Introducción á Seguridade Informática: Diferenzas entre revisións
(Non se amosan 8 revisións do historial feitas polo mesmo usuario.) | |||
Liña 121: | Liña 121: | ||
::::- Enumeración e descripción do cumplimento actual na lexislación das tecnoloxías da información aplicable. |
::::- Enumeración e descripción do cumplimento actual na lexislación das tecnoloxías da información aplicable. |
||
;Fase 3.- Recolección Técnica de Información: Trátase de obter todo tipo de información mediante diversos métodos técnicos e empíricos nunha mostra |
;Fase 3.- Recolección Técnica de Información: Trátase de obter todo tipo de información mediante diversos métodos técnicos e empíricos nunha mostra representativa dos sistemas e dispositivos da organización. Deberían abordarse os seguintes puntos: |
||
representativa dos sistemas e dispositivos da organización. Deberían abordarse os seguintes puntos: |
|||
::*''Enumeración e Caracterización'' |
::*''Enumeración e Caracterización'' |
||
::Tomando como base a información obtida no punto anterior, identificaranse os sistemas, dispositivos e aplicacións sobre as que se realizará o estudo técnico. A información mínima a recopilar será: |
:::Tomando como base a información obtida no punto anterior, identificaranse os sistemas, dispositivos e aplicacións sobre as que se realizará o estudo técnico. A información mínima a recopilar será: |
||
::: <u>Caracterización de Sistemas</u> |
::: <u>Caracterización de Sistemas</u> |
||
::::- Sistema (nome, equipo, fabricante) |
::::- Sistema (nome, equipo, fabricante) |
||
Liña 138: | Liña 137: | ||
::::- Estado de parches e actualizacións. |
::::- Estado de parches e actualizacións. |
||
::*''Análise de Tráfico'' |
::*''Análise de Tráfico'' |
||
::O seu obxectivo é caracteriza-lo tipo de tráfico que discurre polas redes da organización, así como detectar posibles puntos de fallo ou de atasco en ditas redes. Deberían identificarse os puntos sensíbeis nos que realizar as medidas, que poderían ser as interconexións entre segmentos, os segmentos de |
:::O seu obxectivo é caracteriza-lo tipo de tráfico que discurre polas redes da organización, así como detectar posibles puntos de fallo ou de atasco en ditas redes. Deberían identificarse os puntos sensíbeis nos que realizar as medidas, que poderían ser as interconexións entre segmentos, os segmentos de servidores/aplicacións críticas, os segmentos dos usuarios... etc. |
||
servidores/aplicacións críticas, os segmentos dos usuarios... etc. |
|||
::Cada medida debería realizarse por un periodo de tempo significativo que depende do entorno, e tendo en conta as franxas temporais de actividade. As capturas se almacenarán para ser tratadas e examinadas posteriormente. |
:::Cada medida debería realizarse por un periodo de tempo significativo que depende do entorno, e tendo en conta as franxas temporais de actividade. As capturas se almacenarán para ser tratadas e examinadas posteriormente. |
||
;Fase 4.- Análise de vulnerabilidades de sistemas e aplicacións: Preténdese detectar puntos débiles na seguridade dos sistemas e das aplicacións, consistentes en erros de programación ou configuración que podan ser causa de vulnerabilidades explotables por atacantes. Non todos os sistemas teñen a mesma importancia, por esto se deberá realizar unha selección dos sistemas a analizar. Os análises poden clasificarse en: |
;Fase 4.- Análise de vulnerabilidades de sistemas e aplicacións: Preténdese detectar puntos débiles na seguridade dos sistemas e das aplicacións, consistentes en erros de programación ou configuración que podan ser causa de vulnerabilidades explotables por atacantes. Non todos os sistemas teñen a mesma importancia, por esto se deberá realizar unha selección dos sistemas a analizar. Os análises poden clasificarse en: |
||
Liña 150: | Liña 148: | ||
:::Será preciso elexir o rango de portos a explorar e comprobar tanto as conexións TCP coma UDP, cada porto evidentemente identificará unha aplicación no sistema. A un posible atacante bastaríalle consultar algunha das vulnerabilidades da aplicación e atopar o exploit correspondente. A labor do equipo de traballo é determiñar cales son esas vulnerabilidades e os parches ou actualizacións axeitadas. |
:::Será preciso elexir o rango de portos a explorar e comprobar tanto as conexións TCP coma UDP, cada porto evidentemente identificará unha aplicación no sistema. A un posible atacante bastaríalle consultar algunha das vulnerabilidades da aplicación e atopar o exploit correspondente. A labor do equipo de traballo é determiñar cales son esas vulnerabilidades e os parches ou actualizacións axeitadas. |
||
{{boxinfo |
{{boxinfo|Existen ferramentas automatizadas de detección de vulnerabilidades como '''Nessus''', '''OpenVAS''' ou '''Microsoft Baseline Security Analizer'''}} |
||
A exploración de portos deberá realizarse dende os distintos punto críticos da rede como son: |
:::A exploración de portos deberá realizarse dende os distintos punto críticos da rede como son: |
||
::::*''Internet:'' Determiñar os portos alcanzables e as aplicacións correspondentes. |
|||
• |
|||
::::*''DMZ:'' Determiñar que servizos da rede internas osn alcanzables dende o DMZ. |
|||
Internet: Determiñar os portos alcanzables e as aplicacións correspondentes. |
|||
::::*''Mesmo segmento de rede:'' Determiñar os servicios configurados e en funcionamento, para ver cales son necesarios e cales non. |
|||
• DMZ: Determiñar que servizos da rede internas osn alcanzables dende o DMZ. |
|||
::::*''Dende a rede interna:'' Determiñar os servicios accesibles. |
|||
ver cales son necesarios e cales non. |
|||
::*Análise local |
|||
• Dende a rede interna: Determiñar os servicios accesibles. |
|||
:::O análise local pretende obter un coñecemento preciso do estado de seguridade do sistema. Deberá recopilarse, como mínimo, a seguinte información: |
|||
Análise local |
|||
::::*Nome Sistema |
|||
O análise local pretende obter un coñecemento preciso do estado de seguridade do sistema. Deberá |
|||
::::*Responsable |
|||
recopilarse, como mínimo, a seguinte información: |
|||
::::*Tipo de Sistema |
|||
::::*Sistema de Arquivos |
|||
• Responsable |
|||
::::*Uso de Memoria |
|||
::::*Estado de parches e actualizacións |
|||
• Sistema de Arquivos |
|||
::::*Software e aplicacións instaladas |
|||
• Uso de Memoria |
|||
::::*Portos a escoita e conexións activas |
|||
• Estado de parches e actualizacións |
|||
::::*Banners de servicios (identificacións proporcionadas polos servizos da máquina) |
|||
• Software e aplicacións instaladas |
|||
::::*Servicios e scripts de arranque |
|||
• Portos a escoita e conexións activas |
|||
::::*Procesos en execución |
|||
• Banners de servicios |
|||
::::*Usuarios e contrasinais |
|||
• Servicios e scripts de arranque |
|||
::::*Configuración de rede |
|||
• Procesos en execución |
|||
::::*Tarefas periódicas (cron, at). |
|||
• Usuarios e contrasinais |
|||
• Configuración de rede |
|||
:::Dependendo do sistema operativo podería ser necesaria información adicional, como nos sistemas ''UNIX'' o estado dos servicios ''NFS'', ''RPC'', ''TCP wrappers'' e lista de ficheiros ''SUID'' e ''SGID''. |
|||
• Tarefas periódicas (cron, at). |
|||
Dependendo do sistema operativo podería ser necesaria información adicional, como nos sistemas UNIX |
|||
;Fase 5.- Revisión de configuracións: Durante a recolección técnica revisaranse tamén as configuracións dos elementos clave da rede. Deberán revisarse polo menos os dispositivos de electrónica de rede (routers, switches...), os dispositivos de seguridade (firewalls, IDS/IPS, servidores de autenticación...), as aplicacións (servidores web, ftp, correo ...) e en xeral calqueira dispositivo cunha funcionalidade necesaria dentro da organización que sexa unha posible fonte de vulnerabilidades. |
|||
o estado dos servicios NFS, RPC, TCP wrappers e lista de ficheiros SUID e SGID. |
|||
Revisión de configuracións |
|||
;Fase 6.- Revisión da Visibilidade Externa: Existe unha gran cantidade de información relativa ás organizacións que é accesible de xeito público dende internet. É importante, polo tanto, que a organización sexa consciente da existencia desa información, polo que deberá prestarse atención aos seguintes puntos: |
|||
Durante a recolección técnica revisaranse tamén as configuracións dos elementos clave da rede. |
|||
::*''Direccionamento público:'' Mediante os servicios whois é posible coñecer os rangos de IP da organización, direccións postais, correo electrónico, número de teléfono, nomes dos responsables e contactos. A organización deberá asegurarse de que a información é correcta e de que non se suminstra máis información da imprescindible. |
|||
Deberán revisarse polo menos os dispositivos de electrónica de rede (routers, switches...), os dispositivos |
|||
::*''Dominio e DNS:'' Deberán recopilarse todos os nomes de dominio da organización. Para cada dominio deberán realizarse búsquedas DNS (''dig'', ''nslookup'', ''host'') prestando especial atención a: Servidores de nomes (NS), Intercambiadores de correo (MX). Os nomes coñecidos corresponderán a servidores expostos a ser atacados e deberán ser asegurados coidadosamente. |
|||
de seguridade (firewalls, IDS/IPS, servidores de autenticación...), as aplicacións (servidores web, ftp, |
|||
::*''Filtrado de documentación:'' Unha mala configuración dos servidores Web pode permitir a publicación non dexexada de documentos en internet. Deberán realizarse búsquedas para coñecer si a organización adolece dun destes problemas, e determiñar unha configuración axeitada do ''robots.txt''. Dependendo das características da organización poderá ser necesaria a realización de probas para obter información e datos adicionais. |
|||
correo ...) e en xeral calqueira dispositivo cunha funcionalidade necesaria dentro da organización que sexa |
|||
unha posible fonte de vulnerabilidades. |
|||
;Fase 7.- Análisis de Información: Se procederá ao análise de toda a información recollida nos puntos anteriores, estudiando as posibles carencias de seguridade dos deseños de rede, accesos a información ou procesos organizativos implementados. Para elo se tomarán como base distintas fontes como poden ser os códigos de boas prácticas existentes aplicables aos distintos sistemas e procesos analizados, metodoloxías e estándares (coma ISO27001) de recomendable ou obrigado cumplimento, lexislación e normativas internas aplicables, ademáis de bases de coñecemento existentes sobre os distintos sistemas analizados ademáis da experiencia e coñecemento do equipo de traballo encargado do proxecto. |
|||
Visibilidade Externa |
|||
Existe unha gran cantidade de información relativa ás organizacións que é accesible de xeito público |
|||
;Fase 8.- Informe de Estado da Seguridade da Información: Recollerase nun único documento unha imaxe da situación actual da organización no que a implantación de medidas técnicas e organizativas de seguridade se refire. Este informe persigue dous obxectivos: |
|||
dende internet. É importante, polo tanto, que a organización sexa consciente da existencia desa |
|||
::1- Proporcionar unha visión global e detallada do estado da organización en canto á seguridade. |
|||
información, polo que deberá prestarse atención aos seguintes puntos: |
|||
::2- Sinalar cales son os aspectos mellorables e a proposta de accións correctivas ordeadas por relevancia. |
|||
• Direccionamento público: Mediante os servicios whois é posible coñecer os rangos de IP da |
|||
organización, direccións postais, correo electrónico, número de teléfono, nomes dos responsables e |
|||
:Os distintos apartados deste informe serían: |
|||
contactos. A organización deberá asegurarse de que a información é correcta e de que non se |
|||
::-''Descripción do estado actual:'' Se describirán os datos recabados na recolección técnica de información e o estado actual das redes e sistemas de comunicación. Un exemplo da estructura sería: Topoloxía, Inventario e caracterización dos sistemas máis importantes, Inventario e caracterización de servicios públicos e privados, Descripción das medidas de seguridade física implantadas, Descripción das medidas de seguridade lóxica implantadas, Listado das políticas e procedementos referentes ao manexo dos sistemas de información. |
|||
suminstra máis información da imprescindible. |
|||
::-''Análise e recomendacións técnicas:'' Para cada ún dos apartados indicados no punto anterior, se revisarán as implicacións existentes respecto á seguridade e se recomendarán as accións necesarias para paliar os problemas. |
|||
• Dominio e DNS: Deberán recopilarse todos os nomes de dominio da organización. Para cada |
|||
::-''Conclusións e propostas de acción:'' Se clasificarán as accións recomendadas según unha gradación basada na criticidade da aplicación e a cantidade de risco asumido pola non implementación de medidas. Se especificará un tempo recomendado para abordar a solución según o grao de risco. Como referencia, unha clasificación sería: |
|||
dominió deberán realizarse búsquedas DNS (dig, nslookup, host) prestando especial atención a: |
|||
:::'''Crítico:''' aplicación inmediata. |
|||
◦ Servidores de nomes (NS) |
|||
:::'''Alto:''' Aplicación en tres meses. |
|||
◦ Intercambiadores de correo (MX) |
|||
:::'''Medio:''' Aplicación de tres a seis meses. |
|||
◦ Nomes coñecidos |
|||
:::'''Baixo:''' Aplicación de seis a doce meses. |
|||
Estes nomes corresponderán a servidores expostos a ser atacados e deberán ser asegurados |
|||
;Fase 9.- Medidas de Seguridade e Controis Recomendados: Adicionalmente propondranse unha serie de medidas e controis de seguridade aplicables segundo a recomendación das guías de boas prácticas existentes como a norma ''ISO/IEC 17799/27001''. Recoméndase a identificación e descripción das distintas medidas de seguridade e controis aplicables da norma seguida. |
|||
coidadosamente. |
|||
;Fase 10.- Resumo executivo: Se recollerá de forma clara, concisa e nunha linguaxe comprensible evitando termos excesivamente técnicos un resumo dos principais resultados e riscos que a organización está a asumir debido ao estado actual de implementación de medidas. Este apartado probablemente sexa o de maior visibilidade e o que pode influír no apoio da xerencia ao cumplimento das medidas necesarias. |
|||
• |
|||
;Fase 11.- Presentación do Informe: Deberá presentarse á dirección da empresa o informe elaborado no punto anterior, de xeito que, ademáis de servir como documentación do estado técnico e organizativo da empresa, proporcione á dirección a información que precisa para decidir sobre a implantación de medidas de seguridade. A presentación deberá estructurarse dun modo axeitado, recomendándose un esquema similar ao seguinte: |
|||
Filtrado de documentación: Unha mala configuración dos servidores Web pode permitir a |
|||
::a) Introducción sobre a seguridade da información |
|||
publicación non dexexada de documentos en internet. Deberán realizarse búsquedas para coñecer |
|||
::b) Descripción do estudio realizado e motivación do mesmo |
|||
si a organización adolece dun destes problemas, e determiñar unha configuración axeitada do |
|||
::c) Estado actual da organización. |
|||
robots.txt. |
|||
::d) Recomendacións |
|||
Dependendo das características da organización poderá ser necesaria a realización de probas para |
|||
::e) Exemplos de hallazgos de problemas e vulnerabilidades existentes |
|||
obter información e datos adicionais. |
|||
::f) Accions urxentes que se preciasan. |
|||
Análisis de Información |
|||
::g) Conclusións. |
|||
Se procederá ao análise de toda a información recollida nos puntos anteriores, estudiando as posibles |
|||
:De aquí debería obterse o apoio e compromiso explícito da dirección no desarrollo do proxecto e na aprobación do informe, que daría comenzo ao desenvolvemento do ''plan de acción''. |
|||
carencias de seguridade dos deseños de rede, accesos a información ou procesos organizativos |
|||
implementados. Para elo se tomarán como base distintas fontes como poden ser os códigos de boas |
|||
===Desenvolvemento do Plan de Acción de Seguridade e Protección da Información=== |
|||
prácticas existentes aplicables aos distintos sistemas e procesos analizados, metodoloxías e estándares |
|||
Este documento incluirá de forma xeral a planificación completa para a implementación das accións identificadas de xeito que podan establecerse uns logros e datas asociadas para o cumplimento e consecución dos distintos obxectivos. Precisaremos polo menos da seguinte información: |
|||
(coma ISO27001) de recomendable ou obrigado cumplimento, lexislación e normativas internas aplicables, |
|||
ademáis de bases de coñecemento existentes sobre os distintos sistemas analizados ademáis da |
|||
:*Desenvolvemento técnico (e organizativo, si corresponde) completo e en detalle da acción a tomar. |
|||
experiencia e coñecemento do equipo de traballo encargado do proxecto. |
|||
:*Planificación completa e detallada de cada acción, incluíndo tempos e plan de implantación a curto, medio e longo prazo. |
|||
Informe de Estado da Seguridade da Información |
|||
:*Identificación dos recursos humanos necesarios indicando si poden ou deben ser internos ouexternos. |
|||
Recollerase nun único documento unha imaxe da situación actual da organización no que a implantación |
|||
:*Valoración económica nos casos que sexa posible. |
|||
de medidas técnicas e organizativas de seguridade se refire. Este informe persigue dous obxectivos: |
|||
:*Ofertas de proveedores nos casos que se requiran terceiros na implementación. |
|||
Proporcionar unha visión global e detallada do estado da organización en canto á seguridade, e sinalar |
|||
cales son os aspectos mellorables e a proposta de accións correctivas ordeadas por relevancia. Os distintos |
|||
As accións a incluír dependerán das medidas de seguridade que xa estiveran implementadas e do grao de experiencia da compañía no tema, pero algunha das accións típicas poderían ser: |
|||
apartados do informe serían: |
|||
:*Mellora da estructura organizativa (creación dun comité de seguridade, establecemento de responsabilidades, etc..) |
|||
• |
|||
:*Posible externalización de algunhas funcións. |
|||
Descripción do estado actual: Se describirán os datos recabados na recolección técnica de |
|||
:*Desenvolvemento e difusión de políticas de seguridade e procedementos asociados. |
|||
información e o estado actual das redes e sistemas de comunicación. Un exemplo da estructura |
|||
:*Melloras nas plataformas de sistemas ou no centro de proceso de datos. |
|||
sería: |
|||
:*Melloras na seguridade dos dispositivos de comunicacións (WiFi, WAN, LAN, segmentación...) |
|||
• Topoloxía. |
|||
:*Análise de Vulnerabilidades. |
|||
• Inventario e caracterización dos sistemas máis importantes. |
|||
:*Desenvolvemento do proceso de xestión da continuidade do negocio. |
|||
• Inventario e caracterización de servicios públicos e privados. |
|||
:*Análise de riscos. |
|||
• Descripción das medidas de seguridade física implantadas. |
|||
:*Desenvolvemento do plan de continxencia de tecnoloxías de información. |
|||
• Descripción das medidas de seguridade lóxica implantadas. |
|||
:*Plan de formación |
|||
• Listado das políticas e procedementos referentes ao manexo dos sistemas de información. |
|||
• Análise e recomendacións técnicas: Para cada ún dos apartados indicados no punto anterior, se |
|||
O documento deberá presentarse á dirección e realizar unha defensa do mesmo. Unha posible estructura da presentación podería ser: |
|||
revisarán as implicacións existentes respecto á seguridade e se recomendarán as accións |
|||
:a) Introducción sobre a orixe do documento e o proceso de desenvolvemento asociado. |
|||
necesarias para paliar os problemas. |
|||
:b) Descripción temporal e xustificada dos plazos curto, medio e longo, os tipos de accións asociados e os motivos de dita clasificación. |
|||
• Conclusións e propostas de acción: Se clasificarán as accións recomendadas según unha |
|||
:c) Planificación xeral: identificación de todas e cada unha das accións a realizar. |
|||
gradación basada na criticidade da aplicación e a cantidade de risco asumido pola non |
|||
::- Curto Prazo: Descripción detallada de cada acción, incluíndo plazo temporal, recursos precisos, propostas de proveedores, tarefas incluídas e valoración económica. |
|||
implementación de medidas, se especificará un tempo recomendado para abordar a solución según |
|||
::- Medio Prazo: Procederase de igual forma que nas medidas a curto plazo. |
|||
o grao de riso. Como referencia, unha clasificación sería: |
|||
::- Longo Prazo: Procederase de igual forma que nas medidas a curto plazo. |
|||
• Crítico: aplicación inmediata. |
|||
:d) Proposta de planificación temporal: Daranse datas reais como obxectivo de cumplimento da implantación das medidas do documento. |
|||
• Alto: Aplicación en tres meses. |
|||
• Medio: Aplicación de tres a seis meses. |
|||
===Implantación.=== |
|||
• Baixo: Aplicación de seis a doce meses. |
|||
Unha vez aceptado o documento anterior pola dirección se implantarán as distintas tarefas. Se levará a cabo un plan de proxecto de coordinación da implantación que incluirá: |
|||
• Medidas de Seguridade e Controis Recomendados: Adicionalmente propondranse unha serie de |
|||
:*''Adquisición/Asignación de recursos:'' Deberá asegurarse a dispoñibilidade dos recursos precisos sinalados no informe nos plazos estimados e se debe contemplar a posibilidade de que algún de eles se asigne a tarefas de realización simultánea. |
|||
medidas e controis de seguridade aplicables segundo a recomendación das guías de boas prácticas |
|||
:*''Seguimento:'' O persoal encargado do seguimento deberá coordinar o traballo entre os equipos que realicen as tarefas en sistemas con interfaces comúns para asegurar que non interfiren entre eles. |
|||
existentes como a norma ISO/IEC 17799/27001. Recoméndase a identificación e descripción das |
|||
:*''Reunións de Revisión:'' Se programarán reunións de revisión periódicas, así coma reunións coa dirección para informar do estado da implatación das distintas tarefas. |
|||
distintas medidas de seguridade e controis aplicables da norma seguida. |
|||
• Resumo executivo: Se recollerá de forma clara, concisa e nunha linguaxe comprensible evitando |
|||
térmos excesivamente técnicos un resumo dos principais resultados e riscos que a organización |
|||
está a asumir debido ao estado actual de implementación de medidas. Este apartado |
|||
probablemente sexa o de maior visibilidade e o que pode influír no apoio da xerencia ao |
|||
cumplimento das medidas necesarias. |
|||
Presentación do Informe |
|||
Deberá presentarse á dirección da empresa o informe elaborado no punto anterior, de xeito que, |
|||
ademáis de servir como documentación do estado técnico e organizativo da empresa, proporcione á |
|||
dirección a información que precisa para decidir sobre a implantación de medidas de seguridade. A |
|||
presentación deberá estructurarse dun modo axeitado, recomendándose un esquema similar ao seguinte: |
|||
• Introducción sobre a seguridade da información |
|||
• Descripción do estudio realizado e motivación do mesmo |
|||
• Estado actual da organización. |
|||
◦ ◦ Recomendacións |
|||
◦ |
|||
• |
|||
Exemplos de hallazgos de problemas e vulnerabilidades existentes |
|||
Accions urxentes que se preciasan. |
|||
Conclusións. |
|||
De aquí debería obterse o apoio e compromiso explícito da dirección no desarrollo do proxecto e na |
|||
aprobación do informe, que daría comenzo ao desenvolvemento do plan de acción. |
|||
Desenvolvemento do Plan de Acción de Seguridade e |
|||
Protección da Información |
|||
Este documento incluirá de forma xeral a planificación completa para a implementación das accións |
|||
identificadas de xeito que podan establecerse uns logros e datas asociadas para o cumplimento e |
|||
consecución dos distintos obxectivos. Precisaremos polo menos da seguinte información: |
|||
• Desenvolvemento técnico (e organizativo, si corresponde) completo e en detalle da acción a tomar. |
|||
• Planificación completa e detallada de cada acción, incluíndo tempos e plan de implantación a curto, |
|||
medio e longo prazo. |
|||
• Identificación dos recursos humanos necesarios indicando si poden ou deben ser internos ou |
|||
externos. |
|||
• Valoración económica nos casos que sexa posible. |
|||
• Ofertas de proveedores nos casos que se requiran terceiros na implementación. |
|||
As accións a incluír dependerán das medidas de seguridade que xa estiveran implementadas e do grao |
|||
de experiencia da compañía no tema, pero algunha das accións típicas poderían ser: |
|||
• Mellora da estructura organizativa (creación dun comité de seguridade, establecemento de |
|||
responsabilidades, etc..) |
|||
• Posible externalización de algunhas funcións. |
|||
• Desenvolvemento e difusión de políticas de seguridade e procedementos asociados. |
|||
• Melloras nas plataformas de sistemas ou no centro de proceso de datos. |
|||
• Melloras na seguridade dos dispositivos de comunicacións (WiFi, WAN, LAN, segmentación...) |
|||
• Análise de Vulnerabilidades. |
|||
• Desenvolvemento do proceso de xestión da continuidade do negocio. |
|||
• Análise de riscos. |
|||
• Desenvolvemento do plan de continxencia de tecnoloxías de información. |
|||
• Plan de formación |
|||
• Outros. |
|||
Presentacion do Plan. |
|||
O documento anteriór deberá presentarse á dirección e realizar unha defensa do mesmo. Unha posible |
|||
estructura da presentación podería ser: |
|||
• Introducción sobre a orixe do documento e o proceso de desenvolvemento asociado. |
|||
• Descripción temporal e xustificada dos plazos curto, medio e longo, os tipos de accións asociados e |
|||
os motivos de dita clasificación. |
|||
• Planificación xeral: identificación de todas e cada unha das accións a realizar. |
|||
• Curto Prazo: Descripción detallada de cada acción, incluíndo plazo temporal, recursos precisos, |
|||
propostas de proveedores, tarefas incluídas e valoración económica. |
|||
• Medio Prazo: Procederase de igual forma que nas medidas a curto plazo. |
|||
• Longo Prazo: Procederase de igual forma que nas medidas a curto plazo. |
|||
• Proposta de planificación temporal: Daranse datas reais como obxectivo de cumplimento da |
|||
implantación das medidas do documento. |
|||
Implantación. |
|||
Unha vez aceptado o documento anterior pola dirección se implantarán as distintas tarefas. Se levará a |
|||
cabo un plan de proxecto de coordinación da implantación que incluirá: |
|||
• Adquisición/Asignación de recursos: Deberá asegurarse a dispoñibilidade dos recursos precisos |
|||
sinalados no informe nos plazos estimados e se debe contemplar a posibilidade de que algún de |
|||
eles se asigne a tarefas de realización simultánea. |
|||
• Seguimento: O persoal encargado do seguimento deberá coordinar o traballo entre os equipos que |
|||
realicen as tarefas en sistemas con interfaces comúns para asegurar que non interfiren entre eles. |
|||
• Reunións de Revisión: Se programarán reunións de revisión periódicas, así coma reunións coa |
|||
dirección para informar do estado da implatación das distintas tarefas. |
Revisión actual feita o 16 de outubro de 2013 ás 17:02
Introducción.
A seguridade da información abrangue todas aquelas medidas preventivas que permitan protexer a información buscando manter a súa confidencialidade, dispoñibilidade e integridade.
A seguridade informática é unha rama da tecnoloxía informática coñecida como seguridade da información aplicada aos ordenadores e as redes. O seu obxectivo inclúe a protección da información de roubos, corrupcións ou desastres naturais, mentras que garante a súa accesibilidade e fiabilidade para os usuarios autorizados. A seguridade informática enfócase na protección da infraestructura computacional e o relacionado con esta, para o que existen unha serie de estándares, protocolos, métodos, ferramentas e leis pensadas para minimizar os posibles riscos á infraestructura ou á información.
O termo '“seguridade de sistemas de ordenadores” refírese a todos os procesos e mecanismos por medio dos que se protexen os servicios informáticos e a información confidencial. As estratexias e metodoloxías da seguridade dos ordenadores a miudo son distintas da maior parte das outras tecnoloxías relacionadas con ordenadores, xa que o obxectivo é impedir os comportamentos non dexexados do ordenador, en lugar de facer que éste se comporte dun xeito concreto.
Obxectivos da seguridade informática.
A seguridade informática concíbese para protexer os activos informáticos, entre os que se atopan:
- A información: É un obxectivo primordial evitar que usuarios externos e non autorizados podan acceder a ela, do contrario córrese o risco do seu uso malintencionado ou da súa manipulación. Outro obxectivo é asegurar que sempre se poderá acceder a ela, facendo copias de seguridade para o caso de averías, accidentes, atentados ou desastres.
- A infraestructura computacional: Débese garantizar o funcionamento axeitado do equipamento informático e prever calqueira posibilidade de falla, como roubos, incendios, desastres naturais, boicots, fallas no suministro eeléctrico... etc.
- Os usuarios: A seguridade informática debe establecer normas que minimicen os riscos na información ou na estructura informática, ao mesmo tempo que se lle garante aos usuarios autorizados o acceso a información e o uso do sistema. Estas normas inclúen horarios de funcionamento, restriccións de acceso a certos lugares, perfís de usuario, plans de emerxencia, protocolos....
Principios Básicos da Seguridade da Información.
Tradicionalmente a seguridade da información centrouse en garantir a confidencialidade, integridade e dispoñibilidade da información, pero hoxe en día inclúense outros conceptos como o non repudio que permite garantir a autoría da información. Existen varias opinións sobre os elementos básicos que definirían os servicios de seguridade da información, pero unha posible aproximación sería a seguinte:
- Confidencialidade: Consiste en impedir o acceso non autorizado á información ou aos sistemas de ordenadores por parte de individuos non autorizados. Por exemplo, unha transacción cunha tarxeta de crédito precisa que o número sexa enviado dende o comprador ao vendedor a través da rede.O sistema intenta garantir a confidencialidade codificando este número durante a transmisión, limitando os lugares onde se almacena e restrinxindo o acceso os mesmos... etc. O fallo da confidencialidade pode tomar moitas formas como pode ser que alguén mira por enriba do noso lombo mentras tecleamos información confidencial, ou perdendo o noso portátil.
- Posesión: Consiste en garantir os dereitos que alguén ten sobre determiñado tipo de información. Por exemplo, medidas destiñadas a impedir a copia de material suxeito a dereitos de autor.
- Integridade: Consiste en garantir que a información non foi modificada de xeito non autorizado.
- Dispoñibilidade: Consiste en garantir o acceso á información cando é preciso. Esto quere decir que os controis de seguridade, canais de comunicación e elementos de almacenamento e acceso deben funcionar correctamente, evitando posíbeis ataques de denegación de servicio (DoS). Os sistemas que deben permañecer dispoñibles 24 horas ao día, 7 días a semá denomínanse Sistemas de Alta Dispoñibilidade (High Availability). Os fallos de dispoñibilidades poden estar provocados por interrupcións previstas (copias de seguridade, cambios no hardware, cambios no software) ou imprevistas (fallos eléctricos, erros no hardware, problemas de seguridade...). A dispoñibilidade mídese comunmente polo MTF (Mean Time To Failure) que mide o tempo medio que transcurre ata un fallo, e polo MTTR (Mean Time To Recover) que mide o tempo medio que transcurre ata que o sistema volve a estar dispoñible. O maior nivel de exigencia en alta dispoñibilidade acepta 5 minutos de inactividade ao ano.
- Autenticidade: E imprescindible asegurar que os datos, transaccións, comunicacións ou documentos (físicos ou electrónicos) son auténticos. Tan importante como esto é verificar que cada unha das partes da comunicación é quen dice ser. A autenticiade proporciona probas de quén é o autor dun documento e quen é o seu destiñatario.
- Non Repudio: Cando dúas partes realizan unha transacción, é imprescindible garantir que as partes non podan negar ter enviado ou recibido a mesma. O comercio electrónico utiliza tecnoloxías como firmas dixitais e codificación de chave pública para establecer a autenticidade e o non repudio.
Existen dous tipos de non repudio:
- non repudio de orixe: Garante que o emisor da información non poida negar o seu envío, xa que o destinatario ten probas de que éste se producíu. O receptor recibe unha proba infalsificable da orixe do envío, evitando que o emisor, de nega-lo envío, teña éxito ante o xuizo de terceiros.
- non repudio de destiño: Garante que o receptor non poda negar a recepción da mensaxe, xa que se lle proporcionan probas de recepción ao emisor.
Controis de Seguridade
Para reducir os riscos é necesario implementar un ou máis de tres tipos de controis de seguridade:
- Controis Administrativos: Tamén chamados controis de procedemento, consisten en aprobar un conxunto de normas, estándares e guías a seguir no manexo da información. As leis e regulacións do goberno son tamén un tipo de control administrativo, e algúns sectores da industria teñen políticas, procedementos e estándares de obrigado cumplemento, como por exemplo “Payment Card Industry Data Security Standard” que siguen Visa e Master Card. Os controis administrativos son a base para a selección e implementación dos controis lóxicos e físicos.
- Controis Lóxicos: Tamén chamados controis técnicos, utilizan software e datos para monitorizar e controlar o acceso á información e aos sistemas de ordenadores. Por exemplo, as passwords, os firewalls, os sistemas de detección de intrusos, as ACL e a codificación de datos son controis lóxicos.
- Controis Físicos: Os controis físicos monitorizan e controlan o lugar de traballo e o equipamento informático, ademáis do acceso físico o mesmo. Por exemplo, portas, pechaduras sistemas de calefacción e aire acondicionado, alarmas de lume, sistemas antiincendios, cámaras, gardas de seguridade.... etc.
Defensa en Profundidade
A seguridade debe protexer a información dende o momento da súa creación ata que deixa de ser útil. Durante a súa vida, a información pode pasar a través de moitos sistemas de procesamento distintos, e existen moitos xeitos de que estes sistemas podan estar ameazados. Para protexer a información durante toda a súa vida, cada compoñente do sistema de procesamento de información debe ter os seus propios mecanismos de seguridade. A construcción, deseño, e superposición de medidas de seguridade chámase defensa en profundidade.
Poderíamos pensar na defensa en profundidade como varias capas de plans de seguridade, unha enriba de outra. Na capa máis profunda estaría a seguridade da información, por enriba a seguridade dos usuarios, e por último a seguridade da infraestructura informática.
Un posible exemplo sería unha capa de defensa dos datos, como pode ser a codificación dos mesmos. A capa superior consistiría na securización das aplicacións que manexan eses datos, seguida por outra que securiza o equipamento que executa esas aplicacións. Por enriba estarían as medidas de defensa de rede e a seguridade perimetral (como os firewall), para finalizar polas medidas de seguridade física e de entorno e das políticas e procedementos de seguridade.
As Ameazas
Unha vez que se consideran seguras tanto a programación e funcionamento dos dispositivos como o almacenamento ou transmisión da información, aínda se deben ter en conta outras circunstancias que poden afectar aos datos, a miúdo imprevisibles ou inevitables, de xeito que o único xeito de protección é a rendundancia (no caso dos datos) e a descentralización (no caso das comunicacións). Estes imprevistos poden estar causados polo mesmo usuario, por programas maliciosos, por intrusións ou por sinistros.
O simple feito de conectar unha rede a un entorno externo da a posibilidade de acceso a posibles tacantes que poden levar a cabo roubos de información ou alterar o funcionamenteo da rede, pero o non estar conectados a redes externas non garante de ningún xeito a seguridade. Estímase que aproximadamente entre un 60% e un 80% dos incidentes nas redes son causados dende o interior da mesma. Podemos entón distinguir entre dous tipos de ameazas:
- Ameazas Internas
- Son máis serias que as externas, xa que os usuarios coñecen a estructura e funcionamento da rede, xa teñen algún nivel de acceso á mesma e os firewalls e os sistemas de protección contra intrusos normalmente non están vixiando a rede interna. O posible éxito de este tipo de ameazas débese a esquemas e de seguridade deficientes que fallan a hora de protexer os recursos informáticos.
- Ameazas Externas
- Teñen a súa orixe fora da rede. O atacante ten que levar a cabo unha serie de pasos encamiñados a obter información sobre a estructura da rede e atopa-lo xeito de atacala. O administrador da rede pode tomar varias medidas sinxelas para bloquear este tipo de ameazas.
Actualmente as lexislacións nacionais dos Estados, obligan ás empresas e institucións públicas a implantar unha política de seguridade. En España, por exemplo está a LOPD e a súa normativa de desenvolvemento. Esta normativa, xeralmente refírese exclusivamente ao aseguramento dos dereitos de acceso aos datos e recursos, e ás ferramentas de control e mecanismos de identificación. Estes mecanismos permiten asegurar que os operadores teñen exclusivamente os permisos que lles foron específicamente concedidos.
A seguridade informática non debe impedir o traballo dos operadores, que necesitan utilizar o sistema con toda confianza, por elo a hora de elaborar unha política de seguridade convén:
- Elaborar regras e procedementos para cada servicio da organización.
- Definir as accións a emprender e elexir ás persoas a contactar no caso de detectar unha posibel intrusión.
- Sensibilizar aos operadores cos problemas ligados coa seguridade dos sistemas informáticos.
- Os deretos de acceso dos operadores deben ser definidos polos responsables xerárquicos e non polos administradores informáticos, que teñen como misión conseguir cos recursos e dereitos de acceso sexan coherentes coa política de seguridade definida.
Medidas de Seguridade
As medidas de seguridade a tomar para intentar sortear as distintas ameazas poden clasificarse:
- a) Segundo ó recurso a protexer
- Seguridade física: Intenta mitigar situacións debidas a ameazas de tipo físico, como roubos, incendios, terremotos, etc. As medidas deste tipo poden ir dende o estudo da situación física do equipamento, ata a implantación de sistemas antiincendio.
- Seguridade lóxica: Protexe o sistema contra situacións provocadas polo software. Medidas comúns son as contrasinais, os permisos, o cifrado, os firewalls...
- b) Segundo o momento en que se toman as medidas.
- Seguridade activa: Son medidas preventivas. Intentan evitar os danos no sistema. Un exemplo pode ser un control de acceso a un recinto, ou un firewall.
- Seguridade pasiva: Son medidas paliativas ou correctivas. intentan reducir o alcance dos danos unha vez producidos. Un exemplo pode ser unha copia de seguridade ou unha liña de comunicacións de reserva.
As políticas de seguridade, e o plan de seguridade da empresa deben contemplar todo este tipo de medidas.
Xestión da Seguridade da Información: Plan de Continxencia e Seguridade Informática.
Un Sistema de Xestión da Seguridade da Información (SXSI) é un conxunto de políticas de administración da información. Un SXSI consiste no deseño, implantación e mantemento dun conxunto de procesos para xestionar eficientemente a accesibilidade da información, buscando asegura-la confidencialidade, integridade e dispoñibilidade da información minimizando á vez os riscos na súa seguridade.
- A ISO-27001 define os requisitos de auditoría e sistemas de xestión de seguridade.
- A ISO-27002 é un código internacional de boas prácticas na seguridade da información.
Os sistemas de xestión de seguridade da información buscan protexer os recursos do sistema: hardware, software, elementos de comunicación, a información que se procesa e distribúe, locais e oficinas, persoal involucrado no sistema e a reputación e imaxe da organización, etc. das posibles ameazas.
Normalmente, a elaboración dun sistema de xestión da seguridade da información lévase a cabo mediante diversas metodoloxías e estándares (coma ISO 27001) que conlevan a realización de diversas fases:
- Definición da política e alcance do SXSI
- Establecemento das responsabilidades e recursos
- Rexistro de activos
- Xestión do risco
- Selección de controis aplicables
- Establecemento de aplicabilidade
- Implantación.
O seguimento estricto destas fases normalemente é moi complexo debido á falta de concienciación das direccións das empresas e a inexistencia dunha base previa mínima de seguridade da información. A implantación de medidas non comeza ata ben avanzado o proxecto, e polo tanto un dos fins principais normalmente perseguidos (a implantación de medidas de seguridade críticas a curto plazo) non se alcanza.
Co obxectivo de conseguir resultados o máis cedo posible pódense seguir as seguintes fases:
- Fase 1.- Identificación de Interlocutores
- Será necesario saber con que persoal se pode falar para obter a información necesaria e obter o acceso aos dispositivos e sistemas da compañía baixo as condicións establecidas, ademáis de planificar a súa dispoñibilidade.
- Fase 2.- Recolección de información
- Se obterá todo tipo de información referente a seguirdade da información mediante entrevistas, revisión de documentación, ... etc. Un posible método pode ser a presentación aos interlocutores dun cuestionario que devolverán cumplimentado. A información máis salientable a cubrir é a seguinte:
- Aspectos Técnicos
- - Topoloxía e arquitectura da rede e servicios existentes.
- - Servicios ofrecidos de xeito interno e ao público, e a través de qué medio (Internet, VPN.. etc)
- - Elementos e dispositivos de seguridade existentes na rede e descripción da súa función (IDS, firewalls, antivirus...)
- - Puntos de interconexión con outras redes, descripción das DMZ, niveis de seguridade...
- - Posibles puntos de fallo coñecidos na rede, dispositivos, servidores. Mecanismos de alta dispoñibilidade existentes e procedementos de emerxencia asociados, responsables... etc.
- - Plan de direccionamento da rede (público e privado) e procedementos asociados ao mesmo.
- - Documentación existente relativa a rede, servizos.. etc.
- - Mecanismos existentes para a xestión da rede e dos servizos.
- Aspectos Organizativos
- - Definición da organización, áreas ou departamentos obxectos do estudio (a qué se dedica,cales son as súas funcións, de qué é responsable, etc).
- - Estructura organizativa da compañía. Relacións con outras áreas, departamentos ou organizacións. Roles existentes, fluxos de información, responsables...etc
- - Enumeración e descripción das políticas, procedementos, instruccións de traballo ou normas existentes na compañía susceptibles de cumplimento (ISO9001, políticas de seguridade, políticas de comunicación, políticas de uso de recursos... etc)
- - Enumeración e explicación de outrs políticas de seguridade ou documentos existentes que poidan ser de aplicación.
- - Enumeración e descripción do cumplimento actual na lexislación das tecnoloxías da información aplicable.
- Aspectos Técnicos
- Fase 3.- Recolección Técnica de Información
- Trátase de obter todo tipo de información mediante diversos métodos técnicos e empíricos nunha mostra representativa dos sistemas e dispositivos da organización. Deberían abordarse os seguintes puntos:
- Enumeración e Caracterización
- Tomando como base a información obtida no punto anterior, identificaranse os sistemas, dispositivos e aplicacións sobre as que se realizará o estudo técnico. A información mínima a recopilar será:
- Caracterización de Sistemas
- - Sistema (nome, equipo, fabricante)
- - Ubicación
- - Responsable
- - Versións software (Sistemas Operativos e aplicacións)
- - Estado de parches e actualizacións
- Caracterización de Aplicacións
- - Aplicación (nome, fabricante, versión)
- - Subsistemas asociados (donde funciona)
- - Interrelación con outras aplicacións
- - Responsable
- - Estado de parches e actualizacións.
- Análise de Tráfico
- O seu obxectivo é caracteriza-lo tipo de tráfico que discurre polas redes da organización, así como detectar posibles puntos de fallo ou de atasco en ditas redes. Deberían identificarse os puntos sensíbeis nos que realizar as medidas, que poderían ser as interconexións entre segmentos, os segmentos de servidores/aplicacións críticas, os segmentos dos usuarios... etc.
- Cada medida debería realizarse por un periodo de tempo significativo que depende do entorno, e tendo en conta as franxas temporais de actividade. As capturas se almacenarán para ser tratadas e examinadas posteriormente.
- Fase 4.- Análise de vulnerabilidades de sistemas e aplicacións
- Preténdese detectar puntos débiles na seguridade dos sistemas e das aplicacións, consistentes en erros de programación ou configuración que podan ser causa de vulnerabilidades explotables por atacantes. Non todos os sistemas teñen a mesma importancia, por esto se deberá realizar unha selección dos sistemas a analizar. Os análises poden clasificarse en:
- Análise remoto
- Analizaranse as vulnerabilidades susceptibles de ser explotadas de xeito remoto. Normalmente están asociadas a portos de aplicación esperando recibir conexións remotas. O primeiro paso será, polo tanto, detectar qué portos son accesibles remotamente, determiñando si esán abertos, pechados ou filtrados. Existen distintas técnicas de escaneo de portos, moitas delas orientadas a evitar a detección e a seguridade do obxectivo. No caso que nos ocupa poden non ser relevantes xa que precisamos do permiso expreso do propietario dos sistemas.
- Será preciso elexir o rango de portos a explorar e comprobar tanto as conexións TCP coma UDP, cada porto evidentemente identificará unha aplicación no sistema. A un posible atacante bastaríalle consultar algunha das vulnerabilidades da aplicación e atopar o exploit correspondente. A labor do equipo de traballo é determiñar cales son esas vulnerabilidades e os parches ou actualizacións axeitadas.
- A exploración de portos deberá realizarse dende os distintos punto críticos da rede como son:
- Internet: Determiñar os portos alcanzables e as aplicacións correspondentes.
- DMZ: Determiñar que servizos da rede internas osn alcanzables dende o DMZ.
- Mesmo segmento de rede: Determiñar os servicios configurados e en funcionamento, para ver cales son necesarios e cales non.
- Dende a rede interna: Determiñar os servicios accesibles.
- A exploración de portos deberá realizarse dende os distintos punto críticos da rede como son:
- Análise local
- O análise local pretende obter un coñecemento preciso do estado de seguridade do sistema. Deberá recopilarse, como mínimo, a seguinte información:
- Nome Sistema
- Responsable
- Tipo de Sistema
- Sistema de Arquivos
- Uso de Memoria
- Estado de parches e actualizacións
- Software e aplicacións instaladas
- Portos a escoita e conexións activas
- Banners de servicios (identificacións proporcionadas polos servizos da máquina)
- Servicios e scripts de arranque
- Procesos en execución
- Usuarios e contrasinais
- Configuración de rede
- Tarefas periódicas (cron, at).
- Dependendo do sistema operativo podería ser necesaria información adicional, como nos sistemas UNIX o estado dos servicios NFS, RPC, TCP wrappers e lista de ficheiros SUID e SGID.
- Fase 5.- Revisión de configuracións
- Durante a recolección técnica revisaranse tamén as configuracións dos elementos clave da rede. Deberán revisarse polo menos os dispositivos de electrónica de rede (routers, switches...), os dispositivos de seguridade (firewalls, IDS/IPS, servidores de autenticación...), as aplicacións (servidores web, ftp, correo ...) e en xeral calqueira dispositivo cunha funcionalidade necesaria dentro da organización que sexa unha posible fonte de vulnerabilidades.
- Fase 6.- Revisión da Visibilidade Externa
- Existe unha gran cantidade de información relativa ás organizacións que é accesible de xeito público dende internet. É importante, polo tanto, que a organización sexa consciente da existencia desa información, polo que deberá prestarse atención aos seguintes puntos:
- Direccionamento público: Mediante os servicios whois é posible coñecer os rangos de IP da organización, direccións postais, correo electrónico, número de teléfono, nomes dos responsables e contactos. A organización deberá asegurarse de que a información é correcta e de que non se suminstra máis información da imprescindible.
- Dominio e DNS: Deberán recopilarse todos os nomes de dominio da organización. Para cada dominio deberán realizarse búsquedas DNS (dig, nslookup, host) prestando especial atención a: Servidores de nomes (NS), Intercambiadores de correo (MX). Os nomes coñecidos corresponderán a servidores expostos a ser atacados e deberán ser asegurados coidadosamente.
- Filtrado de documentación: Unha mala configuración dos servidores Web pode permitir a publicación non dexexada de documentos en internet. Deberán realizarse búsquedas para coñecer si a organización adolece dun destes problemas, e determiñar unha configuración axeitada do robots.txt. Dependendo das características da organización poderá ser necesaria a realización de probas para obter información e datos adicionais.
- Fase 7.- Análisis de Información
- Se procederá ao análise de toda a información recollida nos puntos anteriores, estudiando as posibles carencias de seguridade dos deseños de rede, accesos a información ou procesos organizativos implementados. Para elo se tomarán como base distintas fontes como poden ser os códigos de boas prácticas existentes aplicables aos distintos sistemas e procesos analizados, metodoloxías e estándares (coma ISO27001) de recomendable ou obrigado cumplimento, lexislación e normativas internas aplicables, ademáis de bases de coñecemento existentes sobre os distintos sistemas analizados ademáis da experiencia e coñecemento do equipo de traballo encargado do proxecto.
- Fase 8.- Informe de Estado da Seguridade da Información
- Recollerase nun único documento unha imaxe da situación actual da organización no que a implantación de medidas técnicas e organizativas de seguridade se refire. Este informe persigue dous obxectivos:
- 1- Proporcionar unha visión global e detallada do estado da organización en canto á seguridade.
- 2- Sinalar cales son os aspectos mellorables e a proposta de accións correctivas ordeadas por relevancia.
- Os distintos apartados deste informe serían:
- -Descripción do estado actual: Se describirán os datos recabados na recolección técnica de información e o estado actual das redes e sistemas de comunicación. Un exemplo da estructura sería: Topoloxía, Inventario e caracterización dos sistemas máis importantes, Inventario e caracterización de servicios públicos e privados, Descripción das medidas de seguridade física implantadas, Descripción das medidas de seguridade lóxica implantadas, Listado das políticas e procedementos referentes ao manexo dos sistemas de información.
- -Análise e recomendacións técnicas: Para cada ún dos apartados indicados no punto anterior, se revisarán as implicacións existentes respecto á seguridade e se recomendarán as accións necesarias para paliar os problemas.
- -Conclusións e propostas de acción: Se clasificarán as accións recomendadas según unha gradación basada na criticidade da aplicación e a cantidade de risco asumido pola non implementación de medidas. Se especificará un tempo recomendado para abordar a solución según o grao de risco. Como referencia, unha clasificación sería:
- Crítico: aplicación inmediata.
- Alto: Aplicación en tres meses.
- Medio: Aplicación de tres a seis meses.
- Baixo: Aplicación de seis a doce meses.
- Fase 9.- Medidas de Seguridade e Controis Recomendados
- Adicionalmente propondranse unha serie de medidas e controis de seguridade aplicables segundo a recomendación das guías de boas prácticas existentes como a norma ISO/IEC 17799/27001. Recoméndase a identificación e descripción das distintas medidas de seguridade e controis aplicables da norma seguida.
- Fase 10.- Resumo executivo
- Se recollerá de forma clara, concisa e nunha linguaxe comprensible evitando termos excesivamente técnicos un resumo dos principais resultados e riscos que a organización está a asumir debido ao estado actual de implementación de medidas. Este apartado probablemente sexa o de maior visibilidade e o que pode influír no apoio da xerencia ao cumplimento das medidas necesarias.
- Fase 11.- Presentación do Informe
- Deberá presentarse á dirección da empresa o informe elaborado no punto anterior, de xeito que, ademáis de servir como documentación do estado técnico e organizativo da empresa, proporcione á dirección a información que precisa para decidir sobre a implantación de medidas de seguridade. A presentación deberá estructurarse dun modo axeitado, recomendándose un esquema similar ao seguinte:
- a) Introducción sobre a seguridade da información
- b) Descripción do estudio realizado e motivación do mesmo
- c) Estado actual da organización.
- d) Recomendacións
- e) Exemplos de hallazgos de problemas e vulnerabilidades existentes
- f) Accions urxentes que se preciasan.
- g) Conclusións.
- De aquí debería obterse o apoio e compromiso explícito da dirección no desarrollo do proxecto e na aprobación do informe, que daría comenzo ao desenvolvemento do plan de acción.
Desenvolvemento do Plan de Acción de Seguridade e Protección da Información
Este documento incluirá de forma xeral a planificación completa para a implementación das accións identificadas de xeito que podan establecerse uns logros e datas asociadas para o cumplimento e consecución dos distintos obxectivos. Precisaremos polo menos da seguinte información:
- Desenvolvemento técnico (e organizativo, si corresponde) completo e en detalle da acción a tomar.
- Planificación completa e detallada de cada acción, incluíndo tempos e plan de implantación a curto, medio e longo prazo.
- Identificación dos recursos humanos necesarios indicando si poden ou deben ser internos ouexternos.
- Valoración económica nos casos que sexa posible.
- Ofertas de proveedores nos casos que se requiran terceiros na implementación.
As accións a incluír dependerán das medidas de seguridade que xa estiveran implementadas e do grao de experiencia da compañía no tema, pero algunha das accións típicas poderían ser:
- Mellora da estructura organizativa (creación dun comité de seguridade, establecemento de responsabilidades, etc..)
- Posible externalización de algunhas funcións.
- Desenvolvemento e difusión de políticas de seguridade e procedementos asociados.
- Melloras nas plataformas de sistemas ou no centro de proceso de datos.
- Melloras na seguridade dos dispositivos de comunicacións (WiFi, WAN, LAN, segmentación...)
- Análise de Vulnerabilidades.
- Desenvolvemento do proceso de xestión da continuidade do negocio.
- Análise de riscos.
- Desenvolvemento do plan de continxencia de tecnoloxías de información.
- Plan de formación
O documento deberá presentarse á dirección e realizar unha defensa do mesmo. Unha posible estructura da presentación podería ser:
- a) Introducción sobre a orixe do documento e o proceso de desenvolvemento asociado.
- b) Descripción temporal e xustificada dos plazos curto, medio e longo, os tipos de accións asociados e os motivos de dita clasificación.
- c) Planificación xeral: identificación de todas e cada unha das accións a realizar.
- - Curto Prazo: Descripción detallada de cada acción, incluíndo plazo temporal, recursos precisos, propostas de proveedores, tarefas incluídas e valoración económica.
- - Medio Prazo: Procederase de igual forma que nas medidas a curto plazo.
- - Longo Prazo: Procederase de igual forma que nas medidas a curto plazo.
- d) Proposta de planificación temporal: Daranse datas reais como obxectivo de cumplimento da implantación das medidas do documento.
Implantación.
Unha vez aceptado o documento anterior pola dirección se implantarán as distintas tarefas. Se levará a cabo un plan de proxecto de coordinación da implantación que incluirá:
- Adquisición/Asignación de recursos: Deberá asegurarse a dispoñibilidade dos recursos precisos sinalados no informe nos plazos estimados e se debe contemplar a posibilidade de que algún de eles se asigne a tarefas de realización simultánea.
- Seguimento: O persoal encargado do seguimento deberá coordinar o traballo entre os equipos que realicen as tarefas en sistemas con interfaces comúns para asegurar que non interfiren entre eles.
- Reunións de Revisión: Se programarán reunións de revisión periódicas, así coma reunións coa dirección para informar do estado da implatación das distintas tarefas.