miércoles, 26 de febrero de 2014

ANÁLISIS DE RIESGO


CONCEPTO DE RIESGO

El concepto de riesgo puede definirse como: el efecto causa (expresado en términos monetarios) multiplicado por la frecuencia probable de su ocurrencia. En este sentido, el fuego en si no es un riesgo, es una causa de riesgo. El riesgo es realmente la destrucción (perdida) que el fuego pueda llegar a causar. El control actúa sobre la causa del riesgo para minimizar sus efectos. Cuando se dice que los controles minimizan riesgos, lo que en verdad hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos.

Como ejemplos de causa de riesgo tenemos:

Información errónea
Interrupciones de las operaciones
Decisiones erróneas
Fraude y robo
Sanciones legales
Costos excesivos
Pérdida y/o destrucción de activos
Desventaja ante la competencia

TIPOS DE CAUSAS DE RIESGO
Las causa de riesgo más comunes, para efecto de auditoría informática, se dividen en:

1.       Externas
Las causas de riesgo externas pueden ser de dos clases:
a.       Naturales
Las causa de riesgo naturales son normalmente las siguientes:
·         Inundaciones
·         Temblores
·         Tornados
·         Tormentas eléctricas
·         Huracanes
·         Erupciones volcánicas

b.      Motivadas por el hombre
Las causas de riesgo originadas por el hombre, son entre otras, las siguientes:
·         Incendios
·         Explosiones
·         Accidentes laborales
·         Bombas
·         Destrucción intencional
·         Sabotaje
·         Robo
·         Fraude
·         Contaminación ambiental
2.       Internas
Las causa internas de riesgo, se generan a partir de las mismas empresas. Las estadísticas muestran que las causa internas de riesgo son mas frecuentes que las externas.
Entre las causas internas de riesgo tenemos básicamente:

  • Robo: de materiales,  de dinero y de información.
  • Sabotaje
  • Destrucción: de datos y de recursos.
  • Huelgas
  • Fraudes

OBJETIVO GENERAL DEL ANÁLISIS DE RIESGO

El objetivo general del análisis de riesgo es identificar las causa de los riesgos potenciales, en una determinada área y cuantificarlos para que la gerencia pueda tener información suficiente al respecto y optar por el diseño e implantación de los controles correspondientes a fin de minimizarlos efectos de las causas de los riesgos, en los diferentes puntos de análisis.
En sistemas computarizados, se pueden señalar normalmente las siguientes áreas de riesgo:
·         Instalaciones de proceso de información
·         Información
·         Comunicaciones

OBJETIVOS ESPECÍFICOS DEL ANÁLISIS DE RIESGO

Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para contrarrestar un problema.
Definir cuáles son los recursos existentes.
Llevar a cabo un minucioso análisis de riesgos y debilidades.
Identificar, definir y revisar todos los controles de seguridad ya existentes.
Determinar si es necesario incrementar las medidas de seguridad, los costos de riesgo y los beneficios esperados.

IDENTIFICACIÓN DE ÁREAS DE VULNERABILIDAD

Grado de automatización y/o dependencia tecnológica: numero de aplicaciones e importancia de las mismas.
Forma de proceso: centralizado, descentralizado y distribuido.
Tipo de sistemas: en lote (batch), en línea o en tiempo real.
Forma de organización de archivos: tradicional y bases de datos.

CALCULO DE PÉRDIDAS PROBABLES

Una vez determinada la probabilidad (P) de que ocurra un evento en un periodo dado, por ejemplo un año, se debe cuantificar la pérdida acumulada (C), en el periodo dado, tomando en consideración las perdidas probables que podrían ser ocasionadas por eventos similares. El riesgo expresado en términos de pérdida (R), en cierto periodo, se obtiene de la relación:

R = P * C

Si existen diversos riesgos la perdida probable a nivel global es simplemente la suma de todas las perdidas probables:

Rt = sumatoria desde i = 1 hasta n por Pi * Ci. Donde se realiza todos los riesgos conocidos en que incurre la empresa.

Cuando se evalúa las perdidas Ci, resulta de vital importancia considerar los siguientes valores:


  • Costo de reparación o reemplazo.
  • Tiempo de respuesta.
  • Costo de instalación y servicios.
  • Interrupción de las labores debido a la suspensión en el procesamiento.
  • Personal adicional. Perdida de oportunidades
  • Perdida de beneficios esperados.
  • Detrimento de la imagen de la empresa.

UTILIDAD DEL MÉTODO MATRICIAL PARA EL ANÁLISIS DE RIESGOS

Este método utiliza una matriz para mostrar gráficamente tanto las amenazas a que están expuestos los sistemas computarizados como los objetos que comprenden el sistema.

A continuación se expone el desarrollo del método:


  • 1.       Crear la matriz de amenazas  (causa de riesgo) y de objetos del sistema a analizar.
  • 2.       Identificar los controles necesarios.
  • 3.       Registrar los controles dentro de la matriz.
  • 4.       Categorizar los riesgos
  • 5.       Diseñar los controles definitivos.
  • 6.       Resultados del análisis de riesgo.
  • 7.       Verificar, por parte de sistemas y de auditoría, la incorporación de los controles.
Publicadas por a la/s No hay comentarios.:
Etiquetas:

martes, 25 de febrero de 2014

PLAN DE NEGOCIOS II

FACTIBILIDAD TÉCNICA

Es aquí donde el plan de negocios pasa su prueba de posible sostenibilidad. Se debe enunciar y evidenciar con soportes verificables que se ha planeado de manera participativa, cuidadosa y que también se han contemplado las posibles dificultades que se pueden presentar al poner en marcha el proyecto para mantenerlo en funcionamiento.

FACTIBILIDAD ECONÓMICA

En los proyectos productivos, los excedentes son los que garantizan la sostenibilidad socioeconómica de las organizaciones. Por lo cual se debe demostrar aquí en la factibilidad económica que la inversión que debe realizarse está justificada por la ganancia económica que generara para poder hacer inversiones socioeconómicas, sociales, culturales, ambientales y políticas.

FACTIBILIDAD FINANCIERA

Es el flujo de fondos, que sintetiza numéricamente todos los aspectos desarrollados a lo largo del plan de negocios. Su preparación requiere la elaboración de una lista de todos los ingresos y los egresos de fondos que se espera que produzca el proyecto en cuestión, ordenados de una forma cronológica.

Una premisa para tener en cuenta es que solamente se deben incluir en el flujo de fondos aquellos ingresos y egresos que estén directamente asociados con el proyecto; es decir, aquellos que no existirían si el proyecto no se realizara. Este es una aspecto por considerar en los  casos de proyectos que se implementen en empresas en marcha.

Algunos indicadores financieros que no deben dejar de incluirse en el plan de negocios son los siguientes:
Periodo de recuperación: se refiere al tiempo que se tarda el proyecto en recuperar la inversión y empieza a generar ganancias. Se expresa en meses o años.

Valor actual neto (VAN): es cuantificar el valor de la inversión del proyecto en el momento de iniciar, antes de recibir ingresos. Es el valor de la inversión en el momento cero que refleja las expectativas de retorno depositadas en el proyecto. Indica el monto en pesos que representa la ganancia por la inversión hecha en este negocio y no en otro.

Tasa interna de Retorno (TIR): es la tasa de interés efectiva que da la inversión en el negocio que se quiere emprender.

ANÁLISIS DE SENSIBILIDAD

En todo proyecto se trabaja con algunos factores sobre los que se tiene poder de decisión (variables controlables) y otros sobre los que solo se pueden realizar estimaciones (variables no controlables).
Algunas de las variables controlables al plan son:
  •           Precio
  •           Producto
  •           Logística
  •      Promoción

Las principales variables no controlables en un proyecto son:
  •          Competencia
  •           Consumidores
  •           Entorno económico, político, legal, cultural y ambiental, entre otros.


VIABILIDAD

Hace alusión al impacto en la calidad de vida de la gente, determinando la incidencia del proyecto o empresa en ella; se tiene en cuenta el marco normativo.

DIRECCIÓN Y GERENCIA

Para tomar una decisión acerca de un proyecto, no solamente hay que tener en cuenta los factores técnico, económicos y de mercado, sino también quiénes son sus cabezas. Un excelente puede fracasar si está en manos de personas inadecuadas.

Aquí conviene nombrar a las personas clave en la organización, directivos y asesores, destacar su currículo y sus aportes a la misma, para lo cual se anexaran sus hojas de vida.

CONCLUSIONES

A diferencia del resumen ejecutivo, que es la síntesis de los temas abordados en el plan de negocios, las conclusiones contienen un valor subjetivo, porque la comisión empresarial y el grupo responsable del proyecto deben realizar una interpretación de los hechos. Este es el lugar apropiado para convencer al destinatario del plan de negocios de realizar aquello que se espera de él (comprar, aprobar, invertir, patrocinar, etc).


Utilizando los datos más significativos de la propuesta (por ejemplo la clientela, el talento humano, el crecimiento sostenido o el mercado potencial), las conclusiones no deben extenderse y deben motivar a la acción.
Publicadas por a la/s No hay comentarios.:
Etiquetas:

PLAN DE NEGOCIOS I

¿QUÉ ES EL PLAN DE NEGOCIOS?

El plan de negocios es una herramienta de trabajo expresada en un documento que permite ordenar de manera lógica todos los aspectos de interés de un proyecto, su proceso de construcción muestra alternativas y rutas para su puesta en marcha y para la toma de decisiones de los directivos de la organización. Este documento habla por si mismo de la factibilidad técnica y financiera t la viabilidad social, económica, cultural, ambiental y política del proyecto en el marco de las diferentes normas internas y externas de la empresa.

El plan de negocio es algo así como la hoja de vida de un proyecto y en muchos casos es una exigencia de los bancos e inversionistas. La apropiación de un proyecto no depende solo de una buena idea, sino también de que se pueda demostrar su factibilidad y presentarla de forma que se venda por sí misma.

Según sea el tamaño del proyecto y su duración así tendrá el tratamiento en la organización, ya sea un proyecto productivo o una iniciativa social.

Ninguna organización que permita proyectos socioproductivos sostenibles puede ignorar que hay que competir en los mercados, por lo cual debe estar atenta a proyectarse y verse en ellos en todos los aspectos de interés de la empresa y preguntarse si esas condiciones le permitirán sobrevivir dignamente para ser sostenible económicamente y socialmente competente.

Las ideas de proyectos productivos en la imaginación pueden ser posibles, pero si no tiene claro como transformarlas en la realidad, pueden no encontrar apoyo, desfallecer ante las dificultades técnicas, económicas, de viabilidad social, cultural, ambiental, políticas o quedar olvidadas en el tiempo.

VENTAJAS DE TENER UN PLAN DE NEGOCIOS

- Se puede presentar a potenciales inversionistas, socios o compradores un documento estructurado que muestra la factibilidad técnico-financiera y la viabilidad social, cultural, ambiental y política del proyecto.

-   Mediante este documento se puede mostrar la estructura operativa del proyecto.

- En él se encuentran plasmadas las estrategias más importantes que sustentan la sostenibilidad de proyecto.

-  Permite ahorrar esfuerzos, tiempos y recursos, dado que se han estudiado varias estrategias y se han elegido lamas efectivas.

- Muestra también las estrategias de seguimiento, evaluación y retroalimentación que le permiten ser sostenibles económicamente y socialmente competente.

- Permite a los emprendedores sustentar el proyecto socioproductivo ante la organización y ante los posibles cofinanciadores.

- Se convierte en una guía para la puesta en marcha del proyecto socioeconómico de la organización.

Al elaborar el plan de negocios, se debe tener claro que es lo que se persigue con este proyecto, si es de interés sociotecnico para los posibles cofinanciadores, y toda la información allí contenida debe estar muy bien sustentada para generar confianza.

ESTRUCTURA DEL PLAN DE NEGOCIOS


I. PRESENTACIÓN

Debe ser una descripción corta de las actividades económicas, sociales, culturales, ambientales y políticas que realizara. También debe demostrar cuál es el mercado objetivo que tendrá la actividad económica que lo sustenta, ya que todo proyecto empieza y termina en el mercado externo e interno de la organización.

También debe contener los datos más importantes que sustentan la investigación de mercados y los potenciales clientes externos e internos que atenderá el proyecto y si ya están cautivos o no. Los objetivos describen la razón de ser de ese plan de negocios, la intención de la organización y el beneficio de la comunidad sujeto de la acción, que justifica la elaboración de un plan de negocios: los objetivos deben ser cortos, claros, alcanzables y medibles.

La presentación contempla:
  •          Titulo
  •          Resumen ejecutivo
  •          Introducción
  •          Objetivos del plan de negocios


 II. INVESTIGACION

Se refiere a la identificación, análisis y proyección de información de documentos, entrevistas y encuestas respecto al mercado y la organización, para sustentar técnica y financieramente la producción del bien o servicio. La investigación propone las siguientes acciones:

1.       Análisis e investigación de mercado:
-          Estudio del cliente
-          Estudio de la competencia
-          Estrategias institucionales
-          Factores críticos de éxito
-          Plan de mercadeo
-          Talento humano
-          Definición de estrategias de producción


2.       Análisis estratégico DOFA
A manera de síntesis respecto a cada uno de los ítem del plan de negocios se identifican las debilidades y fortalezas internas y las oportunidades y amenazas externas.


III. FACTIBILIDAD

Es aquí en donde el plan de negocios pasa su prueba de posible sostenibilidad. Se debe enunciar y evidenciar con soportes verificables que se ha planeado de manera participativa y cuidadosa, que también se han contemplado posibles dificultades en lo económico, financiero, además de la sensibilidad del mercado y lo que puede surgir al poner en marcha el proyecto y mantenerlo en funcionamiento.

La enumeración de los principales aspectos que se deben resolver y una propuesta de solución para cada uno de ellos ayuda a demostrar la factibilidad del proyecto. Se trabaja sobre los siguientes aspectos:

1.       Recursos e inversiones
2.       Factibilidad técnica
3.       Factibilidad económica
4.       Factibilidad financiera
5.       Análisis de sensibilidad

IV. VIABILIDAD

Hace referencia a los aspectos socioeconómicos, sociales, culturales, ambientales y políticos que le generaran valor agregado el plan de negocios, demostrando su impacto en el mejoramiento de la calidad de vida de la comunidad sujeto de acción. Es oportuno abordar los siguientes aspectos:

1.       Socioeconómico
2.       Social
3.       Cultural
4.       Ambiental
5.       Político

V.  ESTRUCTURA OPERATIVA

Dinámica organizacional dada para el diseño, organización, ejecución, seguimiento y evaluación del proyecto. Se sugiere desarrollar los siguientes aspectos:

1.       Dirección y gerencia
2.       Estrategias de producción del bien o servicio
3.       Estrategias de seguimiento y evaluación
4.       Conclusiones



Nota: se debe presentar máximo en 35 hojas, con el menor número posible de anexos y con una buena presencia, para que sea atractivo.

ANEXOS

Los anexos se ubican después de las conclusiones e incluyen datos de soporte. En lo posible, conviene evitarlos, a menos que sean indispensables. Todo lo que pueda ser incluido en el cuerpo principal debe figurar ahí. Sin embargo, a veces resultan oportunos para agregar información a quien desee profundizar lo expuesto en el cuerpo principal.

ANEXAR (CUANDO SEA NECESARIO)

-          Informes de auditorias
-          Contratos que demuestran experiencia
-          Hojas de vida con soportes cuando se requieren
-          Folletos o catálogos de muestras

NO ANEXAR

-          Resultados de investigación de mercado
-          Índices económico-financieros (incluir en el capitulo respectivo)
-          Fotografías de productos o instalaciones (incluir en el capítulo de producción o mercadeo) 
-         Organigramas (incluir en el capítulo de talento humano)
Publicadas por a la/s No hay comentarios.:
Etiquetas:

lunes, 24 de febrero de 2014

COMO ESCRIBIR UN ENSAYO

1. Definir el tema
- Elegir un tema conocido
- Delimitar el tema

2. Elaborar una pregunta o tesis
- Plantear un problema
- Identificar que tipo de respuesta se espera
- Identificar quien leerá el ensayo

3. Organizar los párrafos
- Para cada párrafo, suministre una idea principal del tema que directamente se relacione con la afirmación de la tesis

4. Desarrollar ideas principales de cada párrafo
- Idea principal párrafo 1
- Idea principal párrafo 2
- Idea principal párrafo 3
- Idea principal párrafo 4

5. Escribir los párrafos
- Desarrollar las ideas principales, completar con ideas segundarías

6. Escribir la introducción
- Presentar el tema
- Captar el interés del lector
- Afirmar la tesis
- Indicar las divisiones en los párrafos

7. Escribir conclusiones
- Resaltar la importancia de los hechos que validaron la tesis
- Dar una respuesta a la pregunta planteada

8. Titulo del ensayo
- Reflejar el contenido del ensayo a manera de captar la atención del lector
Publicadas por a la/s No hay comentarios.:
Etiquetas:

jueves, 20 de febrero de 2014

PROYECTO AMBIENTAL


Publicadas por a la/s No hay comentarios.:
Etiquetas:

QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?


La información es un recurso que, como el resto de los importantes activos comerciales,  tiene valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades.

La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios digitales, presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada.

La seguridad de la información se define aquí como la preservación de las siguientes características:

a) confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.

b) integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

c) disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.

La seguridad de la información se logra implementando un conjunto adecuado de controles, que abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software.

Se deben establecer estos controles para garantizar que se logren los objetivos específicos de seguridad de la organización.


Publicadas por a la/s No hay comentarios.:
Etiquetas:

MEJORES PRÁCTICAS Y ESTÁNDARES PARA LA IMPLEMENTACIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES (TIC) EN EL ESTADO COLOMBIANO

REPUBLICA DE COLOMBIA
AGENDA DE CONECTIVIDAD
Camino a la sociedad del conocimiento

Cuadernos de la Agenda

MEJORES PRÁCTICAS Y ESTÁNDARES PARA LA IMPLEMENTACIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES (TIC) EN EL ESTADO COLOMBIANO



C-AdC N°: 03
Políticas de Seguridad Informática


Versión N°: 01
Último revisor: Agenda de Conectividad – Subdirección Técnica
Fecha de última revisión: 15/03/2004


Gobierno en Línea – Políticas de Seguridad Informática

Para optimizar la seguridad de un sistema de información se deben realizar los siguientes procesos:

1. Análisis de riesgos

El análisis de riesgos, como su nombre lo indica, consiste en analizar el sistema de información y su entorno para detectar todos los riesgos que amenazan su estabilidad y su seguridad.

2. Análisis de requerimientos y establecimiento de políticas de seguridad informática

El análisis de requerimientos de seguridad informática consiste en estudiar la organización, su sistema de información (y todos sus componentes) y los riesgos que lo amenazan, y definir el nivel de seguridad informática necesario para el adecuado funcionamiento de la organización. A partir de dicho análisis, se define una serie de requerimientos que se deben satisfacer para alcanzar el nivel de seguridad deseado. El proceso de análisis también debe usarse para modelar el documento de políticas de seguridad informática, que debe reflejar el estado óptimo de seguridad informática que desea obtener la organización, y las políticas que se deben seguir para obtenerlo.

3. Aseguramiento de Componentes de Datos

La seguridad de datos busca garantizar que la información del sistema de información esté siempre disponible (disponibilidad), que se mantenga íntegra (integridad), y que solamente pueda ser accesada por personas autorizadas (confidencialidad).

4. Aseguramiento de Componentes de Software

La seguridad de software busca optimizar los sistemas operativos y las aplicaciones que trabajan en el sistema de información, de manera que sean configurados de manera segura y solo permitan su utilización dentro de parámetros de funcionamiento predefinidos y aceptados (aseguramiento), que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel de calidad aceptable (calidad del servicio), que no permitan su utilización por personas no autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso (accountability).

5. Aseguramiento de Componentes de Hardware

La seguridad de software busca optimizar los componentes de hardware del sistema de información (equipos de cómputo, periféricos, medios de almacenamiento removibles, etc.), de manera que sean configurados de manera segura y solo permitan su utilización dentro de parámetros de funcionamiento predefinidos y aceptados (aseguramiento), que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel de calidad aceptable (calidad del servicio), que no permitan su utilización por personas no autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso (accountability).

6. Aseguramiento de Componente Humano

La seguridad humana busca optimizar el componente humano del sistema de información (usuarios, administradores, auditores, etc.) para que su interacción entre ellos y con terceros sea segura, no filtre información que pueda permitir la vulneración del sistema de información, y permita detectar ataques de ingeniería social en su contra.

7. Aseguramiento de Componentes de Interconectividad

La seguridad del componente de interconectividad busca optimizar el componente de comunicaciones del sistema de información (cableado, dispositivos de interconexión –hubs, switches, routers, etc.-, antenas, etc.), de manera que los canales funcionen de manera continua y estable (disponibilidad)  se pueda establecer la identidad de los participantes (autenticación), los datos transmitidos puedan ser accesados únicamente por personas autorizadas (confidencialidad), los datos no puedan ser modificados durante su transmisión (integridad) y se pueda establecer el origen de toda comunicación (no repudio).

8. Aseguramiento de Infraestructura Física

La seguridad de la infraestructura física busca optimizar el entorno físico (las instalaciones) en las cuales opera el sistema de información, de manera que estas provean niveles de seguridad industrial adecuados para proteger los componentes del sistema de información que contiene.

9. Administración de la seguridad informática

La administración de la seguridad informática consiste en una serie de procesos que tienen como propósito mantener un nivel adecuado de seguridad informática en el sistema de información a lo largo del tiempo. Los procesos no se limitan al mantenimiento y la optimización de la seguridad informática en el presente, sino que incluyen también procesos de planeación estratégica de seguridad informática, que garanticen que el nivel de seguridad se mantendrá en el futuro, y que le permitan al sistema de seguridad informática anticiparse a los requerimientos de seguridad impuestos por el entorno, o por la organización a la cual el sistema de información sirve.

10. Estándares

La siguiente tabla muestra los estándares a ser adoptados:

Componente            Estándar (*)
Análisis de riesgos ISO/IEC 17799, NIST SP 800-30, NIST SP 800-6
Análisis de requerimientos y establecimiento de políticas de seguridad informática ISO/IEC 17799, CSC-STD-001-83, ISO 15408, NIST SP 800-55, NIST SP 800-42, NIST SP 800-26, NIST SP 800-18, NIST SP 800-16
Aseguramiento de Componentes de Datos     ISO/IEC 17799, IEEE P1363, NIST SP 800-36, NIST SP 800-21, NIST SP 800-14, NIST SP 800-12
Aseguramiento de Componentes de Software            ISO/IEC 17799, NIST FIPS 73, NIST SP 800-44, NIST SP 800-41, NIST SP 800-36, NIST SP 800-14, NIST SP 800-5
Aseguramiento de Componentes de Hardware          ISO/IEC 17799, NSA/CSS Manual 130-2, NACSIM 5000, NIST SP 800-36, NIST SP 800-14
Aseguramiento de Componente Humano       ISO/IEC 17799, NSA Security Guidelines Handbook, NIST SP 800-50, NIST SP 800-36, NIST SP 800-16, NIST SP 800-14, NSTISSI 4011, NSTISSD 500, NSTISSI 4013, NSTISSI 4014, NSTISSI 4015, CSC-STD-002-85
Aseguramiento de Componentes de Interconectividad         ISO/IEC 17799, IEEE P1363, NIST SP 800-45, NIST SP 800-47, NIST SP 800-41, NIST SP 800-36, NIST SP 800-25, NIST SP 800-21, NIST SP 800-14, NIST SP 800-13
Aseguramiento de Infraestructura Física          ISO/IEC 17799, DoD 5220.22-M, NSA Security Guidelines Handbook, NSTISSI  7000, NIST SP 800-36, NIST SP 800-14, NIST SP 800-12
Administración de la seguridad informática     ISO/IEC 17799, ISO/IEC DTR 13335, ISO/IEC DIS 14980, NIST SP 800-64,
NIST SP 800-61, NIST SP 800-50, NIST SP 800-55, NIST SP 800-42, NIST SP 800-40, NIST SP 800-36, NIST SP 800-35, NIST SP 800-34, NIST SP 800-18, NIST SP 800-16, NIST SP 800-6, NIST SP 800-5

(*) Los estándares mencionados se especifican brevemente a continuación:

CSC-STD-001-83 DoD Trusted Computer System Evaluation Criteria, 1983
CSC-STD-002-85 DoD Password Management Guidelines, 1985
DoD 5220.22-M  National Industrial Security Program Operating Manual, 1995
ISO/IEC 17799 Information Technology, Code of Practice for Information Security Management, February 2001
ISO/IEC DTR 13335-1 Information technology -- Guidelines for the management of IT security
ISO/IEC 15408 Common Criteria for Information Technology Security Evaluation, August 1999
ISO/IEC DIS 14980 Information technology -- Code of practice for information security management
NSA Security Guidelines Handbook 
NSA/CSS Manual 130-2 Media Declassification and Destruction Manual
NACSIM 5000 TEMPEST Fundamentals
NSTISSI 7000 Tempest Countermeasures for Facilities, September 1993.
NSTISSI 4011 National Training Standard for Information Systems Professionals, June 1994.
NSTISSD 500          Information Systems Security Education, Training and Awareness, February 1993
NSTISSI 4013 National Training Standard for System Administration in Information Systems Security, August
1997
NSTISSI 4014 National Training Standard for Information Systems Security Officers (ISSO), August 1997
NSTISSI 4015  National Training Standard for Systems Certifiers, December 2000
IEEE P1363 Standard Specifications For Public-Key Cryptography, 2003
NIST FIPS 73           Guidelines for Security of Computer Applications, 1980
NIST SP 800-64 Security Considerations in the Information System Development Life Cycle, October 2003 
NIST SP 800-61 Computer Security Incident Handling Guide
NIST SP 800-50 Building an Information Technology Security Awareness and Training Program, October 2003 
NIST SP 800-55 Security Metrics Guide for Information Technology Systems, July 2003 
NIST SP 800-47 Security Guide for Interconnecting Information Technology Systems, September 2002 
NIST SP 800-45 Guidelines on Electronic Mail Security, September 2002 
NIST SP 800-44 Guidelines on Securing Public Web Servers, September 2002 
NIST SP 800-42 Guideline on Network Security Testing, October 2003 
NIST SP 800-41 Guidelines on Firewalls and Firewall Policy, January 2002 
NIST SP 800-40 Procedures for Handling Security Patches, September 2002 
NIST SP 800-36 Guide to Selecting Information Security Products, October 2003
NIST SP 800-35 Guide to Information Technology Security Services, October 2003
NIST SP 800-34 Contingency Planning Guide for Information Technology Systems, June 2002 
NIST SP 800-30 Risk Management Guide for Information Technology Systems, January 2002 
NIST SP 800-26 Security Self-Assessment Guide for Information Technology Systems, November 2001
NIST SP 800-25 Federal Agency Use of Public Key Technology for Digital Signatures and Authentication, October 2000 
NIST SP 800-21 Guideline for Implementing Cryptography in the Federal Government, November 1999 
NIST SP 800-18 Guide for Developing Security Plans for Information Technology Systems, December 1998 
NIST SP 800-16 Information Technology Security Training Requirements: A Role- and Performance-Based Model, April 1998 
NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems,
September 1996
NIST SP 800-13 Telecommunications Security Guidelines for Telecommunications Management Network, October 1995 
NIST SP 800-12 An Introduction to Computer Security: The NIST Handbook, October 1995 
NIST SP 800-6 Automated Tools for Testing Computer System Vulnerability, December 1992 

NIST SP 800-5 A Guide to the Selection of Anti-Virus Tools and Techniques, December 1992  
Publicadas por a la/s No hay comentarios.:
Etiquetas:

ESTRATEGIA PARA LA IMPLEMENTACIÓN DE SEGURIDAD EN REDES

Por Beatriz Acosta Manzur
Revista Sistemas No. 85. Asociación Colombiana de Ingeniero de Sistemas (ACIS). Bogotá, Colombia; 2003.

Probablemente los dos cambios más importantes que afectan la seguridad de las redes son su naturaleza expansiva y cambiante y las últimas técnicas de reingeniería de negocios.
 Aunque los administradores de sistemas no logran manejar completamente la seguridad de sus sistemas, las necesidades de los negocios hacen necesario que conecten sus sistemas internos a redes abiertas como Internet por fuera de su área de influencia. Las organizaciones deben protegerse de la creciente competencia, pues de acuerdo con los expertos en sistemas de información no es poco común que las corporaciones hagan intentos activos para acceder a los sistemas de información de sus competidores como parte de su proceso normal competitivo.

¿Cómo proteger la información manteniendo las condiciones aceptables de calidad de servicio para los usuarios? Lo que se necesita es una manera de balancear   la   conveniencia   para   el usuario y la protección adecuada en la organización particular. Al hablar en términos de seguridad, no existe una solución única para este tipo de sistemas. No basta con ver una solución o un ejemplo de otra organización sino que es necesario hacer un análisis y un diseño, para el sistema en estudio, lo cual se puede lograr a través del análisis y el manejo de riesgos que permiten definir la seguridad en términos de su propio ambiente. El objetivo de esta tarea es medir las amenazas, vulnerabilidades e impactos sobre los recursos de un sistema computacional bien definido y aplicar medidas de protección apropiadas para proteger los recursos de la organización y para los usuarios quienes deben utilizar dichos recursos. En este caso, el término "apropiado" cobija nivel de costo, tiempo de implementación,   esfuerzo   requerido, nivel de protección y facilidad de uso, entre otros. Este manejo de riesgos debe ser cualitativo para ajustarse a la cultura del usuario, a las necesidades de la organización, etc., y cuantitativo para garantizar que las medidas de protección no sean más caras que el valor que el activo mismo tiene para la organización.
Las herramientas para proteger la información apenas comienzan a evolucionar y los especialistas en seguridad en general concuerdan en decir que las técnicas para robar y/o dañar información pueden estar evolucionando más rápido que los mecanismos y, en especial, la conciencia requerida para protegerla. Esta falta de conciencia refleja fallas en los sistemas. El ciclo de vida de éstos generalmente empieza como fruto de una necesidad corporativa y como tal incluye las características de servicio requeridas pero se ignoran las medidas de seguridad necesarias en el momento y hacia el futuro. De esta manera los administradores de los sistemas se ven obligados a implantar sólo aquellas que se van evidenciando como necesarias.

A lo largo del tiempo han evolucionado dos estrategias para el análisis de riesgos: la primera se inclina en la seguridad de la infraestructura de red mientras que la segunda se construye a partir de la seguridad de las aplicaciones que apoyan los procesos de la organización. A continuación se explican ambas estrategias:


Seguridad basada en red
Se centra en la seguridad de la red misma como un medio confiable y seguro para las aplicaciones. Los datos se transmiten de forma segura, provienen de usuarios autorizados de la red y son enviados al destino apropiado. Si la red es segura, las aplicaciones que en ella corren no requieren de mecanismos especiales ya que su entorno de ejecución es seguro. Simplemente se supone que todas las funciones de seguridad son realizadas por la red. Esta filosofía es similar al OSI. Las aplicaciones que corren sobre esta arquitectura de red no se preocupan   de   la   secuencia   de  los paquetes,  la validación de direcciones IP, etc. Las aplicaciones suponen que capas inferiores han cumplido con responsabilidades,   por  lo   tanto concentran en el contenido de datos. Adicionalmente, en una red segura, las aplicaciones pueden suponer que la seguridad es manejada por las capas inferiores. La ventaja más sobresaliente de esta estrategia es que no se requiere   que   las   aplicaciones   sean seguras. Las aplicaciones que no tienen mecanismos de seguridad para su ejecución pueden confiar en el ambiente red seguro  sin requerir modificaciones. Otro elemento a resaltar es la estandarización. A través   de   este esquema no existe la posibilidad que diferentes aplicaciones   utilicen   sus propios   esquemas   de   autenticación, manejo de llaves, etc.

Seguridad basada en las aplicaciones
Los defensores de esta estrategia consideran que las aplicaciones conocen mejor sus requerimientos de seguridad por lo cual, los controles que se implementen deben ser responsabilidad de éstas. Consideran además que construir aplicaciones que se responsabilicen de su propia seguridad no es una desventaja, sino una consecuencia natural y razonable de la necesidad de aplicar seguridad a este nivel. De esta manera argumentan que la seguridad basada en red no es suficiente para la amplia gama de requerimientos de seguridad que puede necesitar cada aplicación.

Metodología
A continuación se muestra una manera de identificar las áreas de la organización que requieren protección durante todo el ciclo de vida de sus sistemas (red o aplicaciones). El planeamiento de la seguridad incluye el cálculo de riesgos y amenazas, el manejo de estos riesgos, y el establecimiento de una política de seguridad para la red. Una vez que los requerimientos de seguridad de red están claramente definidos es mucho más sencillo implementar mecanismos y/o procedimientos que satisfagan eficientemente estos requerimientos. El planeamiento de la seguridad puede dividirse en cinco etapas como se muestra en la Figura 1.



En  la primera  etapa preparación  se definen el alcance y los límites de la seguridad, inventario y evaluación de los recursos y de la sensibilidad de la información residente y que trafica por la red. Otro de los elementos a considerar en la seguridad es la definición de responsabilidades, usuarios, administradores, entorno, etc. Seguidamente la fase de análisis determina los recursos claves de la organización que apoyan los procesos de la misma y se les asigna un valor. Estos recursos claves dependen de la estrategia a utilizar mencionada previamente. Por cada recurso identificado se determinan las amenazas, el impacto y la probabilidad de la ocurrencia de la amenaza. Considerando el nivel de exposición a las amenazas de los recursos, se analizan las vulnerabilidades y la efectividad de las protecciones presentes para determinar el riesgo asociado. En el diseño se prepara las políticas y se establecen las medidas, estándares, especificación de tecnologías, procedimientos de seguridad para identificar los pasos que se deben seguir para minimizar los riesgos a niveles aceptables.

En la implementación se seleccionan, instalan, prueban y configuran todo elementos necesarios para que las políticas, medidas y procedimientos entren en funcionamiento. Además se realiza una certificación o especificación exhaustiva de las características de seguridad del sistema de manera que se defina hasta qué punto se satisfacen las necesidades de seguridad. Por último, en la fase de operación y mantenimiento se hace uso del sistema verificando que su integridad se conserve y se establecen esquemas para su auditoria. En la medida que se requieran cambios significativos, debe repetirse el proceso, inclusive, si es necesario, desde la fase de preparación.

1. PREPARACIÓN
La preparación se divide en dos fases: La definición del alcance y los límites de seguridad y la identificación de los recursos.

1.1 Definición del alcance y los límites de seguridad.
Para poder definir los alcances y límites de la seguridad, es necesario comenzar por realizar un proceso que conduzca a establecer la identidad de la red. A continuación se establece la información a identificar en esta etapa inicial. Esta información está basada en un modelo desarrollado por Espejo y Bowling (1993) para este propósito conocido como Modelo TASCOI [3] ; este modelo busca responder las siguientes preguntas :

*¿Cuáles son los procesos básicos que realiza la organización (su misión) y la forma en que los hace.
*¿Quiénes son las personas involucradas directamente con las tareas básicas identificadas en el punto anterior, ignorando tareas secundarias o de soporte?
*¿Quiénes proveen las materias primas y las herramientas necesarias para llevar a cabo las tareas identificadas?
*¿Quiénes son los clientes de la organización y cómo los procesos apoyan a las relaciones business-client?
*¿Quiénes son los propietarios (personas, entidades, dependencias u otras organizaciones) a las cuales se debe la existencia y la misión del sistema anal-izado?
* ¿Quiénes se pueden identificar como competidores, o gente que se ve afectada por la obtención de los servicios o productos de la organización?

Una vez contestadas estas preguntas se tienen los elementos necesarios para determinar cuánto de la red y a qué nivel de detalle deben ser definidos los requerimientos   de   seguridad.   Estos limites deben incluir la red como un todo o partes de la red como los componentes de hardware, software (aplicaciones), la información más significativa que se procesa en la red, su flujo sobre la red y el personal involucrado en su mantenimiento. El producto de este proceso debe incluir además una configuración detallada de la red así como sus usos.

1.2 Identificación y valoración de los recursos.
La valoración de recursos identifica y asigna una escala de valores a los recursos  a proteger. Todas las partes de una red deben tener un valor ya que existen  ciertos   recursos   mucho   más valiosos que otros. Este paso ofrece el primer indicativo de las áreas donde se debe enfocar el análisis de seguridad. Los recursos a evaluar dependen de la estrategia de análisis de riesgos por la se opte: seguridad basada en red o seguridad basada en aplicaciones. En cualquier caso los recursos que se identifiquen seguirán el mismo proceso de análisis de riesgo que se muestra en la sección 2.
El valor de un bien puede ser representado en términos de la pérdida potencial de ese bien. Esta pérdida puede basarse en el valor de reemplazo, el impacto inmediato de la pérdida, o las consecuencias para la organización. Esta etapa de identificación de los recursos debe apoyarse en la etapa de preparación y debe concentrarse en las actividades identificadas que apoyan la misión de la organización y las personas involucradas en estos procesos, pues conocer las tareas básicas o primarias para las cuales está diseñada la red (las cuales justifican su existencia), y conocer (e interrogar) las personas directamente involucradas en su operación, permiten descubrir de manera fácil y directa cuáles son los recursos que se manejan, evitando caer en la inclusión de recursos ajenos o de soporte que no corresponden directamente a la red o aplicaciones a evaluar.

2. ANÁLISIS DE RIESGOS Y AMENAZAS
La etapa de análisis sigue varias sub-etapas que conllevan a la determinación de los riesgos asociados a los recursos identificados en la sección 1. A continuación se explica cada una de estas sub-etapas.

2.1 Identificación de amenazas.
Cualquier cosa que pueda causar un efecto dañino o no deseado sobre algún recurso debe ser identificado como "amenaza". Una amenaza puede ser humana o ambiental, accidental o intencional, natural o fabricada, y puede causar daños de distintas formas. Las amenazas existen por la naturaleza misma de la red y el ambiente en el cual opera, y no por alguna debilidad específica. Una amenaza es cualquier acción o herramienta que exponga o se aproveche de una vulnerabilidad para comprometer la seguridad del sistema [5]. Las amenazas siempre entran dentro de una de las siguientes categorías: natural (terremotos, rayos, etc.), accidental (borrado accidental de archivos) o deliberada (virus, worms, hackers, etc.). El proceso de identificación de amenazas no debe considerarse como un proceso estático, sino como una tarea periódica para informar cualquier cambio que tenga que ver con las amenazas actuales o nuevas [4].

2.2 Estimación del impacto potencial.
El impacto potencial inmediato sobre un recurso resulta de la probabilidad de ocurrencia de la amenaza, incluyendo el posible nivel de impacto sobre la red y/o sobre la organización si se materializa. La ocurrencia de una amenaza puede implicar más de un impacto sobre un recurso. El nivel de impacto (nivel de perjuicio) debe ser estimado para cada posible amenaza. Estos datos son importantes para catalogar el nivel de exposición de los recursos frente a las amenazas.

2.3 Probabilidad de ocurrencia de amenazas.
Después que las amenazas y los impactos han sido identificados, la medida de probabilidad debe ser asociada con cada escenario de recurso / amenaza / impacto. Por ejemplo, para un recurso individual, se debe responder cuál es la probabilidad que una amenaza  en   particular  ocurra,   y   el impacto que generaría. Se deben asignar medidas de probabilidad, lo cual puede ser un proceso subjetivo. Un método para obtener consenso en el establecimiento de probabilidades es basarse en la información histórica. Sin embargo, otros atributos que deben considerarse son la motivación (colecta de información, reto que representa), oportunidad (acceso físico o lógico), etc. que además pueden mezclarse (en empleado descontento con privilegios de acceso dentro de la organización).

2.4 Nivel de exposición.
Después de estimar el nivel de impacto y la probabilidad de ocurrencia se debe definir el nivel de exposición de cada recurso ante las amenazas. El nivel de exposición no debe considerar vulnerabilidades de la red o protecciones ya que no es un nivel de riesgo. En su lugar, esta medida le permite determinar a la organización a cuáles escenarios se encuentra más expuesta.

2.5 Identificación de vulnerabilidades.
Una vez que se determina el nivel de exposición, se debe identificar la vulnerabilidad para cada amenaza y cómo puede afectar esto a la red. Una vulnerabilidad puede definirse como una característica o debilidad de la red o en alguno de sus componentes que tiende a facilitar la ocurrencia de una amenaza. Todos los bienes son vulnerables de diferentes maneras, dependiendo del tipo de amenaza y por ello estas vulnerabilidades deben ser identificadas y analizadas por separado para cada grupo de recurso/amenaza/nivel de exposición. El resultado de este proceso es un resumen de los elementos recursos, amenazas y vulnerabilidades.

2.6 Análisis de protecciones presentes.
Las protecciones (controles) de seguridad que existen en la red deben ser analizadas para determinar si proveen una adecuada protección contra las amenazas específicas. Las protecciones presentes deben ser identificadas para cada escenario recurso/amenaza. Un servicio, mecanismo o procedimiento ruede considerarse de protección si consiste de medidas que prevengan o reduzcan la probabilidad de ocurrencia de una amenaza que explota alguna vulnerabilidad [4]. Una vez que se ha identificado tanto las vulnerabilidades como las protecciones de un recurso, la efectividad de las protecciones presentes debe ser medidas para estimar el riesgo asociado por cada escenario recurso/amenaza/nivel de exposición-/vulnerabilidad/medida de protección.

2.7 Medición de Riesgos
Con una lista de amenazas potenciales, el nivel de exposición y los riesgos relacionados para cada recurso, se puede determinar un indicativo de la situación de seguridad actual de la red. El riesgo puede ser definido como el escenario activo/amenaza/nivel de exposición/nivel de vulnerabilidad/efectividad de protección, el cual final-mente determina las necesidades concretas de seguridad. El nivel de riesgo pretende establecer la probabilidad y consecuencia de una amenaza o acto que puede comprometer algún recurso de la red, considerando las vulnerabilidades y las protecciones efectivas presentes. El producto de este proceso debe indicar a la organización el nivel de riesgo asociado a los recursos identificados. Estos datos son importantes ya que pueden servir de base para un proceso de selección de mecanismos de protección y de decisión de mitigación de riesgos [4].

El proceso de mitigación de riesgos identifica metas y estrategias y estima los recursos necesarios para evaluar estas estrategias. En la Tabla 1, se muestra los pasos y actividades que se deben seguir si se ha seleccionado la estrategia de reducir un riesgo determinado.
Tabla 1. Actividades relacionadas con la mitigación de riesgos



3. POLÍTICAS DE SEGURIDAD DE RED
Una política de seguridad debe ser definida una vez sean identificados y comprendidos los riesgos sobre la red y se especifiquen los requerimientos de seguridad. Una política de seguridad de red es un conjunto de normas y requerimientos de protección, manejo de la información, responsabilidades, etc. Estas políticas se utilizan para describir la protección del sistema y sus perímetros físicos y lógicos. El propósito de esta sección es resaltar los aspectos que se deben considerar en el desarrollo de una política de seguridad de red.
Como mínimo la política de seguridad de red debe incluir:

Objetivos. Los objetivos y metas de la red y que es lo que constituye el ambiente de la red, cuales son sus partes, etc.
Activos. Activos de valor de la red, amenazas a estos activos como se definió en la etapa de preparación.
Requerimientos para los procedimientos de seguridad. Procedimientos que deben ser implementados sobre la red para reducir los riesgos identificados a niveles aceptables.
Roles y responsabilidades. Responsabilidades técnicas y administrativas de las personas involucrados en la protección de la red y/o de la información que se encuentra almacenada o en transito. Entre estas personas se encuentran: el administrador de la red, el administrador del sistema, el auditor, los usuarios, y personal de mantenimiento.
Compromisos u obligaciones. Las obligaciones de la organización de mantener protegida la información de la red.
Protección de virus y detección. Las políticas de seguridad deben ser claramente definidas, y establecer responsabilidades de la información que es procesada, almacenada y transmitida. Este documento debe definir claramente el rol de los individuos envueltos en la operación de la red. La elaboración del documento puede ser delegado a un comité que tenga la capacidad de sintetizar y plasmar los resultados del proceso realizado. Para apoyarse en este proceso puede apoyarse en el documento desarrollado por la ISO 17799 para el establecimiento de políticas de seguridad [6].

4. CONSTRUCCIÓN E IMPLEMENTACIÓN
Una vez que los requerimientos de seguridad han sido identificados y las estrategias de protección han sido seleccionadas, se pasa a la fase de construcción e implementación. Los procedimientos de seguridad aceptados aseguran que el riesgo después de la implementación de la medida seleccionada estén a niveles aceptables. Este proceso debe incluir una actividad que compare la medida de riesgo actual (el nuevo valor de riesgo obtenido después de la solución de seguridad ha sido implantada y evaluada) con los niveles de riesgo aceptables definidos previamente. Para considerar una solución de seguridad como aceptable deben considerarse factores como: efectividad, costo, política organizacional, legislación y regulación, confiabilidad, rendimiento entre otros aspectos técnicos. Consideraciones de costo incluyen, el costo inmediato de adquisición e instalación, los costos operacionales y los costos indirectos como la pérdida de funcionalidad o productividad.

Cuando las propiedades de un candidato a solución de seguridad son conocidas, la organización debe determinar si se han alcanzado niveles de riesgo aceptables; si no, se debe tomar la decisión de aceptar ese riesgo más alto que refleja la solución conocida o se debe buscar otra alternativa, seleccionando otra medida de protección o cambiando de estrategia de protección. Cuando un riesgo no es aceptable puede existir numerosos mecanismos para reducir potencialmente, inclusive hasta eliminar la vulnerabilidad o mejorar los mecanismos existentes, reduciendo de esta manera la amenaza. Después que todas las soluciones de seguridad son implantadas, los riesgos deben ser reevaluados. Los riesgos asociados con cada recurso deben haber sido reducidos a niveles aceptables o eliminados.
Al finalizar este proceso se debe haber seleccionado e implementado las medidas de protección que cumplen con las estrategias de seguridad definidas en las políticas. Una lista no exhaustiva de las herramientas de seguridad más comunes utilizadas se muestra a continuación:

Firewalls
Estas herramientas proveen un control de acceso basado en reglas definidas en las políticas de seguridad de la organización.
Virtual Private Networks (VPN)
Permiten a los empleados de una organización o los pares de negocio confiables acceder remotamente y de forma segura los sistemas internos a través de Internet.
Intrusion Detection Systems (IDS)
Ninguna de las herramientas de seguridad existentes en el mercado pueden garantizar accesos no autorizados, sin embargo, los sistemas IDS pueden apoyar el proceso de detección de intrusiones, detectarlas e inclusive detener un ataque en progreso.
Infraestructura de Llaves Públicas (PKI)
Permiten a la organización implementar funciones de seguridad cruciales a través del manejo de llaves públicas y privadas como son la confidencialidad, la autenticación, la integridad y la no repudiación.
Soluciones  de  Autenticación
Dentro de esta categoría existe una variada  gama  de  herramientas   en   el mercado como son los dispositivos biométricos. certificados digitales, tarjetas inteligentes o el tradicional esquema de passwords.
Soluciones generales de encripción
Permiten ofrecer servicios de seguridad adicionales a la autenticación como confidencialidad, integridad de la información.

5. CERTIFICACIÓN
La certificación consiste en la evaluación de las características técnicas y no técnicas de las medidas implantadas para establecer que dichas medidas satisfacen los requerimientos de seguridad especificados. Esto debe incluir:
*Validación  de requerimientos de seguridad.
La validación de los requerimientos de seguridad involucra la traducción de las políticas de seguridad del sistema específico en los requerimientos funcionales de seguridad implementados con el fin observar exhaustivamente si las políticas se han considerado en su totalidad.
*Verificación de las protecciones de seguridad.
Una vez implantadas las medidas de protección, la verificación de los requerimientos de seguridad confirma que las protecciones propuestas han sido implantadas correctamente y que cumple con lo requerimientos de seguridad. Para protecciones no técnicas, debe incluir una revisión de la seguridad organizacional, y confirmar que los procedimientos operacionales serán seguidos. La verificación de las protecciones técnicas incluye la confirmación de que el sistema ha sido configurado apropiadamente, y establecer que las protecciones cumplen con los estándares.
*Pruebas y Evaluación de Seguridad.
Es importante entender las diferencias entre las pruebas y la evaluación de seguridad. El objetivo principal de las pruebas de seguridad es el de determinar si las protecciones técnicas se encuentran funcionando correctamente, mientras que el de la evaluación de seguridad es el de determinar si el sistema tiene vulnerabilidades que pueden ser explotadas.
*Determinación del Riesgo Residual.
Se revisa el riesgo residual determinado en la etapa de construcción e implementación, para determinar si se alcanzaron los niveles de riesgo aceptables. Si el nivel de riesgo no es aceptable, el diseñador debe demostrar por qué el riesgo no puede ser reducido a niveles más bajos.

6. OPERACIÓN Y MANTENIMIENTO
En esta etapa se hace uso del sistema verificando que su integridad se conserve. Además se establecen controles de auditoria para su inspección y verificación. A medida que se descubran nuevas amenazas, vulnerabilidades, o se introduzcan nuevos recursos, la metodología debe reiniciarse desde la fase donde se involucren estos nuevos factores.

7. RESUMEN
Cuando se trata de integrar seguridad en el diseño de una red, se hace necesario la utilización de una metodología ya que la existencia de recursos claves, amenazas, vulnerabilidades, personas involucradas, y otra gran cantidad de factores, hacen difícil que una o varias personas aborden los problemas sin ignorar algún elemento del proceso. La seguridad es una proceso cíclico o continuo y es útil contar con un esquema de trabajo que facilite la obtención de un consenso o una medida de la correctitud del proceso realizado.
Cada etapa se encarga de recolectar nueva información o de organizar la información capturada en etapas anteriores para permitir el desarrollo de una siguiente fase; al llegar al punto final, se debe reiniciar el proceso si así se requiere en la etapa de operación y mantenimiento. Esta metodología permite la implementación y consecución de la seguridad en una red ajustándose a las restricciones políticas, operacionales, económicas, etc. de la organización a través de la los mecanismos más apropiados y que cumplan las políticas de seguridad definidas.


Publicadas por a la/s No hay comentarios.:
Etiquetas:
Suscribirse a: Entradas (Atom)