Presentación sobre Políticas de Seguridad. Como crearlas, revisarlas, modificarlas y actualizarlas.

1. EXAMEN DE GRADO
GESTION Y SEGURIDAD DE REDES
Ing. José Miguel Cabrera
Noviembre - 2012
Santa Cruz - Bolivia

2. POLITICAS DE SEGURIDAD

3. COMPONENTES DEL PROCESO DE ADMINISTRACIÓN DE
IDENTIDADES Y ACCESO

4. CONTROL DE ACCESO
Consiste en verificar cómo un usuario se registra o inicia sesión en sus
aplicaciones. El control de acceso hace uso de la autenticación, filtrando los
accesos en función del usuario, el método de autenticación utilizado, el tipo de
estación y localización, e incluso, una auditoría de acceso centralizado

5. GESTIÓN DE LA IDENTIDAD
Su función principal es la creación de atributos de identidad de usuario. Estos
atributos están relacionados con las características de las tareas asignadas al
usuario, que definen su posición en la compañía y aparecen en el directorio LDAP
de la misma, así como los atributos técnicos del usuario declarados en los
sistemas de información

6. ADMINISTRACIÓN DE ROLES
Definen la policía de acceso y la aplican al proceso de identificación y control de
acceso
El procedimiento de aprobación de asignación de roles puede ser parte del
proceso de implementación de la política. Por ejemplo, un procedimiento puede
habilitar a un empleado para la definición de tareas de usuario, tras lo cual, otro
empleado aplicará la política para definir los privilegios de acceso asociados

7. POLITICA DE SEGURIDAD
Los objetivos básicos de cualquier política de seguridad son los siguientes:
•Proteger a las personas y la información.
•Establecer las reglas para el comportamiento esperado de usuarios,
administradores del sistema, personal de administración y personal de seguridad.
•Autorizar al personal de seguridad para la monitorización, pruebas e
investigación.
•Definir y autorizar las consecuencias de la violación de las reglas.
•Consensuar las directivas básicas sobre seguridad de la información de la
compañía.
•Minimizar el riesgo.
•Facilitar el cumplimiento de las normativas y la legislación

8. POLITICA DE SEGURIDAD

9. TIPOS DE POLITICA DE SEGURIDAD

10. CONTROL DE ACCESO
Consiste en verificar cómo un usuario se registra o inicia sesión en sus
aplicaciones. El control de acceso hace uso de la autenticación, filtrando los
accesos en función del usuario, el método de autenticación utilizado, el tipo de
estación y localización, e incluso, una auditoría de acceso centralizado

11. GESTIÓN DE LA IDENTIDAD
Su función principal es la creación de atributos de identidad de usuario. Estos
atributos están relacionados con las características de las tareas asignadas al
usuario, que definen su posición en la compañía y aparecen en el directorio LDAP
de la misma, así como los atributos técnicos del usuario declarados en los
sistemas de información

12. ADMINISTRACIÓN DE ROLES
Definen la policía de acceso y la aplican al proceso de identificación y control de
acceso
El procedimiento de aprobación de asignación de roles puede ser parte del
proceso de implementación de la política. Por ejemplo, un procedimiento puede
habilitar a un empleado para la definición de tareas de usuario, tras lo cual, otro
empleado aplicará la política para definir los privilegios de acceso asociados

14. POLÍTICA DE GOBIERNO
Debe cubrir conceptos de seguridad de la información a alto nivel, definir esos
conceptos y describir la razón de su importancia. La Política de Gobierno está
dirigida a directivos y usuarios finales, por tanto, también es leída por personal
técnico, ya que también son usuarios finales. Todos estos grupos utilizan la
política para hacerse una idea de cuál es la filosofía sobre seguridad de la
información de la compañía.
La Política de Gobierno debe estar fuertemente alineada con las políticas de
Recursos Humanos y otras políticas existentes o futuras de la compañía,
especialmente las relacionadas con aspectos de seguridad, como el uso del
correo electrónico o el acceso a salas de ordenadores.

15. POLÍTICAS TÉCNICAS
Son utilizadas por el personal del Departamento de Sistemas y Comunicaciones
para llevar a cabo sus responsabilidades. Son políticas más detalladas que las
Políticas de Gobierno y son específicas para un sistema o aspecto concretos, por
ejemplo, Política Técnica para AS-300 o Política de Seguridad Técnica de Nivel
Físico.
Las Políticas Técnicas cubren muchos de los aspectos de las Políticas de Gobierno,
así como otros conceptos adicionales específicos para una tecnología concreta.
Son el manual de cómo un sistema operativo o un dispositivo de red deben ser
asegurado.
Describen qué debe ser realizado, pero no cómo realizarlo

16. DOCUMENTOS PROCEDIMENTALES
Proporcionan directivas paso-a-paso sobre cómo llevar a cabo los enunciados de
la política de seguridad. Por ejemplo, una guía para reforzar un servidor Windows
puede ser uno de los documentos en los que se apoya la Política Técnica de
Sistemas Windows.
Los procedimientos y guías son adjuntos a las políticas y por eso constituyen el
siguiente grado de granularidad, describiendo "cómo" algo debe ser ejecutado.
Proporcionan información práctica y sistemática sobre cómo implementar los
requisitos establecidos en los documentos que recogen la política de seguridad

18. PASOS PARA LA CREACION DE POLITICAS
Los pasos necesarios para definir una política de control de acceso basada en
roles extendida son los siguientes:
1. Recopilación de información acerca de los accesos reales de los usuarios a los
sistemas y aplicaciones.
2. Definición de los atributos de usuario: asociación de puesto en la
organización y rol con un usuario.
3. Simplificación del modelo.
4. Creación de una política a partir de los accesos reales de los usuarios.
5. Conciliación de la política con el modelo existente o las declaraciones
realizadas en los sistemas y aplicaciones objetivo.

19. RECOPILACIÓN DE INFORMACIÓN
La correcta recolección de información sobre los accesos reales de los usuarios al
sistema y a las aplicaciones es la base de la aproximación Bottom-Up. Al finalizar
esta fase, es obtendrá como resultado una lista con las cuentas de aplicación en
uso y los nombres de los usuarios que las utilizan. Esta lista permitirá la definición
de una política que refleje la realidad de los accesos y evite los errores ocultos en
el interior de los sistemas y aplicaciones.
Esta información debe ser recogida a lo largo de un intervalo de tiempo
representativo. El período debe ser lo suficientemente largo (al menos cuatro
meses) para cubrir el ciclo de producción/operacional y los períodos de análisis y
documentación.

20. DEFINICIÓN DE LOS ATRIBUTOS DE USUARIO
Los roles están definidos de forma simple a través de su nombre. Pueden tener
uno o varios roles "padre" de los cuales heredan los privilegios de acceso dentro
de la misma organización. Por tanto, el "Agente Comercial" puede tener dos roles
padre "Ventas" y "Gestor", heredando los derechos de acceso a aplicaciones
sistemas de ambos. La única condición indispensable en la descripción de roles es
que la relación padres/hijos no se convierta en circular.
La definición de estos roles es significativamente menos crítica que en el control
de acceso basado en roles no extendido. De hecho, la política objetivo definirá los
roles de acuerdo a la estructura de los usuarios.

21. SIMPLIFICACIÓN DEL MODELO
En esta tercera fase ya se dispone de la siguiente información por cada usuario:
• Identificador de login principal del usuario.
• Perfil (posición en la organización, rol).
• Lista de accesos realizados durante un intervalo de tiempo determinado.
• Los identificadores de login empleados para conectarse a sus aplicaciones.
Este tercer paso posibilitará modificar el modelo para que la política de seguridad
refleje la realidad de la organización analizada de la forma más exacta posible. Ya
que esta fase es una fase de análisis, debe ser llevada a cabo conjuntamente con
los responsables de los departamentos de Sistemas de Información y de
Producción. También se pueden utilizar herramientas de análisis estadístico para
agrupar los datos y presentarlos de forma más inteligible.

22. CREACIÓN DE UNA POLÍTICA
Hasta ahora se ha recopilado la siguiente información sobre cada usuario:
• Identificador de login principal del usuario.
• Perfil (posición en la organización, rol), simplificado en el paso 3.
• Lista de accesos realizados durante un intervalo de tiempo determinado.
• Los identificadores de login empleados para conectarse a sus aplicaciones.
En este punto, se puede bien crear una política de seguridad optimizada o bien
realizar un proceso de conciliación con la política existente.

23. CONCILIACIÓN DE LA POLÍTICA
Esta última fase consiste en la comparación de la política creada a partir de los
accesos observados con la política ya definida en los sistemas y aplicaciones
objetivo, para finalizar así la elaboración de la política de acceso.
Comparando las diferencias, este segundo proceso de conciliación permite
analizar las diferencias entre los privilegios de usuario declarados y los existentes
en la política de control de acceso generada.