PDF de programación - Política de Seguridad

Política de seguridad.



POLITICA DE SEGURIDAD

Por: Alejandro Corletti ([email protected])

La RFC 1244 se refiere a los distintos aspectos a tener en cuenta para la confección de la política
de seguridad de una red. A través de este texto se tratará de llevar a la práctica los aspectos
fundamentales de la misma e incluir la mecánica a seguir para la elaboración de las distintas
actividades referidas a seguridad, no expresadas en la RFC.

Como introducción, fuera de lo que especifica la norma, se tratará de establecer una diferencia
básica que se tiene en cuenta en Administración y Conducción. Al tratar todo tipo de
problemas, se establece una gran diferencia entre el marco estratégico y el de planeamiento y
ejecución. El marco estratégico es quién define las políticas a seguir en líneas generales, es el
enfoque macro. Los elementos de Conducción y ejecución sí son los que efectivizan el detalle
planificando y ejecutando las acciones.

Siguiendo este lineamiento es que a lo largo de este texto se tratará de diferenciar claramente la
Política de seguridad (Estrategia) del Plan de seguridad (Ejecución).

Para iniciar esta actividad, es necesario entonces comprender que los responsables de la creación
del plan y política de seguridad son los responsables de la toma de decisiones y el personal
técnico que las llevarán a cabo. Una vez definidos todos sus pasos, pasarán también a ser
responsables la totalidad de los usuarios de la Organización, por quienes pasan la masa de los
puntos claves y deberán conocer sus derechos y obligaciones al respecto.



1. Política de seguridad:



El primer paso entonces es definir la estrategia que se desea para la seguridad de la
Organización. Para esta actividad, el Directorio deberá tener en cuenta lo siguiente:



- Grado de exposición al que se desea llegar:

- Cantidad de información que se desea exponer:

- Metodología de trabajo en el sistema informático de la Organización:

- Grado de acercamiento con otras entidades:

- Importancia de la seguridad dentro de la Organización:

- Presupuesto que se desea invertir para esta tarea:

- Personal que se dedicará al tema:

- Grado de compromiso del más alto nivel:



Luego del análisis de cada uno de estos Item y con las pautas claras al respecto es cuando puede
comenzar a elaborarse el Plan de seguridad, el cual deberá realimentar muchas de las decisiones
tomadas en la Política, generando con esto un Feedback permanente, característico de todo
proceso dinámico.



Ing ALEJANDRO C. CORLETTI



Pág 1

Política de seguridad.

2. Plan de Seguridad:



2.1. Análisis de riesgo:



La primera actividad para la implementación del Plan es determinar que es lo que se necesita
proteger y cómo hacerlo. Este es el proceso de analizar todos los riesgos y clasificarlos acorde a
algún tipo de prioridad. Existen dos tipos de elementos que se deben identificar en este análisis:



2.1.1. Identificación de recursos:



Son los elementos físicos que se necesitan proteger, estos deben contener:

- Hardware: CPU, terminales, workstations, PC, discos, líneas de comunicaciones,

Servidores, Hub, Switch, Router, etc.

- Software: Programas fuente y objeto, utilitarios, sistemas operativos, programas de

comunicaciones, etc.

- Datos: Durante la ejecución, Almacenamiento en línea y fuera de línea, backups,

registros de auditorías, bases de datos, información en tránsito.

- Personas: Usuarios, personal necesario para la ejecución de sistemas, programadores,

etc.

- Documentación: De programas, de hardware, de sistemas, procedimientos.

- Auxiliares: papeles, formularios, medios magnéticos, CD, etc.



2.1.2. Identificación de actividades:



En estas se puede determinar qué potencial de pérdida puede existir.

- Accesos no autorizados: Autorización de empleo de cuentas de usuarios por otras

personas, uso de recursos sin autorización.

- Desbloqueo de información: La modificación de permisos sobre recursos es el más

común.

- Negación de servicio: Esta actividad se puede presentar de distintas formas y afectará a

los distintos usuarios de manera diversa.

2.2. Lineamiento del plan:



Una vez analizados los riesgos es importante trazar los primeros lineamientos generales del plan,
aquí se especificarán los problemas globales a considerar, en general estos son:



2.2.1. Quién está autorizado a usar los recursos?


Ing ALEJANDRO C. CORLETTI



Pág 2

Política de seguridad.

En este punto se inicia el análisis de los distintos niveles de acceso a recursos, dando el
enfoque inicial a los futuros grupos de acceso a recursos.



2.2.2. Cuál es el uso correcto de recursos?



Se trata aquí de especificar un guía de acceso a los diferentes tipos de usuarios, aclarando
fehacientemente qué es lo correcto y lo incorrecto, definiendo cuáles son los límites de
cada uno, debe quedar sumamente claro las responsabilidades de las acciones llevadas a
cabo. Un detalle a tener en cuenta también es el alcance legal del copiado de Software,
acorde a la política de licencias de la Organización

En redes con buena capacidad de administración, se puede fomentar la actividad de
investigación de vulnerabilidades, esto quiere decir que usuarios autorizados pueden
desarrollar actividades de "Hackers" para colaborar con la administración de seguridad,
detectando fallas tempranamente. Si se desea llevar a cabo esta actividad, es
imprescindible dedicar varios apartados del Plan para dejar claramente especificado que
se debe y que no se debe hacer, hasta dónde se puede llegar y los procedimientos ante
cada uno de los avances. En estos casos, una buena medida es aislar segmentos de red
para estas tares, con la finalidad de poder testearlos e identificar los "propios de los
ajenos"



2.2.3. Quién está autorizado a crear usuarios y conceder accesos?



Si no se tiene control sobre quién autoriza los accesos, no se podrá controlar sobre
quienes usan el sistema. Es una muy buena medida especificar procedimientos para la
creación de cuentas y asegurarse que el personal que lo realiza conozca bien estas
normas.

El garantizar el acceso a usuarios es una de las vulnerabilidades más grandes de un
sistema. Un detalle importante a tener en cuenta es la metodología de selección de
contraseñas (este tema se tratará más adelante)

Se plantea aquí uno de los puntos claves de seguridad:



Se centralizarán los accesos o existirán múltiples puntos ?

Siempre cuanto más centralizado sean los mismos, más seguro será el sistema.



2.2.4. Quiénes pueden tener privilegios administrativos?



Esta es una decisión de suma importancia, pues inevitablemente se deberá designar a un
cierto grupo de personas para poseerlos.



2.2.5. Cuáles son las responsabilidades de los administradores del sistema?


Ing ALEJANDRO C. CORLETTI



Pág 3

Política de seguridad.

En particular se deben tener en cuenta los aspectos relacionados a la información
propietaria de los distintos usuarios de la red como así también el análisis de trafico o
correo electrónico, el acceso a bases de datos, etc.



2.2.6. Qué hacer con la información sensible?



Se planifican aquí las distintas estrategias de resguardo y recuperación de información en
diferentes modos (Discos, tape, CD, etc).



2.2.7. Que sucede si el plan es violado?



Existen distintos tipos de violaciones al plan, cada una de las cuales deberá ser tratada de
manera diferente, esta pueden ser por:

- Negligencia individual:

- Accidente:

- No haber sido correctamente informado de las medidas de seguridad:

- No entendimiento del plan:

Lo importante es la rápida reacción y la determinación de cómo y por qué se produjo. Se
deberá determinar la respuesta a la violación.



2.2.8. Proceder ante incidentes:

Existen dos estrategias básicas a tener en cuenta ante un incidente de seguridad:

- Proteger y proceder: La premisa de esta es la preservación de los componentes del
sistema, el gran problema es que si el intruso no pudo ser identificado, este podrá
regresar por la misma puerta o por algún otra.

Qué premisas se deben tener en cuenta para implementar esta estrategia?



* Si los recursos no están bien protegidos.

* Si existe un riesgo económico de magnitud al continuar la intrusión.

* Si no existe la posibilidad de perseguir al intruso.

* Si los usuarios no poseen conciencia de seguridad y sus recursos peligran.

* Si los recursos no están claramente establecidos.

- Seguir y perseguir: Se permite al intruso continuar sus actividades hasta identificarlo y
evidenciar las vulnerabilidades del sistema que fueron aprovechadas. Se requiere aquí
conocimiento en el manejo de incidentes y herramientas adecuadas pues se está
arriesgando demasiado. La gran ventaja de este proceder es que es la única forma
eficiente de llegar a las causas del problema para que este no vuelva a repetirse.

Qué premisas se deben tener en cuenta para implementar esta estrategia?

* Si los recursos y sistemas están bien protegidos.


Ing ALEJANDRO C. CORLETTI



Pág 4

Política de seguridad.

* Si se dispone de buenos backup.

* Si la frecuencia de ataques es considerable.

* Si el acceso de intrusos puede ser controlado.

* Si se posee la capacitación suficiente para enfrentar un ataque.

* Si existen contactos con otros organismos que puedan prestar apoyo ante

ataques.

* Si ex