05GestionSeg

Libro Electrnico de Seguridad Informtica y Criptografa v4.
Captulo 5 Introduccin a la Gestin de la Seguridad

Seguridad Informtica y Criptografa
Ultima actualizacin del archivo: 01/03/06 Este archivo tiene: 46 diapositivas
Dr. Jorge Rami Aguirre Universidad Politcnica de Madrid
v 4.1
Material Docente de Libre Distribucin
Este archivo forma parte de un curso completo sobre Seguridad Informtica y Criptografa. Se autoriza el uso, reproduccin en computador y su impresin en papel, slo con fines docentes y/o personales, respetando los crditos del autor. Queda prohibida su comercializacin, excepto la edicin en venta en el Departamento de Publicaciones de la Escuela Universitaria de Informtica de la Universidad Politcnica de Madrid, Espaa. Curso de Seguridad Informtica y Criptografa JRA
Captulo 5: Introduccin a la Gestin de la Seguridad
Pgina 133
Proteccin lgica y fsica de los datos

Los datos deben protegerse aplicando: Seguridad Lgica Uso de herramientas de proteccin de la informacin en el mismo medio en el que se genera o transmite. Protocolos de autenticacin entre cliente y servidor. Aplicacin de herramientas de seguridad en redes. Se incluyen tambin medidas de prevencin de riesgos y la instauracin de polticas de seguridad, de planes de contingencia, de recuperacin ante desastres, aplicacin de normativas, la legislacin vigente, etc. Seguridad Fsica Procedimientos de proteccin fsica del sistema: acceso personas, incendio, agua, terremotos, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Libro Electrnico de Seguridad Informtica y Criptografa v4.1
Pgina 134
La seguridad fsica en entornos de PCs

Anclajes a mesas de trabajo. Temas a tener en cuenta en un Cerraduras en puertas. entorno de PCs Tarjetas con alarma. Etiquetas con adhesivos especiales. Bloqueo de unidades externas. Protectores de teclado. Tarjeta de control de acceso al hardware. Sistema de suministro continuo de corriente. Toma de tierra. Eliminacin de la esttica... etc.
Madrid (Espaa) 2006
Jorge Rami Aguirre
Pgina 135
Anlisis de riesgo: plan estratgico

Es el proceso de identificacin y evaluacin del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparndolo con el costo que significara la prevencin de este suceso. Su anlisis no slo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger.
Le recomiendo descargar estas herramientas de libre distribucin para el anlisis de riesgo desde las direcciones que se indican:
Magerit V 2 Chinchon V 1.3
Jorge Rami Aguirre
http://www.csi.map.es/csi/pg5m20.htm

http://www.criptored.upm.es/software/sw_m214_01.htm
Madrid (Espaa) 2006
Pgina 136
Informacin del anlisis de riesgo

Informacin que se obtiene en un anlisis de riesgo:
Determinacin precisa de los recursos sensibles de la organizacin. Identificacin de las amenazas del sistema. Identificacin de las vulnerabilidades especficas del sistema. Identificacin de posibles prdidas. Identificacin de la probabilidad de ocurrencia de una prdida. Derivacin de contramedidas efectivas. Identificacin de herramientas de seguridad. Implementacin de un sistema de seguridad eficiente en costes y tiempo.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 137
Ecuacin bsica del anlisis de riesgo

B>PL?
B: es la carga o gasto que significa la prevencin de una prdida especfica debido a una vulnerabilidad. P: es la probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa prdida especfica. L: es el impacto o coste total que significa la prdida especfica debido a esa vulnerabilidad que ha sido afectada por una amenaza.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 138
Cundo y cunto invertir en seguridad?

Si BPL Hay que implementar una medida de prevencin. Si B>PL No es necesaria una medida de prevencin.
... al menos matemticamente. No obstante, siempre puede ocurrir una desgracia que est fuera de todo clculo como las consecuencias informticas en algunas empresas tras el 11 de septiembre. Lo que s es cierto, es que no tiene sentido alguno invertir ms dinero en la proteccin del bien que el propio valor de ste.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 139
Efectividad del coste de la medida

Las medidas y herramientas de control han de tener menos coste que el valor de las posibles prdidas y el impacto de stas si se produce el riesgo temido. Ley bsica: el costo del control ha de ser menor que el activo que se protege. Algo totalmente lgico y que tanto los directivos como los responsables de seguridad de la empresa debern estimar de forma adecuada a su realidad. En varios casos, el verdadero problema est en la dificultad de calcular de forma ms o menos precisa el impacto econmico que puede suponer el hecho de que ocurra ese riesgo.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 140
El factor L en la ecuacin de riesgo

Factor L (en B P L)
El factor de impacto total L es difcil de evaluar. Incluye daos a la informacin, a los equipos, prdidas por reparacin, por volver a levantar el sistema, prdidas por horas de trabajo, etc. Siempre habr una parte de valoracin subjetiva. La prdida de datos puede llevar a una prdida de oportunidades por el llamado efecto cascada. En la organizacin debe existir una comisin especializada interna o externa que sea capaz de evaluar todas las posibles prdidas y cuantificarlas.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 141
El factor P en la ecuacin de riesgo

Factor P (en B P L)
El factor P est relacionado con la determinacin del impacto total L y depende del entorno en el que est la posible prdida. Como este valor es difcil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.
Una vez se conoce P para un L dado, se obtiene la probabilidad de prdida relativa de la ocurrencia PL que se comparar con B, el peso que nos supondra implantar la medida de prevencin respectiva.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 142
El factor B en la ecuacin de riesgo

Factor B (en B P L)
Indica qu se requiere para prevenir una prdida. Por ejemplo, puede ser la cantidad de dinero que vamos a disponer para mitigar la posible prdida.
Ejemplo: la carga de prevencin para que un sistema informtico minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalacin de software y hardware adecuado, un cortafuegos, un sistema de deteccin de intrusos, una configuracin de red segura, una poltica de seguimiento de accesos y de passwords, personal tcnico cualificado, etc. Todo ello importa una cantidad de dinero especfica.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 143
Cuantificacin de la proteccin
BPL?
Cunta proteccin es necesaria?
En nuestro ejemplo: qu configuracin de red usar, en qu entorno trabajar, qu tipo de cortafuegos, etc. Eso depender del nivel de seguridad que nuestra empresa desee, crea oportuno o que nos imponga el mercado.
De qu forma nos protegeremos?

Una casa puede protegerse con puertas, cerraduras, barras de hierro en ventanas, sistemas de alarmas, etc. En un sistema informtico podemos aplicar protecciones fsicas, polticas de seguridad, control de accesos, planes de contingencia y de recuperacin, cortafuegos, IDs, uso de cifrado, autenticacin, firmas, pasarelas seguras, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 144
Pasos en un anlisis de riesgos

1. Identificacin costo posibles prdidas (L) 3. Identificar posibles acciones (gasto) y sus implicaciones (B). Seleccionar acciones a implementar.
Se cierra el ciclo
Identificar amenazas B PL ?
2. Determinar susceptibilidad. La probabilidad de prdida (P)

Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 145
Algunas polticas de seguridad

Polticas administrativas
Procedimientos administrativos.
Polticas de control de acceso

Privilegios de acceso del usuario o programa.
Polticas de flujo de informacin

Normas bajo las cuales se comunican los sujetos dentro del sistema.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 146
Aspectos administrativos
Polticas administrativas
Se establecen aquellos procedimientos de carcter administrativo en la organizacin como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisin sistemtica, etc. Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel. Se procede a la etapa de concienciacin.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 147
Control de accesos
Polticas de control de acceso
Poltica de menor privilegio
Acceso estricto a objetos determinados, con mnimos privilegios para los usuarios.
Poltica de comparticin
Acceso de mximo privilegio en el que cada usuario puede acceder a todos los objetos.
Granularidad
Nmero de objetos accesibles. Se habla entonces de granularidad gruesa y fina.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 148
Control de flujo
Polticas de control de flujo
La informacin a la que se accede, se enva y recibe por:
Canales claros o canales ocultos? Seguros o no?
Qu es lo que hay que potenciar?

La confidencialidad o la integridad? La disponibilidad? ... El no repudio? Segn cada organizacin y su entorno de trabajo y servicios ofrecidos, habr diferencias. En algunos sistemas primarn unos ms que otros, en funcin de lo secreta que sea la informacin que procesan.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 149
Modelos de seguridad
Modelo de Bell LaPadula (BLP) Rgido. Confidencialidad y con autoridad. Modelo de Clark-Wilson (CW) Orientacin comercial: integridad. Modelo de Take-Grant (TG) Derechos especiales: tomar y otorgar. Otros: modelo de Goguen-Meseguer (no interferencia entre usuarios); modelo de Matriz de Accesos (estados y transiciones entre estados: tipo Graham-Dennig; tipo Harrison-Ruzzo-Ullman), Biba, Chinese Wall, etc.
Se definirn brevemente en prximas diapositivas
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 150
Modelo de Bell y LaPadula

La escritura hacia abajo est prohibida. La lectura hacia arriba est prohibida. Es el llamado principio de tranquilidad.
Lectura hacia arriba prohibida
Secreto mximo Secreto No clasificado

Usuario dado de alta con un nivel de secreto

Escritura hacia abajo prohibida
http://en.wikipedia.org/wiki/Bell-LaPadula_model
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 151
Modelo de Clark Wilson CW

Est basado en polticas de integridad Elementos de datos restringidos. sobre stos debe hacerse un chequeo de consistencia. Elementos de datos no restringidos. Procedimientos de transformacin. trata los dos elementos. Procedimientos de verificacin de integridad.
http://www.criptored.upm.es/guiateoria/gt_m248c.htm
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 152
Modelo de Take Grant TG

Se describe mediante grafos orientados: el vrtice es un objeto o sujeto. un arco es un derecho. Se ocupa slo de aquellos derechos que pueden ser transferidos.
http://www.criptored.upm.es/guiateoria/gt_m248b.htm
Documentos de lectura recomendada:

Biba Harrison, Ruzzo y Ullman Chinese Wall Sea View: bases de datos
Jorge Rami Aguirre
http://www.criptored.upm.es/guiateoria/gt_m248a.htm http://www.criptored.upm.es/guiateoria/gt_m248e.htm http://www.criptored.upm.es/guiateoria/gt_m248d.htm http://www.criptored.upm.es/guiateoria/gt_m248f.htm

Madrid (Espaa) 2006
Pgina 153
Criterios y normativas de seguridad

Criterio de evaluacin TSEC Trusted Computer System Evaluation Criteria, tambin conocido como Orange Book. Criterio de evaluacin ITSEC Information Technology Security Evaluation Criteria. Criterio de evaluacin CC Common Criteria: incluye los dos anteriores. Normativa internacional 17799 Desarrolla un protocolo de condiciones mnimas de seguridad informtica de amplio espectro.
Encontrar una interesante lectura sobre aplicacin de criterios de seguridad en el documento que se indica
http://www.csi.map.es/csi/criterios/seguridad/index.html
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 154
Leyes de seguridad informtica en Espaa

En el Real Decreto 994/1999 (11 junio) sobre Medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal se definen las funciones del Responsable de Seguridad. Ley Orgnica de Proteccin de Datos LOPD se desarrolla en Espaa en diciembre de 1999 y comienza a aplicarse ya en el ao 2002. Se crea una Agencia Espaola de Proteccin de Datos AEPD que debe velar por el cumplimiento de esta ley mediante la realizacin de auditoras, al menos cada dos aos. La AEPD la forman 9 personas. Se definen las funciones y obligaciones del Responsable de Fichero y del Encargado de Tratamiento. Las infracciones se clasifican como leves, graves y muy graves con sanciones de 60.000 , 300.000 y 600.000 respectivamente. Establece un conjunto de procedimientos de obligado cumplimiento de forma que adems de proteger la privacidad de los datos, se cumplan los principios de la seguridad informtica fsica y lgica.
http://www.agpd.es/index.php?idSeccion=77
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 155
Cadena de responsabilidades en seguridad

Responsable de Fichero: es la entidad, institucin o persona jurdica que posee datos de carcter personal y que por tanto debe velar por la seguridad de ellos. Responsable de Tratamiento: es posible que la entidad anterior sea quien manipule los datos (gestin, copias de seguridad, etc.) o bien esta tarea la ejecute otra empresa. De ah que se diferencie entre estos dos responsables. Responsable de seguridad: persona o personas en las que el responsable de fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables.
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/A.8%29%20Real%20Decreto%20994-1999.pdf
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 156
Operaciones de responsabilidad en LOPD

Artculo 9: Seguridad de los datos.
El responsable del fichero y, en su caso, el encargado del tratamiento debern adoptar las medidas de ndole tcnica y organizativa necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural.
Temas como estar en el estado de la tecnologa y conocer todo tipo de riesgos son un dolor de cabeza para el responsable de seguridad.
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Ley%2015_99.pdf Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 157
Niveles de seguridad en el RD 994/1999

Nivel Bsico: todos los ficheros que contengan datos de carcter personal debern adoptar las medidas de seguridad calificadas como de nivel bsico. Nivel Medio: los ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales, Hacienda Pblica, servicios financieros ..., debern reunir, adems de las medidas de nivel bsico, las calificadas como de nivel medio. Nivel Alto: los ficheros que contengan datos de ideologa, religin, creencias, origen racial, salud o vida sexual as como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas debern reunir, adems de las medidas de nivel bsico y medio, las calificadas como de nivel alto. Las medidas a que se hace mencin en estos textos puede verlas en:
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/A.8%29%20Real%20Decreto%20994-1999.pdf
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 158
LOPD: algunas infracciones leves

No atender, por motivos formales, la solicitud del interesado de rectificacin o cancelacin de los datos personales objeto de tratamiento cuando legalmente proceda. No proporcionar informacin que solicite la Agencia de Proteccin de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relacin con aspectos no sustantivos de la proteccin de datos. No solicitar la inscripcin del fichero de datos de carcter personal en el Registro General de Proteccin de Datos, cuando no sea constitutivo de infraccin grave. Proceder a la recogida de datos de carcter personal de los propios afectados sin proporcionarles la informacin que seala el artculo 5 de la presente ley.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 159
LOPD: algunas infracciones graves

Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida de datos de carcter personal para los mismos, sin autorizacin de disposicin general, publicada en el Boletn Oficial del Estado o diario oficial correspondiente. Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida de datos de carcter personal para los mismos con finalidades distintas de las que constituyen el objeto legtimo de la empresa o entidad. Proceder a la recogida de datos de carcter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste se exigible. Mantener los ficheros, locales, programas o equipos que contengan datos de carcter personal sin las debidas condiciones de seguridad que por va reglamentaria se determine.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 160
LOPD: algunas infracciones muy graves

La recogida de datos de forma engaosa y fraudulenta. La comunicacin o cesin de los datos de carcter personal, fuera de los casos en que estn permitidas. La transferencia temporal o definitiva de datos de carcter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a pases que no proporcionen un nivel de proteccin equiparable sin autorizacin del Director de la Agencia de Proteccin de Datos. Tratar los datos de carcter personal de forma ilegtima o con menosprecio de los principios y garantas que les sean de aplicacin, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 161
La norma ISO 17799 (27001)

Presenta normas, criterios y recomendaciones bsicas para establecer polticas de seguridad. stas van desde los conceptos de seguridad fsica hasta los de seguridad lgica. Parte de la norma elaborada por la BSI, British Standards Institution, adoptada por International Standards Organization ISO y la International Electronic Commission IEC. Documento de 70 pginas no de libre distribucin.
Desde finales de 2005 estas normas se estn revisando y cambiando de numeracin a partir del nmero 27001.
http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=17799
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 162
Entornos de la norma ISO 17799

Se trata de un cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin.
Antecedentes Introduccin Objeto y campo de la aplicacin Trminos y definiciones Poltica de seguridad Aspectos organizativos para la seguridad Clasificacin y control de los archivos Seguridad ligada al personal
Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestin de continuidad del negocio Conformidad
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 163
Historia de la norma ISO 17799
Ref.: Gestin de Seguridad de la Informacin: UNE 71502, ISO17799, A. Villaln. http://www.criptored.upm.es/guiateoria/gt_m209b.htm

Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 164
Planes de contingencia
Un Plan de Contingencia consiste en un estudio y anlisis pormenorizado de las reas que componen la organizacin y que nos servir para establecer una poltica de recuperacin ante un desastre. Es un conjunto de datos estratgicos de la empresa y que se plasma en un documento con el fin de protegerse ante eventualidades.
Adems de aumentar su seguridad, con un plan estratgico la empresa tambin gana en el conocimiento de sus fortalezas y sus debilidades. Pero si no lo hace, se expone a sufrir una prdida irreparable mucho ms costosa que la implantacin de este plan.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 165
Acciones a realizar en un SGSI

El Plan de Contingencia ser una herramienta imprescindible en un Sistema de Gestin de la Seguridad Informtica (SGSI). Acciones: Planificar: estudiar la implantacin de la poltica de seguridad adoptada, alcances que tendr la gestin, anlisis de riesgos que se harn, establecimiento de controles que activaremos, etc. Hacer: implantar el sistema de gestin, poner y activar los controles, registros e indicadores. Toma de datos del estado de la seguridad. Verificar: realizar una auditora interna para comprobar el grado de cumplimiento de nuestro sistema. Actuar: realizar el seguimiento de la gestin y tomar las medidas correctivas as como las acciones preventivas correspondientes.
Se cierra el ciclo ajustando las acciones planificadas si fuera el caso. Ciclo ms conocido por las siglas PDCA (Plan - Do - Check - Act)
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 166
Ciclo PDCA
Plan
Poltica y Alcance del sistema Anlisis de riesgos Seleccin de controles Implantacin del SGSI Implantacin controles Implantacin indicadores
Act
Acciones correctivas Acciones preventivas Modificacin Plan
Do
Auditora interna No conformidades Grado de cumplimiento
Check
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 167
Desastres naturales y su prevencin

Desastres naturales
Huracn Tormenta Inundacin Tornado Vendaval Incendio Terremoto Otros
Medidas prevencin
Emplazamientos adecuados Proteccin fachadas, ventanas, puertas
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 168
Vandalismo informtico y su prevencin

Terrorismo Sabotaje Robo Virus Chantaje informtico Programas malignos
Medidas de prevencin
Fortificacin de entradas Guardia Jurado Patrullas de seguridad Circuito cerrado TV Control fsico de accesos
Proteccin de software y hardware con antivirus, cortafuegos, deteccin de intrusos, etc. Seguimiento de las polticas de seguridad de la empresa.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 169
Amenazas del agua y su prevencin

Amenazas
Inundaciones por causas propias de la empresa Inundaciones por causas ajenas Pequeos incidentes personales (la tpica botella de agua o taza con caf que se cae sobre el teclado...)
Medidas prevencin
Revisar conductos de agua Emplazar la sala con los equipos ms caros en un sitio libre de estos problemas Instalar sistemas de drenaje de emergencia Concienciar a nuestros empleados
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 170
Amenazas del fuego y su prevencin

Amenazas
Una mala instalacin elctrica Descuidos personales como puede ser fumar en sala de ordenadores Papeleras mal ubicadas en la que se tira un cigarrillo no apagado Vulnerabilidades del sistema ante el humo
Jorge Rami Aguirre
Madrid (Espaa) 2006
Medidas prevencin
Detector humo y calor Materiales ignfugos Almacn de papel separado de mquinas Estado del falso suelo Extintores revisados
Es la amenaza ms temida por su rpido poder destructor.
Pgina 171
Qu sucede si se produce un desastre?

Las empresas dependen hoy en da de los equipos informticos y de todos los datos que hay all almacenados (nminas, clientes, facturas, ...). Dependen tambin cada vez ms de las comunicaciones a travs de las redes de datos. Si falla el sistema informtico y ste no puede recuperarse, la empresa puede desaparecer porque no tiene tiempo de salir nuevamente al mercado con ciertas expectativas de xito, aunque conserve a todo su personal.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 172
Tiempos de recuperacin ante desastres

Segn diversos estudios el perodo mximo de inactividad que puede soportar una empresa sin poner en peligro su supervivencia es de: Sector seguros: 5,6 das Sector fabricacin: 4,9 das Sector industrial: 4,8 das Sector distribucin: 3,3 das Sector financiero: 2,0 das Si nos han dicho que nuestro banco tiene problemas de seguridad y no podemos mover nuestras cuentas, lo ms seguro es que cambiemos de banco al da siguiente.
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 173
Prdidas por no contar con plan estratgico

Prdida de clientes. Prdida de imagen. Prdida de ingresos por beneficios. Prdida de ingresos por ventas y cobros. Prdida de ingresos por produccin. Prdida de competitividad en el mercado. Prdida de credibilidad en el sector.
Madrid (Espaa) 2006
Jorge Rami Aguirre
Pgina 174
Medidas bsicas ante un desastre

Plan de emergencia
Vidas, heridos, activos, evacuacin personal. Inventariar recursos siniestrados. Evaluar el coste de la inactividad.
Plan de recuperacin
Acciones tendentes a volver a la situacin que exista antes del desastre.
http://recovery-disaster.info/index.htm
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 175
Alternativas del plan de continuidad

Instalaciones alternativas
Oficina de servicios propia Acuerdo con empresa vendedora de HW y SW Acuerdo recproco entre dos o ms empresas Arranque en fro: sala vaca propia Arranque en caliente: centro equipado Sistema Up Start: caravana, unidad mvil Sistema Hot Start: centro gemelo
Algunas soluciones pueden resultar de muy alto costo. Su eleccin depender entonces de las caractersticas de nuestra empresa y qu tan crtico debe ser ese plan de continuidad acorde con ello.
Fin del captulo
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 176
Cuestiones y ejercicios (1 de 2)
1. Qu es y qu significa hacer un anlisis de riesgos? 2. Explique el sentido de las ecuaciones B > PL y B PL. 3. Tras un estudio, obtenemos B > PL, podemos estar totalmente tranquilos al no utilizar medida alguna de prevencin? 4. Explique qu significan los factores L y P en la ecuacin B > PL. 5. Cules son los pasos a seguir en un anlisis de riesgo de acuerdo a los factores de la ecuacin de B > PL? 6. En algunos sistemas de gestin de informacin a veces prima ms el elemento confidencialidad, en cambio en otros ms el de integridad. D algunos ejemplos en que pueda cumplirse al menos en parte este escenario. Qu opina respecto a una transaccin electrnica? 7. Comente el modelo de seguridad de Bell Lapadula. Por qu se le llama el modelo de la tranquilidad?
Jorge Rami Aguirre
Madrid (Espaa) 2006
Pgina 177
Cuestiones y ejercicios (2 de 2)
8. Ud. es el responsable de seguridad y detecta que un empleado est robando informacin confidencial, cmo reaccionara? 9. Cules pueden ser las prdidas en una empresa si no se cuenta con un adecuado Plan de Contingencia y sucede un desastre? 10. Qu es un Plan de Contingencia y por qu es importante? 11. Nuestra empresa est a medias entre el rubro distribucin y el de las finanzas. Resulta estratgico tener aqu un Plan de Contingencia? 12. Qu soluciones tenemos para que un banco no se vea afectado por un desastre y pueda seguir trabajando con sus clientes con un tiempo de recuperacin bajo o mnimo? Cmo sera su coste? 13. Se pueden prever situaciones extremas como lo acontecido con las torres gemelas? En que tipo de empresas o instituciones no deben descartarse estos extremos? En una empresa que vende coches?
Jorge Rami Aguirre
Madrid (Espaa) 2006

05GestionSeg

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

05GestionSeg

Cargado por

Copyright:

Formatos disponibles

Libro Electrnico de Seguridad Informtica y Criptografa v4.

Captulo 5 Introduccin a la Gestin de la Seguridad

Material Docente de Libre Distribucin

Captulo 5: Introduccin a la Gestin de la Seguridad

Proteccin lgica y fsica de los datos

Captulo 5: Introduccin a la Gestin de la Seguridad

Libro Electrnico de Seguridad Informtica y Criptografa v4.1

Captulo 5: Introduccin a la Gestin de la Seguridad

La seguridad fsica en entornos de PCs

Jorge Rami Aguirre

Captulo 5: Introduccin a la Gestin de la Seguridad

Anlisis de riesgo: plan estratgico

Madrid (Espaa) 2006

Captulo 5: Introduccin a la Gestin de la Seguridad

Libro Electrnico de Seguridad Informtica y Criptografa v4.1

Captulo 5: Introduccin a la Gestin de la Seguridad

Informacin del anlisis de riesgo

Captulo 5: Introduccin a la Gestin de la Seguridad

Ecuacin bsica del anlisis de riesgo

Jorge Rami Aguirre

Madrid (Espaa) 2006

Captulo 5: Introduccin a la Gestin de la Seguridad

Libro Electrnico de Seguridad Informtica y Criptografa v4.1

Captulo 5: Introduccin a la Gestin de la Seguridad

Cundo y cunto invertir en seguridad?

Captulo 5: Introduccin a la Gestin de la Seguridad

Efectividad del coste de la medida

Captulo 5: Introduccin a la Gestin de la Seguridad

Libro Electrnico de Seguridad Informtica y Criptografa v4.1

Captulo 5: Introduccin a la Gestin de la Seguridad

El factor L en la ecuacin de riesgo

Captulo 5: Introduccin a la Gestin de la Seguridad

El factor P en la ecuacin de riesgo

Madrid (Espaa) 2006

Captulo 5: Introduccin a la Gestin de la Seguridad

Libro Electrnico de Seguridad Informtica y Criptografa v4.1

Captulo 5: Introduccin a la Gestin de la Seguridad

El factor B en la ecuacin de riesgo

Captulo 5: Introduccin a la Gestin de la Seguridad

De qu forma nos protegeremos?

Captulo 5: Introduccin a la Gestin de la Seguridad

Libro Electrnico de Seguridad Informtica y Criptografa v4.1

Captulo 5: Introduccin a la Gestin de la Seguridad

Pasos en un anlisis de riesgos

2. Determinar susceptibilidad. La probabilidad de prdida (P)

Captulo 5: Introduccin a la Gestin de la Seguridad

Algunas polticas de seguridad

Polticas de control de acceso

Polticas de flujo de informacin

Jorge Rami Aguirre

Madrid (Espaa) 2006

Captulo 5: Introduccin a la Gestin de la Seguridad

Libro Electrnico de Seguridad Informtica y Criptografa v4.1

Captulo 5: Introduccin a la Gestin de la Seguridad

Captulo 5: Introduccin a la Gestin de la Seguridad

Captulo 5: Introduccin a la Gestin de la Seguridad

Libro Electrnico de Seguridad Informtica y Criptografa v4.1

Captulo 5: Introduccin a la Gestin de la Seguridad

Qu es lo que hay que potenciar?

Captulo 5: Introduccin a la Gestin de la Seguridad

Jorge Rami Aguirre

Madrid (Espaa) 2006

Captulo 5: Introduccin a la Gestin de la Seguridad