Políticas de Seguridad

Viernes, 29 Febrero 2008

Que me disculpen hoy los lectores ajenos a esta temática,  pero hoy voy a escribir un artículo concerniente a temas relacionados con mi trabajo. Aún así, seguro que algunos considerais el contenio interesante.

Para el que no lo sepa, una política de Seguridad son un conjunto de documentos que marcan la estrategia de la empresa en relación con la seguridad informática. Suelen constar de documentos a distintos niveles:

- Política: Sería como un documento de declaración de intenciones.

- Normativas: Son la descripción de obligaciones para hacer cumplir las políticas. Describen acciones concretas sobre distinos activos. Describen “el qué se hace”.

- Procedimientos: Son las descripciones técnicas que hacen cumplir las normativas. Están adaptadas a según que tecnología. Describen “el cómo se hace”.

(hay más tipos, que no mencionaremos aquí, como guías, buenas prácticas, estándares, etc.)

Lo que cualquiera que se dedique al mundo de la seguridad informática se habrá dado cuenta es que existen estándares sobre buenas practicas de seguridad (como la ISO 17799, 27001, ….) que mencionan las políticas, y “por encima”, que tienen que tener en cuenta.

Pero, ¿os habeis preguntado como se ejecuta un proyecto de desarrollo de un marco normativo en una organización? Yo se que cada empresa consultora tiene su propia manera de abordar este asunto. Entre estos métodos de cada consultora, existen puntos en común, pero en otros aspectos se hacen cosas distintas.

Guiado por la curiosidad, me he preguntado si existe alguna metodología aprobada para el desarrollo de las políticas de seguridad. Lo que me he encontrado ha sido de muy diversa índole. Espero que al lector le sirva de ayuda mis averiguaciones:

- Por regla general, existen Guías para el Desarrollo de Políticas.

- También existe un intento de creación de metodología para crear políticas. Aunque esta última no sabría si considerarla “buenas prácticas” o “metodología”.

- Por otro lado existen libros que tratan este tema y muestran muchos ejemplos de políticas de seguridad. Aunque no conozco el contenido de estos libros a fondo, intuyo que serán también unas guías genéricas e imagino que diferirán ligeramente de un libro a otro. Algunos ejemplos de libros aquí y otro aquí (este último, bastante conocido en el sector, cuesta más de 500€)

En definitiva, no existe nada serio en este campo (salvo desconocimiento mio, que no lo descarto). En este sentido, sería muy interesante que los organismos internacionales de estandarización movieran ficha para crear una metodología o algo consistente al respecto. Cosas a considerar serían:

  • ¿qué debe cubrir una política de seguridad?
  • ¿cúantas normativas debe tener una organización? ¿qué deben cubrir?
  • ¿cómo se establecen los ciclos de vida de los documentos?
  • ¿quién y cómo se establecen las responsabilidades?
  • ¿que normativas se desarrollan primero? ¿cuales son las dependencias entre normativas?
  • Implicaciones legales
  • Organización.
  • Etc.

Saludos

Fer

1 comentario | Seguridad Informática | Etiquetado: , , | Permalink
Escrito por clonfsp

El trabajo del consultor en seguridad informática

Domingo, 16 Diciembre 2007

Muchos de vosotros os preguntais en qué consiste exactamente mi trabajo, y es por ello que me he decidido a publicar una entrada hablando de ello. Pues bien, en mi puesto puedo desarrollar distintos proyectos dependiendo del cliente, el momento y las necesidades. Enumero:

  • Realizar Análisis de Riesgos. En este tipo de trabajos, cuando llegamos a un cliente comprobamos qué información es importante y analizamos mediante cálculos complejos, que componentes tienen un mayor riesgo a que haya un incidente o incidencia de seguridad que se traduzca en pérdidas monetarias para la empresa. Así, una vez evaluados los riesgos, podemos recomendar dónde se debe gastar la organización el dinero para disminuir esos riesgos.
  • Hacking éticos: Simulamos la actividad de un hacker, para comprobar así los fallos de seguridad de los sistemas y proponer las medidas correctoras asociadas. Esta tarea requiere un alto conocimiento y especialización técnica.
  • Desarrollo de políticas: Igual que el Estado tiene el Código Penal, un Código civil y un montón de leyes que regulan la vida cotidiana del país, en una empresa se crean leyes (llamadas normas) para regular la actividad de la empresa. Parte de estas leyes serían las relativas a la seguridad informática. Ejemplos de normativas serían: aquellas que dicen los niveles de clásificación de la información (público, confidencial, secreto,….) y como se debe proteger cada tipo (cifrado, armarios con llave, …), normas que especifican cómo se organiza el departamento de Seguridad, normas que regulan los controles de seguridad física del edificio, etc….
  • Planes de formación con respecto a la seguridad.
  • Adecuaciones a la ley de protección de datos de caracter personal (LOPD): esta ley marca una serie de controles que deben cumplir las empresas. Nosotros, como consultores, ayudamos a que se cumplan.
  • Planes de contingencia: elaboramos las políticas de copias de seguridad de servidores.
  • Planes de continuidad: desarrollamos planes que ante determinados escenarios (terremoto, inundación, atentado terrorista, ataques de virus, …..) permitirían arrancar un centro de proceso de datos en un lugar distinto al de la empresa, con servidores disponibles y personal de reserva para poder retomar la actividad habitual de la empresa de forma transparente, como si no hubiera pasado nada. Y no solo es importante estos temas, sino también como organizar las actividades y a las personas para acometer todas estas tareas.
  • Proyectos de seguridad en desarrollo de aplicaciones: creamos guías para que los desarrolladores programen de forma que se eviten fraudes y otros problemas de seguridad.
  • Análisis forense: En determinadas ocasiones, es necesario “aislar” un equipo y obtener de él todas las pistas sobre que actividad ha tenido el usuario, qué documentos tiene o qué acciones ha realizado. Esta información puede ser necesaria en procesos judiciales, por lo que es de suma importancia obtener las pruebas de forma “limpia” (p.e. delante de un notario).
  • Otros proyectos: auditorías, fortificación de máquinas, I+D, proyectos de control de acceso y perfilado, etc.

Yo estoy especializado en unos proyectos más que en otros, pero desde un punto de vista profesional, es de suma importancia conocer todas estas actividades, tanto desde el punto de vista técnico como teórico.

Saludos

Fer

1 comentario | Informatica, Seguridad Informática | Etiquetado: | Permalink
Escrito por clonfsp

La NSA

Miércoles, 7 Noviembre 2007

La NSA es uno de los centros de investigación en criptografía y criptoanálisis más importantes del mundo. De hecho se considera que esta organización es el mayor empleador de matemáticos del mundo, así como uno de los mayores inversores en hardware“(fuente: Enciclopedia de la Seguridad Informática, Alvaro Gómez Vieites, Ra-Ma, 2006)

¿no es de suponer que pueden descifrar muchas comunicaciones? La verdad es que los datos dan para pensar mucho en ello. Las referencias a Echelon,  un sistema lleno de polémica, también le dan a uno señales de que el Gran Hermano nos vigila.

Echelon se supone que es un complejo sistema de escuchas de comunicaciones de datos, voz, email y demás tipos de información. El lector puede consultar la wikipedia al respecto. Allí comprobará que este sistema se sospecha se usa también para espionaje económico, político y diplomático.

Por suerte, los usuarios típicos no tenemos nada que esconder, aunque tampoco deberíamos estar bajo la lupa.

Saludos.

2 comentarios | Seguridad Informática | Etiquetado: , , , , | Permalink
Escrito por clonfsp