El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Requisitos de seguridad y framework SABSA

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Empecemos por analizar las bases tradicionales de los planes de seguridad, añadiremos nuevas ideas que han surgido con el paso del tiempo y desembocaremos en el framework SABSA, por su interesante concepto de integración.

Transcripción

La tríada clásica sobre la que debe establecerse un buen plan de seguridad de la información es conocida por sus siglas en inglés como CIA, Confidencialidad para que solo accedan a los datos quienes deben. integridad para que no puedan ser manipulados. Y disponibilidad, en inglés availability, para que los datos puedan ser accedidos o transmitidos siempre que sea necesario. Una medida de precaución extra, que debe ser considerada y evaluada es la no repudiación, por ejemplo, vital en comercio electrónico. Otra, relacionada con la anterior, sería evitar que un sistema sea seguro en exceso hasta el punto que pueda impedirnos hacer lo que necesitamos hacer. Se trata de minimizar o anular los falsos positivos, es decir, que un sistema pueda considerar como ataques o intrusiones acciones normales. Los falsos positivos derivan en pérdida de tiempo y recursos, incomodidad de los usuarios que pueden acabar queriendo evadir o desactivar medidas de seguridad, y en intervención excesiva de los administradores de sistemas. Con una visión más allá de la tríada CIA, en 2005, se diseñó una arquitectura conocida como SABSA, siglas de Sherwood Applied Business Security Architecture, o lo que es lo mismo, Arquitectura de Seguridad Empresarial Aplicada de Sherwood. SABSA es un framework de arquitectura de seguridad y de gestión de servicios, cuya principal característica es entender que cualquier plan, framework o servicio de la empresa debe orientarse a beneficiar y facilitar los objetivos empresariales de esta. Además lo que la seguridad debe proteger no son ítems o recursos específicos, sino los beneficios de la empresa. Un análisis basado en SABSA implica comprender los requisitos del negocio, desarrollar una arquitectura de seguridad que los refuerce, diseñar e implementar los medios y planes necesarios para hacer efectiva dicha arquitectura, y, por último, gestionar la seguridad a lo largo de la vida de la empresa. La herramienta principal de este framework es la conocida como matriz de SABSA, que establece seis puntos de vista a considerar y plantea seis preguntas a cada uno de ellos. Los puntos de vista son: El contextual o punto de vista de negocio. Conceptual o punto de vista de arquitecto. Lógico, cómo lo ve el diseñador. Físico para constructor o implementador. Por componentes para los comerciales. Y operacional para el administrador de sistemas. Las preguntas que hay que responder para cada uno de esos asuntos son: ¿Qué? Para los recursos. ¿Por qué? Para entender la motivación. ¿Cómo? Para definir los procesos. ¿Quién? Para designar responsables. ¿Dónde? Para delimitar áreas de alcance. ¿Cuándo? Para establecer plazos y periodos Responder a estas preguntas para cada contexto implica haber desarrollado un plan de empresa completo, incluyendo la arquitectura de seguridad. La matriz se interpreta línea a línea, es decir, se empieza por responder qué al contexto de la empresa, es decir, ¿para qué está la empresa? ¿Cuáles son sus metas y objetivos? Así sabremos que la seguridad debe estar orientada a que el camino de la empresa no se desvíe de estas metas. Si nuestra empresa es un mayorista de productos para otros negocios, tenemos que orientar la seguridad a ser capaces de garantizar nuestro servicio de suministro con la calidad deseada. Siguiendo con el contexto de la empresa, la siguiente pregunta es el por qué. Para este punto, podemos recurrir a un sistema de oportunidades y amenazas para nuestro negocio. El proceso responde al cómo, es decir, al método que emplearíamos para conseguir aprovechar las oportunidades identificadas mientras evitamos o reducimos el riesgo asociado a las amenazas. La respuesta al cómo contextual son los procesos de la empresa. El organigrama de la empresa respondería al quién. El dónde lo contestaríamos con la ubicación de nuestra sede, e incluso con los mercados geográficos de interés. Y el cuándo con los plazos y dependencias temporales de la empresa. Así pues, la seguridad debe ir orientada a proteger los beneficios de la empresa a fortalecer sus oportunidades, y anular amenazas dentro de los demás contextos establecidos. Para cumplir este objetivo, SABSA asocia a cada requisito del negocio un controlador de negocio o business driver. Un ejemplo de controlador de negocio podríamos verlo del siguiente modo. Un requisito del negocio puede ser cumplir con una legislación de protección de datos de carácter personal respecto los datos de nuestros clientes. Los controles de seguridad serían garantizar confidencialidad de los datos, evitar su pérdida, manipulación o corrupción y evaluar periódicamente el cumplimiento de la normativa. Una vez identificados los controles de seguridad, el responsable de la arquitectura de procesos podrá trabajar con dichos controladores desde un punto de vista más centrado en la seguridad, realizando una evaluación de riesgos y desarrollando los procesos adecuados para garantizar la seguridad del recurso frente a las amenazas detectadas. Es decir, que pasaremos a la segunda fila de la matriz SABSA, la conceptual. La principal ventaja que hemos alcanzado con el formato de controladores de negocio es que tanto el personal directivo de la empresa como el área de IT y los responsables de seguridad están hablando el mismo lenguaje. Los controladores tienen otro elemento que los caracteriza: el atributo. Son características relevantes a la hora de garantizar el éxito de la empresa. Así pues, la confidencialidad, integridad y disponibilidad de las que hablábamos son atributos. En realidad, solo 3 de los 85 que sugiere el framework SABSA, aparte de los que podemos diseñar por necesidades concretas de nuestro modelo de negocio. Si hablamos de la disponibilidad de servicio como atributo de controlador, debemos considerar todo lo que implica este atributo. Por ejemplo, un servicio puede estar disponible, pero además el usuario tiene que poder registrarse y tiene que obtener respuesta a sus solicitudes y estas ser fiables. Un ejemplo fácil de ver sería una base de datos de proveedores con la que el responsable de suministros tenga que trabajar. El servidor está disponible y en red. Las credenciales del usuario están dadas de alta en el servidor. El usuario tiene los privilegios apropiados a su tarea. Y la conexión entre cliente y servidor es estable, rápida y segura, por lo que el usuario puede utilizar el servicio con comodidad y confiar que los datos transmitidos mantienen su integridad. Las medidas de seguridad que se podrían aplicar para algunos posibles atributos de un servicio serían: Disponibilidad. Mediante balanceadores de carga para evitar saturación del tráfico. Accesibilidad. Mediante redes redundantes para soportar caídas, por ejemplo, por fallo de líneas del ISP que corten la conexión VPN entre una sede de la empresa y la sede donde están los servidores. Eficiencia. Mediante un dimensionamiento adecuado de los recursos de red. Fiabilidad. Mediante pruebas de sobrecarga del sistema. En la web oficial de SABSA, sabsa.org, encontramos el white paper del framework con información detallada de controladores y atributos, así como de los componentes de la matriz SABSA.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.