Plan Director de Seguridad (PDS): Guía completa y mejores prácticas

Enviado por Chuletator online y clasificado en Otras materias

Escrito el en español con un tamaño de 7,6 KB

Plan Director de Seguridad (PDS)

El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización de un conjunto de proyectos en materia de seguridad de la información, dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables a partir de un análisis de la situación inicial. Llevar a cabo un buen análisis nos permitirá centrar nuestro foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del alcance del PDS. De esta forma mitigaremos la posibilidad de tener algún tipo de incidente de ciberseguridad. Por otra parte, también podemos obtener beneficios si realizamos un análisis de riesgos de forma aislada en lugar de llevarlo a cabo dentro de un contexto mayor como es el del desarrollo de un PDS.

Fases del Plan Director de Seguridad

Fase 1. Definir el alcance

Fase 2. Identificar los activos

  • Servidor 1
  • Router wifi
  • Servidor 2

Fase 3. Identificar / seleccionar las amenazas

Fase 4. Identificar vulnerabilidades y salvaguardas

Fase 5. Evaluar el riesgo

Tabla para el cálculo de la probabilidad
  • Baja: 1 vez al año
  • Media: 1 vez al mes
  • Alta: 1 vez a la semana
Tabla para el cálculo del impacto
  • Bajo: Sin consecuencias relevantes
  • Medio: Consecuencias reseñables
  • Alto: Consecuencias graves
Cálculo del riesgo

A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo, calcularemos multiplicando los factores probabilidad e impacto:

RIESGO = PROBABILIDAD x IMPACTO

Si por el contrario hemos optado por el análisis cualitativo, haremos uso de una matriz de riesgo.

Fase 6. Tratar el riesgo

  • Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a terceros ocasionados por fugas de información.
  • Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no es estrictamente necesario.
  • Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado alto y por tanto, la organización puede optar por asumirlo.
  • Implementar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los servicios en la nube en caso de que la línea principal haya caído.

Medidas de Seguridad

Algunos planes de medidas:

  • Teletrabajo seguro
  • Borrado seguro y gestión de soportes
  • Uso de dispositivos móviles
  • Antimalware
  • Auditoría de sistemas
  • Control de acceso
  • Copias de seguridad
  • Gestión de logs
  • Protección de las páginas web
  • Respuesta a incidentes
  • Uso de criptografía
  • Actualización de software

Acciones para prevenir incidentes (INTEF)

  • Realizar las copias de seguridad
  • Actualizar el software
  • Controlar los accesos a los sistemas
  • Gestionar las altas y bajas del usuario
  • Gestionar las contraseñas
  • Gestionar los incidentes de seguridad
  • Planificar la recuperación ante desastres

Políticas de Securización

Las políticas de securización tratan los aspectos y elementos esenciales donde debemos aplicar seguridad y que deben estar bajo control. Cada política tiene una lista de chequeo de las acciones que debe tomar el empresario, su equipo técnico y sus empleados.

Gestión de Activos

Gestionar activos: Identificar activos, Clasificación de información, Gestión de soportes, Gestión de configuración

Seguridad de las Operaciones

Seguridad de las operaciones: Procedimientos y responsabilidad, instalación de sistemas y aplicaciones, análisis de capacidad de servicio, actualización de seguridad de aplicaciones, copias de seguridad, monitorización

Gestión de Incidentes y Recuperación ante Desastres

Gestión de incidentes y recuperación ante desastres: Gestión de incidencias de seguridad, plan de recuperación ante desastres

Control de Acceso a Sistemas y Aplicaciones

Control de acceso a sistemas y aplicaciones: Control de acceso a aplicaciones críticas y zonas restringidas, gestión de usuarios y segregación de funciones, gestión segura de contraseñas

Estándares de Seguridad

Los estándares de seguridad son técnicas generalmente establecidas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización. Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos, información en almacenamiento o tránsito, aplicaciones, servicios y sistemas que pueden conectarse directa o indirectamente a las redes.

El objetivo principal es reducir los riesgos, incluyendo la prevención o atenuación de ciberataques. Estos materiales publicados consisten en colecciones de herramientas, políticas de seguridad, conceptos de seguridad, salvaguardas de seguridad, guías, enfoques de gestión de riesgos, acciones, capacitación, mejores prácticas, aseguramiento y tecnologías.

Estándares:

  • ISO/IEC 27001 y 27002
  • NERC
  • NIST
  • ISO 15408

Equipo de Respuesta a Incidentes de Seguridad (CERT)

Un CERT (Computer Emergency Response Team) es un equipo de personas dedicado a prevenir, detectar y responder eficazmente a los incidentes de seguridad que puedan materializarse sobre los sistemas informáticos. Los eventos de la seguridad de la información pueden clasificarse en simples eventos o pueden pasar a ser Incidentes de la Seguridad de la Información.

Para ello establezca:

  • Un criterio de priorización de incidentes dependiendo del sistema o servicio afectado, del usuario, etc.
  • La evaluación de incidentes debe ser realizada tanto por el usuario como por el equipo de gestión que debe revisar la prioridad.
  • Lleve un registro de la evaluación de los incidentes para poder analizar los parámetros de calidad tanto en su resolución como de su clasificación.

Hay muchas formas de clasificar incidentes, pero lo habitual es considerar dos parámetros:

  • Impacto: Daño causado al negocio (en términos económicos, imagen, etc.)
  • Urgencia: La rapidez con la cual la organización necesita corregir el incidente

La combinación de estos parámetros nos permitirá determinar la prioridad de cada incidente.

Recomendaciones para la Gestión de Contraseñas

Seguridad de las Contraseñas

  • Longitud de la contraseña
  • Caracteres empleados en la contraseña
  • No utilizar palabras o frases conocidas
  • Usar contraseñas fáciles de recordar pero difíciles de adivinar
  • No reutilizar contraseñas
  • Cambiar las contraseñas cada cierto tiempo
  • Comprobar de vez en cuando si se ha vulnerado un sitio web donde tengas cuenta
Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
plan de seguridad ISO 27001 seguridad informática ciberseguridad análisis de riesgos PDS