Planes de seguridad de la

información.

Planes de continuidad del

negocio

Contenido

• Introducción

• PSI y PCN

• Finalidad del PSI y PCN

• Alcance del PSI y PCN

• Importancia del PSI y PCN

• Procedimientos utilizados

¿Qué es PSI?

• Un Plan de Seguridad de la información

incluye todos los procesos/servicios

involucrados en la administración de la

seguridad de la Información.

¿Qué es PSI?

• Un PSI efectivo considera los

impulsadores de seguridad de

información de una organización para

determinar el alcance y enfoque de

los procesos involucrados en la

administración de la seguridad.

Finalidad del PSI

• La finalidad del PSI es proteger la

información y los activos de la

organización, tratando de conseguir

confidencialidad, integridad y

disponibilidad de los datos; y las

responsabilidades que debe asumir

cada uno de los empleados mientras

permanezcan en la organización.

Alcance de PSI

El alcance del desarrollo de un PSI es:

• Evaluación de riesgos de seguridad a

los que está expuesta la información.

• Selección de controles y objetivos de

control para reducir, eliminar o evitar los

riesgos identificados, indicando las

razones de su inclusión o exclusión.

• Definición de políticas de seguridad.

Importancia del PSI

• Permite desarrollar normas y

procedimientos que pautan las

actividades relacionadas con la

seguridad informática y la tecnología

de información.

• Permite analizar la necesidad de

cambios o adaptaciones para cubrir

los riesgos existentes.

Importancia del PSI

• Hace posible la concienciación de los

miembros de la empresa acerca de la

importancia y sensibilidad de la

información y servicios críticos.

• Permite conseguir el compromiso de la

institución, agudeza técnica para

establecer fallas, deficiencias, y

constancia para renovar y actualizar

las políticas en función de un ambiente

dinámico

PCN

• PCN significa “Plan de Continuidad del

Negocio”, es un proceso diseñado

para reducir el riesgo de la institución

ante una interrupción inesperada de

sus funciones / operaciones críticas,

independiente de si estas son

manuales o automatizadas, las cuales

son necesarias para la supervivencia

de la organización.

Finalidad del PCN

• La finalidad del PCN es contar con una

estrategia planificada, una serie de

procedimientos que faciliten u orienten

a tener una solución alternativa que

permita restituir rápidamente los

servicios de la organización ante la

eventualidad de paralización, ya sea

de forma parcial o total.

Alcance del PCN

El alcance del desarrollo del PCN es:

• Análisis de Impacto

• Plan de Contingencia

• Plan de Recuperación de desastres

• Es la identificación de los diversoseventos que podrían impactar lacontinuidad de las operaciones y laorganización.

• Previamente se determina laclasificación de seguridad de activosasociados a la tecnología mediante elanálisis de riesgos.

Análisis de impacto

• Del análisis de impacto y riesgos, comomedida preventiva se genera el Plan deContingencias, que es un instrumentosistematizado, que facilita y orienta laconsecución de una solución alternativaque permita restituir rápidamente losservicios de la organización.

Plan de contingencia

• Este plan tiene como objetivo laevaluación de la capacidad de laempresa para restaurar los serviciosal nivel acordado de calidad, y de otraparte definir el proceso paradesarrollar, comunicar y mantenerplanes documentados y probados parala continuidad del sistema deinformación y de las operaciones delnegocio.

Plan de recuperación de desastres

• Garantiza la continuidad del nivelmínimo de servicios necesarios paralas operaciones críticas.

• Permite que la institución semantenga funcionando en caso deuna interrupción y que sobreviva auna interrupción desastrosa de sussistemas de información.

Importancia del PCN

• Permite recuperar la normalidad delas actividades de la empresarápidamente.

• Identifica las funciones de negocio ylos procesos esenciales para lacontinua y eficiente operación de laempresa.

Importancia del PCN

Los datos deben protegerse aplicando:

Seguridad Lógica

• Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite.

• Protocolos de autenticación entre cliente y servidor.

• Aplicación de normativas.

Seguridad Lógica

Los datos deben protegerse aplicando:

Seguridad Física

• Procedimientos de protección física del sistema: acceso personas, incendio, agua, terremotos, etc.

• Medidas de prevención de riesgos tanto físicos como lógicos a través de una política de seguridad, planes de contingencia, aplicación de normativas, etc.

Seguridad Física

• Anclajes a mesas de trabajo.

• Cerraduras.

• Tarjetas con alarma.

• Etiquetas con adhesivos especiales.

• Bloqueo de disquetera.

• Protectores de teclado.

• Tarjeta de control de acceso al hardware.

• Suministro ininterrumpido de corriente.

• Toma de tierra.

Elementos a tener en cuenta. Entorno PC

Es el proceso de identificación yevaluación del riesgo a sufrir un ataque yperder datos, tiempo y horas de trabajo,comparándolo con el costo quesignificaría la prevención de este suceso.

Su análisis no sólo nos lleva a establecerun nivel adecuado de seguridad, sinoque permite conocer mejor el sistemaque vamos a proteger.

Análisis de riesgo. Plan estratégico

• Determinación precisa de los recursossensibles de la organización.

• Identificación de las amenazas del sistema.

• Identificación de las vulnerabilidadesespecíficas del sistema.

• Identificación de posibles pérdidas.

• Identificación de la probabilidad de ocurrenciade una pérdida.

• Derivación de contramedidas efectivas.

• Identificación de herramientas de seguridad.

• Implementación de un sistema de seguridadeficiente en costes y tiempo.

Información del análisis de riesgo

¿ B P L ?

• B: Carga o gasto que significa la prevención de

una pérdida específica por vulnerabilidad.

• P: Probabilidad de ocurrencia de esa pérdida

específica.

• L: Impacto total de dicha pérdida específica.

Ecuación básica del análisis de riesgo

• No obstante, siempre puede ocurrir unadesgracia que esté fuera de todo cálculo. Porejemplo, el ataque a las torres gemelas y susposteriores consecuencias informáticas noestaba contemplado en ningún plancontingencia....

Si B P * L

Hay que implementar una medida de

prevención.

Si B P * L

No es necesaria una medida de prevención.

¿Cuándo y cuánto invertir en SI?

Efectividad del coste de la medida

Las medidas y herramientas de control han de tener menos coste que el valor de las posibles pérdidas y el impacto de éstas si se produce el riesgo temido.

Ley básica: el costo del control ha de ser menor que el activo que protege. Algo totalmente lógico y que tanto los directivos como los responsables de seguridad de la empresa deberán estimar de forma adecuada a su realidad.

El factor L en la ecuación de riesgo

Factor L (en B P L)

El factor de impacto total L es difícil de evaluar. Incluye daños a la información, a los equipos, pérdidas por reparación, por volver a levantar el sistema, pérdidas por horas de trabajo, etc.

Siempre habrá una parte subjetiva.

La pérdida de datos puede llevar a una pérdida de oportunidades por el llamado efecto cascada.

En la organización debe existir una comisión especializada interna o externa que sea capaz de evaluar todas las posibles pérdidas y cuantificarlas.

El factor P en la ecuación de riesgo

Factor P (en B P L)

El factor P está relacionado con la determinación del impacto total L y depende del entorno en el que esté la posible pérdida. Como este valor es difícil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.

El factor B en la ecuación de riesgo

Factor B (en B P L)

Indica qué se requiere para prevenir una pérdida. Es la cantidad de dinero que vamos a disponer para mitigar la posible pérdida.

Ejemplo: la carga de prevención para que un sistema informático minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalación de software y hardware adecuado, un cortafuegos, un sistema de detección de intrusos, una configuración de red segura, una política de seguimiento de accesos y de passwords, personal técnico cualificado, etc. Todo ello importa una cantidad de dinero específica.

Cuantificación de la protección

¿ B P L ? ¿Cuánta protección es necesaria?En nuestro ejemplo: qué configuración de red usar,

en qué entorno trabajar, qué tipo de cortafuegos, etc. Eso dependerá del novel de seguridad que nuestra empresa desee o crea oportuno.

¿De qué forma nos protegeremos?Una casa puede protegerse con puertas, cerraduras,

barras en ventanas, sistemas de alarmas, etc.En un sistema informático podemos aplicar medidas

físicas, políticas de seguridad de accesos, planes de contingencia y recuperación, cortafuegos, cifrado de la información, firmas, pasarelas seguras, etc.

Pasos en un análisis de riesgos

1. Identificación costo

posibles pérdidas (L)

Identificar amenazas

2. Determinar susceptibilidad.

La probabilidad de pérdida (P)

3. Identificar posibles

acciones (gasto) y sus

implicaciones. (B)

Seleccionar acciones a

implementar.

¿ B PL ?

Se

cierra

el

ciclo

• Políticas administrativas

– Procedimientos administrativos.

• Políticas de control de acceso

– Privilegios de acceso del usuario o

programa.

• Políticas de flujo de información

– Normas bajo la cuales se comunican los

sujetos dentro del sistema.

Algunas políticas de seguridad

• Políticas administrativas

– Se establecen aquellos procedimientos

de carácter administrativo en la

organización como por ejemplo en el

desarrollo de programas: modularidad en

aplicaciones, revisión sistemática, etc.

– Se establecen responsabilidades

compartidas por todos los usuarios, cada

uno en su nivel.

Aspectos administrativos

• Políticas de control de acceso

– Política de menor privilegio• Acceso estricto a objetos determinados, con

mínimos privilegios para los usuarios.

– Política de compartición• Acceso de máximo privilegio en el que cada

usuario puede acceder a todos los objetos.

– Granularidad• Número de objetos accesibles. Se habla

entonces de granularidad gruesa y fina.

Control de accesos

• Políticas de control de flujo

– La información a la que se accede, se envía y recibe por:• ¿Canales claros o canales ocultos? ¿Seguros o no?

– ¿Qué es lo que hay que potenciar?• ¿La confidencialidad o la integridad?

• ¿La disponibilidad? ... ¿El no repudio?

• Según cada organización y su entorno de trabajo y servicios ofrecidos, habrá diferencias. En algunos sistemas primarán unos más que otros, en función de cuán secreta es la información que procesan.

Control de flujo

• Modelo de Bell LaPadula (BLP)– Rígido. Confidencialidad y con autoridad.

• Modelo de Take-Grant (TG)– Derechos especiales: tomar y otorgar.

• Modelo de Clark-Wilson (CW)– Orientación comercial: integridad.

• Modelo de Goguen-Meseguer (GM)– No interferencia entre usuarios.

• Modelo de Matriz de Accesos (MA)– Estados y transiciones entre estados

• Tipo Graham-Dennig (GD)• Tipo Harrison-Ruzzo-Ullman (HRU)

Modelos de seguridad

• La escritura hacia abajo está

prohibida.

• La lectura hacia arriba está prohibida.

• Es el llamado principio de tranquilidad.

No lectura hacia arriba Secreto máximo

usuario dado de alta

con un nivel secreto Secreto

No escritura hacia abajo No clasificado

Modelo de Bell LaPadula BLP