1 | \section{Procesos para aumentar la adopción de seguridad de la información} |
---|
2 | |
---|
3 | Es esencial que las organizaciones identifiquen claramente sus requisitos de |
---|
4 | seguridad. La figura \ref{ProcesoPercepcionSeguridad} muestra la relación entre |
---|
5 | los procesos a incluir para lograr esta acción de manera de alcanzar |
---|
6 | el objetivo de cumplir con las metas referentes a la seguridad |
---|
7 | de la información. Entre los |
---|
8 | procesos se encuentran: la identificación y evaluación |
---|
9 | de los riesgos, la revisión, |
---|
10 | el monitoreo y la selección e implementación de controles.\\ |
---|
11 | |
---|
12 | \begin{figure}[ht!] |
---|
13 | \begin{center} |
---|
14 | \includegraphics[scale=1] |
---|
15 | {imagenes/procesoPercepcionSeguridad.jpeg} |
---|
16 | \end{center} |
---|
17 | \caption{Proceso de percepción de la Seguridad. \label{ProcesoPercepcionSeguridad}} |
---|
18 | \end{figure} |
---|
19 | |
---|
20 | \subsection{Identificación de los riesgos} |
---|
21 | |
---|
22 | Es una medida que busca encontrar vulnerabilidades en los activos |
---|
23 | que puedan ser explotados por terceros. Para eso es necesaria |
---|
24 | la identificación de los riesgos que puedan existir en la organización |
---|
25 | y es importante |
---|
26 | considerar los distintos ámbitos de la implementación de la seguridad |
---|
27 | alrededor de donde se encuentra la información. |
---|
28 | |
---|
29 | Entre los aspectos a considerar se encuentran: |
---|
30 | |
---|
31 | \begin{enumerate} |
---|
32 | |
---|
33 | \item \textbf{Técnico:} se refiere al conocimiento que se tiene de |
---|
34 | la configuración de los componentes de toda la infraestructura tecnológica de |
---|
35 | respaldo, comunicación, procesamiento, tránsito y almacenamiento de la |
---|
36 | información. Los activos en este ámbito son aplicaciones, equipos |
---|
37 | informáticos y de comunicación, datos, documentación, manuales, consumibles, |
---|
38 | servicios ofrecidos a usuarios internos y externos. Este aspecto requiere la |
---|
39 | realización de un inventario de los activos antes mencionados que permite: |
---|
40 | |
---|
41 | |
---|
42 | \begin{itemize} |
---|
43 | \item Contar con un registro actualizado de los |
---|
44 | activos de información. |
---|
45 | \item Facilitar la detección de vulnerabilidades. |
---|
46 | \item Conocer la sensibilidad de la información que se manipula, |
---|
47 | clasificándola en función al grado de importancia para |
---|
48 | la institución. |
---|
49 | \item Identificar los posibles objetivos de los ataques o |
---|
50 | de los intentos de intrusión. |
---|
51 | \item Recuperar datos importantes de forma organizada y eficiente. |
---|
52 | \end{itemize} |
---|
53 | |
---|
54 | De la misma forma se hace necesario identificar los puntos de accesos a la |
---|
55 | red y los tipos de conexiones utilizadas. |
---|
56 | |
---|
57 | |
---|
58 | \item \textbf{Humano}: referido a las maneras en que las |
---|
59 | personas se relacionan con los activos de información, como |
---|
60 | también de las prácticas que se tienen en |
---|
61 | materia de seguridad de la información. De esta manera es posible detectar cuáles |
---|
62 | vulnerabilidades provienen de acciones humanas para dirigir |
---|
63 | recomendaciones y garantizar la continuidad de las actividades |
---|
64 | de la organización. Para su identificación se debe: |
---|
65 | |
---|
66 | \begin{comment} |
---|
67 | % Este proceso pretende inicialmente identificar |
---|
68 | % vulnerabilidades en los activos de usuario y de la organización, el nivel de |
---|
69 | % acceso que las personas tienen en la red o en las aplicaciones, las |
---|
70 | % restricciones y permisos que deben tener para realizar sus tareas con los |
---|
71 | % activos. El nivel de capacitación y formación educativa que necesitan tener |
---|
72 | % acceso para manipularlos, uso de buenas prácticas de claves y contraseñas, |
---|
73 | % nivel de responsabilidad y sensibilización de los miembros de la |
---|
74 | % institución. |
---|
75 | \end{comment} |
---|
76 | |
---|
77 | \begin{itemize} |
---|
78 | \item Determinar la formación del personal en materia de seguridad |
---|
79 | \item Determinar las prácticas en materia de seguridad de la |
---|
80 | información. |
---|
81 | \end{itemize} |
---|
82 | |
---|
83 | \item \textbf{Físico:} pretende |
---|
84 | identificar la infraestructura física. El enfoque principal |
---|
85 | de este ámbito de análisis |
---|
86 | son los activos de la organización, pues son los que proveen |
---|
87 | el soporte físico |
---|
88 | al entorno en que está siendo manipulada la información. |
---|
89 | Para lograr este objetivo se deben |
---|
90 | realizar las siguientes acciones: |
---|
91 | |
---|
92 | \begin{itemize} |
---|
93 | \item Identificar las condiciones físicas y ubicación donde |
---|
94 | se encuentran los equipos computacionales. |
---|
95 | \item Identificar los servicios requeridos como electricidad, |
---|
96 | comunicación, agua, entre otros. |
---|
97 | \item Identificar los controles de accesos físicos existentes. |
---|
98 | \item Identificar los controles de protección y |
---|
99 | extinción de incendios. |
---|
100 | \end{itemize} |
---|
101 | |
---|
102 | \end{enumerate} |
---|
103 | |
---|
104 | \subsection{Evaluación de los riesgos de seguridad} |
---|
105 | |
---|
106 | Una vez que se obtiene la lista de riesgos ésta se debe someter a evaluaciones |
---|
107 | para determinar, cuantificar y clasificar los elementos más importantes |
---|
108 | relacionados con los objetivos relevantes para la organización. |
---|
109 | |
---|
110 | La evaluación de los |
---|
111 | riesgos debe conseguir como resultado un conjunto de recomendaciones |
---|
112 | para la selección |
---|
113 | y corrección de los controles sobre los activos de manera que puedan |
---|
114 | ser protegidos adecuadamente. |
---|
115 | |
---|
116 | La evaluación de los riesgos de seguridad deben tener |
---|
117 | presente y definido el alcance que va a tener para que la |
---|
118 | política sea efectiva. La evaluación de los riesgos procura determinar: |
---|
119 | |
---|
120 | \begin{itemize} |
---|
121 | |
---|
122 | \item Amenazas al funcionamiento normal de la organización. |
---|
123 | \item La medición del impacto de la concreción de un ataque. |
---|
124 | \item La posible frecuencia con la que podrían ocurrir ataques. |
---|
125 | \end{itemize} |
---|
126 | |
---|
127 | Los resultados de la evaluación deben guiar y determinar |
---|
128 | las acciones en el tratamiento de los riesgos. Esta evaluación |
---|
129 | puede que requiera ser realizada periódicamente cuando se tengan |
---|
130 | cambios significativos, nuevos requerimientos de los sistemas, |
---|
131 | situaciones de riesgos, amenazas, vulnerabilidades, o |
---|
132 | cualquier cambio que podría influir en el normal funcionamiento |
---|
133 | de los procesos de la organización. |
---|
134 | |
---|
135 | Las evaluaciones se pueden aplicar a toda la organización, a |
---|
136 | parte de ella, a un sistema de información en particular o a componentes |
---|
137 | específicos del sistema. Los |
---|
138 | riesgos deben ser aceptados por toda los empleados de manera |
---|
139 | objetiva. De ser necesario hay que transferir los riesgos a |
---|
140 | terceros como proveedores o aseguradoras. |
---|
141 | |
---|
142 | Hay herramientas para la evaluación de vulnerabilidades que permiten conocer |
---|
143 | la situación real de un sistema y mejorar su seguridad, verificando que |
---|
144 | los mecanismos de seguridad funcionen correctamente. Con esta información |
---|
145 | obtenida es posible justificar la implantación de nuevas medidas de |
---|
146 | seguridad, así como priorizar las medidas a implementar en función de |
---|
147 | las vulnerabilidades detectadas. |
---|
148 | |
---|
149 | Dentro de las evaluaciones de la seguridad de los sistemas informáticos se |
---|
150 | realizan las pruebas de penetración internas y externas. Una prueba de |
---|
151 | penetración consta de las siguientes etapas: |
---|
152 | |
---|
153 | \begin{itemize} |
---|
154 | \item Reconocimiento del sistema para averiguar qué tipo de información |
---|
155 | podría obtener un atacante o usuario malicioso. |
---|
156 | |
---|
157 | \item Detección y verificación de las vulnerabilidades en los servidores |
---|
158 | y aplicaciones desarrolladas por la organización. |
---|
159 | |
---|
160 | \item Intento de utilizar las vulnerabilidades detectadas. |
---|
161 | |
---|
162 | \item Generación de informes, con el análisis de los resultados. |
---|
163 | \end{itemize} |
---|
164 | |
---|
165 | |
---|
166 | |
---|
167 | \subsection{Selección de los controles} |
---|
168 | |
---|
169 | Luego de evaluar los riesgos de seguridad se decide el tratamiento |
---|
170 | que se debe seguir para evitar la aparición de fallas en los sistemas |
---|
171 | informáticos. Este procedimiento se conoce como mitigación de riesgos, |
---|
172 | y se realiza seleccionando los controles que aseguren un nivel adecuado |
---|
173 | de seguridad para la organización. Se realiza una investigación |
---|
174 | sobre las posibles soluciones existentes para cada |
---|
175 | uno de los riesgos identificados en cada ámbito, por ejemplo, en el |
---|
176 | ámbito técnico se hace una investigación de las |
---|
177 | tecnologías existentes que cubran los riesgos identificados (cortafuegos, |
---|
178 | redes privadas virtuales, protocolos de comunicación seguros, |
---|
179 | sistemas de detección de intrusos de red y estaciones de trabajo, |
---|
180 | sistemas de escaneo de puertos, entre otros). |
---|
181 | |
---|
182 | En el ámbito humano, una medida efectiva es el dictado de charlas |
---|
183 | y de cursos de seguridad de tal manera que se puedan sensibilizar |
---|
184 | a las personas que interactúan con los sistemas informáticos. |
---|
185 | |
---|
186 | En el ámbito físico, la instalación de circuitos cerrados de televisión, |
---|
187 | instalación de controles físicos, |
---|
188 | remodelación o reforzamientos del centro de datos. |
---|
189 | |
---|
190 | Es importante considerar el gasto en los controles de seguridad, ya que éste |
---|
191 | debe equilibrarse con el daño probable que resulte de las debilidades en la |
---|
192 | seguridad de la información. Si el gasto en los controles |
---|
193 | es mucho mayor al posible daño que pudiera resultar, la institución |
---|
194 | puede evaluar asumir el riesgo de ocurrencias de |
---|
195 | incidentes de seguridad relacionados con debilidades en la seguridad |
---|
196 | de la información y decidir si implementa o no él o los |
---|
197 | controles de seguridad.\\ |
---|
198 | |
---|
199 | Existen controles que se consideran principios orientativos y |
---|
200 | esenciales, que proporcionan un punto de partida adecuado para |
---|
201 | implementar la seguridad de la información |
---|
202 | como son las políticas de seguridad. En este sentido se deben |
---|
203 | considerar las siguientes acciones: |
---|
204 | |
---|
205 | |
---|
206 | \begin{itemize} |
---|
207 | |
---|
208 | \item Aprobar, documentar, publicar y comunicar las políticas de seguridad |
---|
209 | a todos los miembros de la organización de forma adecuada, utilizando |
---|
210 | como herramientas charlas y/o cursos en materia de seguridad. |
---|
211 | |
---|
212 | \item Asignar las responsabilidades de seguridad a miembros de la organización. |
---|
213 | |
---|
214 | \item Identificar los procedimientos de seguridad asociados a los activos |
---|
215 | de información. |
---|
216 | |
---|
217 | \item Definir y documentar los niveles de autorización. |
---|
218 | |
---|
219 | \item Registrar las incidencias y mejoras de seguridad. |
---|
220 | |
---|
221 | \item Desarrollar e implementar procedimientos de gestión de continuidad de |
---|
222 | actividades para disminuir la interrupción causada por los desastres |
---|
223 | y fallas de seguridad. |
---|
224 | |
---|
225 | \item Salvaguardar los registros de la organización. Se deben proteger los |
---|
226 | registros importantes de la organización frente a su pérdida, destrucción |
---|
227 | o falsificación. |
---|
228 | |
---|
229 | \item Sensibilización y formación de los miembros de la institución en materia |
---|
230 | de seguridad de la información |
---|
231 | |
---|
232 | \end{itemize} |
---|
233 | |
---|
234 | \subsection{Implementar los controles seleccionados} |
---|
235 | |
---|
236 | Es recomendable que los controles en el plano técnico se implementen |
---|
237 | en un ambiente de pruebas antes de colocarlos en el ambiente de producción para |
---|
238 | no generar inconvenientes en los servicios informáticos. Además, |
---|
239 | se deben configurar e implementar los controles de tal manera que existan varias |
---|
240 | líneas de seguridad independientes dentro del mismo sistema informático para |
---|
241 | dar cabida al concepto de seguridad en profundidad. |
---|
242 | |
---|
243 | Esto permite aumentar la conciencia y conocimiento a los miembros de la |
---|
244 | organización con el objetivo de que puedan reconocer los problemas e incidentes |
---|
245 | de seguridad de la información, y responder adecuadamente a las necesidades |
---|
246 | según su rol dentro de la organización. |
---|
247 | |
---|
248 | \subsection{Supervisar y mejorar los controles de seguridad} |
---|
249 | |
---|
250 | Los controles de seguridad deben ser revisados en períodos planificados o cuando |
---|
251 | ocurran cambios significativos que puedan afectar la eficiencia y eficacia |
---|
252 | de los mismos. |
---|
253 | |
---|
254 | Se recomienda la realización de pruebas y auditorías |
---|
255 | periódicas de seguridad. Esto constituye |
---|
256 | un elemento de gran importancia para poder comprobar |
---|
257 | la adecuada implantación de los |
---|
258 | controles de seguridad y medidas definidas en las |
---|
259 | políticas de seguridad de la información. Para ello se debe realizar: |
---|
260 | |
---|
261 | \begin{itemize} |
---|
262 | |
---|
263 | \item Un análisis de posibles vulnerabilidades de los sistemas informáticos, |
---|
264 | para localizar de forma automática las más conocidas. |
---|
265 | |
---|
266 | \item Pruebas de intrusión, en las que no sólo se detecten las vulnerabilidades, |
---|
267 | sino que se realicen ejecuciones controladas de las que se hayan identificado. |
---|
268 | |
---|
269 | \item Registros de incidentes de seguridad de la información. |
---|
270 | \end{itemize} |
---|
271 | |
---|
272 | Con esta información es posible justificar la implantación de nuevas |
---|
273 | medidas de seguridad, así como priorizar las medidas a ejecutar en |
---|
274 | función a las vulnerabilidades detectadas. |
---|
275 | |
---|
276 | |
---|