Está en la página 1de 35

Planes de seguridad de la

informacin.

Planes de continuidad del


negocio

Contenido

Introduccin
PSI y PCN
Finalidad del PSI y PCN
Alcance del PSI y PCN
Importancia del PSI y PCN
Procedimientos utilizados

Qu es PSI?

Un Plan de Seguridad de la informacin


incluye todos los procesos/servicios
involucrados en la administracin de la
seguridad de la Informacin.

Qu es PSI?

Un PSI efectivo considera los


impulsadores de seguridad de
informacin de una organizacin para
determinar el alcance y enfoque de
los procesos involucrados en la
administracin de la seguridad.

Finalidad del PSI

La finalidad del PSI es proteger la


informacin y los activos de la
organizacin, tratando de conseguir
confidencialidad,
integridad
y
disponibilidad de los datos; y las
responsabilidades que debe asumir
cada uno de los empleados mientras
permanezcan en la organizacin.

Alcance de PSI
El alcance del desarrollo de un PSI es:
Evaluacin de riesgos de seguridad a
los que est expuesta la informacin.
Seleccin de controles y objetivos de
control para reducir, eliminar o evitar los
riesgos identificados, indicando las
razones de su inclusin o exclusin.
Definicin de polticas de seguridad.

Importancia del PSI

Permite
desarrollar
normas
y
procedimientos
que
pautan
las
actividades relacionadas con la
seguridad informtica y la tecnologa
de informacin.
Permite analizar la necesidad de
cambios o adaptaciones para cubrir
los riesgos existentes.

Importancia del PSI


Hace posible la concienciacin de los
miembros de la empresa acerca de la
importancia y sensibilidad de la
informacin y servicios crticos.
Permite conseguir el compromiso de la
institucin, agudeza tcnica para
establecer fallas, deficiencias, y
constancia para renovar y actualizar
las polticas en funcin de un ambiente
dinmico

PCN
PCN significa Plan de Continuidad del
Negocio, es un proceso diseado
para reducir el riesgo de la institucin
ante una interrupcin inesperada de
sus funciones / operaciones crticas,
independiente de si estas son
manuales o automatizadas, las cuales
son necesarias para la supervivencia
de la organizacin.

Finalidad del PCN


La finalidad del PCN es contar con una
estrategia planificada, una serie de
procedimientos que faciliten u orienten
a tener una solucin alternativa que
permita restituir rpidamente los
servicios de la organizacin ante la
eventualidad de paralizacin, ya sea
de forma parcial o total.

Alcance del PCN


El alcance del desarrollo del PCN es:

Anlisis de Impacto
Plan de Contingencia
Plan de Recuperacin de desastres

Anlisis de impacto
Es la identificacin de los diversos
eventos que podran impactar la
continuidad de las operaciones y la
organizacin.
Previamente
se
determina
la
clasificacin de seguridad de activos
asociados a la tecnologa mediante el
anlisis de riesgos.

Plan de contingencia
Del anlisis de impacto y riesgos, como
medida preventiva se genera el Plan de
Contingencias, que es un instrumento
sistematizado, que facilita y orienta la
consecucin de una solucin alternativa
que permita restituir rpidamente los
servicios de la organizacin.

Plan de recuperacin de desastres


Este plan tiene como objetivo la
evaluacin de la capacidad de la
empresa para restaurar los servicios
al nivel acordado de calidad, y de otra
parte
definir
el
proceso
para
desarrollar, comunicar y mantener
planes documentados y probados para
la continuidad del sistema de
informacin y de las operaciones del
negocio.

Importancia del PCN

Garantiza la continuidad del nivel


mnimo de servicios necesarios para
las operaciones crticas.

Permite que la institucin se


mantenga funcionando en caso de
una interrupcin y que sobreviva a
una interrupcin desastrosa de sus
sistemas de informacin.

Importancia del PCN

Permite recuperar la normalidad de


las actividades de la empresa
rpidamente.

Identifica las funciones de negocio y


los procesos esenciales para la
continua y eficiente operacin de la
empresa.

Seguridad Lgica
Los datos deben protegerse aplicando:

Seguridad Lgica
Uso de herramientas de proteccin de la
informacin en el mismo medio en el que
se genera o transmite.
Protocolos de autenticacin entre cliente
y servidor.
Aplicacin de normativas.

Seguridad Fsica
Los datos deben protegerse aplicando:

Seguridad Fsica
Procedimientos de proteccin fsica del
sistema: acceso personas, incendio,
agua, terremotos, etc.
Medidas de prevencin de riesgos tanto
fsicos como lgicos a travs de una
poltica de seguridad, planes de
contingencia, aplicacin de normativas,
etc.

Elementos a tener en cuenta. Entorno PC

Anclajes a mesas de trabajo.


Cerraduras.
Tarjetas con alarma.
Etiquetas con adhesivos especiales.
Bloqueo de disquetera.
Protectores de teclado.
Tarjeta de control de acceso al hardware.
Suministro ininterrumpido de corriente.
Toma de tierra.

Anlisis de riesgo. Plan estratgico


Es el proceso de identificacin y
evaluacin del riesgo a sufrir un ataque y
perder datos, tiempo y horas de trabajo,
comparndolo con el costo que
significara la prevencin de este suceso.
Su anlisis no slo nos lleva a establecer
un nivel adecuado de seguridad, sino
que permite conocer mejor el sistema
que vamos a proteger.

Informacin del anlisis de riesgo


Determinacin precisa de los recursos
sensibles de la organizacin.
Identificacin de las amenazas del sistema.
Identificacin
de
las
vulnerabilidades
especficas del sistema.
Identificacin de posibles prdidas.
Identificacin de la probabilidad de ocurrencia
de una prdida.
Derivacin de contramedidas efectivas.
Identificacin de herramientas de seguridad.
Implementacin de un sistema de seguridad
eficiente en costes y tiempo.

Ecuacin bsica del anlisis de riesgo

BPL?

B: Carga o gasto que significa la prevencin de


una prdida especfica por vulnerabilidad.
P: Probabilidad de ocurrencia de esa prdida
especfica.
L: Impacto total de dicha prdida especfica.

Cundo y cunto invertir en SI?


Si
BP*L
Hay que implementar una medida de
prevencin.
Si
BP*L
No es necesaria una medida de prevencin.

No obstante, siempre puede ocurrir una


desgracia que est fuera de todo clculo. Por
ejemplo, el ataque a las torres gemelas y sus
posteriores consecuencias informticas no
estaba
contemplado
en
ningn
plan
contingencia....

Efectividad del coste de la medida


Las medidas y herramientas de control han de
tener menos coste que el valor de las posibles
prdidas y el impacto de stas si se produce el
riesgo temido.
Ley bsica: el costo del control ha de ser menor
que el activo que protege. Algo totalmente lgico
y que tanto los directivos como los responsables
de seguridad de la empresa debern estimar de
forma adecuada a su realidad.

El factor L en la ecuacin de riesgo


Factor L (en B P L)
El factor de impacto total L es difcil de evaluar. Incluye
daos a la informacin, a los equipos, prdidas por
reparacin, por volver a levantar el sistema, prdidas
por horas de trabajo, etc.
Siempre habr una parte subjetiva.
La prdida de datos puede llevar a una prdida de
oportunidades por el llamado efecto cascada.
En la organizacin debe existir una comisin
especializada interna o externa que sea capaz de
evaluar todas las posibles prdidas y cuantificarlas.

El factor P en la ecuacin de riesgo


Factor P (en B P L)
El factor P est relacionado con la
determinacin del impacto total L y depende
del entorno en el que est la posible
prdida. Como este valor es difcil de
cuantificar, dicha probabilidad puede
asociarse a una tendencia o frecuencia
conocida.

El factor B en la ecuacin de riesgo


Factor B (en B P L)
Indica qu se requiere para prevenir una
prdida. Es la cantidad de dinero que vamos a
disponer para mitigar la posible prdida.
Ejemplo: la carga de prevencin para que un sistema
informtico minimice el riesgo de que sus servidores
sean atacados desde fuera incluye la instalacin de
software y hardware adecuado, un cortafuegos, un
sistema de deteccin de intrusos, una configuracin
de red segura, una poltica de seguimiento de
accesos y de passwords, personal tcnico cualificado,
etc. Todo ello importa una cantidad de dinero
especfica.

Cuantificacin de la proteccin
BPL?
Cunta proteccin es necesaria?
En nuestro ejemplo: qu configuracin de red usar,
en qu entorno trabajar, qu tipo de cortafuegos, etc.
Eso depender del novel de seguridad que nuestra
empresa desee o crea oportuno.

De qu forma nos protegeremos?


Una casa puede protegerse con puertas, cerraduras,
barras en ventanas, sistemas de alarmas, etc.
En un sistema informtico podemos aplicar medidas
fsicas, polticas de seguridad de accesos, planes de
contingencia y recuperacin, cortafuegos, cifrado de
la informacin, firmas, pasarelas seguras, etc.

Pasos en un anlisis de riesgos

1. Identificacin costo
posibles prdidas (L)

Se
cierra
el
ciclo

Identificar amenazas

3. Identificar posibles
acciones (gasto) y sus
implicaciones. (B)
Seleccionar acciones a
implementar.

B PL ?
2. Determinar susceptibilidad.
La probabilidad de prdida (P)

Algunas polticas de seguridad


Polticas administrativas
Procedimientos administrativos.

Polticas de control de acceso


Privilegios de acceso del usuario o
programa.

Polticas de flujo de informacin


Normas bajo la cuales se comunican los
sujetos dentro del sistema.

Aspectos administrativos
Polticas administrativas
Se establecen aquellos procedimientos
de carcter administrativo en la
organizacin como por ejemplo en el
desarrollo de programas: modularidad en
aplicaciones, revisin sistemtica, etc.
Se establecen responsabilidades
compartidas por todos los usuarios, cada
uno en su nivel.

Control de accesos
Polticas de control de acceso
Poltica de menor privilegio
Acceso estricto a objetos determinados, con
mnimos privilegios para los usuarios.

Poltica de comparticin
Acceso de mximo privilegio en el que cada
usuario puede acceder a todos los objetos.

Granularidad
Nmero de objetos accesibles. Se habla
entonces de granularidad gruesa y fina.

Control de flujo
Polticas de control de flujo
La informacin a la que se accede, se enva y
recibe por:
Canales claros o canales ocultos? Seguros o no?

Qu es lo que hay que potenciar?


La confidencialidad o la integridad?
La disponibilidad? ... El no repudio?
Segn cada organizacin y su entorno de trabajo y
servicios ofrecidos, habr diferencias. En algunos
sistemas primarn unos ms que otros, en funcin de
cun secreta es la informacin que procesan.

Modelos de seguridad
Modelo de Bell LaPadula (BLP)
Rgido. Confidencialidad y con autoridad.
Modelo de Take-Grant (TG)
Derechos especiales: tomar y otorgar.
Modelo de Clark-Wilson (CW)
Orientacin comercial: integridad.
Modelo de Goguen-Meseguer (GM)
No interferencia entre usuarios.
Modelo de Matriz de Accesos (MA)
Estados y transiciones entre estados
Tipo Graham-Dennig (GD)
Tipo Harrison-Ruzzo-Ullman (HRU)

Modelo de Bell LaPadula BLP


La escritura hacia abajo est
prohibida.
La lectura hacia arriba est prohibida.
Es el llamado principio de tranquilidad.
No lectura hacia arriba
usuario dado de alta
con un nivel secreto

No escritura hacia abajo

Secreto mximo
Secreto

No clasificado

También podría gustarte