Your SlideShare is downloading. ×
Memoria del proyecto
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Memoria del proyecto

523
views

Published on

Proyecto Fin de Master - Universidad Europea de Madrid. MUSTIC

Proyecto Fin de Master - Universidad Europea de Madrid. MUSTIC

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
523
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
14
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. POLÍTICAS DE SEGURIDAD DE ACCESOS AREDES LOCALES PARA LA PREVENCIÓN DE FUGA DE DATOS Autores: Díaz, Peter Villanueva, Alejandro Fiz, Jesús González, Nadia Madrid, Mayo de 2011
  • 2. POLÍTICAS DE SEGURIDAD DE ACCESOS AREDES LOCALES PARA LA PREVENCIÓN DE FUGA DE DATOS Proyecto de Fin de Máster presentado por: Autores: Díaz, Peter Villanueva, Alejandro Fiz, Jesús González, Nadia Directora: Santamaría, Pilar. Madrid, Mayo de 2011
  • 3. Resumen Las políticas de control de acceso de usuarios y refuerzo de dichaspolíticas en el servidor de aplicaciones web, tienen como finalidad el control,gestión, seguimiento y mantenimiento de toda la infraestructura del entornocorporativo. Actualmente en la empresa Grupo Seidor, S.A. no existen políticasde control de acceso para sus usuarios. La finalidad de estas políticas que sedesarrollaran para este trabajo de fin de master es de servir como punto dereferencia para el departamento de seguridad de la empresa, para el inicio de unplan de acciones que lleven a un control de la plataforma, tecnológicaresguardando los datos de la empresa. iii
  • 4. Abstract The access control policies for users and reinforcement of such policies onthe applications web server have as a purpose the control, management, tracking,and maintenance of the entire corporate infrastructure environment. Actually onthe company Grupo Seidor, S.A. there are none access control policies for users.The purpose of these policies that will be developed for this thesis is to serve as areference point for the IT security department of the company, for the beginningof an action plan that lead to the control of the technological platform of thecompany safeguarding its data. iv
  • 5. Agradecimientos A nuestra tutora Pilar Santamaría por su ofrecimiento inicial a llevar a cabo este proyecto, así como a su dedicación y seguimiento en el transcurso del desarrollo del mismo. A mi padre Ramón Daniel Villanueva Fernández, y a mis hermanos Karin y Moncho por ayudarme siempre que lo necesite. (Alejandro) A mis padres María y Eloy, y especialmente a mi madre, que sufre una granenfermedad, por haberme ayudado a llegar a este punto de mi vida y a mi esposa María, por ayudarme a compaginar mis estudios con el trabajo. (Jesús) A mi Madre María Teresa Rosales y mi cuñado (Padre) Gustavo Pineda quienes con su ejemplo de lucha y vida me dieron un gran ejemplo de superación ysabiduría. A mis hermanos(as) Ricardo, Libia Jazmín quienes con sus cuidados ycrianza fueron guías en mi formación profesional. Especialmente a mi esposa por su paciencia, apoyo y amor incondicional, te amo Mi Nena. (Peter) A toda mi familia y amigos por su gran apoyo, pero en especial a mi madreManuela Gutiérrez Hondal, por estar siempre ahí, escucharme y apoyarme en todo lo que hago y por inculcarme su espíritu de superación cada día, no sé qué haría sin ella. Gracias por todo mamá, te quiero. (Nadia) v
  • 6. Índice de Capítulos y Anexos PáginaResumen……………………………………………………………...... iiiAbstract………………………………………………………………... ivAgradecimientos………………………………………………….……. vÍndice de Capítulos y Anexos...……………..…………………………. viÍndice de Tablas………………………………………………………... viiÍndice de Figuras………………………………………………………. xivCapítulo I Introducción…………………….……………………...…... 15Capítulo II Estado de la Cuestión.…………………………………….. 17Capítulo III Descripción del Problema...………………………………. 18Capítulo IV Solución Propuesta………………………………………. 20Capítulo V Conclusiones………………………………………………. 103Capítulo VI Trabajos Futuros…………………………………………. 104Apéndices……………………………………………………………… 105I Bibliografía……………………….………………...………………... 106II Antecedentes………………………………………………………… 107III Organigrama de la Empresa………………………………………… 112IV Cisco 2010 Global Threat Report…………………………………… 113V Forrester Consulting Paper about the Value of Corporate Secrets…… 120 vi
  • 7. Índice de Tablas PáginaTabla 1. Historial de Política: Sistema Operativo Cliente…………… 20Tabla 2. Historial de Política: Sistema de antivirus………………….. 21Tabla 3. Historial de Política: Sistema de control y admisión de estacionesde trabajo………………………...……………………………………. 22Tabla 4. Historial de Política: Red de cuarenta……..……………….. 23Tabla 5. Historial de Política: Actualización Automática del SistemaOperativo………………………………………………………….….. 24Tabla 6. Historial de Política: Perfiles de admisión de losusuarios……………………………………………………………….. 25Tabla 7. Historial de Política: Red de invitados……………….…….. 26Tabla 8. Historial de Política: Control de acceso a proveedoresexterno………………………………………………………………… 27Tabla 9. Historial de Política: Administración de las aplicacionesde control y admisión…………………………………………………. 28Tabla 10. Historial de Política: Dispositivos de electrónica de redpara la admisión de equipos electrónicos…………………………… 29Tabla 11. Historial de Política: Servidores de control y admisión.... 30 vii
  • 8. Tabla 12. Historial de Política: Control de admisión de usuarios…. 31Tabla 13. Historial de Política: Actualización de los sistemasoperativos de los clientes…………………………………………… 32Tabla 14. Historial de Política: Administración de los dispositivosde electrónica de red……………………………………………….. 33Tabla 15. Historial de Política: Admisión y control de Servidoresen la red corporativa………………………………………………. 34Tabla 16. Historial de Política: Sistema de control de gestión y alertas. 35Tabla 17. Historial de Política: Renovación de los equipos deelectrónica de red…………………………………………………… 36Tabla 18. Historial de Política: Sistema de monitorización de laelectrónica de red…………………………………………………… 37Tabla 19. Historial de Política: Solicitud de acceso a la red corporativa. 38Tabla 20. Historial de Política: Actualización de las aplicacionestecnológicas………………………………………………………………. 39Tabla 21. Historial de Política: Se debe especificar el control de accesode los usuarios al sistema………………………………………………… 40Tabla 22. Historial de Política: Gestión y creación de contraseñas……. 41Tabla 23. Historial de Política: Uso adecuado del sistema…………….. 42 viii
  • 9. Tabla 24. Historial de Política: Respaldo de la información…………… 43Tabla 25. Historial de Política: Uso de correo electrónico……………… 44Tabla 26. Historial de Política: Roles de los usuarios en la Intranet…… 45Tabla 27. Historial de Política: Contenidos de la página principalde la Intranet……………………………………………………………… 46Tabla 28. Historial de Política: Publicación de contenidos en la Intranet. 47Tabla 29. Historial de Política: Responsable del avance de la Intranet…. 48Tabla 30. Historial de Política: Clasificación de los contenidospublicados en la Intranet…………………………………………………. 49Tabla 31. Historial de Política: Control de descarga de aplicaciones…. 50Tabla 32. Historial de Política: Notificación de incidentes en la Intranet.. 51Tabla 33. Historial de Política: Formación del personal sobre seguridaden la Intranet……………………………………………………………… 52Tabla 34. Historial de Política: Responsables de seguridad de laIntranet…………………………………………………………………… 53Tabla 35. Historial de Política: Integridad en los contenidos de laIntranet…………………………………………………………………… 54Tabla 36. Historial de Política: Disponibilidad de la Intranet…………. 55 ix
  • 10. Tabla 37. Historial de Política: Acuerdos de confidencialidad………… 56Tabla 38. Historial de Política: Autorización para procesar laInformación……………………………………………………………… 57Tabla 39. Historial de Política: Auditabilidad de la Intranet………….. 58Tabla 40. Historial de Política: Etiquetado de la información de laIntranet…………………………………………………………………. 59Tabla 41. Historial de Política: Identificación de los riesgos de laIntranet…………………………………………………………………. 60Tabla 42. Historial de Política: Funciones y responsabilidades de losempleados respecto al uso de la Intranet………………………………. 61Tabla 43. Historial de Política: Proceso disciplinario para los empleadospor el mal uso de la Intranet……………………………………………. 62Tabla 44. Historial de Política: Retirada y modificación de losderechos de acceso a la Intranet……………………………………….... 63Tabla 45. Historial de Política: Controles de la red interna……………. 64Tabla 46. Historial de Política: Control sobre el intercambio deinformación………………………………………………………………… 65Tabla 47. Historial de Política: Registro de auditorías de la Intranet…… 66Tabla 48. Historial de Política: Registro de administración de la Intranet. 67 x
  • 11. Tabla 49. Historial de Política: Registro de usuarios de la Intranet…… 68Tabla 50. Historial de Política: Equipo de usuario con acceso a laIntranet desatendido…………………………………………………….. 69Tabla 51. Historial de Política: Uso de servicios en red………………. 70Tabla 52. Historial de Política: Identificación de los equipos en laIntranet…………………………………………………………………. 71Tabla 53. Historial de Política: Desconexión automática de sesión enla Intranet………………………………………………………………. 72Tabla 54. Historial de Política: Controles contra código malicioso….. 73Tabla 55. Historial de Política: Controles contra códigos móviles…… 74Tabla 56. Historial de Política: Controles de redes…………………… 75Tabla 57. Historial de Política: Seguridad de los servicios de la red….. 76Tabla 58. Historial de Política: Registro de auditoría…………………. 77Tabla 59. Historial de Política: Uso del sistema de monitorización.…… 78Tabla 60. Historial de Política: Protección del registro de información. 79Tabla 61. Historial de Política: Registros del administrador y operador. 80Tabla 62. Historial de Política: Registro de fallos………………………. 81 xi
  • 12. Tabla 63. Historial de Política: Política de control de acceso………. 82Tabla 64. Historial de Política: Registro de usuario…………………. 83Tabla 65. Historial de Política: Gestión de privilegios………………. 84Tabla 66. Historial de Política: Gestión de las claves secretas de losUsuarios………………………………………………………………. 85Tabla 67. Historial de Política: Revisión de los derechos de accesodel usuario……………………………………………………………. 86Tabla 68. Historial de Política: Uso de claves secretas……………… 87Tabla 69. Historial de Política: Equipo desatendido…………………. 88Tabla 70. Historial de Política: Uso de los servicios de red…………. 89Tabla 71. Historial de Política: Computación y comunicacionesMóviles……………………………………………………………….... 90Tabla 72. Historial de Política: Control de vulnerabilidades………… 91Tabla 73. Historial de Política: Reporte de eventos………………….. 92Tabla 74. Historial de Política: Reporte de las debilidades en laSeguridad……………………………………………………………… 93Tabla 75. Historial de Política: Realización de revisiones y evaluacionesWeb………………………………………………………………………… 94 xii
  • 13. Tabla 76. Historial de Política: Log Management…………………………... 95Tabla 77. Historial de Política: Copia en red de los Log…………………… 96Tabla 78. Historial de Política: Revisión de políticas de seguridad ycumplimiento técnico………………………………………………………… 97Tabla 79. Historial de Política: Auditorías de sistemas……………………… 98Tabla 80. Historial de Política: Monitorización de administración de sistemas. 99Tabla 81. Historial de Política: Monitorización de uso del sistema………… 100Tabla 82. Historial de Política: Protección y respaldo de los Log…………. 101 xiii
  • 14. Índice de Figuras PáginaOrganigrama de la Empresa………………………………………….... 112 xiv
  • 15. CAPITULO I INTRODUCCIÓNEl Grupo Seidor es una empresa española cuyo origen data del año 1982 enCataluña, con un capital 100 % español y que ha estado siempre entre las 50mejores empresas TIC españolas. Desde el año 2005 ha experimentado unaexpansión a pasos acelerados en toda España y Latinoamérica, fundamentalmentepor la comercialización de los sistemas SAP, donde es el líder en España llegandoa lograr importantes premios a nivel nacional e internacional. El grupo Seidor en la actualidad disponen de sistemas que administran,controlan y monitorean los principales servicios y aplicaciones de su red localcorporativa, todo esto ha llevado al desarrollo de su infraestructura y uncrecimiento acelerado de sus procesos tecnológicos. Con la finalidad decontrolar y gestionar cada uno de los sistemas que componen la estructuratecnología del Grupo Seidor en especial la seguridad en tecnología de lainformación y comunicaciones conocida por sus siglas TIC, se han desarrolladoen este trabajo de fin de master una serie de políticas que contribuyen alcontrol, supervisión, mantenimiento, auditoria y gestión de los sistemas en elGrupo Seidor. Teniendo en cuenta lo antes expuesto dichas políticas llevan un control ygestión de los accesos a las aplicaciones, validaciones, servicios, servidores,estaciones de trabajo y en general toda la plataforma que soporta lainfraestructura. El Grupo Seidor, tomando en cuenta la seguridad en las TIC, entiende queno es necesario tener como único punto un responsable o un gran departamento deseguridad, sino políticas que regulen a estas personas en sí mismas o a estosdepartamentos involucrados. 15
  • 16. Uno de los principales temores dentro del Grupo Seidor es que en laactualidad por no contar con políticas de seguridad en sus redes locales, hanexperimentado fugas de datos que han arrojado reflejan pérdidas económicasmillonarias. Un ejemplo muy parecido de estas fugas de información se hanvisto últimamente como el de la empresa Sony donde su producto estrellaPlayStation por un fallo en su seguridad interna (posiblemente por no contar conpolíticas definidas), que se ha traducido en una fuga de datos de los suscriptoresde esta red de usuarios, en la mayoría personas que jugaban y tenían datospersonales en los servidores de la compañía. Como reflexión decimos que las políticas de seguridad en muchos casosson subestimadas por las empresas, no obstante tienen el poder de crearconciencia en las personas, como en todo sistema eco ambiental donde interactúael hombre y los sistemas las políticas son como las leyes en los países, marcan lapauta del comportamiento y actuación de las personas en determinadassituaciones. Pero al igual que las leyes en algunos casos son mal interpretadaso simplemente no se cumplen. Debemos tener siempre presente que laspolíticas de seguridad son necesarias si queremos tener una organización conparámetros que permitan regular el funcionamiento adecuado de losambientes y plataformas informáticas garantizando un verdadero control delrecurso humano y de los sistemas. 16
  • 17. CAPITULO II ESTADO DE LA CUESTIÓN Al momento del desarrollo de este trabajo no existían dentro de laorganización Grupo Seidor Políticas de Control y Acceso a la red local, esto teníacomo consecuencia la fuga de información de todos los desarrolloscorrespondientes a nuevos proyectos que se desarrollaban en el departamento deDesarrollo de Negocios. La finalidad de este trabajo es poder brindar los mediosal departamento de seguridad de poder mitigar la fuga de información y tener uncontrol de los usuarios que acceden a los recursos de la red local, pudiendo asítener la supervisión, la trazabilidad y la auditoria de toda la información decarácter sensible y confidencial que circula dentro de la red. La protección de los datos es de alta importancia para el departamento dedesarrollo de negocios y por ello ha pedido al departamento de seguridad de laorganización la creación de políticas de seguridad que permitan el control ymitigación de los posibles fallos no humanos y humanos que puedan estardesarrollándose en Grupo Seidor. Es un punto a destacar que la organización estáexperimentando un crecimiento exponencial de clientes lo que ha llevado elúltimo año de operaciones a crecer el personal de consultores y administrativos,en muchos casos han venido personal de la competencia y en pro de proteger lafuga de la información han pedido la implementación de políticas de seguridad.Casos que se han desarrollado en otras corporaciones como Sony Corporation conel caso de su producto estrella Play Station Network 1 , donde un fallo de seguridadpermitió la fuga de millones de datos de sus suscriptores ha encendido la alerta nosolo a la gerencia de seguridad de Grupo Seidor sino a todos los departamentos deSeguridad de todas las empresas a nivel mundial.1 2011. “Comunicado de Prensa de Sony Online Entertainment sobre cuestiones de seguridad”.“blog.es.playstation.com”. (Consultada: 05/05/2011) 17
  • 18. CAPITULO III DESCRIPCIÓN DEL PROBLEMA La empresa Grupo Seidor S.A. en la actualidad no cuenta con políticas deseguridad para el control de los usuarios y a sus servidores de aplicaciones web,en los últimos años se ha incrementado el robo de información digital por parte delos usuarios internos por no tener control sobre sus servidores web, al no existirpolíticas de seguridad que regulen los accesos y lleven un control de los usuariosque accedan de manera regulada a la información alojada en sus servidores deaplicaciones web. La sustracción y robo de información clasificada le ha llevado a la pérdidade negocios y clientes en valores monetarios superiores a 800.000 euros por año,lo que representa una cuarta parte del ingreso anual en ventas solo en servicios deconsultoría. Estas políticas de seguridad serán reguladas, administradas y puesta enmarcha por el departamento de seguridad y redes de la empresa, teniendo comoprimera misión el poder regular los accesos a los usuarios internos y a losservidores de aplicaciones web. Los servidores de aplicaciones web, contienen los sistemas financieros,contables y administrativos soportados todos ellos en los sistemas ERP de SAP 2Business One. Estos módulos gestionan el 80 % de las operaciones de laorganización.2 2011. “SAP España, Pequeñas y Medianas Empresas” . http://www.sap.com/spain/sme/solutions/businessmanagement/businessone/index.epx. (Consultada: 16/03/2011) 18
  • 19. El requerimiento para la elaboración y estructuración de unas políticas deseguridad que aplique el entorno organizacional interno con el fin de resguardar lainformación crítica para la empresa como son sus clientes y proveedores externos.Estas políticas a ser implementadas llevaran un control para la prevención no solode este tipo de ataques que se vinculan al factor humano sino también a losinformáticos que día a día se desarrollan incrementalmente trayendo en ocasionesperdidas millonarias y paradas inesperadas a las organizaciones. 19
  • 20. CAPITULO IV SOLUCIÓN PROPUESTAPolíticas de admisión y control de usuarios: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 1. Historial de Política: Sistema Operativo Cliente.Política: Sistema Operativo Cliente.Comentario: Con esta política se pretende especificar el tipo de sistema operativoque se autoriza para acceder a la red corporativa. El sistema operativo cliente seráel indicado por el responsable del departamento de seguridad y no se podrá operarcon ningún otro sistema operativo que no esté autorizado por el responsable deldepartamento de seguridad.Políticas relacionadas: “Sistema operativo cliente”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 20
  • 21. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 2. Historial de Política: Sistema de antivirus.Política: Sistema de antivirus.Comentario: Esta política establece los equipos corporativos deberán de tener unsistema operativo el cual será actualizado periódicamente por los servidores queprestan el servicio de actualización de huellas, este antivirus será administrado ycontrolado por el departamento de seguridad.Políticas relacionadas: “Sistema Antivirus”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 21
  • 22. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 3. Historial de Política: Sistema de control y admisión de estaciones de trabajo.Política: Sistema de control y admisión de estaciones de trabajo.Comentario: Esta política específica que las estaciones de trabajo que seconectan a la red corporativa solo recibirán los servicios si pertenece a un grupoespecífico del entorno tecnológico y cumpla con las reglas definidas por eldepartamento de seguridad de la corporación.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 22
  • 23. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 4. Historial de Política: Red de cuarenta.Política: Red de cuarenta.Comentario: Esta política especifica qué las estaciones de trabajo que nocumplan con las reglas definidas por el departamento de seguridad de lacorporación, pasar a una red de cuarentena con servicios limitados que serándefinidos previamente por el departamento de seguridad de la corporación.Políticas relacionadas: “Control y Admisión”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 23
  • 24. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 5. Historial de Política: Actualización Automática del Sistema Operativo.Política: Actualización Automática del Sistema Operativo.Comentario: Esta política establece que las estaciones de trabajo y servidorescontaran con un sistema automatizado para la actualización y parcheo de sussistemas operativos, dicho sistema será administrado y controlado por eldepartamento de seguridad de la corporación y contara con la supervisión delresponsable del departamentoPolíticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 24
  • 25. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 6. Historial de Política: Perfiles de admisión de los usuarios.Política: Perfiles de admisión de los usuarios.Comentario: Esta política establece los perfiles de los usuarios en la redcorporativa, el usuario tendrá acceso a los sistemas de la corporación de acuerdoal rol y las funciones que desempeñe en la organización, de esta manera seestablecerán niveles de acceso para cada aplicación, base de datos, sistema web ocualquiera que aplique en el entorno corporativo. Estos niveles serán establecidospor el departamento de seguridad de la organización.Políticas relacionadas: “Perfiles de los usuarios”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 25
  • 26. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 7. Historial de Política: Red de Invitados.Política: Red de invitados.Comentario: Se contara con una red de invitados la cual tendrá una conectividadtotalmente aislada a la red corporativa y cuyo acceso será solo autorizado por eldepartamento de seguridad de la corporación.Políticas relacionadas: “Control y Admisión”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 26
  • 27. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 8. Historial de Política: Control de acceso a proveedores externos.Política: Control de acceso a proveedores externos.Comentario: Para evitar que los equipos portátiles y electrónicos de proveedoresexternos que se conectan a la red corporativa, dicha autorización y chequeo previoserá exclusivamente autorizado por el departamento de seguridad de lacorporación, con el fin de evitar que dichos equipos puedan contener softwaremalicioso o no cumplan con las políticas establecidas anteriormente.Políticas relacionadas: “Control y admisión”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 27
  • 28. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 9. Historial de Política: Administración de las aplicaciones de control y admisión.Política: Administración de las aplicaciones de control y admisión.Comentario: Es necesario tener un responsable que se encargue de administrarlos dispositivos, servidores y aplicaciones que control, autoricen y administren elacceso a la red corporativa y sus recursos asociados. Este responsable será elencargado de dar un reporte y alertar de las posibles vulnerabilidades eirregularidades que pueda sufrir la organización. Este administrador dependerádirectamente del responsable del departamento de seguridad.Políticas relacionadas: “Responsables del sistema de control y admisión”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 28
  • 29. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 10. Historial de Política: Dispositivos de electrónica de red para la admisión de equipos electrónicos.Política: Dispositivos de electrónica de red para la admisión de equiposelectrónicos.Comentario: Solo se permitirán la implementación de equipos de electrónica dered que cumplan con el protocolo 802.1X para garantizar que dichos equipostendrán la capacidad de operar bajo normas establecidas por el departamento deseguridad, garantizando el control y administración de los equipos que seconecten a la red corporativa.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 29
  • 30. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 11. Historial de Política: Servidores de control y admisión.Política: Servidores de control y admisión.Comentario: Se deberá contar con servidores que presten los servicios deadmisión y control en la red corporativa. Estos servidores deberán cumplir conlas normas establecidas anteriormente y serán capaces de ser administrados demanera autónoma con la mínima intervención del personal del departamento deseguridadPolíticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 30
  • 31. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 12. Historial de Política: Control de admisión de usuarios.Política: Control de admisión de usuarios.Comentario: Los usuarios que se conecten a la red corporativa deberán cumplircon las normas establecidas por el departamento de seguridad de la organización,y bajo ningún concepto podrán saltarse los procedimientos de admisión y controla la red corporativaPolíticas relacionadas: “Control de usuarios”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 31
  • 32. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 13. Historial de Política: Actualización de los sistemas operativos de los clientes.Política: Actualización de los sistema operativos de los clientes.Comentario: La actualización de los sistemas operativos de las estaciones detrabajo estará a cargo del departamento de tecnología de la organización, bajo lasupervisión del departamento de seguridad. Ambos departamento se coordinaranpara tomar en cuenta cuáles serán los sistemas operativos implicados en elmomento de su actualización.Políticas relacionadas: “Sistemas operativos”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 32
  • 33. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 14. Historial de Política: Administración de los dispositivos de electrónica de red.Política: Administración de las dispositivos de electrónica de red.Comentario: Se contara con un responsable de administrar y controlar losdispositivos de electrónica de red que interconectan la red corporativa, dichoresponsable dependerá del departamento de seguridad de la organización.Políticas relacionadas: “Personal Administrativo”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 33
  • 34. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 15. Historial de Política: Admisión y control de Servidores en la red corporativa.Política: Admisión y control de Servidores en la red corporativa.Comentario: Solo se permitirán la instalación de servidores que cumplan con lasnormas establecidas por el departamento de seguridad y sean compatibles con elprotocolo 802.1X, todos los servidores que se conecten a la electrónica de reddeben de tener la capacidad de auto gestionarse con la mínima intervención de losadministradores.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 34
  • 35. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 16. Historial de Política: Sistema de control de gestión y alertas.Política: Sistema de control de gestión y alertas.Comentario: Se contara con un sistema de gestión y alertas que permita notificara los responsables del departamento de seguridad y tecnología en caso de algunacontingencia o alarma preventiva. Estas alertas serán pre configuradas en elsistema de acuerdo a las aplicaciones que se alojen en cada servidor y tomando encuenta su criticidad para la organización.Políticas relacionadas: “Sistema de gestión y alertas”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 35
  • 36. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter DíazTabla 17. Historial de Política: Renovación de los equipos de electrónica de red.Política: Renovación de los equipos de electrónica de red.Comentario: Se renovaran y se sacaran de su vida útil todos los equipos deelectrónica de red que no cumplan con el protocolo 802.1X, esto con el fin detener un equipamiento estándar que cumpla con los mínimos requerimientos parala gestión de la plataforma tecnológica de la corporación.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 36
  • 37. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 18. Historial de Política: Sistema de monitorización de la electrónica de red.Política: Sistema de monitorización de la electrónica de red.Comentario: Se debe contar con un sistema de monitorización que permita ver entiempo real el funcionamiento y desempeño de los equipos de electrónica de red.Dicho sistema tiene que cumplir con las normas establecidas por el departamentode seguridad de la corporación, bajo la aprobación del responsable de seguridad.Políticas relacionadas: “Sistema de monitorización”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 37
  • 38. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 19. Historial de Política: Solicitud de acceso a la red corporativa.Política: Solicitud de acceso a la red corporativa.Comentario: Todo equipo electrónico, dispositivo, portátil y/o servidor quecumpla una función critica dentro de la organización deberá ser autorizadopreviamente por el departamento de seguridad de la corporación antes de serconectado a la plataforma tecnológica.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 38
  • 39. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 20. Historial de Política: Actualización de las aplicaciones tecnológicas.Política: Actualización de las aplicaciones tecnológicas.Comentario: Solo se permitirán la implementación de aplicaciones tecnológicascompatibles con los sistemas de admisión y control descritos anteriormente, bajoningún concepto se implementaran aplicaciones que no sean compatibles con laplataforma tecnológica de la corporaciónPolíticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 39
  • 40. Políticas de protección de la Intranet y suscontenidos: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de seguridad Autor: Nadia González Tabla 21. Historial de Política: Se debe especificar el control de acceso de los usuarios al sistema.Política: Se debe especificar el control de acceso de los usuarios al sistema.Comentario: Con esta política se pretende especificar como deben acceder losusuarios al sistema, desde dónde y de qué forma deben autentificarse. El controlde acceso está ligado la autentificación, ya que para poder acceder al sistema esnecesario autentificarse. Mediante el control de acceso el usuario deberáintroducir su nombre de usuario y contraseña y de esta forma tendrá acceso a losrecursos de la intranet. Todos los usuarios deberán acceder al sistema utilizandoalgún programa que permita una comunicación segura y cifrada.Políticas relacionadas: “Autentificación de personal”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 40
  • 41. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 22. Historial de Política: Gestión y creación de contraseñas.Política: Gestión y creación de contraseñas.Comentario: Esta política establece qué persona asignará la contraseña, lalongitud que debe tener, su formato, la forma en que debe ser comunicada, etc.Las contraseñas son el método de autentificación más común y con todas estasmedidas se pretende que los usuarios se autentifiquen de manera segura y asígarantizar la protección contra ataques en la intranet.Políticas relacionadas: “Asignación de contraseñas”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 41
  • 42. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 23. Historial de Política: Uso adecuado del sistema.Política: Uso adecuado del sistema.Comentario: Esta política específica lo que se considera un uso adecuado oinadecuado del sistema por parte de los usuarios, así como lo que está permitido ylo que está prohibido dentro del sistema de información. Está prohibido entreotras cosas el ejecutar programas que intenten adivinar contraseñas alojadas en lasmáquinas locales o remotas.Políticas relacionadas: “Normas del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 42
  • 43. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 24. Historial de Política: Respaldo de la información.Política: Respaldo de la información.Comentario: Esta política especifica qué información debe respaldarse, quémedios de respaldo utilizar, cada cuanto tiempo debe respaldarse, cómo deberá serrespaldada la información, dónde deberán almacenarse los respaldos etc. Unejemplo sería que el administrador del sistema es el responsable de realizar losrespaldos de la información. Cada mes deberá efectuarse un respaldo completo delsistema y cada día deberán ser respaldados todos los archivos que fueronmodificados o creados. La información respaldada deberá ser almacenada en unlugar seguro y distante del sitio de trabajo.Políticas relacionadas: “Métodos de respaldo de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 43
  • 44. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 25. Historial de Política: Uso de correo electrónico.Política: Uso de correo electrónico.Comentario: Esta política establece tanto el uso adecuado como inadecuado delservicio de correo electrónico, los derechos y obligaciones que el usuario debeconocer y cumplir al respecto. Un ejemplo es que el usuario es la única personaautorizada para leer su propio correo, a menos que él autorice explícitamente aotra persona para hacerlo, o bien que su cuenta esté involucrada en algúnincidente de seguridad de la empresa.Políticas relacionadas: “Obligaciones de los usuarios con el correo electrónico”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 44
  • 45. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 26. Historial de Política: Roles de los usuarios en la Intranet.Política: Roles de los usuarios en la intranet.Comentario: Esta política establece los permisos de los usuarios en el acceso yen los contenidos de la intranet. Es decir, dependiendo del rol que se le hayaasignado, el usuario tendrá acceso a una determinada información, ya que notodos los usuarios pueden tener el mismo nivel jerárquico dentro de la empresa.Políticas relacionadas: “Permisos de los usuarios”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 45
  • 46. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia GonzálezTabla 27. Historial de Política: Contenidos de la página principal de la Intranet.Política: Contenidos de la página principal de la Intranet.Comentario: La página principal de la Intranet es el espacio más demandado delsitio en cada área de la empresa, ya que todos tienen enlace directo a suinformación. Cada equipo de la Intranet debe tener establecido lo que tiene queestar publicado y lo que no en la página principal.Políticas relacionadas: “Acceso a la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 46
  • 47. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 28. Historial de Política: Publicación de contenidos en la Intranet.Política: Publicación de contenidos en la Intranet.Comentario: Para evitar que la Intranet se convierta en “un vertedero dedocumentos de segunda mano” es importante que la información que ya haya sidocomunicada al personal a través de cualquier mecanismo como el correoelectrónico no vuelva a ser publicada en la Intranet.Políticas relacionadas: “Acceso a la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 47
  • 48. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 29. Historial de Política: Responsable del avance de la Intranet.Política: Responsable del avance de la Intranet.Comentario: Es necesario tener un responsable para impulsar el avance de laIntranet, el desarrollo de sus estrategias y la gestión de los elementos clave delsitio. Esto es necesario para que la Intranet sea consistente, coherente y eficaz. Elresponsable del avance de la Intranet tiene que intentar mejorarla en todomomento, utilizar una serie de estrategias para su mejora y gestionar elementoscomo la página principal, la búsqueda etc.Políticas relacionadas: “Responsables de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 48
  • 49. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 30. Historial de Política: Clasificación de los contenidos publicados en la Intranet.Política: Clasificación de los contenidos publicados en la Intranet.Comentario: No todos los contenidos de la Intranet deben ser publicados, ya quela información se clasifica en distintos niveles de seguridad, puede ser pública,privada o confidencial, y esto ha de tenerse en cuenta a la hora de la publicaciónde contenidos. Habrá cierta información pública, es decir, accesible a todos losusuarios de la Intranet, la privada, a la que sólo tendrán acceso ciertos usuarios,dependiendo de su rol, y la confidencial que no es conveniente que sea publicadaen la Intranet, pero en caso de serlo solo debe tener acceso la persona con lospermisos necesarios.Políticas relacionadas: “Clasificación de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 49
  • 50. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 31. Historial de Política: Control de descarga de aplicaciones.Política: Control de descarga de aplicaciones.Comentario: Es necesario tener un control de las aplicaciones que se descarguenlos empleados de Internet, ya que las aplicaciones pueden contener malware queinfecte los ordenadores, de forma que cuando el empleado acceda a la Intranet esemalware sea transmitido y por tanto perjudique al resto de equipos de la empresa.Políticas relacionadas: “Control de aplicaciones”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 50
  • 51. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 32. Historial de Política: Notificación de incidentes en la Intranet.Política: Notificación de incidentes en la Intranet.Comentario: Todos los usuarios de la Intranet deben informar al departamento deSeguridad de la empresa de cualquier incidencia dentro de la Intranet, tantoerrores como el mal uso de la misma, además de los fallos en la disponibilidad delsitio.Políticas relacionadas: “Notificación de incidencias”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 51
  • 52. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 33. Historial de Política: Formación del personal sobre seguridad en la Intranet.Política: Formación del personal sobre seguridad en la Intranet.Comentario: Dentro de la empresa deben impartirse cursos sobre seguridad atodos los empleados, para concienciar de los peligros que hay por la red y de estaforma evitar vulnerabilidades producidas por errores humanos. Con todo esto sepretende evitar el mal uso de la Intranet por parte de los usuarios así como losproblemas que eso supone.Políticas relacionadas: “Formación del personal”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 52
  • 53. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 34. Historial de Política: Responsables de seguridad de la Intranet.Política: Responsables de seguridad de la Intranet.Comentario: En la empresa deben existir unas figuras claras de autoridadrespecto de la seguridad de la Intranet, esto quiere decir que estas personas seránlas encargadas de establecer una serie de normas de uso seguro para los usuarios,además de ser los responsables si existe algún problema de seguridad en laIntranet.Políticas relacionadas: “Responsables de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 53
  • 54. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 35. Historial de Política: Integridad en los contenidos de la Intranet.Política: Integridad en los contenidos de la Intranet.Comentario: Todos los contenidos publicados en la Intranet deben ser íntegros,es decir, que no puedan ser modificados por una persona que no tenga lospermisos necesarios para ello. Con esto se pretende que la información publicadasea veraz.Políticas relacionadas: “Integridad de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 54
  • 55. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 36. Historial de Política: Disponibilidad de la Intranet.Política: Disponibilidad de la Intranet.Comentario: La Intranet debe estar en todo momento disponible para que losusuarios puedan acceder a ella, ya que es totalmente necesaria para realizar eltrabajo de la empresa. En caso de no estar disponible, deberá ser reparada en elmenor tiempo posible para no obstaculizar las labores diarias de la empresa.Políticas relacionadas: “Disponibilidad de los servicios web”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 55
  • 56. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 37. Historial de Política: Acuerdos de confidencialidad.Política: Acuerdos de confidencialidad.Comentario: Es necesario identificar y revisar los requerimientos deconfidencialidad de la Intranet, así como los acuerdos de no divulgación decontenidos, para proteger la información contenida en la Intranet y garantizar laconfidencialidad de la información de la empresa.Políticas relacionadas: “Confidencialidad de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 56
  • 57. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 38. Historial de Política: Autorización para procesar la información.Política: Autorización para procesar la información.Comentario: Cada vez que sea necesario procesar la información de la Intranet,tal como añadir, modificar o eliminar información, será necesario solicitar a losresponsables de seguridad una autorización para llevar a cabo dicho proceso. Conesto se pretende tener un control sobre la información y así evitar su pérdida ymantener su integridad y confidencialidad. Solicitar una autorización a los responsables de seguridad de la empresaevita al personal la toma de decisiones sobre seguridad que pueden provocar algúndaño en el sistema de información al no tener experiencia en ese campo.Políticas relacionadas: “Autorización de recursos”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 57
  • 58. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 39. Historial de Política: Auditabilidad de la Intranet.Política: Auditabilidad de la Intranet.Comentario: La Intranet debe ser totalmente auditable, ya que para protegertodos sus contenidos es necesario realizar auditorías de seguridad cada ciertotiempo y así descubrir las vulnerabilidades del sitio. Auditar la Intranet es unpunto crucial de la seguridad de la información, ya que los contenidos de ésta sonúnicamente de la empresa y por ello no pueden ser vistos ni modificados porpersonas ajenas a ella.De la auditabilidad depende que el sistema mejore y sea más seguro.Políticas relacionadas: “Auditabilidad del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 58
  • 59. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 40. Historial de Política: Etiquetado de la información de la Intranet.Política: Etiquetado de la información de la Intranet.Comentario: Desarrollo e implementación de una serie de procedimientos paraetiquetar y manejar la información siguiendo el esquema adoptado por la empresa. El etiquetado de información es importante para su clasificación y para suintercambio. La información será etiquetada mediante una serie de mecanismoselectrónicos y será clasificada como sensible, crítica, privada, pública... según surelevancia para la empresa.Políticas relacionadas: “Etiquetado y manejo de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 59
  • 60. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 41. Historial de Política: Identificación de los riesgos de la Intranet.Política: Identificación de los riesgos de la Intranet.Comentario: Para poder tener una Intranet segura, hay que identificar todos losriesgos a los que se encuentra expuesta y así poder desarrollar las medidas deprotección contra tales riesgos. Uno de los principales riesgos es el acceso de terceros, por lo que una delas medidas será proteger la información contra terceras personas ajenas a laempresa que no tengan permiso para acceder a ella. La identificación de riesgos proporcionará a la empresa un mayor controlsobre la Intranet y sobre la información que ésta contiene.Políticas relacionadas: “Riesgos del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 60
  • 61. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 42. Historial de Política: Funciones y responsabilidades de los empleados respecto al uso de la Intranet.Política: Funciones y responsabilidades de los empleados respecto al uso de laIntranet.Comentario: El personal tendrá definidas una serie de normas de uso de laIntranet que deberán ser cumplidas en todo momento. Además cada empleadotendrá una serie de responsabilidades que cumplir y asumir, ya que si se producealgún incidente bien sea por accidente o intencionadamente los responsables deseguridad deben saber en todo momento la causa por la que se ha producido y lapersona que lo ha causado. Cada empleado tendrá una función definida y tendráque cumplirla sin sobrepasar los límites permitidos. Por todo esto es muyimportante concienciar a los empleados de que deben cumplir las normas einformar de cualquier incidencia lo antes posible.Políticas relacionadas: “Normas de uso de la Intranet”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 61
  • 62. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 43. Historial de Política: Proceso disciplinario para los empleados por el mal uso de la Intranet.Política: Proceso disciplinario para los empleados por el mal uso de la Intranet.Comentario: Debe existir un proceso disciplinario en la empresa para todos losempleados que hayan provocado alguna violación de la seguridad de la Intranet. Como se ha definido en otras políticas sobre las normas de los empleados,se abrirá un proceso disciplinario a todo empleado que incumpla las normas y quepor tanto perjudique a la seguridad de la Intranet. Cada proceso disciplinario dependerá de la gravedad de la violación deseguridad cometida y de la intencionalidad de la misma, ya que no se tratará igualun caso de un empleado que lo realizase conscientemente como un caso de unempleado que lo hiciese de forma accidental.Políticas relacionadas: “Normas de uso de la Intranet”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 62
  • 63. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 44. Historial de Política: Retirada y modificación de los derechos de acceso a la Intranet.Política: Retirada y modificación de los derechos de acceso a la Intranet.Comentario: Cada vez que un empleado abandone su puesto de trabajo o bien sele asigne otro diferente, sus derechos de acceso serán modificados de igual forma.Esto quiere decir que habrá una serie de pautas definidas para eliminar losderechos de acceso de antiguos empleados a la Intranet y para la modificación deestos derechos en caso de cambiar de puesto de trabajo dentro de la mismaempresa. Con esto se pretende tener un control sobre el acceso a la Intranet, yaque el personal varía continuamente y no se puede permitir que una persona queno siga en la empresa siga teniendo un control de acceso a la Intranet de lamisma, al igual que una persona que varíe de puesto de trabajo dentro de laempresa no puede tener el mismo control de acceso que tenía anteriormente, yaque su perfil ha cambiado.Políticas relacionadas: “Control de acceso”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 63
  • 64. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 45. Historial de Política: Controles de la red interna.Política: Controles de la red interna.Comentario: Toda la red interna debe estar correctamente controlada ygestionada, para poder mantener la seguridad de los sistemas y de las aplicacionesfrente a las amenazas. Toda la información que circula por la red interna de la empresa debe estarcontrolada en todo momento, ya que se puede producir un ataque en cualquiermomento y esa información necesita estar segura y protegida.Políticas relacionadas: “Controles de red del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 64
  • 65. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 46. Historial de Política: Control sobre el intercambio de información.Política: Control sobre el intercambio de información.Comentario: Todo el intercambio de información que se maneja a través de laIntranet deberá ser controlado mediante una serie de recursos de comunicaciónpara evitar que la información circule sin control ninguno por la empresa y enalgunos casos fuera de ella. Con esta serie de recursos y mecanismos se pretende que la informaciónesté siempre protegida, de forma que no todo el personal tenga acceso a ella ymucho menos personas ajenas a la empresa.Políticas relacionadas: “Control de la información del sistema”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 65
  • 66. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 47. Historial de Política: Registro de auditorías de la Intranet.Política: Registro de auditorías de la Intranet.Comentario: Cada vez que se realice una auditoría de la Intranet, se debenrealizar registros de las actividades de los empleados que usan la Intranet, y lasexcepciones y eventos de seguridad de la misma. Estos registros se deben mantener durante un período de tiempo acordadopor los responsables de seguridad de la empresa para servir como prueba enfuturas auditorías o investigaciones sobre incidencias de seguridad, y además parasupervisar el control de acceso.Políticas relacionadas: “Auditabilidad del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 66
  • 67. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 48. Historial de Política: Registro de administración de la Intranet.Política: Registro de administración de la Intranet.Comentario: Cada vez que el administrador de la Intranet acceda al sistema, sedebe guardar un registro de accesos y de operaciones que ha realizado. Con todo esto se pretende llevar un control sobre las acciones realizadasdentro de la Intranet y comprobar si es realmente el administrador el que accede alsistema o si es alguien que ha conseguido las claves y está suplantando suidentidad.Políticas relacionadas: “Registro de accesos al sistema”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 67
  • 68. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 49. Historial de Política: Registro de usuarios de la Intranet.Política: Registro de usuarios de la Intranet.Comentario: Debe establecerse un procedimiento de registro y eliminación deusuarios para conceder y revocar el acceso al sistema y por tanto a sus servicios. De esta forma se pretende llevar un control sobre el acceso de los usuariosa la Intranet, de forma que cada vez que se asignen permisos de acceso y serevoquen haya un registro que lo muestre, y así cada cierto tiempo se comprobarádicho registro controlando que todas las operaciones se han realizadocorrectamente.Políticas relacionadas: “Registro de accesos al sistema”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 68
  • 69. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 50. Historial de Política: Equipo de usuario con acceso a la Intranet desatendido.Política: Equipo de usuario con acceso a la Intranet desatendido.Comentario: Cuando el usuario acceda a los servicios de la Intranet, deberácerrar la sesión o bloquear el equipo cada vez que necesite ausentarse de supuesto. En caso contrario cualquier persona podría utilizar el acceso para obtenerinformación privada que se encuentre en la Intranet y manipularla, además deinformación personal del usuario en el equipo. De esta forma se consigue proteger el acceso no autorizado a la Intranet ya los equipos de otros usuarios que pueden contener información importante parala empresa.Políticas relacionadas: “Responsabilidades de los usuarios”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 69
  • 70. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 51. Historial de Política: Uso de servicios en red.Política: Uso de los servicios en red.Comentario: Se debe proporcionar a los usuarios únicamente el acceso a losservicios para los que hayan sido autorizados, es decir, dependiendo de lospermisos que tengan asignados podrán usar una serie de servicios u otros. De esta forma se controlará el uso de recursos por parte de los usuarios, deforma que los responsables de seguridad tengan un control sobre la informaciónque se proporciona a los usuarios.Políticas relacionadas: “Control de acceso a la red”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 70
  • 71. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 52. Historial de Política: Identificación de los equipos en la Intranet.Política: Identificación de los equipos en la Intranet.Comentario: Se debe considerar la identificación automática de los equipos de laIntranet como un medio de autentificación de las conexiones provenientes delocalizaciones y equipos específicos. Así se controlará el acceso a la Intranet, ya que todos los equipos estaránidentificados y si se produce algún incidente se podrá saber el equipo implicadoademás de su localización. Si algún equipo no identificado accede a la red internaquedará constancia de ello y se podrán tomar medidas al respecto.Políticas relacionadas: “Control de acceso a la red”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 71
  • 72. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia GonzálezTabla 53. Historial de Política: Desconexión automática de sesión en la Intranet.Política: Desconexión automática de sesión en la Intranet.Comentario: Se configurará la desconexión automática de la sesión de losusuarios en la Intranet para evitar que alguien acceda a ésta con una sesióniniciada por otro usuario que se ha ausentado de su equipo. Esto se configurará para que cuando pase un cierto tiempo de inactividaddel usuario dentro de las aplicaciones y recursos de la Intranet, la sesión de éste secierre y se proteja de esta forma toda la información contenida en la Intranet. Elusuario deberá volver a autentificarse cada vez que pase un cierto tiempo deinactividad, ya que su sesión expirará.Políticas relacionadas: “Control de acceso a la red”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 72
  • 73. Políticas de seguridad para redes WIFI: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 54. Historial de Política: Controles contra código malicioso.Política: Controles contra código malicioso.Comentario: El objetivo de esta política es definir una serie de controles paraproteger a los sistemas de la empresa contra posibles ataques que pudieranproducirse por efectos de código mal intencionado, estos controles se definiránsegún el ámbito, en primer lugar para los dispositivos móviles como IPAD, IPODo cualquier Smartphone, se debe realizar un chequeo de seguridad del dispositivo,para verificar que este cuente con la última versión de software instalada,adicionalmente se bloqueara en cualquier momento la conexión a la red si sedetecta la ejecución de algún software con comportamiento sospechoso, en lo querespecta a los computadores personales o portátiles, se debe realizar unacomprobación del sistema para determinar que cuenta con los últimos parches deseguridad, así como se debe realizar un chequeo del dispositivo para determinar sidispone de software antivirus, de igual manera se monitorizará para determinarcualquier programa con comportamiento sospechoso y se terminara la conexión ala red de forma inmediata de darse el caso. 73
  • 74. De no cumplirse estos requerimientos se negara el acceso a la redcorporativa, adicionalmente al momento de acceder a la red se mostrara al usuariolos términos y condiciones para el uso de la red, los cuales debe aceptar parapoder hacer uso de la misma.Política dirigida a: Departamento de Seguridad.Ambientes de seguridad: Todos. 74
  • 75. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 55. Historial de Política: Controles contra códigos móviles.Política: Controles contra códigos móviles.Comentario: La ejecución de códigos transferibles dentro de la red WIFIcorporativa queda terminantemente prohibida, deben tomarse las mediasnecesarias para bloquear cualquier ejecución de código transferible encualquier dispositivo conectado a la red WIFI, bloqueando el acceso a la red acualquier dispositivo que intente la ejecución de dichos códigos, por ende, lasactividades en la red deben encontrarse monitorizadas.Políticas relacionadas: Controles contra códigos maliciosos.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 75
  • 76. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 56. Historial de Política: Controles de redes.Política: Controles de redes.Comentario: Los administradores de la red deben implementar medias para elmonitorización de las actividades dentro de la misma, verificando los usuariosconectados, analizando el tráfico de la red, y aplicando medidas preventivas paraproteger la integridad del sistema bajo cualquier imprevisto.Políticas relacionadas: Controles contra código malicioso y Controles contracódigos móviles.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 76
  • 77. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 57. Historial de Política: Seguridad de los servicios de la red.Política: Seguridad de los servicios de la red.Comentario: Los administradores de la red deben monitorizar constantemente lacapacidad de los sistemas proveedores de servicios para evitar comprometer ladisponibilidad de los servicios de red por sobrecarga de sistemas, o la disminuciónde la seguridad de la misma, se deben aplicar todas las herramientas de hardwarey software para poder mantener una alta disponibilidad de los servicios de acuerdoa la capacidad deseada y el nivel de seguridad requerida en la misma.Políticas relacionadas: Controles de Redes.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 77
  • 78. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 58. Historial de Política: Registro de auditoría.Política: Registro de auditoria.Comentario: Se debe mantener un registro de todas las actividades dentro de lared, como intentos fallidos de acceso, ataques, peticiones de archivos, bloqueos deservicio (Denegación de Servicio), o cualquier otra excepción que ocurra dentrode la red, para ayudar a investigaciones futuras. La aplicación de los registros y lamonitorización de actividades se enmarcara dentro de la legislación vigente en elpaís que resida la sede de la empresa a aplicar la política.Políticas relacionadas: Controles de Redes.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 78
  • 79. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 59. Historial de Política: Uso del sistema de monitorización.Política: Uso del sistema de monitorización.Comentario: Se deberán revisar y analizar periódicamente los resultados de losprocedimientos de monitorización de actividades para buscar anomalías o posiblesfallas de seguridad que puedan comprometer el sistema, además para verificar elcorrecto uso de la red y prevenir problemas posteriores.Políticas relacionadas: Registro de Auditoria.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 79
  • 80. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 60. Historial de Política: Protección del registro de información.Política: Protección del registro de información.Comentario: Deben implementarse medias para proteger el registro deinformación relacionada con las actividades de monitorización y uso de lossistemas relacionados a estas, evitando el borrado de los archivos, lamodificación, sobre-escritura, la copia o sustracción de los archivos de forma noautorizada.Políticas relacionadas: Registro de Auditoria, Uso del Sistema deMonitorización.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 80
  • 81. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 61. Historial de Política: Registros del administrador y operador.Política: Registros del administrador y operador.Comentario: Se deben registrar todas las actividades del administrador y de losoperadores de sistemas, con la finalidad de realizar investigaciones futuras en casode ocurrir alguna incidencia. Se debe tomar en cuenta la fecha y hora en la queocurre el evento, los responsables implicados en el proceso relacionado, y ladescripción del mismo.Políticas relacionadas: Uso del Sistema de Monitorización.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 81
  • 82. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 62. Historial de Política: Registro de fallos.Política: Registro de fallas.Comentario: Se debe registrar en un LOG especial debidamente protegido todoslos fallos o incidencias que ocurran en el sistema, tomando en cuenta los sistemasde monitorización y control contra software malicioso, así como los serviciossuministrados, esto a efectos de control de calidad y del servicio y deretroalimentación para el análisis de seguridad con la finalidad de mejorar laseguridad de la red.Políticas relacionadas: Registro de Auditoria, Controles de Redes, Controlescontra código malicioso y móviles.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 82
  • 83. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 63. Historial de Política: Política de control de acceso.Política: Política de control del acceso.Comentario: en esta política se deben establecer de forma clara y concisa lasreglas para el control del acceso a los sistemas y los derechos para cada usuario ogrupos de usuario, quedando debidamente documentados y revisados tomandocomo punto de partida los requerimientos de seguridad y comerciales (utilitarios).Políticas relacionadas: Controles de Redes.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 83
  • 84. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 64. Historial de Política: Registro de usuario.Política: Registro de usuario.Comentario: Se deberá implementar un sistema de control de usuario (LOGIN yPASSWORD) para el registro y des-registro del mismo, para poder otorgar a losusuarios el acceso a los sistemas y recursos necesarios, proporcionando a cadausuario con un ID único y una contraseña secreta.Políticas relacionadas: Política de Control de Acceso.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 84
  • 85. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 65. Historial de Política: Gestión de privilegios.Política: Gestión de privilegios.Comentario: Se deberá restringir y controlar la asignación de privilegios deusuario. Los administradores de red, en base a los requisitos de cada usuario,deben asignar los privilegios pertinentes asociados a cada usuario registrado (acada cuenta de usuario) para controlar el uso de los recursos del sistema y manejoseguro de la red.Políticas relacionadas: Política de Control de Acceso, Registro de Usuario.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 85
  • 86. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 66. Historial de Política: Gestión de las claves secretas de los usuarios.Política: Gestión de las claves secretas de los usuarios.Comentario: El proceso de asignación de claves secretas debe ser debidamenteformalizado, se debe establecer un contrato de confidencialidad entre los usuariosy la empresa, en el cual este se responsabilice a hacer el correcto uso de la misma,y a mantener en secreto la contraseña que le fue asignada, en caso de lascontraseñas por grupos estos deben responsabilizarse a mantener en secreto lacontraseña de cada grupo y no traspasarla a otros grupos.Políticas relacionadas: Registro del Usuario.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 86
  • 87. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 67. Historial de Política: Revisión de los derechos de acceso del usuario.Política: Revisión de los derechos de acceso del usuario.Comentario: Bajo un proceso formal, los administradores de red deben revisarlos privilegios de los usuarios dentro de un determinado periodo de tiempo, encaso de ascenso (incremento de privilegios), democión o terminación de contrato(revocación de cuenta y terminación de privilegios), con la finalidad de manteneren niveles óptimos la seguridad de la red corporativa.Políticas relacionadas: Gestión de Privilegios, Gestión de las Claves Secretas delos Usuarios.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 87
  • 88. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 68. Historial de Política: Uso de claves secretas.Política: Uso de claves secretas.Comentario: Para aquellos usuarios a los cuales se les permita seleccionar suclave de acceso, a aquellos que no le son asignadas por los administradores comopor ejemplo usuarios regulares, se les deberá exigir el seguimiento de unas pautasde seguridad por defecto a tomar en cuenta en lo que respecta a la selección decontraseñas y el manejo de las mismas. Como por ejemplo, la selección decontraseñas complicadas (que contengan caracteres, números y letras), elresguardo adecuado de las mismas, evitando tenerlas escritas en papeles o sitiosen los cuales puedan verse comprometidas, entre otros aspectos a tomar en cuentaque los administradores de la red consideren pertinentes.Políticas relacionadas: Gestión de las Claves Secretas de los Usuarios.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 88
  • 89. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 69. Historial de Política: Equipo desatendido.Política: Equipo desatendido.Comentario: Los usuarios de equipos portátiles u dispositivos móviles debenasegurarse que este disponga de la protección adecuada en todo momento que nose encuentren con los mismos, haciendo uso de bloqueo de sesión o cifrado de losarchivos de los equipos, para protegerlos en caso de pérdida. De ocurrir elextravío o robo de uno de los equipos móviles el usuario debe informarinmediatamente a los administradores d red para que estos tomen las medidaspertinentes.Políticas relacionadas:Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 89
  • 90. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 70. Historial de Política: Uso de los servicios de red.Política: Uso de los servicios de red.Comentario: Se debe establecer un procedimiento formal para determinar losservicios de red y archivos a los cuales un determinado usuario debe tener acceso,y los procedimientos adecuados para otorgar el acceso a los servicios de red y ladebida aseguración o bloqueo de aquellos servicios a los cuales no debe teneracceso, siendo este responsable de por cualquier uso indebido de servicios que nole fueron otorgados.Políticas relacionadas: Política de Control de Acceso.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 90
  • 91. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 71. Historial de Política: Computación y comunicaciones móviles.Política: Computación y comunicaciones móviles.Comentario: Se debe formar al personal para concientizarlo sobre los riesgosimplicados en el trabajo con dispositivos móviles, los equipos deben serconstantemente monitorizados para asegurar que cuenta con la protecciónadecuada, adicionalmente se deben implementar medidas de contingencia comoborrado de disco duro remoto o localización del equipo para casos de robo oextravió, de esta forma se puede evitar que la seguridad de la red se comprometaen caso de pérdida, robo o substracción de información que podría otorgarle a unagente no autorizado las credenciales para acceder a la red corporativa.Políticas relacionadas:Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 91
  • 92. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 72. Historial de Política: Control de vulnerabilidades.Política: Control de vulnerabilidades.Comentario: Se deben realizar auditorías de seguridad de la infraestructura de lared WIFI y sus aplicaciones relacionadas, para poder localizar de forma oportunacualquier vulnerabilidad que pueda poner en riesgo la seguridad de la red. Unavez identificadas las vulnerabilidades se debe elaborar un plan de acción parasolventar cualquier vulnerabilidad, partiendo por su prioridad, los responsables deestas acciones serán los administradores de la red conjuntamente con los auditoresy los gerentes de la empresa.Políticas relacionadas:Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 92
  • 93. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 73. Historial de Política: Reporte de eventos.Política: Reporte de eventos.Comentario: Todas las incidencias de seguridad deben ser reportadasdirectamente a los canales gerenciales más apropiados en la brevedad posible, deforma que se puedan diseñar los planes de acción más adecuados según lagravedad de la incidencia. Los administradores de red deben implementar lasmedidas de monitorización y control de red más pertinentes para poder capturarcualquier excepción que ocurra dentro de la misma, de forma que se puedagenerar el reporte de incidencias de forma automática.Políticas relacionadas: Controles de Redes, Seguridad e los Servicios de Red,Control de Vulnerabilidades.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 93
  • 94. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 74. Historial de Política: Reporte de las debilidades en la seguridad.Política: Reporte de las debilidades en la seguridad.Comentario: Se debiera requerir que todos los usuarios empleados, contratistas yterceros de los sistemas y servicios de información tomen nota y reportencualquier debilidad de seguridad observada o sospechada en la infraestructura dela red. Sin embargo se debe así mismo, notificarles que no deben tratar de probarlas debilidades encontradas en los sistemas, cualquier intento de prueba de lasvulnerabilidades encontradas puede interpretarse como un uso indebido delsistema, así como podría causar daños en el mismo.Políticas relacionadas: Reporte de Eventos.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 94
  • 95. Políticas de gestión y control de políticas: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable del departamento de seguridad Autor: Manuel Jesús Fiz Pérez Tabla 75. Historial de Política: Realización de revisiones y evaluaciones Web.Política: Realización de revisiones y evaluaciones Web.Comentario: El objetivo de esta política es detectar brechas de seguridadexistentes en los aplicativos web, utilizando el nombre de usuario y password deacceso. El producto será un informe de vulnerabilidades web, así como undocumento que facilite las soluciones y propuestas a aplicar para solucionardichas vulnerabilidades. Se utilizarán las últimas técnicas y metodologías deseguridad disponibles.Política dirigida a: Departamento de desarrollo.Ambientes de seguridad: Todos. 95
  • 96. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable del departamento de seguridad Autor: Manuel Jesús Fiz Pérez Tabla 76. Historial de Política: Log Management.Política: Log Management.Comentario: Se definirá, diseñará, desarrollará y se hará operativa una políticade logs. Para ello se configurarán todos los dispositivos de red, sistemasoperativos, aplicaciones web y bases de datos. Los logs estarán centralizadospara un mejor acceso y gestión de los mismos.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 96
  • 97. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable del departamento de seguridad Autor: Manuel Jesús Fiz Pérez Tabla 77. Historial de Política: Copia en red de los Logs.Política: Copia en red de los Logs.Comentario: El objetivo de esta política generar una copia de los logs generadosen la red, en un servidor, para almacenar información relativa a nombres deusuarios, direcciones IP, fecha y hora de registro, detalle de acciones realizadas,control de accesos a recursos en función de los permisos asignados, etcétera. Seutilizará alguna aplicación de carácter comercial para la consecución de estepropósito.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 97
  • 98. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable del departamento de seguridad Autor: Manuel Jesús Fiz PérezTabla 78. Historial de Política: Revisión de políticas de seguridad y cumplimiento técnico.Política: Revisión de políticas de seguridad y cumplimiento técnico.Comentario: Esta política pretende que se cumplan el resto de políticas definidasen este proyecto. Se elaborará un documento de seguridad, por parte delespecialista en seguridad junto con el comité de seguridad. La gerencia seráresponsable de su aprobación y ejecución en la empresa. Así mismo, se definiránsanciones para los usuarios que incumplan dichas políticas, así como para lasterceras partes que tengan una relación directa con la empresa.Política dirigida a: Gerencia de la empresa.Ambientes de seguridad: Todos. 98
  • 99. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable del departamento de seguridad Autor: Manuel Jesús Fiz Pérez Tabla 79. Historial de Política: Auditorías de sistemas.Política: Auditorías de sistemas.Comentario: Esta política pretende realizar una auditoría de seguridad cada tresmeses de los sistemas informáticos, especialmente aquellos asociados aldesarrollo y publicación de la web corporativa. Se realizarán las pruebas definidaspor un especialista en seguridad, previa aprobación por escrito por parte de lagerencia de la empresa. Este proceso deberá generar un informe de los aspectos no coincidentescon el nivel de seguridad definido, para, previo respaldo de la informacióncorrespondiente, realizar las modificaciones oportunas. El software de auditoríaestará en un entorno distinto al de producción de la empresa.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 99
  • 100. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable del departamento de seguridad Autor: Manuel Jesús Fiz Pérez Tabla 80. Historial de Política: Monitorización de administración de sistemas.Política: Monitorización de administración de sistemas.Comentario: Se revisarán los permisos de ejecución de aplicación asociada alservidor web, que se ajusten a los privilegios mínimos de uso. No se permitirá alos operadores la realización de configuración del sistema. Se evitará el accesopara configuración de sistemas a personal ajeno a la empresa. Se generaráncuentas con ciertos derechos administrativos para usuarios que tengan que realizardeterminadas configuraciones de servidor.Política dirigida a: Departamento de informáticaAmbientes de seguridad: Todos. 100
  • 101. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable del departamento de seguridad Autor: Manuel Jesús Fiz Pérez Tabla 81. Historial de Política: Monitorización de uso del sistema.Política: Monitorización de uso del sistema.Comentario: Al terminar la jornada de trabajo se apagarán todas las estaciones deusuarios y se cerrarán adecuadamente las aplicaciones abiertas. Para cumplir esteobjetivo se definirán políticas de sistema a nivel de dominio que apagarán lasestaciones de trabajo una hora después de la hora de salida de los usuarios en casode que alguna estación quedase encendida.Políticas relacionadas: “Permisos de los usuarios”.Política dirigida a: Departamento de informáticaAmbientes de seguridad: Todos. 101
  • 102. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable del departamento de seguridad Autor: Manuel Jesús Fiz Pérez Tabla 82. Historial de Política: Protección y respaldo de los Logs.Política: Protección y respaldo de los Logs.Comentario: Esta política pretende proteger los logs que, junto con la valiosainformación que almacenan, facilitan la monitorización del cumplimiento de laspolíticas definidas. De esta forma, se prohíbe el borrado de cualquier fichero delog almacenado en cualquier dispositivo y/o servidor, así como la desactivaciónde cualquier log. Se generará un backup en tiempo real de los logs, que estarácentralizado físicamente, para su posterior tratamiento, dentro de un proceso debackup adecuado. Este backup de log facilitará la información de fecha y hora desu generación, así como el tipo de log.Política dirigida a: Departamento de seguridadAmbientes de seguridad: Todos. 102
  • 103. CAPITULO V CONCLUSIONES Este proyecto ha pretendido aplicar las políticas de seguridad en elGrupo Seidor, con la finalidad de implementar controles internos para prevenir lafuga de datos. Estas políticas han contribuido como un gran aporte para eldepartamento de seguridad de Grupo Seidor, creando un antes y un después desu elaboración y presentación de este trabajo de fin de master al departamento deseguridad de la empresa. El ámbito de actuación en el Grupo Seidor contempla por un lado elcomportamiento de los usuarios de la empresa respecto a los servidores web asícomo de los administradores locales de las sedes en Madrid y Barcelona,contemplando siempre las buenas prácticas en políticas de seguridad. La contribución de estas políticas que se aplicaron en este trabajo de finde master ha permitido al Grupo Seidor evaluar tecnologías basadas en softwarey hardware como por ejemplo: NAP-ISE de los fabricantes Microsoft y Ciscorespectivamente. La contribución que se ha logrado para las políticas de protección de laIntranet, se centró en servidores, aplicaciones, usuarios y administradores delGrupo Seidor. Las políticas de seguridad para redes wifi se ocuparon deproteger un área que ofrecía mayores posibilidades de fuga de datos en elGrupo Seidor. Finalmente, se dedicó un área a la revisión de las propiaspolíticas de seguridad así como el cumplimiento del personal responsable deTI en Madrid y Barcelona. La aplicación de estas políticas en el Grupo Seidor es una gran mejoraen su infraestructura de red local y permitirá una mejor visión de la situaciónactual de los activos de red y una mayor protección de los mismos ante laamenaza siempre constante de fuga de datos corporativos. 103
  • 104. CAPITULO VI TRABAJOS FUTUROS Las políticas desarrolladas en este trabajo, han de crear un precedente enla organización Grupo Seidor, es por ello que a través del departamento deseguridad de la compañía se ha pedido su aplicación en un corto plazo, paraayudar a la protección y mitigación de la fuga de información. Enfocadosespecíficamente en el departamento de desarrollos de negocios que en losúltimos años ha sufrido la pérdida y fuga de material altamente confidencialque han ocasionado la pérdida contratos y negocios millonarios. Esto ha traído como consecuencia que el crecimiento programado de laorganización ha tenido un atraso en su desarrollo, pero la aplicación a cortoplazo de estas políticas tendrá un aporte muy positivo en el desarrollo de laorganización. 104
  • 105. APENDICES 105
  • 106. APENDICE I BIBLIOGRAFÍA1.- Cresson Wood, Charles. 2003. Políticas de Seguridad Informática – MejoresPrácticas Internacionales. Houston: MetIQ, Inc.2.- Coite, Angélica y romero Hugo. S.f. “Auditoría de Sistemas y políticas deSeguridad Informática”. www.monografias.com (Consultada: 04/01/2011)3.- J. Cano, Jeimy. 2000. “Pautas y recomendaciones para elaborar Políticas deseguridad Informática (PSI)”. www.criptored.upm.es (Consultada: 12/01/2011)4. - ISO/IEC 27002:2005 Information technology — Security techniques — Codeof practice for information security management. First Edition 2005-06-15.5.- Microsoft Technet. “Network Access Protection”.http://technet.microsoft.com/en-us/network/bb545879 (Consultada: 15/03/2011) 106
  • 107. APENDICE II ANTECEDENTESAntecedente 1:Título: Metodología para la incorporación de medidas de seguridad en sistemasde información de gran implantación: confianza dinámica distribuida y regulacióndel nivel de servicio para sistemas y protocolos de Internet.Autor: Muñoz Esteban, Juan JesúsUniversidad: UPMDepartamento: Ingeniería en Sistemas TelemáticosFecha de Lectura: 2004Resumen: Los orígenes de Internet y su propio talante han conducido a un modelo deservicio un tanto confiado, que arrastra una imagen de inseguridad. Se dispone demultitud de tecnologías de demostrada solvencia técnica, que resuelvenproblemáticas en ámbitos concretos, pero que no se integran en un modelo globalde seguridad. A la utilización de la red para difundir con excesiva rapidezelementos dañinos, como los virus, se suman de forma creciente otroscomportamientos abusivos, como el envío masivo de correo electrónico con finescomerciales (spam) o incluso fraudulentos (phishing). Estos excesos en el envíode mensajes provocan despilfarros de recursos y afectan a la productividad de losusuarios finales, quienes se procuran herramientas para paliar su problemalocalmente. Todas las solicitudes de servicio se tratan por igual, sin más limitación que lapropia capacidad de los equipos y enlaces de comunicaciones, sin tener en cuentala reputación del interlocutor, aceptando identidades fácilmente usurpables. Estatesis plantea cubrir el espacio entre la autentificación fehaciente del cliente, querequiere despliegues costosos y no inmediatos, y la confianza ciega en cualquierusuario o equipo atribuida al mero hecho de estar conectado a la red y exhibir una 107
  • 108. dirección. Cada servidor será capaz de valorar la confianza que le merecen susclientes en función de las experiencias acumuladas directamente o recogidas deterceros. Esa confianza dependerá de la fiabilidad con que se les pueda vincular asus mensajes, y su adecuada utilización del sistema, determinada por laexposición de un volumen suficiente de sus mensajes y solicitudes al análisis delos usuarios finales y de otras herramientas complementarias. Resulta imprescindible poder atribuir cada mensaje al remitente correcto. Perosi sólo se conocen parámetros de la propia red, su usurpación permitiría inhabilitarcualquier medida, por lo que se necesitan limitaciones preventivas en el consumode recursos. Se plantea que los clientes que deseen alcanzar un mayor crecimientode su confianza y carezcan de credenciales puedan, partiendo de un intercambioinicial de claves y encadenando autenticaciones oportunistas, graduar el coste quedeseen asumir para minimizar las restricciones que se les apliquen. Para ello elservidor enviará los cambios en forma de retos, y el cliente contribuirá a aumentarla fiabilidad empleando tiempo en su resolución. Este mecanismo reduce ademásla rentabilidad de posibles ataques. La confianza se proyectará en una política de seguridad no orientada a laconcesión o denegación del acceso a datos o al uso de los recursos, sino a lagradación del nivel de servicio permitido. Éste variará dinámicamente y de formaconsensuada entre la denegación conjunta y un máximo global. Se propone unmodelo dinámico y distribuido, descrito mediante la "lógica subjetiva" de AudumJøsang, que permite representar los conceptos de confianza e incertidumbre en unvalor (wAc(ti)) denominado opinión. La opinión, calculada en base alcomportamiento reciente del cliente, resume la confianza que merece, y de ella secalculan las restricciones que procedan. Además se puede intercambiar conterceros, constituyéndose federaciones en las que se apliquen políticas comunesde contención que acoten el consumo global de recursos. El álgebra asociada permite ponderar las opiniones ajenas y previas, ycombinarlas mediante las operaciones denominadas recomendación y consenso 108
  • 109. bayesiano. Además se introducen en el modelo, también con este mecanismo, losresultados de herramientas externas como los filtros, listas negras, etc. Elcomportamiento global del sistema se corresponde a la amortiguación que ejerceun filtro paso bajo con un tope limitador. En Dinámica de Sistemas este tipo desistema realimentado de primer orden corresponde al modelo de crecimientologístico, utilizado para estudiar epidemias, y se caracteriza por la formasigmoidal que delimita la velocidad de propagación o difusión, siendo inocuo parausuarios asiduos. Los ámbitos de aplicación de esta propuesta son muy amplios, yen general la gestión de despliegue y posterior administración es mínima,manteniendo compatibilidad con clientes no modificados. Se propone suutilización como medida preventiva y complementaria en la lucha contra el spamen Internet, la priorización de la difusión de contramedidas o la prevención deataques de denegación de servicio en web services, entre otras posibilidades.Fuente:Archivo Digital de la UPM33 2011. “Archivo Digital UPM” “http://oa.upm.es/323/”. Consultada: (23/03/2011) 109
  • 110. Antecedente 2:Título: UNA NUEVA METODOLOGÍA PARA EL ESTUDIO DELCUMPLIMIENTO DE POLÍTICAS DE SEGURIDAD EN SISTEMAS DEINFORMACIÓNAutor: JACOB TAQUET, EDUARDOUniversidad: PAÍS VASCO/EUSKAL HERRIKO UNIBERTSITATEADepartamento: ELECTRONICA Y TELECOMUNICACIONESFecha de Lectura: 13/09/2001Resumen: La concepción clásica de seguridad de la información incluye amenazas a estastres características de la información: confidencialidad, Disponibilidad eIntegridad. En la actualidad, existe gran cantidad de incidentes de seguridad que atacan aalguna de estas características. Para listar las interacciones permitidas entresujetos y objetos se emplean las políticas de seguridad. Dicho documento puedeser implementado por las empresas siguiendo técnicas propias, metodologíasestandarizadas o incluso en algunos casos, de manera intuitiva. El problema que surge es el de averiguar si la infraestructura del sistema deinformación es capaz de soportar (en el sentido de hacer cumplir) una determinadapolítica de seguridad. Para dar respuesta a este problema, en el estado del arte se realiza una revisión,por un lado de las técnicas y metodologías para el estudio y evaluación de laseguridad y por otro de las técnicas de securización. Se estudian los puntos fuertesy los débiles de cada una de estas técnicas. Ninguna de éstas da por sí solarespuesta al problema. En esta tesis se realiza un trabajo que tiene por resultado: 110
  • 111. * Un modelo y metodología que posibilitan el estudio de la capacidad de lainfraestructura hardware y software de un sistema de información para soportaruna determinada política de seguridad, incluyendo en esta capacidad, tanto lacalidad del elemento como la importancia de cada frase de la política deseguridad.* Un mecanismo para permitir la visualización de las relaciones e interacciones (aveces ocultas) de elementos entre sí y con elementos de la política de seguridad,descubriendo qué elementos son más críticos, desde el punto de vista de laseguridad, en la arquitectura de la solución.* Una técnica para evaluar la calidad de los elementos que constituyen un sistemade información.Fuente:Base de datos de Tesis Doctorales TESEO 44 2011. “Tesis Doctorales TESEO” https://www.educacion.es/teseo/irGestionarConsulta.do.Consultada: (23/03/2011) 111
  • 112. Organigrama de la Empresa: Figura 1. Organigrama de la Empresa. 112
  • 113. Cisco 2Q10 Global Threat ReportKey Highlights • Eastern Europe encountered the highest rate of web-based malware in 2Q10, followed by South America and China; • IPS SQL injection signature firings increased substantially in 2Q10, coinciding with outbreaks of SQL-injection-compromised websites; • Asprox SQL injection attacks made a reappearance in June of 2010, after nearly six months of inactivity; • Gumblar-compromised websites continued to be the most frequently encountered sources of web-based malware in 2Q10; • 7.4 percent of all web-based malware encounters in 1Q10 resulted from search engine queries and nearly 90 percent of all Asprox encounters in June of 2010 were the results of links in search engine results pages; • Companies in the Pharmaceutical and Chemical vertical were the most at risk for web malware encounters, experiencing a heightened risk rating of 400 percent in 1Q10 and 543 percent in 2Q10; • Increases in peer-to-peer (P2P) activity were observed across the top three P2P networks (eDonkey, Gnutella, and BitTorrent) throughout the first quarter of 2010, with the strongest increase in March of 2010; • Continuous high saturation in 2Q10, coupled with recent P2P malware developments, suggest that peer-to-peer file shares are becoming increasingly favored by users and malware attackers alike.Cisco 2Q10 Global Threat Report 1
  • 114. Encounter Rates The number of unique malware hosts and malicious URLs remained fairly constant month-over-month during the second quarter of 2010. This is a significant development in terms of web-based malware, as it marks the first time since tracking began in 2007 that the number of malware hosts and URLs has remained relatively flat over an entire quarter. Despite the 2Q10 leveling of malicious URLs and malware domains, the average daily encounter rate increased month-over-month throughout the quarter. Figure 1 Unique Web-Based Malware Hosts, 1H10 Figure 2 Unique Web-Based Malware URLs, 1H10 Source: Cisco ScanSafe Source: Cisco ScanSafe 18000 45000 Cisco Security Cisco Security 16000 40000 14000 35000 12000 30000 10000 25000 8000 20000 6000 15000 4000 10000 2000 5000 0 0 Jan Feb Mar Apr May Jun Jan Feb Mar Apr May JunExploits Unfortunately, exposure is not necessarily Figure 3 Average Daily Encounter Rates, 2Q10 Source: Cisco ScanSafe a direct result of the quantity of malware hosts/65 percent of all 140% URLs. Instead, the quality of traffic driving efforts Cisco Securityweb-based malware (for example, black hat search engine optimization 120%encounters were blocked and social engineering) to those malware 100%prior to exploit code or hosts/URLs bears more of an impact on overall 80%involved encounters encounter rates.which did not include 60%exploit code. Of exploits Encounters with web-based malware increased 40%that are encountered, month-over-month in the first quarter with a 20%those targeting Adobe significant increase in March of 2010. That increase 0%Reader/Acrobat, Sun was followed by a drop in encounters in April of Apr May JunJava, and Adobe Flash 2010— likely the result of a series of concertedwere the three most takedown efforts from various sources aimed at the Waledac, Mariposa, and Zeus botnets. In June ofcommon during the 2010, the average daily encounter rate had increased to the same level observed in March of 2010.first half of 2010. 65 percent of all web-based malware encounters were blocked prior to exploit code or involved encounters which did not include exploit code. Of exploits that are encountered, those targeting Adobe Reader/Acrobat, Sun Java, and Adobe Flash were the three most common during the first half of 2010. Cisco 2Q10 Global Threat Report 2
  • 115. Malware Prevalence Cisco Security Figure 4 Top Ten Web-Based Malware, 2Q10 Gumblar comprised 5 percent of Source: Cisco ScanSafe all web-based malware in 2Q10 1.9% Exploit.JS.Gumblar and 11 percent of all web-based 2.0% 5.4% Trojan.JS.Redirector.cq malware in 1Q10, with the highest PSW.Win32.Infostealer.bnkb 2.0% concentration during March of 2010 Mal/GIFIframe-A (17 percent). JS.Redirector.AT 2.1% 5.3% Worm.Win32.VBNA.b The Vertical Risk 2.2% Backdoor.Win32.Alureon Companies in the Pharmaceutical JS.Redirector.BD and Chemical vertical were the 2.2% 3.0% Mal/Iframe-F 2.4% most at risk for web-based malware Backdoor.TDSSConf.A encounters, experiencing a heightened risk rating of 543 percent in 2Q10, up from 400 percent in 1Q10. Other higher risk verticals in 2Q10 included Energy, Oil, and Gas (446 percent), Education (157 percent), Government (148 percent), and Transportation and Shipping (146 percent). Figure 5 Vertical Risk: Web-Based Malware, 2Q10 Source: Cisco ScanSafe 0% 100% 200% 300% 400% 500% 600% Cisco Security Pharmaceutical and Chemical Energy, Oil, and Gas Education Government Transportation and ShippingCharities and Non-Governmental Organizations Banking and Finance Food and Beverage Real Estate and Land Management Industrial Healthcare Agriculture and Mining Engineering and Construction Travel and Leisure Manufacturing Legal Clubs and Organizations HVAC, Plumbing, and Utilities Media and Publishing Retail and Wholesale Aviation and Automotive IT and Telecom Professional Services Cisco Security Cisco 2Q10 Global Threat Report 3
  • 116. What is SQL Injection Attacks Resume in 2Q10SQL Injection? The following chart reflects the top three Cisco® IPS signature events for potential SQL-injection-relatedThe SQL language is attacks during the first half of 2010.used to manage the data SQL Query in HTTP Request*contained in relational Figure 6 Top Three SQL Injection Events, 1H10 Generic SQL Injection v1** Source: Cisco IPSdatabases and administer Generic SQL Injection v2** 7000the SQL servers that Cisco Securityhouse that data. A SQL 6000injection attack uses 5000malformed SQL 4000statements in an attempt 3000to override intendedbehavior and cause the 2000SQL server to act upon 1000the statement in an 0unintended fashion. 10 10 10 10 10 10 10 10 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 20 20 20 20 20 20 20 20 /2 /2 /2 /2 /2 /2 /2 /2 /2 /2 /2 /2 /2 /2 /2 /2 /2 /2 1/ 8/ 5/ 5/ 2/ 9/ 7/ 4/ 15 22 29 12 19 26 12 19 26 16 23 30 14 21 28 11 18 25 1/ 1/ 2/ 3/ 4/ 4/ 5/ 6/ 1/ 1/ 1/ 2/ 2/ 2/ 3/ 3/ 3/ 4/ 4/ 4/ 5/ 5/ 5/ 6/ 6/ 6/SQL servers that do not *SQL Query in HTTP Request detects the presence of encoded words that are indicative of SQL injection attacks.properly validate input **Generic SQL Injection v1 and Generic SQL Injection v2 detect SQL keywords in HTTP argumentsdata or sanitize outputdata can be vulnerable Interestingly, a substantial increase in SQL injection events can be observed beginning in late March andto various types of SQL early April of 2010 and extending throughout the remainder of the second quarter. This elevation in SQLinjection attacks. injection IPS events coincides with a corresponding increase in website compromises brought on bySuccessful attacks can SQL injection attacks during the same period.lead to a range of possiblecompromise conditions, The 2Q10 increase in SQL injected websites culminated with a June 2010 reappearance of Asprox.including the alteration The most common cause of website compromise in mid-2008, Asprox (and all other SQL injection attacks)of contents of a database, progressively declined throughout 2009, with Asprox completely absent in the first quarter of 2010.sensitive information Search engine results pages (SERPs) play a significant role in driving traffic to compromised websites.disclosure, or the In 1Q10, 7.4 percent of all web-based malware encounters resulted from search engine queries. Overcontrol of a SQL server. 90 percent of all Asprox encounters in June of 2010 were the result of SERP encounters brought on by legitimate search engine queries. Vulnerable SQL servers were certainly not the only asset sought after by attackers in 2Q10. Observation of Cisco IPS signature event firings indicate that reconnaissance sweeps (which could be indicative of network mapping) also increased through the second quarter. The TCP SYN Host Sweep signature fires when a series of TCP SYN packets have been sent from one single host to a number of different hosts. Typically, this behavior should not be observed from sources outside the local network but are normal behaviors for sources from within the local network (recommended filters are to exclude internal networks as sources). Cisco 2Q10 Global Threat Report 4
  • 117. TCP SYN Host SweepCisco Intrusion Figure 7 Top Three IPS Signature Event Firings, 1H10 ICMP Network Sweep with Echo Source: Cisco IPSPrevention System Multiple Rapid SSH Connections 200000 Cisco SecurityThe Cisco Intrusion 180000Prevention System (IPS)provides protection against 160000over 30,000 known 140000threats with Cisco Global 120000Correlation to dynamically 100000recognize, evaluate, andstop emerging Internet 80000dangers. Global Correlation 60000combines the inspection 40000capability of new and 20000existing signatures 0with intelligence from 1/1/2010 2/1/2010 3/4/2010 4/4/2010 5/4/2010 6/4/2010the Cisco SensorBaseNetwork. Networkparticipation and ICMP Network Sweep with Echo is a medium-severity signature that triggers when IP datagrams arereputation are the two received directed at multiple hosts on the network with the protocol field of the IP header set to 1 (ICMP)core components of and the type field in the ICMP header set to 8 (Echo Request). Some network management tools provideGlobal Correlation. network mapping capabilities which may be at least partially accomplished via a ping sweep of theNetwork participation network address space, resulting in a benign trigger.enables IPS devices to Multiple Rapid SSH Connections fire when there are rapid SSH connection from the same sourcesend data such as to the same destination. Legitimate automated process using SSH can result in a benign trigger. Thesignature IDs, attacker recommended action is to filter systems invoking automated SSH connections as sources for this alarm.ports and addresses,reputation scores, and Wormable Risksrisk ratings to Cisco Increases in P2P activity observed from the end of the first quarter and persisting through the secondSensorBase. Reputation quarter correlate with an overall increase in the number (and severity) of malware that uses P2P networksprovides an IPS with as a means of propagation.a probability that a UDP eDonkey Activity Figure 8 Top Three P2P Events, 1H10 Gnutella Upload Download Streamgiven IP address is Source: Cisco IPS BitTorrent Tracker Querymalicious. IPS devices 180000 Cisco Securityinteract with the Cisco 160000SensorBase Networkto send network 140000participation data and 120000receive reputation data. 100000 80000 60000 40000 20000 0 1/1/2010 2/1/2010 3/1/2010 4/1/2010 5/1/2010 6/1/2010 Cisco 2Q10 Global Threat Report 5
  • 118. By dropping malware to known P2P file shares, attackers can make any threat ‘wormable’ and thusenable rapid propagation. Recent variants of the Palevo family of malware include P2P infection along withInstant Messaging (IM) and autorun spread. Worm.Win32.VBNA.b, a top ten threat during 2Q10, combinesautorun spread with a file-infecting virus in order to effect penetration within an enterprise.The continued high prevalence of autorun worms in general indicates that such methods are popularwith attackers—and for good reason. P2P enables wide global seeding of the malware, an ideal methodfor installing initial droppers or more general purposed malware. Conversely, autorun worms provide aneffective means to propagate more reconnaissance-focused malware within a particular enterprise.In June of 2010, security researchers at Belarus anti-virus firm VirusBlokAda (VBA) discovered rootkit-enabled malware that was exploiting a zero-day Windows Shell vulnerability (Microsoft Security Advisory2286198) which enables malformed .LNK files to execute specified files automatically. The malwareemploying that exploit was part of a targeted attack believed to have been designed to steal SCADAdesign documents.Whether via autorun or malformed .LNK files, this method of making a threat wormable can enableattackers to gain access to systems that might not otherwise be connected to the Internet or even to thewider network. Understanding normal behavior for certain types of traffic (for example, by monitoring P2PIPS events) can help identify traffic changes that could point to potential malware activity.Geographic Distribution of RiskCisco IronPort SenderBase aggregates information from over 100,000 distinct sources across the globe.Regional risk assessment is based on a uniform sampling of data derived from participating/reportingappliances located in 78 countries. A risk rating is derived by first calculating the rate of malicious webtraffic compared to legitimate traffic, based on the point of origination of the requesting appliance.That result is then compared to the results for other locales to derive the final relative exposure riskfor a particular country or region. Cisco SecurityFigure 9 Relative Exposure Risk for Web-Based Malware by RegionSource: Cisco IronPort North America Nordic Region 4% 6% Europe Eastern Europe 9% 33% China Middle East 11% 6% South America 14% Asia Pacific 9% 9% AfricaCisco 2Q10 Global Threat Report 6
  • 119. Results of the sampling indicate the regions which were most at risk for encountering web-based malware during 2Q10 were Eastern Europe (33 percent), South America (14 percent), and China (11 percent). The Nordic Region experienced the lowest level of risk, at 4 percent compared to other geographical areas. However, these results were somewhat influenced by specific countries within a particular region that exhibited an abnormally higher or lower risk compared to other countries in that same region. An example of this is Kazakhstan, which exhibited a 37 percent relative exposure rate among Eastern European countries, 2.5 times that of the second highest country in the region. Cisco Security South America was largely domi- Figure 10 Top Five Relative Exposure Risk for Web-Based Malware, Eastern Europe 2Q10 nated by two countries, Venezuela Source: Cisco IronPort (41 percent) and Chile (35 percent) Russian Federation followed by Mexico at 10 percent. 13% Among countries in Europe, the spread was less dramatic with the UK at 29 percent, Spain second Ukraine 37% 14% Kazakhstan highest at 19 percent and France third at 11 percent. Bosnia and Herzegovina 15% 8% Azerbaijan When viewed at an individual country level, the regional bias remains evident, as seen in Figure 11. Cisco Security Figure 11 Top Ten Countries Relative Exposure Risk for Web-Based Malware, 2Q10 Source: Cisco IronPort Russian Federation 7% Kazakhstan Ukraine 8% 21% Bosnia and 2% Herzegovina 9% 4% 4% China Moldova Azerbaijan Venezuela 2% 8% Mexico 7% ChileFor more information © 2010 Cisco and/or its affiliates. All rights reserved. Cisco, the Cisco logo, and Cisco Systems are registered trademarks or trademarks of Cisco and/or its affiliates in the United States and certain other countries. All other trademarks mentioned in this document oron Cisco SIO, visit Cisco 2Q10 Global Threatrespective owners. The use of the word partner does not imply a partnership relationship between 7 Website are the property of their Reportwww.cisco.com/go/sio. Cisco and any other company. (1002R)
  • 120. A Forrester Consulting Thought Leadership Paper Commissioned By Microsoft And RSA, The Security Division Of EMCThe Value Of Corporate SecretsHow Compliance And Collaboration Affect Enterprise Perceptions Of RiskMarch 2010
  • 121. Forrester ConsultingThe Value Of Corporate SecretsTable Of ContentsExecutive Summary ................................................................................................................................................................................. 2 Secrets Comprise Two-Thirds Of The Value Of Firms’ Information Portfolios ........................................................................ 3 Compliance, Not Security, Drives Security Budgets ......................................................................................................................... 7 Firms Focus On Preventing Accidents, But Theft Is Where The Money Is ................................................................................. 8 The More Valuable A Firm’s Information, The More Incidents It Will Have .......................................................................... 10 CISOs Do Not Know How Effective Their Security Controls Are............................................................................................... 12 Conclusions And Recommendations ................................................................................................................................................ 12 Key Recommendations ......................................................................................................................................................................... 13 Appendix A: Methodology .................................................................................................................................................................. 14 Appendix B: Supplemental Material .................................................................................................................................................. 17 Appendix C: Endnotes .......................................................................................................................................................................... 17 © 2010, Forrester Research, Inc. All rights reserved. Unauthorized reproduction is strictly prohibited. Information is based on best available resources.Opinions reflect judgment at the time and are subject to change. Forrester®, Technographics®, Forrester Wave, RoleView, TechRadar, and TotalEconomic Impact are trademarks of Forrester Research, Inc. All other trademarks are the property of their respective companies. For additionalinformation, go to www.forrester.com. [1-EG6EJT]About Forrester ConsultingForrester Consulting provides independent and objective research-based consulting to help leaders succeed in their organizations. Ranging inscope from a short strategy session to custom projects, Forrester’s Consulting services connect you directly with research analysts who applyexpert insight to your specific business challenges. For more information, visit www.forrester.com/consulting.Page 1
  • 122. Forrester ConsultingThe Value Of Corporate SecretsExecutive SummaryIn November 2009, Microsoft and RSA, the security division of EMC, commissioned Forrester Consulting to assess thedata security practices of North American, European, and Australian enterprises. We sought to understand: 1) the valueof sensitive information contained in enterprise portfolios; 2) the security controls used to protect this information; 3)the drivers of information security programs; and finally, 4) the cost and impact of enterprise data security incidents.For this report, Forrester conducted 305 in-depth surveys with IT security decision-makers to understand howenterprises value and protect their enterprise information portfolios.Key FindingsEnterprises’ chief information security officers (CISOs) face increasing demands from their business units, regulators,and business partners to safeguard their information assets. Security programs protect two types of data: secrets thatconfer long-term competitive advantage and custodial data assets that they are compelled to protect. Secrets includeproduct plans, earnings forecasts, and trade secrets; custodial data includes customer, medical, and payment cardinformation that becomes “toxic” when spilled or stolen. We found that enterprises are overly focused on complianceand not focused enough on protecting their secrets. Our key findings are the following: • Secrets comprise two-thirds of the value of firms’ information portfolios. Despite the increasing mandates enterprises face, custodial data assets aren’t the most valuable assets in enterprise information portfolios. Proprietary knowledge and company secrets, by contrast, are twice as valuable as the custodial data. And as recent company attacks illustrate, secrets are targets for theft. • Compliance, not security, drives security budgets. Enterprises devote 80% of their security budgets to two priorities: compliance and securing sensitive corporate information, with the same percentage (about 40%) devoted to each. But secrets comprise 62% of the overall information portfolio’s total value while compliance- related custodial data comprises just 38%, a much smaller proportion. This strongly suggests that investments are overweighed toward compliance. • Firms focus on preventing accidents, but theft is where the money is. Data security incidents related to accidental losses and mistakes are common but cause little quantifiable damage. By contrast, employee theft of sensitive information is 10 times costlier on a per-incident basis than any single incident caused by accidents: hundreds of thousands of dollars versus tens of thousands. • The more valuable a firm’s information, the more incidents it will have. The “portfolio value” of the information managed by the top quartile of enterprises was 20 times higher than the bottom quartile. These high- value enterprises had four times as many security incidents as low-value firms. High-value firms are not sufficiently protecting data from theft and abuse by third parties. They had six times more data security incidents due to outside parties than low-value firms, even though the number of third parties they work with is only 60% greater. • CISOs do not know how effective their security controls actually are. Regardless of information asset value, spending, or number of incidents observed, nearly every company rated its security controls to be equally effective — even though the number and cost of incidents varied widely. Even enterprises with a high number ofPage 2
  • 123. Forrester ConsultingThe Value Of Corporate Secrets incidents are still likely to imagine that their programs are “very effective.” We concluded that most enterprises do not actually know whether their data security programs work or not.The sections that follow explain our findings in detail.Secrets Comprise Two-Thirds Of The Value Of Firms’ Information PortfoliosEnterprise information portfolios contain everything from cardholder details and customer records to unstructureddocuments that contain intellectual property. We identified two kinds of information that have clear and tangible value.Proprietary company secrets generate revenue, increase profits, and maintain competitive advantage. In addition,custodial data such as customer, medical, and payment card information has value because regulation or contractsmake it toxic when spilled and costly to clean up. We explain each below.Secrets refer to information that the enterprise creates and wishes to keep under wraps. Secrets tend to be messily andabstractly described in Word documents, embedded in presentations, and enshrined in application-specific formats likeCAD. Secrets that have intrinsic value to the firm are always specific to the enterprise’s business context. An interestedparty could cause long-term competitive harm if it obtains these secrets. Keeping proprietary knowledge away fromcompetitors is essential to maintaining market advantage (see Figure 1).Figure 1Secrets Versus Custodial DataSource: Forrester Research, “Selecting Data Security Technologies,” December 2009.Page 3
  • 124. Forrester ConsultingThe Value Of Corporate SecretsCompanies in knowledge-intensive industries such as aerospace and defense, electronics, and consulting generate largeamounts of confidential intellectual property that present barriers to entry for competitors. Unlike with toxic data spills,failures to protect secrets are almost never made public. And in January 2010, a major search engine revealed thatChinese attackers compromised its computers and stole valuable intellectual property.1By contrast, legislation, regulation, and contracts compel enterprises to protect custodial data. Mandates that obligeenterprises to be good custodians include contractual obligations like the Payment Card Industry Data SecurityStandard (PCI-DSS) and data breach and privacy laws.Custodial data has little intrinsic value in and of itself. But when it is obtained by an unauthorized party, misused, lost,or stolen, it changes state. Data that is ordinarily benign transforms into something harmful. When custodial data isspilled, it becomes “toxic” and poisons the enterprise’s air in terms of press headlines, fines, and customer complaints.Outsiders, such as organized criminals, value custodial data because they can make money with it. Custodial data alsoaccrues indirect value to the enterprise based on the costs of fines, lawsuits, and adverse publicity.Examples of custodial data include customer personally identifiable information (PII) attributes like name, address,email, and phone number; government identifiers; payment card details like credit card numbers and expiration dates;and medical records and government identifiers like passport number and Social Security Number. Many well-knownfirms have graced the front pages of major newspapers with toxic data spills.Secrets Are Much More Valuable Than Custodial DataCatastrophic toxic data spills are dramatic and expensive, and they garner the most headlines. But for most enterprises,secrets are more valuable than custodial data. For this survey, we asked respondents to identify the five most valuableassets in their information portfolios out of 17 possible types of information ranging from sales forecasts to cardholderdata. For purposes of simplicity, we constrained the maximum value to $1 million. On average, enterprises valued theirtop five assets at $2.7 million in aggregate. Significantly, two-thirds of the value comes from secrets, not custodial data(see Figure 2).Page 4
  • 125. Forrester ConsultingThe Value Of Corporate SecretsFigure 2Enterprises’ Information Portfolios Are Worth $2.7 Million, 62% Of Which Derives From Secrets $350,000 Earnings and financial info $296,967 $300,000 PII about customers $270,574 $250,000 Customer contact info Proprietary research $234,016 $226,393 Mergers and acquisition data $200,000 Financial models $190,246 Mean $174,590 Cardholder data related Med records and PHI value $171,557 to compliance w/ PCI $170,820 Competitive analyses Plans for new products and services $150,000 $147,787 $160,902 Pricing lists Source code $126,230 $129,426 Sales pipelines and forecasts Product schematics and CAD drawings $100,000 $106,639 $108,033 Clinical trial info $89,836 Bills of materials $55,492 $50,000 Percent of customers who cited a type of IP as “important” or “very important” $0 0% 10% 20% 30% 40% 50% 60% 70% Base: 305 senior-level IT security decision-makersSource: A commissioned study conducted by Forrester Consulting on behalf of RSA and Microsoft, November 2009Earnings and financial information is the most valuable single data type, worth $297,000 on average against amaximum possible value of $1 million. Bills of materials are valued lowest, at $55,492 (see Figure 2).We found significant differences between verticals. Enterprises in highly knowledge-intensive industries likemanufacturing, information services, professional, scientific and technical services, and transportation accrue between70% and 80% of their information portfolio value from secrets. By contrast, healthcare firms and governmental entitiesare nearly exactly the opposite. Three-fifths or more of the value of their information assets are custodial data assets (seeFigure 3).Page 5
  • 126. Forrester ConsultingThe Value Of Corporate SecretsFigure 3Knowledge Industries Derive 70% Of Their Information Value From Secrets Secrets Custodial Data Professional, scientific, and technical services 74% 26% Information 71% 29% Wholesale, transportation, and warehousing 69% 31% Utilities 67% 33% Manufacturing 67% 33% Finance and insurance 62% 38% Retail, accomoodation, and food services 62% 38% Public administration 41% 59% Health care and social assistance 34% 66% Base: 305 senior-level IT security decision-makersSource: A commissioned study conducted by Forrester Consulting on behalf of RSA and Microsoft, November 2009Conclusion: Enterprise secrets are an underappreciated and underprotected information asset. Poor custodianship ofcustomer and cardholder data by companies results in high-profile toxic data spills. But in most industries, this is onlyone-third of the value at risk. Two-thirds of enterprises’ information portfolio value comes from the secrets they create.As the recent industrial espionage attack on a large search engine company illustrates, the threat landscape has notchanged, but our perception of it has.2 Targeted zero-day attacks are routine, particularly against government agenciesand in the aerospace and defense sectors. What is new is that we are now seeing headlines about it. This search engine’sadmission that it lost some of its secrets in the recent attack shows that securing trade secrets deserves just as muchattention as the toxic stuff.Page 6
  • 127. Forrester ConsultingThe Value Of Corporate SecretsCompliance, Not Security, Drives Security BudgetsIn the past five years, “compliance” of all types has become the primary driver of data security programs. Nearly 90% ofenterprises we surveyed agreed that compliance with PCI-DSS, data privacy laws, data breach regulations, and existingdata security policies is the primary driver of their data security programs.3A significant percentage of enterprise budgets (39%) is devoted to compliance-related data security programs (seeFigure 4). When we dug deeper, Forrester found that while all types of compliance have an influence on budgets,compliance with internal security policies is slightly more likely to move budgets than the statutory and regulatory kind.Nearly 70% of enterprises said that compliance with internal security policies had caused them to spend more time,money, or effort protecting their data. Slightly lower percentages cited compliance with statutes and regulations (62%)and contractual obligations like PCI-DSS (60%). No doubt all of these factors are mutually reinforcing.4Conclusion: Companies are underinvesting in programs for protecting their secrets. Interestingly, the percentage ofbudget spent on compliance programs is nearly identical to the percentage of enterprise information value that can beattributed to custodial data (38%). Only 41% of enterprise data security budgets were spent on securing non-compliance-related types of sensitive corporate information, compared with 62% of the overall information portfolio’stotal value.Figure 4Compliance Drives Budgets, But Enterprises Underinvest In Other Data Security Areas “Please indicate how your IT security budget for 2010 is allocated.” Dont know 6% Compliance driven projects and technology Other 39% 14% Non- compliance- related initiatives to protect sensitive corporate information 41% Base: 305 senior-level IT security decision-makersSource: A commissioned study conducted by Forrester Consulting on behalf of RSA and Microsoft, November 2009Page 7
  • 128. Forrester ConsultingThe Value Of Corporate SecretsFirms Focus On Preventing Accidents, But Theft Is Where The Money IsEnterprise perceptions of risk — the types of data security incidents that are most likely, and their magnitude — showthat enterprise perceptions are oriented toward preventing accidents. We asked security decision-makers to identify thelikelihood of 13 specific sources of data security incidents, such as misplacement of an employee device, theft by aprivileged insider, an outsourced call center, and a variety of other sources. We also asked respondents to count thenumber of incidents they had actually experienced in the past two years.Enterprise perceptions of incident likelihood were backed up by the incidents they experienced. A majority ofenterprises felt that employee-related accidents were the most likely sources. Theft or misplacement of an employeedevice was seen as likely or extremely likely by 58% of respondents, while the risk of accidental leakage by an employeewas seen as nearly as risky (57%). And indeed, the top three actual incidents reported were all employee-relatedaccidents. Enterprises lost, on average, 11 company-owned smartphones and seven laptops during the past two years.Employees accidentally emailed or posted sensitive information five times. Of the roughly 40 incidents, these threetypes comprised two-thirds of the total count (see Figure 5).Figure 5Employee Toxic Data Accidents Represent 57% Of Incidents . . . “Over the last 2 years, has your enterprises experienced any of the following kinds of data leak incidents? Please indicate the number of incidents. If you have not had any incidents for a particular type, please enter ‘0’.” An employee lost a smartphone 11.30 58% represent employee-related An employee lost a laptop containing sensitive inf ormation 6.81 accidents An employee accidentally e-mailed or posted sensitive inf ormation 4.82 22.9 out of 39.9 incidents A customer service representative inappropriately accessed customer records 3.56 A rogue employee used their privileges to access sensitive company documents that they had no business reason to … 3.00 An outside business partner lost a laptop containing sensitive inf ormation 2.62 A terminated employee stole inf ormation because they had not been adequately de-provisioned 1.66 IT operations lost an unencrypted backup tape or drive 1.55 An outside attacker compromised a server and stole data 1.06 A rogue employee stole sensitive company documents 1.05 An outside business partner lost sensitive inf ormation via other means 0.94 A supply chain or business partner abused their privileges and obtained data they should not have had access to 0.80 An IT administrator abused privileges and stole data 0.69 Base: 305 senior-level IT security decision-makersSource: A commissioned study conducted by Forrester Consulting on behalf of RSA and Microsoft, November 2009Page 8
  • 129. Forrester ConsultingThe Value Of Corporate SecretsHowever, the amount of damage that employee-related accidents caused was quite low relative to other types. When weasked enterprises to quantify the hard-dollar costs of the incidents they experienced, the most common incidents werealso shown to be the least costly. The total cost for all lost smartphone incidents was $134,000, with about half incurringminimal or no costs. The average cost per incident was $12,000 (see Figure 6). Lost laptop incidents incurred slightlymore cost and were slightly more serious, with a total cost of $179,000 and a per-incident cost of $26,000. Accidentalleakages incurred just $174,000 in total cost and had a per-incident cost of $26,000.Figure 6. . . But Insider Theft Of Secrets And Other Unstructured Documents Was The Most Costly Type Of Incident “Please quantify the total hard-dollar costs of the incidents over the last 2 years. Include any fines, legal fees, out-of-pocket investigation expenses, and forensics consulting. Do not include soft labor/productivity issues.” Cost of incidents, Cost per Type of Incident last 2 years incident A rogue employee stole sensitive company documents $380,701 $362,572 (n=92) An outside business partner lost a laptop containing $320,137 $340,571 sensitive information (n=77) An outside attacker compromised a server and stole $313,754 $295,994 data (n=68) An IT administrator abused privileges and stole data $312,044 $452,238 (n=73) An outside business partner lost sensitive information $303,268 $115,751 via other means (n=88) A supply chain or business partner abused their privileges and obtained data they should not have had $289,815 $362,269 access to (n=66) IT operations lost an unencrypted backup tape or drive $277,481 $179,020 (n=84) A terminated employee stole information because they $265,759 $160,096 had not been adequately de-provisioned (n=86) A rogue employee used their privileges to access sensitive company documents that they had no $246,641 $82,214 business reason to view/use (n=109) A customer service representative inappropriately $195,548 $54,929 accessed customer records (n=87) An employee lost a laptop containing sensitive $179,341 $26,335 information (n=157) An employee accidentally emailed or posted sensitive $174,242 $25,586 information (n=152) An employee lost a smartphone (n=159) $133,639 $11,826 Base: 305 senior-level IT security decision-makersSource: A commissioned study conducted by Forrester Consulting on behalf of RSA and Microsoft, November 2009By contrast, malicious theft by insiders and third parties was much costlier. Although enterprises reported, on average,only one incident where a rogue employee stole sensitive company documents, that one incident was the most costly ofPage 9
  • 130. Forrester ConsultingThe Value Of Corporate Secretsincident types: $380,000 in absolute terms, or roughly $363,000 per incident. Damage caused by a rogue ITadministrator was even more costly on a per-incident basis, at $452,000. To put this in perspective, this means thatemployee theft of sensitive information is 10 times costlier on a per-incident basis than any single incident caused byemployee accidents.Conclusions: Enterprise security investments are overly biased toward preventing employee mistakes rather thansecuring the critical secrets that confer long-term competitive advantage. Many of the security controls that are believedto be “best practices” — full-disk encryption on laptops, data leak prevention (DLP) policies for detecting protectedhealth information (PHI) or PII, and device control software — are designed to reduce the impact of employeeaccidents. Today, these controls are most commonly used to reduce the frequency of toxic data spills of custodial data.But they are used less often to prevent theft. Enterprises should focus more of their resources on stopping the mostdamaging incidents: deliberate theft by insiders and abuse by outsiders.The More Valuable A Firm’s Information, The More Incidents It Will HaveFor 90% of enterprises, collaboration tools that cross company lines are essential to the success of their businesses.5 Theaverage enterprise in our survey works with more than 100 third parties. Nearly three-quarters of this total comes fromlinks with contract professionals (30, on average), supply chain partners (29), and contract manufacturers (16).Regulatory agencies, CPAs, healthcare providers, and other organizations make up the rest.6Forrester hypothesized that enterprises with the most valuable and widely shared information would incur far higherincident costs than others. To test this hypothesis, we divided the enterprises we surveyed into quartiles based on thevalue of their enterprise information portfolios. The top quartile based on enterprise information value, which we callthe high-value quartile, manages information worth $4.8 million out of a maximum possible value of $5 million, ofwhich $3.1 million is secrets and $1.6 million is toxic data (see Figure 7).7 The bottom quartile, called the low-valuequartile, manages just $243,000 in information assets. In other words: High-value enterprises’ information is worth atleast 20 times that of the low-value enterprises.We noticed important differences in several key characteristics of high-value enterprises compared with the low-valueenterprises. First, the number of connections with outside parties was much higher. High-value enterprises had 60%more relationships with outside third parties than low-value firms (168 parties versus 104). Second, high-value firmsused more security controls than low-value firms. High-value firms have deployed approximately 16 process, endpoint,network, and data center controls to protect sensitive data, compared with 13.8 for low-value firms. Most of thedifference is explained by technology (12.2 technical controls versus 10.2).8Third, we noticed a striking difference in the number and kind of data security incidents that each group experienced.High-value firms reported four times as many data security incidents as low-value firms — about 60 (59.5) over a two-year period compared with about 15 (14.4). The roughly 4:1 proportion of incidents was true not just overall but withrespect to incidents due to employees also. But with the difference in the number of outsider incidents, it was six timeshigher with high-value versus low-value firms. The more third-party connections an enterprise has, the more incidentsit will have that come from outsiders.Page 10
  • 131. Forrester ConsultingThe Value Of Corporate SecretsFigure 7Firms With High-Value Information Portfolios Gain More, And Spend More, Than Low-Value FirmsSource: A commissioned study conducted by Forrester Consulting on behalf of RSA and Microsoft, November 2009Moreover, high-value firms incurred much higher incident costs than the low-value firms. A typical high-value firm’scost of incidents, at $2.05 million over two years, was 50% more than the mean for all enterprises ($1.3 million). Thehigh-value firms’ per-incident costs, at $35,000 per incident, are comparable with the mean for all companies ($33,000).High-value incidents are not necessarily more serious on a per-incident basis than those at other companies — butthere are a lot more of them.Conclusions: Enterprises with more valuable information portfolios must spend more time and effort securing them.Higher-value portfolios lead to more incidents. Our data shows that enterprises are not spending enough effortprotecting data from theft and abuse by outside parties. High-value firms suffer six times more data security incidentsdue to outside parties than low-value firms, and the number of outside parties they work with is 60% greater. Thisshows that the combination of more valuable information and more widespread collaboration leads directly to highersecurity exposure.Page 11
  • 132. Forrester ConsultingThe Value Of Corporate SecretsCISOs Do Not Know How Effective Their Security Controls AreEnterprises implement a range of security controls to protect their sensitive data. Some of these are process controls,such as access controls on file shares, data classification procedures, or data breach reporting. Others are technicalcontrols for the endpoint, network, or data center. Endpoint controls include full-disk encryption, device wipe softwarefor mobile devices, and DLP. Network controls include DLP software for the network and email encryption software.Data center controls include DLP software, access control remediation, database monitoring, database encryption, andsecurity information management (SIM).When asked to rate the effectiveness of their security controls, respondents rated nearly every one highly. Sixty percentor more rated every single technical control we asked about as “highly effective.” A huge majority (95%) expressed highconfidence that they know where their most sensitive information flows from and to.9But enterprise confidence in the effectiveness of their controls is overstated. For example, both high-value and low-value firms rated their security programs equally effective — scoring 2.5 and 2.6, respectively, on a 3-point scale. But aswe discussed in the previous section, the high-value firms had four times as many incidents as low-value firms. One ofthem must be wrong. We observed the same pattern when we compared the top and bottom quartiles for securityspending and security incidents. In other words, no matter how we cut our data — by information asset value,spending, or number of incidents — the top and bottom quartiles all rated their program effectiveness between 2.5 and2.6, even though the number and cost of incidents varied widely. We find this implausible.Conclusion: Most enterprises do not actually know whether their data security programs work or not, other than byraw incident counting. Even then, an enterprise with a high number of incidents is still likely to imagine that itsprograms are “very effective.” To understand more objectively how well their security programs perform, enterpriseswill need better ways of generating key performance indicators and metrics — and we (Forrester) will need to ask morepointed questions to better understand the incidents they missed.Conclusions And RecommendationsIn analyzing the security practices of more than 300 North American, European, and Australian enterprises, ForresterConsulting confirmed several long-standing hypotheses about data security programs in large companies. Weconfirmed that, indeed, increased collaboration increases data security’s importance, and that compliance pressurescontinue to be the motor that turns the IT security budget wheel. We also confirmed the conventional wisdom that,75% of the time, data security incidents are attributed to insiders.However, we also reached some surprising conclusions. Forrester concluded that not all enterprises are created equally.High-value firms manage information that is 20 times more valuable than low-value firms. And they are much moreeager collaborators. As a result, the number and type of data security incidents experienced by high-value firms werefour times higher, and the costs are nearly twice as high.Page 12
  • 133. Forrester ConsultingThe Value Of Corporate SecretsKEY RECOMMENDATIONSCISOs invest significant time and money protecting their sensitive information. But their priorities are not always the rightones. Security investments are too often aimed at preventing accidents, such as when employees accidentally lose laptopsor inadvertently send emails containing customer information. Enterprises are sensitive to these concerns becausecompliance with regulations, customer pressures, criminals, and contractual mandates make toxic data spills expensive.“Compliance” in all its forms has helped CISOs buy more gear. But it has distracted IT security from its traditional focus:keeping company secrets secure. Forrester recommends that enterprises examine their current data security strategies toensure that they are balanced and appropriate for the portfolios they are protecting. In the next 60 days, you should: • Identify the most valuable information assets in your portfolio. As we have demonstrated in this report, some information assets are more valuable than others. Ask your organization’s asset owners to assign coarse-grained monetary values to their custodial data and secrets. Stack-rank the top five most valuable assets, and calculate the proportion that is “secrets” versus “custodial data.” Use the broad ratios in Figure 4 as a guideline to determine whether your enterprise contains more — or less — secrets than other enterprises in your vertical. • Create a “risk register” of data security risks. Divide the risks your firm faces into two categories: compliance risks and misuse of secrets. For compliance, review the history of “toxic data spills” involving mobile devices and media. For misuse of secrets, review cases of abuse by users with access to valuable information. Examine the types of information given to third parties, especially the extent to which they are stored on non-company-owned assets. Create a risk register documenting the specific threat scenarios: what data is at risk and from whom, and the likeliest threat vectors the threat agents might exploit. • Assess your program’s balance between compliance and protecting secrets. Your organization’s senior management has a set of principles that shapes what the security program does and the impulses it responds to. Requests to “protect our patients’ medical records” or “keep our company out of the papers” imply priorities for protecting custodial data. But “stop our designs from being stolen by our competitors” sends a different message. Understanding how your management’s priorities map to the security team’s control strategies is essential to understanding whether it is balanced.These three actions will establish your security program’s baseline. Based on the results, you should then: • Reprioritize enterprise security investments. Programs whose control strategies are “overweighted” toward compliance and preventing employee accidents should consider data-centric technologies like enterprise rights management (ERM), fine-grained access controls, and DLP. To increase acceptance by the employees who must protect the information, use a simple data classification strategy with just three levels: public, internal use only, and need-to-know. For reducing theft of secrets by privileged insiders, build core competencies in network security monitoring (NSM) and SIM. • Increase vigilance of external and third-party business relationships. Enterprises with significant exposure to third parties should take steps to monitor and restrict information flows. If possible, mandate the installation of technical controls on third-party devices that store significant quantities of secrets or custodial data. Consider data- sharing strategies that don’t require third parties to store data on their devices, such as client virtualization. • Measure effectiveness of your data security program. Security managers should rely on facts, rather than faith, for proof of effectiveness of their data security programs. Develop a process for tracking key performance indicators that measure the effectiveness of data protection efforts, such as frequency and cost of incidents. Wherever possible, benchmark against comparable firms using data from studies like this one or using public data sources like DataLossDB.Page 13
  • 134. Forrester ConsultingThe Value Of Corporate SecretsAppendix A: MethodologyIn this study, Forrester conducted an online survey of 305 organizations on three continents to evaluate data securitydrivers, practices, and costs. The survey base included 163 US-based companies, 102 in Europe, and 40 in Australia andNew Zealand.All companies we surveyed employed more than 5,000 people. Survey participants were decision-makers who hadprimary responsibility or authorization over IT security budgets. Questions provided to the participants asked basicdemographic questions about their industry, number of employees, and IT and security budgets. Specific securityquestion categories included: • Business security drivers. • Key perceived data security risks. • Sensitive data types managed by the enterprises. • Value of the top five most-important data types. • In-use and planned data security controls. • Data loss incidents, their sources, and their cost.The survey totaled 30 high-level questions, many with multiple responses and multipart answers. In all, we obtainedmore than 2,000 data points per respondent.The study began in November 2009 and was completed in December 2009.Based on the results from the fielded survey, Forrester calculated the following key statistics for each company: • Information value. • Information value — toxic data. • Information value — secrets. • Number of outside parties. • Number of security controls deployed. • Mean effectiveness of security controls. • Number of security incidents (past two years). • Cost of security incidents.We explain the calculation of each metric below.Page 14
  • 135. Forrester ConsultingThe Value Of Corporate SecretsInformation ValueWe assigned an information value to the top five types of information the respondents considered “important” or “veryimportant.” We gave respondents several value ranges to choose from. For each data type, if the respondent said it wasworth less than $50,000, we assumed that data type had no value. If the respondent said it was worth more than $1million, we capped the value at $1 million. Otherwise, we used the midpoint of the range. We then took the sum ofthese values to calculate the overall value of the firm’s information. Put more correctly, this value should be seen as alower-bound estimate of the value of the firm’s five most-important data types. Because we only asked respondents toassign values to five data types, the maximum value of a firm’s information is $5 million. We realize that manyenterprises value their information higher than this.The 17 data types that respondents could choose from were: plans for new products and services; sales pipelines andforecasts; customer contact information; earnings and financial information; PII about customers; cardholder datarelated to compliance with PCI; medical records and PHI; financial models; source code; clinical trial information; billsof materials; product schematics and CAD drawings; pricing lists; competitive analyses; proprietary research; mergersand acquisitions data; and other (please specify).Information Value — Toxic DataWe calculated the value of information that is “toxic” by virtue of regulation or a compliance mandate like PCI. To dothis, we summed the information values as described in the previous paragraph, but only for these data types: customercontact information; PII about customers; cardholder data related to compliance with PCI; medical records and PHI;and clinical trial information.Information Value — SecretsWe calculated the value of “secrets” (trade secrets, confidential and other kinds of nonregulated but otherwise valuabledata) by subtracting the “toxic data” value from the firm’s overall information value.Number Of Outside PartiesWe asked respondents to tell us how many third-party firms their enterprises do business with. We asked for specificnumbers for each of these types of third party: supply chain raw materials or finished goods suppliers; contractmanufacturers; outsourced customer contact center/call centers; healthcare insurance providers; payroll processors;outsourced or contracted IT support firms; outsourced application development firms, including offshore; CPAs;management consultants with privileged access to company financials; regulatory agencies; and contract professionalsused for seasonal work. The number of outside parties metric is the sum of all of these responses.Number Of Security Controls DeployedWe asked respondents to tell us how many process-related and technology-based security controls they used to securetheir information. For each of 21 specific controls, we asked to what degree they were deployed within the respondent’senvironment, ranging from not deployed to full deployment.Page 15
  • 136. Forrester ConsultingThe Value Of Corporate SecretsWe asked about five process controls: access controls; data security training; data incident/loss tracking; data breachreporting/response processes; and policies for classification and data protection.We asked about six technical endpoint controls: device wipe/kill software for mobile devices; desktop/laptop port anddevice control software; file or folder encryption software; enterprise/information digital rights management; laptop ordesktop full-disk encryption; and DLP software at the endpoint.We asked about five technical network controls: DLP software for data in motion on the network; Web applicationfirewall; email encryption software; email monitoring and filtering software; and encrypted file transfer software.Lastly, we asked about five technical database and data center controls: database monitoring and protection tools;database encryption tools; DLP tools for discovering data at rest on servers/databases; security information and eventmanagement (SIEM) tools; and other.The total number of security controls deployed is the count of the number of controls the respondent indicated they were“piloting” or have “fully deployed.”Mean Effectiveness Of Security ControlsFor each security control that the respondent indicated was “fully rolled out,” we asked the respondent to grade itseffectiveness on a 3-point scale, where 0 meant “shelfware,” 1 meant “not at all effective,” 2 meant “somewhat effective,”and 3 meant “very effective.” We then averaged the effectiveness score for all of the technologies to calculate a meanscore for the enterprise.Number Of Security Incidents (Past Two Years)We asked respondents to tell us the number of incidents they had experienced over the past two years for each of 14specific kinds of incidents. One group of incidents was the type that an insider (employee) might commit; the other wasfor outsiders. Respondents could also indicate they experienced no incidents.The “employee” incidents were nine different types: IT operations lost an unencrypted backup tape or drive; employeelost a laptop; employee lost a smartphone; IT administrator abused privileges and stole data; customer servicerepresentative inappropriately accessed customer records; employee accidentally emailed or posted sensitiveinformation; rogue employee used his or her privileges to access sensitive company documents; rogue employee stolesensitive company documents; and terminated employee stole information because they had not been adequatelydeprovisioned.The “outsider” incidents were five different types: outside business partner lost a laptop; outside business partner lostsensitive information via other means; outside attacker compromised a server and stole data; supply chain or businesspartner abused their privileges and obtained data they should not have had access to; and other.The number of security incidents metric was the sum of the number of incidents for each type of incident. We furthercalculated metrics for the number of incidents by employees and the number of incidents by outsiders.Page 16
  • 137. Forrester ConsultingThe Value Of Corporate SecretsCost Of Security IncidentsFor each type of incident that the respondents indicated they had non-zero numbers of incidents for, we asked what thehard-dollar costs (excluding labor) were for all incidents of that type. For each type of incident, we gave the user severalcost ranges to choose from, ranging from “minimal cost” (less than $1,000) to “large incident” (more than $1 million).If the respondent said the hard-dollar cost was less than $1,000, we assumed that the cost was zero. If the respondentsaid it cost more than $1 million, we capped the cost at $1 million. Otherwise, we used the midpoint of the range. Tocalculate the total cost of security incidents metric for a firm, we summed the costs for all incidents. We furthercalculated metrics for the average incident cost for each type of incident across all firms.Appendix B: Supplemental MaterialRelated Forrester Research“Data Security Predictions For 2010” by Andrew Jaquith, December 2, 2009“Selecting Data Protection Technologies” by Andrew Jaquith, October 28, 2009“Inquiry Spotlight: Data Leak Prevention, Q1 2009” by Natalie Lambert and Andrew Jaquith, February 10, 2009Appendix C: Endnotes1 Source: David Drummond, “A new approach to China,” The Official Google Blog, January 12, 2010(http://googleblog.blogspot.com/2010/01/new-approach-to-china.html). For Forrester’s take, see The Forrester Blog ForSecurity & Risk Professionals. Source: Andrew Jaquith, “The Attack on Google: What It Means,” The Forrester Blog ForSecurity & Risk Professionals, January 15, 2010 (http://blogs.forrester.com/srm/2010/01/the-aurora-attack-on-google-what-it-means.html).2 For more about the major search engine company incident, see Forrester’s blog post. Source: Andrew Jaquith, “Plainspeaking about industrial spying,” The Forrester Blog For Security & Risk Professionals, January 25, 2010(http://blogs.forrester.com/srm/2010/01/plain-speaking-about-industrial-spies-not-apt.html).3 Eighty-nine percent of respondents agreed (40%) or strongly agreed (49%) with this statement: “Compliance withincident disclosure laws, Payment Card Industry Data Security Standard (PCI-DSS), and data privacy regulations is theprimary driver of our data security.” Source: “The Value Of Corporate Secrets,” a commissioned study conducted byForrester Consulting on behalf of RSA and Microsoft, November 2009. Base: 305 senior-level IT security decision-makers. Question Q1: “Please indicate how strongly you agree or disagree with the following statements about yourcompany’s use of communications technologies and their associated data security risks.”Page 17
  • 138. Forrester ConsultingThe Value Of Corporate Secrets4 Forrester asked respondents to indicate the degree to which “the following regulations and compliance-related issueshave driven your data security programs: a) statutes and regulations such as CA SB 1386, MA-201, Sarbanes-Oxley,ARRA, and the EU Privacy Directive; b) contractual standards like the Payment Card Industry Data Security Standard(PCI-DSS); c) ITAR/Export Control; and d) internal corporate IT security policy.” Source: “The Value Of CorporateSecrets,” a commissioned study conducted by Forrester Consulting on behalf of RSA and Microsoft, November 2009.Base: 305 senior-level IT security decision-makers.5 Ninety percent of respondents agreed (46%) or strongly agreed (44%) with this statement: “Collaboration tools thatcross company boundaries are essential to run our business.” Source: “The Value Of Corporate Secrets” acommissioned study conducted by Forrester Consulting on behalf of RSA and Microsoft, November 2009. Base: 305senior-level IT security decision-makers. Question Q9: “Please indicate how strongly you agree or disagree with thefollowing statements about your company’s use of communications technologies and their associated data securityrisks.”6 Forrester asked each respondent to indicate how many third-party firms their enterprise does business with. We askedfor specific numbers for each of 11 specific third-party categories. See Appendix A (Number of outside parties).7 As described in Appendix A, an enterprise’s information portfolio value is calculated by summing the value assignedto each of the top five most-valuable information assets. Our survey conservatively capped the value of any type ofinformation at $1 million.8 See Appendix A for a description of “security controls” and how we measured deployment.9 Ninety-six percent of respondents agreed (32%) or strongly agreed (64%) with this statement: “Data security is themost important security priority for our company.” Ninety-five percent agreed (44%) or strongly agreed (51%) with thestatement, “We know where our most sensitive data flows to and from.” Source: “The Value Of Corporate Secrets,” acommissioned study conducted by Forrester Consulting on behalf of RSA and Microsoft, November 2009. Base: 305senior-level IT security decision-makers. Question Q9: “Please indicate how strongly you agree or disagree with thefollowing statements about your company’s use of communications technologies and their associated data securityrisks.”Page 18