Читать книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete - Страница 32
4.2. Valoración CIA de sistemas físicos, programas y servicios de soporte
ОглавлениеEn esta categoría se deben clasificar los componentes que intervienen en el proceso, al margen de las personas y de la información. Se clasifican aquí los requisitos para los equipos físicos (hardware, incluyendo ordenadores, equipos de comunicaciones y soportes de almacenamiento (CD, discos duros extraíbles, etc.), para las aplicaciones o programas (software, incluyendo sistemas operativos y aplicaciones), e incluso para los servicios de soporte necesarios, como el suministro eléctrico, la climatización, o el alojamiento.
Actividades
7. Piense la valoración CIA que podría tener el único administrador de la red de ordenadores de un despacho de abogados.
Nota
Los soportes de almacenamiento son una pieza esencial de un sistema de información, y en concreto, del sistema de copias de seguridad. Si la información tiene un nivel alto de confidencialidad, tan importante es conservarlos libres de accesos no permitidos, como destruirlos de manera irrecuperable al finalizar su periodo de vigencia, porque las copias no pueden almacenarse indefinidamente. Si la información tiene un nivel de integridad alto, las copias deben protegerse de modificaciones, ya que en caso de restaurarlas se introducirá información alterada; para ello puede servir conservar el hash de la información guardada, que se empleará como elemento de verificación de la copia antes de restaurarla.
Confidencialidad
Los requisitos de confidencialidad de los sistemas atienden al servicio que prestan, y heredan la confidencialidad de la información procesada o almacenada por el sistema.
| Requerimientos de confidencialidad para los sistemas | |
| Nivel alto | Cuando la información procesada, almacenada, o el servicio prestado, tiene un nivel de confidencialidad alta. |
| Nivel medio | Cuando la información procesada, almacenada, o el servicio prestado, es de confidencialidad media. |
| Nivel bajo | Cuando la información procesada, almacenada, o el servicio prestado, es de confidencialidad baja. |
Integridad
Los requisitos de integridad de los sistemas heredan la integridad de la información procesada o almacenada por el sistema, y además, reflejan la confianza o fiabilidad (predictibilidad) de los servicios prestados por el sistema en el proceso.
| Requerimientos de integridad para los sistemas | |
| Nivel alto | La confianza y fiabilidad de los servicios prestados es alta. La información procesada o almacenada tiene un nivel de integridad alto. |
| Nivel medio | La confianza y fiabilidad de los servicios prestados es media. La información procesada o almacenada tiene un nivel de integridad medio. |
| Nivel bajo | La confianza y fiabilidad de los servicios prestados es baja. La información procesada o almacenada tiene un nivel de integridad bajo. |
Disponibilidad
Los requisitos de disponibilidad heredan la clasificación de disponibilidad de la información del proceso, y se basan en el impacto que tendría para el proceso que estos no estuviesen disponibles.
| Requerimientos de disponibilidad para los sistemas | |
| Nivel alto | La información procesada o almacenada tiene un nivel de disponibilidad alto. Cuando la no disponibilidad de los sistemas tendría un impacto grave/desastroso en el proceso. |
| Nivel medio | La información procesada o almacenada tiene un nivel de disponibilidad medio. Cuando la no disponibilidad de los sistemas tendría un impacto moderado en el proceso. |
| Nivel bajo | La información procesada o almacenada tiene un nivel de disponibilidad bajo. Cuando la no disponibilidad de los sistemas tendría un impacto ninguno/bajo en el proceso. |
La siguiente es una enumeración sencilla de los posibles elementos que intervienen en un proceso de negocio:
1 Equipos hardware de procesamiento: servidores, estaciones de trabajo críticas, estaciones de trabajo, ordenadores portátiles, dispositivos móviles como tablet-PC, PDA, smartphones, e impresoras.
2 Equipos de comunicaciones de red: router, switcher, firewalls, líneas de comunicaciones, centralitas telefónicas, faxes, terminales telefónicos fijos, y móviles.
3 Programas: sistemas operativos, aplicaciones y utilidades, y códigos fuente de programas.
4 Soportes de información: soportes con backup de sistemas operativos y aplicaciones, soportes con backup de código fuente de programas, y soportes con backup de datos (bases de datos y archivos).
5 Servicios de soporte: sistema eléctrico y de alimentación ininterrumpida, aire acondicionado, y elementos de fijación (armarios de rack y otra mecánica).
Actividades
8. Clasificar los requisitos de seguridad para los elementos que intervienen en los siguientes procesos de una tienda de ropa:
1 VENTA: personas (vendedor); sistemas (TPV, impresora, datáfono, aplicación de venta e inventario, y su base de datos).
2 INVENTARIO: personas (vendedor); sistemas (PDA, red wifi para descargar datos, ordenador, aplicación de venta e inventario y su base de datos).
