Esquemas de Seguridad Informática Políticas de Seguridad Modelos de Seguridad



Descargar 150,06 Kb.
Página2/2
Fecha de conversión08.06.2017
Tamaño150,06 Kb.
1   2

Esquemas de Seguridad Informática


Perfiles de Protección

Los Criterios Comunes (CC) contienen el criterio de evaluación que permite a un evaluador informar si un Perfil de Protección (PP) es completo, consistente y técnicamente válido.

Un PP debe presentarse como un documento orientado al usuario, y se ajustará al contenido de los requerimientos descritos en CC.

La estructura que se presenta a continuación, es la forma en cómo se ha construido la metodología  de perfiles de protección y la cual se basa en el seguimiento de los puntos contemplados de manera general en la figura 5.8.

Esquemas de Seguridad Informática

Perfiles de Protección Estructura - Introducción

Contendrá el documento administrador y un panorama del PP como se indica a continuación:




  • El documento administrador se refiere a la identificación del PP que proporcionará la etiqueta y la información descriptiva necesaria para identificar, clasificar, registrar y cruzar referencias en un PP.




  • El panorama del PP recopilará el PP en su forma narrativa, será lo suficiente detallado a fin de que los lectores de la introducción puedan determinar sin lugar a dudas si el PP es de interés para la organización.

Con base a lo anterior podemos decir que la introducción es:

  • Resumen ejecutivo (lo que el dueño o directivo de la organización tiene que ver)




  • Explicación clara y concisa del problema de seguridad que hay que resolver y de cómo el esquema de seguridad dará solución al mismo.




  • Síntesis de la información consistente con el contenido técnico del PP.

Esquemas de Seguridad Informática

Perfiles de Protección Estructura - Descripción del objeto de evaluación

En esta parte del PP se describe al objeto de evaluación a fin de entender sus requerimientos de seguridad.

La descripción:


  • Añade detalles que complementan la información que aparece en la Introducción.




  • Va dirigido principalmente al técnico administrador.




  • Incluye una descripción funcional, la cual es más detallada y va más allá de una descripción de las características de seguridad.




  • Contiene una descripción de la frontera del objeto de evaluación, informando de manera muy clara qué es lo que está contenido en el objeto de evaluación, y qué es lo que está fuera de él.




  • Debe ser consistente técnicamente.

Esquemas de Seguridad Informática

Perfiles de Protección Estructura - Entorno de seguridad

Se deben describir los aspectos de seguridad del entorno en el cual se pretende utilizar el objetivo de evaluación y la forma como se espera éste sea empleado, de manera que debe incluir:



  • Una descripción de las hipótesis.




  • Una descripción de las amenazas.




  • Una descripción de las políticas de seguridad organizacional.

En el entorno de seguridad:



  • La descripción se enfoca principalmente a las necesidades del usuario y con ello facilita la definición de requerimientos.




  • El análisis considera los diversos factores con los que interactúa.




  • Su análisis hace explícitas las hipótesis que se plantea al desarrollar el PP y las expectativas sobre el entorno que no se resolverán en otros ámbitos.




  • Su análisis identifica las amenazas a las que está expuesto el objeto de evaluación y determina las políticas de seguridad que deberán operar para resguardar el entorno.

Esquemas de Seguridad Informática

Perfiles de Protección Estructura - Objetivos

El informe de los objetivos de seguridad definirá los objetivos de seguridad para el objeto de evaluación y su entorno. Se identificarán las siguientes categorías de objetivos:




  • Objetivos de seguridad para el objeto de evaluación: deberán estar claramente documentados y referidos a los aspectos de las amenazas identificadas para que puedan ser contrarrestadas por el objeto de evaluación y por las políticas de seguridad organizacional.

  • Objetivos de seguridad para el entorno: deberán estar claramente documentados y referidos a los aspectos de las amenazas identificadas no contrarrestadas completamente por el objeto de evaluación y las políticas de seguridad organizacional o hipótesis no completamente reunidas.

Los objetivos de seguridad indicarán:

  • Cómo se hace frente a las amenazas y a las políticas desde el punto de vista de las hipótesis.




  • La naturaleza de los requerimientos.




  • El grado de efectividad esperado.




  • El enfoque particular de cada objetivo.




  • Relación entre el objetivo, las políticas y las amenazas; la cual puede ser: uno a uno, uno a muchos, o muchos a uno.




  • Un objetivo de seguridad para cada requerimiento funcional, principal si es qué éstos se conocen, a fin de facilitar el mapeo de los objetivos a los requisitos.

  • Esquemas de Seguridad Informática

  • Perfiles de Protección Estructura - Requerimientos

  • En esta parte del PP se definen detalladamente los requerimientos de seguridad IT que deberán ser cubiertos por el objeto de valuación o por su entorno, para ello será necesario realizar una valoración de los bienes, a fin de determinar el nivel de seguridad y de garantía necesarios y seleccionar los requerimientos de garantía de la tecnología de la información con base en el valor de los activos que se desean proteger; para definir los requerimientos de seguridad de IT necesarios , hay que considerar los catálogos de requerimientos incluidos en CC (figura 5.11).





  • Figura 5.11 Determinación de objetivos de seguridad


Esquemas de Seguridad Informática


Perfiles de Protección Estructura - Justificación

La justificación debe realizarse considerando dos aspectos fundamentales: los objetivos de seguridad y los requerimientos de seguridad; el primero demostrará que el conjunto de los objetivos de seguridad es fácil de seguir para todos los aspectos identificados en el entorno de seguridad del objeto de evaluación, y que es conveniente cubrirlos, y el segundo demostrará que será de gran utilidad reunir el conjunto de requerimientos de seguridad, y que es fácil de seguir para alcanzar los objetivos planteados.



Esquemas de Seguridad Informática

Perfiles de Protección Definición de la arquitectura

Se seleccionan los mecanismos y herramientas necesarios y se lleva a cabo su implementación, (figura 5.12), para lo cual es imprescindible:



  • Diseñar la arquitectura de seguridad basada en los requerimientos identificados.




  • Llevar a cabo la selección de las herramientas que logren los objetivos planteados, hagan cumplir las políticas de seguridad y contrarresten las amenazas identificadas.




  • Buscar soluciones que protejan el objeto de evaluación en particular, así como el software, el hardware y el firmeware asociados al entorno de seguridad, con lo que las compañías y proveedores de servicio están comprometidos a fin de detener, evitar y contrarrestar ataques de seguridad IT.




Figura 5.12  Implantación del esquema de seguridad

Esquemas de Seguridad Informática

Perfiles de Protección Implementación

En este proceso se llevan a cabo la instalación de las herramientas de seguridad, siendo las indicaciones dadas por el fabricante a través de los manuales y configurándolas de acuerdo con las políticas de seguridad, para lo cual:



  • Se instalan las herramientas seleccionadas.




  • La configuración de la herramientas de hace obedeciendo la políticas de seguridad.




  • Se lleva a cabo las pruebas pertinentes.




  • El esquema de seguridad está en reproducción.

  • Esquemas de Seguridad Informática

  • Análisis de Riesgos Definición

  • Podemos definir el riesgo como:

  • "La posibilidad de que ocurra algún evento negativo para las personas y/o empresas."

  • Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de factores internos y externos, tan variables como su propio personal, su actividad, la situación económica, la asignación de sus recursos financieros o la tecnología utilizada (Rodríguez, 1995).

  • Los equipos de cómputo que habitualmente se utilizan en las empresas están sujetos al riesgo de que ocurra alguna eventualidad que los dañe y debido a que no existe una seguridad total y las medidas de seguridad no pueden asegurar al 100% la protección en contra de las vulnerabilidades, es imprescindible realizar periódicamente en una organización, un análisis de  riesgos, para identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y así, lograr un manejo de riesgo tras la implementación y mantenimiento de controles que reduzcan los efectos de éste a un nivel aceptable.

  • El análisis de riegos proporciona herramientas útiles para cuantificar el riesgo y evaluar si este análisis es adecuado, tomar medidas para reducirlo, además intenta mantener un balance económico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de seguridad destinadas a manejarlos.
1   2


La base de datos está protegida por derechos de autor ©absta.info 2016
enviar mensaje

    Página principal