Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ÍNDICE + Introducción 3
+ Anatomía de un programa
sólido de seguridad 3
+ Coste de información de
incidentes de seguridad 5
+ Parches y evaluación de
vulnerabilidades 8
+ Conclusión 9
LIBRO BLANCO
Introducción
La seguridad de la información exige actualmente un nivel importante de atención
por parte de las organizaciones, sin embargo, el método tradicional de identificación
de riesgos ha demostrado ser insuficiente en términos puramente técnicos. En la
actualidad, las organizaciones deben considerar las áreas que afectan verdaderamente
a la seguridad de la información e integrar tales descubrimientos en un programa
global de gestión de riesgos para asegurar las inversiones en tecnología de forma
eficaz y apropiada.
Los modelos de seguridad periférica se han convertido en práctica común para
proteger infraestructuras e informaciones comerciales clave. En concreto, los
controles de seguridad entre Internet y la red interna de la organización se han
convertido en un importante centro de atención de inversión en materia de
tecnología. Aunque estas organizaciones pueden haber establecido un potente sistema
de seguridad periférica, esta medida de precaución sólo supone una primera línea de
defensa. Si una organización desea proteger adecuadamente toda su información
relevante, necesita algo más que los últimos sistemas de hardware y software en
seguridad. En los procesos comerciales esenciales, una empresa debe idear y aplicar
una mezcla de estrategias provisionales y permanentes para alcanzar y mantener un
nivel adecuado de protección.
VeriSign, basándose en su experiencia de gestión de servicios inteligentes de
infraestructura de Internet y de recopilación de datos en el control de sistemas de
detección de intrusiones y redes en el entorno de Managed Security Services de
VeriSign®, así como en la experiencia adquirida en sus actividades de consultoría y de
evaluación de vulnerabilidades, ha desarrollado una práctica de gestión de riesgos
comerciales de seguridad de información.
Los resultados positivos de gestión de seguridad de programas, además de propor-
cionar una recuperación eficaz de incidentes de seguridad, presentan beneficios
tangibles para los clientes de VeriSign en su gestión diaria.
Anatomía de un programa
sólido de seguridad
Las investigaciones de VeriSign indican que las organizaciones con los mejores
programas de gestión de seguridad comparten características importantes. Basándose
en estas investigaciones, VeriSign ha desarrollado un conjunto de criterios para
evaluar la eficacia de los programas de gestión de seguridad y, en particular,
programas de gestión de amenazas y vulnerabilidades.
Entre estos criterios se incluyen:
• Un inventario completo de sistemas comerciales críticos: (Es un componente
clave si se aplica la gestión de amenazas y vulnerabilidades a la gestión de riesgos
comerciales. El nivel de riesgo o amenazas a los sistemas que respaldan un
proceso comercial concreto es esencial para integrar la gestión de riesgos
comerciales y los programas de seguridad de la información. Los programas de
seguridad eficaces dan prioridad a las inversiones en los principales riesgos
comerciales. Por desgracia, la falta de comprensión de los sistemas que respaldan
un proceso comercial pueden causar una recuperación prolongada cuando se
necesita respuesta a un incidente.)
• Programas de control minuciosos para detectar intentos de ataques contra
sistemas comerciales clave y sus dominios
3
LIBRO BLANCO
1
Otras secciones de la ley incluyen el Código Civil de California 1798.29 y 1798.84. Esta ley también recibe la denominación de California
Database Protection Act o California Security Breach Information Act. Si desea más información, visite la página
http://info.sen.ca.gov/pub/01-02/bill/sen/sb_1351-1400/sb_1386_bill_20020926_chaptered.html.
4
LIBRO BLANCO
Si se cumple este marco, los riesgos del sistema, incluyendo vulnerabilidades, defectos
de diseño y/o defectos de controles, se pueden describir mejor. Conocer los riesgos,
los modos de fallos en particular, comienza con una clara definición de los términos
y con un esfuerzo de asegurar que el lenguaje se desarrolla apropiadamente. Como
resultado, si un accidente de seguridad implica una decisión ejecutiva como una
estrategia “de avance”, ya se estará aplicando el plan de gestión de riesgos para
mitigar dicha amenaza. Este marco incluye el desarrollo del lenguaje para describir
riesgos de procesos comerciales y programas de operaciones de respaldo con los
niveles adecuados de gasto operacional y capital, dando como resultado programas de
seguridad válidos y rentables.
Coste de información de
incidentes de seguridad
Los incidentes de coste de seguridad pueden tener un gran impacto económico,
además de sanciones regulatorias, pérdida de confianza de los clientes y acciones
legales por parte de consumidores particulares. La mayoría de empresas incluidas en
la lista de Fortune 500 sufren cientos de incidentes cada año, aunque sólo un
pequeño porcentaje de estos incidentes tienen como resultado una pérdida
económica. Sin embargo, cuando se producen pérdidas, éstas suelen exceder los
costes asociados con los sistemas iniciales de evaluación de riesgos, de gestión
continuada de riesgos y programas de seguridad de la información, que se centran en
proteger los procesos comerciales clave y los sistemas y aplicaciones subyacentes que
los respaldan.
A medida que las organizaciones siguen confiando en la tecnología para asegurar
procesos comerciales basados en la Web, aumentan los riesgos en la seguridad. Es
necesario identificar y gestionar estos riesgos para que el gasto relacionado con la
información sea proporcional a los riesgos comerciales, la gestión de riesgos y los
procesos comerciales clave, esenciales para que una organización pueda generar
ingresos o sufragar operaciones. Mantener un gasto en función de las amenazas
generalizadas de la actividad global de Internet o de acuerdo con patrones de ataques
concretos no es un método razonable, ya que no encara la forma en la que una
amenaza puede o no afectar a la organización. El hecho de tener presencia en
Internet hace que una organización sea vulnerable, sin embargo, en la gran mayoría
de los casos, las grandes pérdidas tienen su origen en las acciones de usuarios
internos con acceso autorizado a la red y a sus recursos.
Independientemente del origen de la amenaza, es necesario contar con controles de
seguridad apropiados y por niveles, junto con programas globales de evaluación,
planificación y recuperación, para hacer frente a las amenazas de seguridad y a la
creciente lista de requisitos legales.
El componente esencial de la gestión de riesgos es la planificación de un incidente
inevitable y asegurar que los planes de respuesta diseñados reducen el impacto en la
organización. La planificación de respuesta de incidentes, globalmente, está muy
relacionada con el conocimiento de procesos comerciales clave y los modos de fallo
relacionados con cada uno de ellos, y con el desarrollo y aplicación de contramedidas
proactivas de detección, prevención y reacción para cada fallo potencial.
Para mantener la rentabilidad y asegurar que la inversión en seguridad de la
información no se aplica igualmente al valor variable de bienes de computación
distribuidos, las organizaciones deben conocer y mantener la prioridad de los sistemas
y aplicaciones críticas en las que se fundamentan sus actividades comerciales
5
LIBRO BLANCO
$100.000
$80.000
Coste
$60.000
$40.000
$20.000
$0
2001 2002 2003
Año
6
LIBRO BLANCO
20
15
Días
10
0
2001 2002 2003
Año
7
LIBRO BLANCO
GESTIÓN EFECTIVA
DE PARCHES Parches y evaluación de
“El baloncesto es como la
vulnerabilidades
guerra; las armas ofensivas se
desarrollan primero, mientras
Controlar o reducir el umbral de oportunidades después de descubrir una vulnerabilidad
que las defensivas necesitan
es un factor esencial a la hora de minimizar los riesgos. Por desgracia, en ocasiones se
más tiempo.” 2
suele producir un ataque antes de que se pueda aplicar un parche. En estos casos, las
únicas opciones de reducción de riesgos son los controles de compensación con los
Red Auerbach, mítico entrenador de
riesgos específicos que recomienda el proveedor de software o la aplicación de los
Boston Celtics en las décadas de los
planes de respuesta preparados. Qualys, una empresa de servicios de evaluación de
50 y 60.
vulnerabilidades, publicó un estudio en el que se afirmaba que el 80 por ciento de
los casos de vulnerabilidades no se resuelven ni siquiera transcurridos 60 días desde
El servicio Alert Service de VeriSign®,
su descubrimiento.
un componente de Managed
Vulnerability Protection Service de La verdadera magnitud del problema y el riesgo que representa, si no se le da una
VeriSign, ha detectado más de mil solución rápida, hacen que las organizaciones tomen decisiones arriesgadas: ¿qué parches
vulnerabilidades diferentes en son los apropiados y a qué sistemas se deben aplicar? Los clientes de VeriSign obtienen
plataformas de clientes. mejores resultados si utilizan el modelo recomendado de gestión de riesgos. En primer
lugar, conociendo los modos de fallos del sistema y preparando un plan de gestión de
Teniendo en cuenta que la mayoría de vulnerabilidades adecuado que incorpore estrategias de reducción de riesgos como:
las organizaciones dependen de un
sistema que se compone de tecnologías • Refuerzo del sistema operativo
procedentes de diferentes proveedores, • Desarrollo y administración de entornos de operaciones estándar con una
el número de vulnerabilidades y parches configuración más compacta y específica, con menos lagunas que posibiliten un
constituyen un problema en la gestión entorno más controlado con menos necesidades de parches
de cambios. Cada vulnerabilidad en un
sistema de producción representa una
• Distribución de la red en compartimentos
necesidad de pruebas, aplicación de • Formulación de políticas de contingencia para IDS, cortafuegos y enrutadores
parches, comprobaciones de eficacia y para descubrir vulnerabilidades a las que no se pueden aplicar parches
gestión del flujo de trabajo. • Gestión de los parches como un programa global de gestión de la configuración
La mayoría de las organizaciones Cada una de estas estrategias se ve respaldada por un conjunto de tecnologías que
consideran la gestión de vulnera- asegura las mejores prácticas en este área.
bilidades como un proceso mucho
más simple y no cuentan con un plan
para el día en que no puedan aplicar
de forma efectiva un parche, si bien
son conscientes de los casos que se
dan en sistemas vulnerables. Alert
Service de VeriSign les proporciona a
esas organizaciones un sistema de
alerta muy necesario.
2
Fuente: Qualys, Laws of Vulnerabilities, 30 de julio de 2003.
8
LIBRO BLANCO
Conclusión
VeriSign recomienda a las empresas que tengan en cuenta el riesgo comercial como una
guía de información de gastos en materia de seguridad. Los riesgos comerciales, como
las responsabilidades en las que se incurre por incumplir normas y leyes guberna-
mentales y por poner en riesgo la información de clientes, pudiendo ocasionar el robo
de información y los fallos de seguridad, suponen una gran amenaza para las
organizaciones. Los clientes más importantes de VeriSign emplean una estrategia de
protección comercial para identificar sistemas críticos, determinar sus condiciones de
fallo y crear controles que puedan detectar o eliminar estos fallos y respaldar estos
controles con funciones que permiten un control ininterrumpido y respuesta de
incidentes.
+ Información adicional
Si desea obtener más información acerca de los servicios Managed Security Services
de VeriSign, llame al teléfono 900 93 1298 o envíe un correo electrónico a
ventas@verisign.es.
Si desea más información, visítenos en www.verisign.es
Nota: VeriSign adquirió en febrero de 2004 el prestigioso Guardent, líder reconocido en servicios de seguridad Managed Security Services (MSS).
Los servicios de consultoría y gestión de seguridad de Guardent se han incorporado a la cartera de soluciones de VeriSign.
© 2005 VeriSign Spain, S.L. Todos los derechos reservados. VeriSign, el logotipo de VeriSign y otras marcas comerciales, marcas de servicio y
logotipos son marcas registradas o no registradas de VeriSign y sus filiales en Estados Unidos y otros países. El resto de las marcas son marcas
registradas de sus respectivos propietarios.
00018854