El documento describe los planes de seguridad de la información (PSI) y de continuidad del negocio (PCN). El PSI incluye procesos para administrar la seguridad de la información mediante la evaluación de riesgos y selección de controles. El PCN busca reducir el riesgo de interrupciones a través del análisis de impacto, planes de contingencia y recuperación. Ambos planes son importantes para proteger los activos de la organización y garantizar la continuidad operativa.
2. Contenido
• Introducción
• PSI y PCN
• Finalidad del PSI y PCN
• Alcance del PSI y PCN
• Importancia del PSI y PCN
• Procedimientos utilizados
3. ¿Qué es PSI?
• Un Plan de Seguridad de la información
incluye todos los procesos/servicios
involucrados en la administración de la
seguridad de la Información.
4. ¿Qué es PSI?
• Un PSI efectivo considera los
impulsadores de seguridad de
información de una organización para
determinar el alcance y enfoque de
los procesos involucrados en la
administración de la seguridad.
5. Finalidad del PSI
• La finalidad del PSI es proteger la
información y los activos de la
organización, tratando de conseguir
confidencialidad, integridad y
disponibilidad de los datos; y las
responsabilidades que debe asumir
cada uno de los empleados mientras
permanezcan en la organización.
6. Alcance de PSI
El alcance del desarrollo de un PSI es:
• Evaluación de riesgos de seguridad a
los que está expuesta la información.
• Selección de controles y objetivos de
control para reducir, eliminar o evitar los
riesgos identificados, indicando las
razones de su inclusión o exclusión.
• Definición de políticas de seguridad.
7. Importancia del PSI
• Permite desarrollar normas y
procedimientos que pautan las
actividades relacionadas con la
seguridad informática y la tecnología
de información.
• Permite analizar la necesidad de
cambios o adaptaciones para cubrir
los riesgos existentes.
8. Importancia del PSI
• Hace posible la concienciación de los
miembros de la empresa acerca de la
importancia y sensibilidad de la
información y servicios críticos.
• Permite conseguir el compromiso de la
institución, agudeza técnica para
establecer fallas, deficiencias, y
constancia para renovar y actualizar
las políticas en función de un ambiente
dinámico
9. PCN
• PCN significa “Plan de Continuidad del
Negocio”, es un proceso diseñado
para reducir el riesgo de la institución
ante una interrupción inesperada de
sus funciones / operaciones críticas,
independiente de si estas son
manuales o automatizadas, las cuales
son necesarias para la supervivencia
de la organización.
10. Finalidad del PCN
• La finalidad del PCN es contar con una
estrategia planificada, una serie de
procedimientos que faciliten u orienten
a tener una solución alternativa que
permita restituir rápidamente los
servicios de la organización ante la
eventualidad de paralización, ya sea
de forma parcial o total.
11. Alcance del PCN
El alcance del desarrollo del PCN es:
• Análisis de Impacto
• Plan de Contingencia
• Plan de Recuperación de desastres
12. • Es la identificación de los diversos
eventos que podrían impactar la
continuidad de las operaciones y la
organización.
• Previamente se determina la
clasificación de seguridad de activos
asociados a la tecnología mediante el
análisis de riesgos.
Análisis de impacto
13. • Del análisis de impacto y riesgos, como
medida preventiva se genera el Plan de
Contingencias, que es un instrumento
sistematizado, que facilita y orienta la
consecución de una solución alternativa
que permita restituir rápidamente los
servicios de la organización.
Plan de contingencia
14. • Este plan tiene como objetivo la
evaluación de la capacidad de la
empresa para restaurar los servicios
al nivel acordado de calidad, y de otra
parte definir el proceso para
desarrollar, comunicar y mantener
planes documentados y probados para
la continuidad del sistema de
información y de las operaciones del
negocio.
Plan de recuperación de desastres
15. • Garantiza la continuidad del nivel
mínimo de servicios necesarios para
las operaciones críticas.
• Permite que la institución se
mantenga funcionando en caso de
una interrupción y que sobreviva a
una interrupción desastrosa de sus
sistemas de información.
Importancia del PCN
16. • Permite recuperar la normalidad de
las actividades de la empresa
rápidamente.
• Identifica las funciones de negocio y
los procesos esenciales para la
continua y eficiente operación de la
empresa.
Importancia del PCN
17. Los datos deben protegerse aplicando:
Seguridad Lógica
• Uso de herramientas de protección de la
información en el mismo medio en el que
se genera o transmite.
• Protocolos de autenticación entre cliente
y servidor.
• Aplicación de normativas.
Seguridad Lógica
18. Los datos deben protegerse aplicando:
Seguridad Física
• Procedimientos de protección física del
sistema: acceso personas, incendio,
agua, terremotos, etc.
• Medidas de prevención de riesgos tanto
físicos como lógicos a través de una
política de seguridad, planes de
contingencia, aplicación de normativas,
etc.
Seguridad Física
19. • Anclajes a mesas de trabajo.
• Cerraduras.
• Tarjetas con alarma.
• Etiquetas con adhesivos especiales.
• Bloqueo de disquetera.
• Protectores de teclado.
• Tarjeta de control de acceso al hardware.
• Suministro ininterrumpido de corriente.
• Toma de tierra.
Elementos a tener en cuenta. Entorno PC
20. Es el proceso de identificación y
evaluación del riesgo a sufrir un ataque y
perder datos, tiempo y horas de trabajo,
comparándolo con el costo que
significaría la prevención de este suceso.
Su análisis no sólo nos lleva a establecer
un nivel adecuado de seguridad, sino
que permite conocer mejor el sistema
que vamos a proteger.
Análisis de riesgo. Plan estratégico
21. • Determinación precisa de los recursos
sensibles de la organización.
• Identificación de las amenazas del sistema.
• Identificación de las vulnerabilidades
específicas del sistema.
• Identificación de posibles pérdidas.
• Identificación de la probabilidad de ocurrencia
de una pérdida.
• Derivación de contramedidas efectivas.
• Identificación de herramientas de seguridad.
• Implementación de un sistema de seguridad
eficiente en costes y tiempo.
Información del análisis de riesgo
22. ¿ B P L ?
• B: Carga o gasto que significa la prevención de
una pérdida específica por vulnerabilidad.
• P: Probabilidad de ocurrencia de esa pérdida
específica.
• L: Impacto total de dicha pérdida específica.
Ecuación básica del análisis de riesgo
23. • No obstante, siempre puede ocurrir una
desgracia que esté fuera de todo cálculo. Por
ejemplo, el ataque a las torres gemelas y sus
posteriores consecuencias informáticas no
estaba contemplado en ningún plan
contingencia....
Si B P * L
Hay que implementar una medida de
prevención.
Si B P * L
No es necesaria una medida de prevención.
¿Cuándo y cuánto invertir en SI?
24. Efectividad del coste de la medida
Las medidas y herramientas de control han de
tener menos coste que el valor de las posibles
pérdidas y el impacto de éstas si se produce el
riesgo temido.
Ley básica: el costo del control ha de ser menor
que el activo que protege. Algo totalmente lógico
y que tanto los directivos como los responsables
de seguridad de la empresa deberán estimar de
forma adecuada a su realidad.
25. El factor L en la ecuación de riesgo
Factor L (en B P L)
El factor de impacto total L es difícil de evaluar. Incluye
daños a la información, a los equipos, pérdidas por
reparación, por volver a levantar el sistema, pérdidas
por horas de trabajo, etc.
Siempre habrá una parte subjetiva.
La pérdida de datos puede llevar a una pérdida de
oportunidades por el llamado efecto cascada.
En la organización debe existir una comisión
especializada interna o externa que sea capaz de
evaluar todas las posibles pérdidas y cuantificarlas.
26. El factor P en la ecuación de riesgo
Factor P (en B P L)
El factor P está relacionado con la
determinación del impacto total L y depende
del entorno en el que esté la posible
pérdida. Como este valor es difícil de
cuantificar, dicha probabilidad puede
asociarse a una tendencia o frecuencia
conocida.
27. El factor B en la ecuación de riesgo
Factor B (en B P L)
Indica qué se requiere para prevenir una
pérdida. Es la cantidad de dinero que vamos a
disponer para mitigar la posible pérdida.
Ejemplo: la carga de prevención para que un sistema
informático minimice el riesgo de que sus servidores
sean atacados desde fuera incluye la instalación de
software y hardware adecuado, un cortafuegos, un
sistema de detección de intrusos, una configuración
de red segura, una política de seguimiento de
accesos y de passwords, personal técnico cualificado,
etc. Todo ello importa una cantidad de dinero
específica.
28. Cuantificación de la protección
¿ B P L ?
¿Cuánta protección es necesaria?
En nuestro ejemplo: qué configuración de red usar,
en qué entorno trabajar, qué tipo de cortafuegos, etc.
Eso dependerá del novel de seguridad que nuestra
empresa desee o crea oportuno.
¿De qué forma nos protegeremos?
Una casa puede protegerse con puertas, cerraduras,
barras en ventanas, sistemas de alarmas, etc.
En un sistema informático podemos aplicar medidas
físicas, políticas de seguridad de accesos, planes de
contingencia y recuperación, cortafuegos, cifrado de
la información, firmas, pasarelas seguras, etc.
29. Pasos en un análisis de riesgos
1. Identificación costo
posibles pérdidas (L)
Identificar amenazas
2. Determinar susceptibilidad.
La probabilidad de pérdida (P)
3. Identificar posibles
acciones (gasto) y sus
implicaciones. (B)
Seleccionar acciones a
implementar.
¿ B PL ?
Se
cierra
el
ciclo
30. • Políticas administrativas
– Procedimientos administrativos.
• Políticas de control de acceso
– Privilegios de acceso del usuario o
programa.
• Políticas de flujo de información
– Normas bajo la cuales se comunican los
sujetos dentro del sistema.
Algunas políticas de seguridad
31. • Políticas administrativas
– Se establecen aquellos procedimientos
de carácter administrativo en la
organización como por ejemplo en el
desarrollo de programas: modularidad en
aplicaciones, revisión sistemática, etc.
– Se establecen responsabilidades
compartidas por todos los usuarios, cada
uno en su nivel.
Aspectos administrativos
32. • Políticas de control de acceso
– Política de menor privilegio
• Acceso estricto a objetos determinados, con
mínimos privilegios para los usuarios.
– Política de compartición
• Acceso de máximo privilegio en el que cada
usuario puede acceder a todos los objetos.
– Granularidad
• Número de objetos accesibles. Se habla
entonces de granularidad gruesa y fina.
Control de accesos
33. • Políticas de control de flujo
– La información a la que se accede, se envía y
recibe por:
• ¿Canales claros o canales ocultos? ¿Seguros o no?
– ¿Qué es lo que hay que potenciar?
• ¿La confidencialidad o la integridad?
• ¿La disponibilidad? ... ¿El no repudio?
• Según cada organización y su entorno de trabajo y
servicios ofrecidos, habrá diferencias. En algunos
sistemas primarán unos más que otros, en función de
cuán secreta es la información que procesan.
Control de flujo
34. • Modelo de Bell LaPadula (BLP)
– Rígido. Confidencialidad y con autoridad.
• Modelo de Take-Grant (TG)
– Derechos especiales: tomar y otorgar.
• Modelo de Clark-Wilson (CW)
– Orientación comercial: integridad.
• Modelo de Goguen-Meseguer (GM)
– No interferencia entre usuarios.
• Modelo de Matriz de Accesos (MA)
– Estados y transiciones entre estados
• Tipo Graham-Dennig (GD)
• Tipo Harrison-Ruzzo-Ullman (HRU)
Modelos de seguridad
35. • La escritura hacia abajo está
prohibida.
• La lectura hacia arriba está prohibida.
• Es el llamado principio de tranquilidad.
No lectura hacia arriba Secreto máximo
usuario dado de alta
con un nivel secreto Secreto
No escritura hacia abajo No clasificado
Modelo de Bell LaPadula BLP