| 1 | \section{Procesos para aumentar la percepción de seguridad de la información} |
|---|
| 2 | |
|---|
| 3 | Es esencial que las instituciones identifique claramente sus requerimientos de seguridad. La figura \ref{ProcesoPercepcionSeguridad} muestra la relación entre los procesos a incluir para identificar los requerimientos de seguridad y alcanzar el objetivo de cumplir con metas sobre seguridad de la información. Entre los procesos se encuentran: Identificación y evaluación de los riesgos, Revisión, Monitoreo, selección e implementación de controles.\\ |
|---|
| 4 | |
|---|
| 5 | \begin{figure}[ht!] |
|---|
| 6 | \begin{center} |
|---|
| 7 | \includegraphics[height=9cm,angle=0] |
|---|
| 8 | {imagenes/procesoPercepcionSeguridad.eps} |
|---|
| 9 | \end{center} |
|---|
| 10 | \caption{\em Proceso de percepción de la Seguridad. \label{ProcesoPercepcionSeguridad}} |
|---|
| 11 | \end{figure} |
|---|
| 12 | |
|---|
| 13 | \subsection{Identificación de los riesgos} |
|---|
| 14 | |
|---|
| 15 | Es una medida que busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas. Es necesario la identificación de los riegos que puedan existir en la institución, para la misma es importante considerar los distintos ámbitos para implementación de la seguridad alrededor de donde se encuentra la información.\\ |
|---|
| 16 | |
|---|
| 17 | Entre los ámbitos se encuentra: |
|---|
| 18 | \renewcommand{\labelenumi}{(\alph{enumi}).} |
|---|
| 19 | |
|---|
| 20 | \begin{enumerate} |
|---|
| 21 | \item \textbf{Técnico:} que se refiere al conocimiento que se tiene de las configuración de los componentes de toda la infraestructura tecnológicos de respaldo, comunicación, procesamiento, tránsito y almacenamiento de la información. Los activos en este ámbito son de tipo aplicaciones, equipo informáticos y de comunicación, datos, documentación, manuales, consumibles, servicios ofrecidos a usuarios internos como externos, requiriendo la realización de un inventario de los activos antes mencionados que permitirá: |
|---|
| 22 | \begin{itemize} |
|---|
| 23 | \item Tener un registro actualizado de los activos de la institución. |
|---|
| 24 | \item Facilitar el posterior análisis de las vulnerabilidades. |
|---|
| 25 | \item Conocer la sensibilidad de la información que se manipula, clasificándola en función al grado de importancia para la institución. |
|---|
| 26 | \item Identificar los posibles objetivos de los ataques o intento de intrusión. |
|---|
| 27 | \item Ser utilizado en caso de recuperación frente a un incidente grave de seguridad. |
|---|
| 28 | \end{itemize} |
|---|
| 29 | |
|---|
| 30 | Asimismo será necesario identificar los distintos puntos de accesos a la red y los tipos de conexiones utilizadas. |
|---|
| 31 | |
|---|
| 32 | |
|---|
| 33 | \item \textbf{Humano}: referido a la compresión de las maneras en que las personas se relaciona con los activos, y de la cultura que se tiene en materia de seguridad de la información. Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, y es posible dirigir recomendaciones para mejorar y garantizar la continuidad de las actividades de la institución. Este análisis pretende inicialmente identificar vulnerabilidades en los activos de tipo usuario y organización, el nivel de acceso que las personas tienen en la red o en las aplicaciones, las restricciones y permisos que deben tener para realizar sus tareas con los activos. El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, uso de buenas practicas de claves y contraseñas, nivel de responsabilidad y sensibilización de los miembros de la institución. Para su identificación debemos: |
|---|
| 34 | |
|---|
| 35 | \begin{itemize} |
|---|
| 36 | \item Investigar la formación del personal en materia de seguridad |
|---|
| 37 | \item Investigar sobre la cultura en materia de seguridad de la información que maneje la institución. |
|---|
| 38 | \end{itemize} |
|---|
| 39 | |
|---|
| 40 | \item \textbf{Físico:} El análisis físico de seguridad de la información pretende identificar la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos. El enfoque principal de este ámbito de análisis son los activos de tipo organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información, Identificar posibles fallas en la localización física de los activos tecnológicos. |
|---|
| 41 | \begin{itemize} |
|---|
| 42 | \item Investigar sobre las condiciones físicas y ubicación donde se encuentra los equipos computacionales de la institución. |
|---|
| 43 | \item Investigar sobre los servicios requeridos como linea telefónica, antenas de comunicación, instalaciones eléctricas. |
|---|
| 44 | \item Controles de accesos físicos existentes |
|---|
| 45 | \item Controles de protección y extinción de incendios |
|---|
| 46 | \end{itemize} |
|---|
| 47 | |
|---|
| 48 | \end{enumerate} |
|---|
| 49 | |
|---|
| 50 | \subsection{Evaluación de los riesgos de seguridad} |
|---|
| 51 | |
|---|
| 52 | Una vez identificados los riesgos de seguridad, se deben someter a evaluaciones para determinar, cuantificar, y priorizar los riesgo de la institución de acuerdos a los objetivos relevantes de la institución. La evaluación de los riesgos tiene como resultado un grupo de recomendaciones para la selección y/o corrección de los controles sobre los activos para que los mismos puedan ser protegidos. La evaluación de los riesgos de seguridad deben tener bien claro y definido el alcance que va a tener para que la misma sea efectiva.\\ |
|---|
| 53 | |
|---|
| 54 | La evaluación de los riesgos se conforma por saber: \\ |
|---|
| 55 | |
|---|
| 56 | \begin{itemize} |
|---|
| 57 | |
|---|
| 58 | \item La amenaza que representa el riesgo al normal funcionamiento de la institución. |
|---|
| 59 | \item El impacto que tendría el riesgo en la institución si llegara a ocurrir, |
|---|
| 60 | \item La posible frecuencia que podría ocurrir el riesgos. |
|---|
| 61 | \end{itemize} |
|---|
| 62 | |
|---|
| 63 | Los resultados de la evaluación deben guiar y determinar las acciones en el tratamiento de los riesgos, esta evaluación puede que requiera ser realizada periódicamente, cuando se tenga cambios significativos; nuevos requerimiento de los sistemas, situaciones de riesgos, amenazas, vulnerabilidades, o cualquier cambio que podria influir en los resultados de la evaluación de los riesgos. \\ |
|---|
| 64 | |
|---|
| 65 | Las evaluaciones se pueden aplicar a toda la institución, parte de ella, un sistema información en particular, componentes específicos del sistema. Los riegos deben ser aceptados por toda la institución de manera objetiva y con conocimiento. De ser necesario hay que trasferir los riesgos a terceros como los son proveedores y/o aseguradores.\\ |
|---|
| 66 | |
|---|
| 67 | Hay herramientas para la evaluación de vulnerabilidades, que permiten conocer la situación real de un sistema y mejorar su seguridad, verificando que los mecanismos de seguridad funcione correctamente. Con esta información obtenida es posible justificar la implantación de nuevas medidas de seguridad, así como de priorizar las medidas a implementar en función a las vulnerabilidades detectadas. \\ |
|---|
| 68 | |
|---|
| 69 | Dentro de la evaluaciones de la seguridad de los sistemas informáticos se realizan las pruebas de penetración internas y externas, que representa una valiosa herramienta metodológica. |
|---|
| 70 | Una prueba de penetración consta de las siguientes etapas:\\ |
|---|
| 71 | |
|---|
| 72 | \begin{itemize} |
|---|
| 73 | \item Reconocimiento del sistema para averiguar qué tipo de información podría obtener un atacante o usuario malicioso. |
|---|
| 74 | \item Detección y verificación de las vulnerabilidades en los servidores estándar y en aplicaciones desarrolladas por la institución. |
|---|
| 75 | \item Intento de explotación de las vulnerabilidades detectadas |
|---|
| 76 | \item Generación de informes, con el análisis de los resultados |
|---|
| 77 | \end{itemize} |
|---|
| 78 | |
|---|
| 79 | \subsection{Selección de los controles} |
|---|
| 80 | |
|---|
| 81 | Una vez que se haya evaluado los riesgos de seguridad se decide el tratamientos que se le va a dar a los riesgos, seleccionando los controles que aseguren un nivel adecuado de seguridad para la institución. Se realiza una investigación sobre las posibles soluciones existente para cada uno de los riesgos identificados de cada ámbito, por ejemplo, en el ámbito técnico se hace una investigación de la tecnología libres existentes que cubra los riesgos identificados (cortafuegos, redes privadas virtuales, protocolos de comunicación seguros, sistemas de detección de intrusos de red y host, sistemas de escaneo de puertos, etr), en el ámbito Humano, dictar charlas y dar cursos de seguridad de tal manera que se puedan sensibilizar a las personas que interactuan con los sistemas informáticos, en el ámbito físico, la instalación de circuitos de cámaras de cerradas, instalación de controles físicos, remodelación o reforzamientos del centro de datos.\\ |
|---|
| 82 | |
|---|
| 83 | Es importante considerar el gasto de los controles de seguridad, ya que el mismo debiera ser equilibrado con el daño probable que resulta de las debilidades en la seguridad de la información. Si el gasto del o los controles es mucho mayor al posible daño que pudiera resultar, la institución pudiera asumir el riesgo de ocurrir un incidente de seguridad por esa debilidad en la seguridad de la información y no colocar el o los controles de seguridad.\\ |
|---|
| 84 | |
|---|
| 85 | Existen controles que se consideran principios orientativos y esenciales, que proporciona un punto de partida adecuada para implementar la seguridad de la información como es las políticas de seguridad. se deben considerar:\\ |
|---|
| 86 | |
|---|
| 87 | \begin{itemize} |
|---|
| 88 | \item Aprobar, documentar, publicar y comunicar las políticas de seguridad a todos los miembros de la institución de forma adecuada; como por ejemplos: charlas y/o cursos en materia de seguridad. |
|---|
| 89 | \item Asignar las responsabilidades de seguridad a miembros de la institución, en concordancia con las políticas de seguridad. |
|---|
| 90 | \item Identificar los procedimientos de seguridad asociados a cada activos de la institución. |
|---|
| 91 | \item Definir y documentar los niveles de autorización. |
|---|
| 92 | \item Registrar las incidencias y mejoras de seguridad. |
|---|
| 93 | \item Desarrollar e Implementar procedimiento de gestión de continuidad de actividades para reducir, a niveles aceptables, la interrupción causada por los desastres y fallas de seguridad. |
|---|
| 94 | \item Salvaguarda los registros de la organización. Se deberían proteger los registros importantes de la organización frente a su pérdida, destrucción y/o falsificación. |
|---|
| 95 | \item Sencibilización y formación de los mimbros de la institución en materia de seguridad de la información |
|---|
| 96 | \end{itemize} |
|---|
| 97 | |
|---|
| 98 | \subsection{Implementar los controles seleccionados} |
|---|
| 99 | |
|---|
| 100 | Es recomendable que los controles en el plano técnicos de seguridad se implemente en un ambiente de pruebas antes de colocarlos en el ambiente de producción para no producir inconveniente en los servicios informáticos. \\ |
|---|
| 101 | Se deben configurar e implementar los controles de tal manera que existan varias líneas de seguridad independientes dentro del mismo sistemas informático para dar cabida al concepto de seguridad en profundidad (ver sección 5). \\ |
|---|
| 102 | |
|---|
| 103 | Hay otros controles esenciales en el plano institucional que depende de la legislación aplicable en la institucion, como por ejemplo lo seria: la protección de datos y privacidad de la información personal.\\ |
|---|
| 104 | |
|---|
| 105 | Los controles en el plano humano, como la sensibilización y formación de los todos los miembros de la institución deben recibir una adecuada formación en seguridad, desde la directiva hasta los obreros y pasando, cuando sea relevante, los contratista y terceras personas.\\ |
|---|
| 106 | Se recomienda organizar charlas, cursos que permita la formación en materia de seguridad de la información de acuerdo al área de actuación a los miembros de la institución que permita informar: |
|---|
| 107 | |
|---|
| 108 | \begin{itemize} |
|---|
| 109 | \item El correcto uso de los medios de procesamientos de la información. |
|---|
| 110 | \item Actualización de nuevos controles y políticas de seguridad |
|---|
| 111 | \item El conocimientos de las vulnerabilidades existente |
|---|
| 112 | \end{itemize} |
|---|
| 113 | |
|---|
| 114 | Permitiendo aumentar la conciencia y conocimiento a los miembros de la institución con le objetivo de que puedan reconocer los problemas e incidentes de seguridad de la información, y responder adecuadamente a las necesidades según su rol dentro de la institución.\\ |
|---|
| 115 | |
|---|
| 116 | \subsection{Monitorear y mejorar los controles de seguridad} |
|---|
| 117 | |
|---|
| 118 | Los controles de seguridad beberían ser revisado en periodos planificados o cuando ocurran cambios significativos que puedan afectar la eficiencia y efectividad de los controles.\\ |
|---|
| 119 | |
|---|
| 120 | Se recomienda la realización de pruebas y auditorias periódicas de seguridad constituye un elemento de gran importancia para poder comprobar la adecuada implantación de los controles de seguridad y medidas definidas en las políticas de seguridad de la información, para ello se debe realizar:\\ |
|---|
| 121 | \begin{itemize} |
|---|
| 122 | \item Pruebas de análisis de posibles vulnerabilidades del sistema informático, para localizar de forma automáticas algunas de las vulnerabilidades mas conocidas. |
|---|
| 123 | \item Pruebas de intrusión, en las que no sólo se detecten las vulnerabilidades, sino que se trata de explotar las que se hayan identificados. |
|---|
| 124 | \item Registros de incidentes de seguridad de la información. |
|---|
| 125 | \end{itemize} |
|---|
| 126 | |
|---|
| 127 | Hay herramientas para la evaluación de vulnerabilidades, que permiten conocer la situación real de un sistema y mejorar su seguridad, verificando que los mecanismos de seguridad funcione correctamente. Con esta información obtenida es posible justificar la implantación de nuevas medidas de seguridad, así como de priorizar las medidas a implementar en función a las vulnerabilidades detectadas.\\ |
|---|
| 128 | |
|---|
| 129 | Dentro de la evaluaciones de la seguridad de los sistemas informáticos se realizan las pruebas de penetración internas y externas, que representa una valiosa herramienta metodológica.\\ |
|---|
| 130 | |
|---|
| 131 | Una prueba de penetración consta de las siguientes etapas:\\ |
|---|
| 132 | |
|---|
| 133 | \begin{itemize} |
|---|
| 134 | \item Reconocimiento del sistema para averiguar qué tipo de información podría obtener un atacante o usuario malicioso. |
|---|
| 135 | \item Detección y verificación de las vulnerabilidades en los servidores estándar y en aplicaciones desarrolladas por la institución. |
|---|
| 136 | \item Intento de explotación de las vulnerabilidades detectadas |
|---|
| 137 | \item Generación de informes, con el análisis de los resultados |
|---|
| 138 | \end{itemize} |
|---|
