Please enable JavaScript.
Coggle requires JavaScript to display documents.
Políticas de seguridad - Coggle Diagram
Políticas de seguridad
Amenazas
Una amenaza se representa a través de una persona, una circunstancia o un evento, una idea maliciosa o un fenómeno, las cuales pueden provocar daños en los sistemas de información, produciendo pérdidas materiales, financieras o de otro tipo
Tipos de Amenazas
Amenaza de Software: Se puede encontrar cualquier tipo de software
malintencionado como troyanos, virus, espias, gusanos, phishing, DDoS, etc
Amenazas Físicas: Se encuentran todos los posibles daños causados al sistema informática por razones físicas y naturales como robos, incendios o catástrofes naturales
Amenazas Humanas: dos tipos de amenazas humanas
Intrusos: como piratas informáticos que pueden entrar via web de forma remota o físicamente al sistema.
Errores humanos: Los usuarios del sistema
Análisis de Riesgos.
Es el estudio de los casos de las posibles amenazas o eventos no deseados y los daños y consecuencias que este pueda producir
Análisis Cualitativo
Consiste en priorizar los riesgos con el fin de analizar y realizar acciones posteriores
Análisis Cuantitativo
Es un tipo de análisis centrado en los componentes centrado en los costos, vulnerabilidades, las amenazas y su frecuencias para al final contrastarlo y obtener los puntos más vulnerables.
Matriz de riesgos
Es una herramienta que aporta de manera rápida y sencilla una visión de los riesgos que afectan a la empresa
Se detalla la posibilidad de que ciertos eventos terminen sucediendo (internos/externos).
Matriz de riesgos en particular
Trata de recoger todas las características del riesgo, como fuentes de riesgo, desencadenantes, variables o factores relacionados.
Mapa de calor
Representación gráfica ubicando los riesgos en un cuadrante, dependiendo de la probabilidad de que determinado riesgo pueda ocurrir y el impacto cuantitativo o cualitativo que este se produce en caso de que se materialice el riesgo
Vulnerabilidades.
Son puntos débiles de un sistema que permite que un atacante comprometa la integridad, disponibilidad o confidencialidad.
Vulnerabilidad Física. Fallos presentes en ambientes en los cuales la información se está almacenando o manejando
Vulnerabilidad lógica
Son afectaciones directamente a la infraestructura y el desarrollo de operaciones, pueden ser:
Configuración
Actualización
Desarrollo
Vulnerabilidad Natural. Relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información
Vulnerabilidad de Hardware. Defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos.
Vulnerabilidad de Software. Fallo de seguridad en una aplicación a través de la cual, un atacante puede llegar a comprometer la seguridad de todo el sistema sobre el que se ejecuta esa aplicación.
Vulnerabilidad de Medios de Almacenaje por una serie de factores que podrán afectar la integridad, disponibilidad y confidencialidad de la información
Etapas para el desarrollo de
una política de seguridad
Fase de desarrollo
Durante esta etapa la política es creada, revisada y aprobada. Esta comprende las 3 primeras etapas.
Creacion Revision Aprobacion
Fase de implementación
En esta fase la política es comunicada y acatada. Comprende de la 4 hasta la 6ta etapa
Fase de mantenimiento
Los usuarios deben ser conscientes de la importancia de la política,sucumplimiento debe ser monitoreado,se debe garantizar su cumplimiento y se le debe dar mantenimiento(actualizarla)
Fase de eliminación
La política se retira cuando no se requiera más. Esta comprende la última etapa.
¿Qué son las políticas de seguridad?
Conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema.
¿Por qué es tan importante ?
Por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos
¿Qué es una Regla?
Son mandatos precisos que determina una disposición, actitud o comportamiento que se realice o no una acción específica y definida en una organización
¿Qué es una Norma?
Conjunto de disposiciones formales o informales que rigen el funcionamiento interno de una organización
¿Qué es una Política?
Establecen los procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos
Planes de contingencia
Contrarrestar los efectos adversos que generen la consolidación de algún evento/amenaza
Tipos de Conringencia
Contingencia menor
Su recuperación es en la jornada diaria y se puede recuperar en menos de 8 horas
Contingencia grave
Se presentan daños a las instalaciones pero se puede recuperar en menos de 24 horas
Contingencia crítica
Afecta la operación y las instalaciones, no tiene una recuperación a corto plazo y puede darse por falta de normas preventivas
Fases de una contingencia
Pre-contingencia
Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización
Contingencia total
Presentada la contingencia o desastre se debe ejecutar las siguientes actividades planificadas previamente
Plan de emergencia
La presente etapa incluye las actividades a realizar durante el desastre o siniestros, se debe tener en cuenta la probabilidad de su ocurrencia durante: el día, noche o madrugada
Post-contingencia
Contempla las medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza.
Fases para su desarrollo
1.- Planificación: preparación y aprobación de esfuerzos y
costos
2.- Identificación de riesgos: funciones y flujos del proceso de la
empresa.
3.- Identificación de soluciones: Evaluación de Riesgos de fallas
o interrupciones.
4.- Estrategias: Otras opciones, soluciones alternativas,
procedimientos manuales.
5.- Documentación del proceso: Creación de un manual del proceso.
6.- Realización de pruebas: selección de casos soluciones que
probablemente funcionen.
7.- Implementación: creación de las soluciones requeridas,
documentación de los casos
8.- Monitoreo: Probar nuevas soluciones o validar los casos
Comité o responsables
1.Dirección General
La presidencia es la máxima autoridad que preside el desenvolvimiento del Plan de emergencias y de ella deben provenir la toma de decisiones de carácter estratégico.
Brigada De Comunicaciones
Supervisar el correcto funcionamiento del sistema de alarma. Proteger adecuadamente el funcionamiento del sistema de alarma.
Brigada de Mantenimiento
Proporcionar los servicios necesarios para establecer el orden en
las instalaciones después de ocurrida una contingencia
Vigilancia
Establecer una intercomunicación franca y abierta con los Coordinadores de Brigada.
Elaborar el programa anual de simulacros.
Comandar el desarrollo integral de cada simulacro
Brigada de Primeros Auxilios
Preparar atención médica al personal que lo requiera.
Coordinar la atención prehospitalaria en caso de existir personal
lesionado
Brigada de Búsqueda y Rescate
Realizar las acciones adecuadas para efectuar el rescate de
personas.
Capacitar para poder desarrollar la habilidad necesaria para
llevar a cabo su actividad con seguridad y profesionalismo
Brigada Contra Incendios
Realizar acciones que permitan controlar el fuego
Capacitar al personal en general en el uso de
extinguidores.
Controlar las áreas donde se presente la emergencia
Brigada de Evacuación
Crear el esquema de las rutas de evacuación
Desalojar al personal de las instalaciones
Capacitar al personal en general en acciones de desalojo y
prevención.
Hacer la evaluación de los posibles riesgos.
Seguridad
Los 3 pilares de la seguridad
Se fundamentan en la necesidad que todos tienen de obtener la información, importancia, integridad y disponibilidad para sacarle el máximo rendimiento con el mínimo riesgo
Confidencialidad
Consiste en asegurar que solo el personal autorizado accede a la información que le corresponde, de esta forma cada sistema automático o individuo podrá usar los recursos que necesita para ejercer sus tareas
Integridad
Consiste en asegurarse de que la información no se pierda ni se vea comprometida voluntaria e involuntariamente
Disponibilidad
Supone que el sistema informático se mantenga trabajando sin sufrir ninguna degradación en cuanto a accesos. Es necesario que se ofrezcan los recursos que requieran los usuarios autorizados cuando se necesiten.
Riesgos
Es la probabilidad de que algo negativo suceda dañando los recursos tangibles o intangibles, por lo tanto, impide desarrollar la labor profesional
Riesgos de entorno
Riesgos generados por el medio ambiente natural, tales como: huracanes, vientos fuertes, lluvias, inundaciones, maremotos, sequías, olas de frío o calor, terremotos, movimientos sísmicos, erupción volcánica, etc
Riesgos Operativos
Se entiende por riesgo operativo a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos
Riesgos Evolutivos
Aquella probabilidad debido al entorno cambiante u operación
del data center
Reducción de presupuesto asignado a mantenimiento
Inevitablemente, la reducción (que no optimización) del mantenimiento conlleva aparejada un aumento de riesgo de fallos.
Crecimiento excesivo
Crecer más rápido de lo que nuestro Datacenter es capaz de asimilar en condiciones de seguridad, aumentamos el riesgo derivado de la explotación del mismo.
Seguridad Física.
Se refiere a los controles y mecanismos de seguridad dentro y alrededor del DataCenter.
CONTROL DE ACCESO
Son medidas que se llevan acabo para permitir o denegar el acceso a las diferentes instalaciones de una organización
ESTÁNDARES INTERNACIONALES
Procesos para evaluar, implementar, mantener y administrar la seguridad de la información.
ISO 27001
Establece que se deben proteger las diferentes áreas mediante controles de entrada adecuados que se aseguren de que el permiso de acceso solo se ofrece al personal autorizado.
Seguridad Lógica
lestándardenivelesdeseguridadmasutilizadointernacionalmenteeselTCSECOrangeBook
Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad
Nivel B3: Dominios de Seguridad
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura
Nivel B2: Protección Estructurada
La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior
Nivel C1: Protección Discrecional
Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso
Nivel B1: Seguridad Etiquetada
Soporta seguridad multinivel, como la secreta y ultra secreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio
Nivel C2: Protección de Acceso Controlado
Cuentaconcaracterísticasadicionalesquecreanunambientedeaccesocontrolado
edebellevarunaauditoriadeaccesoseintentosfallidosdeaccesoaobjetos
Nivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales(matemáticos) para asegurar todos los procesos que realiza un usuario sobre e sistema.