Esquemas de Seguridad Informática
Perfiles de Protección
Los Criterios Comunes (CC) contienen el criterio de evaluación que permite a un evaluador informar si un Perfil de Protección (PP) es completo, consistente y técnicamente válido.
Un PP debe presentarse como un documento orientado al usuario, y se ajustará al contenido de los requerimientos descritos en CC.
La estructura que se presenta a continuación, es la forma en cómo se ha construido la metodología de perfiles de protección y la cual se basa en el seguimiento de los puntos contemplados de manera general en la figura 5.8.
Esquemas de Seguridad Informática
Perfiles de Protección Estructura - Introducción
Contendrá el documento administrador y un panorama del PP como se indica a continuación:
El documento administrador se refiere a la identificación del PP que proporcionará la etiqueta y la información descriptiva necesaria para identificar, clasificar, registrar y cruzar referencias en un PP.
El panorama del PP recopilará el PP en su forma narrativa, será lo suficiente detallado a fin de que los lectores de la introducción puedan determinar sin lugar a dudas si el PP es de interés para la organización.
Con base a lo anterior podemos decir que la introducción es:
Resumen ejecutivo (lo que el dueño o directivo de la organización tiene que ver)
Explicación clara y concisa del problema de seguridad que hay que resolver y de cómo el esquema de seguridad dará solución al mismo.
Síntesis de la información consistente con el contenido técnico del PP.
Esquemas de Seguridad Informática
Perfiles de Protección Estructura - Descripción del objeto de evaluación
En esta parte del PP se describe al objeto de evaluación a fin de entender sus requerimientos de seguridad.
La descripción:
Añade detalles que complementan la información que aparece en la Introducción.
Va dirigido principalmente al técnico administrador.
Incluye una descripción funcional, la cual es más detallada y va más allá de una descripción de las características de seguridad.
Contiene una descripción de la frontera del objeto de evaluación, informando de manera muy clara qué es lo que está contenido en el objeto de evaluación, y qué es lo que está fuera de él.
Debe ser consistente técnicamente.
Esquemas de Seguridad Informática
Perfiles de Protección Estructura - Entorno de seguridad
Se deben describir los aspectos de seguridad del entorno en el cual se pretende utilizar el objetivo de evaluación y la forma como se espera éste sea empleado, de manera que debe incluir:
Una descripción de las hipótesis.
Una descripción de las amenazas.
Una descripción de las políticas de seguridad organizacional.
En el entorno de seguridad:
La descripción se enfoca principalmente a las necesidades del usuario y con ello facilita la definición de requerimientos.
El análisis considera los diversos factores con los que interactúa.
Su análisis hace explícitas las hipótesis que se plantea al desarrollar el PP y las expectativas sobre el entorno que no se resolverán en otros ámbitos.
Su análisis identifica las amenazas a las que está expuesto el objeto de evaluación y determina las políticas de seguridad que deberán operar para resguardar el entorno.
Esquemas de Seguridad Informática
Perfiles de Protección Estructura - Objetivos
El informe de los objetivos de seguridad definirá los objetivos de seguridad para el objeto de evaluación y su entorno. Se identificarán las siguientes categorías de objetivos:
Objetivos de seguridad para el objeto de evaluación: deberán estar claramente documentados y referidos a los aspectos de las amenazas identificadas para que puedan ser contrarrestadas por el objeto de evaluación y por las políticas de seguridad organizacional.
Objetivos de seguridad para el entorno: deberán estar claramente documentados y referidos a los aspectos de las amenazas identificadas no contrarrestadas completamente por el objeto de evaluación y las políticas de seguridad organizacional o hipótesis no completamente reunidas.
Los objetivos de seguridad indicarán:
Cómo se hace frente a las amenazas y a las políticas desde el punto de vista de las hipótesis.
La naturaleza de los requerimientos.
El grado de efectividad esperado.
El enfoque particular de cada objetivo.
Relación entre el objetivo, las políticas y las amenazas; la cual puede ser: uno a uno, uno a muchos, o muchos a uno.
Un objetivo de seguridad para cada requerimiento funcional, principal si es qué éstos se conocen, a fin de facilitar el mapeo de los objetivos a los requisitos.
Esquemas de Seguridad Informática
Perfiles de Protección Estructura - Requerimientos
En esta parte del PP se definen detalladamente los requerimientos de seguridad IT que deberán ser cubiertos por el objeto de valuación o por su entorno, para ello será necesario realizar una valoración de los bienes, a fin de determinar el nivel de seguridad y de garantía necesarios y seleccionar los requerimientos de garantía de la tecnología de la información con base en el valor de los activos que se desean proteger; para definir los requerimientos de seguridad de IT necesarios , hay que considerar los catálogos de requerimientos incluidos en CC (figura 5.11).
Figura 5.11 Determinación de objetivos de seguridad
Esquemas de Seguridad Informática
Perfiles de Protección Estructura - Justificación
La justificación debe realizarse considerando dos aspectos fundamentales: los objetivos de seguridad y los requerimientos de seguridad; el primero demostrará que el conjunto de los objetivos de seguridad es fácil de seguir para todos los aspectos identificados en el entorno de seguridad del objeto de evaluación, y que es conveniente cubrirlos, y el segundo demostrará que será de gran utilidad reunir el conjunto de requerimientos de seguridad, y que es fácil de seguir para alcanzar los objetivos planteados.
Esquemas de Seguridad Informática
Perfiles de Protección Definición de la arquitectura
Se seleccionan los mecanismos y herramientas necesarios y se lleva a cabo su implementación, (figura 5.12), para lo cual es imprescindible:
Diseñar la arquitectura de seguridad basada en los requerimientos identificados.
Llevar a cabo la selección de las herramientas que logren los objetivos planteados, hagan cumplir las políticas de seguridad y contrarresten las amenazas identificadas.
Buscar soluciones que protejan el objeto de evaluación en particular, así como el software, el hardware y el firmeware asociados al entorno de seguridad, con lo que las compañías y proveedores de servicio están comprometidos a fin de detener, evitar y contrarrestar ataques de seguridad IT.
Figura 5.12 Implantación del esquema de seguridad
Esquemas de Seguridad Informática
Perfiles de Protección Implementación
En este proceso se llevan a cabo la instalación de las herramientas de seguridad, siendo las indicaciones dadas por el fabricante a través de los manuales y configurándolas de acuerdo con las políticas de seguridad, para lo cual:
Se instalan las herramientas seleccionadas.
La configuración de la herramientas de hace obedeciendo la políticas de seguridad.
Se lleva a cabo las pruebas pertinentes.
El esquema de seguridad está en reproducción.
Esquemas de Seguridad Informática
Análisis de Riesgos Definición
Podemos definir el riesgo como:
"La posibilidad de que ocurra algún evento negativo para las personas y/o empresas."
Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de factores internos y externos, tan variables como su propio personal, su actividad, la situación económica, la asignación de sus recursos financieros o la tecnología utilizada (Rodríguez, 1995).
Los equipos de cómputo que habitualmente se utilizan en las empresas están sujetos al riesgo de que ocurra alguna eventualidad que los dañe y debido a que no existe una seguridad total y las medidas de seguridad no pueden asegurar al 100% la protección en contra de las vulnerabilidades, es imprescindible realizar periódicamente en una organización, un análisis de riesgos, para identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y así, lograr un manejo de riesgo tras la implementación y mantenimiento de controles que reduzcan los efectos de éste a un nivel aceptable.
El análisis de riegos proporciona herramientas útiles para cuantificar el riesgo y evaluar si este análisis es adecuado, tomar medidas para reducirlo, además intenta mantener un balance económico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de seguridad destinadas a manejarlos.
Compartir con tus amigos: |