Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Los datos deben protegerse aplicando: Seguridad Lgica Uso de herramientas de proteccin de la informacin en el mismo medio en el que se genera o transmite. Protocolos de autenticacin entre cliente y servidor. Aplicacin de herramientas de seguridad en redes. Se incluyen tambin medidas de prevencin de riesgos y la instauracin de polticas de seguridad, de planes de contingencia, de recuperacin ante desastres, aplicacin de normativas, la legislacin vigente, etc. Seguridad Fsica Procedimientos de proteccin fsica del sistema: acceso personas, incendio, agua, terremotos, etc.
B: es la carga o gasto que significa la prevencin de una prdida especfica debido a una vulnerabilidad. P: es la probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa prdida especfica. L: es el impacto o coste total que significa la prdida especfica debido a esa vulnerabilidad que ha sido afectada por una amenaza.
en B P L)
El factor de impacto total L es difcil de evaluar. Incluye daos a la informacin, a los equipos, prdidas por reparacin, por volver a levantar el sistema, prdidas por horas de trabajo, etc. Siempre habr una parte de valoracin subjetiva. La prdida de datos puede llevar a una prdida de oportunidades por el llamado efecto cascada. En la organizacin debe existir una comisin especializada interna o externa que sea capaz de evaluar todas las posibles prdidas y cuantificarlas.
Una vez que se conoce P para un L dado, se obtiene la probabilidad de prdida relativa de la ocurrencia P L que se comparar con B, el peso que nos supondra implantar la medida de prevencin respectiva.
Ejemplo: la carga de prevencin para que un sistema informtico minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalacin de software y hardware adecuado, un cortafuegos, un sistema de deteccin de intrusos, una configuracin de red segura, una poltica de seguimiento de accesos y de passwords, personal tcnico cualificado, etc. Todo ello importa una cantidad de dinero especfica.
CUANTIFICACIN DE LA PROTECCIN
BPL?
Cunta proteccin es necesaria?
En nuestro ejemplo: qu configuracin de red usar, en qu entorno trabajar, qu tipo de cortafuegos, etc. Eso depender del nivel de seguridad que nuestra empresa desee, crea oportuno o que nos imponga el mercado.
Se cierra el ciclo
3. Identificar posibles acciones (gasto) y sus implicaciones (B). Seleccionar acciones a implementar.
B PL ?
ASPECTOS ADMINISTRATIVOS
Polticas administrativas
Se establecen aquellos procedimientos de carcter administrativo en la organizacin como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisin sistemtica, etc. Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel. Se procede a la etapa de concienciacin.
CONTROL DE ACCESOS
Polticas de control de acceso
Poltica de menor privilegio
Acceso estricto a objetos determinados, con mnimos privilegios para los usuarios.
Poltica de comparticin
Acceso de mximo privilegio en el que cada usuario puede acceder a todos los objetos.
Granularidad
Nmero de objetos accesibles. Se habla entonces de granularidad gruesa y fina.
CONTROL DE FLUJO
Polticas de control de flujo
La informacin a la que se accede, se enva y recibe por:
Canales claros o canales ocultos? Seguros o no?
PLANES DE CONTINGENCIA
Un Plan de Contingencia consiste en un estudio y anlisis pormenorizado de las reas que componen la organizacin y que nos servir para establecer una poltica de recuperacin ante un desastre. Es un conjunto de datos estratgicos de la empresa y que se plasma en un documento con el fin de protegerse ante eventualidades.
Adems de aumentar su seguridad, con un plan estratgico la empresa tambin gana en el conocimiento de sus fortalezas y sus debilidades. Pero si no lo hace, se expone a sufrir una prdida irreparable mucho ms costosa que la implantacin de este plan.
Se cierra el ciclo ajustando las acciones planificadas si fuera el caso. Ciclo ms conocido por las siglas PDCA (Plan - Do - Check - Act)
CICLO PDCA
Plan
Poltica y Alcance del sistema Anlisis de riesgos Seleccin de controles Acciones correctivas Acciones preventivas Modificacin Plan
Act
Do
Check
Medidas prevencin
Emplazamientos adecuados Proteccin fachadas, ventanas, puertas
Tornado
Vendaval Incendio Terremoto
Otros
Terrorismo
Sabotaje Robo
Medidas de prevencin
Fortificacin de entradas Guardia Jurado Patrullas de seguridad Circuito cerrado TV Control fsico de accesos
Virus
Chantaje informtico Programas malignos
Proteccin de software y hardware con antivirus, cortafuegos, deteccin de intrusos, etc. Seguimiento de las polticas de seguridad de la empresa.