Saturday, April 21, 2012

Fundamentos y objetivos de SIHB (Security Information Hand Book)


Objetivos

• Estandariza los procedimientos del Sistema de gestión de seguridad
• Recopila las normas y medidas de seguridad as para los requisitos de protección medio

Punto de partida

• IT Manual de referencia de Protección del BSI (BSI IT Baseline Protection)
• ISO / IEC TR 13335
• ISO / IEC 27001

Requisitos  

• Compatible con los estándares enfoque unificado
• Las leyes austríacas y las normas
• Hace parte del ciclo de vida de todo el sistema 

Proceso de Gestión de seguridad SIHB 

Nivel 1> Desarrollo  de las Políticas  de Seguridad de la Información

Este documento es la base sobre como administrar la seguridad de la información. Determina las objetivos, estrategias, Responsabilidades y métodos a largo plazo relacionados con la seguridad.  Adicionalmente incluye las directrices de aplicación, para ser adoptado oficialmente. Es necesario que todos los empleados de la organización lo conozcan.

Contenido:
  • Objetivos y estrategias para la seguridad de la información ¿Qué queremos lograr? ¿Cómo lograr los objetivos fijados?
  • Responsabilidades y Organización en la seguridad de la información  ¿Quién hace qué?  Definición del personal técnico y roles específicos dentro de la organización, derechos obligaciones y generación de informes.
  • Estrategia de Análisis de riesgos ¿Como se identifican los riesgos en general? ¿Cómo los manejamos?, Identificación y evaluación de riesgos, su aceptación y minimización.
  • Clasificación de datos ( El manejo de información clasificada, confidencialidad, protección de datos)¿Cómo se clasifica la información? ¿Quién los clasifica?, Confidencialidad,  Privacidad e Integridad.
  • Clasificación de las aplicaciones y sistemas BCP ¿Cuáles son los requisitos de disponibilidad? Planeamientos que garanticen la continuidad del negocio.
  • Actividades de seguimiento ¿Cómo se puede mantener la seguridad se a largo plazo? 

Nivel 2> Análisis de Riesgos  ISO/IEC 27005

Riesgo: Posibilidad de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos para causar daño a una organización. Es una medida que combina la probabilidad de que ocurra un suceso y las  consecuencias que generaría. 
Amenaza:  Causa potencial  de un incidente que pueda causar daño al sistema u organización

Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

Gestión de Riesgos
El análisis de Riesgos integra la Identificación y Evaluación de Riesgos.

Identificación y Evaluación de Riesgos
El riesgo se mide en función del valor de los activos, Amenazas, Vulnerabilidades,   probabilidad de que un incidente de seguridad cause daños en el sistema, y ademas de la evaluación del impacto y las consecuencias que se generan después de dicho incidente. [http://www.enisa.europa.eu/act/rm]


  Nivel 3>Generación del Concepto de Seguridad


Catalogos con  medidas de seguridad

Manual de Protección de Línea base (BSI): Gran herramienta de Apoyo con mas de alrededor de 1200 medidas de seguridad genéricas y para productos específicos.
Asignación de medidas como "bloques de construcción"

Manual Austriaco de Seguridad de
la información: Österreichisches Informationssicherheitshandbuch.Los capítulos 5 al 15 poseen aproximadamente 300 medidas, Específico para Austria y no posee medidas específicas para productos.

ISO/IEC 27002 (antes ISO/IEC 17799): Posee 133 medidas genéricas de seguridad, Es básicamente una lista de verificación que se centra en los puntos débiles de una organización.

Para hablar de aceptación de riesgos es necesario aclarar que ningún sistema es completamente infalible, así se posean sistemas de gestión de seguridad que minimicen los daños de un incidente de seguridad. 

El riesgos residual es esa porción inminente de riesgo,  que permanece desconocida hasta que algún trastorno en el sistema la hace visible. A pesar de que los sistemas sean redundantes existen factores de riesgo fortuitos que se pueden predecir para  minimiza los efectos que se presenten. Estos riesgos deben cuantificarse y evaluarse, así tomar la decisión del nivel de aceptación de los riesgos residuales.
Normas de seguridad
  • Requisitos básicos y las directrices para la seguridad en un sistema de IT
  • Detalles de las medidas de seguridad seleccionadas
    Razones para la selección
Plan de Seguridad
  • Como se aplican las medidas de seguridad elegidas
  • Prioridades y planificación de los recursos
  • Cronogramas
  • Responsabilidades
  • Medidas de formación y sensibilización
  • Pruebas e inspección (proceso, citas)
  • Evaluación del riesgo residual

  Nivel 4> Implementación del plan de seguridad

La documentación  estar Actualizada, completa, con alto nivel de detalle, ademas debe ser confiable y contar con control de versiones e integridad
Concientización y capacitación

  • Información sobre todos las políticas y medidas de seguridad , ademas de las acciones necesarias a seguir en caso de eventos relacionados con la seguridad.
  • Acontecimientos regulares y publicaciones
  • Capacitación, cambios significativos y mejoras
  • Herramienta de apoyo y multimedia son útiles para entrenar  a los empleados sobre las funciones específicas que deben seguir para proteger la información.
Acreditación: Liberación del sistema TI para operar en un ambiente especial
Objetivo: garantizar la seguridad del sistema de información
  • En un entorno operativo específico
  • Bajo ciertas condiciones
  • Para el periodo de tiempo determinado
Técnicas:
  • Comprobación del Cumplimiento de las medidas de seguridad
  • Pruebas
  • Evaluación y Certificación

  Nivel 5> Operación del proceso de seguridad de la Información

Gestión de Cambios
  • Identificación de nuevas necesidades de seguridad como resultado de los cambios que se han generado en el sistema
  • Respuestas adecuada a todos los cambios relevantes relacionados con la seguridad
  • Documentación escrita de todos los cambios y las razones por las que se tomaron las decisiones
  • Posiblemente se requiere un nuevo análisis de riesgo renovado 
  • Necesidad de un sistema de gestión de calidad

Si tienes información adicional sobre este tema, tus comentarios o enlaces de referencia serán bienvenidos.
Post a Comment