[147fb25] | 1 | \section{Procesos para aumentar la adopción de seguridad de la información} |
---|
| 2 | |
---|
[2f5fd50] | 3 | Es esencial que las organizaciones identifiquen claramente sus requisitos de |
---|
[147fb25] | 4 | seguridad. La figura \ref{ProcesoPercepcionSeguridad} muestra la relación entre |
---|
[2697999] | 5 | los procesos a incluir para lograr esta acción de manera de alcanzar |
---|
[fdbaf90] | 6 | el objetivo de cumplir con las metas referentes a la seguridad |
---|
| 7 | de la información. Entre los |
---|
| 8 | procesos se encuentran: la identificación y evaluación |
---|
| 9 | de los riesgos, la revisión, |
---|
[2697999] | 10 | el monitoreo y la selección e implementación de controles.\\ |
---|
[147fb25] | 11 | |
---|
| 12 | \begin{figure}[ht!] |
---|
| 13 | \begin{center} |
---|
[dc8ddd2] | 14 | \includegraphics[scale=1] |
---|
| 15 | {imagenes/procesoPercepcionSeguridad.jpeg} |
---|
[147fb25] | 16 | \end{center} |
---|
[054b1ae] | 17 | \caption{Proceso de percepción de la Seguridad. \label{ProcesoPercepcionSeguridad}} |
---|
[147fb25] | 18 | \end{figure} |
---|
| 19 | |
---|
| 20 | \subsection{Identificación de los riesgos} |
---|
| 21 | |
---|
[fdbaf90] | 22 | Es una medida que busca encontrar vulnerabilidades en los activos |
---|
| 23 | que puedan ser explotados por terceros. Para eso es necesaria |
---|
| 24 | la identificación de los riesgos que puedan existir en la organización |
---|
| 25 | y es importante |
---|
| 26 | considerar los distintos ámbitos de la implementación de la seguridad |
---|
| 27 | alrededor de donde se encuentra la información. |
---|
[147fb25] | 28 | |
---|
[2f5fd50] | 29 | Entre los aspectos a considerar se encuentran: |
---|
[147fb25] | 30 | |
---|
| 31 | \begin{enumerate} |
---|
| 32 | |
---|
[bff2774] | 33 | \item \textbf{Técnico:} se refiere al conocimiento que se tiene de |
---|
[2697999] | 34 | la configuración de los componentes de toda la infraestructura tecnológica de |
---|
[147fb25] | 35 | respaldo, comunicación, procesamiento, tránsito y almacenamiento de la |
---|
[bff2774] | 36 | información. Los activos en este ámbito son aplicaciones, equipos |
---|
[147fb25] | 37 | informáticos y de comunicación, datos, documentación, manuales, consumibles, |
---|
[bff2774] | 38 | servicios ofrecidos a usuarios internos y externos. Este aspecto requiere la |
---|
[147fb25] | 39 | realización de un inventario de los activos antes mencionados que permite: |
---|
| 40 | |
---|
| 41 | |
---|
| 42 | \begin{itemize} |
---|
[fdbaf90] | 43 | \item Contar con un registro actualizado de los |
---|
| 44 | activos de información. |
---|
[bff2774] | 45 | \item Facilitar la detección de vulnerabilidades. |
---|
[147fb25] | 46 | \item Conocer la sensibilidad de la información que se manipula, |
---|
[fdbaf90] | 47 | clasificándola en función al grado de importancia para |
---|
| 48 | la institución. |
---|
| 49 | \item Identificar los posibles objetivos de los ataques o |
---|
| 50 | de los intentos de intrusión. |
---|
[bff2774] | 51 | \item Recuperar datos importantes de forma organizada y eficiente. |
---|
[147fb25] | 52 | \end{itemize} |
---|
| 53 | |
---|
[bff2774] | 54 | De la misma forma se hace necesario identificar los puntos de accesos a la |
---|
[147fb25] | 55 | red y los tipos de conexiones utilizadas. |
---|
| 56 | |
---|
| 57 | |
---|
[2f5fd50] | 58 | \item \textbf{Humano}: referido a las maneras en que las |
---|
[fdbaf90] | 59 | personas se relacionan con los activos de información, como |
---|
| 60 | también de las prácticas que se tienen en |
---|
[2f5fd50] | 61 | materia de seguridad de la información. De esta manera es posible detectar cuáles |
---|
| 62 | vulnerabilidades provienen de acciones humanas para dirigir |
---|
| 63 | recomendaciones y garantizar la continuidad de las actividades |
---|
[c1c9daf] | 64 | de la organización. Para su identificación se debe: |
---|
| 65 | |
---|
[fdbaf90] | 66 | \begin{comment} |
---|
[c1c9daf] | 67 | % Este proceso pretende inicialmente identificar |
---|
| 68 | % vulnerabilidades en los activos de usuario y de la organización, el nivel de |
---|
| 69 | % acceso que las personas tienen en la red o en las aplicaciones, las |
---|
| 70 | % restricciones y permisos que deben tener para realizar sus tareas con los |
---|
| 71 | % activos. El nivel de capacitación y formación educativa que necesitan tener |
---|
| 72 | % acceso para manipularlos, uso de buenas prácticas de claves y contraseñas, |
---|
| 73 | % nivel de responsabilidad y sensibilización de los miembros de la |
---|
| 74 | % institución. |
---|
[fdbaf90] | 75 | \end{comment} |
---|
[147fb25] | 76 | |
---|
| 77 | \begin{itemize} |
---|
[2f5fd50] | 78 | \item Determinar la formación del personal en materia de seguridad |
---|
| 79 | \item Determinar las prácticas en materia de seguridad de la |
---|
| 80 | información. |
---|
[147fb25] | 81 | \end{itemize} |
---|
| 82 | |
---|
| 83 | \item \textbf{Físico:} pretende |
---|
[fdbaf90] | 84 | identificar la infraestructura física. El enfoque principal |
---|
| 85 | de este ámbito de análisis |
---|
| 86 | son los activos de la organización, pues son los que proveen |
---|
| 87 | el soporte físico |
---|
| 88 | al entorno en que está siendo manipulada la información. |
---|
| 89 | Para lograr este objetivo se deben |
---|
[2f5fd50] | 90 | realizar las siguientes acciones: |
---|
[147fb25] | 91 | |
---|
| 92 | \begin{itemize} |
---|
[2f5fd50] | 93 | \item Identificar las condiciones físicas y ubicación donde |
---|
| 94 | se encuentran los equipos computacionales. |
---|
| 95 | \item Identificar los servicios requeridos como electricidad, |
---|
[2697999] | 96 | comunicación, agua, entre otros. |
---|
[c1c9daf] | 97 | \item Identificar los controles de accesos físicos existentes. |
---|
[fdbaf90] | 98 | \item Identificar los controles de protección y |
---|
| 99 | extinción de incendios. |
---|
[147fb25] | 100 | \end{itemize} |
---|
| 101 | |
---|
| 102 | \end{enumerate} |
---|
| 103 | |
---|
| 104 | \subsection{Evaluación de los riesgos de seguridad} |
---|
| 105 | |
---|
[fdbaf90] | 106 | Una vez que se obtiene la lista de riesgos ésta se debe someter a evaluaciones |
---|
| 107 | para determinar, cuantificar y clasificar los elementos más importantes |
---|
| 108 | relacionados con los objetivos relevantes para la organización. |
---|
[147fb25] | 109 | |
---|
[bff2774] | 110 | La evaluación de los |
---|
[fdbaf90] | 111 | riesgos debe conseguir como resultado un conjunto de recomendaciones |
---|
| 112 | para la selección |
---|
[bff2774] | 113 | y corrección de los controles sobre los activos de manera que puedan |
---|
| 114 | ser protegidos adecuadamente. |
---|
| 115 | |
---|
| 116 | La evaluación de los riesgos de seguridad deben tener |
---|
[fdbaf90] | 117 | presente y definido el alcance que va a tener para que la |
---|
| 118 | política sea efectiva. La evaluación de los riesgos procura determinar: |
---|
[147fb25] | 119 | |
---|
| 120 | \begin{itemize} |
---|
| 121 | |
---|
[bff2774] | 122 | \item Amenazas al funcionamiento normal de la organización. |
---|
| 123 | \item La medición del impacto de la concreción de un ataque. |
---|
| 124 | \item La posible frecuencia con la que podrían ocurrir ataques. |
---|
[147fb25] | 125 | \end{itemize} |
---|
| 126 | |
---|
[2697999] | 127 | Los resultados de la evaluación deben guiar y determinar |
---|
[fdbaf90] | 128 | las acciones en el tratamiento de los riesgos. Esta evaluación |
---|
| 129 | puede que requiera ser realizada periódicamente cuando se tengan |
---|
| 130 | cambios significativos, nuevos requerimientos de los sistemas, |
---|
| 131 | situaciones de riesgos, amenazas, vulnerabilidades, o |
---|
| 132 | cualquier cambio que podría influir en el normal funcionamiento |
---|
| 133 | de los procesos de la organización. |
---|
| 134 | |
---|
| 135 | Las evaluaciones se pueden aplicar a toda la organización, a |
---|
| 136 | parte de ella, a un sistema de información en particular o a componentes |
---|
| 137 | específicos del sistema. Los |
---|
| 138 | riesgos deben ser aceptados por toda los empleados de manera |
---|
| 139 | objetiva. De ser necesario hay que transferir los riesgos a |
---|
| 140 | terceros como proveedores o aseguradoras. |
---|
[147fb25] | 141 | |
---|
[bff2774] | 142 | Hay herramientas para la evaluación de vulnerabilidades que permiten conocer |
---|
[147fb25] | 143 | la situación real de un sistema y mejorar su seguridad, verificando que |
---|
| 144 | los mecanismos de seguridad funcionen correctamente. Con esta información |
---|
| 145 | obtenida es posible justificar la implantación de nuevas medidas de |
---|
[fdbaf90] | 146 | seguridad, así como priorizar las medidas a implementar en función de |
---|
[a373526] | 147 | las vulnerabilidades detectadas. |
---|
[147fb25] | 148 | |
---|
| 149 | Dentro de las evaluaciones de la seguridad de los sistemas informáticos se |
---|
| 150 | realizan las pruebas de penetración internas y externas. Una prueba de |
---|
[a373526] | 151 | penetración consta de las siguientes etapas: |
---|
[147fb25] | 152 | |
---|
| 153 | \begin{itemize} |
---|
| 154 | \item Reconocimiento del sistema para averiguar qué tipo de información |
---|
| 155 | podría obtener un atacante o usuario malicioso. |
---|
| 156 | |
---|
| 157 | \item Detección y verificación de las vulnerabilidades en los servidores |
---|
[fdbaf90] | 158 | y aplicaciones desarrolladas por la organización. |
---|
[147fb25] | 159 | |
---|
[2f5fd50] | 160 | \item Intento de utilizar las vulnerabilidades detectadas. |
---|
[147fb25] | 161 | |
---|
[2f5fd50] | 162 | \item Generación de informes, con el análisis de los resultados. |
---|
[147fb25] | 163 | \end{itemize} |
---|
| 164 | |
---|
| 165 | |
---|
| 166 | |
---|
| 167 | \subsection{Selección de los controles} |
---|
| 168 | |
---|
[fdbaf90] | 169 | Luego de evaluar los riesgos de seguridad se decide el tratamiento |
---|
| 170 | que se debe seguir para evitar la aparición de fallas en los sistemas |
---|
| 171 | informáticos. Este procedimiento se conoce como mitigación de riesgos, |
---|
| 172 | y se realiza seleccionando los controles que aseguren un nivel adecuado |
---|
| 173 | de seguridad para la organización. Se realiza una investigación |
---|
| 174 | sobre las posibles soluciones existentes para cada |
---|
| 175 | uno de los riesgos identificados en cada ámbito, por ejemplo, en el |
---|
| 176 | ámbito técnico se hace una investigación de las |
---|
[bff2774] | 177 | tecnologías existentes que cubran los riesgos identificados (cortafuegos, |
---|
[fdbaf90] | 178 | redes privadas virtuales, protocolos de comunicación seguros, |
---|
| 179 | sistemas de detección de intrusos de red y estaciones de trabajo, |
---|
| 180 | sistemas de escaneo de puertos, entre otros). |
---|
[2697999] | 181 | |
---|
[fdbaf90] | 182 | En el ámbito humano, una medida efectiva es el dictado de charlas |
---|
| 183 | y de cursos de seguridad de tal manera que se puedan sensibilizar |
---|
[2697999] | 184 | a las personas que interactúan con los sistemas informáticos. |
---|
| 185 | |
---|
[c1c9daf] | 186 | En el ámbito físico, la instalación de circuitos cerrados de televisión, |
---|
| 187 | instalación de controles físicos, |
---|
[a373526] | 188 | remodelación o reforzamientos del centro de datos. |
---|
[147fb25] | 189 | |
---|
[fdbaf90] | 190 | Es importante considerar el gasto en los controles de seguridad, ya que éste |
---|
| 191 | debe equilibrarse con el daño probable que resulte de las debilidades en la |
---|
| 192 | seguridad de la información. Si el gasto en los controles |
---|
| 193 | es mucho mayor al posible daño que pudiera resultar, la institución |
---|
| 194 | puede evaluar asumir el riesgo de ocurrencias de |
---|
| 195 | incidentes de seguridad relacionados con debilidades en la seguridad |
---|
| 196 | de la información y decidir si implementa o no él o los |
---|
| 197 | controles de seguridad.\\ |
---|
[147fb25] | 198 | |
---|
[fdbaf90] | 199 | Existen controles que se consideran principios orientativos y |
---|
| 200 | esenciales, que proporcionan un punto de partida adecuado para |
---|
| 201 | implementar la seguridad de la información |
---|
| 202 | como son las políticas de seguridad. En este sentido se deben |
---|
| 203 | considerar las siguientes acciones: |
---|
[147fb25] | 204 | |
---|
| 205 | |
---|
| 206 | \begin{itemize} |
---|
| 207 | |
---|
| 208 | \item Aprobar, documentar, publicar y comunicar las políticas de seguridad |
---|
[fdbaf90] | 209 | a todos los miembros de la organización de forma adecuada, utilizando |
---|
| 210 | como herramientas charlas y/o cursos en materia de seguridad. |
---|
[147fb25] | 211 | |
---|
[bff2774] | 212 | \item Asignar las responsabilidades de seguridad a miembros de la organización. |
---|
[147fb25] | 213 | |
---|
| 214 | \item Identificar los procedimientos de seguridad asociados a los activos |
---|
[2697999] | 215 | de información. |
---|
[147fb25] | 216 | |
---|
| 217 | \item Definir y documentar los niveles de autorización. |
---|
| 218 | |
---|
| 219 | \item Registrar las incidencias y mejoras de seguridad. |
---|
| 220 | |
---|
| 221 | \item Desarrollar e implementar procedimientos de gestión de continuidad de |
---|
| 222 | actividades para disminuir la interrupción causada por los desastres |
---|
| 223 | y fallas de seguridad. |
---|
| 224 | |
---|
| 225 | \item Salvaguardar los registros de la organización. Se deben proteger los |
---|
| 226 | registros importantes de la organización frente a su pérdida, destrucción |
---|
[c1c9daf] | 227 | o falsificación. |
---|
[147fb25] | 228 | |
---|
[2697999] | 229 | \item Sensibilización y formación de los miembros de la institución en materia |
---|
[147fb25] | 230 | de seguridad de la información |
---|
| 231 | |
---|
| 232 | \end{itemize} |
---|
| 233 | |
---|
| 234 | \subsection{Implementar los controles seleccionados} |
---|
| 235 | |
---|
[bff2774] | 236 | Es recomendable que los controles en el plano técnico se implementen |
---|
[147fb25] | 237 | en un ambiente de pruebas antes de colocarlos en el ambiente de producción para |
---|
[fdbaf90] | 238 | no generar inconvenientes en los servicios informáticos. Además, |
---|
| 239 | se deben configurar e implementar los controles de tal manera que existan varias |
---|
[c1c9daf] | 240 | líneas de seguridad independientes dentro del mismo sistema informático para |
---|
[bff2774] | 241 | dar cabida al concepto de seguridad en profundidad. |
---|
[147fb25] | 242 | |
---|
| 243 | Esto permite aumentar la conciencia y conocimiento a los miembros de la |
---|
[bff2774] | 244 | organización con el objetivo de que puedan reconocer los problemas e incidentes |
---|
[147fb25] | 245 | de seguridad de la información, y responder adecuadamente a las necesidades |
---|
[bff2774] | 246 | según su rol dentro de la organización. |
---|
[147fb25] | 247 | |
---|
[2f5fd50] | 248 | \subsection{Supervisar y mejorar los controles de seguridad} |
---|
[147fb25] | 249 | |
---|
[fdbaf90] | 250 | Los controles de seguridad deben ser revisados en períodos planificados o cuando |
---|
[147fb25] | 251 | ocurran cambios significativos que puedan afectar la eficiencia y eficacia |
---|
[c1c9daf] | 252 | de los mismos. |
---|
[147fb25] | 253 | |
---|
[fdbaf90] | 254 | Se recomienda la realización de pruebas y auditorías |
---|
| 255 | periódicas de seguridad. Esto constituye |
---|
| 256 | un elemento de gran importancia para poder comprobar |
---|
| 257 | la adecuada implantación de los |
---|
| 258 | controles de seguridad y medidas definidas en las |
---|
| 259 | políticas de seguridad de la información. Para ello se debe realizar: |
---|
[147fb25] | 260 | |
---|
| 261 | \begin{itemize} |
---|
| 262 | |
---|
[2f5fd50] | 263 | \item Un análisis de posibles vulnerabilidades de los sistemas informáticos, |
---|
[bff2774] | 264 | para localizar de forma automática las más conocidas. |
---|
[147fb25] | 265 | |
---|
| 266 | \item Pruebas de intrusión, en las que no sólo se detecten las vulnerabilidades, |
---|
[c1c9daf] | 267 | sino que se realicen ejecuciones controladas de las que se hayan identificado. |
---|
[147fb25] | 268 | |
---|
| 269 | \item Registros de incidentes de seguridad de la información. |
---|
| 270 | \end{itemize} |
---|
| 271 | |
---|
[2f5fd50] | 272 | Con esta información es posible justificar la implantación de nuevas |
---|
[fdbaf90] | 273 | medidas de seguridad, así como priorizar las medidas a ejecutar en |
---|
[a373526] | 274 | función a las vulnerabilidades detectadas. |
---|
[147fb25] | 275 | |
---|
| 276 | |
---|