El documento describe los planes de seguridad de la información (PSI) y de continuidad del negocio (PCN). El PSI tiene como objetivo proteger los activos y datos de una organización asegurando su confidencialidad, integridad y disponibilidad. El PCN busca garantizar la continuidad operativa crítica de una empresa ante interrupciones a través de planes de contingencia y recuperación. Ambos planes son importantes para establecer normas de seguridad, analizar riesgos, y permitir la rápida recuperación ante incidentes.
0 calificaciones0% encontró este documento útil (0 votos)
96 vistas35 páginas
El documento describe los planes de seguridad de la información (PSI) y de continuidad del negocio (PCN). El PSI tiene como objetivo proteger los activos y datos de una organización asegurando su confidencialidad, integridad y disponibilidad. El PCN busca garantizar la continuidad operativa crítica de una empresa ante interrupciones a través de planes de contingencia y recuperación. Ambos planes son importantes para establecer normas de seguridad, analizar riesgos, y permitir la rápida recuperación ante incidentes.
El documento describe los planes de seguridad de la información (PSI) y de continuidad del negocio (PCN). El PSI tiene como objetivo proteger los activos y datos de una organización asegurando su confidencialidad, integridad y disponibilidad. El PCN busca garantizar la continuidad operativa crítica de una empresa ante interrupciones a través de planes de contingencia y recuperación. Ambos planes son importantes para establecer normas de seguridad, analizar riesgos, y permitir la rápida recuperación ante incidentes.
El documento describe los planes de seguridad de la información (PSI) y de continuidad del negocio (PCN). El PSI tiene como objetivo proteger los activos y datos de una organización asegurando su confidencialidad, integridad y disponibilidad. El PCN busca garantizar la continuidad operativa crítica de una empresa ante interrupciones a través de planes de contingencia y recuperación. Ambos planes son importantes para establecer normas de seguridad, analizar riesgos, y permitir la rápida recuperación ante incidentes.
Descargue como PDF, TXT o lea en línea desde Scribd
Descargar como pdf o txt
Está en la página 1/ 35
Planes de seguridad de la
informacin.
Planes de continuidad del
negocio
Contenido
Introduccin PSI y PCN Finalidad del PSI y PCN Alcance del PSI y PCN Importancia del PSI y PCN Procedimientos utilizados
Qu es PSI?
Un Plan de Seguridad de la informacin
incluye todos los procesos/servicios involucrados en la administracin de la seguridad de la Informacin.
Qu es PSI?
Un PSI efectivo considera los
impulsadores de seguridad de informacin de una organizacin para determinar el alcance y enfoque de los procesos involucrados en la administracin de la seguridad.
Finalidad del PSI
La finalidad del PSI es proteger la
informacin y los activos de la organizacin, tratando de conseguir confidencialidad, integridad y disponibilidad de los datos; y las responsabilidades que debe asumir cada uno de los empleados mientras permanezcan en la organizacin.
Alcance de PSI El alcance del desarrollo de un PSI es: Evaluacin de riesgos de seguridad a los que est expuesta la informacin. Seleccin de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusin o exclusin. Definicin de polticas de seguridad.
Importancia del PSI
Permite desarrollar normas y procedimientos que pautan las actividades relacionadas con la seguridad informtica y la tecnologa de informacin. Permite analizar la necesidad de cambios o adaptaciones para cubrir los riesgos existentes.
Importancia del PSI
Hace posible la concienciacin de los miembros de la empresa acerca de la importancia y sensibilidad de la informacin y servicios crticos. Permite conseguir el compromiso de la institucin, agudeza tcnica para establecer fallas, deficiencias, y constancia para renovar y actualizar las polticas en funcin de un ambiente dinmico
PCN PCN significa Plan de Continuidad del Negocio, es un proceso diseado para reducir el riesgo de la institucin ante una interrupcin inesperada de sus funciones / operaciones crticas, independiente de si estas son manuales o automatizadas, las cuales son necesarias para la supervivencia de la organizacin.
Finalidad del PCN
La finalidad del PCN es contar con una estrategia planificada, una serie de procedimientos que faciliten u orienten a tener una solucin alternativa que permita restituir rpidamente los servicios de la organizacin ante la eventualidad de paralizacin, ya sea de forma parcial o total.
Alcance del PCN
El alcance del desarrollo del PCN es:
Anlisis de Impacto Plan de Contingencia Plan de Recuperacin de desastres
Anlisis de impacto Es la identificacin de los diversos eventos que podran impactar la continuidad de las operaciones y la organizacin. Previamente se determina la clasificacin de seguridad de activos asociados a la tecnologa mediante el anlisis de riesgos.
Plan de contingencia Del anlisis de impacto y riesgos, como medida preventiva se genera el Plan de Contingencias, que es un instrumento sistematizado, que facilita y orienta la consecucin de una solucin alternativa que permita restituir rpidamente los servicios de la organizacin.
Plan de recuperacin de desastres
Este plan tiene como objetivo la evaluacin de la capacidad de la empresa para restaurar los servicios al nivel acordado de calidad, y de otra parte definir el proceso para desarrollar, comunicar y mantener planes documentados y probados para la continuidad del sistema de informacin y de las operaciones del negocio.
Importancia del PCN
Garantiza la continuidad del nivel
mnimo de servicios necesarios para las operaciones crticas.
Permite que la institucin se
mantenga funcionando en caso de una interrupcin y que sobreviva a una interrupcin desastrosa de sus sistemas de informacin.
Importancia del PCN
Permite recuperar la normalidad de
las actividades de la empresa rpidamente.
Identifica las funciones de negocio y
los procesos esenciales para la continua y eficiente operacin de la empresa.
Seguridad Lgica Los datos deben protegerse aplicando:
Seguridad Lgica Uso de herramientas de proteccin de la informacin en el mismo medio en el que se genera o transmite. Protocolos de autenticacin entre cliente y servidor. Aplicacin de normativas.
Seguridad Fsica Los datos deben protegerse aplicando:
Seguridad Fsica Procedimientos de proteccin fsica del sistema: acceso personas, incendio, agua, terremotos, etc. Medidas de prevencin de riesgos tanto fsicos como lgicos a travs de una poltica de seguridad, planes de contingencia, aplicacin de normativas, etc.
Elementos a tener en cuenta. Entorno PC
Anclajes a mesas de trabajo.
Cerraduras. Tarjetas con alarma. Etiquetas con adhesivos especiales. Bloqueo de disquetera. Protectores de teclado. Tarjeta de control de acceso al hardware. Suministro ininterrumpido de corriente. Toma de tierra.
Anlisis de riesgo. Plan estratgico
Es el proceso de identificacin y evaluacin del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparndolo con el costo que significara la prevencin de este suceso. Su anlisis no slo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger.
Informacin del anlisis de riesgo
Determinacin precisa de los recursos sensibles de la organizacin. Identificacin de las amenazas del sistema. Identificacin de las vulnerabilidades especficas del sistema. Identificacin de posibles prdidas. Identificacin de la probabilidad de ocurrencia de una prdida. Derivacin de contramedidas efectivas. Identificacin de herramientas de seguridad. Implementacin de un sistema de seguridad eficiente en costes y tiempo.
Ecuacin bsica del anlisis de riesgo
BPL?
B: Carga o gasto que significa la prevencin de
una prdida especfica por vulnerabilidad. P: Probabilidad de ocurrencia de esa prdida especfica. L: Impacto total de dicha prdida especfica.
Cundo y cunto invertir en SI?
Si BP*L Hay que implementar una medida de prevencin. Si BP*L No es necesaria una medida de prevencin.
No obstante, siempre puede ocurrir una
desgracia que est fuera de todo clculo. Por ejemplo, el ataque a las torres gemelas y sus posteriores consecuencias informticas no estaba contemplado en ningn plan contingencia....
Efectividad del coste de la medida
Las medidas y herramientas de control han de tener menos coste que el valor de las posibles prdidas y el impacto de stas si se produce el riesgo temido. Ley bsica: el costo del control ha de ser menor que el activo que protege. Algo totalmente lgico y que tanto los directivos como los responsables de seguridad de la empresa debern estimar de forma adecuada a su realidad.
El factor L en la ecuacin de riesgo
Factor L (en B P L) El factor de impacto total L es difcil de evaluar. Incluye daos a la informacin, a los equipos, prdidas por reparacin, por volver a levantar el sistema, prdidas por horas de trabajo, etc. Siempre habr una parte subjetiva. La prdida de datos puede llevar a una prdida de oportunidades por el llamado efecto cascada. En la organizacin debe existir una comisin especializada interna o externa que sea capaz de evaluar todas las posibles prdidas y cuantificarlas.
El factor P en la ecuacin de riesgo
Factor P (en B P L) El factor P est relacionado con la determinacin del impacto total L y depende del entorno en el que est la posible prdida. Como este valor es difcil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.
El factor B en la ecuacin de riesgo
Factor B (en B P L) Indica qu se requiere para prevenir una prdida. Es la cantidad de dinero que vamos a disponer para mitigar la posible prdida. Ejemplo: la carga de prevencin para que un sistema informtico minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalacin de software y hardware adecuado, un cortafuegos, un sistema de deteccin de intrusos, una configuracin de red segura, una poltica de seguimiento de accesos y de passwords, personal tcnico cualificado, etc. Todo ello importa una cantidad de dinero especfica.
Cuantificacin de la proteccin BPL? Cunta proteccin es necesaria? En nuestro ejemplo: qu configuracin de red usar, en qu entorno trabajar, qu tipo de cortafuegos, etc. Eso depender del novel de seguridad que nuestra empresa desee o crea oportuno.
De qu forma nos protegeremos?
Una casa puede protegerse con puertas, cerraduras, barras en ventanas, sistemas de alarmas, etc. En un sistema informtico podemos aplicar medidas fsicas, polticas de seguridad de accesos, planes de contingencia y recuperacin, cortafuegos, cifrado de la informacin, firmas, pasarelas seguras, etc.
Pasos en un anlisis de riesgos
1. Identificacin costo posibles prdidas (L)
Se cierra el ciclo
Identificar amenazas
3. Identificar posibles acciones (gasto) y sus implicaciones. (B) Seleccionar acciones a implementar.
B PL ? 2. Determinar susceptibilidad. La probabilidad de prdida (P)
Normas bajo la cuales se comunican los sujetos dentro del sistema.
Aspectos administrativos Polticas administrativas Se establecen aquellos procedimientos de carcter administrativo en la organizacin como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisin sistemtica, etc. Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel.
Control de accesos Polticas de control de acceso Poltica de menor privilegio Acceso estricto a objetos determinados, con mnimos privilegios para los usuarios.
Poltica de comparticin Acceso de mximo privilegio en el que cada usuario puede acceder a todos los objetos.
Granularidad Nmero de objetos accesibles. Se habla entonces de granularidad gruesa y fina.
Control de flujo Polticas de control de flujo La informacin a la que se accede, se enva y recibe por: Canales claros o canales ocultos? Seguros o no?
Qu es lo que hay que potenciar?
La confidencialidad o la integridad? La disponibilidad? ... El no repudio? Segn cada organizacin y su entorno de trabajo y servicios ofrecidos, habr diferencias. En algunos sistemas primarn unos ms que otros, en funcin de cun secreta es la informacin que procesan.
Modelos de seguridad Modelo de Bell LaPadula (BLP) Rgido. Confidencialidad y con autoridad. Modelo de Take-Grant (TG) Derechos especiales: tomar y otorgar. Modelo de Clark-Wilson (CW) Orientacin comercial: integridad. Modelo de Goguen-Meseguer (GM) No interferencia entre usuarios. Modelo de Matriz de Accesos (MA) Estados y transiciones entre estados Tipo Graham-Dennig (GD) Tipo Harrison-Ruzzo-Ullman (HRU)
Modelo de Bell LaPadula BLP
La escritura hacia abajo est prohibida. La lectura hacia arriba est prohibida. Es el llamado principio de tranquilidad. No lectura hacia arriba usuario dado de alta con un nivel secreto
Florian Buitrago, Maribel, La María de Jorge Isaacs y Su Aporte en La Construcción de La Identidad de Los Sujetos, en Tabula Rasa. Bogotá - Colombia, No.9: 335-352, Julio-Diciembre 2008
Florian Buitrago, Maribel, La María de Jorge Isaacs y Su Aporte en La Construcción de La Identidad de Los Sujetos, en Tabula Rasa. Bogotá - Colombia, No.9: 335-352, Julio-Diciembre 2008
