Última actualización: viernes 21 octubre 2016 à 13:31 por Carlos Villagómez.
Etapa de definición
La etapa de definición de las necesidades de seguridad es el primer paso hacia la implementación de una política de seguridad.
El objetivo es determinar las necesidades de organización mediante la redacción de un inventario del sistema de información y luego estudiar los diferentes riesgos y las distintas amenazas que representan para implementar una política de seguridad apropiada.
La etapa de definición se compone entonces de tres etapas:
Identificación de las necesidades
Análisis de los riesgos
Definición de la política de seguridad
Identificación de las necesidades
La etapa de identificación de las necesidades consiste en realizar en primer lugar un inventario del sistema de información, en particular de la siguiente información:
Personas y funciones
Materiales, servidores y los servicios que éstos brindan
Esquematización de la red (esquema de direcciones, topologías físicas y lógicas, etc.)
Lista de los nombres de dominio de la empresa.
Infraestructura de la comunicación (routers, conmutadores, etc.)
Información delicada
Análisis de los riesgos
La etapa de análisis de riesgos consiste en relevar los diferentes riesgos que se advierten, estimar sus probabilidades y, por último, estudiar su impacto.
La mejor forma de analizar el impacto de una amenaza consiste en calcular el costo de los daños que causaría (por ejemplo, un ataque a un servidor o un daño de los datos de vital importancia de la compañía).
Partiendo de esta base, sería interesante confeccionar una tabla de riesgos y de sus potencialidades (es decir, la probabilidad de que existan) dándoles niveles escalonados de acuerdo con una escala que debe definirse. Por ejemplo:
Infundado (o improbable): la amenaza es insostenible
Débil: la amenaza tiene pocas probabilidades de existir
Moderada: la amenaza es real
Alta: la amenaza tiene muchas probabilidades de existir
Cómo definir la política de seguridad
La política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.
La política de seguridad define un número de reglas, procedimientos y prácticas óptimas que aseguren un nivel de seguridad que esté a la altura de las necesidades de la organización.
Este documento se debe presentar como un proyecto que incluya a todos, desde los usuarios hasta el rango más alto de la jerarquía, para ser aceptado por todos. Una vez redactada la política de seguridad, se deben enviar a los empleados las cláusulas que los impliquen para que la política de seguridad tenga el mayor impacto posible.
Métodos
Existen muchos métodos para desarrollar una política de seguridad. A continuación, se mostrará una lista no exhaustiva de los métodos principales:
MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux [metodología del análisis de riesgos informáticos por niveles]), desarrollado por CLUSIF
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité [expresión de las necesidades e identificación de los objetivos de seguridad], desarrollado por la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information)
El documento « Definición de necesidades en términos de seguridad informática » se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.
