politicas procedimientos
DESCRIPTION
se detallaran las politicas y procedimientos a seguir para el aseguramiento informaticoTRANSCRIPT
![Page 1: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/1.jpg)
Las políticas y procedimientos
en seguridad informática, más
allá de la tecnología: Una
revisión crítica.
![Page 2: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/2.jpg)
Agenda
1. Contexto
2. Seguridad
3. Políticas y mecanismos de seguridad
4. Ejemplo
5. Auditoría
6. Conclusiones
7. Propuesta metodológica
8. Referencias útiles
![Page 3: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/3.jpg)
1. Contexto
La seguridad informática es un esfuerzo organizacional importante (económico, tiempo, etc.)
“Pasar” la auditoría informática no es garantía de nada, a pesar del aval o certificado.
¿Qué garantía hay de que se cumplan las políticas y procedimientos y se conserve un nivel aceptable de seguridad informática? Ninguna, pues nunca se cumplen al pie de la letra.
¿Por qué? Por causas organizacionales, en un sentido simplista. Veamos cuáles…
![Page 4: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/4.jpg)
2. Seguridad informática
Los tres principios básicos:
1. Confidencialidad: acceso sólo a los sujetos
autorizados.
2. Integridad: los objetos sólo son modificados
intencionadamente por los sujetos autorizados.
3. Disponibilidad: acceso oportuno e ininterrumpido a
los objetos sólo a los sujetos autorizados.
La combinación de la triada CID NO es universal
sino específica a cada organización o empresa.
Debe haber un balance entre apertura y secrecía.
![Page 5: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/5.jpg)
3.1. Políticas de seguridad
Una política de seguridad es un "enunciado específico sobre lo que está y lo que no está permitido"
Una ley, norma o regla dentro de la organización.
¿Quién debe definirlas, el negocio o TI?
El área de negocio + el área de seguridad de TI
El objetivo: Que el negocio opere con un nivel de seguridad aceptable.
![Page 6: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/6.jpg)
3.2. Mecanismos de seguridad
Un mecanismo de seguridad es un medio que permite reforzar las políticas de seguridad.
1. Técnicos: aquellos que utilizan la tecnología .
2. Operativos: son aquellas políticas de seguridad que prescriben procedimientos, tareas, o actividades a ejecutar.
Buscar el balance entre ambos: “ni tanto que queme al santo, ni tanto que no lo alumbre” en el marco de la triada que define la seguridad.
![Page 7: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/7.jpg)
4.1. Políticas de seguridad – Ejemplo real
1. El servidor de correo identifica y manda mensajes a la basura el SPAM y las amenazas.
2. Estropea la comunicación al “equivocarse” ¿quién, el sistema o el administrador?
3. Los usuarios evaden este "problema" con cuentas gratuitas como Yahoo, Gmail, Hotmail, etc.
Problema: Virus en el campus.
TI dice: “el virus no llegó por los servidores de correo sino por el uso de cuentas gratuitas fuera de ‘control’ ”.
¿De qué sirve la justificación? ¿Es adecuada esta política de seguridad?
- SI: TI dice “se detienen amenazas, incluso las propias”, aunque, no siempre el SPAM, jejejeje
- NO: dicen “los demás” nos obligan a usar cuentas gratuitas”
En la práctica no es útil: por ejemplo, no se puede bloquear el correo de Yahoo del director, él lo ordena.
No detiene amenazas, estropea la comunicación y vulnera la confianza en la comunicación, entre otros “daños”.
![Page 8: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/8.jpg)
4.2. Ejemplo de inseguridad
¿Alguien de ustedes
confiaría en la
autenticidad de este
mensaje, llegado como
spam al buzón de
correo elelecttrónico?
¿Es una comunicación
segura?
¿Qué afecta? La
seguridad y los
negocios.
![Page 9: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/9.jpg)
4.3. Encabezados del e-mail apócrifo
From Estrena Fri May 16 15:31:51 2008
X-Apparently-To: [email protected] via 209.191.68.229; Fri, 16 May 2008 15:37:28 -0700
X-Originating-IP:[148.235.52.21]
Return-Path: <[email protected]>
Authentication-Results: mta385.mail.re4.yahoo.com from=prodigy.net.mx; domainkeys=neutral (no sig)
Received: from 148.235.52.21 (EHLO nlpiport16.prodigy.net.mx) (148.235.52.21) by mta385.mail.re4.yahoo.com with SMTP; Fri, 16 May 2008 15:37:28 -0700
X-IronPort-AV:E=Sophos;i="4.27,499,1204524000"; d="jpg'145?scan'145,208,217,145";a="88273887"
Received: from nlpiport02.prodigy.net.mx ([148.235.52.117]) by nlpiport16.prodigy.net.mx with ESMTP; 16 May 2008 17:31:55 -0500
Received: from dsl-189-181-247-236.prod-infinitum.com.mx (HELO [10.0.0.106]) ([189.181.247.236]) by nlpiport02.prodigy.net.mx with SMTP; 16 May 2008 17:31:50 -0500
Date: Fri, 16 May 2008 17:31:51 -0500
Mime-version: 1.0
Subject: Laptop Nueva con menos de Cinco Mil Pesos
From: "Estrena" <[email protected]> Add Mobile Alert
Message-Id: <5161731.KHRUMMMQ @prodigy.net.mx>
Reply-to: [email protected]
Original-recipient: rfc822;[email protected]
Content-Type: multipart/mixed; Boundary="--=BOUNDARY_5161731_YMSC_MQMX_RTQW_HSOR"
Content-Length: 178301
![Page 10: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/10.jpg)
4.4. Las políticas de seguridad en la práctica
Universalmente se violan
El no cumplimiento estricto, de las políticas (incluso las de seguridad) es una propiedad organizacional, no un problema de comportamiento o disciplina.
No hay evidencias de las reglas informales paralelas no escritas, y nunca las habrá.
![Page 11: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/11.jpg)
4.5. Las políticas se violan, universalmente.
Hecho #1:Las políticas y
procedimientos son "violados"
abierta o encubiertamente, siempre,
cuando por razones prácticas y/o
políticas así conviene; así, las
mejores herramientas tecnológicas
ya no ayudan.
¿Qué papel juega la auditoría?
![Page 12: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/12.jpg)
5.1. Objetivos formales de la auditoría
Evalúa la satisfacción de expectativas [y no de necesidades] de usuarios, áreas y organizaciones - ¿Cómo balancear entre expectativas y necesidades y
entre lo abstracto de la organización y lo concreto de las personas?
Se busca la consistencia en un entorno (de negocios y de sistemas) totalmente dinámico. - ¿Cómo lograrla si es imposible una consistencia total?
¿Hasta qué grado?
Busca ser "controlable" y auditable (que haya evidencias). - ¿Qué significa esto, cuando mucho del objeto de
trabajo es intangible y simbólico?.
Está orientada a la efectividad y la eficiencia
![Page 13: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/13.jpg)
5.2. Auditoría de seguridad informática
Auditoría es comparar lo normado con lo ejecutado en cuanto a procedimientos, políticas, estándares y lineamientos organizacionales
La auditoría verifica “que los procedimientos, estándares, métodos, normas, etc., sean ‘aplicados’ en forma conveniente [¿para quién?] y consistente” [¿respecto a qué?]
La Calidad Total es un mito hoy en día: No existe más allá del discurso.
El costo de supervisión y mantenimiento de congruencia es alto, comparado con la utilidad práctica relativa que representan los manuales de organización o los aspectos formales.
![Page 14: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/14.jpg)
6. Conclusiones
La violación de las políticas y procedimientos es universal y es una característica organizacional, más que un problema de comportamiento.
La dualidad formal-informal: (“el deber ser” vs “el ser”, “las expectativas” vs la “realidad”), es imposible lograr un perfecto empate y tiene causas organizacionales; debe buscarse un balance pertinente.
La ambigüedad lingüística al definir y/o al interpretar los requerimientos de seguridad, las políticas de seguridad y los mecanismos de seguridad.
El auditor “objetivo” y libre de prejuicios no existe.
La auditoría frecuentemente es un performance donde cada quien desempeña su papel lo que elimina su legitimidad y utilidad.
![Page 15: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/15.jpg)
7. Propuesta metodológica
Investigación
etnográfica, al
estilo de la
Bombón Roz
http://disneylatino.
com/FilmesDisne
y/MONSTERS_IN
C/
![Page 16: politicas procedimientos](https://reader031.vdocumento.com/reader031/viewer/2022020323/568c38e01a28ab0235a05c68/html5/thumbnails/16.jpg)
8. Referencias útiles
Seguridad informática:
Bishop, Matt. (2003) "What Is Computer Security?," IEEE Security and Privacy 01(1), 67-69.
Morales, Felix. (2000) Auditoría Informática: Curso básico. Barquisimeto.
Zavala-Ruiz, Jesús. (2008) Organizational Analysis of Small Software Organizations, en H. Oktaba y M. Piattini, Software Process Improvement for Small and Medium Enterprises: Techniques and Case Studies (1-41), USA: IGI Global. http://www.igi-global.com/downloads/excerpts/OktabaExc.pdf
Estrategia:
Tzu, Sun. (s.f). El arte de la Guerra.
Musashi, Mayamoto. (s.f.). El Libro de los Cinco Anillos.