El documento trata sobre los planes de seguridad de la información (PSI) y planes de continuidad del negocio (PCN). Explica que el PSI incluye procesos para administrar la seguridad de la información considerando los riesgos, mientras que el PCN busca reducir el riesgo de interrupciones y garantizar la continuidad mínima de servicios críticos. También describe el alcance, finalidad e importancia del PSI y PCN para proteger los activos y responsabilidades de una organización.

1. Tema 6:
PLANES DE SEGURIDAD DE LA
INFORMACIÓN Y PLANES DE
CONTINUIDAD DEL NEGOCIO

2. Contenido de la Clase
 Introducción
 PSI y PCN
 Finalidad del PSI y PCN
 Alcance del PSI y PCN
 Importancia del PSI y PCN
 ¿Cuáles son los procedimientos utilizados?

3. ¿Qué es PSI?
Un Plan de Seguridad de la información incluye todos
los procesos/servicios involucrados en la
administración de la seguridad de la Información.
Un PSI efectivo considera los impulsadores de
seguridad de información de una organización para
determinar el alcance y enfoque de los procesos
involucrados en la administración de la seguridad.

4. FINALIDAD DEL PSI
La finalidad del PSI es proteger la
información y los activos de la organización,
tratando de conseguir confidencialidad,
integridad y disponibilidad de los datos; y
las responsabilidades que debe asumir cada
uno de los empleados mientras permanezcan
en la organización.

5. ALCANCE DEL PSI
El alcance del desarrollo de un PSI es:
 Evaluación de riesgos de seguridad a los que
está expuesta la información.
 Selección de controles y objetivos de control
para reducir, eliminar o evitar los riesgos
identificados, indicando las razones de su
inclusión o exclusión.
 Definición de políticas de seguridad

6. IMPORTANCIA DEL PSI EN LAS
EMPRESAS
 Permite desarrollar normas y procedimientos
que pautan las actividades relacionadas con la
seguridad informática y la tecnología de
información.
 Permite analizar la necesidad de cambios o
adaptaciones para cubrir los riesgos existentes.

7. IMPORTANCIA DEL PSI EN LAS
EMPRESAS
 Hace posible la concienciación de los miembros de
la empresa acerca de la importancia y sensibilidad
de la información y servicios críticos.
 Permite conseguir el compromiso de la institución,
agudeza técnica para establecer fallas y
deficiencias, y constancia para renovar y actualizar
las políticas en función de un ambiente dinámico

8. PCN
PCN significa “Plan de Continuidad del Negocio”,
es un proceso diseñado para reducir el riesgo de la
institución ante una interrupción inesperada de
sus funciones / operaciones críticas,
independiente de si estas son manuales o
automatizadas, las cuales son necesarias para la
supervivencia de la organización.

9. FINALIDAD DEL PCN
La finalidad del PCN es contar con una estrategia
planificada, una serie de procedimientos que
faciliten u orienten a tener una solución
alternativa que permita restituir rápidamente los
servicios de la organización ante la eventualidad
de paralización, ya sea de forma parcial o total.

10. ALCANCE DEL PCN
El alcance del desarrollo del PCN es:
 Análisis de Impacto
 Plan de Contingencia
 Plan de Recuperación de desastres

11. ANÁLISIS DEL IMPACTO
 Es la identificación de los diversos eventos
que podrían impactar la continuidad de las
operaciones y la organización. Previamente
se determina la clasificación de seguridad de
activos asociados a la tecnología mediante el
análisis de riesgos.

12. PLAN DE CONTINGENCIAS
 Del análisis de impacto y riesgos, como medida
preventiva se genera el Plan de Contingencias,
que es un instrumento sistematizado, que facilita
y orienta la consecución de una solución
alternativa que permita restituir rápidamente los
servicios de la organización.

13. PLAN DE RECUPERACIÓN DE DESASTRES
Este plan tiene como objetivo la evaluación de la
capacidad de la empresa para restaurar los servicios
al nivel acordado de calidad, y de otra parte definir
el proceso para desarrollar, comunicar y mantener
planes documentados y probados para la
continuidad del sistema de información y de las
operaciones del negocio.

14. IMPORTANCIA DEL PCN EN LAS EMPRESAS
 Garantiza la continuidad del nivel mínimo
de servicios necesarios para las operaciones
críticas.
 Permite que la institución continué
funcionando en caso de una interrupción y
que sobreviva a una interrupción desastrosa
de sus sistemas de información.

15. IMPORTANCIA DEL PCN EN LAS EMPRESAS
 Permite recuperar la normalidad de las
actividades de la empresa rápidamente.
 Identifica las funciones de negocio y los
procesos esenciales para la continua y
eficiente operación de la empresa.

16. Seguridad Física
Los datos deben protegerse aplicando:
 Seguridad Lógica
 Uso de herramientas de protección de la información
en el mismo medio en el que se genera o transmite.
 Protocolos de autenticación entre cliente y servidor.
 Aplicación de normativas.
 Seguridad Física
 Procedimientos de protección física del sistema:
acceso personas, incendio, agua, terremotos, etc.
 Medidas de prevención de riesgos tanto físicos como
lógicos a través de una política de seguridad, planes
de contingencia, aplicación de normativas, etc.

17. La seguridad Física en entornos de PCs
 Anclajes a mesas de trabajo. Temas a tener
 Cerraduras. en cuenta en un
 Tarjetas con alarma. entorno PC
 Etiquetas con adhesivos especiales.
 Bloqueo de disquetera.
 Protectores de teclado.
 Tarjeta de control de acceso al hardware.
 Suministro ininterrumpido de corriente.
 Toma de tierra.
 Eliminación de la estática... etc.

18. Análisis de riesgo: plan estratégico
 Es el proceso de identificación y evaluación del
riesgo a sufrir un ataque y perder datos, tiempo
y horas de trabajo, comparándolo con el costo
que significaría la prevención de este suceso.
 Su análisis no sólo nos lleva a establecer un
nivel adecuado de seguridad, sino que permite
conocer mejor el sistema que vamos a proteger.

19. Información del análisis de riesgo
 Información que se obtiene en un análisis de riesgo:
 Determinación precisa de los recursos sensibles de la
organización.
 Identificación de las amenazas del sistema.
 Identificación de las vulnerabilidades específicas del
sistema.
 Identificación de posibles pérdidas.
 Identificación de la probabilidad de ocurrencia de una
pérdida.
 Derivación de contramedidas efectivas.
 Identificación de herramientas de seguridad.
 Implementación de un sistema de seguridad eficiente
en costes y tiempo.

20. Ecuación básica del análisis de riesgo
¿B>P∗L?
 B: Carga o gasto que significa la prevención
de una pérdida específica por vulnerabilidad.
 P: Probabilidad de ocurrencia de esa pérdida
específica.
 L: Impacto total de dicha pérdida específica.

21. ¿Cuándo y cuánto invertir en seguridad?
Si B≤P∗L
Hay que implementar una medida de
prevención.
Si B>P∗L
No es necesaria una medida de prevención.
... al menos matemáticamente. No obstante, siempre
puede ocurrir una desgracia que esté fuera de todo
cálculo. Por ejemplo, el ataque a las torres gemelas y
sus posteriores consecuencias informáticas no estaba
contemplado en ningún plan contingencia...

22. Efectividad del coste de la medida
 Las medidas y herramientas de control han
de tener menos coste que el valor de las
posibles pérdidas y el impacto de éstas si se
produce el riesgo temido.
 Ley básica: el costo del control ha de ser
menor que el activo que protege. Algo
totalmente lógico y que tanto los directivos
como los responsables de seguridad de la
empresa deberán estimar de forma adecuada
a su realidad.

23. El factor L en la ecuación de riesgo
Factor L (en B ≤ P ∗ L)
 El factor de impacto total L es difícil de evaluar.
Incluye daños a la información, a los equipos,
pérdidas por reparación, por volver a levantar el
sistema, pérdidas por horas de trabajo, etc.
 Siempre habrá una parte subjetiva.
 La pérdida de datos puede llevar a una pérdida
de oportunidades por el llamado efecto cascada.
 En la organización debe existir una comisión
especializada interna o externa que sea capaz de
evaluar todas las posibles pérdidas y
cuantificarlas.

24. El factor P en la ecuación de riesgo
Factor P (en B ≤ P ∗ L)
 El factor P está relacionado con la
determinación del impacto total L y depende
del entorno en el que esté la posible pérdida.
Como este valor es difícil de cuantificar,
dicha probabilidad puede asociarse a una
tendencia o frecuencia conocida.
 Conocido P para un L dado, se obtiene la
probabilidad de pérdida relativa de la ocurrencia
P∗L que se comparará con B, el peso que supone
implantar la medida de prevención respectiva.

25. El factor B en la ecuación de riesgo
Factor B (en B ≤ P ∗ L)
 Indica qué se requiere para prevenir una
pérdida. Es la cantidad de dinero que vamos
a disponer para mitigar la posible pérdida.
 Ejemplo: la carga de prevención para que un
sistema informático minimice el riesgo de que sus
servidores sean atacados desde fuera incluye la
instalación de software y hardware adecuado, un
cortafuegos, un sistema de detección de intrusos,
una configuración de red segura, una política de
seguimiento de accesos y de passwords, personal
técnico cualificado, etc. Todo ello importa una
cantidad de dinero específica.

26. Cuantificación de la protección
¿B≤P∗L?
 ¿Cuánta protección es necesaria?
 En nuestro ejemplo: qué configuración de red usar, en
qué entorno trabajar, qué tipo de cortafuegos, etc. Eso
dependerá del novel de seguridad que nuestra
empresa desee o crea oportuno.
 ¿De qué forma nos protegeremos?
 Una casa puede protegerse con puertas, cerraduras,
barras en ventanas, sistemas de alarmas, etc.
 En un sistema informático podemos aplicar medidas
físicas, políticas de seguridad de accesos, planes de
contingencia y recuperación, cortafuegos, cifrado de
la información, firmas, pasarelas seguras, etc.

27. Pasos en un análisis de riesgos
1. Identificación costo 3. Identificar posibles
Se
posibles pérdidas (L) acciones (gasto) y sus
cierra
el implicaciones. (B)
ciclo Seleccionar acciones a
Identificar amenazas implementar.
¿ B ≤ P∗L ?
2. Determinar susceptibilidad.
La probabilidad de pérdida (P)

28. Algunas políticas de seguridad
• Políticas administrativas
– Procedimientos administrativos.
• Políticas de control de acceso
– Privilegios de acceso del usuario o
programa.
• Políticas de flujo de información
– Normas bajo la cuales se comunican los
sujetos dentro del sistema.

29. Aspectos administrativos
• Políticas administrativas
– Se establecen aquellos procedimientos
de carácter administrativo en la
organización como por ejemplo en el
desarrollo de programas: modularidad en
aplicaciones, revisión sistemática, etc.
– Se establecen responsabilidades
compartidas por todos los usuarios, cada
uno en su nivel.

30. Control de accesos
• Políticas de control de acceso
– Política de menor privilegio
• Acceso estricto a objetos determinados, con
mínimos privilegios para los usuarios.
– Política de compartición
• Acceso de máximo privilegio en el que cada
usuario puede acceder a todos los objetos.
– Granularidad
• Número de objetos accesibles. Se habla
entonces de granularidad gruesa y fina.

31. Control de flujo
• Políticas de control de flujo
– La información a la que se accede, se envía y
recibe por:
• ¿Canales claros o canales ocultos? ¿Seguros o no?
– ¿Qué es lo que hay que potenciar?
• ¿La confidencialidad o la integridad?
• ¿La disponibilidad? ... ¿El no repudio?
• Según cada organización y su entorno de trabajo y
servicios ofrecidos, habrá diferencias. En algunos
sistemas primarán unos más que otros, en función de
cuán secreta es la información que procesan.

32. Modelos de seguridad
• Modelo de Bell LaPadula (BLP)
– Rígido. Confidencialidad y con autoridad. Se definirán
• Modelo de Take-Grant (TG) brevemente
– Derechos especiales: tomar y otorgar. en próximas
• Modelo de Clark-Wilson (CW) diapositivas
– Orientación comercial: integridad.
• Modelo de Goguen-Meseguer (GM)
– No interferencia entre usuarios.
• Modelo de Matriz de Accesos (MA)
– Estados y transiciones entre estados
• Tipo Graham-Dennig (GD)
• Tipo Harrison-Ruzzo-Ullman (HRU)

33. Modelo de Bell LaPadula BLP
• La escritura hacia abajo está
prohibida.
• La lectura hacia arriba está prohibida.
• Es el llamado principio de tranquilidad.
No lectura hacia arriba Secreto máximo
usuario dado de alta
con un nivel secreto Secreto
No escritura hacia abajo No clasificado

34. Implantación de medidas básicas
 Plan de emergencia
 Vidas,heridos, activos, evacuación personal.
 Inventariar recursos siniestrados.
 Evaluar el coste de la inactividad.
 Plan de recuperación
 Acciones tendentes a volver a la situación que
existía antes del desastre.

35. Plan de continuidad
 Instalaciones alternativas
 Oficina de servicios propia.
 Acuerdo con empresa vendedora de HW y SW.
 Acuerdo recíproco entre dos o más empresas.
 Arranque en frío; sala vacía propia.
 Arranque en caliente: centro equipado.
 Sistema Up Start: caravana, unidad móvil.
 Sistema Hot Start: centro gemelo.
Fin del la asignatura