José Francisco Giménez Albacete

Seguridad en equipos informáticos. IFCT0109


Скачать книгу

de los servicios prestados es media. La información procesada o almacenada tiene un nivel de integridad medio.Nivel bajoLa confianza y fiabilidad de los servicios prestados es baja. La información procesada o almacenada tiene un nivel de integridad bajo.

       Disponibilidad

      Los requisitos de disponibilidad heredan la clasificación de disponibilidad de la información del proceso, y se basan en el impacto que tendría para el proceso que estos no estuviesen disponibles.

Requerimientos de disponibilidad para los sistemas
Nivel altoLa información procesada o almacenada tiene un nivel de disponibilidad alto. Cuando la no disponibilidad de los sistemas tendría un impacto grave/desastroso en el proceso.
Nivel medioLa información procesada o almacenada tiene un nivel de disponibilidad medio. Cuando la no disponibilidad de los sistemas tendría un impacto moderado en el proceso.
Nivel bajoLa información procesada o almacenada tiene un nivel de disponibilidad bajo. Cuando la no disponibilidad de los sistemas tendría un impacto ninguno/bajo en el proceso.

      La siguiente es una enumeración sencilla de los posibles elementos que intervienen en un proceso de negocio:

      1 Equipos hardware de procesamiento: servidores, estaciones de trabajo críticas, estaciones de trabajo, ordenadores portátiles, dispositivos móviles como tablet-PC, PDA, smartphones, e impresoras.

      2 Equipos de comunicaciones de red: router, switcher, firewalls, líneas de comunicaciones, centralitas telefónicas, faxes, terminales telefónicos fijos, y móviles.

      3 Programas: sistemas operativos, aplicaciones y utilidades, y códigos fuente de programas.

      4 Soportes de información: soportes con backup de sistemas operativos y aplicaciones, soportes con backup de código fuente de programas, y soportes con backup de datos (bases de datos y archivos).

      5 Servicios de soporte: sistema eléctrico y de alimentación ininterrumpida, aire acondicionado, y elementos de fijación (armarios de rack y otra mecánica).

Image

       Actividades

      8. Clasificar los requisitos de seguridad para los elementos que intervienen en los siguientes procesos de una tienda de ropa:

      1 VENTA: personas (vendedor); sistemas (TPV, impresora, datáfono, aplicación de venta e inventario, y su base de datos).

      2 INVENTARIO: personas (vendedor); sistemas (PDA, red wifi para descargar datos, ordenador, aplicación de venta e inventario y su base de datos).

      4.3. Herramientas de ayuda para determinar los componentes

      Para determinar los sistemas de información que intervienen en un proceso, puede servir de ayuda partir de una narrativa del mismo, o una descripción textual. Habitualmente, esta descripción puede solicitarse por escrito, por ejemplo en un formulario de un BIA, o recogerse en el transcurso de una entrevista o reunión mixta.

      Cuando el proceso es complejo, conviene dividirlo en fases o subprocesos. Para intentar asegurar la completitud en la narrativa de cada fase o subproceso, puede ayudar preguntarse si se encuentran respondidos siete aspectos fundamentales: ¿qué, quién, cuándo, cómo, dónde, por qué, y para qué?

      Partiendo de la narrativa, se enumeran en listas independientes los elementos de cada tipo que intervengan en cada categoría: personas, sistemas, e información de entrada. Esta enumeración es importante, porque constituye una forma elemental del inventario básico de los activos de información del proceso.

      Posteriormente, cada uno de estos elementos se relaciona con los demás mediante una acción que puede resumirse en un verbo (genera, autoriza, procesa, transmite, etc.).

      De esta manera, se puede ordenar de manera jerárquica la dependencia de los componentes, y su progreso, hasta el resultado final. Gráficamente, la estructura se aproximará a la de un árbol invertido donde las hojas serán los componentes, los nodos intermedios serán resultados o hitos (generalmente coincidentes con sub-tareas o subprocesos), y en la raíz o punto más alto del diagrama, se encontrará el resultado o información de salida del proceso.

Image

       Nota

      La dependencia jerárquica a modo de árbol, se emplea en el análisis de riesgos MAGERIT, al evaluar el “impacto repercutido” y el “riesgo repercutido” a partir de los impactos /riesgos de los elementos de los que depende un subproceso (nodo intermedio del árbol de dependencia invertido).

Image

       Aplicación práctica

       El proceso crítico de una empresa es la venta por internet. Resumidamente, un comprador accede desde internet a la web de venta online, alojada en un servidor ubicado en la sede de la empresa. El servidor se comunica a través de un firewall con una base de datos interna, que solo sabe administrar una persona del departamento de informática. La venta tiene interrupciones breves, como sucede durante los trabajos de mantenimiento en la base de datos, que se advierten en la página web. Los elementos del servicio y sus valoraciones CIA (bajo = 1, medio = 2, alto = 3) son:

       Información

       Base de datos (M, A, M): la información es interna, por lo que la confidencialidad es media. La integridad es alta, porque no puede haber errores en las ventas. La disponibilidad es media, porque se admiten interrupciones.

       Sistemas

       Servidor web (M, A, A): la información que recibe es interna, siendo su confidencialidad media. Su integridad es alta, porque se deposita mucha confianza en este equipo. La disponibilidad es alta, porque la web debe estar disponible para advertir que no hay venta.

       Firewall (M, A, M): la información que procesa tiene un nivel de confidencialidad medio, el servicio que presta tiene un nivel de confianza alto, y se admiten interrupciones, al igual que la información que protege.

       Personas

       Administrador de base de datos (M, M, A): la información que maneja es interna, de manera que confidencialidad e integridad serán medias. La disponibilidad es elevada, porque sin base de datos y sin su mantenimiento no hay negocio.

       Determinar los requisitos CIA del proceso, a partir de sus componentes:

       SOLUCIÓN

      El siguiente diagrama representa el proceso de venta, e incluye la valoración para cada componente, y el resultado agregado para el proceso (8, 11, 10), de manera que la integridad es el principal requisito.

image

      El objetivo de un SGSI es asegurar la continuidad del negocio, minimizando los riesgos y maximizando el retorno de la inversión en seguridad, a la vez que se permiten nuevas oportunidades para la empresa. Para ello, hay que conocer los riesgos mediante un proceso de análisis y gestión de riesgos (que se analizará en profundidad en el siguiente capítulo). Este análisis puede emplearse como punto de partida para realizar el BIA, o análisis del impacto en el negocio que