Tiempo estimado: 15 min
Conceptos Asociados
Actualizaciones de software | Parches de código de algunas partes del sistema operativo que buscan mejorar funcionalidades y corregir nuevas vulnerabilidades de seguridad. |
Cifrado | Capacidad de transformar un mensaje en algo ininteligible para otros y poder revertirlo al contenido original por quienes queremos que tengan acceso a la informacion. |
Cifrado de disco o de dispositivo | Proceso que permite cifrar todo el contenido del disco duro de un equipo de tal forma que sólo sea accesible y usable cuando al encender se introduzca una contraseña u otro método de autenticación que aplique. |
Software pirata | Cualquier software que se instale por fuera de los canales oficiales sin pagar su valor de licenciamiento. |
Malware | Cualquier software malintencionado que ejecute acciones en un equipo sin autorización de su propietario o responsable. |
Phishing | Una serie de ataques que utilizan la suplantación de identidad como un mecanismo para lograr que un usuario realice una acción perjudicial para si mismo, los equipos que utiliza, los datos que almacena y su red. |
Contraseña | Secuencia de caracteres secretos que son usados para ingresar a un servicio o dispositivo. |
Credenciales | La unión de nombres de usuario y contraseñas, son usadas para identificar a un usuario en un servicio y comprobar que es quien dice ser. Estas credenciales cada vez más frecuentemente incluyen otros factores como aspectos biométricos y códigos temporales de seguridad. |
VPN (Red Privada Virtual) | Tecnología que permite tratar equipos que pueden estar en ubicaciones remotas como parte de una red interna, frecuentemente utilizados por organizaciones para unir en una sola red a varios equipos en ubicaciones dispersas. Una aplicación particular de esta tecnología permite a usuarios particulares cifrar el contenido de sus conexiones a internet entre sus dispositivos y lugares considerados seguros antes de llegar a internet, generalmente se utilizan para proteger el tráfico de vigilancia y acceder a contenidos bloqueados. |
Tor | Infraestructura de red que permite navegar en internet redireccionando los datos por puntos aleatorios alrededor del mundo. Estos datos viajan cifrados y el sistema está diseñado para brindar anonimato y protección contra la vigilancia. |
URL | Secuencias de caracteres que permiten ubicar recursos en internet, significa Localizador de Recursos Universal. http://sdamanual.org es un ejemplo de URL. |
Antivirus | Software que analiza archivos en busca de piezas de malware conocidas, generalmente tienen una base de datos de amenazas previamente identificadas, entonces compara archivo por archivo con esta base de datos para detectar posibles coincidencias. |
PGP/GnuPG/GPG | Conjunto de estándares y tecnologías que permiten aplicar principios de cifrado asimétrico (el cual se considera mucho más seguro que las técnicas tradicionales) a mensajes y archivos en equipos computacionales. Generalmente se usa como una estrategia avanzada de seguridad dado el esfuerzo que requiere su implementación y el alto nivel de seguridad que provee. |
Administrador de contraseñas: | Software que permite almacenar contraseñas previamente diseñadas y recuperarlas cuando se necesiten. Generalmente permiten generar contraseñas con mucha mayor longitud y complejidad dado que no es necesario recordarlas al momento de su uso. |
Autenticación en 2 factores o autenticación en 2 pasos | Técnica de autenticación que se basa en solicitar para ingresar a un servicio además de una contraseña, otro elemento relacionado con algo que posee físicamente el usuario, como por ejemplo un teléfono celular, un token físico, una tarjeta con códigos, etc. |
Justificación
Actualmente la mayoría de organizaciones independientemente del campo que desarrollan utilizan tecnología dentro de sus procesos, esta tecnología tiene inevitablemente vulnerabilidades y es propensa a fallar o ser abusada. Tomando esto en cuenta, la idea de esta política es brindar lineamientos de uso seguro a los puntos de entrada de cualquier persona con la tecnología tanto a nivel de dispositivos como de servicios en internet para proteger a la organización de la mejor manera posible. Específicamente se describen medidas de seguridad básicas en el uso de dispositivos móviles o de escritorio, de servicios ampliamente usados como el correo electrónico y redes sociales, en la construcción y gestión de contraseñas y otros medios de autenticación dentro de la organización.
Datos de entrada
- Política de protección de información.
- Plantilla 2: Política de uso aceptable de equipos, cuentas y contraseñas disponible en físico o en digital para ser llenada en el transcurso de la actividad.
Políticas a desarrollar
La Política de uso aceptable, cuentas y contraseñas a desarrollarse en esta actividad, abstrae contenidos existentes en las siguientes políticas descritas en marcos de referencia estandarizados:
- Política de uso aceptable de equipos: Define condiciones básicas para usar de forma segura computadoras, teléfonos y otros equipos móviles. usualmente trata temas como contraseñas de acceso, bloqueo de equipo, cifrado y reporte de incidentes entre otros.
- Política de uso aceptable de internet: Establece algunos principios de seguridad relacionados al uso de navegadores y otras aplicaciones que se conectan a internet en función de proteger los equipos usados y la información contenida en estos.
- Política de uso aceptable del correo electrónico: Establece lineamientos específicos al uso del correo electrónico. En principio busca disminuir los ataques de phishing, de exfiltración de información y las infecciones de equipos por malware, también puede incluir lineamientos sobre los propósitos con los que se usa el correo, lenguaje y otros aspectos relevantes para el buen uso del correo electrónico en la organización.
- Política de uso aceptable de redes sociales: Determina medidas de seguridad a tomar en el uso y administración de redes sociales de la organización. Normalmente tiene un conjunto de reglas generales y otras específicas por cada servicio de interés.
- Política de cuentas y contraseñas: En esta política se establecen un conjunto de reglas que rigen la creación, el uso y mantenimiento de contraseñas en diferentes servicios y de acceso a dispositivos, en caso de que la organización maneje algunos sistemas propios, puede especificar lineamientos de administración de contraseñas para sus usuarios. En ocasiones, esta política también considera aspectos diferentes a las contraseñas, como biometría u otros factores de autenticación.
Preguntas guía
- ¿Cuál es el alcance de la política propuesta?
- ¿A quiénes afecta esta política?
- ¿Incluye los equipos propiedad de la organización o cualquiera que se use para trabajar en esta?
- ¿Incluye computadoras o tambien dispositivos móviles?
- ¿Qué servicios de correo electrónico y redes sociales incluye?
- ¿Quiénes son responsables de implementar y mantener las medidas de seguridad en los equipos?
- ¿Cuáles son las medidas de seguridad generales y directivas en el manejo de equipos?
- ¿Cuáles son las consideraciones de seguridad generales al usar cualquier canal de comunicación?
- ¿Cuáles son las medidas de seguridad generales al usar internet?
- ¿Cuáles son las consideraciones de seguridad generales a seguir en la gestión de cuentas de usuario?
- ¿Qué políticas de seguridad se deben poner en práctica con los servicios autogestionados por la organización?
- ¿Cuáles son los lineamientos de seguridad que se deben seguir al gestionar cuentas en servicios hospedados por terceros?
- Correo electrónico
- Redes Sociales
- Otros servicios
- ¿Qué aspectos de seguridad deben ser considerados alrededor de la gestión de contraseñas y otros mecanismos de autenticación?
1. Alcance de la política
En resumen, el alcance asociado a esta política abarca los siguientes aspectos:
- A qué personas impacta esta política: generalmente se incluyen todos los miembros de la organización y aliados que trabajen en proyectos específicos si aplica.
- Qué equipos impacta la política:
- Si sólo incluye equipos que son propiedad de la organización o si también incluye a los equipos propiedad de los miembros de la organización usados con fines profesionales (modelo de trabajo Trae tu propio equipo o Bring Your Own Device - BYOD en Inglés).
- Si incluye computadoras y/o teléfonos y otros equipos móviles.
- Qué tipo de servicios digitales abarca: si incluye correo electrónico, uso general de internet, redes sociales o cualquier otro servicio relevante para la organización. Una opción válida también puede ser todos los servicios que se utilicen para el trabajo en la organización.
Para esta sección se debe discutir, modificar y aprobar el contenido de la sección (1) de la plantilla de política de uso aceptable de equipos, cuentas y contraseñas. Es muy importante que las disposiciones que se establezcan en esta y las demás políticas desarrolladas estén alineadas con el resto, en este caso con la política de protección de información la cual puede brindar ayuda al momento de decidir lineamientos específicos.
2. Responsabilidad sobre los equipos
¿Quiénes son responsables de implementar y mantener las medidas de seguridad en los equipos?
Discutir, modificar y aprobar el contenido de la sección (2) de la plantilla de política de uso aceptable de equipos, cuentas y contraseñas que trata sobre la propiedad de los equipos y las responsabilidades de uso de los mismos y sobre el reporte de incidentes.
- La variación más notable en este paso depende de si la organización tiene sus propios equipos, todos los equipos son propiedad de los miembros de la organización (BYOD) o una mezcla de ambas modalidades. En la plantilla se encuentran varios ejemplos que pueden ser reducidos al caso particular de la organización ejecutando la actividad.
3. Uso general de equipos
¿Cuáles son las medidas de seguridad generales y directivas en el manejo de equipos?
Discutir, modificar y aprobar el contenido de la sección (3) de la plantilla de política de uso aceptable de equipos, cuentas y contraseñas. Algunos de los aspectos más importantes tratados en esta sección son:
- Medios de autenticación para equipos como contraseñas o biometría.
- Bloqueo de equipos cuando se dejan desatendidos.
- Compartición de credenciales de acceso a equipos.
- Actualizaciones de sistema operativo.
- Uso de software pirata.
- Consideraciones contra la infección con malware.
- Cifrado de disco.
- En computadoras.
- En teléfonos celulares y otros equipos móviles.
- Uso de equipos para fines diferentes al trabajo de la organización.
- Uso de Antivirus y Antimalware.
Directivas de uso aceptable de equipos
Discutir, modificar y aprobar la sección de directivas que se encuentra en la sección (3) de la plantilla de política correspondiente. Es ideal que el grupo tenga un conocimiento previo de temas puntuales de seguridad, siendo el caso óptimo tener esta discusión posterior a la realización de un taller de seguridad digital, así a medida que se cubra cada aspecto trabajado en este manual, se pueda discutir cómo se quiere implementar este concepto o herramienta a la política correspondiente. Como ejemplos en la plantilla que pueden ser utilizados como aparecen, editados o eliminados se encuentran, entre otros:
- El uso obligatorio de contraseñas de usuario en las computadoras y teléfonos celulares usados para tratar temas sensibles de la organización. Estas contraseñas deben cumplir con las políticas de contraseñas al final de este mismo documento.
- El uso obligatorio de protectores de pantalla que bloquean los usuarios en computadoras y celulares después de cierto tiempo de inactividad.
- La implementación de cifrado de sistema: en el caso de los dispositivos móviles frecuentemente esta característica viene activada por defecto y en el caso de computadoras puede requerir tiempo, conocimiento y esfuerzo especial para implementar un cifrado efectivo de disco. En este aspecto es frecuente la concentración de esfuerzos en aquellos equipos que manejan información de alta sensibilidad, en planes de mantenimiento de equipos que considere la configuración de este cifrado de disco o en el uso de sistemas operativos que facilitan por diseño el cifrado de sistema.
- La política de actualizaciones de sistema operativo: Generalmente se considera como el mínimo necesario hacer actualizaciones de seguridad automatizadas, desde ese punto en adelante se puede ajustar la política a cada organización según sus necesidades.
- Uso de software antivirus y antimalware, pudiendo especificar software específico aprobado o criterios de selección.
4. Sobre el uso de cualquier canal de comunicación
¿Cuáles son las consideraciones de seguridad generales al usar cualquier canal de comunicación?
Discutir, modificar y aprobar el contenido de la sección (4) de la plantilla correspondiente. Algunos de los aspectos más importantes tratados en esta sección son:
- El manejo de información de alta sensibilidad a través de estos canales y hacia actores externos a la organización.
- Uso de los equipos para fines distintos al trabajo relacionado a la organización.
- La actitud de los integrantes de la organización como representantes de la misma al usar los canales de comunicación oficiales. Actitudes respecto a la discriminación, acoso, spam, etc. en los canales de comunicación utilizados para fines organizacionales.
- Disposiciones sobre el uso de los equipos para realizar acciones que violen los derechos de propiedad intelectual y copien o distribuyan material protegido por derechos de autor.
5. Directivas de uso general de internet
¿Cuáles son las medidas de seguridad generales al usar internet? Discutir, modificar y aprobar el contenido de la sección (5) de la plantilla correspondiente. En caso de que alguna consideración no aplique a la organización se puede eliminar sin problemas. Algunos de los aspectos más importantes tratados en esta sección son:
- El uso de herramientas de circunvención y anonimato en internet al usar los equipos como Redes Privadas Virtuales (o VPNs en Inglés), Tor u otro tipo de herramientas afines. Normalmente estas medidas van asociadas a niveles de sensibilidad de la información manejada. Dado que es una directiva es posible ser específico en herramientas puntuales aprobadas o criterios de selección.
- La prohibición de actividades que deterioren injustificadamente la calidad de la conexión (por ejemplo descargas de torrents o streaming de contenidos no relacionados al trabajo).
Estrategias contra la suplantación de identidad
Dado que los ataques más frecuentes a organizaciones en la actualidad están relacionados en gran medida a ataques de suplantación de identidad (o phishing en Inglés), es importante especificar estrategias claras para enfrentar estos riesgos. Se propone revisar en la sección (5) de la plantilla en uso la sección correspondiente y discutir, editar, agregar y aprobar algunas de las estrategias propuestas, relacionadas a temas como:
- El conocimiento por toda la organización de los canales de comunicación oficiales de los actores relevantes relacionados (por ejemplo proveedores, personal, instituciones públicas) y evitar cualquier comunicación o intercambio de información sensible por canales diferentes. (direcciones de correo electrónico, cuentas en redes sociales y números telefónicos entre otros).
- El manejo de comunicaciones que solicite información sensible como credenciales, información bancaria y personal además del desarrollo de una serie de indicadores que ayuden a detectar posibles casos de suplantación de identidad.
- El desarrollo de reglas de manejo de archivos adjuntos sospechosos.
6. Gestión de cuentas
¿Cuáles son las consideraciones de seguridad generales a seguir en la gestión de cuentas de usuario?
Discutir, modificar y aprobar el contenido de la sección (6) de la plantilla de política de uso aceptable de equipos, cuentas y contraseñas. Algunos de los aspectos más importantes tratados en esta sección son:
- Obligatoriedad de cuentas individuales o compartidas.
- Responsabilidad por el uso de cuentas propias.
- Implementación del principio del mínimo privilegio en la creación y configuración de cuentas de usuario.
- Manejo de mecanismos de recuperación de cuentas.
7. Manejo de cuentas en servicios autogestionados (Sistemas internos, websites hosteados, servidores, etc.)
¿Qué políticas de seguridad se deben poner en práctica con los servicios autogestionados por la organización?
Discutir, modificar y aprobar el contenido de la sección (7) de la plantilla de política de uso aceptable de equipos, cuentas y contraseñas. Algunos de los aspectos más importantes tratados en esta sección son:
- Concepto de administradores: quién crea, monitorea, controla y elimina una cuenta y bajo qué circunstancias?.
- Quién autoriza la creación de las cuentas.
- Evitar cuentas administrativas para uso diario.
- Acuerdos de no divulgación (NDA).
- Roles de acceso a sistemas.
8. Directivas sobre el manejo de cuentas en servicios de terceros (Correos electrónicos, redes sociales, servicios de colaboración, etc.)
¿Cuáles son los lineamientos de seguridad que se deben seguir al gestionar cuentas en servicios hospedados por terceros?
Discutir, modificar y aprobar el contenido de la sección (8) de la plantilla de política de uso aceptable de equipos, cuentas y contraseñas. Algunos de los aspectos más importantes tratados en esta sección son:
Sobre el correo electrónico
- Publicación de opiniones personales en los correos.
- Apertura de archivos adjuntos sospechosos.
- Generación de correo no deseado o malintencionado.
- En caso de requerirlo en la política de protección de datos considerar cifrado de correos.
Sobre otros servicios de terceros
- Quiénes manejan las credenciales de acceso.
- Uso de herramientas de publicación colaborativa que protegen las credenciales de las cuentas en redes sociales.
- Uso de gestores de contraseñas.
- En caso que aplique monitoreo de cuentas falsas.
Para cada servicio específico
- ¿Qué características se pueden configurar además de las presentes en la política general?
Ejemplo: Facebook
- Uso de páginas vs usuarios o grupos.
- Gestión de administradores.
- Notificaciones de seguridad.
- Autenticación en dos factores.
- Contactos de emergencia.
Ejemplo: Twitter
- Vinculación de número telefónico a la cuenta.
9. Políticas y directivas de contraseñas y autenticación
¿Qué aspectos de seguridad deben ser considerados alrededor de la gestión de contraseñas y otros mecanismos de autenticación?
Discutir, modificar y aprobar el contenido de la sección (4) de la plantilla correspondiente. Algunos de los aspectos más importantes tratados en esta sección son:
- El principio básico de responsabilidad directa en el uso de las cuentas, dispositivos o servicios con contraseña a su cuidado.
- Medidas de seguridad para la creación de contraseñas, en pasos posteriores se definirán estas medidas en detalle.
- Prácticas generales de seguridad para contraseñas.
- Repetición de contraseñas.
- Existencia de copias físicas.
- Recordar contraseñas en exploradores.
- Uso de administradores de contraseñas.
- Compartición de contraseñas.
- Propuestas de directivas para contraseñas y autenticación.
- Longitud.
- Complejidad.
- Diccionario.
- Contenidos a evitar en la construcción de la política.
- Autenticación en varios factores.
- Uso de administradores de contraseña.
- Contraseñas de acceso en equipos móviles.
Aspectos excluidos en la política
- Gestión remota de equipos.
- Monitoreo y auditoría del cumplimiento de las políticas de seguridad en equipos.
- Prohibición explícita del monitoreo de red, análisis de puertos y uso de honeypots y honeynets.
- Prohibición explícita de ejecución de cualquier tarea ilegal, por ejemplo ataques de denegación de servicio (DoS y DDoS) y bloqueo en el acceso a recursos a otros usuarios de forma injustificada.