Construcción de un programa de seguridad

Concepto de seguridad

La seguridad de la información se refiere a los procesos y metodologías que protegen información sensible o datos de accesos no autorizados, uso fraudulento, publicación indebida, modificación, destrucción, o interrupción de su procesamiento.

La seguridad física es el primer nivel de seguridad tradicional. Restringe el acceso físico a los componentes informáticos o a determinadas ubicaciones. Bajo la seguridad física está la seguridad del hardware.

La seguridad de red se ocupa de que los datos que son transmitidos no sufran alteraciones.

La seguridad de comunicaciones se ocupa de asegurar las comunicaciones mediante uso de diversos mecanismos.

La seguridad del software se centra en los sistemas operativos, programas y utilidades.

La seguridad del personal o seguridad humana es un conjunto de medidas esenciales. Se ocupa de mantener al personal motivado.

1.2 Frameworks de seguridad

Son una guía para una correcta implantación de seguridad de las organizaciones. No garantiza la seguridad 100% pero sí cuenta con medidas efectivas. Nos centraramos en la familia ISO 27000.

1.2.1 Information Security Management System Framework (ISMS) proporcionado por ISO/IEC 2001:2013

El Organismo Internacional de Normalización es el encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales.

La serie ISO 27000 sigue la filosofía Planifica-Haz-Comprueba-Ajusta:

ISO 27001: especificación a alto nivel para la gestión de la rama de seguridad de la información.
ISO 27002: define unos controles de seguridad de información generados como salida del análisis de riesgo.
ISO 27003: recomendaciones para implementar ISMS.
ISO 27004: medidas de efectividad de la implementación del ISMS.
ISO 27005: marco de gestión de los riesgos para la seguridad de información.
ISO 27006: guías para las organizaciones profesionales que necesita no tener una certificación claramente acreditada.

Un sistema de gestión de la seguridad de la información (ISMS Information Security Management System) es una aproximación sistemática para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información en una organización para lograr los objetivos de negocio.

La estructura propuesta por ISO 27001:

Y la metodología sugerida por ISO 27001:

1.2.2 NIST (National Institute of Standars and Technology)

El Instituto Nacional de Estándares y Tecnologías publica buenas prácticas relacionadas con distintas tecnologías. La "serie 800" se orienta a la seguridad y otra serie de guías 1800 se dedica a la ciberseguridad.

Guía 800-39: dedicada a la gestión de reisgos de seguridad en los sistemas de seguridad. Proporciona una guía en la integración de la gestión del riesgo.

En el capítulo 2 describe:

Los componentes de un gestor de riesgos
Una aproximación a varios niveles para llevar a cabo la gestión.
La gestión de riesgos a nivel de organización.
La gestión de riesgos a nivel de los procesos de negocio u objetivos de la empresa.
La gestión de riesgos a nivel de los sistemas de información.
Riesgos relacionados con la confianza y la confidencialidad.
Los efectos de la cultura de la organización sobre los riesgos.
Relaciones entre los conceptos clave de gestión de riegos.

En el capítulo 3 describe un ciclo de vida par la gestión de los riesgos en los sitemas de la información incluyendo:

Una visión global del proceso de gestión de riesgos.
Como las organizaciones establecen el contexto necesario para la toma de decisiones relacionadas con los riesgos.
Como las organizaciones evalúan el riesgo.
Como las organizaciones responden ante un riesgo.
Como las organizaciones monitorizan de forma continua los riesgos.

Guía 800-53: orientada hacia los controles de seguridad derivados del análisis de riesgos en una organización. Se basa en una aproximación a varios niveles.

En el capítulo 2 se describen

Gestión del riesgo a varios niveles.
La estructura de los riesgos así como su clasificación en varias familias conceptuales.
Las líneas base de los controles como punto inicial para orquestar el proceso.
El uso de controles más habituales y la herencia de las capacidades de seguridad.
Proveedores de servicios y entornos externos.
Garantías y confianza.
Revisiones y extensiones a los controles de seguridad y las líneas base de control.

Todos estos niveles están organizados en 18 familias de controles de seguridad:

Control de acceso.
Concienciación y formación
Auditoría y formación.
Evaluación de la seguridad y autorización.
Gestión de configuraciones.
Planes de contingencia.
Identificación y autenticación.
Respuesta ante incidentes.
Mantenimiento.
Protección de los medios.
Protección física y ambiental.
Planificación.
Seguridad del personal.
Análisis de riesgo.
Adquisición de sistemas y servicios.
Protección de las comunicaciones y los sistemas.
Integridad de la información y los sistemas.
Gestión de programas.

En el capítulo 3 de la guía 800-53 se describe el proceso de seleccionar y describir los controles de seguridad:

Seleccionar las líneas base apropiadas para los controles.
Seguir los controles base, incluyendo el solapamiento entre ellos.
Documentar el proceso de selección de controles de seguridad.
Aplicar el proceso de selección a los sistemas nuevos y los sistemas heredados.

COBIT (Control Objectives for Information and related Technologies)

COBIT es una guía para la gestión de sistemas de información que permiten definir y gestionar los procesos en una organización. No se centra en la seguridad.

El estándar COBIT es publicado por ISACA (Information Systems Audit and Control Association). ISACA es una organización dedicada a los sistemas de información, en 2012 publicó "COBIT 5 para la seguridad de la información".

COBIT 5 se basa en la filosofía "planificar-hacer-verificar-ajustar" (plan-do-check-adjust - PDCA) tiene cinco principios:

Satisfacer las necesidades de las partes interesadas.
Cubrir la Compañía de Forma Integral
Habilitar un Enfoque Holístico.
Separar el Gobierno de la Administración.

Y siete habilitadores:

Procesos.
Estructuras Organizacionales.
Cultura, ética y comportamiento.
Principios, políticas y marcos.
Información.
Servicios, infraestructura y aplicaciones.
Personas, habilidades y competencias.

SABSA (Sherwood Applied Business Security Architecture)

Se distingue del resto porque describe una arquitectura de seis capas orientada a garantizar soluciones de seguridad dentro de las empresas basándose en los requisitos de la organización.

Siendo el ciclo de vida y desarrollo de la arquitectura el siguiente:

1.2.5 Comparativa

1.3 Construir un programa de seguridad

1.3.1 Pilares de la seguridad

1.3.2 Ciclo de la seguridad

Google Sites

Report abuse