Seguridad de la información.


Seguridad de la información:

La seguridad de la información abarca muchas cosas, pero todas estas giran entorno a la información. Por ejemplo la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.

  • Estos sistemas de información están sujetos a riesgos y amenazas que pueden generarse desde dentro de la propia organización o desde el exterior. Existen riesgos físicos y lógicos.

Riesgos físicos: Terremotos, inundaciones, rayos, robo de elementos de la infraestructura física. etc.

Riesgos lógicos: Hackers, robos de identidad, spam, virus, robos de información y espionaje industrial.etc. Los cuales pueden acabar con la confianza de nuestros clientes, y la imagen en el mercado.

El análisis de riesgo aporta objetividad a los criterios en los que se apoya la seguridad ya que se centra en proteger los activos mas críticos

“Si un activo esta expuesto a una amenaza pero no tiene una vulnerabilidad que le permita manifestarse, el riesgo es menor que si existe la vulnerabilidad”

Conceptos Básicos:

Riesgo: se refiere a la estimación del grado de exposición de un activo, a que una amenaza se materialice sobre el, causando daños a la organización. Indica lo que le podría pasar a los activos si no se protegen debidamente.

Amenazas: Eventos que pueden desencadenar un incidente produciendo daños materiales o inmateriales en los activos.

Vulnerabilidades: Son las debilidades que tienen los activos o grupo de activos que pueden ser aprovechadas por una amenaza.

Impacto: Es la consecuencia de la materialización de una amenaza sobre un activo.

Riesgo intrínseco: Es la posibilidad de que se produzca un impacto determinado en un activo o grupo de activos.

Salvaguarda: Son las practicas, procedimientos o mecanismos que reducen el riesgo. Estas pueden actuar disminuyendo el impacto o la probabilidad.

Riesgo residual: Riesgo que queda tras la aplicación de salvaguardas.


  • Que es lo que aporta a mi negocio la implementación y posterior certificación de un sistema de gestión de seguridad de la información?

Beneficios:

  • Reducción de riesgos debido al establecimiento y seguimiento sobre ellos. Con ellos lograremos disminuir el riego de amenazas hasta un nivel relativamente bajo, con esto si se produce una incidencia los daños de minimizan y la continuidad del negocio esta asegurada.
  • Ahorro de costes, se eliminan las inversiones innecesarias en caso de tener algún ataque que genere alguna especie de gasto.
  • Obviamente mas seguridad.
  • Cumplimiento de la legislación vigente. Protege a la empresa de aspectos legales que seguramente no se habían tenido en cuenta anteriormente.
  • Mejora la competitividad en el mercado, incrementando la credibilidad y el prestigio, mejora la imagen de nuestra empresa.

Tipos de delitos informáticos:


Contra la intimidad (Venta de datos): En este se produce un tratamiento ilegal de los datos de carácter personal.Ejemplo: Venta de datos a terceros sin autorización previa  del dueño de esos datos.

Relativos al contenido (Pornografía infantil): Hace alusión a la difusión en la red de contenidos ilegales

Económicos: Acceso no autorizado a sistemas de informáticos, para llevar a cabo fraude sabotaje o falsificación. Ejemplo: Suplantación de entidades bancarias.

Contra la propiedad intelectual: Vinculados con la protección de programas de ordenador, bases de datos y derechos de autor. Ejemplo: Piratería informática.


Normas para la seguridad de la información:

ISO IEC/27001: Contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información. Recoge los componentes del sistema, los documentos mínimos que deben formar parte de el, y los registros que permitirán evidenciar el buen funcionamiento del sistema. Especifica requisitos para implementar controles y medidas de seguridad adaptados a las necesidades de cada organización.

ISO IEC/27002: Es una guía de buenas practicas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de información de una empresa.



Que son los activos:


  • Tipos de Activos:

Servicios: Tipos de servicios que se ofrecen al exterior o que se ofrecen al interior, como podría ser el soporte técnico a los PCS.

Datos/Información: Datos que se manipulan dentro de la organización. Suelen ser el núcleo del sistema mientras que los demás activos son herramientas de manipulación, administración. etc.

Aplicaciones de software: Aplicaciones usadas al interior u exterior de la empresa, dependiendo el tipo de servicio que prestemos, que es de vital importancia para el desarrollo de nuestros procesos.

Equipos informáticos: como computadoras, dispositivos activos. etc.

Personal de la empresa: Según Magerit, este es el activo mas importante de la empresa, y puede ser: Personal interno, contratado, de los clientes. etc.

Redes de comunicaciones: Se encargan del movimiento de la información, pueden ser propias o subcontratadas.

Soportes de la información: Soporte físico que permiten el almacenamiento de la información durante un largo periodo de tiempo.

Equipamiento auxiliar: Dan soporte a los demás activos y que no se ha incluido en los otros grupos. Ejemplo: Equipos de destrucción de datos, sistema de aire acondicionado.

Instalaciones: Infraestructuras donde se alojan  los sistemas de información.

Activos intangibles: Imagen y reputación de la empresa.

Pasos a realizar – Evaluación de riesgos

Cada activo debe incluir al menos: Descripción, localización y propietario.

Propietario del activo: Es quien define el grado de seguridad que requiere su activo. No tiene que ser necesariamente  quien va a gestionar el activo o ser su usuario.

  • Dependencias de los activos: Para establecer las dependencias de los activos se pueden hacer preguntas tales como: ¿Quien depende de quien? ¿Si hay un fallo en el activo X que otros activos se van a ver perjudicados o involucrados?. El resultado de este sera un esquema de árbol de dependencias en la que se podrá visualizar el estado de dependencia en todos los activos desde el mas alto nivel hasta llegar al nivel mas bajo.
  • Valoración de los activos: establecer que nivel de prioridad he importancia tiene dicho activo.

Valoración cuantitativa: Donde se estima el valor económico del activo.

Valoración cualitativa: Se establece de acuerdo a una escala. Ejemplo: 0 a 10, o baja a alta. Debe estar basado en un criterio como las características principales de la información: Integridad, confidencialidad y disponibilidad. Por ejemplo si evaluáramos la base de datos de un negocio, la valoración cualitativa tendría que estar basada en estas tres características
y nos haríamos preguntas como ¿Que impacto tendría si alguien obtuviera acceso y llegase a modificar esta base de datos?.

  • Los métodos mas comunes para realizar esta evaluación es la entrevista y la encuesta a las personas de la organización.
  • Aspectos importantes a definir antes de la implementación:

Alcance del sistema: La empresa debe determinar cuales son los procesos críticos para su organización, decidiendo que es lo que quiere proteger y por donde debe empezar. Deben quedar definidas las actividades de la organización, las ubicaciones físicas que van a verse involucradas la tecnología de la organización y las áreas que quedaran excluidas de la implantación del sistema. Es importante que en esta fase se estimen los recursos económicos que se van a dedicar a implementar y mantener dicho sistema, pues de nada sirve que la empresa haga un esfuerzo en la implementación si después no es capaz de mantenerlo.

Política de seguridad: Su objetivo es recoger las directrices que se deben seguir para la seguridad de la informacion de acuerdo a las necesidades de la empresa y la legislación vigente.Definir las pautas de actuación en caso de incidentes y definir las responsabilidades. Debemos también delimitar que se debe proteger de quien y porque, explicaremos que es lo que esta permitido y que no, determinar los limites del comportamiento aceptable, y que pasa si estos se sobrepasan, he identificar los riesgos a la que esta sometida la organización. Esta documentación tiene las siguientes pautas:

  • Debe ser redactada de una manera accesible para todo el personal de la organización, debe ser corta, precisa y de fácil comprensión.
  • Debe ser aprobada por la dirección y publicitada por la misma.
  • Debe ser de dominio publico para la organización, por lo que siempre debe estar disponible a la consulta.
  • Debe ser la referencia para la resolución de conflictos y otras cuestiones relativas a la seguridad de la información.
  • Definir responsabilidades. Se definirá quien estará autorizado a acceder a que tipo de información.
  • Debe indicar que lo que se protege incluye tanto al personal, como a la información así como su reputación y continuidad.
  • Personalizada, totalmente para cada organización.
  • Debe señalar las normas y reglas que va a adoptar la organización y las medidas de seguridad que serán necesarias.
  • Este debe ser un documento actualizado por lo que debe ser revisado y modificado anualmente.

Definiciones necesarias a resaltar dentro de este paso:

  • Definición de que es seguridad de la información, cual es su alcance y su importancia.
  • Declaración por parte de la dirección apoyando los objetivos y principios de la seguridad de la información.
  • Breve explicación de las políticas.
  • Definición de responsabilidades generales y especificas en la que se incluirán roles, pero nunca personas concretas de la organización.
  • Referencias a documentación de que puedan sustentar la política.

Casos en la que debe ser modificada inmediatamente:

  • Después de grandes incidentes de seguridad.
  • Después de una auditoría del sistema sin éxito.
  • Frente a cambios que afectan a la estructura de la empresa.

Organización de la seguridad: En este paso revisamos los aspectos organizativos de la empresa y la asignación de nuevas responsabilidades. Hay tres responsabilidades que tienen gran importancia:

  • Responsable de seguridad: Es la persona encargada de coordinar todas las actuaciones en materia de seguridad, dentro de la empresa.
  • Comité de dirección: Estará formado por los directivos de la empresa, tendrá las máximas responsabilidades, y aprobara las decisiones de alto nivel  relativas al sistema.
  • Comité de gestión: Controla y gestiona las acciones de la implementación, colaborando muy estrechamente con el encargado de la seguridad. Tiene potestad para asumir decisiones en cuanto a la seguridad.

Concienciación y formación: Se hace con el fin de crear en la empresa una cultura de seguridad, consigue que el personal conozca que actuaciones se están llevando a cabo y porque se están realizando. Con ello se concede transparencia al proceso y se involucra al personal.

Debemos también identificar cuales salvaguardas hay en la organización.


Nuestras primeras fases después de identificar los activos:

Fase de planificación: Verificamos como esta en cuanto a seguridad la empresa para estimar las medidas que se van a implementar en función de las necesidades detectadas. Es importante realizar un análisis de riesgo que valore los activos de información y las vulnerabilidades a los que están expuestos. Es necesaria también una gestión de dichos riesgos para disminuirlos en la medida de lo posible. Con el resultado estableceremos unos controles adecuados que nos permitan minimizar los riesgos.

Fase de ejecución: Se lleva a cabo la implementación de los controles de seguridad seleccionados en la fase anterior. Estos controles se refieren a los controles mas técnicos así como a la documentación necesaria. Esta fase requiere un tiempo de concienciación al personal de la empresa, para decirles que se esta haciendo y porque.

Fase de seguimiento: Se evalúa la eficacia y el éxito de los controles implantados. Por ello es muy importante contar con registros he indicadores que provengan de estos controles.

Fase de mejora: En las que se llevara a cabo  las labores de mantenimiento del sistema. Si durante la fase de seguimiento de ha detectado algún punto débil, este es el momento de mejorarlo o corregirlo. Para ello se cuenta con tres tipos de medidas: correctivas, preventivas y de mejora.

Al finalizar la cuatro fases se toman los resultados de la ultima y se comienza nuevamente con la primera

Estrategias:
Debemos Llenar los siguientes datos:

Politicas: Indican las lineas generales para conseguir los objetivos de la organización sin entrar en detalles técnicos. Toda la organización debe conocer estas políticas.

Procedimientos: Procedimientos que desarrollan los objetivos marcados por las políticas. Los procedimientos deben ser conocidos por las personas que los requieran para el desarrollo de sus funciones.

Instrucciones: Constituyen el desarrollo de los procedimientos, se describen los comandos técnicos que se deben realizar para la ejecución de los procedimientos.

Registros: Evidencian la efectiva implementación del sistema y el cumplimiento de sus requisitos. Entre estos registros se incluyen indicadores y métricas que nos permitan evaluar la consecuencia de los objetivos de la seguridad establecidos.

“La solución mas sencilla de implementar y mantener suele ser la mas acertada”

Gestión de riesgos

Es el proceso por el cual se controlan, minimizan o eliminan los riesgos que afecten a los activos de la información de la organización.

Opciones de la gestión del riesgo:

  • Eliminar activos a los que el riesgo esta asociado. Se trata de una elección generalmente costosa y drástica por lo que suelen buscarse medidas alternativas.
  • Transferir el riesgo, se valora entonces la subcontratación del servicio externamente, o la contratación de un seguro que cubra los gastos en caso de que suceda una incidencia. En ocasiones no se puede hacer una subcontratación para ciertos activos que son altamente confidenciales. Cuando se contrata un seguro, hay que asegurarse de que el valor del activo es superior al del propio seguro.
  • Asumir el riesgo: Ello implica que no se van a tomar medidas de protección contra ese riesgo. Esta decisión ha de ser tomada por la empresa y debe ser vigilado y controlado el riesgo, verificando que no aumenta.
  • Mitigar el riesgo: Implementamos una serie de medidas que actúen de salvaguardas para los activos, estas medidas han de ser documentadas y gestionadas por la organización.
  • Definimos los riesgos residuales
  • Los documentos recogidos serán declarados en un SOA (Declaración de seguridad). El SOA recoge que controles aplican en la organización y cuales no, para aquellos controles que si aplican se deben incluir los objetivos del control, la descripción, la razón para su selección/aplicación  y la referencia al documento en el que se desarrolla su implementación. Para los controles que no se aplican debe documentarse el porque de la decisión de manera detallada, este punto es muy importante, ya que en la fase de certificación del sistema sera uno de los documentos a revisar por los auditores.

Implantación

Esta fase es una de las que requiere mas tiempo y recursos de toda la empresa, para la implantación de los controles y salvaguardas mas técnicas, se necesitara personal que realiza estas labores técnicas, mientras que para los controles organizativos sera la dirección quien tenga que tomar decisiones, además de formar y concienciar a toda la entidad.

No es necesario el desarrollo de un procedimiento o documento por cada uno de los controles escogidos, es mas aconsejable agrupar diferentes controles para hacer mas utilizable el sistema.

Reportes de los mayores casos de incidencias de las organizaciones

  • Las fallas eléctricas causan el 90% de los incendios: Utilización de materiales no adecuados, un calculo erróneo en el sistema, o contratación de electricistas sin formación técnica.
  • El 43% de empresas que sufren una contingencia sin contar con un plan de continuidad del negocio, no se recuperan.
  • El 51% sobrevive pero tarda un promedio de dos años en recuperarse.
  • El 6% mantiene su negocio a largo plazo.
  • El 30% de las copias de seguridad y el 50% de las restauraciones fallan según un informe de Entreprise Strategy Group. (Muchas empresas reconocieron no estar seguros de recuperar los datos críticos del negocio).

Plan de continuidad del negocio

  • Este plan es la respuesta ante aquellas situaciones de riesgo que pueden afectar de forma económica a la empresa
  • No importa el tamaño de la empresa o cuanto cuesten las medidas implantadas, toda empresa necesita un plan de continuidad del negocio.
  • Tiene como objetivo impedir que la actividad de la empresa se interrumpa ante eventualidades. O que el tiempo de inactividad sea el mínimo posible.
  • La empresa debe mantener el nivel de servicio

Debemos definir algunos criterios importantes:

  • Definición de situaciones criticas: Son aquellos que no podrán  ser evitados a través de las medidas implantadas.
  • Establecimiento de un comité de emergencia: Este sera el encargado de gestionar la situación de crisis antes una incidencia. Responsable de organizar al resto de personal y de que la empresa pueda recuperarse.
  • Definición de posibles situaciones: Elaboramos procedimientos para cada una de las incidencias que se podrian dar en la organización.

Fases:

  • Definición del proyecto: donde es necesario establecer los objetivos, el alcance y el peor de los escenarios
  • Analisis del impacto BIA (Business impact analysis): Debemos hacer un analisis de riesgos, evaluar el impacto del incidente , tanto económico como de cualquier otro tipo, asignar el tiempo objetivo de recuperación y evaluar la cobertura de los seguros y contratos.
  • Selección de estrategias: Aquí hay que identificar los recursos disponibles, evaluar las salvaguardas, y miramos si es mejor una solución a nivel interno o a nivel externo.
  • Desarrollo de planes: Implementamos los diferentes procedimientos en caso de incidencia.
  • Pruebas y mantenimiento del plan de continuidad

“Es importantísimo y obligatorio probar  el plan  para garantizar que cuando halla que usarlo, todo funcione como estaba provisto. Debe ser probado constantemente para ver si hay que aplicar actualizaciones o mejoras”

Algunas pruebas:

  • Restauración de las copias de seguridad.
  • Coordinación del personal y departamentos involucrados.
  • La verificación de la conectividad de los datos y del rendimiento de los sistemas alternativos.
  • La verificación del procedimiento para la notificación de incidencias y la vuelta a la situación inicial de normalidad.


Al final entonces tenemos estos pasos que debemos llevar, y que resumen todo lo expuesto anteriormente.

Proceso correcto a llevar a cabo en la primera fase:

  • Identificar las áreas mas criticas.
  • Definir la política de seguridad de la empresa con la legislación vigente.
  • Definir los roles en relación con la seguridad de la información: El responsable de la seguridad, el comité de dirección y el comité de gestión.
  • Inicialmente concienciar a toda las áreas de la empresa involucradas en la SGSI, pero es bueno concienciar a toda la empresa para que sepan que se esta llevando.
  • Hacer un inventario de activos para saber a que afecta la implantación de u sistema de gestión de la seguridad de la información. Y obtener una visualización de los activos con mas valor que deben protegerse.
  • Valorar los activos
  • Hacer un analisis de riesgos de los activos del inventario. (Amenazas, vulnerabilidades, medidas de seguridad ya implantadas, riesgos intrínsecos, riesgo residual. etc.)
  • Seleccionar los controles para actuar frente  a los riesgos detectados. Todo ello según nos sugiere la norma ISO/IEC 27002. El documento que  debe declarar todos estos controles debe ser el SOA.
  • Implantar los controles
  • Validar los controles implantados para saber si la implantación ha sido correcta.
  • Verificamos lo que hemos hecho con una auditoría interna, que determina las acciones de mejor ha implantar.
  • Y luego si queremos podemos realizar una auditoría externa para certificar el sistema.
  • Solo la norma ISO/IEC 27001 es certificable.

Bueno espero que sea claro el resumen, además le puse imágenes para que no se duerman... 🙂

Anuncios
comentarios
  1. Abuelita dice:

    Buen resumen del curso de introducción a la seguridad de Inteco…

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s