Download - politicas procedimientos
Las políticas y procedimientos
en seguridad informática, más
allá de la tecnología: Una
revisión crítica.
Agenda
1. Contexto
2. Seguridad
3. Políticas y mecanismos de seguridad
4. Ejemplo
5. Auditoría
6. Conclusiones
7. Propuesta metodológica
8. Referencias útiles
1. Contexto
La seguridad informática es un esfuerzo organizacional importante (económico, tiempo, etc.)
“Pasar” la auditoría informática no es garantía de nada, a pesar del aval o certificado.
¿Qué garantía hay de que se cumplan las políticas y procedimientos y se conserve un nivel aceptable de seguridad informática? Ninguna, pues nunca se cumplen al pie de la letra.
¿Por qué? Por causas organizacionales, en un sentido simplista. Veamos cuáles…
2. Seguridad informática
Los tres principios básicos:
1. Confidencialidad: acceso sólo a los sujetos
autorizados.
2. Integridad: los objetos sólo son modificados
intencionadamente por los sujetos autorizados.
3. Disponibilidad: acceso oportuno e ininterrumpido a
los objetos sólo a los sujetos autorizados.
La combinación de la triada CID NO es universal
sino específica a cada organización o empresa.
Debe haber un balance entre apertura y secrecía.
3.1. Políticas de seguridad
Una política de seguridad es un "enunciado específico sobre lo que está y lo que no está permitido"
Una ley, norma o regla dentro de la organización.
¿Quién debe definirlas, el negocio o TI?
El área de negocio + el área de seguridad de TI
El objetivo: Que el negocio opere con un nivel de seguridad aceptable.
3.2. Mecanismos de seguridad
Un mecanismo de seguridad es un medio que permite reforzar las políticas de seguridad.
1. Técnicos: aquellos que utilizan la tecnología .
2. Operativos: son aquellas políticas de seguridad que prescriben procedimientos, tareas, o actividades a ejecutar.
Buscar el balance entre ambos: “ni tanto que queme al santo, ni tanto que no lo alumbre” en el marco de la triada que define la seguridad.
4.1. Políticas de seguridad – Ejemplo real
1. El servidor de correo identifica y manda mensajes a la basura el SPAM y las amenazas.
2. Estropea la comunicación al “equivocarse” ¿quién, el sistema o el administrador?
3. Los usuarios evaden este "problema" con cuentas gratuitas como Yahoo, Gmail, Hotmail, etc.
Problema: Virus en el campus.
TI dice: “el virus no llegó por los servidores de correo sino por el uso de cuentas gratuitas fuera de ‘control’ ”.
¿De qué sirve la justificación? ¿Es adecuada esta política de seguridad?
- SI: TI dice “se detienen amenazas, incluso las propias”, aunque, no siempre el SPAM, jejejeje
- NO: dicen “los demás” nos obligan a usar cuentas gratuitas”
En la práctica no es útil: por ejemplo, no se puede bloquear el correo de Yahoo del director, él lo ordena.
No detiene amenazas, estropea la comunicación y vulnera la confianza en la comunicación, entre otros “daños”.
4.2. Ejemplo de inseguridad
¿Alguien de ustedes
confiaría en la
autenticidad de este
mensaje, llegado como
spam al buzón de
correo elelecttrónico?
¿Es una comunicación
segura?
¿Qué afecta? La
seguridad y los
negocios.
4.3. Encabezados del e-mail apócrifo
From Estrena Fri May 16 15:31:51 2008
X-Apparently-To: [email protected] via 209.191.68.229; Fri, 16 May 2008 15:37:28 -0700
X-Originating-IP:[148.235.52.21]
Return-Path: <[email protected]>
Authentication-Results: mta385.mail.re4.yahoo.com from=prodigy.net.mx; domainkeys=neutral (no sig)
Received: from 148.235.52.21 (EHLO nlpiport16.prodigy.net.mx) (148.235.52.21) by mta385.mail.re4.yahoo.com with SMTP; Fri, 16 May 2008 15:37:28 -0700
X-IronPort-AV:E=Sophos;i="4.27,499,1204524000"; d="jpg'145?scan'145,208,217,145";a="88273887"
Received: from nlpiport02.prodigy.net.mx ([148.235.52.117]) by nlpiport16.prodigy.net.mx with ESMTP; 16 May 2008 17:31:55 -0500
Received: from dsl-189-181-247-236.prod-infinitum.com.mx (HELO [10.0.0.106]) ([189.181.247.236]) by nlpiport02.prodigy.net.mx with SMTP; 16 May 2008 17:31:50 -0500
Date: Fri, 16 May 2008 17:31:51 -0500
Mime-version: 1.0
Subject: Laptop Nueva con menos de Cinco Mil Pesos
From: "Estrena" <[email protected]> Add Mobile Alert
Message-Id: <5161731.KHRUMMMQ @prodigy.net.mx>
Reply-to: [email protected]
Original-recipient: rfc822;[email protected]
Content-Type: multipart/mixed; Boundary="--=BOUNDARY_5161731_YMSC_MQMX_RTQW_HSOR"
Content-Length: 178301
4.4. Las políticas de seguridad en la práctica
Universalmente se violan
El no cumplimiento estricto, de las políticas (incluso las de seguridad) es una propiedad organizacional, no un problema de comportamiento o disciplina.
No hay evidencias de las reglas informales paralelas no escritas, y nunca las habrá.
4.5. Las políticas se violan, universalmente.
Hecho #1:Las políticas y
procedimientos son "violados"
abierta o encubiertamente, siempre,
cuando por razones prácticas y/o
políticas así conviene; así, las
mejores herramientas tecnológicas
ya no ayudan.
¿Qué papel juega la auditoría?
5.1. Objetivos formales de la auditoría
Evalúa la satisfacción de expectativas [y no de necesidades] de usuarios, áreas y organizaciones - ¿Cómo balancear entre expectativas y necesidades y
entre lo abstracto de la organización y lo concreto de las personas?
Se busca la consistencia en un entorno (de negocios y de sistemas) totalmente dinámico. - ¿Cómo lograrla si es imposible una consistencia total?
¿Hasta qué grado?
Busca ser "controlable" y auditable (que haya evidencias). - ¿Qué significa esto, cuando mucho del objeto de
trabajo es intangible y simbólico?.
Está orientada a la efectividad y la eficiencia
5.2. Auditoría de seguridad informática
Auditoría es comparar lo normado con lo ejecutado en cuanto a procedimientos, políticas, estándares y lineamientos organizacionales
La auditoría verifica “que los procedimientos, estándares, métodos, normas, etc., sean ‘aplicados’ en forma conveniente [¿para quién?] y consistente” [¿respecto a qué?]
La Calidad Total es un mito hoy en día: No existe más allá del discurso.
El costo de supervisión y mantenimiento de congruencia es alto, comparado con la utilidad práctica relativa que representan los manuales de organización o los aspectos formales.
6. Conclusiones
La violación de las políticas y procedimientos es universal y es una característica organizacional, más que un problema de comportamiento.
La dualidad formal-informal: (“el deber ser” vs “el ser”, “las expectativas” vs la “realidad”), es imposible lograr un perfecto empate y tiene causas organizacionales; debe buscarse un balance pertinente.
La ambigüedad lingüística al definir y/o al interpretar los requerimientos de seguridad, las políticas de seguridad y los mecanismos de seguridad.
El auditor “objetivo” y libre de prejuicios no existe.
La auditoría frecuentemente es un performance donde cada quien desempeña su papel lo que elimina su legitimidad y utilidad.
7. Propuesta metodológica
Investigación
etnográfica, al
estilo de la
Bombón Roz
http://disneylatino.
com/FilmesDisne
y/MONSTERS_IN
C/
8. Referencias útiles
Seguridad informática:
Bishop, Matt. (2003) "What Is Computer Security?," IEEE Security and Privacy 01(1), 67-69.
Morales, Felix. (2000) Auditoría Informática: Curso básico. Barquisimeto.
Zavala-Ruiz, Jesús. (2008) Organizational Analysis of Small Software Organizations, en H. Oktaba y M. Piattini, Software Process Improvement for Small and Medium Enterprises: Techniques and Case Studies (1-41), USA: IGI Global. http://www.igi-global.com/downloads/excerpts/OktabaExc.pdf
Estrategia:
Tzu, Sun. (s.f). El arte de la Guerra.
Musashi, Mayamoto. (s.f.). El Libro de los Cinco Anillos.