información
• Alcance
Todos los usuarios de medios magnéticos o electrónicos removibles
80
PSE 07 – Manejo de Medios Removibles
Solo se podrán utilizar medios magnéticos o electrónicos removibles que pertenezcan al BPS.
La adquisición y uso debe autorizarse si existen razones de funcionamiento.
Se deberá bloquear el uso de dispositivos en los puestos de trabajo que no sean necesarios o no pertenezcan al BPS
Deben de existir procedimientos de solicitud, entrega, devolución y destrucción.
81
PSE 07 – Manejo de Medios Removibles
Ejemplos Encriptar la información. Tener mucho cuidado con el
manejo. Utilizar solamente los
brindados por el BPS. Al fin de la vida útil,
destruirlos adecuadamente.
82
PSE 08 – Plan de Contingencia Informática
PSE08 – Plan de Contingencia Informática
El desarrollo e implementación de un Plan de Contingencia Informática es una herramienta básica para garantizar que las actividades informáticas del BPS, puedan restablecerse dentro de los plazos requeridos para la continuidad.
83
PSE 08 – Plan de Contingencia Informática
• Objetivo El objetivo de esta Política es minimizar interrupciones y proteger el normal funcionamiento de los Activos de la Información y Activos de Tratamiento de la Información críticos en los servicios del BPS contra los efectos de fallas de ellos o contra desastres, hasta un nivel aceptable mediante la combinación de diferentes controles. • Alcance Todos los Activos y Activos de Tratamiento de la Información identificados en el BPS y considerados críticos.
84
PSE 08 – Plan de Contingencia Informática
Deberá estar coordinado con el Plan de Recuperación del Negocio Actividades y Tareas que deberá incluir: Inventario de los Activos de Información y de los
Activos de Tratamiento de la Información, con su criticidad asociada y tiempo de indisponibilidad.
Análisis de riesgos del Inventario. Desarrollo e implementación. Estructura para la Planificación. Pruebas, mantenimiento y reevaluación. Capacitación a los funcionarios para su aplicación.
85
PSE 08 – Plan de Contingencia Informática
Propietarios de los Activos de Información y de los Activos de Tratamiento de la Información: responsabilidad de evaluar la criticidad y tiempo máximo de indisponibilidad de los activos a su cargo.
Seguridad de la Información: participará en la clasificación, el análisis de riesgos, la definición, desarrollo, estructura, implementación, prueba y actualización.
Áreas informáticas en general: responsabilidad de participar en el análisis de riesgo, en la implementación del Plan, así como en las pruebas, mantenimiento, reevaluación y actualización
86
PSE 08 – Plan de Contingencia Informática
Ejemplos
Clasificar adecuadamente los Activos
Calcular correctamente su tiempo de indisponibilidad.
Integrar el PCI con los procesos de Gestión de forma de hacerlo mantenible.
87
PSE 09 – Privacidad y Uso en Internet
PSE09 – Privacidad y Uso en Internet Es una política muy «particular», esta orientada a los usuarios externos. El objetivo es determinar cuáles son las prácticas relacionadas con la información de los Servicios del BPS en Internet, conteniendo el tipo de información que se recopila y de la que se hace un seguimiento y de qué modo se la utiliza. Describe otros asuntos importantes referidos a la privacidad y las normas de acceso y uso que deben de respetar los usuarios al ingresar.
88
PSE 09 – Privacidad y Uso en Internet
• Alcance Esta política tiene como alcance todos los Servicios del BPS
brindados en Internet, tanto para personas físicas como jurídicas. Consentimiento implícito -> sino no utilizar los Servicios. Se explicita la información que es recolectada en los sitios web Se explicita como se utiliza la información personal Se explica como el BPS maneja Seguridad de la Información en
Internet. La responsabilidad con respecto a vínculos a sitios que no pertenecen
a BPS Y se le indican ciertas normas de acceso y uso obligatorias:
Acceso Identificación del usuario Finalidad de Uso Obligaciones con respecto a los equipos y sistemas informáticos del BPS. No realizar actividades contrarias a la ley, la moral y el orden público El respeto por los Derechos de autor (copyright)
89
PSE 09 – Privacidad y Uso en Internet
Ejemplos Los Servicios en Línea del BPS
toman información del puesto del usuario para estadísticas cada vez que se ingresa.
El BPS protege la información de forma de cumplir con las leyes.
Los usuarios externos deben de respetar las reglas para su utilización.
90
PSE 10 – Respaldo de la Información
PSE10 – Respaldo de la Información
Una respaldo o backup (su nombre en Inglés) es una copia de seguridad - o el proceso de copia de seguridad - con el fin de que estas puedan utilizarse para restaurar los datos originales después de una eventual pérdida.
91
PSE 10 – Respaldo de la Información
• Objetivo
Establecer pautas para respaldar la información del BPS, previniendo pérdidas y/o destrucción de la misma
• Alcance
Todos aquellos activos de información soportados en medios informáticos
92
PSE 10 – Respaldo de la Información
Se debe garantizar la reconstrucción de la información al estado en que se encontraba al momento de producirse su pérdida o destrucción. Debe incluir todo! ¿Qué es todo? - Se debe de definir. ¿Qué debe incluirse en un respaldo? – Todo lo que implique y sea necesario para asegurar su continuidad ¿Cuánto tiempo debe de guardarse? - Se deberán tener en cuenta requerimientos legales. La metodología debe estar documentada
93
PSE 10 – Respaldo de la Información
Deben probarse regularmente.
Cifrado de respaldos si la clasificación lo amerita.
Generar logs para su control.
Considerar análisis de requerimiento de resguardado y recuperación en tiempo de análisis.
La información en estaciones de trabajo no se respalda.
No usar medios de almacenamiento más allá de su vida útil.
Periodos de guarda de acuerdo a normativa.
94
PSE 10 – Respaldo de la Información
Ejemplos: Tener claros los tiempos
de recuperación del Activo de Información.
Para información crítica se deberá utilizar almacenamiento corporativo centralizado.
Resguardarlos adecuadamente.
95
PSE 11 – Retiro y Trasiego de Equipamiento Informático
PSE11 – Retiro y Trasiego de Equipamiento Informático Es la actividad de trasladar equipos informáticos de un lugar a otro, ya sea para su arreglo, como para su nueva ubicación; debe ser reglamentado a efectos de evitar pérdidas, hurtos, etc. Objetivo Establecer pautas de seguridad para proteger los equipos
informáticos cuando estos deban ser retirados o trasladados tanto dentro como fuera del BPS.
Alcance Aplica a todas las dependencias del BPS y empresas contratadas
y comprende el retiro y trasiego de equipos informáticos por parte de los funcionarios del BPS y del personal con autorización para hacerlo.
96
PSE 11 – Retiro y Trasiego de Equipamiento Informático
El equipamiento no debe salir del BPS sin previa autorización.
Establecer procedimientos para retiro y reingreso.
Establecer procedimientos para el trasiego.
Establecer procedimientos para el retiro definitivo por rotura u obsolencia
97
PSE 11 – Retiro y Trasiego de Equipamiento Informático
Ejemplos:
Cambio de un funcionario de una sección a otra.
Ingreso y salida con el notebook del BPS.
Traslado a reparación de equipamiento.
98
PSE 12 – Uso de Internet
PSE12 – Uso de Internet El uso de Internet permite el acceso a sitios Web mediante la utilización de un Navegador Web, y las personas puede colaborar y compartir información online. Mientras que en la primera generación de la Web los usuarios se limitaban a consumir información, en la Web actual los usuarios pueden además crear, como por ejemplo en la participación en Blogs o Wikis o redes sociales tipo Facebook, etc. La diversidad de posibilidades que ofrece Internet permite facilitar muchas de las actividades de los funcionarios del BPS, pero es importante resaltar que también conlleva riesgos.
99
PSE 12 – Uso de Internet
• Objetivo
Reducir los riesgos asociados al uso de las tecnologías relacionadas con Internet
• Alcance
Todas las dependencias del BPS y a todos los funcionarios que tengan autorización para el uso de Internet
100
PSE 12 – Uso de Internet
Uso individual Acceso con fines laborales y con autorización de
jerarquía habilitadora. No se permite descarga ni instalación de software Se permite el bloqueo de acceso a sitios inapropiados. Se pueden realizar monitoreo de las conexiones por
parte de los usuarios. No se deben probar los mecanismos de seguridad. Acceso a cuentas de correos personales no esta
permitido Único acceso a internet es brindado por el Organismo
101
PSE 12 – Uso de Internet
Control de Acceso Conexión solo mediante usuario de red y utilizando
contraseña actual para autenticarse Usuarios son responsables de resguardar el acceso a los
recursos informáticos Privacidad Todo puede ser monitoreado y revisado. Confidencialidad Prohibido dar opiniones a titulo del BPS en Internet. Disponibilidad del servicio No hay responsabilidad en fallas ajenas al BPS
102
PSE 12 – Uso de Internet
Ejemplos:
Descarga de programas
Utilización de Internet en redes sociales.
Utilización solo con autorización de N1 y GG.
Utilización de Servicios de otras empresas.
Uso de módems 3G
103
• Introducción
• Políticas de Seguridad de la Información
• Marco Conceptual y Estructura documental
• Ciclo de vida de las Políticas y Plan de Trabajo
• Contenido y Definiciones
• Políticas Específicas
• Referencias
• Preguntas
Agenda
105
Referencias
• ISO/IEC 20000-27001-27002-18044 • Charlas CERTuy 2009 – “Normas UNIT-ISO/IEC 20000-27002-18044:
Integración de Procesos y Controles en el BPS” • Material Taller AGESIC – “Sistema de Gestión de Seguridad de la
Información” • SANS Institute – “Information Security Policy - A Development Guide for
Large and Small Companies” • ORACLE/SUN – “Data Security Policy - Structure and Guidelines”
106