Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Elaboración de esquemas orientativos SSI

Anuncio 
PREMIER MINISTRE
Secrétariat général de la défense nationale
Direction centrale de la sécurité des systèmes d’information
Sous-direction des opérations
Bureau conseil
Elaboración de esquemas orientativos
SSI
COMPENDIO
Versión del 5 de febrero de 2004
51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP – Tel. 01 71 75 84 15 - Fax 01 71 75 84 00
Documento editado por la oficina de consultoría de la DCSSI
Los retos de los esquemas orientativos SSI
¿Por qué elaborar un esquema orientativo?
Un esquema orientativo perfectamente adaptado a cada tipo de función de la "estructura
funcional de SSI" es un punto fuerte que permite mejorar la calidad de los servicios de
seguridad y controlar el nivel de seguridad global de los sistemas de información.
Constituye, ciertamente, una herramienta de síntesis y de visualización indispensable para
realizar el seguimiento de todas las acciones vinculadas con la SSI. Contribuye además a
controlar que la estrategia definida en la política de seguridad, se aplique en los niveles de
coordinación y operativos, y al envío de los informes pertinentes a los responsables de la toma
de decisiones.
Para el nivel estratégico, la implementación de un esquema orientativo SSI permite:
- Realizar un seguimiento de la aplicación de la política de seguridad.
- Establecer comparaciones con otros organismos.
- Preparar las decisiones que se tomarán respecto de la implementación de recursos
(definición de prioridades, reevaluación de la amenaza y del riesgo).
Para el nivel de coordinación , la implementación de un esquema orientativo SSI permite:
- Controlar la realización de los objetivos en el nivel operativo.
- Mejorar la calidad de servicio.
Para el nivel operativo, la implementación de un esquema orientativo SSI permite:
- Especificar las necesidades operativas que deben implementarse.
- Medir la producción y los esfuerzos realizados para alcanzar los objetivos establecidos
en materia de producción.
- Motivar y dinamizar a los equipos.
¿Qué es un esquema orientativo SSI?
Un esquema orientativo SSI permite disponer, en los diferentes niveles –de decisión, de
coordinación y operativos–, de una visión sintética de la situación de seguridad, tanto en sus
dimensiones técnicas como funcionales (cobertura de riesgos, calidad de la política de
seguridad, seguimiento de las auditorías, las acciones y las alertas…). Esta visión brinda
información sobre el estado y las tendencias de la SSI.
Los esquemas orientativos SSI pueden diseñarse a partir de:
- objetivos de seguridad resultantes de un análisis de riesgos (por ejemplo, con la ayuda
del método EBIOS®),
- normas de seguridad resultantes de una política de seguridad,
- acciones de seguridad resultantes de un plan de acción.
En un procedimiento estructurado de seguridad de los sistemas de información, los esquemas
orientativos SSI representan la secuencia lógica para la elaboración de una política de
seguridad y para la identificación de los objetivos de seguridad.
Página 2 de 9
Documento editado por la oficina de consultoría de la DCSSI
Definición de la política general de seguridad del
i
d i fsistemai de información
Implementación
Mise
en œuvre dedelalasécurisation
protección du
delsystème
sistema
d’information
de
información
Elaboración de la PSSI
Realización del análisis
de riesgos SSI…
Elaboración e
implementación de
esquemas operativos SSI
Gestión
del sistema
de información
Exploitation
du système
d’information
protegido
sécurisé
Además, otros elementos externos (resultados de las auditorías, evolución del contexto
protegido, evolución técnica del SI…) pueden implicar una adaptación de los esquemas
orientativos SSI. Esta herramienta sigue evolucionando, por lo tanto, durante toda la
existencia del SI que cubre.
El flujo de información que surge del envío de los indicadores de un esquema orientativo SSI
puede representarse de la siguiente manera:
Ejemplo:
Estado de avance
de la aplicación
de la política de
seguridad
Avance de la
aplicación por
área
Avance de la
aplicación por
medida de seguridad
Grado de consolidación
Síntesis
Información
detallada
Estratégico
Coordinación
Operativo
Página 3 de 9
Documento editado por la oficina de consultoría de la DCSSI
Podrán elaborarse diferentes indicadores en perfecta coherencia con los objetivos de
seguridad:
- A nivel estratégico:
o el estado de avance de la implementación de la política de seguridad,
o la evolución de los incidentes vinculados con la SSI,
o …
- A nivel funcional:
o el avance de la protección en los diferentes ámbitos (organización, software,
aplicaciones, redes, seguridad física, aspectos humanos),
o el seguimiento de las acciones de seguridad (estudios, auditorías, puesta en
servicio, formación),
o …
- A nivel operativo:
o la disponibilidad de las redes,
o el avance en la implementación de medidas de seguridad,
o la identificación de incidentes,
o el seguimiento de los controles de seguridad,
o …
La recogida de los datos constitutivos de dichos indicadores deberá ser coherente con los
objetivos de seguridad, principalmente a nivel operativo. Podrá tratarse, por ejemplo, de:
- análisis de los registros (cortafuegos, antivirus, trazas…),
- informes de la puesta en servicio,
- fichas de incidentes,
- informes de controles o de auditorías,
- …
Los indicadores empleados para diseñar los esquemas orientativos SSI están basados en datos.
Parte de estos datos surge de los diversos elementos del sistema de información,
principalmente de los dispositivos de protección (cortafuegos, antivirus, análisis de trazas…).
Tableau
de bord de
sécurité
Esquema
orientativo
seguridad
xxx
xxx
xxx
###
###
xxx
###
###
xxx
###
###
AAA
BBB
CCC
DDD
EEE
Página 4 de 9
Documento editado por la oficina de consultoría de la DCSSI
Guía para la elaboración
orientativos SSI
de
esquemas
La preparación de indicadores que permitan aportar datos a un esquema orientativo es una
tarea compleja. Para facilitar esta tarea y homogeneizar los métodos, la DCSSI ha preparado
una guía para la elaboración de esquemas orientativos SSI.
Esta guía propone un procedimiento y herramientas que pueden utilizarse directamente;
siendo lo suficientemente flexible como para adaptarse a necesidades específicas.
Sección 1 – Metodología
El procedimiento de elaboración se divide en cinco etapas sucesivas, descritas a continuación.
Este procedimiento iterativo permite garantizar la coherencia de los esquemas orientativos
SSI con los objetivos estratégicos y la evolución del contexto (del SI, de los riesgos, de los
destinatarios…).
Durante la primera iteración, las etapas se realizan sucesivamente. Luego, las etapas de
ejecución y de evolución de los esquemas orientativos pueden dar lugar a nuevas
reiteraciones.
Etapa 1 – Requisitos previos
La primera etapa consiste en recoger los elementos previos necesarios para elaborar los
esquemas orientativos SSI:
- identificación de los destinatarios de los esquemas orientativos SSI,
- formalización de los usos previstos,
- formalización de las periodicidades deseadas,
- expresión de los objetivos de seguridad (resultantes de un análisis de los riesgos SSI),
- expresión de los objetivos de desarrollo del nivel de SSI (resultante de un plan de
acción),
- datos sobre el SI,
- identificación de las fuentes de datos posibles,
- balance del presupuesto y los medios implementados.
Etapa 2 - Implementación del proyecto "Esquemas orientativos SSI"
La implementación consiste, luego, en identificar y movilizar a los actores para constituir
grupos de trabajo:
- - un grupo "de funcionalidad" define la necesidad en cuanto a esquemas orientativos
SSI a partir de las necesidades funcionales identificadas,
- un grupo "técnico" valida la factibilidad de los esquemas orientativos como así
también su pertinencia respecto a las realidades técnicas del sistema de información,
- un grupo "coordinador" controla los costos y gastos recurrentes asociados a los
esquemas orientativos SSI en fase de producción,
- un grupo "de operatividad" verifica que los esquemas orientativos SSI y los
procedimientos correspondientes sean claros y fáciles de usar.
Página 5 de 9
Documento editado por la oficina de consultoría de la DCSSI
Etapa 3 – Elaboración de esquemas orientativos SSI
La etapa siguiente permite construir los esquemas orientativos SSI basándose en los
diferentes objetivos identificados:
- formalización de objetivos medibles,
- selección de las fuentes de datos que pueden utilizarse,
- elaboración de los indicadores correspondientes,
- elaboración de los esquemas orientativos SSI a partir de los indicadores,
- elaboración de los procedimientos de alimentación de los esquemas orientativos SSI,
- validación de la aplicabilidad de los esquemas orientativos SSI.
Etapa 4 - Implementación de los esquemas orientativos SSI
Esta etapa consiste en elaborar e implementar los esquemas orientativos SSI de acuerdo a
las periodicidades previstas. Consiste, por lo tanto, en:
- Recoger los datos constitutivos:
o cotejarlos,
o procesarlos,
o calcular los indicadores.
- Utilizar los esquemas orientativos SSI en el proceso de toma de decisiones.
Etapa 5 – Evolución de los esquemas orientativos SSI
El seguimiento de los esquemas orientativos SSI permite verificar si requieren una
modificación, motivada por la observación de uno de los siguientes factores:
- falta de calidad de los indicadores (ergonomía, coherencia, pertinencia…),
- evolución del contexto,
- evolución de los objetivos de seguridad,
- falta de adecuación de los indicadores con relación a los objetivos de seguridad,
- cambio de los destinatarios,
Página 6 de 9
Documento editado por la oficina de consultoría de la DCSSI
Sección 2 - Ejemplo de aplicación
Se proporciona, como anexo de la guía para la elaboración de esquemas orientativos SSI, un
proyecto piloto referido a un sistema de gestión de los concursos y del personal. Dicho
anexo ofrece un ejemplo concreto de la aplicación completa del procedimiento.
Los esquemas orientativos SSI involucran a una decena de destinatarios de diferentes
niveles operativos, funcionales y estratégicos, siguiendo la estructura funcional SSI (alto
funcionario de Defensa, funcionario de seguridad de los sistemas de información, autoridad
calificada responsable del diseño del proyecto, autoridad calificada responsable de la
dirección del proyecto, responsable de las redes…)
El procedimiento se basa en un análisis de los riesgos realizado con la ayuda del método
EBIOS®, que permitió identificar 44 objetivos de seguridad y determinar diversas acciones
de seguridad. Por ejemplo:
- definir reglas sobre el cortafuegos,
- realizar controles y auditorías regulares del cortafuegos,
- asegurar un seguimiento regular de las actividades de control de trazas,
- implementar medios de análisis de los plazoso en las modificaciones,
- garantizar que la falta de disponibilidad del sistema no supere las 24 horas,
- asegurar un seguimiento de los fallos en los sistemas UNIX y Windows NT,
- proteger los datos y los soportes de información,
- concienciar a los usuarios (sobre política de seguridad, consignas de protección
contra los daños ocasionados por el agua…)
- implementar un seguimiento de los accesos de mantenimiento remoto,
- …
Una vez que se ha identificado a los actores, que se han creado los grupos de trabajo, que se
ha lanzado y planificado el proyecto, se definen objetivos medibles a partir de los objetivos
de seguridad identificados. Por ejemplo:
- disminuir la cantidad de incidentes vinculados con las normas del cortafuegos
(usurpación de cuentas desde el exterior del organismo, tentativas de intrusión,
divulgación de contraseñas mediante escuchas en la red, acceso malintencionado a
los comandos de administración),
- controlar regularmente las trazas,
- formar al personal técnico,
- concienciar regularmente a los usuarios,
- disminuir la cantidad de incidentes vinculados con la gestión y protección de los
soportes magnéticos,
- controlar los plazos de envío de información a fin de prevenir las saturaciones,
- impedir la existencia de cuentas inutilizadas,
- realizar un seguimiento de la proporción de tareas administrativas realizadas bajo la
cuenta ROOT,
- minimizar la cantidad de errores de transferencia del servidor principal al servidor
auxiliar
- …
Página 7 de 9
Documento editado por la oficina de consultoría de la DCSSI
Se elaboraron indicadores para medir dichos objetivos. Pero sólo una parte de dichos
indicadores se desarrolló en base a estudios de caso. Por ejemplo:
-
Proporción de trazas controladas:
o Cálculo: (volumen de trazas controladas x 100)/(volumen de trazas)
o Valor objetivo: 100%
o Representaciones gráficas propuestas:
Distribución sectorial (trazas controladas, trazas no controladas)
Histórico: curva de evolución cuantitativa (proporción de trazas
controladas)
-
Evolución de la cantidad de cuentas inutilizadas:
o Cálculo: número de cuentas inutilizadas.
o Valor objetivo: 0
o Representación gráfica propuesta:
Histórico: curva de evolución cuantitativa(número de cuentas
inutilizadas)
-
Renovación de las actividades de concienciación e información destinadas al
personal técnico
o Cálculo: (suma de los plazos transcurridos desde la última formación o
información destinada a cada miembro del personal técnico)/(cantidad de
personal técnico)
o Valor límite: plazo promedio máximo que debe establecerse.
o Representación gráfica propuesta:
Histórico: curva de evolución cuantitativa (promedio de los plazos
transcurridos desde la última formación del personal técnico)
Los indicadores elaborados se describen claramente luego en forma de fichas y
procedimientos de alimentación, agrupándose finalmente en esquemas orientativos
temáticos de SSI. Definidos sus procedimientos de alimentación, los esquemas orientativos
SSI son validados y, finalmente, utilizados. Dos ejemplos de maquetas validadas:
Esquema orientativo SSI estratégico
Esquema orientativo SSI coordinador
Concienciación de los usuarios
Alcance de los objetivos
Aplicación
de la
política de
seguridad
Seguridad del
servidor
DPS7 y
redes
Seguridad de
las aplicaciones
Renovación de las actividades de concienciación de
los usuarios
Mo is 1
Concienciación
y formación
Mo is 2
Mo is 3
Política de
seguridad
Mo is 1
Mo is 2
Mo is 3
Protección
de los
datos
Mo is 1
Mo is 2
Mo is 3
Mo is 1
Mo is 2
Mo is 3
Cumplimiento
Instrucciones de
de las normas
protección contra
de uso de los
daños ocasionados
por el agua
puestos de trabajo
Proporción de usuarios que han sido concienciados
Los esquemas orientativos así constituidos serán regularmente revisados a fin de adaptarlos a
las evoluciones del contexto, los nuevos objetivos y los ajustes solicitados.
Página 8 de 9
Documento editado por la oficina de consultoría de la DCSSI
Sección 3 - Formularios
Para facilitar el trabajo de elaboración de los esquemas orientativos SSI, se proporcionan,
conjuntamente con la guía, algunas fichas que permiten recoger progresivamente los datos
necesarios para el desarrollo del procedimiento.
Los formularios provistos son los siguientes:
-
Destinatarios de los esquemas orientativos SSI: este formulario permite identificar los
destinatarios, los usos previstos y las periodicidades deseadas.
-
Documentos vinculados con los objetivos de seguridad: este formulario permite
identificar los documentos donde se encuentran formalizados los objetivos de
seguridad o sus equivalentes.
-
Documentos vinculados con los objetivos de desarrollo de la SSI: este formulario
permite identificar los documentos donde se encuentran formalizados los objetivos de
desarrollo de la SSI (plan de acción…).
-
Sistema de información: este formulario permite identificar el referencial vinculado
con el sistema de información.
-
Planificación inicial: este formulario permite presentar la planificación detallada del
proyecto de elaboración de esquemas orientativos SSI.
-
Formalización de los objetivos medibles: este formulario permite transformar los
objetivos de seguridad y de desarrollo de la SSI en objetivos medibles.
-
Selección de los elementos de medición: este formulario permite identificar los puntos
clave y los datos que pueden utilizarse para cada objetivo medible.
-
Elaboración de los indicadores: este formulario permite una primera especificación de
los indicadores.
-
Elaboración de los esquemas orientativos SSI: este formulario permite una primera
especificación de los esquemas orientativos SSI a partir de los indicadores.
-
Ficha descriptiva de indicador: este formulario permite especificar sintéticamente un
indicador (fondo, forma, interpretación…).
-
Procedimiento de alimentación de indicadores: este formulario permite formalizar
sintéticamente los datos referidos a la producción y difusión de cada indicador.
-
Procedimiento de alimentación de los esquemas orientativos SSI: este formulario
permite formalizar sintéticamente los datos referidos a la producción y difusión de
cada esquema orientativo SSI.
-
Cargas de trabajo y costos recurrentes: este formulario permite identificar los
recursos necesarios para la elaboración de esquemas orientativos SSI.
Página 9 de 9
Documentos relacionados
Investigación de la Cátedra Regional UNESCO Mujer, Ciencia y Tecnología... Fuente La investigación fue realizada en el marco del Programa Promoción...
Investigación de la Cátedra Regional UNESCO Mujer, Ciencia y Tecnología... Fuente La investigación fue realizada en el marco del Programa Promoción...
En estos tiempos, donde las empresas experimentan incrementos
En estos tiempos, donde las empresas experimentan incrementos
SSI132.1EL1 - Tribunal Electoral del Estado de Guerrero
SSI132.1EL1 - Tribunal Electoral del Estado de Guerrero
Eje Promoción Sectorial - tps5to-utn-frre
Eje Promoción Sectorial - tps5to-utn-frre
ssi instructivo de registro en portal
ssi instructivo de registro en portal
el reconocimiento del derecho de acceso a la información científica
el reconocimiento del derecho de acceso a la información científica
¡el seguro social lo puede ayudar
¡el seguro social lo puede ayudar
Gastos de Trabajo de Personas Ciegas (BWE)
Gastos de Trabajo de Personas Ciegas (BWE)
RED DE EXPERTOS PMG – SSI 2010 DEFINICIONES Programa de
RED DE EXPERTOS PMG – SSI 2010 DEFINICIONES Programa de
Lectura 23 de mayo a las 15,30 h.
Lectura 23 de mayo a las 15,30 h.
Descargar
Anuncio
Anuncio