El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Arquitectura de riesgos de seguridad (De CIA a SABSA)

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Ahora veamos en detalle la estructura del framework SABSA, cómo evalúa los riesgos, cómo categoriza y describe las necesidades de la organización y cómo se implementan los controles de seguridad para que las primeras no afecten a las segundas.

Transcripción

Al establecer un framework, como SABSA, se estudian los riesgos para los objetivos empresariales, se establecen controles para mitigar los riesgos, se evalúan los riesgos, y se diseñan los controles a nivel de sus atributos mediante el análisis de atributos del negocio. El framework SABSA no incluye métodos de análisis y evaluación de riesgos por lo que se utilizan los métodos establecidos en la ISO 27005 o en el SP800-30 del Instituto Nacional de Estándares y Tecnología, o NIST. Ambos documentos, con iguales objetivos, y no demasiado diferentes el uno del otro. Pongamos un ejemplo de requisito del negocio, como puede ser externalizar el servicio de recursos humanos para definirlo desde el punto de vista de SABSA. Para ello, deberemos definir los controladores y sus atributos de forma escalada, de forma que los atributos describan apropiadamente a su controlador, y los controladores representen fielmente al requisito de negocio al que sirven. Es decir, en una estructura arbórea comprensible. Por ejemplo, el controlador de controladores de privacidad y seguridad, dada su generalidad, puede descomponerse en secciones más limitadas antes de asignarles los atributos. Así pues, los controles de privacidad y seguridad efectivos pueden descomponerse en: Control de accesos, por ejemplo, mediante cuentas de usuario con contraseña; revisión de acceso para comprobación de privilegios asignados; establecer controles adicionales para acceso con privilegios como, por ejemplo, con doble factor de autenticación; comprobación de adecuación legal del almacenamiento de datos personales en infraestructuras externas; y cifrado de datos almacenados en el proveedor de servicio de recursos humanos. Ahora sí, uno de estos subcontroles puede ser fácilmente descrito mediante atributos, por ejemplo, como se muestra en la tabla que tenemos en pantalla para el ejemplo anterior. En la tabla, vemos cómo en la fila BD1.1 referida al controlador de control de acceso tenemos asignados los atributos Acceso Controlado, Identificado, Autenticado, autorizado y auditable. Así pues, un usuario tendrá que identificarse para acceder al sistema. Su identidad será verificada; solo accederá en función de los privilegios de autorización dispuestos y el acceso quedará registrado. SABSA también propone una forma de definir los atributos mediante tablas estructuradas. Como vemos en la imagen, cada tabla de atributo incluye una descripción del mismo, de cómo se evalúa el riesgo y de qué valores es aceptable según esa medida para considerar que estamos cumpliendo los objetivos. A la izquierda, anotamos el nombre del atributo; en la fila superior, una descripción del mismo; y en las dos filas siguientes, divididas a su vez en dos columnas, indicamos, primero, la métrica a emplear para evaluar y la descripción de dicha métrica y, después, el valor de riego de dicha métrica, y el que asociamos con el éxito del control aplicado. Así, según el ejemplo, definimos el atributo disponibilidad como un nivel de servicio superior al 98,5 % del tiempo. La métrica se mide en tanto por ciento de tiempo activo, mediante comprobaciones periódicas, y registrando caídas de servicio y faltas del mismo por mantenimiento. El período de cálculo será mensual. Por tanto, se establece 98,5 % como valor crítico, es decir, el mínimo tiempo de servicio disponible para considerar que se está cumpliendo el SLA. Y el segundo límite es del 99 %. Si la medida bajase de este punto, habría que tomar medidas para evitar que continuase bajando hasta el valor crítico. En esta tabla, vemos un ejemplo de atributo de identificación de usuarios para el que no existe opción de pérdida de servicio es decir, se requiere el 100 %. En el clásico diagrama de evaluación de riesgos de impacto y probabilidad, el primer límite sería el que posiciona el riesgo en la zona de Intolerable, mientras que el segundo límite sería la transición de la zona que separa el riesgo Medio y el Alto. En lugar de listar los riesgos uno por uno, una forma interesante de tener una visión global del estado de seguridad es mediante taxonomías de atributos. Lo que hacemos es agrupar los distintos atributos en función de una categoría. En el ejemplo, tenemos tres taxonomías: procesos, seguridad y adecuación de privacidad. En cada una de ellas, listamos los atributos asociados y, mediante un código de colores, representamos el nivel de riesgo actual en base a los parámetros que hemos definido en las tablas de cada atributo. Es decir, si el valor de riesgo está por encima del segundo límite de medida del atributo estaría bien, y lo representaríamos en verde. Entre el primer y el segundo valor lo representaríamos en naranja, porque no está mal, pero está cerca de empeorar; y si está por debajo del nivel mínimo aceptable, lo representamos en rojo. De esta forma, de un solo vistazo sabemos qué taxonomías tenemos completamente cubiertas y, corrigiendo el estado de qué atributos, mejoraríamos rápidamente la situación global.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.