riesgos en la estrategia de seguridad

Documentos relacionados
EL PLAN DIRECTOR DE SEGURIDAD DE LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03

Anexo O. Cálculo de la Inversión del Proyecto

Adecuación al Esquema Nacional de Seguridad en Gobierno de Navarra

Módulo 5: Implantación de un SGSI

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

PLAN ESTRATÉGICO DE GESTIÓN UNIDAD TÉCNICA DE CALIDAD. UNIVERSIDAD DE ALICANTE (Noviembre 2006)

Charlas para la gestión del Mantenimiento Fernando Espinosa Fuentes

Auditoría y Seguridad Informática

PROCEDIMIENTO PARA LA GESTIÓN DE LOS RIESGOS

GESTION DE LA SEGURIDAD. Seguridad y Mantenimiento Industrial

Diseño del Servicio Transición del Servicio

Capitulo 2. Políticas, Planes y Procedimientos de seguridad.

estudio GERENCIA DE RIESGOS Y SEGUROS Nº

PLAN ESTRATÉGICO DE GESTIÓN UNIDAD TÉCNICA DE CALIDAD. UNIVERSIDAD DE ALICANTE (Noviembre 2006)

POLÍTICAS GENERALES. 4.- Política General de. Control y Gestión de. Riesgos de Acerinox, S.A. y de su Grupo de Empresas

Plan. ÁREAS Y ACCIONES DE MEJORA Introducción

Empresa internacional de Consultoría e Ingeniería especializada en Seguridad.

Capítulo III. El Ciclo de Desarrollo de Sistemas

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Lista de la Verificación de la Gestión Ambiental 1

BLINDAJE DE PROYECTOS DE INVERSION PUBLICA

Anexo Acuerdo de Nivel de Servicio: Atención a Usuarios CSU Gestión de Nivel de Servicio

MANUAL DE RELACIÓN CON LA SOCIEDAD DEL GRUPO CEPSA

PLAN ESTRATÉGICO DE GESTIÓN SERVICIO DE ALUMNADO

RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

Facultad de Ciencias Naturales e Ingenierías Tecnología en Desarrollo de Sistemas Informáticos Selección y Evaluación de Tecnologías ITIL

ÇUna realidad tangible

SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO

Funciones de los Órganos de la Subdirección de Producción. Representar a la Subdirección de Producción a nivel Corporativo.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

ISO Por: José de Jesús García Hernández Carlos Enrique Juárez Jiménez Andrés Hernández Hernández. Qué es ISO 9000?

B).- PARA EL DESEMPEÑO DE LA SEGURIDAD Y SALUD EN EL TRABAJO

ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD CONTROL DE CAMBIOS. Versión Identificación del cambio Apartado Fecha

Los Sistemas de Gestión Energética (SGE)

Seguridad de la Información en Instituciones Financieras: una perspectiva de riesgo Congreso Internacional de Finanzas y Auditoría


DEFINICIÓN Y EJECUCIÓN DEL PLAN DIRECTOR DE SEGURIDAD DE LOS SS.II. DEL MAPA

Seguridad Informática

José Ángel Peña Ibarra Vicepresidente Internacional ISACA

Plan Informático II. APLICACIÓN

Proceso Unificado (Iterativo e incremental)

Auditoría» ISO/IEC 27001» Requerimientos

Dirección y Gerencia

DESPLIEGUE DE MACROPROCESO DE GESTIÓN DE INFORMACIÓN (GESTIÓN DE TECNOLOGÍA INFORMÁTICA Y DE TELECOMUNICACIONES Y GESTIÓN DOCUMENTAL)

Caso Práctico: Proyecto de Certificación ISO 27001

PERSONAL INFORMÁTICO EN CENTROS

Contenido. Definición Fuentes de riesgo operacional Principios para el manejo y supervisión. Conclusiones

COMUNICACIONES TECNIMAP 2007 PROYECTO DE INFORMATIZACIÓN DE LOS NUEVOS HOSPITALES DE LA COMUNIDAD DE MADRID - HISTORIA CLÍNICA UNIFICADA -

Capítulo XIV. Seguridad de la Información

CIRCULAR 6/2009 de la CNMV sobre control interno de las sociedades gestoras de instituciones de inversión colectiva y sociedades de inversión

GERENCIA DE SEGURIDAD INTEGRAL Y SUS DEPARTAMENTOS

InterCLIMA 2012: "Gestión de los Riesgos Climáticos en el Perú " Lima, 29, 30 y 31 de octubre 2012

FUNDAMENTOS DE LA GESTIÓN DE LA SST

SISTEMA INTEGRAL DE RIESGOS

Política Integrada de Tecnología de la Información, Automatización y Telecomunicación

Aseguramiento de la Calidad

ESQUEMA NACIONAL DE SEGURIDAD Guía para responsables

370 informe de auditoría y Cuentas anuales 2013 modelo de control interno

Esquema Nacional de la Seguridad. RSA, la División de Seguridad de EMC

CURSO EN SEGURIDAD INFORMÁTICA

Aplica para todas las sedes de la Universidad de Santander.

PROTECCIÓN DE DATOS PARA COLEGIOS OFICIALES DE GRADUADOS SOCIALES DE ESPAÑA Y COLEGIADOS

Septiembre Enrique Witte Consultor ArCERT Coordinación n de Emergencias en Redes Teleinformáticas Oficina Nacional del Tecnologías Informáticas

4.7. OFICINA DE METODOLOGÍAS DE SUPERVISIÓN Y ANÁLISIS DE RIESGO I. IDENTIFICACIÓN. Oficina de Metodologías de Supervisión y Análisis de Riesgo

FICHAS DE PLANIFICACIÓN DE OBJETIVOS DE CALIDAD 2014.

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

PLANES DE DESARROLLO LOCAL

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE LA ASISTENCIA TÉCNICA PARA EL MANTENIMIENTO DE LA APLICACIÓN EBUSINESS SUITE DE ORACLE

Un acercamiento a las mejores prácticas de seguridad de información internacionalmente reconocidas en el estándar ISO 17799:2005

Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información

ISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García

RESPONSABILIDADES DE LA DIRECCIÓN

SISTEMA DE GESTIÓN DE INSTALACIONES Y EFICIENCIA ENERGÉTICA (SGIEE)

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Sistema de Gestión de la Calidad SGC

Herramientas para los sistemas de gestión

ESTATUTO DE AUDITORÍA INTERNA DE BANCA MARCH

Elaborado por: ELIKA Aprobado por: Grupo Horizontal de Coordinación Fecha aprobación: 3 junio 2016 Versión: 1 / Mayo VERSIÓN 1 Mayo 2016.

Los tres elementos son: la gerencia estratégica, la gerencia por procesos y la gerencia cultural.

ISO , por dónde empezamos?

Capacidades y criterios de evaluación:

RESUMEN DE INFORME DE GESTIÓN DE RIESGO OPERACIONAL

NORMA UNE Servicios Sanitarios Gestión de Riesgos para la Seguridad del Paciente

Capítulo 8: Medición, análisis y mejora

Ciclo de vida de transformadores

Departamento Administrativo Nacional de Estadística

Sistema de Administración de Riesgos 1. Sistema de Administración de Riesgos

PROTOCOLO DE ACTUACION EN SITUACIONES DE CONFLICTO O ACOSO MORAL EN EL TRABAJO

PROCEDIMIENTO. TÍTULO: EVALUACIÓN DE RIESGOS Realizado por: Responsable Servicio Revisado por: Gerencia Prevención Riesgos Laborales

Plan de Gestión Ambiental de una empresa cementera, con prácticas ambientales que permitan un desarrollo sustentable

PLANIFICACIÓN DE LA PLANIFICACIÓN DE LA REALIZACIÓN DEL PRODUCTO HOTEL - RESTAURANTE PIG-14. Fecha: Edición: 01 Página: 1/7.

GESTIÓN DE RIESGOS Y PROCESOS

ISO/IEC Gestión de la seguridad de la información. Ing. Marco Antonio Paredes Poblano

EXPERIENCIA EN LA PROMULGACIÓN DE LAS NORMAS SOBRE LA GESTIÓN INTEGRAL DE RIESGO

La adopción del Esquema Nacional de Seguridad por el Ayuntamiento de Terrassa. Administración electrónica y seguridad de la información

GUÍA SISTEMAS DE GESTIÓN AMBIENTAL, IMPLANTACIÓN Y AUDITORÍA

Transcripción:

ÇEl análisis de riesgos en la estrategia de seguridad ` Por Pedro Castor Valcarcel Lucas Gerencia de Informática de la Seguridad Social Centro de Calidad, Auditoría y Seguridad Social Jefe de Servicio de Políticas de Seguridad y Análisis de Riesgos A veces se dice que "la casa se empieza por el tejado", y en muchos casos, esto se aplica a las tecnologías de la información, pero no siempre es así. En este artículo se trata la experiencia del departamento responsable de gestionar la seguridad de la información en la Gerencia de Informática para establecer una estrategia de seguridad común a toda la Seguridad Social. Un centro de proceso de datos está constantemente expuesto a continuas amenazas, como ataques de hackers, infecciones de virus, desastres naturales, etc., que hacen que el sistema de información deje de funcionar y como consecuencia de ello se vea afectado el servicio que la organización proporciona a sus clientes. El caso de la Seguridad Social no es ajeno, puesto que es una de las organizaciones públicas que proporciona servicio a un mayor número de ciudadanos en el país, y que maneja una amplia variedad de entornos informáticos que deben funcionar de forma coordinada y eficiente. A la hora de enfrentarse a estas situaciones no basta con implantar medidas correctoras de tipo tecnológico, sino que a veces hay que acudir a otras, como por ejemplo buenas prácticas, medidas de acceso físico, etc. En otros casos simplemente no es posible eliminarlas, sólo se pueden reducir a un nivel aceptable. Por ello, el responsable de seguridad de una organización debe plantearse en primer lugar qué medidas son adecuadas según la situación, evaluando su eficiencia, y después decidir si las implanta y cómo debe hacerlo. En el caso de la Seguridad Social, la Gerencia de Informática (GISS) es el órgano encargado de proponer, implantar y coordinar los medios técnicos que garanticen la integridad, disponibilidad y confidencialidad de sus sistemas de información. En los últimos tiempos, al igual que otras organizaciones, esta preocupación ha ido aumentando a raíz tanto de la 30

q<o<j<î<(<à FIGURA 1. Esquema del modelo de estratégia aprobación de normativa, como la de protección de datos personales, como por la ampliación de los sistemas de información a entornos "abiertos", muy diferentes de los tradicionales basados en ordenadores centrales. El modelo de estrategia Con el objetivo de proporcionar una visión homogénea de la seguridad de la información de la Seguridad Social, la Gerencia creó a comienzos de este decenio el Centro de Calidad, Auditoría y Seguridad (CCAS). La misión del CCAS desde el punto de vista de la seguridad es: "garantizar la seguridad de la información gestionada por las distintas Entidades de la Seguridad Social". El Centro tiene entre sus funciones principales: * La definición de directrices, mediante el análisis previo del estado de la seguridad. * La implementación de la arquitectura tecnológica, mediante el diseño, desarrollo y puesta en marcha de la arquitectura de seguridad y la selección y adaptación de productos. * El control de las medidas implantadas por medio de auditorías periódicas sobre los componentes de los sistemas de información. Para la GISS, la seguridad de la información es un proceso continuo en el que se ajustan dinámicamente los parámetros básicos de confidencialidad, integridad y disponibilidad a las necesidades de la organización manteniendo sus valores por debajo del umbral de riesgo asumido. Este modelo incluye diversos elementos genéricos que forman un ciclo continuo de realimentación, tiene su origen en ideas que proceden de los sistemas de gestión de la calidad (como es la definición e implantación de procesos) y del ámbito de la auditoría (inclusión de controles). FIGURA 1 Los elementos del ciclo de vida de seguridad que permiten la protección de los recursos de la organización son los siguientes: Objetivos de la organización. Las actividades que desarrolla una organización deben de estar orientadas a la consecución de sus propósitos. En este sentido, la estrategia de seguridad no es una excepción y tiene que estar alineada con los objetivos de la organización de forma que, éstos definan el marco de actuación que debe regir la seguridad de la información. Políticas de seguridad. Teniendo en cuenta los objetivos de la organización, se definen los recursos que hay que proteger, por qué protegerlos y cómo hacerlo. Esto se ha hecho definiendo una jerarquía en forma de 31

FIGURA 2. Gestión de los diferentes riesgos pirámide con los siguientes niveles: 1. Principios de Seguridad. Que resumen las bases de la estrategia de seguridad. 2. Política de Seguridad. Que define la estrategia de seguridad. 3. Normas de seguridad. Un conjunto de documentos que desarrollan lo establecido en la política en ámbitos concretos. 4. Procedimientos de seguridad. Documentos detallados que especifican cómo se deben aplicar las medidas de seguridad. Análisis y gestión de riesgos. El siguiente paso es realizar un análisis de seguridad para los recursos de la organización. El resultado cuantifica el nivel de seguridad y permite tomar decisiones para mejorarlo. Plan Director de Seguridad. Si el nivel de riesgo determinado anteriormente no es asumido por la organización, debe reducirse mediante una serie de acciones, las cuales se agrupan en proyectos. Éstos forman el Plan Director. Uno de sus elementos más importantes del Plan Director lo constituye la arquitectura de seguridad, que es un marco de referencia respecto a equipamientos (hardware, software y comunicaciones), productos específicos y desarrollos que permiten que la solución global cumpla los requisitos de confidencialidad, disponibilidad e integridad. Adoptar una arquitectura es beneficioso en los siguientes sentidos: * Mayor agilidad en la construcción de aplicaciones reduciendo el coste. * Expansión más fácil a otros entornos o canales. * Reducción de pérdidas por ataques, fraudes, indisponibilidad, daño a la imagen, etc. Auditoría de seguridad. Es un proceso que verifica que se cumplen las normas de seguridad que se han establecido y que se favorece el cumplimiento de los objetivos de la orga- 32

M El conjunto de medidas de corrección de riesgos se pueden agrupar en proyectos que forman el Plan Director de Seguridad. Entre estos proyectos no sólo se cuentan los de desarrollo tecnológico, sino de otros tipos, como los organizativos o de revisión y adecuación legal, conforme a la visión que se dio al trabajo nización. Esta fase permite realimentar las anteriores de modo que se detecten desviaciones de las mismas respecto a lo inicialmente estipulado. Analizando los riesgos Los sistemas de información están constantemente sometidos a amenazas, que pueden abarcar desde fallos técnicos y accidentes no intencionados, hasta acciones intencionadas, más o menos lucrativas, de curiosidad, espionaje, sabotaje, vandalismo, chantaje o fraude. Tradicionalmente estas amenazas se han abordado por medio de planes parciales de mejora de la seguridad. Por ello, el CCAS se planteó una visión global de la seguridad, que presentaban indudables ventajas, como que: * Se pueden descubrir los mayores "agujeros" de seguridad. Un sistema informático es vulnerable justo en aquel componente que es más débil. * Es posible tener una visión global del estado de la seguridad. En las grandes organizaciones no es sencillo tener en pocas cifras esta visión. * Es posible priorizar las acciones para minimizar la vulnerabilidad del sistema de información en conjunto. Al tener esta relación, junto con su facilidad de implantación, es posible comenzar por las más importantes o las más fáciles de implantar. * Se optimizan los esfuerzos de mejora, puesto que se pueden priorizar. * Permite concienciar a la dirección de los riesgos más importantes a los que están expuestos los sistemas de información, puesto que los riesgos se catalogan y para cada uno se estudia el impacto de la materialización de una amenaza. Con objeto de prevenir las situaciones anteriores, es necesario un proceso sistemático de análisis de las amenazas más importantes de la seguridad, junto con el impacto en el caso de que materialicen, para todos los recursos de los sistemas de información. Los objetivos que se persiguen están especificados en términos de identificación y cuantificación de vulnerabilidades, amenazas, impactos y riesgos, y se concretan en: * Identificar y priorizar aquellos servicios que soportan las funciones críticas de la organización. * Identificar la vulnerabilidad de los activos a través de la realización de un análisis de riesgos y desarrollar la estrategia para mitigarlos. * Determinar el impacto sobre la organización resultante de la materialización de las vulnerabilidades y estimar el riesgo. * Definir los mecanismos de seguridad más adecuados a las necesidades de la organización desde el punto de vista de la capacidad tecnológica y de los procedimientos organizativos necesarios. * Definir y planificar la arquitectura de seguridad que proporcione el soporte a los requerimientos anteriores. Para que el Análisis de Riesgo tenga éxito, se debe basar en una serie de premisas o requisitos, como los siguientes: * Debe realizar un diagnóstico del estado de todos los recursos que intervienen en un sistema de información, desde los servicios que presta la organización a sus clientes) hasta los edificios de los centros de procesos de datos, pasando por el hardware, el software, las comunicaciones o incluso las personas). * Debe orientarse al "negocio" de la organización; es decir, debe centrarse en aquellas actividades críticas, para que los esfuerzos de análisis se centren en los objetivos realmente importantes. * Debe hacer una medición objetiva del estado actual de la seguridad, integrando elementos dispares y comparándolos para que los resultados obtenidos sean uniformes y coherentes entre sí. * Debe ser capaz de hacer calcular la diferencia de riesgos producidos por pequeños cambios en los siste- 34

q<o<j<î<(<à mas de información. Para ello, debe basarse en estándares. En nuestro país el Ministerio de Administraciones Públicas ha impulsado la metodología Magerit, que es la que se ha seguido en la Seguridad Social. Gestionando los riesgos Con los resultados del análisis de riesgos una organización puede actuar siguiendo tres estrategias de mitigación: * Reducir el riesgo, por medio de un conjunto de acciones que se pueden agrupar en un conjunto de proyectos, que forman el ya mencionado Plan Director de Seguridad. * Asumir el riesgo, transfiriéndolo a un plan de actuación en el caso de que ocurra, que forma el Plan de Continuidad de Negocio. * Transferir el riesgo a otras organizaciones, con fórmulas como la firma de seguros u otras, de forma que en caso estas otras asuman el riesgo. Para ello, se deben tener en cuenta los principios que deben presidir, en nuestra opinión, la gestión de los riesgos: * El principio de proporcionalidad, por el que la inversión en medidas de seguridad que mitigan un riesgo no deben superar el valor del activo. * Los riesgos deben reducirse hasta un nivel aceptable, puesto que es imposible anularlos. Cualquier nivel de riesgo es aceptable siempre que lo asuma la dirección de la organización. El conjunto de medidas de corrección de riesgos se pueden agrupar en proyectos que forman el Plan Director de Seguridad. Entre estos proyectos no sólo se cuentan los de desarrollo tecnológico, sino de otros tipos, como los organizativos o de revisión y adecuación legal, conforme a la visión que se dio al trabajo. La definición inicial del plan incluye proyectos a corto, medio y largo plazo. Varios de estos proyectos se han emprendido, algunos se han finalizado y otros están en pleno desarrollo, pero el valor más importante ha sido el poder "ubicarlos" dentro de un contexto de una estrategia de mejora de la seguridad, no como proyectos aislados. Aquellos riesgos que no se decida reducir, sino asumir, deben incluirse en un Plan de Continuidad de Negocio, que garantice que el impacto en el caso de que ocurra un desastre o contingencia se reduzca a unos niveles aceptables en términos de un tiempo preestablecido de recuperación de los sistemas. FIGURA 2 Todos estos procedimientos se modelizaron en el caso de la GISS, como parte del "mapa" de procesos de la organización en cuatro subprocesos incluidos dentro del proceso de Gestión del Riesgo: * Preparación de la Estrategia de Gestión del Riesgo. Cuyo alcance son las labores de análisis y gestión de riesgos. * Definición de Estándares de Contingencia en el Servicio. Proporciona los escenarios de contingencia, y los requisitos de tiempo de restauración a los trabajos de mantenimiento de los sistemas para que sean implementados por medio de un plan de contingencias. * Definición del Plan Director de Seguridad. Que elabora y mantiene el plan de proyectos de seguridad. * Auditoría de Seguridad. Cuyo objetivo es verificar la adecuación de las medidas de seguridad implantadas con las políticas y normas de seguridad aprobadas por la dirección. Conclusiones En este artículo se han repasado las principales acciones que ha emprendido el CCAS desde su creación como centro responsable de la gestión de la seguridad de la información en la Seguridad Social. Para ello estableció una estrategia de seguridad con actividades organizadas en un ciclo de continúo análogo a los de mejora de los sistemas de gestión de la calidad. Las tareas a desarrollar han sido elaborar las políticas de seguridad, implantar los procesos de un gestión del riesgo, del que se deriva el desarrollo de un plan de proyectos de seguridad y finalmente una labor de supervisión del trabajo realizado o auditoría. De estas tareas ha sido trascendental el análisis de riesgos, puesto que ha permitido priorizar los proyectos a desarrollar y establecer futuras directrices de trabajo. Estas actividades han supuesto un enorme beneficio para la GISS puesto que por primera vez se ha realizado un análisis sistemático y global del estado de la seguridad de la información y se han establecido los mecanismos para futuras revisiones. Al CCAS le corresponde el reto de mantener vivos estos resultados y hacer que sus frutos sirvan de soporte firme para la gestión de la seguridad de la información en una de las administraciones públicas más importantes de nuestro país. p 35

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback