Professional Documents
Culture Documents
SEGURIDAD
INFORMATICA
1
MODULO DE SEGURIDAD
INFORMATICA PARA LA
INDUSTRIA ARGENTINA
Mayo 2017
Marcos A. Passarello.
2
Temario
• Capítulo 1
• Lección 1 Introducción
• Lección 2 Política de la Seguridad de la Información
• Lección 3 Revisión de la Política de la Seguridad de la
Información
• Lección 4 Organización de la Seguridad
• Lección 5 Acuerdos de confidencialidad
• Capítulo 2
• Capítulo 3
3
• Capítulo 4
• Capítulo 5
4
• Lección 33 Comercio electrónico
• Lección 34 Registro de auditoría
• Capítulo 6
• Capítulo 7
5
• Capítulo 8
• Capítulo 9
6
Capítulo 1
Lección 1
7
Lección 2
8
información específicos o reglas de seguridad que se recomienda que los usuarios
cumplan.
Lección 3
9
Lección 4
Organización de la Seguridad
Se recomienda que:
10
Lección 5
Acuerdos de confidencialidad
11
Capítulo 2
Lección 6
Inventario de activos
12
Lección 7
Clasificación de la Información
Se recomienda que se establezcan consideraciones sobre el número de categorías
de clasificación y sobre los beneficios que se obtendrán de su uso. Esquemas
demasiado complejos pueden volverse engorrosos, imprácticos o económicamente
no viables. Es conveniente que se tenga cuidado al interpretar los rótulos de
clasificación de los documentos de otras organizaciones, las cuales pueden tener
definiciones diferentes para rótulos iguales o similares.
13
Lección 8
Propiedad de los activos
a) Un proceso de negocios.
b) Un conjunto definido de actividades.
c) Una aplicación.
14
Lección 9
Roles y Responsabilidades
15
Lección 10
16
Lección 11
Concientización, educación y entrenamiento en seguridad de la
información
Se recomienda que el entrenamiento de conocimientos se inicie con un proceso
formal de inducción diseñado para introducir las políticas y expectativas de la
seguridad de la organización antes de que se otorgue el acceso a la información o
a los servicios.
17
Lección 12
Proceso disciplinario
Se recomienda que el proceso disciplinario no se inicie sin la previa verificación de
que ha ocurrido una brecha en la seguridad.
18
Lección 13
Retorno de activos
19
Capítulo 4
Lección 14
20
Lección 15
21
g) Que las instalaciones de procesamiento de la información administradas por la
organización se encuentren físicamente separadas de aquellas administradas
por terceras partes.
22
Lección 16
23
Lección 17
24
Lección 18
25
Lección 19
Los arreglos para el trabajo en áreas seguras incluyen controles para los
empleados, contratistas y usuarios de terceras partes que trabajan en el área
segura, como también actividades de terceras partes que se desarrollen allí.
26
Lección 20
27
Lección 21
28
29
Lección 22
Elementos de soporte
Se recomienda contar con una unidad de energía ininterrumpida (UPS) para dar
soporte a un apagado ordenado o la ejecución continua del equipamiento que
sustenta las operaciones críticas de la organización. Se recomienda que los
planes de contingencia contemplen las acciones que han de ser tomadas ante una
falla de la UPS. Se recomienda que se considere disponer de un generador de
respaldo en el caso de que se produzca una falla de energía eléctrica prolongada
y el procesamiento de la información deba continuar. Se recomienda que se
mantenga una adecuada provisión de combustible para asegurar que el generador
pueda trabajar por un período prolongado. Se recomienda que la/las UPS y los
generadores se inspeccionen periódicamente para asegurar que tienen la
capacidad requerida y han sido probados de acuerdo con las recomendaciones
del fabricante. Además, se pueden hacer consideraciones para utilizar múltiples
fuentes de energía, o, si el sitio es grande, una subestación separada de energía.
30
Se recomienda que los equipos de telecomunicaciones se encuentren conectados
con el proveedor del servicio a través de al menos dos rutas distintas para prevenir
que fallas en una vía de conexión suprima servicios de voz. Se recomienda que
los servicios de voz sean adecuados para cumplir con los requerimientos legales
locales para las comunicaciones de emergencia.
31
Lección 23
32
Lección 24
33
Lección 25
34
35
Capítulo 5
Lección 26
Seguimiento y revisión de los servicios de las terceras partes
36
seguridad de información a través de un proceso de reportes claro y definido, con
formato y estructura.
37
Lección 27
Gestión de la capacidad
Se recomienda que los gerentes utilicen esta información para identificar y evitar
potenciales cuellos de botella y la dependencia del personal clave que podría
significar una amenaza a la seguridad o para los servicios del sistema, y un plan
de acción apropiados.
38
Lección 28
Controles contra código malicioso
b) Establecer una política formal para proteger contra los riesgos asociados
con la obtención de archivos y software, ya sea desde o a través de redes
externas, por cualquier otro medio, indicando qué medidas de protección se
recomienda tomar.
39
Lección 29
Controles contra código móvil
40
Lección 30
Resguardo de la información
41
Lección 31
42
Lección 32
Gestión de medios removibles
Se recomienda que se consideren las siguientes directrices para la gestión de
medios removibles:
43
e) Que se considere llevar un registro de los medios removibles para limitar la
oportunidad de pérdida de datos.
f) Que las unidades de medios removibles solo se encuentren activas si existe
una razón para ello.
Lección 33
Comercio electrónico
44
d) Determinar y cumplir requerimientos de confidencialidad, integridad, prueba
de envío y recepción de documentos importantes y el no-repudio de los
contratos, por ejemplo, asociados con los procesos de licitación y contractos;
e) El nivel de confianza requerido en la integridad de la lista de precios
informada.
f) La confidencialidad de cualquier dato o información sensible.
g) La confidencialidad e integridad de cualquier transacción de orden,
información de pago, detalles de direcciones de envío, y confirmación de
recepciones.
h) El grado de la verificación apropiada de la información de pago provista por
un cliente.
i) Seleccionar la forma más apropiada de liquidación de pagos para detener del
fraude.
j) El nivel de protección requerido para mantener la confidencialidad e
integridad de la información de las ordenes.
k) Evitar la pérdida o duplicación de la información de transacciones.
l) Responsabilidades asociadas con cualquier transacción fraudulenta.
m) Requerimientos de seguros.
45
Lección 34
Registro de auditoría
46
Capítulo 6
Lección 35
Uso de contraseñas
Se recomienda que se dé aviso a los usuarios para que:
47
2) no basadas en algo que otra persona pueda adivinar u obtener
fácilmente utilizando información relacionada con la persona, por ejemplo
nombres, números telefónicos y fechas de nacimiento, etc.
3) no vulnerable a ataques de diccionario (por ejemplo, que no consista de
palabras incluidas en los diccionarios).
4) libre de caracteres consecutivos idénticos, en caracteres todos
numéricos o todos alfabéticos.
e) Cambien de contraseñas a intervalos regulares o basadas en el número de
accesos (se recomienda que las contraseñas para cuentas privilegiadas se
cambien con más frecuencia que la contraseñas normales), y evitar el re uso
o el uso cíclico de viejas contraseñas.
f) Cambien las contraseñas temporarias en el primer ingreso al sistema.
g) No incluyan las contraseñas en procesos automáticos de ingreso, por
ejemplo almacenadas en una función macro o funciones principales.
h) No compartan contraseñas de usuario individual, no usen la misma
contraseña para propósitos de la actividad y extra de la actividad
48
Lección 36
Equipamiento de usuario que se deja desatendido
49
Lección 37
50
Lección 38
51
Lección 39
Expiración de la sesión
Una forma limitada del recurso de expiración puede ser provista por algunos
sistemas, que limpian la pantalla y previenen accesos no autorizados pero no
cierran las sesiones de aplicaciones o las sesiones de red.
52
Lección 40
53
Lección 41
54
ejemplo, en automóviles u otras formas de transporte, habitaciones de hoteles,
centros de conferencia, y lugares de reunión. Se recomienda que se establezca un
procedimiento específico que tenga en cuenta los requerimientos legales, de
seguros y otros requerimientos de seguridad de la organización para casos de
hurto o pérdida de los recursos informáticos móviles. Es conveniente que no se
deje desatendido el equipamiento que transporta información importante de la
actividad, sensible y/o crítica y, cuando resulte posible, se recomienda que esté
físicamente resguardado bajo llave, o que se utilicen cerraduras especiales para
asegurar el equipamiento.
55
Lección 42
Teletrabajo
56
57
Capítulo 7
Lección 43
58
d) Buscar referencias de un proceso formal disciplinario establecido para tratar
con los empleados, contratistas o usuarios de terceras partes que cometan
violaciones de seguridad.
En ambientes de alto riesgo, se proveerá una alarma de coacción por la cual una
persona bajo coacción pueda indicar tales problemas. Se recomienda que los
procedimientos para responder a las alarmas de coacción reflejen las situaciones
de alto riesgo que las alarmas están indicando.
59
Lección 44
c) código malicioso.
d) Negación de servicio.
j) Contención.
60
p) Negociación para la compensación de los proveedores de software y
servicios.
61
Lección 45
Recolección de la evidencia
62
Capítulo 8
Lección 46
63
Lección 47
64
e) Documentación de procedimientos y procesos acordados.
f) Apropiada instrucción al grupo de trabajo según los procedimientos y los
procesos acordados, incluyendo la gestión de la crisis.
g) Pruebas y actualizaciones de los planes.
65
Lección 48
66
Es conveniente que cada pan tenga un propietario específico. Se recomienda que
los procedimientos de emergencia, los planes de retroceso manual y los planes de
reanudación se encuentren entre las responsabilidades de los propietarios de los
recursos o procesos de negocio pertinentes. Los acuerdos de retroceso para
servicios técnicos alternativos, como instalaciones de comunicaciones o de
procesamiento de la información, normalmente se cuentan entre las
responsabilidades de los proveedores de servicios.
a) Las condiciones para activar los planes que describen el proceso a seguir
(por ejemplo: cómo evaluar la situación, qué personas estarán involucradas)
antes de ponerlos en marcha.
b) Procedimientos de emergencia que describan las acciones a emprender una
vez ocurrido un incidente que ponga en peligro las operaciones de la
empresa y/o la vida humana.
c) Procedimientos de retroceso que describan las acciones a emprender para el
traslado de actividades esenciales de la empresa o de servicios de apoyo a
ubicaciones transitorias alternativas, y para el restablecimiento de los
procesos de negocio en los plazos requeridos.
d) Procedimientos operacionales temporarios para seguir la finalización de la
reconstrucción y la restauración.
e) Procedimientos de reanudación que describan las acciones a emprender
para restablecer las operaciones normales de la empresa.
f) Un cronograma de mantenimiento que especifique cómo y cuándo será
probado el plan, y el proceso para el mantenimiento de éste.
g) Actividades de educación e instrucción que estén diseñadas para crear el
entendimiento de los procesos de continuidad del negocio y garantizar que
los procesos sigan siendo efectivos.
h) Las responsabilidades de las personas que describen quién es el responsable
de la ejecución de cada componente del plan. Se recomienda que se
mencionen alternativas cuando corresponda.
67
i) Los activos y los recursos críticos que se necesitan para ejecutar los
procedimientos de emergencia, de fallas y de reanudación.
68
Lección 49
Es conveniente que se utilicen diversas técnicas para garantizar que los planes
funcionarán en la vida real. Se recomienda que éstas incluyan:
69
a) Pruebas de discusión de varios escenarios (discutiendo medidas para la
recuperación del negocio utilizando ejemplos de interrupciones).
b) Simulaciones (especialmente para entrenar al personal en el desempeño de
sus roles de gestión posterior a incidentes o crisis).
c) Pruebas de recuperación técnica (garantizando que los sistemas de
información puedan ser efectivamente restablecidos).
d) Pruebas de recuperación en un sitio alternativo (ejecutando procesos de
negocios en paralelo con operaciones de recuperación fuera del sitio
principal).
e) Pruebas de instalaciones y servicios de proveedores (garantizando que los
productos y servicios provistos externamente cumplan con el compromiso
contraído).
f) Ensayos completos (que prueben que la organización, el personal, el
equipamiento, las instalaciones y los procesos pueden afrontar las
interrupciones).
70
Capítulo 9
Lección 50
Lección 51
71
b) Compra de software solamente a través de fuentes conocidas y con
reputación, para garantizar que no se viole el derecho de propiedad
intelectual (“copyright”).
c) Mantenimiento de la educación respecto de las políticas para la protección de
los derechos de propiedad intelectual y notificación de la determinación de
tomar acciones disciplinarias contra el personal que incurra en el
incumplimiento de ellas.
d) Mantenimiento de adecuados de registros de activos, e identificación de
todos los activos con requerimientos de protección de los derechos de
propiedad intelectual.
e) Mantenimiento de prueba y evidencia de la propiedad de las licencias, discos
maestros, manuales, etc...
f) Implementación de controles para garantizar que no se exceda el máximo
número de usuarios permitidos.
g) Realización de verificaciones de que se instalen solamente software y
licencias de productos autorizados.
h) Establecimiento de una política para el mantenimiento de las condiciones
apropiadas de la licencia.
i) Establecimiento de una política para la disposición o transferencia de
software a otros.
j) Utilización de herramientas de auditoria apropiadas.
k) Cumplimiento de los términos y condiciones con respecto al software e
información obtenidos de redes públicas.
l) Impedir duplicaciones o conversiones a otro formato o extracción de
grabados comerciales (películas, audio) u otros que no estén permitidos por
derechos de copiado.
m) Impedir la copia total o parcial de libros, artículos, reportes, u otros
documentos, más que los permitidos por los derechos de copiado.
72
Lección 52
73
Cuando se seleccionen medios de almacenamiento electrónicos, se recomienda
que se incluyan procedimientos para garantizar la capacidad de acceso a los
datos (tanto legibilidad de formato como del medio) durante todo el período de
retención, a fin de salvaguardarlos contra eventuales pérdidas ocasionadas por
futuros cambios tecnológicos.
74
Lección 53
Varios países han introducido leyes que dan lugar a controles acerca de la
recolección, procesamiento y transmisión de datos personales (generalmente
información de personas vivas quienes pueden ser identificados a través de
dicha información). Dependiendo de las leyes nacionales respectivas, tales
controles pueden imponer obligaciones en aquellas personas que recolectan,
procesan, y diseminan información personal, y pueden restringir la capacidad
de transferir esos datos a otros países.
75
76