Esquemas de Seguridad Informática Políticas de Seguridad Modelos de Seguridad



Descargar 150,06 Kb.
Página1/2
Fecha de conversión08.06.2017
Tamaño150,06 Kb.
  1   2
Esquemas de Seguridad Informática

Políticas de Seguridad Modelos de Seguridad

Un modelo de seguridad es la presentación formal de una política de seguridad. El modelo debe identificar el conjunto de reglas y prácticas que regulan cómo un sistema maneja, protege y distribuye información delicada (López Barrientos & Quezada Reyes, 2006).

De acuerdo a (López Barrientos & Quezada Reyes, 2006), los modelos se clasifican en:


  1. Modelo abstracto: se ocupa de las entidades abstractas como sujetos y objetos. El modelo Bell LaPadula es un ejemplo de este tipo.




  1. Modelo concreto: traduce las entidades abstractas en entidades de un sistema real como procesos y archivos.

Además, los modelos sirven a tres propósitos en la seguridad informática:

  1. Proveer un sistema que ayude a comprender los diferentes conceptos. Los modelos diseñados para este propósito usan diagramas, analogías, cartas. Un ejemplo es la matriz de acceso.




  1. Proveer una representación de una política general de seguridad formal clara. Un ejemplo es el modelo Bell-LaPadula.




  1. Expresar la política exigida por un sistema de cómputo específico.

Esquemas de Seguridad Informática


Políticas de Seguridad Problemas al implantar las políticas de seguridad

Muchas veces las organizaciones realizan grandes esfuerzos para definir sus directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativo éxito. Pero resulta una labor ardua el convencer a los altos ejecutivos de la necesidad de buenas políticas y prácticas de seguridad informática.


Muchos de los inconvenientes se inician por los tecnicismos informáticos y la falta de una estrategia de mercadeo de los especialistas en seguridad, que llevan a los altos directivos a pensamientos  como: “más dinero para los juguetes de los ingenieros”. Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad, que en muchos de los casos lleva a comprometer su información sensitiva y por ende su imagen corporativa.


Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personas relevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.


En particular, la gente debe saber las consecuencias de sus decisiones, incluyendo lo mejor y lo peor que podría ocurrir.



Esquemas de Seguridad Informática

Procedimientos y Planes de Contingencia

En el mundo de hoy, las organizaciones dependen del procesamiento de datos para el flujo de información esencial, ya que si se quedara sin procesamiento de datos durante dos días, o durante una o dos semanas, las operaciones comerciales podrían limitarse de tal manera que afectaran los activos corporativos, los movimientos comerciales, el servicio a clientes, el flujo de dinero, las oportunidades de inversión y el margen de competencia, toda la organización sería vulnerable en caso de que las operaciones de cómputo no funcionen.


Las amenazas son reales y un desastre puede resultar de diferentes fuentes. Pueden ocurrir desastres naturales, fallas prolongadas de energía eléctrica, incendios, sabotaje y hasta explosión de bombas. Asimismo, es importante comprender que un desastre puede ocurrir de la misma manera que producirse, por ello se debe estar preparado.

Por lo que en esta sección se revisarán los siguientes puntos:


  1. Definición

  2. Utilidad del Plan de contingencia

  3. Elementos

  4. ¿Quién debe escribir el Plan de Contingencia?

  5. Metodologías de desarrollo de Planes de Contingencia

Esquemas de Seguridad Informática


Procedimientos y Planes de Contingencia Definición

Un plan de contingencia o plan de recuperación en caso de desastre es una guía para la restauración rápida y organizada de  las operaciones de cómputo después de una suspensión. Específica quién hace qué cómo. Los objetivos de dicho plan son los de restablecer, lo más pronto posible, el procesamiento de aplicaciones críticas (aquellas necesarias para la recuperación) para posteriormente restaurar totalmente el procesamiento “normal”. Un plan de contingencias no duplica un entorno comercial normal (en forma inmediata), pero sí minimiza la pérdida potencial de activos y mantiene a la empresa operando, al tomar acciones decisivas basadas en la planeación anticipada.


Dicho de otra manera, un plan de contingencias es un programa de recuperación de la organización, cabe aclarar que el plan de contingencias no sólo es un problema del área de sistemas, sino de toda  la organización.

Un plan de contingencia es un plan escrito en el que se detallan acciones, procedimientos y recursos que deben usarse durante un desastre que cause destrucción parcial o total de los servicios de computación. En este plan se define qué tareas son críticas, quién es el responsable de todos los aspectos del proceso de recuperación, y cómo va a funcionar la organización mientras los sistemas están siendo reparados o transportados a un nuevo local.

Esquemas de Seguridad Informática

Procedimientos y Planes de Contingencia Utilidad del Plan de contingencia

Un plan de contingencia o también llamado plan de recuperación de desastres, permite controlar la situación y realizar las actividades necesarias sin afectar a la información y para ello se debe de tomar en cuenta lo siguiente:



  • Disminuirá los efectos de esos desafortunados desastres y permitirá una respuesta rápida, una transferencia del procesamiento crítico a otras instalaciones, y una eventual recuperación.




  • Proporcionará a los directivos de una empresa una excelente oportunidad para aliviar o minimizar problemas potenciales que, en un momento dado, podrían interrumpir el procesamiento de datos.




  • Deberán tener sentido, ser legibles e indicar todos los aspectos de la función de la cuestión.




  • El nivel de detalle para el plan de contingencia, para respaldar la información y para los procedimientos de recuperación, dependerá de la importancia de la aplicación y del tipo de información.




  • Se desarrollará un plan de contingencia propio para cada empresa y así cubrirá sus necesidades específicas.

Esquemas de Seguridad Informática

Procedimientos y Planes de Contingencia Elementos

El plan de contingencia, es un plan de emergencia y recuperación porque incorpora seguridad física al centro de cómputo, es decir, es un plan formal que describe los pasos a seguir en el caso de presentarse alguna situación de emergencia, con la finalidad de reducir el impacto que pueda provocar el desastre, y posteriormente restablecer las operaciones del procesamiento electrónico de datos en forma tan inmediata como sea posible.

Por lo tanto, el diseño e implementación de un plan de esta naturaleza debe contemplar:


  • Los riesgos y los porcentajes de factibilidad de éstos, a los que está expuesta la organización.




  • La asignación de responsabilidades al personal, tanto en las actividades que se realizarán durante la emergencia como en las de preparación y las de recuperación.




  • La identificación de aplicaciones (sistemas automatizados) de mayor importancia dentro de la producción de datos, para darles la seguridad necesaria.




  • La especificación de alternativas de respaldo.




  • La definición de procedimientos y políticas a seguir durante el momento de la crisis.




  • La definición de medidas y el tiempo previsto para la recuperación.




  • La integración de prácticas de mantenimiento, entrenamiento en el plan y pruebas del mismo.

Esquemas de Seguridad Informática

Procedimientos y Planes de Contingencia ¿Quién debe escribir el Plan de Contingencia?

Una vez que se ha tomado la decisión de hacer un plan de contingencia, el Director de Sistemas junto con el cuerpo directivo de la empresa determinarán que es lo que más le interesa a la organización y así tomar  la decisión si se contrata a un consultor externo para hacerlo o desarrollarlo “en casa”. Ambas opciones tienen “pros” y “contras”.


De acuerdo a (Rodríguez, 1995), a primera vista, contratar a un consultor externo con muchos años de experiencia en el desarrollo de este tipo de proyectos puede parecer la mejor opción. Algunas de las ventajas son:



  • El desarrollo de un plan de contingencia están complicado como cualquier sistema importante (figura 4.1),debido a que en ambos se debe de seguir una serie de pasos ordenadamente para obtener un buen resultado. Por esto requiere de una persona (o un equipo) dedicado exclusivamente al desarrollo de este proyecto.




  • Los consultores poseen conocimientos especializados que pueden facilitar el desarrollo más rápido de un buen plan. Un consultor con experiencia sabe cómo se hace un plan de contingencias, además sabe quién es quién dentro de la industria de la seguridad de la información.

Esquemas de Seguridad Informática

Procedimientos y Planes de Contingencia Metodologías de desarrollo de Planes de Contingencia

A continuación se describen tres metodologías de desarrollo de Planes de Contingencia para Sistemas de Información (Rodríguez, 1995): la de William Toigo, la de Hewlett-Packard y una “Universal” llamada así por sus características.



  1. Metodología de William Toigo




  1. Metodología de Hewlett-Packard




  1. Metodología “Universal”




  1. Metodología para el Desarrollo de Planes de Atención de Emergencias

Esquemas de Seguridad Informática

Procedimientos y Planes de Contingencia Metodología de William Toigo

Esta metodología consta de ocho etapas. De cada una de ellas se enuncian las principales tareas que la componen.



I. Definición y Arranque

  • Definir los objetivos del plan




  • Seleccionar la metodología




  • Obtener la aprobación de la Dirección




  • Diseño de cuestionarios

Esquemas de Seguridad Informática


Procedimientos y Planes de Contingencia Metodología Hewlett-Packard

Esta metodología consta de 11 etapas (ver imagen) y de cada una de ellas se enuncian las principales tareas que la componen.






Esquemas de Seguridad Informática

Procedimientos y Planes de Contingencia Metodología “Universal”

Independientemente de la metodología que se elija para el desarrollo del Plan de Contingencias, o que se desarrolle una propia, existen ciertas constantes que deben aparecer en cualquier plan de este género. En el marco teórico que se presenta a continuación, se proporcionan estos elementos; con ello se puede desarrollar una metodología propia o adaptar una existente. Además, podemos denominar a esta metodología como “universal” porque con ella se puede desarrollar planes de contingencia no sólo para sistemas, sino para cualquier otra área o empresa de cualquier giro o tamaño que resida en cualquier lugar.



1. Conceptualización del Fenómeno de Desastre

1. La producción de Desastres

El desastre, en términos generales, se considera como un evento, frecuentemente concentrado en tiempo y espacio, en el cual la sociedad una parte de ella sufre severos daños, de gran magnitud y extensión, e incurre en pérdidas para sus miembros, de tal manera que su estructura social ya administrativa se desajusta, impidiendo la realización de sus actividades esenciales, afectando su funcionamiento y operación normales, perjudicando crucialmente su capacidad de afrontar y combatir la situación de emergencia.

Se pueden identificar dos sistemas interactuantes responsables por la problemática de desastres. Por un lado, el sistema perturbador (SP), que corresponde a aquel capaz de generar o producir calamidades y, por el otro, el sistema afectable (SA), integrado por el hombre (personal), bienes (hardware, software, información, comunicaciones), el medio ambiente (centro de cómputo, aire acondicionado, etc.) y servicios necesarios para subsistencia (energía eléctrica, servicios portadores), expuestos a las calamidades, las cuales pueden provocar daños en éste y, consecuentemente el desastre.

Esquemas de Seguridad Informática

Procedimientos y Planes de Contingencia Planes de Atención de Emergencias

El desarrollo de los planes de atención de emergencia constituye una parte esencial de cualquier programa de control de desastres en un sistema, ya que proporciona una herramienta de apoyo a la toma de decisiones para atender las emergencias, en conjugación con los planes de otros sistemas externos.

Los planes de atención de emergencia tienen que contemplar una serie de actividades previstas a realizarse para resolver las diversas situaciones de emergencia que se presentan en un sistema como resultado de los impactos de una calamidad. A continuación se presenta la concreción y adaptación de planeación para la atención de emergencias.

Se distinguen cuatro etapas:




  • Diagnóstico: plantea los problemas actuales y futuros.

  • Prescripción: busca y selecciona una de las soluciones.

  • Instrumentación: transforma la solución en actividades o programas que garantizan su logro.

  • Control: pone en práctica los programas y evalúa sus resultados, a fin de realizar ajustes y adaptaciones que mejoren la ejecución de las acciones.
  1   2


La base de datos está protegida por derechos de autor ©absta.info 2016
enviar mensaje

    Página principal