Ir al contenido
Apuntes Ingeniería Informática

Políticas de seguridad y estándares Ficheiro

3. Políticas de Seguridad y Estándares

Sección titulada «3. Políticas de Seguridad y Estándares»

3.1 Cómo abordar la seguridad de la información

Sección titulada «3.1 Cómo abordar la seguridad de la información»
  • La seguridad es un proceso, no un producto.
  • Exige adoptar políticas y procedimientos.
  • Exige implantar medidas técnicas.
  • Exige gestionar todos los incidentes de seguridad.
  • Exige auditorías continuas.

3.2 Metas de la seguridad

Sección titulada «3.2 Metas de la seguridad»
  • Prevención: evitar que se viole la política de seguridad.
  • Detección: descubrir que la política se ha violado.
  • Recuperación: detener el ataque, evaluar y reparar daños, y seguir funcionando incluso si el ataque tuvo éxito.

3.3 Políticas y mecanismos

Sección titulada «3.3 Políticas y mecanismos»
  • Las políticas de seguridad describen qué está permitido.
  • Los mecanismos o controles describen cómo hacer cumplir esas políticas.

3.4 Tipos de políticas de seguridad

Sección titulada «3.4 Tipos de políticas de seguridad»

El tipo de política depende del tamaño y naturaleza de la organización.

  • Militares o gubernamentales: priorizan la confidencialidad.
  • Comerciales: suelen priorizar integridad y disponibilidad.

3.5 Ejemplos de políticas de seguridad

Sección titulada «3.5 Ejemplos de políticas de seguridad»

3.5.1 Política de contraseñas

Sección titulada «3.5.1 Política de contraseñas»
  • Generación automatizada mediante algoritmo.
  • Longitud mínima de 10 caracteres.
  • Uso de mayúsculas, minúsculas, números y caracteres especiales.
  • Cambio periódico, por ejemplo cada tres meses, según procedimiento establecido.

3.5.2 Política de software

Sección titulada «3.5.2 Política de software»
  • No está permitido instalar programas o aplicaciones sin autorización del responsable correspondiente.

Referencia habitual en clase: modelos de políticas y plan director de seguridad de INCIBE.

3.6 Mecanismos de seguridad o controles

Sección titulada «3.6 Mecanismos de seguridad o controles»

Son entidades, medidas o procedimientos que aseguran el cumplimiento de una parte de la política.

Ejemplos:

  • Controles de acceso, como autenticación biométrica.
  • Restricción de dispositivos externos en salas de ordenadores.
  • Procedimientos organizativos y técnicos para controlar instalación, copia o acceso.

3.7 Estándares de seguridad

Sección titulada «3.7 Estándares de seguridad»

3.7.1 Para qué sirven los estándares de seguridad

Sección titulada «3.7.1 Para qué sirven los estándares de seguridad»
  • Aportan interoperabilidad y uniformidad.
  • Facilitan la certificación.
  • Ayudan a ordenar soluciones de seguridad muy diversas.
  • El servicio que presta la organización determina qué estándar interesa más.
  • El tamaño de la organización también influye, especialmente por facilidad de implantación y gestión.

3.7.2 Ejemplos de estándares de seguridad

Sección titulada «3.7.2 Ejemplos de estándares de seguridad»
  • Orange Book: criterios del Departamento de Defensa de EE. UU.
  • BS 7799: guía histórica para gestión de seguridad.
  • COBIT: marco creado por ISACA para gobierno, auditoría y control de TI.
  • Familia ISO/IEC 27000.
  • Esquema Nacional de Seguridad (ENS).

3.8 Esquema Nacional de Seguridad (ENS)

Sección titulada «3.8 Esquema Nacional de Seguridad (ENS)»
  • Marco español aplicable al ámbito de las administraciones y entidades sujetas a él.
  • Regulado por el Real Decreto 311/2022, de 3 de mayo.
  • Sirve como referencia para requisitos, adecuación y certificación en el sector público.

3.9 Familia ISO/IEC 27000

Sección titulada «3.9 Familia ISO/IEC 27000»

Es un conjunto de normas dedicadas a la seguridad de la información.

Normas destacadas:

  • ISO/IEC 27001: norma principal y única certificable.
  • ISO/IEC 27002: guía de buenas prácticas y controles.
  • ISO/IEC 27003: implementación.
  • ISO/IEC 27004: métricas y medición.
  • ISO/IEC 27005: gestión de riesgos.
  • ISO/IEC 27006: requisitos de acreditación.
  • ISO/IEC 27010: gestión de información compartida.
  • ISO/IEC 27034: seguridad en aplicaciones.
  • ISO/IEC 27799: aplicación de seguridad en el ámbito sanitario.

Puede utilizarse en cualquier organización, pública o privada, grande o pequeña.

3.10 ISO/IEC 27001 y el SGSI

Sección titulada «3.10 ISO/IEC 27001 y el SGSI»

3.10.1 Enfoque general de ISO/IEC 27001

Sección titulada «3.10.1 Enfoque general de ISO/IEC 27001»
  • Está orientada a aspectos organizativos.
  • Su idea central es organizar la seguridad de la información.
  • Define requisitos para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI documentado dentro del contexto de riesgos de la organización.

3.10.2 Ciclo PDCA en ISO/IEC 27001

Sección titulada «3.10.2 Ciclo PDCA en ISO/IEC 27001»
  • Plan: diseñar el SGSI.
  • Do: implantar y operar controles.
  • Check: revisar eficiencia y eficacia del SGSI.
  • Act: introducir cambios para mejorar el rendimiento del sistema.

3.11 Controles en ISO/IEC 27001 e ISO/IEC 27002

Sección titulada «3.11 Controles en ISO/IEC 27001 e ISO/IEC 27002»
  • Los controles permiten cubrir de forma auditable los riesgos identificados.
  • Deben seleccionarse e implantarse en función de los requerimientos detectados.
  • La ISO/IEC 27002 recoge el catálogo de buenas prácticas asociado.
  • En la estructura mostrada en clase aparecen 114 controles, agrupados en 35 objetivos de control y 14 dominios.

3.12 Dominios principales de ISO/IEC 27002

Sección titulada «3.12 Dominios principales de ISO/IEC 27002»

3.12.1 Políticas de seguridad

Sección titulada «3.12.1 Políticas de seguridad»
  • Dan orientación y apoyo según negocio, leyes y normas aplicables.

3.12.2 Aspectos organizativos de la seguridad

Sección titulada «3.12.2 Aspectos organizativos de la seguridad»
  • Establecen el marco de gestión para implantar y operar la seguridad.
  • Incluyen organización interna, partes externas, movilidad y teletrabajo.
  • Exigen mantener cadena de contactos y definir derechos y obligaciones.

3.12.3 Seguridad en recursos humanos

Sección titulada «3.12.3 Seguridad en recursos humanos»
  • Busca que empleados y contratistas conozcan y cumplan sus responsabilidades.
  • Se aplica antes, durante y al finalizar la relación laboral.
  • Exige formación y concienciación.

3.12.4 Gestión de activos

Sección titulada «3.12.4 Gestión de activos»
  • Identificación de activos y soportes.
  • Asignación de responsabilidades.
  • Clasificación de la información.
  • Manejo adecuado de soportes.
  • Inventario actualizado como requisito básico.

3.12.5 Control de accesos

Sección titulada «3.12.5 Control de accesos»
  • Limita el acceso a información y recursos al personal autorizado.
  • Incluye requisitos de negocio, gestión de usuarios, responsabilidades del usuario y acceso a sistemas y aplicaciones.

3.12.6 Cifrado

Sección titulada «3.12.6 Cifrado»
  • Garantiza uso adecuado de criptografía para proteger confidencialidad, autenticidad e integridad.
  • Incluye política criptográfica y gestión de claves.

3.12.7 Seguridad física y del entorno

Sección titulada «3.12.7 Seguridad física y del entorno»
  • Evita accesos físicos no autorizados y la interrupción de operaciones.
  • Abarca áreas seguras, edificios, entradas, equipos y cableado.

3.12.8 Seguridad en las operaciones

Sección titulada «3.12.8 Seguridad en las operaciones»
  • Busca funcionamiento correcto y seguro de los sistemas.
  • Incluye procedimientos, protección contra malware, copias de seguridad, logs, supervisión, control de software y gestión de vulnerabilidades.

3.12.9 Gestión de las telecomunicaciones

Sección titulada «3.12.9 Gestión de las telecomunicaciones»
  • Protege la información en redes y servicios internos y externos.
  • Obliga a analizar accesos desde sedes, terceros relacionados e Internet.

3.12.10 Adquisición, desarrollo y mantenimiento

Sección titulada «3.12.10 Adquisición, desarrollo y mantenimiento»
  • Integra la seguridad en todo el ciclo de vida de los sistemas.
  • Incluye requisitos de seguridad, procesos de desarrollo y protección de datos de prueba.

3.12.11 Relaciones con proveedores

Sección titulada «3.12.11 Relaciones con proveedores»
  • Protege activos accesibles por terceros.
  • Incluye seguridad en la relación con proveedores y control de servicios externalizados.

3.12.12 Gestión de incidentes de seguridad

Sección titulada «3.12.12 Gestión de incidentes de seguridad»
  • Exige un tratamiento coherente y eficaz de incidentes.
  • Incluye notificación de eventos y debilidades, respuesta a incidentes y recogida de evidencias.

3.12.13 Gestión de la continuidad del negocio

Sección titulada «3.12.13 Gestión de la continuidad del negocio»
  • Garantiza disponibilidad para mantener la operación.
  • Integra seguridad en continuidad, procesos empresariales y redundancias.

3.12.14 Cumplimiento

Sección titulada «3.12.14 Cumplimiento»
  • Evita incumplimientos legales, reglamentarios, contractuales o internos.
  • Incluye revisión del cumplimiento de requisitos legales, políticas, estándares y buenas prácticas.

3.13 Ejemplo en administración pública

Sección titulada «3.13 Ejemplo en administración pública»

El ejemplo visto en clase fue el plan director de seguridad TIC de la Xunta de Galicia, articulado en cinco dimensiones:

  • Formación y concienciación.
  • Cumplimiento normativo.
  • Marco organizativo.
  • Marco operacional.
  • Medidas de protección.

3.14 Ideas clave para examen

Sección titulada «3.14 Ideas clave para examen»
  • La política dice qué se permite; el control explica cómo se hace cumplir.
  • La seguridad combina prevención, detección y recuperación.
  • Los estándares permiten ordenar, implantar y auditar la seguridad.
  • ISO/IEC 27001 es la referencia central para SGSI y la única certificable de la familia.
  • ISO/IEC 27002 desarrolla los controles de buenas prácticas.
  • ENS es la referencia principal del sector público español.