GESTION Y ADMINISTRACION
DE LA SEGURIDAD EN
SISTEMAS DE INFORMACION
L.I. Ivette Jiménez Martínez
Introducción


Proceso de planificación del
ciclo de vida de la
seguridad de la información
en una organización.
Conjunto de actividades
que llevan a implantar,
mantener y revisar ciertas
medidas de seguridad.
Introducción
Plan de Seguridad


Se trata de un estudio estratégico que determina
cuáles son los activos de información más valiosos y
cómo protegerlos.
Este plan debe incluir toda la información, con
independencia de su soporte.
Etapas del Plan de Seguridad



Formulación de un política de seguridad.
Establecimiento de una estructura de gestión.
Implantación de un programa de seguridad.
Política de Seguridad

Conjunto de principios y reglas generales que
regulan la forma de proteger la información en
todas las fases de su tratamiento.
Política de Seguridad

Como paso previo a la determinación de la política de
seguridad, deben estudiarse:

Grado de criticidad de los diversos servicios respecto de la
información y del valor de ésta para aquellos.

Nivel de inversión en Tecnologías de la Información.

Amenazas que sufre la información.

Vulnerabilidades de los sistemas y productos TI existentes.

Medidas de seguridad ya implantadas.
Política de Seguridad

Factores a considerar:

Ocasionalmente puede elaborarse sólo para algunas áreas.

Implicación de los máximos responsables de la organización.
 Mejor conocimiento del sistema.
 Las decisiones que se toman afectan a todo el Sistema de
Información.

Relaciones con otras políticas de seguridad de la organización.

Actores que intervienen en la creación de la política.
Política de Seguridad

Aspectos a tratar:
 Organizativos
 Responsables,
tareas y líneas de dependencia
Política de Seguridad

Aspectos a tratar:
 De
Personal
 Establecimiento
de sanciones administrativas
 Formación de los empleados en seguridad
Política de Seguridad

Aspectos a tratar:
 De
Procedimiento
 Referencia
obligada para todo el ciclo de vida de los
sistemas de información.
 Metodologías
 Gestión
de desarrollo, mantenimiento, adquisición.
de los procedimientos creados.
Política de Seguridad

Debe tratarse:

Clasificación de la información con respecto a su sensibilidad e
importancia para la organización o a las disposiciones legales al
efecto.

Sensibilidad con respecto a la confidencialidad, integridad,
disponibilidad o autenticidad.

Alto secreto, secreto, confidencial y no clasificado.

Confidencial, restringida, de uso interno y no clasificada.
Política de Seguridad

Debe tratarse:

Gestión de Incidentes

Aplicación optima de los recursos de seguridad.

Previsión de escenarios.

Histórico de incidentes.
Política de Seguridad

Debe Incluir:
 Plan

de contingencia
Mantener el nivel adecuado de trabajo en la organización.
 Auditoría

Extensión y periodicidad.

Responsables del análisis de los resultados.
Estructura de Administración


Creación de un departamento específico
Organigrama de la empresa
Estructura de Administración

Tareas

Colaborar con otros niveles en la elaboración de la política de
seguridad

Elaborar y mantener procedimientos de seguridad

Analizar y evaluar los riesgos

Evaluar y seleccionar productos

Concienciar y formar a los usuarios

Descubrir vulnerabilidades

Identificar futuras amenazas
Estructura de Administración

Elección del Responsable del Departamento
 Concientizar
 Descubrir
vulnerabilidades.
 Identificar
 Creación
y formar a los usuarios.
futuras amenazas.
del Comité de seguridad.
 Responsables
de los departamentos afectados.
Programa de Seguridad

Objetivos:
 Desarrollar,
Seguridad.
implementar y mantener la Política de
Programa de Seguridad

Sus principales acciones son:
 Identificar
proyectos y productos.
 Establecer calendarios.
 Asignar prioridades y acordar recursos.
 Dictar procedimientos Administrativos, Técnicos, Físicos.
 De Personal
 Elaborar
el Manual (de normas) de Seguridad
Procedimientos Administrativos

Clasificación de la información.

Privilegios de acceso.

Gestión de la configuración.

Registro de incidencias y uso de programas externos.

Control y etiquetado de documentos.
Procedimientos Administrativos

Almacenamiento y destrucción de soportes de
información.

Gestión de cambios.

Mantenimiento de equipos y programas.

Metodología de análisis y evaluación de riesgos.

Plan de contingencia.
Procedimientos Técnicos

Controles de acceso lógico

Autenticación de mensajes

Normas de desarrollo de programas propios

Tipos de técnicas criptográficas
Procedimientos Físicos

Controles de acceso físico (personas y objetos)

Gestión de bienes

Protección de fuegos

Inundaciones y atentados
Procedimientos de Personal

Contratación

Concientización, formación

Responsabilidades

Infracciones y sanciones
Análisis y Gestión de Riesgos

El Análisis de Riesgos es el estudio de los activos
informáticos, sus vulnerabilidades y las amenazas
que los acechan, con objeto de evaluar el impacto
que sufriría su propietario de materializarse una o
varias de las citadas amenazas.
Análisis y Gestión de Riesgos

Evaluación:
 Cuantitativa
 Cualitativa
grave, ... )
(monetaria, ... )
(escala de 1 a 10, de muy leve a muy
Análisis y Gestión de Riesgos

La Gestión de Riesgos, parte de los resultados del
Análisis de Riesgos para elegir, instrumentar y
mantener las medidas de seguridad pertinentes
que cancelen hasta cierto punto los riesgos
calculados.
Análisis y Gestión de Riesgos

El análisis de Riesgos es:
 Una
actividad centrada en la identificación de fallas
de seguridad que evidencien vulnerabilidades que
puedan ser explotadas por amenazas, provocando
impactos en los negocios de la organización.
 Una
actividad de análisis que pretende, a través del
rastreo, identificar los riesgos a los cuales los activos se
encuentran expuestos.
Análisis y Gestión de Riesgos

Además una actividad que tiene por resultado:
 Encontrar
la consolidación de las vulnerabilidades para
identificar los pasos a seguir para su corrección.
 Identificar
las amenazas que pueden explotar esas
vulnerabilidades y de esta manera se puede llegar a
su corrección o eliminación.
Análisis y Gestión de Riesgos

Además una actividad que tiene por resultado:
 Identificar
los impactos potenciales que pudieran tener
los incidentes y de esta forma aprovechar las
vulnerabilidades encontradas.
 Determinar
las recomendaciones para
amenazas sean corregidas o reducidas.
que
las
Análisis y Gestión de Riesgos



El análisis de riesgos puede ocurrir antes o después
de la definición de una política de seguridad.
Según la norma internacional BS/ISO/IEC 17799,
esta actividad puede ser hecha después de la
definición de la política.
El propósito de tomar en cuenta una política de
seguridad en el análisis se debe a varias razones:
Análisis y Gestión de Riesgos



La política de seguridad delimita el alcance del
análisis.
Permite ser selectivo en la verificación de activos
que la política establece como vulnerables.
El análisis toma en cuenta la lista de amenazas
potenciales que la misma política contempla.
Análisis y Gestión de Riesgos


El análisis de riesgos puede ser realizado en distintos
ámbitos.
Por lo general, todos son considerados, puesto que la
implementación de seguridad pretende corregir el entorno
en que se encuentra la información, es decir en actividades
relacionadas a:

Generación

Tránsito

Procesamiento

Almacenamiento
Entornos de Análisis de Riesgos

Tecnológico:

Pretende el conocimiento de las configuraciones y de la
disposición topológica de los activos de tecnología que
componen toda la infraestructura de respaldo de la
información para comunicación, procesamiento, tránsito y
almacenamiento.
Entornos de Análisis de Riesgos

Aspectos por analizar:
 Los
activos son de tipo aplicación y equipo, sin dejar de
considerar también la sensibilidad de la información
que es manipulados por ellos.
 Los
 La
usuarios que los utilizan.
infraestructura que les ofrece respaldo.
Entornos de Análisis de Riesgos

Humano:

El análisis de riesgos también se destina a la comprensión de las
formas en que las personas se relacionan con los activos.

Así, es posible detectar cuáles vulnerabilidades provenientes de
acciones humanas, se encuentran sometidos los activos, y es
posible dirigir recomendaciones para mejorar la seguridad en el
trabajo humano y garantizar la continuidad de los negocios de la
organización.
Entornos de Análisis de Riesgos

Aspectos por analizar:
 El
nivel de acceso que las personas tienen en la red o
en las aplicaciones.
 Las
restricciones y permisos que deben tener para
realizar sus tareas con los activos.
 El
nivel de capacitación y formación educativa que
necesitan tener acceso para manipularlos, etc.
Entornos de Análisis de Riesgos

Procesos:

Análisis de los flujos de información de la organización y la manera
en que la información viaja de un área a otra, cómo son
administrados.

Los recursos en relación a la organización, de esta manera, es
posible identificar los eslabones entre las actividades y los insumos
necesarios para su realización con el objetivo de identificar las
vulnerabilidades que puedan afectar la confidencialidad, la
disponibilidad y la integridad de la información y en consecuencia,
del negocio de la organización.
Entornos de Análisis de Riesgos

Aspectos por Analizar:

Identificar a las personas involucradas en el flujo de información, es
posible evaluar la necesidad real de acceso que ellas tienen a los
activos.

Evaluar el impacto proveniente del uso indebido de la información por
personas no calificadas.
Entornos de Análisis de Riesgos

Físicos:

El análisis físico de seguridad pretende identificar en la infraestructura
física del ambiente en que los activos encuentran vulnerabilidades que
puedan traer algún perjuicio a la información y a todos los demás
activos.
Entornos de Análisis de Riesgos

Aspectos por Analizar:

Identificar posibles fallas en la localización física de los activos
tecnológicos.

Evaluar el impacto de accesos indebidos a las áreas en donde se
encuentran activos tecnológicos.

Evaluar el impacto de desastres ambientales en la infraestructura
de tecnología de la empresa.
Descargar

GESTION Y ADMINISTRACION DE LA SEGURIDAD EN …