Documente Academic
Documente Profesional
Documente Cultură
Definicin
Seguridad de las redes y de la informacin:
La capacidad de las redes o de los sistemas de informacin de resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles REGULATION (EC) Not 460/2004 10 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of March 2004 establishing the European Network and Information Security Agency
Sistema de informacin
Los ordenadores y redes de comunicaciones electrnicas, as como los datos electrnicos almacenados, procesados, recuperados o transmitidos par su por los mismos a operacin, uso, proteccin y Los sistemas tienen una o dos misiones
1. custodiar datos para que puedan ser utilizados por quien debe 2. cuando servicios prestar quiera
administrativos comerciales industriales
Objetivos de la seguridad
Mantener la disponibilidad de los datos almacenados, as como su disposicin a ser compartidos contra la interrupcin del servicio Mantener la integridad de los datos ... contra las manipulaciones Mantener la confidencialidad de los datos almacenados, procesados y transmitidos contra las filtraciones Asegurar la identidad de origen y destino (autenticidad) frente a la suplantacin o engao Ser capaz de perseguir las violaciones y aprender de las experiencias trazabilidad
Amenazas
Son los eventos que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales
naturales
terremotos, inundaciones, rayos, ...
accidentales
industriales
electricidad, emanaciones, ...
Consecuencias
Fallos de confidencialidad fugas de informacin no hay reparacin posible si se detecta, tenemos la opcin de perseguir (disuasorio) Fallos de integridad datos manipulados si se detecta, tenemos la opcin de recuperar [de otra fuente] Fallos de disponibilidad interrupcin del servicio medios alternativos restauracin de los medios habituales Autenticidad = integridad [de los meta-datos] Trazabilidad = integridad [de los registros de actividad]
Coste de la interrupcin
coste de [la interrupcin de la] disponibilidad
10 8 coste 6 4 2 15m 0 30m
1h
2h
6h
1d
2d
1s
2s
1m
2m
6m
1a
S1 total
duracin de la interrupcin
intypedia 2011
Trminos
Impacto
evaluacin de las consecuencias de una amenaza
Riesgo
impacto, teniendo en cuenta la probabilidad de la amenaza
Anlisis
identificacin y valoracin
Evaluacin
cmo el impacto y el riesgo afectan al negocio
Gestin
organizarse y actuar
Estimacin tabular
impacto MA A M B MB alto medio bajo bajo muy bajo XS muy alto alto bajo bajo muy bajo S muy alto alto medio bajo muy bajo M muy alto alto medio medio muy bajo L muy alto alto medio medio bajo XL probabilidad
intypedia 2011
Riesgo
Riesgo
el arte de vivir con sistemas razonablemente seguros
Anlisis de impacto
el arte de estimar las consecuencias de una amenaza potencial
Anlisis de riesgos
el arte de estimar las consecuencias recurrentes de la inseguridad residual
Gestin de riesgos
Risk management involves managing to achieve an appropriate balance between realizing opportunities for gains while minimizing losses. [AS/NZS
4360:2004]
10
Gestin de riesgos
Determinar el contexto
Anlisis
no
intypedia 2011
11
monitorizacin y revisin
12
Marco
Criterios para evaluar la informacin y los servicios
ej. clasificacin de la informacin ej. niveles de servicio
Criterios para evaluar los riesgos Criterios para decidir el tratamiento de los riesgos
i
Video intypedia007es intypedia 2011 Creative Commons Video intypedia011es intypedia 2011 Creative Commons
13
Roles
Responsable de la informacin
establece sus requisitos de seguridad
Analista de riesgos
traslada los requisitos a los medios TIC selecciona y evala medidas de proteccin reporta sobre el riesgo residual
Gestin de riesgos
1. Analizar 2. Preparar una declaracin de aplicabilidad Gestionar para cumplimiento aplicar medidas hasta satisfacer los controles requeridos Para seguridad real [esttica] aplicar tratamientos hasta que el riesgo es aceptado Para seguridad real [dinmica] 1. analizar qu consecuencias implican los cambios en el sistema, en su entorno, las vulnerabilidades descubiertas y las intrusiones detectadas 2. reaccionar en consecuencia
15
Opciones de tratamiento
Evitar
eliminar informacin / servicios / activos
Mitigar
prevenir / reaccionar / recuperar
Transferir o compartir
en trminos cualitativos (externalizacin) en trminos cuantitativos (seguros)
Aceptar
o el riesgo es parte del negocio
16
Toma de decisiones
estudio de los riesgos revisin peridica
Anlisis (potencial)
estn expuestos a
activos
Interesan por su
amenazas valor
causan una cierta
degradacin impacto
con una cierta
probabilidad riesgo
intypedia 2011
18
1 19
Anlisis (residual)
estn expuestos a
activos
Interesan por su
amenazas valor
causan una cierta
salvaguardas
intypedia 2011
20
Soporte en herramientas
activos amenazas impacto y riesgo potenciales evaluacin de salvaguardas
PILAR
progreso salvaguardas
programas de seguridad
21
La herramienta PILAR
EAR / PILAR
procedimiento informtico-lgico para el anlisis del riesgo entorno de anlisis de riesgos proyecto CNI A.L.H. J. Maas (2003) especificacin: CCN Ministerio de Defensa, Espaa comit validacin: CCN + MAP + FNMT parcialmente financiado por el CCN comercializado como producto independiente
intypedia 2011