Documentos de Académico
Documentos de Profesional
Documentos de Cultura
05GestionSegPDFc PDF
05GestionSegPDFc PDF
Este archivo forma parte de un curso completo sobre Seguridad Informtica y Criptografa. Se autoriza el uso,
reproduccin en computador y su impresin en papel, slo con fines docentes y/o personales, respetando los
crditos del autor. Queda prohibida su comercializacin, excepto la edicin en venta en el Departamento de
Publicaciones de la Escuela Universitaria de Informtica de la Universidad Politcnica de Madrid, Espaa.
Magerit V 2 http://www.csi.map.es/csi/pg5m20.htm
Factor P (en B P L)
El factor P est relacionado con la determinacin
del impacto total L y depende del entorno en el
que est la posible prdida. Como este valor es
difcil de cuantificar, dicha probabilidad puede
asociarse a una tendencia o frecuencia conocida.
Una vez se conoce P para un L dado, se obtiene la
probabilidad de prdida relativa de la ocurrencia PL
que se comparar con B, el peso que nos supondra
implantar la medida de prevencin respectiva.
Cuantificacin de la proteccin
BPL?
Cunta proteccin es necesaria?
En nuestro ejemplo: qu configuracin de red usar, en
qu entorno trabajar, qu tipo de cortafuegos, etc. Eso
depender del nivel de seguridad que nuestra empresa
desee, crea oportuno o que nos imponga el mercado.
De qu forma nos protegeremos?
Una casa puede protegerse con puertas, cerraduras, barras
de hierro en ventanas, sistemas de alarmas, etc.
En un sistema informtico podemos aplicar protecciones
fsicas, polticas de seguridad, control de accesos, planes
de contingencia y de recuperacin, cortafuegos, IDs, uso
de cifrado, autenticacin, firmas, pasarelas seguras, etc.
B PL ?
2. Determinar susceptibilidad.
La probabilidad de prdida (P)
Polticas administrativas
Procedimientos administrativos.
Polticas de control de acceso
Privilegios de acceso del usuario o programa.
Polticas de flujo de informacin
Normas bajo las cuales se comunican los
sujetos dentro del sistema.
Aspectos administrativos
Polticas administrativas
Se establecen aquellos procedimientos de
carcter administrativo en la organizacin
como por ejemplo en el desarrollo de
programas: modularidad en aplicaciones,
revisin sistemtica, etc.
Se establecen responsabilidades compartidas
por todos los usuarios, cada uno en su nivel.
Se procede a la etapa de concienciacin.
Control de accesos
Control de flujo
Polticas de control de flujo
La informacin a la que se accede, se enva y
recibe por:
Canales claros o canales ocultos? Seguros o no?
Qu es lo que hay que potenciar?
La confidencialidad o la integridad?
La disponibilidad? ... El no repudio?
Segn cada organizacin y su entorno de trabajo y
servicios ofrecidos, habr diferencias. En algunos
sistemas primarn unos ms que otros, en funcin
de lo secreta que sea la informacin que procesan.
Modelos de seguridad
http://en.wikipedia.org/wiki/Bell-LaPadula_model
http://www.criptored.upm.es/guiateoria/gt_m248c.htm
Biba http://www.criptored.upm.es/guiateoria/gt_m248a.htm
Harrison, Ruzzo y Ullman http://www.criptored.upm.es/guiateoria/gt_m248e.htm
Chinese Wall http://www.criptored.upm.es/guiateoria/gt_m248d.htm
Sea View: bases de datos http://www.criptored.upm.es/guiateoria/gt_m248f.htm
http://www.csi.map.es/csi/criterios/seguridad/index.html
http://www.agpd.es/index.php?idSeccion=77
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Ley%2015_99.pdf
http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=17799
http://www.criptored.upm.es/guiateoria/gt_m209b.htm
Planes de contingencia
Un Plan de Contingencia consiste en un estudio y anlisis
pormenorizado de las reas que componen la organizacin y
que nos servir para establecer una poltica de recuperacin
ante un desastre.
Es un conjunto de datos estratgicos de la empresa y que
se plasma en un documento con el fin de protegerse ante
eventualidades.
Adems de aumentar su seguridad, con un plan estratgico la
empresa tambin gana en el conocimiento de sus fortalezas y sus
debilidades.
Pero si no lo hace, se expone a sufrir una prdida irreparable
mucho ms costosa que la implantacin de este plan.
Ciclo PDCA
Plan
Poltica y Alcance del sistema
Anlisis de riesgos
Seleccin de controles
Auditora interna
No conformidades
Grado de cumplimiento
Check
Prdida de clientes.
Prdida de imagen.
Prdida de ingresos por beneficios.
Prdida de ingresos por ventas y cobros.
Prdida de ingresos por produccin.
Prdida de competitividad en el mercado.
Prdida de credibilidad en el sector.
Plan de emergencia
Vidas, heridos, activos, evacuacin personal.
Inventariar recursos siniestrados.
Evaluar el coste de la inactividad.
Plan de recuperacin
Acciones tendentes a volver a la situacin que
exista antes del desastre.
http://recovery-disaster.info/index.htm
Cuestiones y ejercicios (1 de 2)
1. Qu es y qu significa hacer un anlisis de riesgos?
2. Explique el sentido de las ecuaciones B > PL y B PL.
3. Tras un estudio, obtenemos B > PL, podemos estar totalmente
tranquilos al no utilizar medida alguna de prevencin?
4. Explique qu significan los factores L y P en la ecuacin B > PL.
5. Cules son los pasos a seguir en un anlisis de riesgo de acuerdo a
los factores de la ecuacin de B > PL?
6. En algunos sistemas de gestin de informacin a veces prima ms el
elemento confidencialidad, en cambio en otros ms el de integridad.
D algunos ejemplos en que pueda cumplirse al menos en parte este
escenario. Qu opina respecto a una transaccin electrnica?
7. Comente el modelo de seguridad de Bell Lapadula. Por qu se le
llama el modelo de la tranquilidad?
Cuestiones y ejercicios (2 de 2)
8. Ud. es el responsable de seguridad y detecta que un empleado est
robando informacin confidencial, cmo reaccionara?
9. Cules pueden ser las prdidas en una empresa si no se cuenta con
un adecuado Plan de Contingencia y sucede un desastre?
10. Qu es un Plan de Contingencia y por qu es importante?
11. Nuestra empresa est a medias entre el rubro distribucin y el de las
finanzas. Resulta estratgico tener aqu un Plan de Contingencia?
12. Qu soluciones tenemos para que un banco no se vea afectado por
un desastre y pueda seguir trabajando con sus clientes con un tiempo
de recuperacin bajo o mnimo? Cmo sera su coste?
13. Se pueden prever situaciones extremas como lo acontecido con las
torres gemelas? En que tipo de empresas o instituciones no deben
descartarse estos extremos? En una empresa que vende coches?