Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Seguridad
SEGURIDAD
Grado de Ingeniera Informtica en
Sistemas de Informacin
ndice
Introduccin
Anlisis de Riesgos
Gestin de Riesgos
Implantacin de controles
Procesos de seguridad
Mtricas y evaluacin
Realimentacin y mejora continua
Sistemas de gestin de seguridad de la
informacin
Introduccin
Medidas de seguridad
o salvaguardas o controles (controlan el riesgo)
preferiremos este ltimo nombre
de ndole tcnica
lgicas: cortafuegos, antivirus...
fsicas: puertas con control de acceso, extintores,
alarmas...
de
Introduccin
No basta con implantar controles. Se debera
Introduccin
Una de las muchas representaciones del ciclo
de la seguridad:
Anlisis de
Riesgos
Mejora continua
Mtricas y
evaluacin
Gestin de
Riesgos
Implantacin
de controles
Procesos de
seguridad
Deseado
Actual
Intrnseco
Anlisis de riesgos
Terminologa
Anlisis de riesgos
Anlisis de riesgos
En funcin de su naturaleza cada activo est
sometido a diferentes amenazas:
Anlisis de riesgos
Anlisis de riesgos
Valoracin:
en un anlisis de riesgos cuantitativo, cada activo tiene
un valor econmico.
No es el valor de compra. Es la estimacin de prdida
econmica si la seguridad del activo se deteriora
completamente (en el aspecto que sea).
Difcil asignar ese valor, sobre todo en mbitos como la
Administracin Pblica
En un anlisis de riesgos cualitativo se hace una
estimacin por niveles de la importancia del activo
Anlisis de riesgos
Mapa de riesgos
Anlisis de riesgos
Para cada amenaza a la que est expuesto un
activo con valor V se estima
(A) Degradacin: porcentaje de V que se pierde si la
amenaza se materializa. En A.R. complejos se puede
calcular para cada aspecto. Ej.: si el servidor se quema,
la degradacin es 100%.
Esta degradacin, al aplicarse sobre el valor del activo, causa
un impacto. Es una prdida (econmica si es un A.R.
cuantitativo) causada por la ocurrencia de un incidente. El
impacto ser mayor cuanto mayor sea el valor del activo.
Anlisis de riesgos
Para cada amenaza a la que est expuesto un
activo con valor V se estima
(B) Frecuencia con la que se pueden producir las
materializaciones de la amenaza. Normalmente,
ocurrencias/ao. Suele haber valores escalonados
Esta frecuencia, multiplicada por el impacto de una ocurrencia,
permite estimar la...
ALE: annual loss expectancy, esperanza de prdida anual
Anlisis de riesgos
Al final:
Riesgo total: sumatorio para cada amenaza posible
sobre cada activo del sistema
Mapa de riesgos: detalle de los riesgos en forma de
tabla, para cada activo
Anlisis de riesgos
Ejemplo: (A.R. cuant. / A.R. cualit.)
Amenaza 2: ...
...
Otro
activo:
Amenaza 1:...
Anlisis de riesgos
Gestin de riesgos
Gestin de riesgos
Gestin de riesgos
Gestin de riesgos
Para gestionar los riesgos se implantan
controles o salvaguardas (o tambin medidas de
seguridad)
Pueden ser tcnicos (lgicos: cortafuegos, antivirus,
VPNs...; o fsicos: sistemas de alimentacin
ininterrumpida, circuitos cerrados de televisin...)
U organizativos (poltica de seguridad, formacin,
procedimientos formales...)
Gestin de riesgos
Para reducir el riesgo se puede...
Gestin de riesgos
La cuarta opcin, ya que todo el riesgo debe
gestionarse, es
Aceptar el riesgo. La alta direccin deber conocerlo y
aprobarlo. Se convierte en riesgo residual
MAGERIT v2 [magerit]
CRAMM
Octave
Implantacin de controles
Como parte de la gestin de riesgos se
seleccionan controles a implantar (o mejoras
para los ya implantados).
Cmo seleccionarlos?
Implantacin de controles
Cmo seleccionarlos?
Implantacin de controles
Implantacin de controles
ISO 27002: dominios, objetivos de control,
controles
11 dominios: Poltica / Organizacin / Gestin Activos /
Personal / Seguridad fsica / Comunicac. y operaciones
/ Control de accesos / Desarrollo, adquisicin y mto. /
Gestin de incidentes / Continuidad / Conformidad legal
En cada dominio hay objetivos de control (metas
deseables)
Para obtener estas metas se proponen controles
[ctl27002]
Procesos de seguridad
Procesos de seguridad
Ejemplo: Proceso de gestin de reglas del
cortafuegos
Objetivo
Responsable(s): por nombre o por puesto
Entrada: solicitudes de acceso
Salida: aceptacin/denegacin
Procedimiento: cmo hacerlo. Incluira la evaluacin de si se
acepta o no la solicitud, la ejecucin tcnica de la
modificacin...
Registros: cmo queda constancia de lo que se hizo
Informes: cmo se obtienen estadsticas y medidas
Mtricas y evaluacin
Mtricas y evaluacin
Lo importante es agruparlas en indicadores con
ms sentido (ej: parches/equipos, reglas/n
usuarios), guardar histricos y definir objetivos
(ej: vulnerabilidades/equipo < 3)
Peridicamente se evalan los indicadores
frente a los objetivos.
Todo esto se le puede dar a la Direccin en
bonito en un cuadro de mandos (dashboard)
Mejora continua
A raz de las revisiones peridicas de los
indicadores se plantean (y planean e implantan)
acciones correctivas para mejorar la eficacia de
los controles implantados.
Como un sistema de informacin es algo
dinmico, el anlisis de riesgos y, realmente,
todos los pasos de este ciclo de vida, deben ser
revisados peridicamente.
Gestin de la seguridad
Gestin de la seguridad
Norma ISO 27001 [wp27001] [cao-27000]
(Information technology - Security techniques Information security management systems Requirements): estndar certificable que define
un Sistema de Gestin de Seguridad de la
Informacin (SGSI o ISMS).
En Espaa, tambin la 71502 (en recesin)
Certificacin: auditora + evaluacin + sello
Introduccin [27000]
Referencias
[wp27001]
http://es.wikipedia.org/wiki/ISO/IEC_27001
[cao-27000] http://sgsiiso27001.blogspot.com/search/label/serie
%20iso%2027000
[enjuto-ar]
http://secugest.blogspot.com/search/label/Gestio
n%20de%20Riesgos
Referencias
[cao] http://sgsi-iso27001.blogspot.com/
[magerit]
http://administracionelectronica.gob.es/ctt/verPe
stanaGeneral.htm?idIniciativa=184
[nist53]
http://nvlpubs.nist.gov/nistpubs/SpecialPublicatio
ns/NIST.SP.800-53r4.pdf
Referencias
[ctl27002]
http://www.iso27000.es/download/ControlesISO
27002-2005.pdf
[ens]
http://www.boe.es/boe/dias/2010/01/29/pdfs/BO
E-A-2010-1330.pdf
Referencias
Lecturas
[sgsi]
http://www.iso27000.es/download/doc_sgsi_all.pdf
[met-ar]
http://secugest.blogspot.com/2008/11/metodologias-deanalisis-de-riesgos.html
[cao-ar] http://sgsi-iso27001.blogspot.com/2008/10/laimportancia-del-anlisis-del-riesgo.html
[27000] ISO/IEC 27000:2009:
http://standards.iso.org/ittf/PubliclyAvailableStandards/c
056891_ISO_IEC_27000_2012%28E%29.zip