Esquemas de Seguridad Informática Políticas de Seguridad Modelos de Seguridad

Esquemas de Seguridad Informática

Contendrá el documento administrador y un panorama del PP como se indica a continuación:

• 
  El documento administrador se refiere a la identificación del PP que proporcionará la etiqueta y la información descriptiva necesaria para identificar, clasificar, registrar y cruzar referencias en un PP.
  

• 
  El panorama del PP recopilará el PP en su forma narrativa, será lo suficiente detallado a fin de que los lectores de la introducción puedan determinar sin lugar a dudas si el PP es de interés para la organización.
  

• 
  Resumen ejecutivo (lo que el dueño o directivo de la organización tiene que ver)
  

• 
  Explicación clara y concisa del problema de seguridad que hay que resolver y de cómo el esquema de seguridad dará solución al mismo.
  

• 
  Síntesis de la información consistente con el contenido técnico del PP.
  

• 
  Añade detalles que complementan la información que aparece en la Introducción.
  

• 
  Va dirigido principalmente al técnico administrador.
  

• 
  Incluye una descripción funcional, la cual es más detallada y va más allá de una descripción de las características de seguridad.
  

• 
  Contiene una descripción de la frontera del objeto de evaluación, informando de manera muy clara qué es lo que está contenido en el objeto de evaluación, y qué es lo que está fuera de él.
  

• 
  Debe ser consistente técnicamente.
  

Se deben describir los aspectos de seguridad del entorno en el cual se pretende utilizar el objetivo de evaluación y la forma como se espera éste sea empleado, de manera que debe incluir:

• 
  Una descripción de las hipótesis.
  

• 
  Una descripción de las amenazas.
  

• 
  Una descripción de las políticas de seguridad organizacional.
  

En el entorno de seguridad:

• 
  La descripción se enfoca principalmente a las necesidades del usuario y con ello facilita la definición de requerimientos.
  

• 
  El análisis considera los diversos factores con los que interactúa.
  

• 
  Su análisis hace explícitas las hipótesis que se plantea al desarrollar el PP y las expectativas sobre el entorno que no se resolverán en otros ámbitos.
  

• 
  Su análisis identifica las amenazas a las que está expuesto el objeto de evaluación y determina las políticas de seguridad que deberán operar para resguardar el entorno.
  

El informe de los objetivos de seguridad definirá los objetivos de seguridad para el objeto de evaluación y su entorno. Se identificarán las siguientes categorías de objetivos:

• 
  Objetivos de seguridad para el objeto de evaluación: deberán estar claramente documentados y referidos a los aspectos de las amenazas identificadas para que puedan ser contrarrestadas por el objeto de evaluación y por las políticas de seguridad organizacional.
  

• 
  Objetivos de seguridad para el entorno: deberán estar claramente documentados y referidos a los aspectos de las amenazas identificadas no contrarrestadas completamente por el objeto de evaluación y las políticas de seguridad organizacional o hipótesis no completamente reunidas.
  

• 
  Cómo se hace frente a las amenazas y a las políticas desde el punto de vista de las hipótesis.
  

• 
  La naturaleza de los requerimientos.
  

• 
  El grado de efectividad esperado.
  

• 
  El enfoque particular de cada objetivo.
  

• 
  Relación entre el objetivo, las políticas y las amenazas; la cual puede ser: uno a uno, uno a muchos, o muchos a uno.
  

• 
  Un objetivo de seguridad para cada requerimiento funcional, principal si es qué éstos se conocen, a fin de facilitar el mapeo de los objetivos a los requisitos.
  
• 
  Esquemas de Seguridad Informática
  
• 
  Perfiles de Protección Estructura - Requerimientos
  
• 
  En esta parte del PP se definen detalladamente los requerimientos de seguridad IT que deberán ser cubiertos por el objeto de valuación o por su entorno, para ello será necesario realizar una valoración de los bienes, a fin de determinar el nivel de seguridad y de garantía necesarios y seleccionar los requerimientos de garantía de la tecnología de la información con base en el valor de los activos que se desean proteger; para definir los requerimientos de seguridad de IT necesarios , hay que considerar los catálogos de requerimientos incluidos en CC (figura 5.11).
  
• 
  
  
• 
  
  
• 
  Figura 5.11 Determinación de objetivos de seguridad
  

Esquemas de Seguridad Informática

La justificación debe realizarse considerando dos aspectos fundamentales: los objetivos de seguridad y los requerimientos de seguridad; el primero demostrará que el conjunto de los objetivos de seguridad es fácil de seguir para todos los aspectos identificados en el entorno de seguridad del objeto de evaluación, y que es conveniente cubrirlos, y el segundo demostrará que será de gran utilidad reunir el conjunto de requerimientos de seguridad, y que es fácil de seguir para alcanzar los objetivos planteados.

Se seleccionan los mecanismos y herramientas necesarios y se lleva a cabo su implementación, (figura 5.12), para lo cual es imprescindible:

• 
  Diseñar la arquitectura de seguridad basada en los requerimientos identificados.
  

• 
  Llevar a cabo la selección de las herramientas que logren los objetivos planteados, hagan cumplir las políticas de seguridad y contrarresten las amenazas identificadas.
  

• 
  Buscar soluciones que protejan el objeto de evaluación en particular, así como el software, el hardware y el firmeware asociados al entorno de seguridad, con lo que las compañías y proveedores de servicio están comprometidos a fin de detener, evitar y contrarrestar ataques de seguridad IT.
  

En este proceso se llevan a cabo la instalación de las herramientas de seguridad, siendo las indicaciones dadas por el fabricante a través de los manuales y configurándolas de acuerdo con las políticas de seguridad, para lo cual:

• 
  Se instalan las herramientas seleccionadas.
  

• 
  La configuración de la herramientas de hace obedeciendo la políticas de seguridad.
  

• 
  Se lleva a cabo las pruebas pertinentes.
  

• 
  El esquema de seguridad está en reproducción.
  
• 
  Esquemas de Seguridad Informática
  
• 
  Análisis de Riesgos Definición
  
• 
  Podemos definir el riesgo como:
  
• 
  "La posibilidad de que ocurra algún evento negativo para las personas y/o empresas."
  
• 
  Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de factores internos y externos, tan variables como su propio personal, su actividad, la situación económica, la asignación de sus recursos financieros o la tecnología utilizada (Rodríguez, 1995).
  
• 
  Los equipos de cómputo que habitualmente se utilizan en las empresas están sujetos al riesgo de que ocurra alguna eventualidad que los dañe y debido a que no existe una seguridad total y las medidas de seguridad no pueden asegurar al 100% la protección en contra de las vulnerabilidades, es imprescindible realizar periódicamente en una organización, un análisis de  riesgos, para identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y así, lograr un manejo de riesgo tras la implementación y mantenimiento de controles que reduzcan los efectos de éste a un nivel aceptable.
  
• 
  El análisis de riegos proporciona herramientas útiles para cuantificar el riesgo y evaluar si este análisis es adecuado, tomar medidas para reducirlo, además intenta mantener un balance económico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de seguridad destinadas a manejarlos.