source: libros/maquetacion/capitulo2/ProcesoPercepcionSeguridad.tex @ dc8ddd2

\section{Procesos para aumentar la adopción de seguridad de la información}

Es esencial que las organizaciones identifiquen claramente sus requisitos de 
seguridad. La figura \ref{ProcesoPercepcionSeguridad} muestra la relación entre 
los procesos a incluir para lograr esta acción de manera de alcanzar 
el objetivo de cumplir con metas sobre seguridad de la información. Entre los 
procesos se encuentran: la identificación y evaluación de los riesgos, la revisión, 
el monitoreo y la  selección e implementación de controles.\\

\begin{figure}[ht!]
\begin{center}
\includegraphics[scale=1]
{imagenes/procesoPercepcionSeguridad.jpeg}
\end{center}
\caption{\em Proceso de percepción de la Seguridad. \label{ProcesoPercepcionSeguridad}}
\end{figure}

\subsection{Identificación de los riesgos}

Es una medida que busca encontrar  vulnerabilidades en los activos que puedan ser 
explotados por terceros. Es necesario la identificación de los riesgos que puedan 
existir en la organización. Es importante considerar los distintos 
ámbitos de la implementación de la seguridad alrededor de donde se encuentra 
la información.

Entre los aspectos a considerar se encuentran: 
%\renewcommand{\labelenumi}{(\alph{enumi}).}

\begin{enumerate}

\item \textbf{Técnico:} que se refiere al conocimiento que se tiene de 
la configuración de los componentes de toda la infraestructura tecnológica de 
respaldo, comunicación, procesamiento, tránsito y almacenamiento de la 
información. Los activos en este ámbito son aplicaciones, equipo 
informáticos y de comunicación, datos, documentación, manuales, consumibles, 
servicios ofrecidos a usuarios internos como externos, requiriendo la 
realización de un inventario de los activos antes mencionados que permite:


        \begin{itemize}
                \item Tener un registro actualizado de los activos de la organización.
                \item Facilitar el análisis de las vulnerabilidades.
                \item Conocer la sensibilidad de la información que se manipula, 
                clasificándola en función al grado de importancia para la institución.
                \item Identificar los posibles objetivos de los ataques o de los intentos de intrusión.
                \item Utilizar en caso de recuperación frente a un incidente grave de seguridad.
        \end{itemize}

De la misma forma se hace necesario identificar los distintos puntos de accesos a la 
red y los tipos de conexiones utilizadas.


\item \textbf{Humano}: referido a las maneras en que las 
personas se relacionan con los activos de información, como también  de las prácticas  
que se tienen en 
materia de seguridad de la información. De esta manera es posible detectar cuáles 
vulnerabilidades provienen de acciones humanas para dirigir 
recomendaciones  y garantizar la continuidad de las actividades 
de la organización.

 Este proceso pretende inicialmente identificar 
vulnerabilidades en los activos de usuario y de la organización, el nivel de 
acceso que las personas tienen en la red o en las aplicaciones, las 
restricciones y permisos que deben tener para realizar sus tareas con los 
activos. El nivel de capacitación y formación educativa que necesitan tener 
acceso para manipularlos, uso de buenas prácticas de claves y contraseñas, 
nivel de responsabilidad y sensibilización de los miembros de la 
institución. Para su identificación debemos: 

        \begin{itemize}
                \item Determinar la formación del personal en materia de seguridad
                \item Determinar las prácticas  en materia de seguridad de la 
                información.
        \end{itemize}

\item \textbf{Físico:} pretende 
identificar la infraestructura física. El enfoque principal de este ámbito de análisis 
son los activos de la organización, pues son los que proveen el soporte físico 
al entorno en que está siendo manipulada la información. Para lograr este objetivo se deben 
realizar las siguientes acciones:

        \begin{itemize}
                \item Identificar las condiciones físicas y ubicación donde 
                se encuentran los equipos computacionales.
                \item Identificar los servicios requeridos como electricidad, 
                comunicación, agua, entre otros.
                \item Identificar los controles de accesos físicos existentes
                \item Identificar los controles de protección y extinción de incendios
        \end{itemize}

\end{enumerate}

\subsection{Evaluación de los riesgos de seguridad}

Una vez identificados los riesgos de seguridad, se deben someter a evaluaciones 
para determinar, cuantificar, y priorizar los riesgos de la institución de 
acuerdo a los objetivos relevantes de la institución. La evaluación de los 
riesgos tiene como resultado recomendaciones para la selección 
y/o corrección de los controles sobre los activos para que los mismos puedan 
ser protegidos. La evaluación de los riesgos de seguridad deben tener 
claro y definido el alcance que va a tener para que la misma sea efectiva.

La evaluación de los riesgos procura determinar: 

\begin{itemize}

\item Amenazas al normal funcionamiento de la institución.
\item El impacto que tendría el riesgo en la institución si llegara a ocurrir
una amenaza.
\item La posible frecuencia con la que podrían ocurrir amenazas.
\end{itemize}

Los resultados de la evaluación deben guiar y determinar 
las acciones en el tratamiento de los riesgos. Esta evaluación puede que requiera ser realizada periódicamente, cuando se tengan cambios significativos; nuevos requerimientos de los sistemas, situaciones de riesgos, amenazas, vulnerabilidades, o 
cualquier cambio que podría influir en los resultados de la evaluación 
de los riesgos.

Las evaluaciones se pueden aplicar a toda la institución, parte de ella, un 
sistema información en particular, componentes específicos del sistema. Los 
riesgos deben ser aceptados por toda la institución de manera objetiva y con 
conocimiento. De ser necesario hay que transferir los riesgos a terceros como 
los son proveedores y/o aseguradores.

Hay herramientas para la evaluación de vulnerabilidades, que permiten conocer 
la situación real de un sistema y mejorar su seguridad, verificando que 
los mecanismos de seguridad funcionen correctamente. Con esta información 
obtenida es posible justificar la implantación de nuevas medidas de 
seguridad, así como de priorizar las medidas a implementar en función a 
las vulnerabilidades detectadas.

Dentro de las evaluaciones de la seguridad de los sistemas informáticos se 
realizan las pruebas de penetración internas y externas. Una prueba de 
penetración consta de las siguientes etapas:

\begin{itemize}
\item Reconocimiento del sistema para averiguar qué tipo de información 
podría obtener un atacante o usuario malicioso.

\item Detección y verificación de las vulnerabilidades en los servidores 
y aplicaciones desarrolladas por la organización.  

\item Intento de utilizar las vulnerabilidades detectadas.

\item Generación de informes, con el análisis de los resultados.
\end{itemize}



\subsection{Selección de los controles}

Luego de evaluar los riesgos de seguridad se decide el tratamiento que se debe seguir para evitar la aparición de fallas en los sistemas informáticos. Este procedimiento se conoce  como mitigación de riesgos, y se realiza seleccionando los controles que aseguren un nivel adecuado de seguridad para la organización. Se realiza una investigación 
sobre las posibles soluciones existentes para cada uno de los riesgos identificados 
de cada ámbito, por ejemplo, en el ámbito técnico se hace una investigación de las 
tecnologías  existentes que cubra los riesgos identificados (cortafuegos, 
redes privadas virtuales, protocolos de comunicación seguros, sistemas de detección 
de intrusos de red y estaciones de trabajo, sistemas de escaneo de puertos, entre otros).

 En el ámbito humano, una medida efectiva es el dictado de  charlas y de cursos de seguridad de tal manera que se puedan sensibilizar 
a las personas que interactúan con los sistemas informáticos. 

En el ámbito físico,  la instalación de circuitos de cámaras de cerradas, instalación de controles físicos, 
remodelación o reforzamientos del centro de datos.

Es importante considerar el gasto de los controles de seguridad, ya que este
debe equilibrarse  con el daño probable que resulta de las debilidades en la 
seguridad de la información. Si el gasto del o los controles es mucho mayor al posible 
daño que pudiera resultar, la institución pudiera asumir el riesgo de ocurrencias de
incidentes de seguridad por esa debilidad en la seguridad de la información y no colocar 
el o los controles de seguridad.\\

Existen controles que se consideran principios orientativos y esenciales, que proporcionan 
un punto de partida adecuado para implementar la seguridad de la información 
como son las políticas de seguridad. En este sentido  se deben considerar las siguientes acciones:


\begin{itemize}

\item Aprobar, documentar, publicar y comunicar las políticas de seguridad 
a todos los miembros de la organización de forma adecuada, utilizando como herramientas  charlas y/o cursos 
en materia de seguridad.

\item Asignar las responsabilidades de seguridad a miembros de la organización, 
en concordancia con las políticas de seguridad.

\item Identificar los procedimientos de seguridad asociados a los activos 
de información.

\item Definir y documentar los niveles de autorización.

\item Registrar las incidencias y mejoras de seguridad.

\item Desarrollar e implementar procedimientos de gestión de continuidad de 
actividades para disminuir la interrupción causada por los desastres 
y fallas de seguridad.

\item Salvaguardar los registros de la organización. Se deben proteger los 
registros importantes de la organización frente a su pérdida, destrucción 
y/o falsificación.

\item Sensibilización y formación de los miembros de la institución en materia 
de seguridad de la información 

\end{itemize}

\subsection{Implementar los controles seleccionados}

Es recomendable que los controles en el plano técnico de seguridad se implementen 
en un ambiente de pruebas antes de colocarlos en el ambiente de producción para 
no producir inconvenientes en los servicios informáticos. 

Se deben configurar e implementar los controles de tal manera que existan varias 
líneas de seguridad independientes dentro del mismo sistemas informático para 
dar cabida al concepto de seguridad en profundidad . 

Hay otros controles esenciales en el plano institucional que dependen de la 
legislación aplicable en la institución, como por ejemplo la 
protección de datos y privacidad de la información personal.

Los controles en el plano humano como la sensibilización y formación de 
todos los miembros de la institución deben recibir una adecuada formación en 
seguridad, desde la directiva hasta los obreros e incluyendo cuando sea relevante, 
a los contratista y a terceras personas.

Se recomienda organizar charlas, cursos que permitan la formación en materia de 
seguridad de la información de acuerdo al área de actuación de los miembros 
de la que permitan informar lo siguiente:

\begin{itemize}
\item El uso correcto de mecanismos y herramientas para procesar información.
\item Actualización de nuevos controles y políticas de seguridad.
\item El conocimientos de las vulnerabilidades existentes.
\end{itemize}

Esto permite aumentar la conciencia y conocimiento a los miembros de la 
institución con el objetivo de que puedan reconocer los problemas e incidentes 
de seguridad de la información, y responder adecuadamente a las necesidades 
según su rol dentro de la institución.

\subsection{Supervisar y mejorar los controles de seguridad}

Los controles de seguridad deberían ser revisados en períodos planificados o cuando 
ocurran cambios significativos que puedan afectar la eficiencia y eficacia 
de los controles.

Se recomienda la realización de pruebas y auditorías periódicas de seguridad. Esto constituye 
un elemento de gran importancia para poder comprobar la adecuada implantación de los 
controles de seguridad y medidas definidas en las políticas de seguridad de la 
información. Para ello se debe realizar:

\begin{itemize}

\item Un análisis de posibles vulnerabilidades de los sistemas informáticos, 
para localizar de forma automática la más conocidas.

\item Pruebas de intrusión, en las que no sólo se detecten las vulnerabilidades, 
sino que se trata de explotar las que se hayan identificados.

\item Registros de incidentes de seguridad de la información.
\end{itemize}

Con esta información es posible justificar la implantación de nuevas 
medidas de seguridad, así como de priorizar las medidas a ejecutar en 
función a las vulnerabilidades detectadas.


Una de las herramientas para realizar lo antes descrito, es realizar pruebas de penetración. Una prueba de penetración consta de las siguientes etapas:

\begin{itemize}

\item Reconocimiento del tipo de información que podría obtener un atacante o usuario malicioso.

\item Detección y verificación de las vulnerabilidades en los servidores y en 
aplicaciones desarrolladas por la institución.  

\item Intento de explotación de las vulnerabilidades detectadas

\item Generación de informes, con el análisis de los resultados

\end{itemize}