introduccin a los conceptos de seguridad

Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005

Notas del profesor Fascículo No2

Autor: Ingeniero Jaime Hernando Rubio Rincón página 1

Introducción a los conceptos de Seguridad de información

Entendiendo los conceptos básicos de seguridad

¿0.1 Que es la seguridad de la información?

La Seguridad de la información es el conjunto de estándares, procesos, procedimientos, estrategias, recursos informáticos, recursos educativos y recurso humano integrado para proveer toda la protección debida y requerida a la información y a los recursos informáticos de una empresa, institución o agencia gubernamental La información es un recurso o activo que, como otros recursos importantes del negocio, es esencial a una organización y a su operación y por consiguiente necesita ser protegido adecuadamente. Esto es especialmente importante en el ambiente comercial cada vez más interconectado. Como resultado de esta ínter conectividad creciente, la información se expone ahora a un número ascendente y a una variedad más amplia de de amenazas y vulnerabilidades. La información puede existir en muchas formas. Puede imprimirse o puede escribirse en el papel, guardar electrónicamente, transmitirse por el correo o usando los medios electrónicos, puede ser mostrada en las películas, o hablada en la conversación. Cualquier forma que la información tome, o cualquier medio por donde sea compartida o guardada, siempre debe ser apropiadamente protegida. La seguridad de la información es la protección de información de una gama amplia de amenazas para asegurar la continuidad comercial, minimizar el riesgo comercial, y aumentar al máximo el retorno en las inversiones y las oportunidades de negocios. La seguridad de la información se logra llevando a cabo un conjunto conveniente de controles, incluyendo las políticas, los procesos, procedimientos, estructuras orgánicas y funciones del hardware y software. Estos controles deben ser establecidos, implementados, supervisados, revisados y mejorados, dónde sea necesario, para asegurar que se reúnen la seguridad específica y objetivos de negocio de la organización. Esto debe hacerse en conjunción con otros procesos de administración de negocios.

¿0.2 Por qué se necesita la seguridad de la información? La información y los procesos de apoyo, sistemas, y redes son uno de los recursos mas importantes del negocio. Definir, lograr, mantener y mejorar la seguridad de la información pueden ser esenciales para mantenerse en el borde competitivo, mantener un alto flujo del dinero en efectivo, tener rentabilidad, cumplimiento legal, y sostenimiento de la imagen comercial. Se enfrentan las organizaciones y sus sistemas de información y redes con las amenazas de seguridad de un amplio rango de fuentes, incluyendo fraude ayudado por computadora, espionaje, sabotaje, vandalismo, fuego o diluvio e inundaciones.




Las causas de daño como el código malévolo, penetración de computadoras, y ataques de negación del servicio han llegado a ser más comunes, más ambicioso, y mas sofisticados. La seguridad de la información y proteger las infraestructuras críticas del negocio es importante para ambos sectores público y de negocios del sector privado. En ambos sectores, la seguridad de la información funcionará como un habilitador, por ejemplo para lograr el e-government o el e-bussines, y evitar o reducir los riesgos pertinentes. La interconexión de las redes privadas públicas y privadas y el compartir de recursos de información aumentan la dificultad de lograr el control de acceso. La tendencia a la informática distribuida también ha debilitado la efectividad del control central, especializado. No se han diseñado muchos sistemas de información seguros. La seguridad que puede lograrse a través de los medios técnicos es limitada, y debe apoyarse por una apropiada gestión apropiada y por los procedimientos. Identificando qué controles deben ser implementados requiere planificación cuidadosa y atención al detalle. La gestión de la seguridad de la información requiere, como un mínimo, participación por todos los empleados de la organización. También puede requerir la participación de los accionistas, proveedores, terceros, tercera parte, clientes u otras terceras partes externas. Asesoría y Consejo de especialista de las organizaciones externas también puede necesitarse.

0.3 Cómo establecer los requerimientos de seguridad?

Es esencial que una organización identifique sus requerimientos de seguridad. Hay tres fuentes principales de los requerimientos de seguridad. 1. una fuente se deriva de evaluar los riesgos de la organización, mientras se tienen en cuenta la estrategia de negocio global de la organización y sus objetivos. A través de una valoración de riesgo, se identifican amenazas a los recursos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se estima el impacto potencial. 2. otra fuente es los requerimientos legales, estatutarios, reguladores y contractuales que la organización, sus socios comerciales, contratistas, y proveedores de servicio tienen que satisfacer, y el ambiente socio-cultural. 3. una fuente extensa es el conjunto particular de principios, objetivos y requerimientos comerciales para la información que se procesa que una organización ha desarrollado para apoyar sus funcionamientos.

0.4 Evaluando los riesgos de seguridad Los requerimientos de seguridad son identificados mediante una valoración metódica de riesgos de seguridad. El gasto en los controles se necesita probablemente equilibrar contra el daño comercial que puedan ser resultado de las fallas de seguridad. Los resultados de la valoración de riesgo ayudarán a guiar y determinar la acción de gestión apropiada y las prioridades para manejar los riesgos de la seguridad de la




información, y por llevar a cabo los controles seleccionados para protegerse contra cada uno de estos riesgos. La valoración de riesgo debe repetirse periódicamente para estar atentos a cualquier cambio que pudiera influir en los resultados de valoración del riesgo. .

0.5 Seleccionando Controles Una vez se han identificado requerimientos de seguridad y riesgos y las decisiones para el tratamiento de riesgos han sido tomadas, deben seleccionarse los controles apropiados e implementarlos para asegurar la mitigación de los riesgos a un nivel aceptable. Pueden seleccionarse los controles de esta norma o de otros juegos de controles, o pueden diseñarse nuevos controles apropiados para satisfacer las necesidades específicas. La selección de controles de seguridad depende en decisiones orgánicas basadas en el criterio para la aceptación de riesgo, la opciones en el tratamiento de riesgo, y el enfoque de gestión general de riesgo aplicado en la organización, y también debe estar sujeto regulaciones relevantes y a la legislación internacional y nacional. Algunos de los controles en esta norma pueden ser considerados como guías de los principios para la gestión de la seguridad de la información y aplicable para la mayoría de las organizaciones. Ellos se explican en más detalle debajo bajo del encabezado “el punto de partida de seguridad de la información.” Puede encontrarse más información sobre seleccionar controles y otras opciones de tratamiento de riesgo en la cláusula 4.2 “Tratando los riesgos de seguridad".

0.6 Punto de partida de seguridad de la información Varios controles pueden ser considerados como un buen punto de partida para llevar a cabo la protección de la información. Ellos o están basado en los requerimientos esenciales de tipo legislativo o se consideran ser una practica común para la seguridad de la información. Controles considerados esenciales a una organización desde un punto de vista del legislativo incluyen, (dependiendo de la legislación aplicable):

a) protección de los datos y retiro de información personal b) protección de archivos de la organización c) los derechos de la propiedad intelectual

Controles considerados como práctica común para la seguridad de la información incluyen:

a) el documento de políticas de seguridad de la información b) la asignación de responsabilidades de seguridad de la información c) el conocimiento de seguridad de la información, educación, y entrenamiento d) el proceso correcto en las aplicaciones ; e) la gestión de vulnerabilidad técnica ; f) la gestión de continuidad del negocio ;




g) la gestión de incidentes de seguridad de la información y mejoras Estos controles aplican a la mayoría de las organizaciones y en la mayoría de los ambientes. Debe notarse que aunque todos los controles en esta norma son importantes y deben ser considerados, la relevancia de cualquier control debe determinarse a la luz de los riesgos específicos que una organización pudiera enfrentar. Aunque el enfoque anterior es considerado un punto de partida bueno, no reemplaza la selección de controles basado en una valoración de riesgo.

0.7 Factores críticos de éxito La experiencia ha mostrado que los factores siguientes son a menudo críticos a la aplicación exitosa de la seguridad de la información dentro de una organización:

a) la política de seguridad de la información, la estrategia, objetivos, y actividades que reflejen los objetivos de negocios; b) un enfoque y una estructura para implementar, mantener, supervisar y mejorar la seguridad de la información que sea consistente con la cultura organizacional; c) el apoyo visible y comprometido de todos los niveles de gestión; d) una comprensión buena de los requerimientos de seguridad de la información, valoración de riesgo, y gestión del riesgo; e) el mercadeo eficaz de los conceptos de seguridad de la información a todos los gerentes, empleados, tercera partes para lograr el conocimiento; f) la distribución de guía en la política de seguridad de la información y normas a todos los gerentes, los empleados y terceras partes; g) la provisión financiera para consolidar las actividades de gestión de la seguridad de la información; h) proporcionar conocimiento apropiado, entrenamiento, y educación; i) establecer un proceso eficaz de manejo de incidentes de seguridad de la información; j) la aplicación de un sistema de mediciones que se pueda usar para evaluar el rendimiento en la gestión de seguridad de la información y realimente sugerencias la mejora de esa gestión.

0.8 Desarrollo de sus propias pautas

Este código de práctica puede considerarse como un punto de partida para la organización en vías de desarrollo específico de las pautas. No todos los controles y guías en este código de práctica pueden ser aplicables. Además, pueden requerirse controles y pautas adicionales no incluidas en esta norma. Cuando se desarrollan los documentos conteniendo pautas adicionales o controles, puede ser útil incluir las referencias cruzadas a las cláusulas en esta norma dónde aplique para facilitar la verificación de cumplimiento por parte de interventores y socios de negocios.




0.9 Términos y definiciones Para los propósitos de este documento los siguientes términos y definiciones aplican: 2.1 Activo cualquier elemento que tenga un valor para la organización [ISO/IEC 13335-1:2004] 2.2 control significado de manejo del riesgo. Los medios de manejar el riesgo, incluso las políticas, los procedimientos, las pautas, prácticas o estructuras organizacionales que pueden ser de tipo administrativo, técnico, de gestión, o de naturaleza legal. NOTA La palabra control se usa como un sinónimo para resguardo o contramedida. 2.3 pauta una descripción que clarifica lo que debe hacerse y cómo, para lograr el conjunto de los objetivos establecidos en las políticas [ISO/IEC 13335-1:2004] 2.4 facilidades de procesamiento de información cualquier sistema de procesamiento de información, servicio o infraestructura, o las localidades físicas que los alojan 2.5 la seguridad de información la preservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades, fuertemente relacionadas tales como la autenticidad, la responsabilidad, non-repudio, y fiabilidad pueden también ser involucradas. 2.6 el evento de seguridad de la información es una ocurrencia identificada de un sistema, servicio o estado de la red indicando una posible brecha de la política de seguridad de información o fracaso de sus resguardos, o una situación previamente desconocida que puede ser pertinente a la seguridad. [ISO/IEC TR 18044:2004 2.7 incidente de seguridad de información un incidente de seguridad de la información se indica por un solo o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones del negocio mediante las amenazas a la seguridad de la información.[ISO/IEC TR 18044:2004] 2.8 la política la intención y dirección global como formalmente fue expresada por la gerencia o administración 2.9 el riesgo la combinación de la probabilidad de un evento y su consecuencia [ISO/IEC Guide 73:2002] 2.10 análisis de riesgo el uso sistemático de información para identificar las fuentes y estimar el riesgo [ISO/IEC Guide 73:2002] 2.11 la valoración del riesgo el proceso global de análisis de riesgo y evaluación de riesgo [ISO/IEC Guide 73:2002] 2.12 la evaluación del riesgo el proceso de comparar el riesgo estimado contra el criterio de un riesgo dado determina la importancia del riesgo [ISO/IEC Guide 73:2002] 2.13 la gestión del riesgo las actividades coordinadas para dirigir y controlar una organización con respecto al riesgo NOTA: La gestión del Riesgo incluye típicamente valoración de riesgo, tratamiento de riesgo, aceptación de riesgo y comunicación del riesgo.[ISO/IEC Guide 73:2002] 2.14 Tratamiento del riesgo el proceso de selección y aplicación de medidas para modificar el riesgo [ISO/IEC Guide 73:2002] 2.15 tercera parte esa persona o institución que se reconocen como un ser independiente de las partes involucradas, con respecto a un problema, trabajo o labor en cuestión [ISO/IEC Guide 2:1996] 2.16 la amenaza una causa potencial de un incidente no deseado que puede producir daño a un sistema u organización [ISO/IEC 13335-1:2004] 2.17 la vulnerabilidad una debilidad de un recurso o grupo de recursos que pueden explotarse por uno o más amenazas [ISO/IEC 13335-1:2004]




Concepto integrado de los diferentes elementos de la seguridad de la información

Figura 1. Relación vulnerabilidad, amenaza, riesgo y evento En la Figura 1 pretendemos hacer un esquema que explique integralmente los conceptos fundamentales de la seguridad. En primer lugar tenemos las vulnerabilidades que vienen siendo como los puntos débiles de la seguridad de la información. Haciendo una paradoja puede ser como un defecto de la infraestructura de recursos informáticos que pone en riesgo su propia supervivencia o la la de la información. Por otro lado tenemos el sutil tema de la amenaza en cualquiera de sus tipos incluidos en la gráfica, externa o interna a la organización. La conjunción simultanea de la vulnerabilidad y la amenaza construye e implica un riesgo de seguridad. La ocurrencia del riesgo lo convierte entonces en un evento y la teoria de Seguridad y Protección de la información es ese conjunto de actividades marcadas en azul que trata por todos los medios que el riesgo se convierta en evento, mitigando la probabilidad de ocurrencia del mismo.

1.0 Evaluando riesgos de seguridad Las valoraciones de riesgos deben identificar, deben cuantificar, y deben prioritizar los riesgos contra el criterio para la aceptación de riesgo y los objetivos pertinentes a la organización. Los resultados deben guiar y deben determinar la apropiada acción administrativa y la prioridad para gestionar el riesgo de la seguridad de información y para implementar los controles seleccionados para protegerse contra estos riesgos. El proceso de evaluar los riesgos y

Vulnerabilidad

Amenaza: Confidencialidad Disponibilidad Integridad Autenticidad

(No repudio)

Riesgo

Análisis de riesgos

Plan de protección, Recursos de HW y SW (FW, IDS, Criptografía) para protección, PPPE y auditoria permanente

Evento




seleccionar los controles puede necesitar ser realizado varios veces para cubrir partes diferentes de la organización o los sistemas individuales de información. La valoración de riesgo debe incluir el enfoque sistemático de estimar la magnitud de riesgos (el análisis de riesgo) y el proceso de comparar los riesgos estimados contra el criterio de riesgo para determinar la importancia de los riesgos (la evaluación de riesgo). También deben realizarse periódicamente las valoraciones de riesgo para conducir los cambios en los requerimientos seguridad y en la situación de riesgo, por ejemplo en los recursos, amenazas, las vulnerabilidades, los impactos, la evaluación del riesgo, y cuando los cambios significativos ocurren. Estas valoraciones de riesgo deben emprenderse de una manera metódica capaz de producir resultados comparables y reproducibles. La valoración del riesgo de seguridad de la información debe tener un alcance claramente definido para ser eficaz y debe incluir las relaciones con las valoraciones de riesgo en otras áreas, si es lo apropiado. El alcance de una valoración de riesgo o puede ser la organización entera, o las partes de la organización, un sistema de información individual, componentes del sistema específicos, o servicios dónde esto es factible, realista, y útil. Se discuten ejemplos de metodologías de valoración de riesgo en ISO/IEC TR13335-3 (Las guías para la Gestión de la Seguridad de la información: Las técnicas para el manejo de Seguridad de la INFORMACIÓN).

1.2 Tratando los riesgos de seguridad Antes de considerado el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si o no se pueden aceptar los riesgos. Por ejemplo, pueden aceptarse los riesgos si se evalúa que el riesgo es bajo o que el costo de tratamiento no es rentable para la organización. Las decisiones tomadas deben documentadas. Para cada uno de los riesgos identificados siguiendo a la evaluación se debe tomar una decisión de tratamiento del riesgo. Las posibles opciones para el tratamiento de riesgo incluyen:

a) aplicando los controles apropiados para reducir los riesgos; b) aceptando los riesgos a sabiendas y objetivamente, asumiendo que ellos satisfacen claramente la política de organización y los criterio para la aceptación de riesgo; c) evitando los riesgos no permitiendo acciones que causarían la ocurrencia de los riesgos; d) transfiriendo los riesgos asociados a una tercera parte, por ejemplo aseguradores o proveedores.

Para los riesgos dónde la decisión de tratamiento de riesgo ha sido aplicar los controles apropiados, estos controles deben seleccionarse y deben llevarse a cabo para cumplir con los requerimientos identificados por una valoración de riesgo. Los controles deba asegurar que se reducen los riesgos a un nivel aceptable teniendo en cuenta:

a) los requerimientos y restricciones de la legislación nacional e internacional y las regulaciones; b) los objetivos organizacionales; c) los requerimientos y restricciones operacionales; d) el costo de implementación y operación respecto al nivel de riesgo que esta siendo reducido, y restante , permaneciendo proporcional a los requerimientos y restricciones de la organización. e) la necesidad de equilibrar la inversión en la aplicación y funcionamiento de controles contra el dañe para ser el resultado de los fracasos de seguridad probablemente.




Pueden seleccionarse los controles de esta norma o de otro conjunto de normas de control, o pueden diseñarse nuevos controles para satisfacer las necesidades específicas de la organización. Es necesario reconocer que algunos controles no puedan ser aplicables a cada sistema de información o ambiente, y no podría ser factible para todas las organizaciones. Como un ejemplo, el parágrafo 10.1.3 describe cómo pueden dividir los deberes y funciones para prevenir el fraude y el error. No puede ser posible para las organizaciones más pequeñas dividir todos los deberes y otras maneras de lograr el mismo objetivo del control pueden ser necesarias. Como otro ejemplo, el parágrafo 10.10 describe cómo el uso del sistema puede supervisarse y pueden recolectarse evidencias. Los controles descritos por ejemplo el registro de eventos, podrían entrar en choque con la legislación aplicable, como protección de la privacidad del cliente o en el lugar de trabajo. Los controles de seguridad de información deben ser considerados en los sistemas, proyectos y aplicaciones diseñando la especificación de los requerimientos de seguridad en la fase de diseño. Fallas en este punto puede producir costos adicionales así y hacer menos eficaz las soluciones, y quizá, en el peor caso, incapacidad para lograr la seguridad adecuada. Debe tenerse presente que ningún conjunto de controles puede lograr la seguridad completa, y gestión adicional debe ser implementada para monitorear, evaluar y mejorar la eficiencia y la efectividad en los controles de seguridad para soportar los objetivos de la organización.

2 Política de seguridad Un política de seguridades es una decisión ejecutiva sobre el quehacer en el procesamiento, acceso, almacenamiento, creación, mantenimiento y eliminación de la información, para protegerla adecuadamente.

2.1 Política de seguridad de información

2.1.2 Documento de la política de seguridad de la información Control Un Documento de la política de seguridad de la información debe aprobarse por la dirección, y publicarlo y comunicarlo a todos los empleados y la tercera parte externa pertinente. La guía de aplicación El Documento de la política de seguridad de la información debe declarar el compromiso de la dirección y debe partir del enfoque de la organización para el manejo de la seguridad de información. El documento de la política debe contener declaraciones involucrando:

a) una definición de seguridad de la información, sus objetivos globales, alcance y la importancia de la seguridad como un mecanismo habilitador para compartir la información (ver el parágrafo de la introducción); b) una declaración de intención de la dirección para , apoyar las metas y principios de seguridad de la información, en línea con la estrategia y objetivos de negocios;

El objetivo: Proporcionar gestión de dirección y apoyar la seguridad de información de acuerdo con los requerimientos del negocio, leyes pertinentes y regulaciones. La dirección debe establecer una política clara en la línea con los objetivos del negocios y debe demostrar apoyo y compromiso con la seguridad de información a través de la emisión y mantenimiento de una política de seguridad de información para la organización.




c) un armazón por establecer objetivos de control y controles, incluso la estructura de la valoración y manejo de riesgo; d) una explicación breve de las políticas de seguridad, principios, normas, y requerimientos de cumplimiento de importancia particular para la organización, incluyendo:

1) la complacencia con el legislativo, los requerimientos reguladores y contractuales; 2) la educación de seguridad, entrenamiento, y requerimientos de conocimiento; 3) la gestión de continuidad del negocio; 4) las consecuencias de las violaciones de la política de seguridad de la información;

e) una definición de las responsabilidades generales y específicas para la gestión de la seguridad de información, incluyendo el informar los incidentes de seguridad de la información; f) las referencias a documentación que pueden apoyar la política, por ejemplo la seguridad más detallada las políticas y procedimientos para los sistemas de información específicos o las reglas de seguridad que los usuarios deben cumplir.

Esta política de seguridad de información debe comunicarse a lo largo de la organización a los usuarios en un formato apropiado, accesible y entendible al lector intencional. Otra información La política de seguridad de información podría ser una parte de un documento de la política general. Si la información de la política de seguridad es distribuída fuera de la organización, el debe tenerse cuidado para no descubrir o revelar información sensible. Información adicional puede encontrarse en el ISO/IEC 13335-1:2004.

2.1.3 Revisión de la política de seguridad de información Control La política de seguridad de información debe revisarse a intervalos planeados o si ocurren cambios significativos para asegurar su conveniencia de continuación, suficiencia, y efectividad. La guía de aplicación La política de seguridad de información debe tener un dueño quien tenga responsabilidades de gestión aprobadas para el desarrollo, revisión, y evaluación de la política de seguridad. La revisión debe incluir las oportunidades de evaluación para la mejora de la política de seguridad de información de la organización y enfoque a manejar la seguridad de información en respuesta a los cambios al ambiente organizacional, las circunstancias comerciales y de negocios, las condiciones legales, o el ambiente técnico. La revisión de la política de seguridad de información debe tomar cuenta de los resultados de revisiones manejadas. Allí debe definirse los procedimientos de manejo de revisión, incluso un horario o período de la revisión. La entrada a la gestión de revisión debe incluir la información en:

a) la retroalimentación de terceras partes interesadas; b) los resultados de revisiones independientes (vea 6.1.8); c) el estado de acciones preventivas y correctivas (vea 6.1.8 y 15.2.1); d) los resultados de revisiones de gestiones anteriores; e) efectividad del proceso y cumplimientos de las política de seguridad de la información;




f) cambios que podrían afectar el enfoque de la organización al manejo de la seguridad de información, incluso los cambios al ambiente organizacional, circunstancias comerciales, disponibilidad de recursos, las condiciones contractuales, regulatorias y legales, o al ambiente técnico; g) las tendencias relacionadas con las amenazas y vulnerabilidades; h) incidentes reportados de seguridad de información (vea 13.1); i) recomendaciones proporcionadas por las autoridades pertinentes (vea 6.1.6).

La salida de la gestión de revisión debe incluir cualquier decisión y acciones relacionadas a:

a) la mejora del enfoque de la organización a la gestión de la seguridad de la información y sus procesos; b) la mejora de objetivos de control y controles; c) la mejora en la asignación de recursos y/o responsabilidades.

Un registro de la gestión de revisión debe mantenerse. La aprobación gerencial para la política revisada debe obtenerse.

introduccin a los conceptos de seguridad

Documents