Please enable JavaScript.

Coggle requires JavaScript to display documents.

TEMA 12: PLANES DE SEGURIDAD DE LA INFORMACIÓN. ANÁLISIS DE RIESGOS…

- - - - Análisis de riesgos
      - Políticas de seguridad
      - Estrategia de seguridad
        
        Plan de seguridad
        
        Planes de contingencia
      - Equipos de respuesta a incidencias
      - Copias de respaldo de los datos
    - - Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y Real Decreto 1720 que la desarrolla
      - Ley 59/2003 de firma electrrónica
      - Real Decreto 3/2010 que desarrolla el Esquema Nacional de Seguridad
      - Decreto 66/2012 del Consell sobre Política de Seguridad de la información de la Generalitat
      - Decreto 130/2012 del Consell sobre Organización de la Seguridad de la Información de la Generalitat
      - Orden 19/2013 sobre normas de uso seguro de medios tecnológicos en la Administración de la Generalitat
  - - - Pequeño : un responsable de administración de la seguridad que rinde cuentas a la Alta Dirección
      - Grande :un responsable de seguridad de los SI, con especialistas, del que puede depender un administrador central de seguridad informática, así como administradores sectoriales y/o locales
      - Muy grande :coordinación de distintas infraestructuras organizativas y medidas de seguridad de los SI por medio de un comité multifuncional de seguridad
    - - Propietario :responsable final de la seguridad del activo a su cargo
      - Administrador de seguridad :suele ser el departamento de SI, que debe instalar y mantener los controles necesarios para proteger la información. Reporta al propietario
      - Usuario :debe conocer el nivel de protección de la información y cumplir las políticas de seguridad establecidas por el administrador.
    - - Comité de Seguridad
        
        Identificar objetivos y estrategias de seguridad
        
        Revisar implantación Política de Seguridad
        
        Aprobar panes de implantación y asignar recursos
        
        Preparar el programa de seguridad y el de formación y concienciación
      - Responsable de la aplicación / datos
        
        Autorizar usuarios que deben utilizar la aplicación
        
        Definir los plazos en los que la información deja de tener vigencia administrativa
        
        Promover la formación del personal relacionado con el desarrollo y explotación de la aplicación y demás activos a proteger
      - Responsable / administrador de seguridad
        
        Dirigir y coordinar los procesos relacionados con al seguridad
        
        Elaborar la política de seguridad
        
        Diseñar, probar e implantar el plan de contingencias
        
        Preparar los planes y implantar los planes de salvaguardas
        
        Dirigir actividades de auditoría y control de la seguridad
        
        Reportar al comité de seguridad de las incidencias y niveles de seguridad alcanzados
- - - - Control de acceso
      - Resguardo de la información
      - Clasificación y control de activos
      - Gestión de las redes
      - Gestión de la continuidad del negocio
      - Seguridad de la información en los puestos de trabajo
      - Controles de Cambios
      - Protección contra la intrusión en software
      - Monitoreo de la seguridad
      - identificación y autenticación
      - Comunicaciones
      - Confidencialidad
    - - Se desarrollan también el Plan de Contingencias y el Plan de Continuidad de Negocioincluidos en el Plan de recuperación ante desastres
  - - - Identificar y valorar los activos que son los recursos del SI
      - Identificar vulnerabilidades
      - Identificar amenazas, que son situaciones o eventos que podrían generar peligro o daño a los activos
      - Evaluar el impacto, que es la medida del daño real sobre el activo al materializarse una amenaza
      - Identificar el riesgo, midiendo el daño probable sobre un activo.
      - Identificar mecanismos de salvaguarda o contramedidas
        
        Preventivos
        
        Detectivos
        
        Correctivos
      - Determinar el nivel de riesgo asumido, para determinar qué controles adoptar para obtener un riesgo aceptable
    - - Aceptar :se aceptan los riesgos sin realizar ninguna acción de protección. para activos poco importantes o riesgos poco probables o de difícil control
      - Anular :se prescinde del activo
      - Transferir :ceder la responsabilidad sobre el activo a un tercero. (Seguros, activos de otra entidad proveedora..)
      - Mitigar :implementar medidas de seguridad preventivas para evitar que el riesgo se materialice o reducir sus consecuencias
    - - MAGERIT v3 :elaborada por el Ministerio de Hacienda y AAPP
  - - - Objetivos
      - Duración
      - Roles y resonsabilidades
      - Procedimientos para iniciar una situación de contingencia
      - Planificación de recursos en caso de contingencia
      - Criterios para el retorno a explotación normal
      - Procedimientos para el retorno a explotación normal
      - Coste del plan
      - Tratamiento del plan después de la contingencia
    - - Concienciar a la alta dirección
      - Análisis y gestión de riesgos
      - Determinar elementos a los que aplica el plan
      - Identificar procesos críticos y nivel aceptable de funcionamiento mínimo
      - Formar equipo para implantar el plan
      - Desarrollar y documentar estrategia del plan
      - Definir procesos a realizar manualmente
      - Evaluar costes
      - Definir hechos que requieran el arranque del plan de contingencia
      - Definir procedimientos de recuperación de la información perdida o dañada
      - Establecer equipos para la ejecución del plan
      - Realizar pruebas del plan
      - Actualizar el plan respecto a las pruebas realizadas
      - Mantener el plan actualizado
      - Establecer el RTO (Tiempo de Recuperación Objetivo) que define el tiempo de inactividad tolerable
      - Establecer el RPO (Recovery Point Objetives)que es la cantidad permitida de pérdida de datos en caso de interrupción
- - - - Incluye a la información que se encuentra en soportes no digitales
      - Sustentados por la norma ISO 27001
      - Modelo PDCA (Plan.Do-Check-Act)
    - - Familia ISO/IEC 27000
      - Familia ISO 31000 : principios y directrices para la gestión de riesgos (es genérica)
      - ISO/IEC 15408:2009 : establece principios y conceptos generales para la evaluación de la seguridad
      - CoBIT v5 : modelo de buenas prácticas y marco de referencia para la gestión y el control de los SI en todos sus aspectos. Tiene un complemento específico para la seguridad de la información
  - - - Importancia crucial de la disponibilidad de las TIC para mantener la continuidad de las operaciones y la competitividad de las organizaciones
      - Contenido en los Planes de Continuidad y de Contingencias
    - - Estrategias de salvado
        
        Full :se copia todo. Se emplea más tiempo y solo se necesita un soporte para restaurar
        
        Incremental :se copian los cambios desde la última incremental (la primera vez del full). Tarda poco en copiar, pero se necesitan todas las incrementales y el full para restaurar
        
        Diferencial :se copian los cambios desde el último full. Tarda más en copiar que el incremental y menos que el full. Solo se necesita la última diferencial y el full para restaurar
        
        Logs :es una diferencial más frecuente en función del compromiso de RPO
    - - RAID 1 :discos espejos (mirroring), redundancia total, nº par de discos, útil para servidores pequeños de archivos
      - RAID 0+1 o 10 :se reparte la información en varios discos y luego se hacen espejos de todos (nº para de discos, mínimo 4). Mas caro pero mejora la tolerancia a fallos en sistemas de poca capacidad (servidores web y de aplicaciones)
      - RAID 3 : información distribuida en varios discos, más uno adicional para información de paridad que permite reconstruir el dato (mínimo 3 discos)
      - RAID 5 :como el 3, pero la paridad se reparte en todos los discos.
      - RAID 6 :como el 5 pero con paridad doble
    - - Hot SItes :
        
        Totalmente configurados
        
        RTO aprox. de minutos u horas
        
        Costes elevados
        
        Para operaciones de emergencia para uso no prolongado
      - Warm Sites :
        
        Parcialmente configurados
        
        RTO en pocos días
        
        Menos costoso que Hot Site
        
        Falta HW principal o de menor capacidad
      - Cold Sites :
        
        Instalación solo con cableado, falsos suelo, acondicionado y potencia electríca
        
        RTO más de una semana
      - Instalaciones Redundantes :
        
        Lugares de recuperación dedicados y preparados para las contingencias críticas
        
        Instalación completa con replicación de datos y balanceo de carga
        
        RTO inmediato
        
        Necesidad de pruebas periódicas
  - - - Denegación de servicio (interrupción):ataques contra la disponibilidad. Saturan el sistema hasta que este sea capaz de seguir prestando sus servicios
        
        Inundación de conexiones
        
        e-mail bombing
        
        Ransomware
      - Intercepción (escucha):ataques contra la confidencialidad. Alguien no autorizado accede al contenido de la información
        
        Keyloggers
        
        Sniffers-Snooping
      - Suplantación (impostura) :ataques contra la autenticación y la confidencialidad. sustituyen una parte para tener acceso a la información
        
        Hijack
        
        Secuestro del navegador
        
        Phishing
        
        Sitio web fraudulento
      - Modificación (manipulación o alteración) :ataques contra la integridad. Una tercera parte no autorizada accede al contenido de la información y la modifica de forma que los datos que llegan al receptor difieren de los originales
        
        Usados después de utilizar mecanismos de interceptación o suplantación
    - - Virus
      - Gusanos
      - Troyanos
      - Bomba ´logica
      - Adware
      - Spyware
      - Programas conejo
      - Rootkit
      - Exploit
      - Técnicas salami
      - Herramientas de seguridad
    - - Ingeniería social
      - Ingeniería social inversa
      - Shoulder-surfing
      - Piggybacking
      - Basureo
      - Tamper
    - - Medidas generales
        
        Actualizaciones automáticas de software
        
        Antivirus y similares
        
        Copias de respaldo
        
        Sistemas de almacenamiento centralizado (NAS; SAN)
        
        Sistemas tolerantes a fallos (RAID)
        
        Sistemas de detección de intrusos
      - Control de accesos: asegura que cada persona o entidad solo pueda tener acceso a la información a la que está autorizado
        
        Correcta administración de los permisos
        
        Política de contraseñas robusta
      - Seguridad en redes: mediante el control de flujo de datos
        
        Códigos de detección de errores
        
        Códigos de corrección de errores
        
        Protocolos codificados
        
        Cortafuegos
        
        Redes privadas virtuales (VPN)
      - Seguridad en puesto de trabajo: lo principal es fomentar la cultura de la seguridad entre los empleados
        
        Bloqueo o apagado del ordenador al ausentarse
        
        No dejar contraseñas escritas a la vista
        
        Notificar incidentes de seguridad
        
        No ejecutar programas de origen desconocido
        
        No abrir correos personales
        
        Uso adecuado de medios de almacenamiento extraibles
        
        etc....
  - - - Amenazas causadas involuntariamente por personas
      - Acciones hostiles deliberadas
      - Desastres naturales y catástrofes
    - - Aplicación de barreras físicas y procedimientos de control de accesos
      - Catástrofes
        
        Norma general : evitar construir la sede de la organización en zonas sensibles a sufrir estos acontecimientos
        
        Medidas preventivas que atenúen los efectos
      - Seguridad en el CPD
        
        Situación del CPD en el edificio
        
        Control de acceso al recinto
        
        Instalación eléctrica adecuada
        
        Sistema anti-incendios
        
        Sistemas de climatización
- - - - Concienciar a los responsables de SI de la existencia de riesgos y la necesidad de gestionarlos
      - Ofrecer un método sistemático para analizar riesgos derivados del uso de las TIC
      - Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control
      - Preparar a la organización para procesos de evaluación, auditoría, certificación o acreditación
  - - - Conceptos
      - Actividades de análisis de riesgos
      - Actividades de gestión de riesgos
      - Proyectos de análisis de riesgos
      - Actividades de los planes de seguridad
      - Gestionar la seguridad del producto final
      - Problemas recurrentes
    - - Activo
      - Dimensiones de valoración
      - Amenaza
      - Impacto
      - Riesgo
      - Salvaguardas
      - Vulnerabilidades
    - - Análisis
        
        Mediante tablas
        
        Algorítmico
        
        Árboles de ataque
      - Generales
        
        Técnicas gráficas
        
        Sesiones de trabajo
        
        Valoración Delphi
  - - - Caracterización de los activos
      - Caracterización de las amenazas
      - Caracterización de las salvaguardas
      - Estimación del estado de riesgo
    - - Actividades preliminares
      - Elaboración del análisis de riesgos
      - Comunicación de resultados
    - - identificación de proyectos de seguridad
      - Plan de ejecución
      - Ejecución