José Francisco Giménez Albacete

Seguridad en equipos informáticos. IFCT0109


Скачать книгу

el proceso inverso, y propagar los requisitos CIA del proceso hacia sus integrantes.

      Aunque se trate de aspectos de la información independientes, en ocasiones se necesita combinar los valores de C, I y A, para obtener un único valor de seguridad para el proceso. Si la valoración es cuantitativa, puede emplearse la suma, que puede ser no ponderada (S = C + I + A), o ponderando cada dimensión, para otorgarles diferentes pesos, por ejemplo: S = [(3 x C) + (2 x I) + A)] / 6.

      Si la valoración es cualitativa, habitualmente se simplifica en elegir como representante de seguridad del proceso el valor máximo que se alcance en alguna de sus dimensiones.

      En el apartado anterior se dieron las pautas para determinar los requerimientos de seguridad de la información. Los otros elementos que pueden intervenir en un proceso son las personas y los sistemas. En este apartado se profundizará en sus requerimientos de seguridad.

      4.1. Valoración CIA de las personas

      La información es manejada por personas, y resulta importante tener identificadas a dichas personas, que serán empleados de la empresa, o externos (proveedores, clientes, visitas, y otros).

      El responsable de identificar las personas que acceden a la información de un proceso, es el responsable de dicho proceso; y puede coincidir habitualmente con el responsable o jefe del área o departamento que desempeña dicho proceso en la empresa.

Image

       Nota

      Se pueden emplear formularios similares a los usados en el BIA, o reuniones con los dueños de los procesos, para identificar a todas las personas que intervengan en dichos procesos.

      La valoración para cada persona que intervenga en el proceso se evalúa en las tres dimensiones de la seguridad: (C, I, A).

       Confidencialidad

      Los requisitos de confidencialidad para cada individuo atienden, por tanto, a la clasificación de la información del proceso (confidencial, interno, o público), a la que tenga restringido su acceso. Se clasifican en 3 niveles, y pueden asignarse de acuerdo a la mejor descripción de las necesidades del proceso.

Requerimientos de confidencialidad para las personas
Nivel altoCuando las personas acceden a información calificada como confidencial o crítica para la empresa. Un incidente de seguridad causado por una persona con un requisito de confidencialidad alto tendría un impacto grave/desastroso en el proceso.
Nivel medioCuando las personas acceden a información calificada como interna. Un incidente de seguridad tendría un impacto moderado en el proceso.
Nivel bajoCuando las personas acceden a información calificada como pública. Un incidente de seguridad tendría una repercusión ninguna/bajo en el proceso.

       Integridad

      Los requisitos de integridad para las personas atienden al nivel de la información que pueden modificar en el proceso, y a la capacidad para modificar completamente o no dicha información.

Requerimientos de integridad para las personas
Nivel altoCuando las personas modifican información calificada como confidencial o crítica para la empresa. Un incidente de seguridad causado por una persona tendría un impacto grave/desastroso en el proceso.
Nivel medioCuando las personas pueden modificar completamente información calificada como interna e información calificada como pública. Un incidente de seguridad tendría un impacto moderado en el proceso.
Nivel bajoCuando las personas tienen restricciones para modificar la información calificada como interna e información calificada como pública. Un incidente de seguridad tendría una repercusión ninguno/bajo en el proceso.

       Disponibilidad

      Los requisitos de disponibilidad para las personas atienden al daño que genera al proceso el que la persona no esté disponible.

Requerimientos de disponibilidad para las personas
Nivel altoCuando la no disponibilidad de la persona tendría un impacto grave/desastroso en el proceso.
Nivel medioCuando la no disponibilidad de la persona tendría un impacto moderado en el proceso.
Nivel bajoCuando la no disponibilidad de la persona tendría un impacto ninguno/bajo en el proceso.

      4.2. Valoración CIA de sistemas físicos, programas y servicios de soporte

      En esta categoría se deben clasificar los componentes que intervienen en el proceso, al margen de las personas y de la información. Se clasifican aquí los requisitos para los equipos físicos (hardware, incluyendo ordenadores, equipos de comunicaciones y soportes de almacenamiento (CD, discos duros extraíbles, etc.), para las aplicaciones o programas (software, incluyendo sistemas operativos y aplicaciones), e incluso para los servicios de soporte necesarios, como el suministro eléctrico, la climatización, o el alojamiento.

Image

       Actividades

      7. Piense la valoración CIA que podría tener el único administrador de la red de ordenadores de un despacho de abogados.

Image

       Nota

      Los soportes de almacenamiento son una pieza esencial de un sistema de información, y en concreto, del sistema de copias de seguridad. Si la información tiene un nivel alto de confidencialidad, tan importante es conservarlos libres de accesos no permitidos, como destruirlos de manera irrecuperable al finalizar su periodo de vigencia, porque las copias no pueden almacenarse indefinidamente. Si la información tiene un nivel de integridad alto, las copias deben protegerse de modificaciones, ya que en caso de restaurarlas se introducirá información alterada; para ello puede servir conservar el hash de la información guardada, que se empleará como elemento de verificación de la copia antes de restaurarla.

       Confidencialidad

      Los requisitos de confidencialidad de los sistemas atienden al servicio que prestan, y heredan la confidencialidad de la información procesada o almacenada por el sistema.

Requerimientos de confidencialidad para los sistemas
Nivel altoCuando la información procesada, almacenada, o el servicio prestado, tiene un nivel de confidencialidad alta.
Nivel medioCuando la información procesada, almacenada, o el servicio prestado, es de confidencialidad media.
Nivel bajoCuando la información procesada, almacenada, o el servicio prestado, es de confidencialidad baja.

       Integridad

      Los requisitos de integridad de los sistemas heredan la integridad de la información procesada o almacenada por el sistema, y además, reflejan la confianza o fiabilidad (predictibilidad) de los servicios prestados por el sistema en el proceso.

Requerimientos de integridad para los sistemas
Nivel altoLa confianza y fiabilidad de los servicios prestados es alta. La información procesada o almacenada tiene un nivel