Changeset 969cb45 in libros for maquetacion/capitulo2/ProcesoPercepcionSeguridad.tex
- Timestamp:
- Oct 16, 2014, 8:55:14 AM (10 years ago)
- Branches:
- revisionfinal
- Children:
- 22dcb0c
- Parents:
- 772329b
- git-author:
- Dhionel Díaz <ddiaz@…> (14/10/14 11:55:35)
- git-committer:
- aaraujo <aaraujo@…> (16/10/14 08:55:14)
- File:
-
- 1 edited
Legend:
- Unmodified
- Added
- Removed
-
maquetacion/capitulo2/ProcesoPercepcionSeguridad.tex
- Property mode changed from 100755 to 100644
rfdbaf90 r969cb45 1 1 \section{Procesos para aumentar la adopción de seguridad de la información} 2 2 3 Es esencial que las organizaciones identifiquen claramente sus requisitos de 4 seguridad. La figura \ref{ProcesoPercepcionSeguridad} muestra la relación entre 5 los procesos a incluir para lograr esta acción de manera de alcanzar 6 el objetivo de cumplir con las metas referentes a la seguridad 7 de la información. Entre los 8 procesos se encuentran: la identificación y evaluación 9 de los riesgos, la revisión, 10 el monitoreo y la selección e implementación de controles.\\ 3 Es esencial que las organizaciones identifiquen claramente sus requisitos de seguridad. 4 La figura \ref{ProcesoPercepcionSeguridad} muestra la relación entre los procesos a incluir para lograr esta acción de manera de alcanzar el objetivo de cumplir con las metas referentes a la seguridad de la información. 5 Entre los procesos se encuentran: la identificación y evaluación de los riesgos, la revisión, el monitoreo y la selección e implementación de controles.\\ 11 6 12 7 \begin{figure}[ht!] 13 \begin{center}14 \includegraphics[scale=1] 15 {imagenes/procesoPercepcionSeguridad.jpeg}16 \end{center} 17 \caption{Proceso de percepción de la Seguridad.\label{ProcesoPercepcionSeguridad}}8 \begin{center} 9 \includegraphics[scale=1] {imagenes/procesoPercepcionSeguridad.jpeg} 10 \end{center} 11 \caption{Proceso de percepción de la Seguridad. 12 \label{ProcesoPercepcionSeguridad}} 18 13 \end{figure} 19 14 20 15 \subsection{Identificación de los riesgos} 21 16 22 Es una medida que busca encontrar vulnerabilidades en los activos 23 que puedan ser explotados por terceros. Para eso es necesaria 24 la identificación de los riesgos que puedan existir en la organización 25 y es importante 26 considerar los distintos ámbitos de la implementación de la seguridad 27 alrededor de donde se encuentra la información. 17 Es una medida que busca encontrar vulnerabilidades en los activos que puedan ser explotados por terceros. 18 Para eso es necesaria la identificación de los riesgos que puedan existir en la organización y es importante considerar los distintos ámbitos de la implementación de la seguridad alrededor de donde se encuentra la información. 28 19 29 20 Entre los aspectos a considerar se encuentran: … … 31 22 \begin{enumerate} 32 23 33 \item \textbf{Técnico:} se refiere al conocimiento que se tiene de 34 la configuración de los componentes de toda la infraestructura tecnológica de 35 respaldo, comunicación, procesamiento, tránsito y almacenamiento de la 36 información. Los activos en este ámbito son aplicaciones, equipos 37 informáticos y de comunicación, datos, documentación, manuales, consumibles, 38 servicios ofrecidos a usuarios internos y externos. Este aspecto requiere la 39 realización de un inventario de los activos antes mencionados que permite: 40 41 42 \begin{itemize} 43 \item Contar con un registro actualizado de los 44 activos de información. 45 \item Facilitar la detección de vulnerabilidades. 46 \item Conocer la sensibilidad de la información que se manipula, 47 clasificándola en función al grado de importancia para 48 la institución. 49 \item Identificar los posibles objetivos de los ataques o 50 de los intentos de intrusión. 51 \item Recuperar datos importantes de forma organizada y eficiente. 52 \end{itemize} 53 54 De la misma forma se hace necesario identificar los puntos de accesos a la 55 red y los tipos de conexiones utilizadas. 56 57 58 \item \textbf{Humano}: referido a las maneras en que las 59 personas se relacionan con los activos de información, como 60 también de las prácticas que se tienen en 61 materia de seguridad de la información. De esta manera es posible detectar cuáles 62 vulnerabilidades provienen de acciones humanas para dirigir 63 recomendaciones y garantizar la continuidad de las actividades 64 de la organización. Para su identificación se debe: 24 \item 25 \textbf{Técnico:} se refiere al conocimiento que se tiene de la configuración de los componentes de toda la infraestructura tecnológica de respaldo, comunicación, procesamiento, tránsito y almacenamiento de la información. 26 Los activos en este ámbito son aplicaciones, equipos informáticos y de comunicación, datos, documentación, manuales, consumibles, servicios ofrecidos a usuarios internos y externos. 27 Este aspecto requiere la realización de un inventario de los activos antes mencionados que permite: 28 29 30 \begin{itemize} 31 \item 32 Contar con un registro actualizado de los activos de información. 33 \item 34 Facilitar la detección de vulnerabilidades. 35 \item 36 Conocer la sensibilidad de la información que se manipula, clasificándola en función al grado de importancia para la institución. 37 \item 38 Identificar los posibles objetivos de los ataques o de los intentos de intrusión. 39 \item 40 Recuperar datos importantes de forma organizada y eficiente. 41 \end{itemize} 42 43 De la misma forma se hace necesario identificar los puntos de accesos a la red y los tipos de conexiones utilizadas. 44 45 46 \item 47 \textbf{Humano}: referido a las maneras en que las personas se relacionan con los activos de información, como también de las prácticas que se tienen en materia de seguridad de la información. 48 De esta manera es posible detectar cuáles vulnerabilidades provienen de acciones humanas para dirigir recomendaciones y garantizar la continuidad de las actividades de la organización. 49 Para su identificación se debe: 65 50 66 51 \begin{comment} … … 75 60 \end{comment} 76 61 77 \begin{itemize} 78 \item Determinar la formación del personal en materia de seguridad 79 \item Determinar las prácticas en materia de seguridad de la 80 información. 81 \end{itemize} 82 83 \item \textbf{Físico:} pretende 84 identificar la infraestructura física. El enfoque principal 85 de este ámbito de análisis 86 son los activos de la organización, pues son los que proveen 87 el soporte físico 88 al entorno en que está siendo manipulada la información. 89 Para lograr este objetivo se deben 90 realizar las siguientes acciones: 91 92 \begin{itemize} 93 \item Identificar las condiciones físicas y ubicación donde 94 se encuentran los equipos computacionales. 95 \item Identificar los servicios requeridos como electricidad, 96 comunicación, agua, entre otros. 97 \item Identificar los controles de accesos físicos existentes. 98 \item Identificar los controles de protección y 99 extinción de incendios. 100 \end{itemize} 62 \begin{itemize} 63 \item 64 Determinar la formación del personal en materia de seguridad 65 \item 66 Determinar las prácticas en materia de seguridad de la información. 67 \end{itemize} 68 69 \item 70 \textbf{Físico:} pretende identificar la infraestructura física. 71 El enfoque principal de este ámbito de análisis son los activos de la organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información. 72 Para lograr este objetivo se deben realizar las siguientes acciones: 73 74 \begin{itemize} 75 \item 76 Identificar las condiciones físicas y ubicación donde se encuentran los equipos computacionales. 77 \item 78 Identificar los servicios requeridos como electricidad, comunicación, agua, entre otros. 79 \item 80 Identificar los controles de accesos físicos existentes. 81 \item 82 Identificar los controles de protección y extinción de incendios. 83 \end{itemize} 101 84 102 85 \end{enumerate} … … 104 87 \subsection{Evaluación de los riesgos de seguridad} 105 88 106 Una vez que se obtiene la lista de riesgos ésta se debe someter a evaluaciones 107 para determinar, cuantificar y clasificar los elementos más importantes 108 relacionados con los objetivos relevantes para la organización. 109 110 La evaluación de los 111 riesgos debe conseguir como resultado un conjunto de recomendaciones 112 para la selección 113 y corrección de los controles sobre los activos de manera que puedan 114 ser protegidos adecuadamente. 115 116 La evaluación de los riesgos de seguridad deben tener 117 presente y definido el alcance que va a tener para que la 118 política sea efectiva. La evaluación de los riesgos procura determinar: 119 120 \begin{itemize} 121 122 \item Amenazas al funcionamiento normal de la organización. 123 \item La medición del impacto de la concreción de un ataque. 124 \item La posible frecuencia con la que podrían ocurrir ataques. 125 \end{itemize} 126 127 Los resultados de la evaluación deben guiar y determinar 128 las acciones en el tratamiento de los riesgos. Esta evaluación 129 puede que requiera ser realizada periódicamente cuando se tengan 130 cambios significativos, nuevos requerimientos de los sistemas, 131 situaciones de riesgos, amenazas, vulnerabilidades, o 132 cualquier cambio que podría influir en el normal funcionamiento 133 de los procesos de la organización. 134 135 Las evaluaciones se pueden aplicar a toda la organización, a 136 parte de ella, a un sistema de información en particular o a componentes 137 específicos del sistema. Los 138 riesgos deben ser aceptados por toda los empleados de manera 139 objetiva. De ser necesario hay que transferir los riesgos a 140 terceros como proveedores o aseguradoras. 141 142 Hay herramientas para la evaluación de vulnerabilidades que permiten conocer 143 la situación real de un sistema y mejorar su seguridad, verificando que 144 los mecanismos de seguridad funcionen correctamente. Con esta información 145 obtenida es posible justificar la implantación de nuevas medidas de 146 seguridad, así como priorizar las medidas a implementar en función de 147 las vulnerabilidades detectadas. 148 149 Dentro de las evaluaciones de la seguridad de los sistemas informáticos se 150 realizan las pruebas de penetración internas y externas. Una prueba de 151 penetración consta de las siguientes etapas: 152 153 \begin{itemize} 154 \item Reconocimiento del sistema para averiguar qué tipo de información 155 podría obtener un atacante o usuario malicioso. 156 157 \item Detección y verificación de las vulnerabilidades en los servidores 158 y aplicaciones desarrolladas por la organización. 159 160 \item Intento de utilizar las vulnerabilidades detectadas. 161 162 \item Generación de informes, con el análisis de los resultados. 89 Una vez que se obtiene la lista de riesgos ésta se debe someter a evaluaciones para determinar, cuantificar y clasificar los elementos más importantes relacionados con los objetivos relevantes para la organización. 90 91 La evaluación de los riesgos debe conseguir como resultado un conjunto de recomendaciones para la selección y corrección de los controles sobre los activos de manera que puedan ser protegidos adecuadamente. 92 93 La evaluación de los riesgos de seguridad deben tener presente y definido el alcance que va a tener para que la política sea efectiva. 94 La evaluación de los riesgos procura determinar: 95 96 \begin{itemize} 97 98 \item 99 Amenazas al funcionamiento normal de la organización. 100 \item 101 La medición del impacto de la concreción de un ataque. 102 \item 103 La posible frecuencia con la que podrían ocurrir ataques. 104 \end{itemize} 105 106 Los resultados de la evaluación deben guiar y determinar las acciones en el tratamiento de los riesgos. 107 Esta evaluación puede que requiera ser realizada periódicamente cuando se tengan cambios significativos, nuevos requerimientos de los sistemas, situaciones de riesgos, amenazas, vulnerabilidades, o cualquier cambio que podría influir en el normal funcionamiento de los procesos de la organización. 108 109 Las evaluaciones se pueden aplicar a toda la organización, a parte de ella, a un sistema de información en particular o a componentes específicos del sistema. 110 Los riesgos deben ser aceptados por toda los empleados de manera objetiva. 111 De ser necesario hay que transferir los riesgos a terceros como proveedores o aseguradoras. 112 113 Hay herramientas para la evaluación de vulnerabilidades que permiten conocer la situación real de un sistema y mejorar su seguridad, verificando que los mecanismos de seguridad funcionen correctamente. 114 Con esta información obtenida es posible justificar la implantación de nuevas medidas de seguridad, así como priorizar las medidas a implementar en función de las vulnerabilidades detectadas. 115 116 Dentro de las evaluaciones de la seguridad de los sistemas informáticos se realizan las pruebas de penetración internas y externas. 117 Una prueba de penetración consta de las siguientes etapas: 118 119 \begin{itemize} 120 \item 121 Reconocimiento del sistema para averiguar qué tipo de información podría obtener un atacante o usuario malicioso. 122 123 \item 124 Detección y verificación de las vulnerabilidades en los servidores y aplicaciones desarrolladas por la organización. 125 126 \item 127 Intento de utilizar las vulnerabilidades detectadas. 128 129 \item 130 Generación de informes, con el análisis de los resultados. 163 131 \end{itemize} 164 132 … … 167 135 \subsection{Selección de los controles} 168 136 169 Luego de evaluar los riesgos de seguridad se decide el tratamiento 170 que se debe seguir para evitar la aparición de fallas en los sistemas 171 informáticos. Este procedimiento se conoce como mitigación de riesgos, 172 y se realiza seleccionando los controles que aseguren un nivel adecuado 173 de seguridad para la organización. Se realiza una investigación 174 sobre las posibles soluciones existentes para cada 175 uno de los riesgos identificados en cada ámbito, por ejemplo, en el 176 ámbito técnico se hace una investigación de las 177 tecnologías existentes que cubran los riesgos identificados (cortafuegos, 178 redes privadas virtuales, protocolos de comunicación seguros, 179 sistemas de detección de intrusos de red y estaciones de trabajo, 180 sistemas de escaneo de puertos, entre otros). 181 182 En el ámbito humano, una medida efectiva es el dictado de charlas 183 y de cursos de seguridad de tal manera que se puedan sensibilizar 184 a las personas que interactúan con los sistemas informáticos. 185 186 En el ámbito físico, la instalación de circuitos cerrados de televisión, 187 instalación de controles físicos, 188 remodelación o reforzamientos del centro de datos. 189 190 Es importante considerar el gasto en los controles de seguridad, ya que éste 191 debe equilibrarse con el daño probable que resulte de las debilidades en la 192 seguridad de la información. Si el gasto en los controles 193 es mucho mayor al posible daño que pudiera resultar, la institución 194 puede evaluar asumir el riesgo de ocurrencias de 195 incidentes de seguridad relacionados con debilidades en la seguridad 196 de la información y decidir si implementa o no él o los 197 controles de seguridad.\\ 198 199 Existen controles que se consideran principios orientativos y 200 esenciales, que proporcionan un punto de partida adecuado para 201 implementar la seguridad de la información 202 como son las políticas de seguridad. En este sentido se deben 203 considerar las siguientes acciones: 204 205 206 \begin{itemize} 207 208 \item Aprobar, documentar, publicar y comunicar las políticas de seguridad 209 a todos los miembros de la organización de forma adecuada, utilizando 210 como herramientas charlas y/o cursos en materia de seguridad. 211 212 \item Asignar las responsabilidades de seguridad a miembros de la organización. 213 214 \item Identificar los procedimientos de seguridad asociados a los activos 215 de información. 216 217 \item Definir y documentar los niveles de autorización. 218 219 \item Registrar las incidencias y mejoras de seguridad. 220 221 \item Desarrollar e implementar procedimientos de gestión de continuidad de 222 actividades para disminuir la interrupción causada por los desastres 223 y fallas de seguridad. 224 225 \item Salvaguardar los registros de la organización. Se deben proteger los 226 registros importantes de la organización frente a su pérdida, destrucción 227 o falsificación. 228 229 \item Sensibilización y formación de los miembros de la institución en materia 230 de seguridad de la información 137 Luego de evaluar los riesgos de seguridad se decide el tratamiento que se debe seguir para evitar la aparición de fallas en los sistemas informáticos. 138 Este procedimiento se conoce como mitigación de riesgos, y se realiza seleccionando los controles que aseguren un nivel adecuado de seguridad para la organización. 139 Se realiza una investigación sobre las posibles soluciones existentes para cada uno de los riesgos identificados en cada ámbito, por ejemplo, en el ámbito técnico se hace una investigación de las tecnologías existentes que cubran los riesgos identificados (cortafuegos, redes privadas virtuales, protocolos de comunicación seguros, sistemas de detección de intrusos de red y estaciones de trabajo, sistemas de escaneo de puertos, entre otros). 140 141 En el ámbito humano, una medida efectiva es el dictado de charlas y de cursos de seguridad de tal manera que se puedan sensibilizar a las personas que interactúan con los sistemas informáticos. 142 143 En el ámbito físico, la instalación de circuitos cerrados de televisión, instalación de controles físicos, remodelación o reforzamientos del centro de datos. 144 145 Es importante considerar el gasto en los controles de seguridad, ya que éste debe equilibrarse con el daño probable que resulte de las debilidades en la seguridad de la información. 146 Si el gasto en los controles es mucho mayor al posible daño que pudiera resultar, la institución puede evaluar asumir el riesgo de ocurrencias de incidentes de seguridad relacionados con debilidades en la seguridad de la información y decidir si implementa o no él o los controles de seguridad.\\ 147 148 Existen controles que se consideran principios orientativos y esenciales, que proporcionan un punto de partida adecuado para implementar la seguridad de la información como son las políticas de seguridad. 149 En este sentido se deben considerar las siguientes acciones: 150 151 152 \begin{itemize} 153 154 \item 155 Aprobar, documentar, publicar y comunicar las políticas de seguridad a todos los miembros de la organización de forma adecuada, utilizando como herramientas charlas y/o cursos en materia de seguridad. 156 157 \item 158 Asignar las responsabilidades de seguridad a miembros de la organización. 159 160 \item 161 Identificar los procedimientos de seguridad asociados a los activos de información. 162 163 \item 164 Definir y documentar los niveles de autorización. 165 166 \item 167 Registrar las incidencias y mejoras de seguridad. 168 169 \item 170 Desarrollar e implementar procedimientos de gestión de continuidad de actividades para disminuir la interrupción causada por los desastres y fallas de seguridad. 171 172 \item 173 Salvaguardar los registros de la organización. 174 Se deben proteger los registros importantes de la organización frente a su pérdida, destrucción o falsificación. 175 176 \item 177 Sensibilización y formación de los miembros de la institución en materia de seguridad de la información 231 178 232 179 \end{itemize} … … 234 181 \subsection{Implementar los controles seleccionados} 235 182 236 Es recomendable que los controles en el plano técnico se implementen 237 en un ambiente de pruebas antes de colocarlos en el ambiente de producción para 238 no generar inconvenientes en los servicios informáticos. Además, 239 se deben configurar e implementar los controles de tal manera que existan varias 240 líneas de seguridad independientes dentro del mismo sistema informático para 241 dar cabida al concepto de seguridad en profundidad. 242 243 Esto permite aumentar la conciencia y conocimiento a los miembros de la 244 organización con el objetivo de que puedan reconocer los problemas e incidentes 245 de seguridad de la información, y responder adecuadamente a las necesidades 246 según su rol dentro de la organización. 183 Es recomendable que los controles en el plano técnico se implementen en un ambiente de pruebas antes de colocarlos en el ambiente de producción para no generar inconvenientes en los servicios informáticos. 184 Además, se deben configurar e implementar los controles de tal manera que existan varias líneas de seguridad independientes dentro del mismo sistema informático para dar cabida al concepto de seguridad en profundidad. 185 186 Esto permite aumentar la conciencia y conocimiento a los miembros de la organización con el objetivo de que puedan reconocer los problemas e incidentes de seguridad de la información, y responder adecuadamente a las necesidades según su rol dentro de la organización. 247 187 248 188 \subsection{Supervisar y mejorar los controles de seguridad} 249 189 250 Los controles de seguridad deben ser revisados en períodos planificados o cuando 251 ocurran cambios significativos que puedan afectar la eficiencia y eficacia 252 de los mismos. 253 254 Se recomienda la realización de pruebas y auditorías 255 periódicas de seguridad. Esto constituye 256 un elemento de gran importancia para poder comprobar 257 la adecuada implantación de los 258 controles de seguridad y medidas definidas en las 259 políticas de seguridad de la información. Para ello se debe realizar: 260 261 \begin{itemize} 262 263 \item Un análisis de posibles vulnerabilidades de los sistemas informáticos, 264 para localizar de forma automática las más conocidas. 265 266 \item Pruebas de intrusión, en las que no sólo se detecten las vulnerabilidades, 267 sino que se realicen ejecuciones controladas de las que se hayan identificado. 268 269 \item Registros de incidentes de seguridad de la información. 270 \end{itemize} 271 272 Con esta información es posible justificar la implantación de nuevas 273 medidas de seguridad, así como priorizar las medidas a ejecutar en 274 función a las vulnerabilidades detectadas. 275 276 190 Los controles de seguridad deben ser revisados en períodos planificados o cuando ocurran cambios significativos que puedan afectar la eficiencia y eficacia de los mismos. 191 192 Se recomienda la realización de pruebas y auditorías periódicas de seguridad. 193 Esto constituye un elemento de gran importancia para poder comprobar la adecuada implantación de los controles de seguridad y medidas definidas en las políticas de seguridad de la información. 194 Para ello se debe realizar: 195 196 \begin{itemize} 197 198 \item 199 Un análisis de posibles vulnerabilidades de los sistemas informáticos, para localizar de forma automática las más conocidas. 200 201 \item 202 Pruebas de intrusión, en las que no sólo se detecten las vulnerabilidades, sino que se realicen ejecuciones controladas de las que se hayan identificado. 203 204 \item 205 Registros de incidentes de seguridad de la información. 206 \end{itemize} 207 208 Con esta información es posible justificar la implantación de nuevas medidas de seguridad, así como priorizar las medidas a ejecutar en función a las vulnerabilidades detectadas. 209 210
Note: See TracChangeset
for help on using the changeset viewer.