Читать книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete - Страница 34
5. Resumen
ОглавлениеEl objetivo de un SGSI es asegurar la continuidad del negocio, minimizando los riesgos y maximizando el retorno de la inversión en seguridad, a la vez que se permiten nuevas oportunidades para la empresa. Para ello, hay que conocer los riesgos mediante un proceso de análisis y gestión de riesgos (que se analizará en profundidad en el siguiente capítulo). Este análisis puede emplearse como punto de partida para realizar el BIA, o análisis del impacto en el negocio que tendría un incidente de seguridad que detuviera la actividad. Si se carece del análisis de riesgos, como sucede al comenzar a implantar por primera vez un SGSI, el BIA se puede realizar mediante la propia información que se recoja en formularios, y que permitirá determinar cuáles son los procesos o funciones principales de la empresa donde focalizar los esfuerzos en las salvaguardas.
El resultado de un BIA es muy valioso, porque permite conocer la actividad de la empresa, ordenando la criticidad de sus funciones y procesos. También permite conocer el coste de una interrupción, y recoge los requisitos de punto objetivo de recuperación. A partir de todo ello, el BIA ayuda a determinar las estrategias o métodos de recuperación, y las salvaguardas o contramedidas que se aplicarían. La determinación que realiza el BIA de cuáles son los procesos de negocio principales soportados por los sistemas de información, permite iniciar un posterior estudio más detallado de los requisitos de seguridad para estos procesos.
Los requisitos de seguridad serán calificaciones, números, o grados, alcanzados en cada una de las dimensiones de la seguridad. A saber: la confidencialidad (que a la información solo acceda quien esté autorizado), la integridad (que la información solo pueda modificarla quien esté autorizado), y la disponibilidad (que la información esté cuando se necesita). Los requisitos de seguridad del proceso de negocio pueden obtenerse evaluando los requisitos de la información resultante del proceso. Otro método para evaluar los requisitos de seguridad de un proceso, es analizar los componentes del proceso, y valorar los requisitos de seguridad de cada componente. Una vez dispuestos jerárquicamente, los requisitos de seguridad se agrupan de manera ascendente, mediante alguna fórmula o método definido.
Las categorías en que se valore la confidencialidad, la integridad y la disponibilidad, así como la formula o método de agregación de los requisitos de los componentes de un proceso, no es especialmente relevante. Estos indicadores no persiguen comparar dos empresas sino que persiguen comparar la evolución de la misma empresa en diferentes instantes del tiempo. Por lo tanto, lo importante es que estos criterios se definan por escrito, y se apliquen con homogeneidad a lo largo del SGSI, porque solo así se podrá reconocer la tendencia de mejora en la seguridad obtenida por cada iteración del mismo (planificación, ejecución, medida, y corrección).
Ejercicios de repaso y autoevaluación
1. Complete la siguiente oración:
En el BIA se estudian cuáles son los procesos o ______ _______ del negocio, que dependan en cualquier medida de los sistemas de información.
2. Indique qué 3 resultados básicos entrega el BIA:
3. Indique si las siguientes afirmaciones son verdaderas o son falsas.
1 Para realizar un BIA, basta pasar unos formularios a los responsables de departamento, para que evalúen la importancia de su función última, y determinen cuánta información podrían perder.VerdaderoFalso
2 El BIA es una herramienta para estudiar la continuidad del negocio.VerdaderoFalso
3 El BIA asegura que el RTO será el que indiquen los dueños de los procesos de negocio críticos.VerdaderoFalso
4. Marque la respuesta correcta:
1 El RTO siempre será mayor que el RPO, porque no se puede adivinar la información futura de la empresa.
2 El RTO representa el periodo de tiempo del que se pierde información.
3 El tiempo total que pierde la empresa es la suma del RPO y el RTO.
5. Determine la opción que elegiría, en base a una criterio de máxima integridad:
1 Una salvaguarda que asegura que la información sea exacta y completa.
2 Una contramedida que proporciona una RTO alta a un precio bajo.
3 Un método de recuperación de precio alto, que proporciona un RTO muy bajo, y un RPO moderado.
6. Enumere cuatro aspectos que pueden considerarse a la hora de evaluar el daño que un incidente de seguridad causa en una función de la empresa:
7. Determine la fórmula más aproximada:
1 Proceso = seguridad + personas + sistemas.
2 Proceso = información + personas + equipos.
3 Proceso = seguridad + información + personas.
8. Seleccione la opción más adecuada:
1 El dueño de la empresa debe poder acceder a toda la información.
2 El acceso a la información solo debe proporcionarse a quien desempeñe el rol de consultor en los procesos críticos de negocio.
3 Los permisos de acceso a la información siempre debe ser los mínimos necesarios.
9. Complete las siguientes definiciones:
1 La información ___________ difundida sin control, puede suponer incumplimientos legales.
2 La información ___________ siempre requiere de esta calificación, expresa por el área o responsable de comunicación de la empresa.
3 La información ____________ puede ser accedida libremente por todo el personal de la empresa, incluso los no empleados.
10. Califique las dimensiones de seguridad, según nivel alto, medio, o bajo:
1 De disponibilidad, si se precisa siempre.
2 De confidencialidad, como un listado de teléfonos de la empresa.
3 De integridad, en una base de datos en la que se admite hasta un 10 % de registros erróneos sin ningún impacto.
4 De confidencialidad, como la información que se ha publicado en la web.
11. Si los requisitos CIA de dos componentes de un proceso son (4, 4, 5) y (3, 2, 6), determine los requisitos CIA del proceso total, en los siguientes casos:
1 Si se agregan.
2 Si se emplea el más alto.
3 Si los procesos se agregan, las tareas del proceso implican que su integridad sea el doble de importante, y se busca un único valor de la seguridad.
12. Indique si las siguientes afirmaciones son verdaderas o falsas:
1 Los requisitos de confidencialidad para una persona dependen de cómo sea de reservado.VerdaderoFalso
2 Los requisitos de integridad de una persona dependerán de si acepta o no sobornos.VerdaderoFalso
3 Los requisitos de disponibilidad de una persona dependerán de que siempre tenga un móvil encendido.VerdaderoFalso
13. Indique 3 servicios de soporte básico que puedan ser componentes de un proceso en el que intervengan sistemas de información:
14. Elija una contramedida para subsanar el riesgo de integridad de las copias de seguridad de la información:
1 Almacenarlas comprimidas.
2 Guardar las copias protegidas por contraseña o cifradas.
3 Guardar el hash de la información para verificar la copia antes de restaurarla.
15. Identifique las curvas de la siguiente imagen:
