jueves, 30 de mayo de 2019
miércoles, 29 de mayo de 2019
Resumen del capitulo 6
Capítulo 6: El reino de los cinco nueves
¿Qué
son los cinco nueves?
Los
cinco nueves significan que los sistemas y servicios están disponibles el
99,999% del tiempo. Esto quiere decir que tanto el tiempo de inactividad
planificado como no planificado es menor que 5,26 minutos por año. El gráfico
en la figura ofrece una comparación del tiempo de inactividad para varios
porcentajes de disponibilidad.
La
alta disponibilidad hace referencia a un sistema o componente continuamente
operativo durante un espacio dado de tiempo. Para garantizar la alta
disponibilidad:
Elimine
los puntos de falla únicos.
Diseñe
para la confiabilidad.
Detecte
fallas cuando ocurren.
Entornos que requieren los cinco nueves
·
El sector financiero
debe mantener una alta disponibilidad para un comercio, un cumplimiento y una
confianza del cliente continuos.
·
Las instalaciones de
servicios de salud requieren alta disponibilidad para brindar atención a los
pacientes en todo momento.
·
La industria de la
seguridad pública incluye agencias que brindan seguridad y servicios a la
comunidad, el estado o la nación.
Sección 6.2 Identificación de activos
Una organización debe conocer qué hardware y software tiene como
requisito previo a saber qué parámetros de configuración necesita. La
administración de activos incluye un inventario completo del hardware y
software.
Esto quiere decir que una organización debe conocer todos los
componentes que pueden estar sujetos a riesgos de seguridad, entre ellos:
·
Cada sistema de hardware.
·
Cada sistema operativo.
·
Cada dispositivo de red del hardware.
·
Cada sistema operativo del
dispositivo de red.
·
Cada aplicación de software.
·
Todo el firmware.
·
Todos los entornos de tiempo de
ejecución del lenguaje.
·
Todas las bibliotecas individuales.
Clasificación de activos
La clasificación de activos asigna todos los recursos de la
organización a un grupo según las características comunes. Una organización
debe aplicar un sistema de clasificación de activos a los documentos, los
registros de datos, los archivos de datos y los discos. La información más
importante debe recibir el mayor nivel de protección e incluso puede requerir
un manejo especial.
Estandarización de activos
La administración de activos
administra el ciclo de vida y el inventario de los activos tecnológicos, incluidos
los dispositivos y el software.
Los estándares de activos identifican los productos de hardware
y software específicos que la organización usa y respalda.
Identificación de amenazas
La
identificación de amenazas comienza con el proceso de creación de un
identificador de CVE para las vulnerabilidades de ciberseguridad conocidas
públicamente.
Análisis de riesgos
El
análisis de riesgos es el proceso de analizar los peligros que plantean los
eventos de causa natural y humana a los activos de una organización.
Mitigación
La
mitigación implica la reducción de la gravedad de la pérdida o de la
probabilidad de ocurrencia de la pérdida. Muchos controles técnicos mitigan el
riesgo, incluidos los sistemas de autenticación, los permisos de archivos y los
firewalls.
Estratificación
La
defensa en profundidad no proporcionará un blindaje cibernético impenetrable,
pero ayudará a una organización a minimizar el riesgo manteniéndose un paso
adelante de los ciberdelincuentes.
6.3 Preparación
Cuando
ocurre un incidente, la organización debe saber cómo responder. Una
organización debe desarrollar un plan de respuesta ante los incidentes y
constituir un equipo de respuesta ante los incidentes de seguridad informática
(CSIRT) para administrar la respuesta. El equipo lleva a cabo las siguientes
funciones:
·
Mantiene el plan de
respuesta ante los incidentes.
·
Garantiza que sus
miembros conozcan el plan.
·
Prueba el plan.
·
Obtiene la aprobación
del plan por parte de la gerencia.
Detección y análisis
La
detección comienza cuando alguien detecta un incidente. Las organizaciones
pueden adquirir los sistemas de detección más sofisticados; sin embargo, si los
administradores no revisan los registros ni supervisan las alertas, los
sistemas son inútiles.
·
Alertas y
notificaciones
·
Supervisión y
seguimiento
El
análisis de incidentes ayuda a identificar el origen, la medida, el impacto y
los detalles de una violación de datos.
Contención, erradicación y recuperación
Contención,
erradicación y recuperación
Los
esfuerzos de contención incluyen las acciones inmediatas realizadas, por
ejemplo, la desconexión de un sistema de la red para evitar una filtración de
la información.
Después
de identificar la amenaza, la organización debe contenerla y erradicarla. Esto
puede requerir tiempo de inactividad adicional para los sistemas. La etapa de
recuperación incluye las acciones que una organización debe llevar a cabo para
resolver la violación y restaurar los sistemas involucrados.
Control de admisión de redes
Un
marco de trabajo del NAC puede utilizar la infraestructura de red existente y
software de terceros para imponer el cumplimiento de las políticas de seguridad
para todos los terminales. Alternativamente, un dispositivo de NAC controla el
acceso a la red, evalúa el cumplimiento y aplica la política de seguridad. Las
comprobaciones de los sistemas de NAC comunes incluyen:
1.
Detección actualizada de virus.
2.
Actualizaciones y parches de los sistemas operativos.
3.
Aplicación de contraseñas complejas.
Los cinco nueves.
Los
cinco nueves significan que los sistemas y servicios están disponibles el
99,999% del tiempo. La alta disponibilidad hace referencia a un sistema o
componente.
°elimine
los puntos de falla únicos.
°diseñe
para la confiabilidad.
A
medida que una organización agrega componentes, el resultado es un incremento
en la complejidad de la configuración. Desafortunadamente, la complejidad
incrementada de la configuración aumenta los factores de riesgo. Cuantas más
partes móviles se involucran, mayor es la probabilidad de componentes
defectuosos.
Entornos que requieren los cinco nueves.
El
sector financiero debe mantener una alta disponibilidad para un comercio, un
cumplimiento y una confianza del cliente continuos.
Las
instalaciones de servicios de salud requieren alta disponibilidad para brindar
atención a los pacientes en todo momento.
La
industria de la seguridad pública incluye agencias que brindan seguridad y servicios
a la comunidad, el estado o la nación.
La
industria minorista depende de cadenas de abastecimiento eficientes y de la
entrega de productos a los clientes.
El
público espera que el sector de los medios de comunicación comunique
información sobre los eventos a medida que ocurren.
Amenazas a la disponibilidad.
°Una
aplicación crítica se desconecta.
°Ocurre
un problema del administrador o usuario raíz.
°La
interrupción del proveedor de servicios o la utilidad a largo plazo.
°Daños
por agua como resultado de una inundación o una falla de aspersión.
Diseño del sistema de alta
disponibilidad.
La
alta disponibilidad incorpora tres principios fundamentales para lograr el
objetivo de un acceso ininterrumpido a los datos y servicios:
1.
Eliminación o reducción de puntos de falla únicos.
2.
Recuperabilidad del sistema.
Identificación de activos.
Una
organización debe conocer qué hardware y software tiene como requisito previo a
saber qué parámetros de configuración necesita. La administración de activos
incluye un inventario completo del hardware y software.
°cada
sistema de hardware.
°Cada
sistema operativo.
°Cada
dispositivo de red del hardware.
°Cada
sistema operativo del dispositivo de red.
Clasificación
de activos.
La
clasificación de activos asigna todos los recursos de la organización a un
grupo según las características comunes. Una organización debe aplicar un
sistema de clasificación de activos a los documentos, los registros de datos,
los archivos de datos y los discos.
1.
Determine la categoría de identificación de activos correcta.
2.
Establezca la auditoría de activos mediante la identificación del propietario
de todos los recursos de información y software de aplicaciones.
3.
Determine los criterios de clasificación.
Estandarización de activos.
La
administración de activos administra el ciclo de vida y el inventario de los
activos tecnológicos, incluidos los dispositivos y el software. Como parte del
sistema de administración de activos de TI, una organización especifica los
activos de TI aceptables que cumplen los objetivos. Esta práctica reduce
eficazmente los diferentes tipos de activos. Por ejemplo, una organización
instalará únicamente aplicaciones que cumplan con las pautas.
Identificación de amenazas
El
equipo de Respuesta ante Emergencias Informáticas de los Estados Unidos
(US-CERT) y el Departamento de Seguridad Nacional de los EE. UU. patrocinan un
diccionario de vulnerabilidades y exposiciones comunes (CVE). Las CVE contienen
un número de identificación estándar con una descripción breve y referencias a
informes de vulnerabilidades y avisos relacionados.
°El
número de identificador de CVE.
°Una
breve descripción de la vulnerabilidad en la seguridad.
°Cualquier
referencia importante.
Análisis de riesgos.
El
análisis de riesgos es el proceso de analizar los peligros que plantean los
eventos de causa natural y humana a los activos de una organización.
°Identificar
los activos y su valor.
°Identificar
las vulnerabilidades y las amenazas.
°Cuantificar
la probabilidad y el impacto de las amenazas identificadas.
Análisis de riesgos cuantitativo.
Un
análisis cuantitativo asigna números al proceso de análisis de riesgos (Figura
1). El valor de un activo es el costo de reemplazo del activo. El valor de un
activo también puede medirse por los ingresos obtenidos del uso del activo. El
factor de exposición (EF) es un valor subjetivo expresado como porcentaje de
las pérdidas de activos debidas a una amenaza particular.
Análisis de riesgos cualitativo.
El
análisis de riesgos cualitativo utiliza opiniones y situaciones. En la Figura 2
se presenta un ejemplo de la tabla que se usa en el análisis de riesgos
cualitativo, que compara la probabilidad de una amenaza con su impacto.
Tipos de desastres
Es
fundamental mantener la organización en funcionamiento cuando se produce un
desastre. Un desastre incluye cualquier evento de causa natural o humana que
daña los activos o la propiedad y perjudica la capacidad de la organización
para seguir operando.
Desastres naturales
Los
desastres naturales varían según la ubicación. Algunos de estos eventos son
difíciles de predecir. Los desastres naturales se dividen en las siguientes
categorías.
Desastres provocados por el hombre.
Los
desastres provocados por el hombre implican personas u organizaciones y se
dividen en las siguientes categorías:
°Los
eventos laborales incluyen huelgas, paros y recesiones.
°Los
eventos políticos incluyen vandalismo, bloqueos, protestas, sabotaje,
terrorismo y guerra.
°Los
eventos materiales incluyen derrames e incendios peligrosos.
Plan de recuperación tras un desastre.
Una
organización pone su plan de recuperación tras un desastre (DRP) en acción
mientras el desastre está en curso y los empleados intentan proteger los
sistemas críticos en línea. El DRP incluye actividades que la organización
lleva a cabo para evaluar, recuperar, reparar y restaurar las instalaciones y
los activos dañados.
Implementación de controles de
recuperación tras un desastre
Los
controles de recuperación tras un desastre minimizan los efectos de un desastre
para garantizar que los recursos y procesos empresariales puedan reanudar la
operación.
Existen
tres tipos de controles de recuperación tras un desastre de TI:
°Las
medidas preventivas incluyen controles que impiden que ocurra un desastre.
Estas medidas buscan identificar los riesgos.
°Las
medidas de detección incluyen controles que detectan eventos no deseados. Estas
medidas descubren nuevas posibles amenazas.
°Las
medidas correctivas incluyen controles que restauran el sistema después de un
evento o desastre.
Necesidad de la continuidad de los
negocios
La
continuidad de los negocios es uno de los conceptos más importantes de la
seguridad informática. Por más que las empresas hagan lo que esté a su alcance
para evitar desastres y pérdidas de datos, es imposible predecir cada escenario
posible. Es importante para las empresas tener planes vigentes que garanticen
la continuidad de los negocios independientemente de lo que pueda ocurrir. Un
plan de continuidad empresarial es un plan más amplio que el DRP, dado que
incluye el envío de sistemas críticos a otra ubicación mientras la reparación
de la instalación original está en curso.
Consideraciones de la continuidad de los
negocios
Los
controles de continuidad de los negocios son mucho más que una simple copia de
respaldo de los datos y redundancia del hardware. Las organizaciones necesitan
empleados para configurar y operar correctamente los sistemas. Los datos pueden
ser irrelevantes hasta que proporcionan información.
°La
colocación de las personas adecuadas en los lugares correctos.
°La
configuración de la documentación.
°El
establecimiento de canales de comunicación alternativos de voz y datos.
°El
suministro eléctrico.
Prácticas
de la continuidad de los negocios.
Como
se muestra en la figura, el Instituto Nacional de Normas y Tecnología (NIST)
desarrolló las siguientes mejores prácticas.
1.
Escribir una política que brinde orientación para desarrollar un plan de
continuidad empresarial y asigne roles para realizar las tareas.
2.
Identificar los procesos y sistemas críticos y darles prioridad según sea
necesario.
3.
Identificar vulnerabilidades, amenazas y calcular riesgos.
4.
Identificar e implementar controles y contramedidas para reducir el riesgo.
Suscribirse a:
Entradas (Atom)