Context Navigation

← Previous Change
Next Change →

ProcesoPercepcionSeguridad.tex

Timestamp:

Oct 16, 2014, 8:55:14 AM (10 years ago)

Author:

aaraujo <aaraujo@…>

Branches:

revisionfinal

Children:

22dcb0c

Parents:

772329b

git-author:

Dhionel Díaz <ddiaz@…> (14/10/14 11:55:35)

git-committer:

aaraujo <aaraujo@…> (16/10/14 08:55:14)

Message:

Estandarización de formato.

Signed-off-by: Dhionel Díaz <ddiaz@…>
Signed-off-by: aaraujo <aaraujo@moe>

File:

: 1 edited

maquetacion/capitulo2/ProcesoPercepcionSeguridad.tex (modified) (6 diffs, 1 prop)

Legend:

: Unmodified
: Added
: Removed

maquetacion/capitulo2/ProcesoPercepcionSeguridad.tex

Property mode changed from 100755 to 100644

-                      rfdbaf90
+                      r969cb45
 \section{Procesos para aumentar la adopción de seguridad de la información}
+Es esencial que las organizaciones identifiquen claramente sus requisitos de
+seguridad. La figura \ref{ProcesoPercepcionSeguridad} muestra la relación entre
+los procesos a incluir para lograr esta acción de manera de alcanzar
+el objetivo de cumplir con las metas referentes a la seguridad
+de la información. Entre los
+procesos se encuentran: la identificación y evaluación
+de los riesgos, la revisión,
+el monitoreo y la  selección e implementación de controles.\\
+Es esencial que las organizaciones identifiquen claramente sus requisitos de seguridad.
+La figura \ref{ProcesoPercepcionSeguridad} muestra la relación entre los procesos a incluir para lograr esta acción de manera de alcanzar el objetivo de cumplir con las metas referentes a la seguridad de la información.
+Entre los procesos se encuentran: la identificación y evaluación de los riesgos, la revisión, el monitoreo y la selección e implementación de controles.\\
 \begin{figure}[ht!]
 \begin{center}
+\includegraphics[scale=1]
 {imagenes/procesoPercepcionSeguridad.jpeg}
+\end{center}
 \caption{Proceso de percepción de la Seguridad. \label{ProcesoPercepcionSeguridad}}
+ \begin{center}
+  \includegraphics[scale=1] {imagenes/procesoPercepcionSeguridad.jpeg}
+ \end{center}
+ \caption{Proceso de percepción de la Seguridad.
+  \label{ProcesoPercepcionSeguridad}}
 \end{figure}
 \subsection{Identificación de los riesgos}
+Es una medida que busca encontrar  vulnerabilidades en los activos
+que puedan ser explotados por terceros. Para eso es necesaria
+la identificación de los riesgos que puedan existir en la organización
+y es  importante
+considerar los distintos ámbitos de la implementación de la seguridad
+alrededor de donde se encuentra la información.
+Es una medida que busca encontrar vulnerabilidades en los activos que puedan ser explotados por terceros.
+Para eso es necesaria la identificación de los riesgos que puedan existir en la organización y es importante considerar los distintos ámbitos de la implementación de la seguridad alrededor de donde se encuentra la información.
 Entre los aspectos a considerar se encuentran:
 …
 \begin{enumerate}
+\item \textbf{Técnico:} se refiere al conocimiento que se tiene de
+la configuración de los componentes de toda la infraestructura tecnológica de
+respaldo, comunicación, procesamiento, tránsito y almacenamiento de la
+información. Los activos en este ámbito son aplicaciones, equipos
+informáticos y de comunicación, datos, documentación, manuales, consumibles,
+servicios ofrecidos a usuarios internos y externos. Este aspecto requiere la
+realización de un inventario de los activos antes mencionados que permite:
+        \begin{itemize}
+                \item Contar con  un registro actualizado de los
+                      activos de información.
+                \item Facilitar la detección de vulnerabilidades.
+                \item Conocer la sensibilidad de la información que se manipula,
+                        clasificándola en función al grado de importancia para
+                        la institución.
+                \item Identificar los posibles objetivos de los ataques o
+                        de los intentos de intrusión.
+                \item Recuperar datos importantes de forma organizada y eficiente.
+        \end{itemize}
+De la misma forma se hace necesario identificar los  puntos de accesos a la
+red y los tipos de conexiones utilizadas.
+\item \textbf{Humano}: referido a las maneras en que las
+personas se relacionan con los activos de información, como
+también  de las prácticas  que se tienen en
+materia de seguridad de la información. De esta manera es posible detectar cuáles
+vulnerabilidades provienen de acciones humanas para dirigir
+recomendaciones  y garantizar la continuidad de las actividades
+de la organización. Para su identificación se debe:
+\item
+ \textbf{Técnico:} se refiere al conocimiento que se tiene de la configuración de los componentes de toda la infraestructura tecnológica de respaldo, comunicación, procesamiento, tránsito y almacenamiento de la información.
+ Los activos en este ámbito son aplicaciones, equipos informáticos y de comunicación, datos, documentación, manuales, consumibles, servicios ofrecidos a usuarios internos y externos.
+ Este aspecto requiere la realización de un inventario de los activos antes mencionados que permite:
+        \begin{itemize}
+                \item
+  Contar con un registro actualizado de los activos de información.
+                \item
+  Facilitar la detección de vulnerabilidades.
+                \item
+  Conocer la sensibilidad de la información que se manipula,                    clasificándola en función al grado de importancia para                  la institución.
+                \item
+  Identificar los posibles objetivos de los ataques o                   de los intentos de intrusión.
+                \item
+  Recuperar datos importantes de forma organizada y eficiente.
+        \end{itemize}
+ De la misma forma se hace necesario identificar los puntos de accesos a la red y los tipos de conexiones utilizadas.
+\item
+ \textbf{Humano}: referido a las maneras en que las personas se relacionan con los activos de información, como también de las prácticas que se tienen en materia de seguridad de la información.
+ De esta manera es posible detectar cuáles vulnerabilidades provienen de acciones humanas para dirigir recomendaciones y garantizar la continuidad de las actividades de la organización.
+ Para su identificación se debe:
 \begin{comment}
 …
 \end{comment}
+        \begin{itemize}
+                \item Determinar la formación del personal en materia de seguridad
+                \item Determinar las prácticas  en materia de seguridad de la
+                información.
+        \end{itemize}
+\item \textbf{Físico:} pretende
+identificar la infraestructura física. El enfoque principal
+de este ámbito de análisis
+son los activos de la organización, pues son los que proveen
+el soporte físico
+al entorno en que está siendo manipulada la información.
+Para lograr este objetivo se deben
+realizar las siguientes acciones:
+        \begin{itemize}
+                \item Identificar las condiciones físicas y ubicación donde
+                se encuentran los equipos computacionales.
+                \item Identificar los servicios requeridos como electricidad,
+                comunicación, agua, entre otros.
+                \item Identificar los controles de accesos físicos existentes.
+                \item Identificar los controles de protección y
+                extinción de incendios.
+        \end{itemize}
+        \begin{itemize}
+                \item
+  Determinar la formación del personal en materia de seguridad
+                \item
+  Determinar las prácticas en materia de seguridad de la                información.
+        \end{itemize}
+\item
+ \textbf{Físico:} pretende identificar la infraestructura física.
+ El enfoque principal de este ámbito de análisis son los activos de la organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información.
+ Para lograr este objetivo se deben realizar las siguientes acciones:
+        \begin{itemize}
+                \item
+  Identificar las condiciones físicas y ubicación donde                 se encuentran los equipos computacionales.
+                \item
+  Identificar los servicios requeridos como electricidad,               comunicación, agua, entre otros.
+                \item
+  Identificar los controles de accesos físicos existentes.
+                \item
+  Identificar los controles de protección y             extinción de incendios.
+        \end{itemize}
 \end{enumerate}
 …
 \subsection{Evaluación de los riesgos de seguridad}
+Una vez que se obtiene  la lista de riesgos ésta se debe someter a evaluaciones
+para determinar, cuantificar y clasificar los elementos más importantes
+relacionados con  los objetivos relevantes para la organización.
+La evaluación de los
+riesgos debe conseguir  como resultado un conjunto de recomendaciones
+para la selección
+y corrección de los controles sobre los activos de manera que puedan
+ser protegidos adecuadamente.
+La evaluación de los riesgos de seguridad deben tener
+presente y definido el alcance que va a tener para que la
+política sea efectiva. La evaluación de los riesgos procura determinar:
+\begin{itemize}
+\item Amenazas al funcionamiento normal  de la organización.
+\item La medición del impacto de la concreción de un ataque.
+\item La posible frecuencia con la que podrían ocurrir ataques.
+\end{itemize}
+Los resultados de la evaluación deben guiar y determinar
+las acciones en el tratamiento de los riesgos. Esta evaluación
+puede que requiera ser realizada periódicamente cuando se tengan
+cambios significativos, nuevos requerimientos de los sistemas,
+situaciones de riesgos, amenazas, vulnerabilidades, o
+cualquier cambio que podría influir en el normal funcionamiento
+de los procesos de la organización.
+Las evaluaciones se pueden aplicar a toda la organización, a
+parte de ella,  a un sistema de información en particular o a componentes
+específicos del sistema. Los
+riesgos deben ser aceptados por toda los empleados de manera
+objetiva. De ser necesario hay que transferir los riesgos a
+terceros como proveedores o aseguradoras.
+Hay herramientas para la evaluación de vulnerabilidades que permiten conocer
+la situación real de un sistema y mejorar su seguridad, verificando que
+los mecanismos de seguridad funcionen correctamente. Con esta información
+obtenida es posible justificar la implantación de nuevas medidas de
+seguridad, así como priorizar las medidas a implementar en función de
+las vulnerabilidades detectadas.
+Dentro de las evaluaciones de la seguridad de los sistemas informáticos se
+realizan las pruebas de penetración internas y externas. Una prueba de
+penetración consta de las siguientes etapas:
+\begin{itemize}
+\item Reconocimiento del sistema para averiguar qué tipo de información
+podría obtener un atacante o usuario malicioso.
+\item Detección y verificación de las vulnerabilidades en los servidores
+y aplicaciones desarrolladas por la organización.
+\item Intento de utilizar las vulnerabilidades detectadas.
+\item Generación de informes, con el análisis de los resultados.
+Una vez que se obtiene la lista de riesgos ésta se debe someter a evaluaciones para determinar, cuantificar y clasificar los elementos más importantes relacionados con los objetivos relevantes para la organización.
+La evaluación de los riesgos debe conseguir como resultado un conjunto de recomendaciones para la selección y corrección de los controles sobre los activos de manera que puedan ser protegidos adecuadamente.
+La evaluación de los riesgos de seguridad deben tener presente y definido el alcance que va a tener para que la política sea efectiva.
+La evaluación de los riesgos procura determinar:
+\begin{itemize}
+\item
+ Amenazas al funcionamiento normal de la organización.
+\item
+ La medición del impacto de la concreción de un ataque.
+\item
+ La posible frecuencia con la que podrían ocurrir ataques.
+\end{itemize}
+Los resultados de la evaluación deben guiar y determinar las acciones en el tratamiento de los riesgos.
+Esta evaluación puede que requiera ser realizada periódicamente cuando se tengan cambios significativos, nuevos requerimientos de los sistemas, situaciones de riesgos, amenazas, vulnerabilidades, o cualquier cambio que podría influir en el normal funcionamiento de los procesos de la organización.
+Las evaluaciones se pueden aplicar a toda la organización, a parte de ella, a un sistema de información en particular o a componentes específicos del sistema.
+Los riesgos deben ser aceptados por toda los empleados de manera objetiva.
+De ser necesario hay que transferir los riesgos a terceros como proveedores o aseguradoras.
+Hay herramientas para la evaluación de vulnerabilidades que permiten conocer la situación real de un sistema y mejorar su seguridad, verificando que los mecanismos de seguridad funcionen correctamente.
+Con esta información obtenida es posible justificar la implantación de nuevas medidas de seguridad, así como priorizar las medidas a implementar en función de las vulnerabilidades detectadas.
+Dentro de las evaluaciones de la seguridad de los sistemas informáticos se realizan las pruebas de penetración internas y externas.
+Una prueba de penetración consta de las siguientes etapas:
+\begin{itemize}
+\item
+ Reconocimiento del sistema para averiguar qué tipo de información podría obtener un atacante o usuario malicioso.
+\item
+ Detección y verificación de las vulnerabilidades en los servidores y aplicaciones desarrolladas por la organización.
+\item
+ Intento de utilizar las vulnerabilidades detectadas.
+\item
+ Generación de informes, con el análisis de los resultados.
 \end{itemize}
 …
 \subsection{Selección de los controles}
+Luego de evaluar los riesgos de seguridad se decide el tratamiento
+que se debe seguir para evitar la aparición de fallas en los sistemas
+informáticos. Este procedimiento se conoce  como mitigación de riesgos,
+y se realiza seleccionando los controles que aseguren un nivel adecuado
+de seguridad para la organización. Se realiza una investigación
+sobre las posibles soluciones existentes para cada
+uno de los riesgos identificados en cada ámbito, por ejemplo, en el
+ámbito técnico se hace una investigación de las
+tecnologías  existentes que cubran los riesgos identificados (cortafuegos,
+redes privadas virtuales, protocolos de comunicación seguros,
+sistemas de detección de intrusos de red y estaciones de trabajo,
+sistemas de escaneo de puertos, entre otros).
+En el ámbito humano, una medida efectiva es el dictado de  charlas
+y de cursos de seguridad de tal manera que se puedan sensibilizar
+a las personas que interactúan con los sistemas informáticos.
+En el ámbito físico,  la instalación de circuitos cerrados de televisión,
+instalación de controles físicos,
+remodelación o reforzamientos del centro de datos.
+Es importante considerar el gasto en los controles de seguridad, ya que éste
+debe equilibrarse  con el daño probable que resulte de las debilidades en la
+seguridad de la información. Si el gasto en los controles
+es mucho mayor al posible daño que pudiera resultar, la institución
+puede evaluar asumir el riesgo de ocurrencias de
+incidentes de seguridad relacionados con debilidades en la seguridad
+de la información y decidir si implementa o no él o los
+controles de seguridad.\\
+Existen controles que se consideran principios orientativos y
+esenciales, que proporcionan un punto de partida adecuado para
+implementar la seguridad de la información
+como son las políticas de seguridad. En este sentido  se deben
+considerar las siguientes acciones:
+\begin{itemize}
+\item Aprobar, documentar, publicar y comunicar las políticas de seguridad
+a todos los miembros de la organización de forma adecuada, utilizando
+como herramientas  charlas y/o cursos en materia de seguridad.
+\item Asignar las responsabilidades de seguridad a miembros de la organización.
+\item Identificar los procedimientos de seguridad asociados a los activos
+de información.
+\item Definir y documentar los niveles de autorización.
+\item Registrar las incidencias y mejoras de seguridad.
+\item Desarrollar e implementar procedimientos de gestión de continuidad de
+actividades para disminuir la interrupción causada por los desastres
+y fallas de seguridad.
+\item Salvaguardar los registros de la organización. Se deben proteger los
+registros importantes de la organización frente a su pérdida, destrucción
+o falsificación.
+\item Sensibilización y formación de los miembros de la institución en materia
+de seguridad de la información
+Luego de evaluar los riesgos de seguridad se decide el tratamiento que se debe seguir para evitar la aparición de fallas en los sistemas informáticos.
+Este procedimiento se conoce como mitigación de riesgos, y se realiza seleccionando los controles que aseguren un nivel adecuado de seguridad para la organización.
+Se realiza una investigación sobre las posibles soluciones existentes para cada uno de los riesgos identificados en cada ámbito, por ejemplo, en el ámbito técnico se hace una investigación de las tecnologías existentes que cubran los riesgos identificados (cortafuegos, redes privadas virtuales, protocolos de comunicación seguros, sistemas de detección de intrusos de red y estaciones de trabajo, sistemas de escaneo de puertos, entre otros).
+En el ámbito humano, una medida efectiva es el dictado de charlas y de cursos de seguridad de tal manera que se puedan sensibilizar a las personas que interactúan con los sistemas informáticos.
+En el ámbito físico, la instalación de circuitos cerrados de televisión, instalación de controles físicos, remodelación o reforzamientos del centro de datos.
+Es importante considerar el gasto en los controles de seguridad, ya que éste debe equilibrarse con el daño probable que resulte de las debilidades en la seguridad de la información.
+Si el gasto en los controles es mucho mayor al posible daño que pudiera resultar, la institución puede evaluar asumir el riesgo de ocurrencias de incidentes de seguridad relacionados con debilidades en la seguridad de la información y decidir si implementa o no él o los controles de seguridad.\\
+Existen controles que se consideran principios orientativos y esenciales, que proporcionan un punto de partida adecuado para implementar la seguridad de la información como son las políticas de seguridad.
+En este sentido se deben considerar las siguientes acciones:
+\begin{itemize}
+\item
+ Aprobar, documentar, publicar y comunicar las políticas de seguridad a todos los miembros de la organización de forma adecuada, utilizando como herramientas charlas y/o cursos en materia de seguridad.
+\item
+ Asignar las responsabilidades de seguridad a miembros de la organización.
+\item
+ Identificar los procedimientos de seguridad asociados a los activos de información.
+\item
+ Definir y documentar los niveles de autorización.
+\item
+ Registrar las incidencias y mejoras de seguridad.
+\item
+ Desarrollar e implementar procedimientos de gestión de continuidad de actividades para disminuir la interrupción causada por los desastres y fallas de seguridad.
+\item
+ Salvaguardar los registros de la organización.
+ Se deben proteger los registros importantes de la organización frente a su pérdida, destrucción o falsificación.
+\item
+ Sensibilización y formación de los miembros de la institución en materia de seguridad de la información
 \end{itemize}
 …
 \subsection{Implementar los controles seleccionados}
+Es recomendable que los controles en el plano técnico se implementen
+en un ambiente de pruebas antes de colocarlos en el ambiente de producción para
+no generar inconvenientes en los servicios informáticos. Además,
+se deben configurar e implementar los controles de tal manera que existan varias
+líneas de seguridad independientes dentro del mismo sistema informático para
+dar cabida al concepto de seguridad en profundidad.
+Esto permite aumentar la conciencia y conocimiento a los miembros de la
+organización con el objetivo de que puedan reconocer los problemas e incidentes
+de seguridad de la información, y responder adecuadamente a las necesidades
+según su rol dentro de la organización.
+Es recomendable que los controles en el plano técnico se implementen en un ambiente de pruebas antes de colocarlos en el ambiente de producción para no generar inconvenientes en los servicios informáticos.
+Además, se deben configurar e implementar los controles de tal manera que existan varias líneas de seguridad independientes dentro del mismo sistema informático para dar cabida al concepto de seguridad en profundidad.
+Esto permite aumentar la conciencia y conocimiento a los miembros de la organización con el objetivo de que puedan reconocer los problemas e incidentes de seguridad de la información, y responder adecuadamente a las necesidades según su rol dentro de la organización.
 \subsection{Supervisar y mejorar los controles de seguridad}
+Los controles de seguridad deben ser revisados en períodos planificados o cuando
+ocurran cambios significativos que puedan afectar la eficiencia y eficacia
+de los mismos.
+Se recomienda la realización de pruebas y auditorías
+periódicas de seguridad. Esto constituye
+un elemento de gran importancia para poder comprobar
+la adecuada implantación de los
+controles de seguridad y medidas definidas en las
+políticas de seguridad de la información. Para ello se debe realizar:
+\begin{itemize}
+\item Un análisis de posibles vulnerabilidades de los sistemas informáticos,
+para localizar de forma automática las más conocidas.
+\item Pruebas de intrusión, en las que no sólo se detecten las vulnerabilidades,
+sino que se realicen ejecuciones controladas de las que se hayan identificado.
+\item Registros de incidentes de seguridad de la información.
+\end{itemize}
+Con esta información es posible justificar la implantación de nuevas
+medidas de seguridad, así como priorizar las medidas a ejecutar en
+función a las vulnerabilidades detectadas.
+Los controles de seguridad deben ser revisados en períodos planificados o cuando ocurran cambios significativos que puedan afectar la eficiencia y eficacia de los mismos.
+Se recomienda la realización de pruebas y auditorías periódicas de seguridad.
+Esto constituye un elemento de gran importancia para poder comprobar la adecuada implantación de los controles de seguridad y medidas definidas en las políticas de seguridad de la información.
+Para ello se debe realizar:
+\begin{itemize}
+\item
+ Un análisis de posibles vulnerabilidades de los sistemas informáticos, para localizar de forma automática las más conocidas.
+\item
+ Pruebas de intrusión, en las que no sólo se detecten las vulnerabilidades, sino que se realicen ejecuciones controladas de las que se hayan identificado.
+\item
+ Registros de incidentes de seguridad de la información.
+\end{itemize}
+Con esta información es posible justificar la implantación de nuevas medidas de seguridad, así como priorizar las medidas a ejecutar en función a las vulnerabilidades detectadas.

Note: See TracChangeset for help on using the changeset viewer.

Context Navigation

Changeset 969cb45 in libros for maquetacion/capitulo2/ProcesoPercepcionSeguridad.tex

Legend:

maquetacion/capitulo2/ProcesoPercepcionSeguridad.tex

Download in other formats: