PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d’information Sous-direction des opérations Bureau conseil MEJORES PRÁCTICAS PARA LA GESTIÓN DE LOS RIESGOS DE SSI Uso específico del método EBIOS® para elaborar una PSSI Versión del 22 de septiembre de 2004 51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP – Tel. 01 71 75 84 15 - Fax 01 71 75 84 00 Documento editado por la oficina de consultoría de la DCSSI ¿Qué es una PSSI? La Política de Seguridad de los Sistemas de Información (PSSI) es el conjunto formalizado en un documento aplicable de las directivas, procedimientos, códigos de conducta, normas organizacionales y técnicas, que tienen como objetivo la protección de los sistemas de información del organismo. Traduce el reconocimiento oficial de la importancia otorgada por la dirección general del organismo a la seguridad de sus sistemas de información. En líneas generales, contiene una parte referida a los elementos estratégicos del organismo (perímetro, contexto, retos, orientaciones estratégicas en materia de SSI, referencial reglamentario, escala de sensibilidad, necesidades de seguridad, amenazas) y una parte referida a las normas de seguridad aplicables. Constituye, por lo tanto, la materialización de la estrategia de seguridad del organismo. La guía PSSI editada por la DCSSI tiene como objetivo principal el acompañamiento de los responsables de la seguridad en la elaboración de una política de seguridad de uno o varios sistemas de información dentro de su organismo. ¿Cuáles son las ventajas del método EBIOS para la elaboración de una PSSI? La realización previa de un estudio EBIOS ofrece varias ventajas: - La elaboración de la PSSI se encuentra facilitada por un procedimiento estructurado, que permite además deducir y, al mismo tiempo, justificar una parte de los principios y de las normas establecidas en la PSSI. El análisis de los resultados del estudio EBIOS, asociado a otros datos de entrada, permite obtener todos los elementos estratégicos, elegir los principios y elaborar las normas de seguridad. Los diferentes actores del SI (responsables de la toma de decisiones, responsables de la SSI, diseñador del proyecto, clientes, actores financieros, usuarios, etc.) ya han sido concienciados sobre la SSI, especialmente en cuanto a los riesgos en materia de SSI y al hecho de que la seguridad organizacional constituye una parte importante de la seguridad global. ¿Cómo elaborar una PSSI utilizando EBIOS? Una solución eficaz para elaborar una PSSI consiste en: - Organizar el proyecto PSSI. Realizar un estudio EBIOS global. Extraer los datos necesarios del estudio EBIOS (fundamentalmente del estudio del contexto, la expresión de las necesidades de seguridad y el estudio de las amenazas). Realizar las últimas tareas mencionadas en la guía PSSI: o selección de los principios de seguridad y elaboración de las normas de seguridad, tareas facilitadas gracias al uso de los objetivos y requerimientos de seguridad surgidos del estudio EBIOS; o elaboración de los informes de síntesis; Página 2 de 6 Documento editado por la oficina de consultoría de la DCSSI o finalización y validación de la PSSI; o elaboración y validación del plan de acción. Para lograrlo, las actividades del método EBIOS se utilizan del siguiente modo: Actividades EBIOS ETAPA 1 Estudio del contexto Implementación con el fin de elaborar una PSSI En resumen: se profundiza el estudio del contexto, que figurará en el informe de estrategia de seguridad de la PSSI. Esta actividad debe ser detallada y completa. 1.1 – Estudio del organismo Se adaptará al objeto de la PSSI y a las características de organismo. Debe servir para identificar claramente los distintos procesos y funciones presentes y las limitaciones generales a fin de garantizar una mejor definición del sistema evaluado. Es fundamental no omitir las referencias reglamentarias y legales, así como las normas que debe respetar la organización. Esta actividad debe ser detallada y completa. Se deben definir y evaluar los retos a fin de poder, eventualmente, clasificar el(los) sistema(s) evaluados(s) (unos) en relación con otros e indicar el lugar que ocupa el sistema evaluado en términos de continuidad de la empresa. 1.2 – Estudio del sistema evaluado Sólo se considerarán los elementos verdaderamente esenciales. La descripción del sistema evaluado debe ser clara, concisa y lo más estandarizada posible. La definición de las hipótesis, normas de seguridad y referencias reglamentarias, así como las limitaciones, son indispensables para disponer de un contexto completo y adecuado. Es importante considerar las interfaces con los demás sistemas de información. Si se trata de una PSSI global del organismo, los elementos esenciales considerados podrán ser los ámbitos de actividad y los procesos más importantes de la empresa. 1.3 – Determinación del objetivo del estudio de seguridad Esta actividad contribuye a determinar los objetivos y requerimientos de seguridad, que servirán para redactar las normas de seguridad. Las principales entidades (o tipos de entidades) serán descriptas y cotejadas con los elementos esenciales. Página 3 de 6 Documento editado por la oficina de consultoría de la DCSSI Actividades EBIOS ETAPA 2 Implementación con el fin de elaborar una PSSI Expresión de las necesidades de seguridad En resumen: se detalla la escala de necesidades, que figurará en el informe de estrategia de seguridad de la PSSI. 2.1 – Realización de las fichas de necesidades 2.2 – Síntesis de las necesidades de seguridad ETAPA 3 Estudio de las amenazas 3.1 – Estudio de los orígenes de las amenazas 3.2 – Estudio de las vulnerabilidades 3.3 – Formalización de las amenazas La actividad debe ser detallada, estar completa y enriquecida con ejemplos provenientes del organismo. Los resultados estarán integrados en el informe de estrategia de seguridad de la PSSI. Los criterios de seguridad, la escala de necesidades y los impactos seleccionados deberían ser los mismos para todas las PSSI de la organización. Una síntesis de esta actividad podrá servir para ampliar el informe de estrategia de seguridad de la PSSI. Dicha síntesis especificará las necesidades de seguridad generales por debajo de las cuales es inaceptable situarse. Puede llegar a ser útil rellenar totalmente las fichas de expresión de las necesidades de seguridad (y no rellenar únicamente los valores finales) para identificar el vínculo existente entre los elementos esenciales y los impactos, así como la importancia relativa de los impactos. En resumen: se debe detallar el origen de las amenazas, que figurará en el informe de estrategia de seguridad de la PSSI, el estudio de las vulnerabilidades contribuirá aún más a la continuación de la PSSI. Esta actividad debe ser detallada y completa. La caracterización de los métodos de ataque y de los elementos peligrosos debe ser particularmente clara y precisa. Se debe indicar, explicitar y justificar el potencial de ataque de cada elemento peligroso. Se debe elaborar una lista de los métodos de ataque no considerados, incluyendo las justificaciones correspondientes. Esta actividad contribuye a determinar los objetivos y requerimientos de seguridad, que servirán para redactar las normas de seguridad. Puede no realizarse si se trata de una PSSI global. Se deben identificar todas las vulnerabilidades pertinentes, comprobadas o no. La escala eventualmente utilizada para los niveles de vulnerabilidad debería ser la misma para todas las PSSI de la organización. Esta actividad contribuye a determinar los objetivos y requerimientos de seguridad, que servirán para redactar las normas de seguridad. Esta actividad debe ser clara (a los fines de la comunicación) y precisa. Es preferible formular amenazas unitarias y específicas (una vulnerabilidad por amenaza). La jerarquización de las amenazas puede ser útil para determinar prioridades para su tratamiento. Página 4 de 6 Documento editado por la oficina de consultoría de la DCSSI Actividades EBIOS ETAPA 4 Identificación de los objetivos de seguridad 4.1 – Confrontación de las amenazas con las necesidades 4.2 - Formalización de los objetivos de seguridad 4.3 – Determinación de los niveles de seguridad ETAPA 5 Determinación de los requerimientos de seguridad 5.1 – Determinación de los requerimientos de seguridad funcionales 5.2 – Determinación de los requerimientos de seguridad de aseguramiento Implementación con el fin de elaborar una PSSI En resumen: se enumeran, sin tener en cuenta las redundancias, los objetivos de seguridad que figurarán en el informe de estrategia de seguridad y contribuirán a la elección de la justificación de los principios y normas considerados. Esta actividad contribuye a determinar los objetivos y requerimientos de seguridad, que servirán para redactar las normas de seguridad. Se deben identificar y formular los riesgos de manera uniforme. También es necesario jerarquizarlos, a fin de determinar prioridades para su tratamiento, e identificar eventuales riesgos residuales. En la medida de lo posible, se debe realizar una enumeración de los objetivos de seguridad, sin tener en cuenta aquellos objetivos redundantes, para enriquecer los ejes estratégicos del informe de estrategia de seguridad de la PSSI. La redacción de los objetivos de seguridad debe ser clara, precisa y uniforme, para poder justificar dichos objetivos mediante su contenido. Se deben identificar los eventuales riesgos residuales. Esta actividad contribuye a determinar los requerimientos de seguridad, que servirán para redactar las normas de seguridad. Puede no realizarse si se trata de una PSSI global. Los niveles de seguridad deben ser explícitos y deben estar debidamente justificados. En resumen: los requerimientos de seguridad funcionales y de aseguramiento podrán constituir directamente normas de seguridad de la PSSI, eventualmente serán completados con otras normas, elaboradas en respuesta a necesidades no cubiertas por el estudio EBIOS. Lo ideal sería que los requerimientos de seguridad funcionales fueran específicos (un actor y un ámbito cada vez), mensurables (definición del medio de control), alcanzables (eventualmente en varias etapas, proporcionando los recursos necesarios), realistas (en función de los actores, de sus capacidades) y estar encuadrados en el tiempo (hay una fecha límite, un plazo, un período definido). Una vez seleccionados, podrán constituir directamente una parte de las normas de seguridad de la PSSI. Se deben identificar los eventuales riesgos residuales. Los requerimientos de seguridad deberían clasificarse en función de los ámbitos cubiertos por la PSSI. En la medida de lo posible, los requerimientos de seguridad de aseguramiento deben ser específicos (un actor y un ámbito cada vez), mensurables (definición del medio de control), alcanzables (eventualmente en varias etapas, proporcionando los recursos necesarios), realistas (en función de los actores, de sus capacidades) y estar encuadrados en el tiempo (hay una fecha límite, un plazo, un período definido). Una vez seleccionados, podrán constituir directamente una parte de las normas de seguridad de la PSSI. Página 5 de 6 Documento editado por la oficina de consultoría de la DCSSI En resumen, los datos que pueden utilizarse son los siguientes: EBIOS PSSI Estudio del contexto Elementos estratégicos Estudio del organismo Perímetro de la PSSI Estudio del sistema objetivo Retos y orientaciones estratégicas Determinación del objeto del estudio Expresión de las necesidades de seguridad Realización de las fichas de necesidades Aspectos legales y reglamentarios Extracción y síntesis de los elementos necesarios Escala de necesidad Necesidades de seguridad Síntesis de las necesidades de seguridad Amenazas Determinación del modo de explotación Estudio de las amenazas Normas de seguridad Estudio de los orígenes de las amenazas Tema 1 Estudio de las vulnerabilidades Determinación de las amenazas Justificación de la elección de los principios de seguridad ... Tema N Identificación de los objetivos de seguridad Confrontación de las amenazas con las necesidades Determinación de los objetivos de seguridad Determinación de los niveles de seguridad Determinación de los requerimientos de seguridad Determinación de los requerimientos funcionales Determinación de los requerimientos de aseguramiento Presentación de los requerimientos de seguridad en forma de normas de seguridad justificadas (Para mayor información, escribir a: [email protected]) Página 6 de 6