Planes de seguridad de la
información.
Planes de continuidad del
negocio
Contenido
• Introducción
• PSI y PCN
• Finalidad del PSI y PCN
• Alcance del PSI y PCN
• Importancia del PSI y PCN
• Proce...
¿Qué es PSI?
• Un Plan de Seguridad de la información
incluye todos los procesos/servicios
involucrados en la administraci...
¿Qué es PSI?
• Un PSI efectivo considera los
impulsadores de seguridad de
información de una organización para
determinar ...
Finalidad del PSI
• La finalidad del PSI es proteger la
información y los activos de la
organización, tratando de consegui...
Alcance de PSI
El alcance del desarrollo de un PSI es:
• Evaluación de riesgos de seguridad a
los que está expuesta la inf...
Importancia del PSI
• Permite desarrollar normas y
procedimientos que pautan las
actividades relacionadas con la
seguridad...
Importancia del PSI
• Hace posible la concienciación de los
miembros de la empresa acerca de la
importancia y sensibilidad...
PCN
• PCN significa “Plan de Continuidad del
Negocio”, es un proceso diseñado
para reducir el riesgo de la institución
ant...
Finalidad del PCN
• La finalidad del PCN es contar con una
estrategia planificada, una serie de
procedimientos que facilit...
Alcance del PCN
El alcance del desarrollo del PCN es:
• Análisis de Impacto
• Plan de Contingencia
• Plan de Recuperación ...
• Es la identificación de los diversos
eventos que podrían impactar la
continuidad de las operaciones y la
organización.
•...
• Del análisis de impacto y riesgos, como
medida preventiva se genera el Plan de
Contingencias, que es un instrumento
sist...
• Este plan tiene como objetivo la
evaluación de la capacidad de la
empresa para restaurar los servicios
al nivel acordado...
• Garantiza la continuidad del nivel
mínimo de servicios necesarios para
las operaciones críticas.
• Permite que la instit...
• Permite recuperar la normalidad de
las actividades de la empresa
rápidamente.
• Identifica las funciones de negocio y
lo...
Los datos deben protegerse aplicando:
Seguridad Lógica
• Uso de herramientas de protección de la
información en el mismo m...
Los datos deben protegerse aplicando:
Seguridad Física
• Procedimientos de protección física del
sistema: acceso personas,...
• Anclajes a mesas de trabajo.
• Cerraduras.
• Tarjetas con alarma.
• Etiquetas con adhesivos especiales.
• Bloqueo de dis...
Es el proceso de identificación y
evaluación del riesgo a sufrir un ataque y
perder datos, tiempo y horas de trabajo,
comp...
• Determinación precisa de los recursos
sensibles de la organización.
• Identificación de las amenazas del sistema.
• Iden...
¿ B  P  L ?
• B: Carga o gasto que significa la prevención de
una pérdida específica por vulnerabilidad.
• P: Probabilid...
• No obstante, siempre puede ocurrir una
desgracia que esté fuera de todo cálculo. Por
ejemplo, el ataque a las torres gem...
Efectividad del coste de la medida
 Las medidas y herramientas de control han de
tener menos coste que el valor de las po...
El factor L en la ecuación de riesgo
Factor L (en B  P  L)
 El factor de impacto total L es difícil de evaluar. Incluye...
El factor P en la ecuación de riesgo
Factor P (en B  P  L)
El factor P está relacionado con la
determinación del impact...
El factor B en la ecuación de riesgo
Factor B (en B  P  L)
 Indica qué se requiere para prevenir una
pérdida. Es la can...
Cuantificación de la protección
¿ B  P  L ?
 ¿Cuánta protección es necesaria?
En nuestro ejemplo: qué configuración de...
Pasos en un análisis de riesgos
1. Identificación costo
posibles pérdidas (L)
Identificar amenazas
2. Determinar susceptib...
• Políticas administrativas
– Procedimientos administrativos.
• Políticas de control de acceso
– Privilegios de acceso del...
• Políticas administrativas
– Se establecen aquellos procedimientos
de carácter administrativo en la
organización como por...
• Políticas de control de acceso
– Política de menor privilegio
• Acceso estricto a objetos determinados, con
mínimos priv...
• Políticas de control de flujo
– La información a la que se accede, se envía y
recibe por:
• ¿Canales claros o canales oc...
• Modelo de Bell LaPadula (BLP)
– Rígido. Confidencialidad y con autoridad.
• Modelo de Take-Grant (TG)
– Derechos especia...
• La escritura hacia abajo está
prohibida.
• La lectura hacia arriba está prohibida.
• Es el llamado principio de tranquil...
Próxima SlideShare
Cargando en…5
×

PSI y PCN

1.101 visualizaciones

Publicado el

lolo

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.101
En SlideShare
0
De insertados
0
Número de insertados
594
Acciones
Compartido
0
Descargas
35
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

PSI y PCN

  1. 1. Planes de seguridad de la información. Planes de continuidad del negocio
  2. 2. Contenido • Introducción • PSI y PCN • Finalidad del PSI y PCN • Alcance del PSI y PCN • Importancia del PSI y PCN • Procedimientos utilizados
  3. 3. ¿Qué es PSI? • Un Plan de Seguridad de la información incluye todos los procesos/servicios involucrados en la administración de la seguridad de la Información.
  4. 4. ¿Qué es PSI? • Un PSI efectivo considera los impulsadores de seguridad de información de una organización para determinar el alcance y enfoque de los procesos involucrados en la administración de la seguridad.
  5. 5. Finalidad del PSI • La finalidad del PSI es proteger la información y los activos de la organización, tratando de conseguir confidencialidad, integridad y disponibilidad de los datos; y las responsabilidades que debe asumir cada uno de los empleados mientras permanezcan en la organización.
  6. 6. Alcance de PSI El alcance del desarrollo de un PSI es: • Evaluación de riesgos de seguridad a los que está expuesta la información. • Selección de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusión o exclusión. • Definición de políticas de seguridad.
  7. 7. Importancia del PSI • Permite desarrollar normas y procedimientos que pautan las actividades relacionadas con la seguridad informática y la tecnología de información. • Permite analizar la necesidad de cambios o adaptaciones para cubrir los riesgos existentes.
  8. 8. Importancia del PSI • Hace posible la concienciación de los miembros de la empresa acerca de la importancia y sensibilidad de la información y servicios críticos. • Permite conseguir el compromiso de la institución, agudeza técnica para establecer fallas, deficiencias, y constancia para renovar y actualizar las políticas en función de un ambiente dinámico
  9. 9. PCN • PCN significa “Plan de Continuidad del Negocio”, es un proceso diseñado para reducir el riesgo de la institución ante una interrupción inesperada de sus funciones / operaciones críticas, independiente de si estas son manuales o automatizadas, las cuales son necesarias para la supervivencia de la organización.
  10. 10. Finalidad del PCN • La finalidad del PCN es contar con una estrategia planificada, una serie de procedimientos que faciliten u orienten a tener una solución alternativa que permita restituir rápidamente los servicios de la organización ante la eventualidad de paralización, ya sea de forma parcial o total.
  11. 11. Alcance del PCN El alcance del desarrollo del PCN es: • Análisis de Impacto • Plan de Contingencia • Plan de Recuperación de desastres
  12. 12. • Es la identificación de los diversos eventos que podrían impactar la continuidad de las operaciones y la organización. • Previamente se determina la clasificación de seguridad de activos asociados a la tecnología mediante el análisis de riesgos. Análisis de impacto
  13. 13. • Del análisis de impacto y riesgos, como medida preventiva se genera el Plan de Contingencias, que es un instrumento sistematizado, que facilita y orienta la consecución de una solución alternativa que permita restituir rápidamente los servicios de la organización. Plan de contingencia
  14. 14. • Este plan tiene como objetivo la evaluación de la capacidad de la empresa para restaurar los servicios al nivel acordado de calidad, y de otra parte definir el proceso para desarrollar, comunicar y mantener planes documentados y probados para la continuidad del sistema de información y de las operaciones del negocio. Plan de recuperación de desastres
  15. 15. • Garantiza la continuidad del nivel mínimo de servicios necesarios para las operaciones críticas. • Permite que la institución se mantenga funcionando en caso de una interrupción y que sobreviva a una interrupción desastrosa de sus sistemas de información. Importancia del PCN
  16. 16. • Permite recuperar la normalidad de las actividades de la empresa rápidamente. • Identifica las funciones de negocio y los procesos esenciales para la continua y eficiente operación de la empresa. Importancia del PCN
  17. 17. Los datos deben protegerse aplicando: Seguridad Lógica • Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite. • Protocolos de autenticación entre cliente y servidor. • Aplicación de normativas. Seguridad Lógica
  18. 18. Los datos deben protegerse aplicando: Seguridad Física • Procedimientos de protección física del sistema: acceso personas, incendio, agua, terremotos, etc. • Medidas de prevención de riesgos tanto físicos como lógicos a través de una política de seguridad, planes de contingencia, aplicación de normativas, etc. Seguridad Física
  19. 19. • Anclajes a mesas de trabajo. • Cerraduras. • Tarjetas con alarma. • Etiquetas con adhesivos especiales. • Bloqueo de disquetera. • Protectores de teclado. • Tarjeta de control de acceso al hardware. • Suministro ininterrumpido de corriente. • Toma de tierra. Elementos a tener en cuenta. Entorno PC
  20. 20. Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso. Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Análisis de riesgo. Plan estratégico
  21. 21. • Determinación precisa de los recursos sensibles de la organización. • Identificación de las amenazas del sistema. • Identificación de las vulnerabilidades específicas del sistema. • Identificación de posibles pérdidas. • Identificación de la probabilidad de ocurrencia de una pérdida. • Derivación de contramedidas efectivas. • Identificación de herramientas de seguridad. • Implementación de un sistema de seguridad eficiente en costes y tiempo. Información del análisis de riesgo
  22. 22. ¿ B  P  L ? • B: Carga o gasto que significa la prevención de una pérdida específica por vulnerabilidad. • P: Probabilidad de ocurrencia de esa pérdida específica. • L: Impacto total de dicha pérdida específica. Ecuación básica del análisis de riesgo
  23. 23. • No obstante, siempre puede ocurrir una desgracia que esté fuera de todo cálculo. Por ejemplo, el ataque a las torres gemelas y sus posteriores consecuencias informáticas no estaba contemplado en ningún plan contingencia.... Si B  P * L Hay que implementar una medida de prevención. Si B  P * L No es necesaria una medida de prevención. ¿Cuándo y cuánto invertir en SI?
  24. 24. Efectividad del coste de la medida  Las medidas y herramientas de control han de tener menos coste que el valor de las posibles pérdidas y el impacto de éstas si se produce el riesgo temido.  Ley básica: el costo del control ha de ser menor que el activo que protege. Algo totalmente lógico y que tanto los directivos como los responsables de seguridad de la empresa deberán estimar de forma adecuada a su realidad.
  25. 25. El factor L en la ecuación de riesgo Factor L (en B  P  L)  El factor de impacto total L es difícil de evaluar. Incluye daños a la información, a los equipos, pérdidas por reparación, por volver a levantar el sistema, pérdidas por horas de trabajo, etc.  Siempre habrá una parte subjetiva.  La pérdida de datos puede llevar a una pérdida de oportunidades por el llamado efecto cascada.  En la organización debe existir una comisión especializada interna o externa que sea capaz de evaluar todas las posibles pérdidas y cuantificarlas.
  26. 26. El factor P en la ecuación de riesgo Factor P (en B  P  L) El factor P está relacionado con la determinación del impacto total L y depende del entorno en el que esté la posible pérdida. Como este valor es difícil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.
  27. 27. El factor B en la ecuación de riesgo Factor B (en B  P  L)  Indica qué se requiere para prevenir una pérdida. Es la cantidad de dinero que vamos a disponer para mitigar la posible pérdida. Ejemplo: la carga de prevención para que un sistema informático minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalación de software y hardware adecuado, un cortafuegos, un sistema de detección de intrusos, una configuración de red segura, una política de seguimiento de accesos y de passwords, personal técnico cualificado, etc. Todo ello importa una cantidad de dinero específica.
  28. 28. Cuantificación de la protección ¿ B  P  L ?  ¿Cuánta protección es necesaria? En nuestro ejemplo: qué configuración de red usar, en qué entorno trabajar, qué tipo de cortafuegos, etc. Eso dependerá del novel de seguridad que nuestra empresa desee o crea oportuno.  ¿De qué forma nos protegeremos? Una casa puede protegerse con puertas, cerraduras, barras en ventanas, sistemas de alarmas, etc. En un sistema informático podemos aplicar medidas físicas, políticas de seguridad de accesos, planes de contingencia y recuperación, cortafuegos, cifrado de la información, firmas, pasarelas seguras, etc.
  29. 29. Pasos en un análisis de riesgos 1. Identificación costo posibles pérdidas (L) Identificar amenazas 2. Determinar susceptibilidad. La probabilidad de pérdida (P) 3. Identificar posibles acciones (gasto) y sus implicaciones. (B) Seleccionar acciones a implementar. ¿ B  PL ? Se cierra el ciclo
  30. 30. • Políticas administrativas – Procedimientos administrativos. • Políticas de control de acceso – Privilegios de acceso del usuario o programa. • Políticas de flujo de información – Normas bajo la cuales se comunican los sujetos dentro del sistema. Algunas políticas de seguridad
  31. 31. • Políticas administrativas – Se establecen aquellos procedimientos de carácter administrativo en la organización como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisión sistemática, etc. – Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel. Aspectos administrativos
  32. 32. • Políticas de control de acceso – Política de menor privilegio • Acceso estricto a objetos determinados, con mínimos privilegios para los usuarios. – Política de compartición • Acceso de máximo privilegio en el que cada usuario puede acceder a todos los objetos. – Granularidad • Número de objetos accesibles. Se habla entonces de granularidad gruesa y fina. Control de accesos
  33. 33. • Políticas de control de flujo – La información a la que se accede, se envía y recibe por: • ¿Canales claros o canales ocultos? ¿Seguros o no? – ¿Qué es lo que hay que potenciar? • ¿La confidencialidad o la integridad? • ¿La disponibilidad? ... ¿El no repudio? • Según cada organización y su entorno de trabajo y servicios ofrecidos, habrá diferencias. En algunos sistemas primarán unos más que otros, en función de cuán secreta es la información que procesan. Control de flujo
  34. 34. • Modelo de Bell LaPadula (BLP) – Rígido. Confidencialidad y con autoridad. • Modelo de Take-Grant (TG) – Derechos especiales: tomar y otorgar. • Modelo de Clark-Wilson (CW) – Orientación comercial: integridad. • Modelo de Goguen-Meseguer (GM) – No interferencia entre usuarios. • Modelo de Matriz de Accesos (MA) – Estados y transiciones entre estados • Tipo Graham-Dennig (GD) • Tipo Harrison-Ruzzo-Ullman (HRU) Modelos de seguridad
  35. 35. • La escritura hacia abajo está prohibida. • La lectura hacia arriba está prohibida. • Es el llamado principio de tranquilidad. No lectura hacia arriba Secreto máximo usuario dado de alta con un nivel secreto Secreto No escritura hacia abajo No clasificado Modelo de Bell LaPadula BLP

×