jueves, 24 de noviembre de 2016

Metodología Para La Elaboración Del Plan De Seguridad Informática

Metodología Para La Elaboración Del Plan De Seguridad Informática

Introducción
El  objetivo  del  presente  documento  es  establecer  una  metodología  para  la
Elaboración  del  plan  de  seguridad  informática  de  una  entidad,  mediante  la
Descripción de  los  controles  de  seguridad  que deben  ser  implementados,  de
Forma que permita la interpretación clara y precisa de las políticas, medidas y
Procedimientos  que  se  definan  en  la  misma,  con  el  objetivo  de  alcanzar
Niveles aceptables de seguridad.
Documentos relacionados

Este documento es un complemento de la metodología para el diseño de un
Sistema de seguridad  informática elaborado  por la dirección de protección
Del ministerio del interior, que profundiza en los aspectos que preceden a la
Confección del plan de seguridad informática.
Aproximación básica
Un  sistema  de  seguridad  informática  es  un  conjunto  de  medios
Administrativos, medios técnicos y personal que de manera  interrelacionada
Garantizan  niveles  de  seguridad  informática  en  correspondencia  con  la
Importancia de los bienes a proteger y los riesgos estimados. 
El  plan  de seguridad  informática  es  la  expresión  gráfica  del  sistema  de
Seguridad  informática  diseñado  y  constituye  el  documento  básico  que
Establece  los  principios  organizativos  y  funcionales  de  la  actividad  de
Seguridad  informática en una  entidad y recoge claramente las políticas de
Seguridad  y  las  responsabilidades  de  cada  uno  de  los  participantes  en  el
Proceso  informático,  así  como  las  medidas  y  procedimientos  que  permitan
Prevenir, detectar y responder a las amenazas que gravitan sobre el mismo.

Durante  el  proceso  de  diseño  de  un  sistema de  seguridad  informática  se distinguen tres etapas:
Determinar las necesidades de protección del sistema informático objeto de análisis, que incluye:
Caracterización del sistema informático.
Identificación de las amenazas y estimación de los riesgos.
Evaluación del estado actual de la seguridad.
Definir e implementar el sistema de seguridad que garantice minimizar los
Riesgos identificados en la primera etapa.
Definir las políticas de seguridad.
Definir las medidas y procedimientos a implementar.
Evaluar el sistema de seguridad diseñado.

El contenido de cada una de estas etapas se describe en la “metodología para el diseño de un sistema de seguridad informática” elaborada por el ministerio del interior. 
Una vez cumplidas estas etapas se elabora el plan de seguridad informática.
Para la elaboración del plan de seguridad informática se tendrán en cuenta las consideraciones siguientes:
Serán confeccionados tantos ejemplares como se determine  en cada lugar, numerando las páginas consecutivamente.
Se determinará su clasificación, parcial o total, de acuerdo a la información que  contenga,  en  correspondencia  con  las  categorías  que  expresa  el decreto-ley  no.  199  de  1999  sobre  la  seguridad  y  protección  de  la información oficial.
Contendrá las tablas y gráficos que se consideren necesarios y contribuyan a su mejor interpretación.
Tendrán acceso a este documento, o a parte de él, las personas que en cada área requieran de su conocimiento.
Se  mantendrá permanentemente actualizado sobre la base de los cambios que  se  produzcan  en  las  condiciones  que  se  consideraron  durante  su elaboración.
Al elaborar el plan se deberá evitar repetir aspectos que ya han sido señalados anteriormente, en todo caso se puede hacer  referencia a ellos.
Alcance.

El alcance  expresará    el radio de acción que abarca el plan, de acuerdo al
Sistema informático objeto de protección, para el  cual fueron  determinados
Los  riesgos  y  diseñado  el  sistema  de  seguridad.  La  importancia  de  dejar
Definido claramente el alcance del plan (y de ahí su inclusión al comienzo del
Mismo) estriba en que permite tener a priori una idea precisa de la extensión y
Los límites en que el mismo tiene vigencia. 

Caracterización del sistema informático.

Se describirá el resultado de la caracterización realizada al sistema informático
De  la  entidad,  con  el  objetivo  de  determinar  qué  se  trata  de  proteger,
Especificando sus principales componentes y considerando entre otros:

Bienes informáticos, su organización e importancia.
Redes instaladas, estructura, tipo y plataformas que utilizan.
Aplicaciones en explotación. 
Servicios informáticos  y de comunicaciones disponibles, especificando si
Son en calidad de clientes o servidores.
Características  del  procesamiento,  transmisión  y  conservación  de  la
Información, teniendo en cuenta el flujo interno y externo y los niveles de
Clasificación de la misma. 
Otros datos de interés.

Al  describirse  el  sistema  informático  se  hará  uso,  en  los  casos  que  lo
Requieran,  de  diferentes  tipos  de  esquemas,  tablas,  gráficos,  etc.;  a  fin  de
Facilitar  una  mejor  comprensión.  Estos  medios  auxiliares  pueden  ser
Insertados, lo mismo dentro de esta propia sección que al final, como anexos a
Los cuales debe haber una obligada referencia.

Resultados del análisis de riesgos.
A partir de que el plan de seguridad informática es la expresión gráfica del
Sistema de seguridad informática diseñado y de que la esencia de ese diseño
Es la realización de un análisis de riesgos, no se concibe seguir adelante en la
Elaboración  del  plan  sin  dejar  claramente  precisados  cuales  fueron  los
Resultados  obtenidos  en  el  análisis  de  riesgos  realizado,  por  lo  que  en  este
Acápite  deberán  relacionarse  las  principales  conclusiones  obtenidas  en  ese
Proceso, entre las cuales no pueden faltar:

Cuáles  son  los  activos  y  recursos  más importantes  para la gestión  de  la
Entidad y por lo tanto requieren de una atención especial desde el punto de
Vista de la protección, especificando aquellos considerados de importancia
Crítica por el peso que tienen dentro del sistema.
Que amenazas actúan sobre los activos y recursos a proteger y entre ellas
Cuales  tienen  una  mayor  probabilidad  de  materializarse  (riesgo)  y  su
Posible impacto sobre la entidad.
Cuáles son los activos, recursos y áreas con un mayor peso de riesgo y que
Amenazas lo motivan.
En la medida en que las conclusiones del análisis de riesgos sean más precisas
Se logrará una visión más acertada  de hacia dónde pueden ser dirigidos los
Mayores esfuerzos de seguridad y por supuesto los recursos disponibles para
Ello, lográndose que la misma sea más rentable.
Políticas de seguridad informática

En esta sección se definen los aspectos que conforman la estrategia a seguir
Por la entidad sobre la base de sus características propias y en conformidad
Con  la  política  vigente  en el país  en esta  materia  y  el  sistema de  seguridad
Diseñado,  mediante  el  establecimiento  de  las  normas  generales  que  debe
Cumplir  el  personal  que  participa  en  el  sistema  informático,  las  cuales  se
Derivan de los resultados obtenidos en el análisis de riesgos y de las definidas
Por  las  instancias  superiores en  las  leyes,  reglamentos, resoluciones  y  otros
Documentos  rectores.  Al  definir  las  políticas  de  seguridad  informática  se
Considerarán, entre otros, los aspectos siguientes:

El empleo conveniente y seguro de las tecnologías instaladas y cada uno de
Los servicios que éstas pueden ofrecer.  
El  tratamiento  que  requiere  la  información  oficial  que  se  procese,
Intercambie,  reproduzca  o  conserve  a  través  de  las  tecnologías  de
Información, según su categoría.
La  definición  de  los  privilegios  y  derechos  de  acceso  a  los  activos  de
Información  para  garantizar  su  protección  contra  modificaciones  no
Autorizadas, pérdidas o revelación.
Los  principios  que  garanticen  un  efectivo  control  de  acceso  a  las
Tecnologías,  incluyendo  el  acceso remoto,  y  a  los  locales donde  éstas se
Encuentren.
La salva y conservación de la información.
La conexión a redes externas a la entidad, en especial las de alcance global
Y la utilización de sus servicios.
Los requerimientos de seguridad informática a tener en cuenta durante el
Diseño o la adquisición de nuevas tecnologías o proyectos de software. 
H)  la definición de los principios   relacionados con el monitoreo del correo
Electrónico, la gestión de las trazas de auditoría y el acceso a los ficheros
De usuario.
El  mantenimiento, reparación  y  traslado de  las  tecnologías  y  el  personal
Técnico  que requiere acceso a las mismas por esos motivos.
Las regulaciones con relación a la certificación, instalación y empleo de los
Sistemas de protección electromagnética.
Las regulaciones relacionadas con la certificación, instalación y empleo de
Los sistemas criptográficos, en los casos que se requiera.
Los principios generales para el tratamiento de incidentes y violaciones de
Seguridad.

Sistema de seguridad informática
En esta sección se describe cómo se implementan, en las áreas a proteger, las
Políticas  generales  que  han  sido  definidas  para  toda  la  entidad,  en
Correspondencia  con  las  necesidades  de  protección  en  cada  una  de  ellas, 
Atendiendo  a  sus  formas  de  ejecución,  periodicidad,  personal  participante  y
Medios. 
Se sustenta sobre la base de los recursos disponibles y, en dependencia de los
Niveles  de  seguridad  alcanzados  se  elaborará  un  programa  de  seguridad
Informática, que incluya las acciones a realizar por etapas para lograr niveles
Superiores.
Se  describirán  por  separado  los  controles  de  seguridad  implementados  en
Correspondencia con su naturaleza, de acuerdo al empleo que se haga de los
Medios humanos, de los medios técnicos o de las medidas y procedimientos
Que debe cumplir el personal.
Medios  técnicos  de  seguridad: 
Se  describirán  los  medios  técnicos

Utilizados en función de garantizar niveles de seguridad adecuados, tanto
Al nivel de software como de hardware, así como la configuración de los
Mismos. Para lo cual se tendrá en cuenta

Sistemas operativos y nivel de seguridad instalado,
Tipo de redes utilizadas y topología de las mismas,
Conexiones a redes externas a la entidad,
Servidores de uso interno y externo,
Configuración de los servicios,
Barreras de protección y su arquitectura,
Empleo de firewall, de hosts bastiones, sistemas proxy, etc.
Filtrado de paquetes,
Herramientas de administración y monitoreo,
Habilitación de trazas y subsistemas de auditoría,
Establecimiento de alarmas del sistema,
Sistemas de protección criptográfica,
Dispositivos de identificación y autenticación de usuarios,
Protección contra programas no deseados,
Software especial de seguridad,
Medios técnicos de detección de intrusos,
Cerraduras de disqueteras,
Dispositivos de protección contra robo de equipos y componentes,
Sistemas de aterramiento,
Protección electromagnética,
Fuentes de respaldo de energía eléctrica,
Medios contra incendios,
Medios de climatización,
Otros.


No hay comentarios:

Publicar un comentario