Política de seguridad de TI

Una política de seguridad de TI es un plan de acción definido para mantener un cierto nivel de seguridad. Refleja la visión estratégica de la gestión de la organización (PYME, SMI, industria, administración, Estado, Uniones de Estados, etc.) en materia de seguridad informática .

Presentación

La política de seguridad informática es un componente de la política de seguridad del sistema de información . Por tanto, está intrínsecamente ligado a la seguridad de la información .

Define los objetivos de seguridad de los sistemas de TI de una organización.

La definición puede ser formal o informal. Las políticas de seguridad se hacen cumplir mediante procedimientos técnicos u organizativos. Una implementación técnica define si un sistema informático es seguro o no .

Diseño general

La política de seguridad informática se puede comparar con una cadena de eslabones más o menos resistentes. Luego se caracteriza por el nivel de seguridad del eslabón más débil.

Por tanto, la política de seguridad informática debe abordarse en un contexto global:

• conciencia del usuario sobre problemas de  seguridad o, en algunos casos, "  conciencia  " (los angloparlantes utilizan el término  conciencia );
• la  información de seguridad  ;
• la  seguridad de los datos , relacionada con cuestiones de interoperabilidad , y las necesidades de coherencia de los  datos en el universo distribuido  ;
• seguridad de la  red  ;
• seguridad de  los sistemas operativos  ;
• seguridad de las  telecomunicaciones  ;
• seguridad de la aplicación ( saturación del búfer ), por ejemplo mediante  programación segura  ;
• seguridad física, es decir, seguridad a nivel de infraestructuras físicas (ver la “estrategia de recuperación”).

Para algunos, la seguridad de los datos es la base de la seguridad del sistema de información, porque todos los sistemas utilizan datos y los datos comunes suelen ser muy heterogéneos (formato, estructura, ocurrencias, etc.).

Metas

Una vez que se han indicado los riesgos, es conveniente determinar los objetivos de seguridad. Estos objetivos son la expresión de la intención de contrarrestar los riesgos identificados y / o cumplir con las políticas de seguridad organizacional. Un objetivo puede relacionarse con el sistema de destino, su entorno de desarrollo o su entorno operativo. Estos objetivos pueden luego desglosarse en funciones de seguridad, que pueden implementarse en el sistema de información.

Principios

La seguridad de los sistemas de información generalmente se limita a garantizar los derechos de acceso a los datos y recursos de un sistema, mediante el establecimiento de mecanismos de autenticación y control. Estos mecanismos aseguran que los usuarios de dichos recursos solo tengan los derechos que les han sido otorgados.

Sin embargo, la seguridad informática debe estudiarse de tal manera que no impida que los usuarios desarrollen los usos que son necesarios para ellos y que puedan utilizar el sistema de información con confianza. Esta es la razón por la que primero es necesario definir una política de seguridad, es decir:

• desarrollar reglas y procedimientos, instalar herramientas técnicas en los distintos departamentos de la organización (alrededor de TI);
• definir las acciones a realizar y las personas a contactar en caso de que se detecte una intrusión;
• sensibilizar a los usuarios sobre los problemas relacionados con la seguridad de los sistemas de información;
• aclarar roles y responsabilidades.

La política de seguridad es, por tanto, el conjunto de pautas que sigue una entidad en materia de seguridad. Como tal, debe desarrollarse a nivel de la dirección de la organización en cuestión, porque concierne a todos los usuarios del sistema.

Descripción formal

Si un sistema informático se ve como una máquina de estados finitos con un conjunto de transiciones (operaciones) que cambian el estado del sistema, entonces una política de seguridad puede verse como un medio que divide esos estados en permitidos y no autorizados.

Dada esta simple definición, un sistema seguro se puede definir como uno que comienza en un estado autorizado y nunca entrará en un estado no autorizado.

Modelos formales de seguridad

Para alcanzar un objetivo de evaluación con un buen grado de confianza (TCSEC nivel E4 al menos), definimos formalmente el concepto de seguridad en un modelo cuyos objetivos son los siguientes:

• expresar las necesidades de seguridad integrada en un contexto de TI,
• proporcionar los medios para justificar que el modelo es coherente,
• proporcionar los medios para convencer de que se satisfacen las necesidades,
• proporcionar métodos para diseñar e implementar el sistema.

Hay varios  modelos de seguridad formales  :

• El  modelo Bell-LaPadula  (gestión de acceso por mandato, confidencialidad, estático) modelo que más se ha utilizado para verificar la seguridad de los sistemas informáticos. Los diseñadores de este modelo demostraron un teorema llamado  Teorema de seguridad básico  (BST). De este modelo se derivaron otros modelos: el de Biba (gestión de acceso por mandato, integridad, estático), el de  Dion  (gestión de acceso por mandato, confidencialidad e integridad, estático), de  Jajodia y Sandhu  (gestión de acceso por mandato, confidencialidad, estático).

• El  modelo de no deducción  (gestión de acceso por mandato, confidencialidad, dinámica) modelando el flujo de información utilizando conceptos de lógica. Los modelos de seguridad basados ​​en el principio del flujo de información tienen su utilidad en el control del acceso indirecto a la información: destacan el problema de  los canales ocultos .

• El  modelo HRU  (gestión de acceso discrecional) y sus derivados, el modelo Take-Grant  y el  modelo SPM .

Mercado de seguridad de TI

En 2011, el mercado global representó una facturación mundial de 17,7 mil millones de dólares según la firma de investigación  Gartner . El líder en este mercado fue el grupo californiano  Symantec  con el 20% de la participación de mercado, seguido de  McAfee  (7%), luego  Trend Micro  (6,8%) e  IBM  (5%). A modo de comparación durante el mismo período,  IDC  ocupó el primer lugar en Symantec  ($ 3.6 mil millones), luego  Cisco  ($ 1.7 mil millones),  McAfee  ($ 1.7 mil millones) seguido de IBM ,  Check Point  y  Trend Micro  (cada uno con aproximadamente $ 1.2 mil millones de participación de mercado). .

En 2007,  Kaspersky  cubría el 38% del mercado antivirus francés y el 18% de las suites de protección de Internet.

Gastos gubernamentales

A modo de comparación, aquí están los presupuestos de algunas agencias gubernamentales interesadas en la ciberseguridad:

•  American Cyber ​​Command para el año 2013: 182 millones de dólares estadounidenses.
• Agencia Nacional de Seguridad de los Sistemas de Información de Francia : 90 millones de euros para 2012.
• Bundesamt für Sicherheit in der Informationstechnik alemán  : 70 millones de euros en 2011.

Variaciones

A partir de una política de seguridad de TI global y general sobre los sistemas de TI , es posible desarrollar políticas de seguridad técnica por negocios, actividades o sistemas.

Así, podemos encontrar diferentes tipos de políticas de seguridad relacionadas con la seguridad informática:

• Política de seguridad de la red de TI
• Política de seguridad del sistema
• Política de contraseñas

Ver también

• seguridad informatica
• Software antivirus
• Cortafuegos (computadora)
• Política de seguridad del sistema de información
• Política de seguridad de la red de TI
• Endurecimiento (IT)

Notas y referencias

1. Gartner dice que el mercado de software de seguridad creció un 7,5 por ciento en 2011
2. DECLARACIÓN DEL GENERAL KEITH B. ALEXANDER COMMANDER COMANDO CIBERNÉTICO DE LOS ESTADOS UNIDOS ANTE EL SUBCOMITÉ DE SERVICIOS ARMADOS DE LA CASA SOBRE AMENAZAS Y CAPACIDADES EMERGENTES
3. Definición de ANSSI en el sitio tayo.fr
4. Bundesamt für Sicherheit in der Informationstechnik (BSI)