Está en la página 1de 3

Plan de Seguridad (Parte 1)

Activos de la Información: Es todo aquello que tiene un valor real, nuestros datos de clientes
proveedores, el software (programas) que utilizamos, hardware (equipos).

Todos estos activos hay que inventariarlos, y asignarles valor para nuestra empresa, es decir, si me
interesa que mi página sea pública y la vea todo el mundo, la disponibilidad de ese recurso es
básica, no su confidencialidad. En cambio, la base de datos debe ser privada, su confidencialidad e
integridad es más importante.

Evaluar los riesgos,es decir configurar un balance entre las amenazas y las defensas

Ahora es el momento de pensar que medidas o tipo de medidas,queremos o podemos aplicar para
proteger cada activo de la información.Siempre tomaremos medidas lógicas,que seamos capaces
de aplicar y estén a nuestro alcance.

Es mejor aplicar las medidas mas urgentes primero,y organizar un sistema en el tiempo que
permita ir mejorando,de forma progresiva iremos aplicando nuevas medidas,dentro de nuestras
posibilidades para mejorar la seguridad.
Lo primero es asegurar la parte del recurso,es decir de este recurso concreto,¿Que quiero
proteger?La Confidencialidad,La Integridad o La Disponibilidad.Una Pagina WEB es la imagen de
una compañía,no debería ser modificada....Esto seria mantener la Integridad,nuestro negocio
genera ingresos mediante esa pagina hay que evitar que se detenga (por ejemplo mediante un
ataque DoS),esto es defender la Disponibilidad,si además la pagina tiene acceso a una base de
datos el comprometer la pagina puede ocasionar que se acceda a esos datos,proteger esos datos
por ejemplo mediante Https,seria proteger la Confidencialidad de nuestros clientes y evitar
modificaciones otra vez la Integridad.

Como ya habréis visto en un mismo recurso,quizás nos interese defender las tres cosas,o una
solo,según el caso y el uso de ese recurso dentro de nuestro negocio.

Algunos métodos para proteger los recursos son :

Confidencialidad:Se trata de que personas no autorizadas no accedan a recursos o información


para los que no están autorizados,hay varios peligros básicos,el acceso,que se protege mediante
contraseñas,biometrica,dispositivos físicos.

El acceso al entorno,mediante firewalls,evitar vulnerabilidades (mantener actualizado el


software),control de usuarios y permisos,segregación de redes(Vlan).

El acceso a la información mientras viaja,Wifi,Cifrado,VPN(Redes privadas virtuales).

Hay que distinguir también entre Identificacion y Autentificacion,aunque parecen términos


similares es vital diferenciarlos y tratarlos en consecuencia.

Integridad:Si no podemos confiar en que el contenido de los datos,no fue modificado,o que la
fuente de la información,no sea quien dice ser tenemos un problema,por ese motivo publique el
post de los certificados uno de los objetivos de los certificados es garantizar el remitente de la
pagina,mensaje,mail y además garantizar que el mensaje no fue alterado.Aqui podeis ver el
articulo.

Cuando descargamos un archivo,en el lugar de descarga suele estar su MD5,eso es el resultado de


unas operaciones matemáticas que garantizan que el archivo descargado es igual al que se
pretendía bajar.
Hablaremos proximamente de ello......MD5,Sha,etc.

El cifrado garantiza que los datos no puedan leerse (o casi),pero es el aplicar un hash,lo que
garantiza que no fue alterada la información.

Otras medidas como un Firewall o la programacion segura,ayudan a proteger la integridad de la


información,base de datos,etc.

Disponibilidad:El tener acceso a un recurso es básico,según la empresa y el recurso y en algunos


momentos puede ser crucial,este es un tema largo y complicado porque mantener la
disponibilidad,es difícil y muy diferente según de que se trate.Lo primero es tener las mínimas
vulnerablidades,firewall,IDS,un buen diseño de Red,configuraciones adecuadas,actulizaciones y
sobre todo aplicar una buena política de seguridad y mantenerla.

Y luego duplicidad y backup,osea copia de seguridad de todo lo importante,y con copia no quiero
decir hacer un backup,hay que seguir haciéndolo,mantenerlo actualizado y cada cierto tiempo
probar si los backup en realidad restauran de forma eficaz la información.

Y para los recursos indispensables,hay que duplicar recursos,una web lista para ser
subida,virtualizacion,varios servidores o ISP.Esto es lo mas costoso,pero si hace falta..........

Espero que os haya gustado,iremos desarrollando todos estos temas uno por uno