• Viernes, 3 de julio de 2009 - 19:41:00
• registrados : 1500359
• conectados : 55116
• preguntas/dia : 4726
• % respuestas : 76.65%

Etapa de definición

La etapa de definición de las necesidades de seguridad es el primer paso hacia la implementación de una política de seguridad.

El objetivo es determinar las necesidades de organización mediante la redacción de un inventario del sistema de información y luego estudiar los diferentes riesgos y las distintas amenazas que representan para implementar una política de seguridad apropiada.

La etapa de definición se compone entonces de tres etapas:

• Identificación de las necesidades
• Análisis de los riesgos
• Definición de la política de seguridad

Identificación de las necesidades

La etapa de identificación de las necesidades consiste en realizar en primer lugar un inventario del sistema de información, en particular de la siguiente información:

• Personas y funciones
• Materiales, servidores y los servicios que éstos brindan
• Esquematización de la red (esquema de direcciones, topologías físicas y lógicas, etc.)
• Lista de los nombres de dominio de la empresa.
• Infraestructura de la comunicación (routers, conmutadores, etc.)
• Información delicada

Análisis de los riesgos

La etapa de análisis de riesgos consiste en relevar los diferentes riesgos que se advierten, estimar sus probabilidades y, por último, estudiar su impacto.

La mejor forma de analizar el impacto de una amenaza consiste en calcular el costo de los daños que causaría (por ejemplo, un ataque a un servidor o un daño de los datos de vital importancia de la compañía).

Partiendo de esta base, sería interesante confeccionar una tabla de riesgos y de sus potencialidades (es decir, la probabilidad de que existan) dándoles niveles escalonados de acuerdo con una escala que debe definirse. Por ejemplo:

• Infundado (o improbable): la amenaza es insostenible
• Débil: la amenaza tiene pocas probabilidades de existir
• Moderada: la amenaza es real
• Alta: la amenaza tiene muchas probabilidades de existir

Cómo definir la política de seguridad

La política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.

La política de seguridad define un número de reglas, procedimientos y prácticas óptimas que aseguren un nivel de seguridad que esté a la altura de las necesidades de la organización.

Este documento se debe presentar como un proyecto que incluya a todos, desde los usuarios hasta el rango más alto de la jerarquía, para ser aceptado por todos. Una vez redactada la política de seguridad, se deben enviar a los empleados las cláusulas que los impliquen para que la política de seguridad tenga el mayor impacto posible.

Métodos

Existen muchos métodos para desarrollar una política de seguridad. A continuación, se mostrará una lista no exhaustiva de los métodos principales:

• MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux [metodología del análisis de riesgos informáticos por niveles]), desarrollado por CLUSIF
  • https://www.clusif.asso.fr/fr/production/mehari/
• MEHARI (MEthode Harmonisée d'Analyse de RIsques [método armonizado de análisis de riesgos])
  • https://www.clusif.asso.fr/fr/production/mehari/
• EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité [expresión de las necesidades e identificación de los objetivos de seguridad], desarrollado por la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information)
  • http://www.ssi.gouv.fr/fr/confiance/ebios.html
• Estándar ISO 17799