PROTECCIN LGICA Y FSICA DE LOS DATOS

Los datos deben protegerse aplicando: Seguridad Lgica Uso de herramientas de proteccin de la informacin en el mismo medio en el que se genera o transmite. Protocolos de autenticacin entre cliente y servidor. Aplicacin de herramientas de seguridad en redes. Se incluyen tambin medidas de prevencin de riesgos y la instauracin de polticas de seguridad, de planes de contingencia, de recuperacin ante desastres, aplicacin de normativas, la legislacin vigente, etc. Seguridad Fsica Procedimientos de proteccin fsica del sistema: acceso personas, incendio, agua, terremotos, etc.

LA SEGURIDAD FSICA EN ENTORNOS DE PCS

Anclajes a mesas de trabajo. Temas a tener Cerraduras en puertas. en cuenta en un entorno de PCs Tarjetas con alarma. Etiquetas con adhesivos especiales. Bloqueo de unidades externas. Protectores de teclado. Tarjeta de control de acceso al hardware. Sistema de suministro continuo de corriente. Toma de tierra. Eliminacin de la esttica... etc.

ANLISIS DE RIESGO: PLAN ESTRATGICO

Es el proceso de identificacin y evaluacin del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparndolo con el costo que significara la prevencin de este suceso. Su anlisis no slo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger.

INFORMACIN DEL ANLISIS DE RIESGO

Informacin que se obtiene en un anlisis de riesgo:
Determinacin precisa de los recursos sensibles de la organizacin. Identificacin de las amenazas del sistema. Identificacin de las vulnerabilidades especficas del sistema. Identificacin de posibles prdidas. Identificacin de la probabilidad de ocurrencia de una prdida. Derivacin de contramedidas efectivas. Identificacin de herramientas de seguridad. Implementacin de un sistema de seguridad eficiente en costes y tiempo.

ECUACIN BSICA DEL ANLISIS DE RIESGO

BPL?

B: es la carga o gasto que significa la prevencin de una prdida especfica debido a una vulnerabilidad. P: es la probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa prdida especfica. L: es el impacto o coste total que significa la prdida especfica debido a esa vulnerabilidad que ha sido afectada por una amenaza.

CUNDO Y CUNTO INVERTIR EN SEGURIDAD?

Si Si BPL Hay que implementar una medida de prevencin. BPL

No es necesaria una medida de prevencin.

... al menos matemticamente. No obstante, siempre puede ocurrir una desgracia que est fuera de todo clculo. Lo que s es cierto, es que no tiene sentido alguno invertir ms dinero en la proteccin del bien que el propio valor de ste.

EL FACTOR L EN LA ECUACIN DE RIESGO

Factor L (

en B P L)

El factor de impacto total L es difcil de evaluar. Incluye daos a la informacin, a los equipos, prdidas por reparacin, por volver a levantar el sistema, prdidas por horas de trabajo, etc. Siempre habr una parte de valoracin subjetiva. La prdida de datos puede llevar a una prdida de oportunidades por el llamado efecto cascada. En la organizacin debe existir una comisin especializada interna o externa que sea capaz de evaluar todas las posibles prdidas y cuantificarlas.

EL FACTOR P EN LA ECUACIN DE RIESGO

en B P L) El factor P est relacionado con la determinacin del impacto total L y depende del entorno en el que est la posible prdida. Como este valor es difcil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.
Factor P (

Una vez que se conoce P para un L dado, se obtiene la probabilidad de prdida relativa de la ocurrencia P L que se comparar con B, el peso que nos supondra implantar la medida de prevencin respectiva.

EL FACTOR B EN LA ECUACIN DE RIESGO

en B P L) Indica qu se requiere para prevenir una prdida. Por ejemplo, puede ser la cantidad de dinero que vamos a disponer para mitigar la posible prdida.
Factor B (

Ejemplo: la carga de prevencin para que un sistema informtico minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalacin de software y hardware adecuado, un cortafuegos, un sistema de deteccin de intrusos, una configuracin de red segura, una poltica de seguimiento de accesos y de passwords, personal tcnico cualificado, etc. Todo ello importa una cantidad de dinero especfica.

CUANTIFICACIN DE LA PROTECCIN
BPL?
Cunta proteccin es necesaria?
En nuestro ejemplo: qu configuracin de red usar, en qu entorno trabajar, qu tipo de cortafuegos, etc. Eso depender del nivel de seguridad que nuestra empresa desee, crea oportuno o que nos imponga el mercado.

De qu forma nos protegeremos?

Una casa puede protegerse con puertas, cerraduras, barras de hierro en ventanas, sistemas de alarmas, etc. En un sistema informtico podemos aplicar protecciones fsicas, polticas de seguridad, control de accesos, planes de contingencia y de recuperacin, cortafuegos, IDs, uso de cifrado, autenticacin, firmas, pasarelas seguras, etc.

PASOS EN UN ANLISIS DE RIESGOS

1. Identificacin costo posibles prdidas (L)
Identificar amenazas

Se cierra el ciclo

3. Identificar posibles acciones (gasto) y sus implicaciones (B). Seleccionar acciones a implementar.

B PL ?

2. Determinar susceptibilidad. La probabilidad de prdida (P)

ALGUNAS POLTICAS DE SEGURIDAD

Polticas administrativas
Procedimientos administrativos.

Polticas de control de acceso

Privilegios de acceso del usuario o programa.

Polticas de flujo de informacin

Normas bajo las cuales se comunican los sujetos dentro del sistema.

ASPECTOS ADMINISTRATIVOS
Polticas administrativas
Se establecen aquellos procedimientos de carcter administrativo en la organizacin como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisin sistemtica, etc. Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel. Se procede a la etapa de concienciacin.

CONTROL DE ACCESOS
Polticas de control de acceso
Poltica de menor privilegio
Acceso estricto a objetos determinados, con mnimos privilegios para los usuarios.

Poltica de comparticin
Acceso de mximo privilegio en el que cada usuario puede acceder a todos los objetos.

Granularidad
Nmero de objetos accesibles. Se habla entonces de granularidad gruesa y fina.

CONTROL DE FLUJO
Polticas de control de flujo
La informacin a la que se accede, se enva y recibe por:
Canales claros o canales ocultos? Seguros o no?

Qu es lo que hay que potenciar?

La confidencialidad o la integridad? La disponibilidad? ... El no repudio? Segn cada organizacin y su entorno de trabajo y servicios ofrecidos, habr diferencias. En algunos sistemas primarn unos ms que otros, en funcin de lo secreta que sea la informacin que procesan.

PLANES DE CONTINGENCIA
Un Plan de Contingencia consiste en un estudio y anlisis pormenorizado de las reas que componen la organizacin y que nos servir para establecer una poltica de recuperacin ante un desastre. Es un conjunto de datos estratgicos de la empresa y que se plasma en un documento con el fin de protegerse ante eventualidades.

Adems de aumentar su seguridad, con un plan estratgico la empresa tambin gana en el conocimiento de sus fortalezas y sus debilidades. Pero si no lo hace, se expone a sufrir una prdida irreparable mucho ms costosa que la implantacin de este plan.

ACCIONES A REALIZAR EN UN SGSI

El Plan de Contingencia ser una herramienta imprescindible en un Sistema de Gestin de la Seguridad Informtica (SGSI). Acciones: Planificar: estudiar la implantacin de la poltica de seguridad adoptada, alcances que tendr la gestin, anlisis de riesgos que se harn, establecimiento de controles que activaremos, etc. Hacer: implantar el sistema de gestin, poner y activar los controles, registros e indicadores. Toma de datos del estado de la seguridad. Verificar: realizar una auditora interna para comprobar el grado de cumplimiento de nuestro sistema. Actuar: realizar el seguimiento de la gestin y tomar las medidas correctivas as como las acciones preventivas correspondientes.

Se cierra el ciclo ajustando las acciones planificadas si fuera el caso. Ciclo ms conocido por las siglas PDCA (Plan - Do - Check - Act)

CICLO PDCA
Plan
Poltica y Alcance del sistema Anlisis de riesgos Seleccin de controles Acciones correctivas Acciones preventivas Modificacin Plan

Act

Implantacin del SGSI Implantacin controles Implantacin indicadores

Do

Auditora interna No conformidades Grado de cumplimiento

Check

DESASTRES NATURALES Y SU PREVENCIN

Desastres naturales
Huracn Tormenta Inundacin

Medidas prevencin
Emplazamientos adecuados Proteccin fachadas, ventanas, puertas

Tornado
Vendaval Incendio Terremoto

Otros

VANDALISMO INFORMTICO Y SU PREVENCIN

Terrorismo
Sabotaje Robo

Medidas de prevencin
Fortificacin de entradas Guardia Jurado Patrullas de seguridad Circuito cerrado TV Control fsico de accesos

Virus
Chantaje informtico Programas malignos

Proteccin de software y hardware con antivirus, cortafuegos, deteccin de intrusos, etc. Seguimiento de las polticas de seguridad de la empresa.

AMENAZAS DEL AGUA Y SU PREVENCIN

Amenazas Medidas prevencin

Inundaciones por causas propias de la empresa

Inundaciones por causas ajenas Pequeos incidentes personales (la tpica botella de agua o taza con caf que se cae sobre el teclado...)

Revisar conductos de agua

Emplazar la sala con los equipos ms caros en un sitio libre de estos problemas Instalar sistemas de drenaje de emergencia Concienciar a nuestros empleados

AMENAZAS DEL FUEGO Y SU PREVENCIN

Amenazas Una mala instalacin elctrica Descuidos personales como puede ser fumar en sala de ordenadores Medidas prevencin Detector humo y calor Materiales ignfugos Almacn de papel separado de mquinas Estado del falso suelo Extintores revisados

Papeleras mal ubicadas en la que se tira un cigarrillo no apagado

Vulnerabilidades del sistema ante el humo

Es la amenaza ms temida por su rpido poder destructor.

TIEMPOS DE RECUPERACIN ANTE DESASTRES

Segn diversos estudios el perodo mximo de inactividad que puede soportar una empresa sin poner en peligro su supervivencia es de: Sector seguros: 5,6 das Sector fabricacin: 4,9 das Sector industrial: 4,8 das Sector distribucin: 3,3 das Sector financiero: 2,0 das
Si nos han dicho que nuestro banco tiene problemas de seguridad y no podemos mover nuestras cuentas, lo ms seguro es que cambiemos de banco al da siguiente.

PRDIDAS POR NO CONTAR CON PLAN ESTRATGICO

Prdida de clientes. Prdida de imagen. Prdida de ingresos por beneficios. Prdida de ingresos por ventas y cobros.

Prdida de ingresos por produccin.

Prdida de competitividad en el mercado. Prdida de credibilidad en el sector.

MEDIDAS BSICAS ANTE UN DESASTRE

Plan de emergencia Vidas, heridos, activos, evacuacin personal. Inventariar recursos siniestrados. Evaluar el coste de la inactividad. Plan de recuperacin Acciones tendentes a volver a la situacin que exista antes del desastre.