GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.

GESTION Y ADMINISTRACION DE LA SEGURIDAD EN

SISTEMAS DE INFORMACION

L.I. Ivette Jiménez Martínez

Introducción

Proceso de planificación del ciclo de vida de la seguridad de la información en una organización.

Conjunto de actividades que llevan a implantar, mantener y revisar ciertas medidas de seguridad.

Introducción

Plan de Seguridad

Se trata de un estudio estratégico que determina cuáles son los activos de información más valiosos y cómo protegerlos.

Este plan debe incluir toda la información, con independencia de su soporte.

Etapas del Plan de Seguridad

Formulación de un política de seguridad. Establecimiento de una estructura de

gestión. Implantación de un programa de

seguridad.

Política de Seguridad

Conjunto de principios y reglas generales que regulan la forma de proteger la información en todas las fases de su tratamiento.


Como paso previo a la determinación de la política de seguridad, deben estudiarse:

Grado de criticidad de los diversos servicios respecto de la información y del valor de ésta para aquellos.

Nivel de inversión en Tecnologías de la Información.

Amenazas que sufre la información.

Vulnerabilidades de los sistemas y productos TI existentes.

Medidas de seguridad ya implantadas.


Factores a considerar:

Ocasionalmente puede elaborarse sólo para algunas áreas.

Implicación de los máximos responsables de la organización. Mejor conocimiento del sistema. Las decisiones que se toman afectan a todo el Sistema

de Información.

Relaciones con otras políticas de seguridad de la organización.

Actores que intervienen en la creación de la política.


Aspectos a tratar: Organizativos

Responsables, tareas y líneas de dependencia


Aspectos a tratar: De Personal

Establecimiento de sanciones administrativas Formación de los empleados en seguridad


Aspectos a tratar: De Procedimiento

Referencia obligada para todo el ciclo de vida de los sistemas de información.

Metodologías de desarrollo, mantenimiento, adquisición.

Gestión de los procedimientos creados.


Debe tratarse: Clasificación de la información con respecto a su

sensibilidad e importancia para la organización o a las disposiciones legales al efecto.

Sensibilidad con respecto a la confidencialidad, integridad, disponibilidad o autenticidad.

Alto secreto, secreto, confidencial y no clasificado.

Confidencial, restringida, de uso interno y no clasificada.


Debe tratarse: Gestión de Incidentes

Aplicación optima de los recursos de seguridad.

Previsión de escenarios.

Histórico de incidentes.


Debe Incluir:

Plan de contingencia

Mantener el nivel adecuado de trabajo en la organización.

Auditoría

Extensión y periodicidad.

Responsables del análisis de los resultados.

Estructura de Administración

Creación de un departamento específico Organigrama de la empresa


Tareas

Colaborar con otros niveles en la elaboración de la política de seguridad

Elaborar y mantener procedimientos de seguridad

Analizar y evaluar los riesgos

Evaluar y seleccionar productos

Concienciar y formar a los usuarios

Descubrir vulnerabilidades

Identificar futuras amenazas


Elección del Responsable del Departamento

Concientizar y formar a los usuarios.

Descubrir vulnerabilidades.

Identificar futuras amenazas.

Creación del Comité de seguridad.

Responsables de los departamentos afectados.

Programa de Seguridad

Objetivos: Desarrollar, implementar y mantener la

Política de Seguridad.

Programa de Seguridad

Sus principales acciones son: Identificar proyectos y productos. Establecer calendarios. Asignar prioridades y acordar recursos. Dictar procedimientos Administrativos,

Técnicos, Físicos. De Personal

Elaborar el Manual (de normas) de Seguridad

Procedimientos Administrativos

Clasificación de la información.

Privilegios de acceso.

Gestión de la configuración.

Registro de incidencias y uso de programas externos.

Control y etiquetado de documentos.

Procedimientos Administrativos

Almacenamiento y destrucción de soportes de información.

Gestión de cambios.

Mantenimiento de equipos y programas.

Metodología de análisis y evaluación de riesgos.

Plan de contingencia.

Procedimientos Técnicos

Controles de acceso lógico

Autenticación de mensajes

Normas de desarrollo de programas propios

Tipos de técnicas criptográficas

Procedimientos Físicos

Controles de acceso físico (personas y objetos)

Gestión de bienes

Protección de fuegos

Inundaciones y atentados

Procedimientos de Personal

Contratación

Concientización, formación

Responsabilidades

Infracciones y sanciones

Análisis y Gestión de Riesgos

El Análisis de Riesgos es el estudio de los activos informáticos, sus vulnerabilidades y las amenazas que los acechan, con objeto de evaluar el impacto que sufriría su propietario de materializarse una o varias de las citadas amenazas.


Evaluación: Cuantitativa (monetaria, ... )

Cualitativa (escala de 1 a 10, de muy leve a muy grave, ... )

http://2.bp.blogspot.com/_-yxjmOPYKc8/St_u_UvvJlI/AAAAAAAAAAc/RJtMP6AnO2g/s1600-h/image628.jpg


La Gestión de Riesgos, parte de los resultados del Análisis de Riesgos para elegir, instrumentar y mantener las medidas de seguridad pertinentes que cancelen hasta cierto punto los riesgos calculados.


El análisis de Riesgos es:

Una actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización.

Una actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.


Además una actividad que tiene por resultado:

Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección.

Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación.


Además una actividad que tiene por resultado:

Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas.

Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.


El análisis de riesgos puede ocurrir antes o después de la definición de una política de seguridad.

Según la norma internacional BS/ISO/IEC 17799, esta actividad puede ser hecha después de la definición de la política.

El propósito de tomar en cuenta una política de seguridad en el análisis se debe a varias razones:

La política de seguridad delimita el alcance del análisis.

Permite ser selectivo en la verificación de activos que la política establece como vulnerables.

El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla.


El análisis de riesgos puede ser realizado en distintos ámbitos.

Por lo general, todos son considerados, puesto que la implementación de seguridad pretende corregir el entorno en que se encuentra la información, es decir en actividades relacionadas a:

Generación

Tránsito

Procesamiento

Almacenamiento


Entornos de Análisis de Riesgos

Tecnológico:

Pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento.


Aspectos por analizar:

Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de la información que es manipulados por ellos.

Los usuarios que los utilizan.

La infraestructura que les ofrece respaldo.


Humano:

El análisis de riesgos también se destina a la comprensión de las formas en que las personas se relacionan con los activos.

Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización.


Aspectos por analizar:

El nivel de acceso que las personas tienen en la red o en las aplicaciones.

Las restricciones y permisos que deben tener para realizar sus tareas con los activos.

El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc.


Procesos:

Análisis de los flujos de información de la organización y la manera en que la información viaja de un área a otra, cómo son administrados.

Los recursos en relación a la organización, de esta manera, es posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo de identificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización.


Aspectos por Analizar:

Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos.

Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas.


Físicos:

El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos.


Aspectos por Analizar:

Identificar posibles fallas en la localización física de los activos tecnológicos.

Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran activos tecnológicos.

Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa.

GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.

Documents

Transcript of GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.