You are on page 1of 63

Polticas

Capitulo 6
Manual de preparacin al examen CISM
Certified Information Security Manager ISACA
Cap 6
Existe una amplia gama de interpretaciones para las
polticas, normas, procedimientos y lineamientos.
Las definiciones utilizadas coinciden con los principales
rganos normativos y deben adoptarse para evitarse
problemas de comunicaciones.
Las polticas y las normas se consideran herramienta del
gobierno de la seguridad de Informacin y de la gerencia
en tanto que los procedimientos y lineamientos son del
mbito de las operaciones.
Polticas
Son las declaraciones de alto nivel de la intencin, las
expectativas y la direccin de la gerencia.
Un ejemplo de una declaracin de poltica sobre el control de
acceso puede ser la siguiente: Los recursos de informacin
debern controlarse de un modo que restrinjan efectivamente el
acceso no autorizado.
La poltica se puede considerar la constitucin del gobierno de
la seguridad
Normas
Son mtricas, lmites permisibles o el proceso que se utiliza para
determinar si los procedimientos cumplen con los requerimientos
que establecen las polticas.

Ejemplo de normas
Una norma para contraseas utilizadas para efectos de control de
acceso sera:
Las contraseas para dominios de seguridad media y baja debern
contener un mnimo de 8 caracteres que constarn de una
combinacin de letras minsculas y maysculas, al menos un nmero
y un signo de puntuacin
La norma para el control de acceso de empleados en las
instalaciones puede incluir requerimientos de composicin
de contraseas, longitud mnima y mxima de stas,
frecuencias de cambios de contraseas y reglas para volver
a utilizarlas.

Por lo general, una norma debe establecer parmetros
suficientes para determinar sin ambigedad que un
procedimiento o prctica cumple con los requerimiento de
la poltica en cuestin.
Las normas deben cambiar a medida que cambian los
requerimientos y la tecnologas.
En una organizacin madura, las polticas pueden
permanecer bastante estticas.
Por lo regular existen mltiples normas para cada
poltica, dependiendo del dominio de la seguridad.
Por ejemplo, la norma de contrasea sera ms
restrictiva cuando se acceda a dominios de alta
seguridad.
Procedimientos
Los procedimientos deben ser claros e incluir todos los pasos
necesarios para cumplir con tareas especficas.

Deben definir resultados y exposiciones esperados, as como
las condiciones requeridas para su ejecucin.

Deben incluir los pasos que se requieren cuando ocurren
resultados inesperados

Son responsabilidad de operaciones.

Procedimientos
Los procedimientos deben ser claros, sin ambigedades y los
trminos deben ser exactos.

Los procedimientos para contraseas incluyen los pasos
detallados que se requieren para configurar cuentas de
contraseas y los pasos para cambiar o reiniciar contraseas.


Lineamientos
Los lineamientos para ejecutar procedimientos tambin son
responsabilidad de operaciones.

Deben contener informacin que ayude a ejecutar los
procedimientos.

Pueden incluir dependencias, sugerencias y ejemplos, notas
aclaratorias de los procedimientos, antecedentes que puedan
ser de utilidad, herramientas que puedan utilizarse, etc.
Secciones de cada poltica
Propsito: Cada poltica y procedimiento debera tener un propsito
bien definido, que articule porque fueron creados, y que beneficio
espera la organizacin derivar de los mismos
mbito: Cada poltica y procedimiento debera tener una seccin que
defina su aplicabilidad.. Por ejemplo una poltica de seguridad se
aplica a todos los sistemas de computo y una poltica de informacin
se aplica a los empleados.
Responsabilidad: Define quien se har responsable por la
implementacin apropiada del documento.

Quienquiera que sea designado, debe ser capacitado de manera
adecuada y estar consciente de los requerimientos del documento.

.
Pasos para crear una poltica apropiada

1. Definicin de lo que es importante
2. Definicin de un comportamiento aceptable
3. Identificacin de las personas involucradas
4. Definicin de los perfiles apropiados
5. Desarrollo de la poltica

Polticas de informacin
Define que es informacin confidencial dentro de la organizacin y como
debera estar protegida esta misma.
Cada empleado es responsable de proteger la informacin confidencial que
llegue a sus manos.
La informacin puede encontrarse en forma de registros en papel o de
archivos electrnicos.


Clasificacin de la informacin
La mayor parte de las organizaciones les basta 2 o tres niveles de
clasificacin

Tipos:
Pblico. Informacin conocida y que puede ser proporcionada al pblico.

Propietaria/delicada para la compaa/ confidencial. Informacin que
puede darse a conocer a los empleados o a otras organizaciones que hayan
firmado un acuerdo para no revelarla.

Restringida/protegida. Restringida a un nmero limitado de empleados
dentro de la organizacin.

Informacin confidencial
La informacin confidencial puede incluir registros de
negocios, diseos de productos, informacin de
patentes, directorios telefnicos de la compaa, etc.
Incluir la informacin de las nminas, domicilios y
nmeros telefnicos de los empleados, informacin
de los seguros mdicos y cualquier informacin
financiera antes de ser revelada al pblico en general.
Marcacin y almacenamiento de la informacin
confidencial

Para cada nivel de informacin confidencial, la poltica debera
definir con calidad como debera marcarse la informacin.
La poltica debera abordar el almacenamiento de la informacin
en papel, as como la informacin en sistemas de cmputo.
Es mejor tener la informacin guardada bajo llave en los
archivadores o en los cajones de los escritorios.
Cuando la configuracin se almacena en sistemas de cmputo, la
poltica debera especificar niveles apropiados para su
proteccin. Esto puede ser mediante controles de acceso en los
archivos, o puede ser apropiado especificar una contrasea de
proteccin para ciertos tipos de documentos.

Transmisin de configuracin
confidencial

Una poltica de informacin debe abordar el tema de cmo se transmitir la
informacin confidencial.

La informacin puede transmitirse de diversas maneras (por correo
electrnico, por correo regular, por fax, etc.) y la poltica debera de
abordar cada una de ellas.

Si se enviaran copias fsica de la informacin ser apropiado usar algn
mtodo que requiera una configuracin firmada de recibido.



El papel con informacin confidencial debera ser
hecho trizas.

La informacin que se almacena en sistemas de
cmputo podra ser recuperada despus de su
eliminacin si no se borra de manera adecuada.
Existen diversos programas comerciales que anula la
informacin de los medios de almacenamiento de
manera ms segura, como PGP Desktop y BCWipe
Polticas de seguridad
Define los requerimientos tcnicos para la seguridad en sistemas de cmputo
y en el equipo de redes.

La responsabilidad principal para la implementacin de esta poltica recae
sobre los administradores del sistema y de la red, siempre con el respaldo de
la administracin.

La poltica de seguridad debera definir el requerimiento a implementarse por
cada sistema. Sin embargo, la poltica misma no debera definir
configuraciones especficas para diferentes sistemas operativos


.

Polticas de seguridad
Identificacin y autenticacin (validacin)
Control de acceso
Auditora
Conectividad de redes
Cdigo malintencionado
Encriptacin
Excepciones
Apndices


Identificacin y autenticacin (validacin)
La poltica de seguridad debera definir el requerimiento a implementarse
por cada sistema.
Sin embargo, la poltica misma no debera definir configuraciones
especficas para diferentes sistemas operativos.

Para implementar las polticas de seguridad hay que definir un estndar
para la identificaciones de los usuarios.
Definir los mecanismos principales en la autenticacin o validacin para
los administradores y usuarios del sistema
Si este mecanismo es la contrasea definir la longitud de la mnima de la
contrasea.

Control de acceso archivos
Son los requerimientos necesarios para tener acceso a los
archivos electrnicos.
El mecanismo debe proporcionar alguna forma de control de
acceso definida por el usuario.
El mecanismo mismo permitir por lo menos especificar cuales
usuarios tendrn acceso a los archivos para la lectura y escritura
as como para ejecutar permisos.

Auditora
Normalmente, las polticas de seguridad requieren que los siguientes eventos sean
auditados:
logins, es decir, conexiones o entradas al sistema (con xito o sin xito)
logounts, es decir, desconexiones o salidas del sistema
Acceso fallido a los archivos u objetos del sistema
Acceso remoto (con xito o sin xito)
Acciones privilegiadas (las realizadas por los administradores, tanto con xito como sin
xito)
Eventos del sistema (como cuando se apaga y se reinicia)
Cada evento debera capturar tambin la sig. Informacin:
Identificacin (ID) del usuario (si existe una)
Fecha y hora
Identificacin (ID) del proceso (si existe una)
Accin realizada
xito o fracaso del evento

La poltica de seguridad debera especificar cunto tiempo conviene conservar los registros
de auditora y como deberan almacenarse esto.




Conectividad de redes

Para cada tipo de conexin dentro de la red de organizacin la poltica de seguridad debera
especificar las reglas para la c conectividad de la red y los mecanismos de proteccin que sern
empleados.

Conexin por marcacin los requerimientos para las conexiones por marcacin telefnica deberan
especificar por requerimientos tcnicos de identificacin y autenticacin para este tipo de
conexin.
Adems de la poltica debera especificar el requerimiento de autorizacin para comenzar con la
obtencin del acceso va telefnica.

Conexin permanentes la conexiones permanentes a las redes son aquellas que entran en la
organizacin sobre algn tipo de lnea de comunicacin permanente, con mucho frecuencia el
dispositivo adecuado ser un muro de fuego.

Acceso remoto de sistemas internos

Redes inalmbricas . las redes inalmbricas estn popularizndose y no es dar que los
departamentos establezcan una red inalmbrica sin hacerlo del conocimiento del
departamento TI.la poltica de seguridad debera definir las condiciones bajo las cuales se
permitira operar una red inalmbrica y como obtener autorizacin para tener una red de esta
naturaleza.

Conectividad de redes
Conexiones por marcacin: deben especificar los requerimientos
tcnicos de identificacin y autenticacin para este tipo de
conexiones
Conexiones permanentes: deben definir los el tipo de dispositivo de
seguridad en estas conexiones que por lo general es un firewall.
Acceso remoto de sistemas internos: todas las comunicaciones
deben estar protegidas mediante encriptacin.
Redes inalmbricas: establecer permisos para poder permitirse las
redes inalmbricas.
Cdigo malintencionado
Especificar un lugar en donde se ubicaran los programas de
seguridad que buscaran Cdigo malintencionado (virus, puertas
traseras, troyanos.)
Las ubicaciones apropiadas son los servidores de archivos,
sistemas de escritorio y los servidores de correo electrnico.
La poltica tambin requerira de actualizaciones de las firmas
para tales programas de seguridad con cierta periodicidad base,
digamos mensualmente.

Encriptacin

La poltica de seguridad debera definir algoritmos de encriptacin
aceptables para su uso dentro de la organizacin y permitir la
poltica de informacin para mostrar algoritmos apropiados que
protegern la informacin confidencial, tambin especificara los
procedimientos requeridos para la administracin de la clave.

Excepciones
El sistema que se exceptuara de la seguridad.
La seccin de la poltica que no se cumplir.
Las ramificaciones hacia la organizacin
Los pasos que se estn tomado para reducir los
riesgos.
El plan para que el sistema cumpla con la poltica de
seguridad.
Apndices

Las configuraciones detalladas para varios sistemas operativos,
dispositivos de red y telecomunicaciones deben situarse en
apndices o procedimientos de configuracin por separado.
Esto permitir que los documentos detallados se puedan
modificar sin tener que cambiar la poltica de seguridad de la
organizacin .



Polticas del uso de las computadoras
Se refiere a quien puede utilizar los sistemas de cmputo y como
pueden utilizarlos.
Hay que definir una poltica de propiedad y uso de las
computadoras ya que la organizacin puede quedar expuesta a
demandas legales por parte de los empleados.
Uso aceptable de las computadoras
La mayora de la organizaciones esperan que los
empleados utilicen las computadoras proporcionadas
por la organizacin solamente para propsitos
relacionados con su trabajo, ocasionalmente, las
organizaciones permiten a los empleados utilizar las
computadoras de la organizacin para otros
propsitos, si esto ser permitido debera ser
establecido con claridad en la poltica.

Polticas del uso de las computadoras
Propiedad de las computadoras.
Esta poltica deber establecer claramente que todas las
computadoras son propiedad de la organizacin y que
estas proporcionan a los empleados para su uso,
tambin puede prohibir el uso de computadoras no
pertenecientes a la organizacin .



Nulas expectativas de privacidad
Es la declaracin de que el empleado no debera tener esperanzas de
privacidad respecto a cualquier informacin almacenada, enviada o
recibida en o desde cualquier computadora de la organizacin.
Importante que el empleado comprenda que cualquier informacin,
incluyendo el correo electrnico, puede ser examinada por los
administradores
Propiedad de la informacin


La poltica deber establecer que toda informacin almacenada o
utilizada en la computadoras de la organizacin pertenece a ella

Poltica del uso de internet

Las organizaciones conceden conectividad a internet a sus
empleados para que puedan realizar sus labores con mayor
eficacia y beneficiar a la organizacin.
La poltica define los usos apropiados y los usos no apropiados
del internet.
Polticas de correo electrnico
Los correos electrnicos son cada vez mas utilizados para llevar a
cabo negocios en las organizaciones.
Pero tiene desventajas ya que puede dejar escapar informacin
confidencial.
Para definir una poltica de correo hay que tomar en cuentas las
siguientes cuestiones
Polticas de correo electrnico
Cuestiones de correo interno
La poltica de correo electrnico interno no debera entrar en conflicto con otras
polticas de recursos humanos.
Si la organizacin estar monitoreando el correo electrnico en busca de ciertas
palabras, claves o archivos adjuntos, la poltica debera establecer que puede
presentarse este tipo de monitoreo o seguimiento.

Cuestiones de correo externo
El correo electrnico que sale de la organizacin puede contener
informacin confidencial.
La poltica de correo debera establecer bajo que condiciones esto es
aceptable, y remitir de nueva cuenta a la poltica de informacin.



Procedimientos de administracin de
usuarios

Son los procedimientos de seguridad que las organizaciones pasan
por alto, no obstante el enorme potencial de riesgo que estos
suponen.
Procedimientos de administracin de
usuarios

Procedimiento para nuevos empleados.
La solicitud de recursos de cmputo ser generada por el supervisor del nuevo
empleado y ser firmada tambin por esta persona dependiendo del departamento en
que se encuentre el nuevo empleado y de la solicitud de acceso hecha por el
supervisor.

Procedimiento para los empleados transferidos.
Toda organizacin debera desarrollar un procedimiento para revisar el acceso a las
computadoras de los empleados cuando estos sean trasferidos dentro de la
organizacin .Lo ideal es que tanto el nuevo como el antiguo supervisor del empleado
identifiquen que el empleado que se est trasladando a una nueva posicin ya no tenga
acceso a la informacin anterior.

Procedimientos para la rescisin de
empleados
Quizs el procedimiento de administracin de usuario mas
importantes es la eliminacin de los usuarios que ya no
trabajan para la organizacin, el administrador del sistema
debera ser avisado de manera anticipada, de modo que
las cuentas del empleado queden deshabilitadas el ultimo
da de empleo de dicho trabajador.


Procedimiento de administracin del
sistema
Define como los departamento de seguridad y administracin de
sistemas trabajaran en conjunto para asegurar los sistemas de la
organizacin.
El documento esta conformado por varios procedimientos
especficos que definen como y con que frecuencia se
consumaran diversas tareas de administracin de sistemas
relacionados con la seguridad.
.
Procedimiento de administracin del
sistema
Actualizacin de software
Este procedimiento debera definir la frecuencia con la que un administrador de sistema verificara la
existencia de nuevas correcciones o actualizaciones por parte del distribuidor, el procedimiento se
deber documentar cuando se instalaran tales actualizaciones as como el procedimiento de
restauracin que se aplicara
Rastreos de vulnerabilidad
Cada organizacin debera desarrollar un procedimiento para identificar las vulnerabilidades en sus
sistemas de cmputo. Normalmente las exploraciones son conducidas por el departamento de
seguridad y los ajustes son realizados por el administrador del sistema
El procedimiento de rastreo debera especificar con que frecuencia se conducirn las exploraciones
Revisiones de la poltica
Especificara los requerimientos de seguridad para cada sistema. Puede hacerse usos de auditorias
externas o internas de manera peridica. el departamento de seguridad debera trabajar con los
administradores del sistema a fin de verificar que los sistemas cumplan con la poltica de seguridad .


Revisin de bitcoras

Las bitcoras de diversos sistemas deberan ser revisaras de
manera regular.
Esto se har de manera automtica con el personal de
seguridad, examinando las entradas de la bitcoras que
sean marcadas por la herramienta automatizada . Si el
proceso es manual el procedimiento debera especificar
con que frecuencia sern examinadas los archivos de
bitcora y los tipos de eventos que deberan marcarse
para una evaluacin posterior con mayor detenimiento .


Monitoreo o seguimiento regular

Una organizacin debera tener un procedimiento que
documente cuando se presente un monitoreo o
seguimiento de trfico de red.
Poltica de respaldos

Una poltica de respaldos define como se realizarn los
respaldos del sistema.
A menudo estos requerimientos estn incluidos en la
poltica de seguridad de la organizacin.
Debera indicar con que frecuencia se realizan los
respaldos de informacin.
Almacenamiento de los respaldos

Es importante guardar los medios utilizados para los
respaldos en una ubicacin segura que todava sea
accesible si el medio de respaldo necesita ser actualizado
para restaurar la informacin.
Informacin que debe ser respaldada

No todos los archivos de un sistema de cmputo requieren de un
respaldo diario.
Los archivos de datos, especialmente aquellos que se modifican con
frecuencia, deberan ser respaldados de manera peridica
Procedimiento de respuesta a incidentes
Define como reaccionar la organizacin cuando se
presente un incidente de seguridad computacional.
Dado que cada incidente ser diferente, el procedimiento
de respuesta a incidentes debera definir quin tiene la
autoridad y cmo hay que proceder, pero no
necesariamente qu debera hacerse. Eso debera dejarse
en manos de las personas que trabajan en forma directa
con el incidente.

Objetivos del manejo de incidentes
Algunos ejemplos de objetivos del procedimiento:
Proteccin de los sistemas de informacin
Proteccin de la informacin de la organizacin
Restauracin de operaciones
Enjuiciamiento de los infractores
Reduccin de la mala publicidad o limitar el dao que se
pueda producir a la marca

Intensificacin
Para la mayora de las organizaciones, este procedimiento
de intensificacin puede ser para activar un equipo de
respuesta a incidentes.
Cada organizacin debera definir quin ser un miembro
del equipo de respuesta a incidentes. Los miembros del
equipo deberan ser extrados de los siguientes
departamentos:
Seguridad Administracin del sistema
Legal Recursos humanos
Relaciones pblicas
Pueden agregarse otros miembros cuando sea necesario
Identificacin de eventos
Antes que se declare que hay un incidente, el departamento
de seguridad debera investigar mientras que los
administradores del sistema determinan si en verdad
ocurri un incidente.

Control de la informacin
A medida que se desarrolla un incidente, las organizaciones
deberan intentar controlar la informacin que se difunda
acerca de este.
Autoridad
Una parte importante es la definicin de quin dentro de
la organizacin y dentro del equipo de respuesta a
incidentes tiene la autoridad para emprender alguna
accin.
Es apropiado identificar a un directivo de la organizacin
para realizar estas decisiones.
Este directivo puede ser parte del equipo de respuesta a
incidentes o puede encontrarse disponible para ser
consultado. El directivo debera ser identificado durante el
desarrollo del procedimiento de respuesta a incidentes.

Autoridad
Esta parte del procedimiento debe definir quien tiene la
autoridad para dejar un sistema fuera de lnea y hacer
contacto con los clientes, los medios de comunicacin y
los agentes de la ley.
RESPUESTA
La forma en que una organizacin responde a un incidente
fluye directamente del procedimiento de respuesta a
incidentes.

Documentacin

El procedimiento de respuesta de incidentes debera
definir de que manera documentar las acciones de
respuesta, incluyendo los datos que deberan reunirse
y guardarse.

Esto es importante por dos razones: ayudar a comprender qu ocurri,
cuando el incidente se haya superado, y puede ayudar a la accin judicial si
se acude a los agentes de la ley en busca de ayuda.

Prueba de procedimiento (seguimiento)
No espere que la primera vez que sea utilizado el
procedimiento de respuesta a incidentes todo
transcurra perfectamente.
Pero una vez que el procedimiento de respuesta a
incidentes sea escrito, deber realizar varios
ensayos del procedimiento con el equipo.
Identifique alguna situacin y haga que el
equipo platique acerca de las acciones que se
llevaran a cabo, tambin debera probarse en
situaciones de la vida real.
Estado inicial del sistema
Esta documentacin debera incluir como mnimo:
El sistema operativo y su versin
Nivel de actualizaciones o correcciones
Aplicaciones que se ejecutan y sus versiones
Configuraciones iniciales para dispositivos, sistemas de software y
aplicaciones

Procedimiento de administracin de la
configuracin
Define los pasos que se llevarn a cabo para modificar
el estado de los sistemas de cmputo, dispositivos de
red y sistemas de software de la organizacin.


Procedimiento de control de cambios
Este procedimiento debera mantener el respaldo de la
configuracin antigua y la prueba del cambio propuesto
antes de su implementacin.

El propsito es identificar los cambios apropiados de modo que no
sean malinterpretados como incidentes de seguridad y de este modo,
la nueva configuracin pueda ser examinada desde una perspectiva
de la seguridad.


Planes para la recuperacin de desastres
Cada organizacin debera tener un plan para la recuperacin
de desastres con el propsito de lidear con incendios,
inundaciones y otros eventos que puedan destruir
instalaciones.
Algunas organizaciones no tienen un plan adecuado debido a
que los visualiza como algo muy costoso, y no creen poder
costear instalaciones de emergencia (una ubicacin alterna
para operaciones, que tenga el equipo necesario configurado
y listo para entrar en operacin). Los planes para recuperacin
de desastres no necesariamente requieren de instalaciones de
emergencia.

Eventos en las instalaciones
Los eventos destructores de instalaciones son los tipos
de eventos en que se piensa con ms frecuencia
cuando hablamos de un plan para recuperacin de
desastres. Estos eventos son los menos probables,
pero tambin son los ms dainos para una
organizacin.
Cada departamento de la organizacin debe participar
en la creacin del plan para recuperacin de
desastres para tales eventos.


Eventos del centro de datos
El plan debera incluir alguna manera de adquirir equipo
adicional.
Si el centro de datos queda inutilizable pero el resto de las
instalaciones no, el plan para recuperacin de desastres
debera definir dnde ir el equipo nuevo, adems de
cmo se reorganizarn las lneas de comunicacin. Un
sitio de emergencia (hot site) es una opcin para este tipo
de evento.

Prueba del plan para recuperacin de
desastres
El plan para recuperacin de desastres debera ser probado.
La prueba no es necesaria solamente para asegurarse de que el plan
para la recuperacin de desastres funcione correctamente, sino para
asegurarse de que permanecer de esa manera.


Fallas de dispositivo o sistema simple
Este tipo de falla puede afectar a un dispositivo de red, un
disco, una tarjeta madre, una tarjeta de interfaz de red o ser
provocada por un componente defectuoso.
Para cada falla debera desarrollarse un plan para permitir
que continuaran las operaciones dentro de un periodo
razonable. La eleccin depender del costo de la solucin.
.