Seguridad de los sistemas de información

Este artículo puede contener trabajos no publicados o declaraciones no verificadas (diciembre 2018).

Puede ayudar agregando referencias o eliminando contenido no publicado. Consulte la página de discusión para obtener más detalles.

La seguridad de los sistemas de información ( ISS ) o más simplemente seguridad informática , son todos los recursos técnicos, organizativos, legales y humanos necesarios para la implementación de los medios encaminados a prevenir el uso no autorizado, mal uso, modificación o apropiación indebida del sistema de información . Garantizar la seguridad del sistema de información es una actividad de la gestión del sistema de información .

Hoy en día, la seguridad es un problema importante para las empresas, así como para todos los actores que la rodean. Ya no se limita únicamente al papel del científico informático. Su objetivo a largo plazo es mantener la confianza de usuarios y clientes. El objetivo a mediano plazo es la coherencia de todo el sistema de información. A corto plazo, el objetivo es que todos tengan acceso a la información que necesitan. El estándar que trata sobre los sistemas de gestión de seguridad de la información (SGSI) es ISO / CEI 27001 que hace hincapié en Confidencialidad - Integridad - Disponibilidad , es decir en francés disponibilidad , integridad y confidencialidad .

Histórico

Los administradores de sistemas de información se han preocupado durante mucho tiempo por la seguridad de los datos. El caso más extendido, y sin duda un precursor en términos de seguridad de la información , sigue siendo el aseguramiento de la información estratégica y militar. El Departamento de Defensa de los Estados Unidos (DoD) está en el origen del TCSEC , un trabajo de referencia sobre el tema. Asimismo, el principio de seguridad multinivel tiene su origen en la investigación para resolver problemas de seguridad de la información militar . La defensa en profundidad , sacada directamente de una antigua práctica militar, y sigue siendo relevante hoy en día. Esta práctica consiste en asegurar cada subconjunto de un sistema.

Las consecuencias de una mala seguridad pueden afectar a las organizaciones, pero también a la vida privada de una o más personas, en particular por la difusión de información confidencial como sus datos bancarios, su situación financiera, sus códigos confidenciales, etc. Con carácter general, la conservación de los datos relativos a las personas físicas está sujeta a obligaciones legales reguladas por la Ley de Protección de Datos .

Hoy en día, se acepta generalmente que la seguridad no se puede garantizar al 100% y, por lo tanto, la mayoría de las veces requiere la movilización de una serie de medidas para reducir las posibilidades de penetración de los sistemas de información.

Metas

“El sistema de información representa un patrimonio esencial de la organización, que debe ser protegido. La seguridad de TI consiste en garantizar que los recursos de hardware o software de una organización se utilicen solo para el propósito previsto. "

La seguridad de los sistemas de información tiene los siguientes objetivos (CAID):

1. Confidencialidad  : solo las personas autorizadas pueden tener acceso a la información destinada a ellos (nociones de derechos o permisos). Debe evitarse cualquier acceso no deseado.
2. Autenticidad  : los usuarios deben acreditar su identidad mediante un código de acceso. La identificación y la autenticación no deben mezclarse: en el primer caso, el usuario es reconocido solo por su identificador público, mientras que en el segundo caso, debe proporcionar una contraseña o un elemento que solo él conoce (secreto) . Hacer coincidir un identificador público con un secreto es el mecanismo para garantizar la autenticidad del identificador. Esto permite gestionar los derechos de acceso a los recursos en cuestión y mantener la confianza en las relaciones de intercambio.
3. Integridad  : los datos deben ser los esperados y no deben ser alterados por casualidad, ilícitos o maliciosos. Claramente, los elementos considerados deben ser exactos y completos. Este objetivo generalmente utiliza métodos de cálculo de suma de comprobación o hash.
4. Disponibilidad  : el acceso a los recursos del sistema de información debe ser permanente e impecable durante los periodos de uso previstos. Los servicios y recursos son accesibles rápida y regularmente.

Otros aspectos también pueden ser considerados como objetivos de seguridad de los sistemas de información, tales como:

1. Trazabilidad (o “  prueba  ”): garantiza que los accesos e intentos de acceso a los elementos considerados son rastreados y que estos rastros son conservados y utilizables.
2. No repudio e imputación  : ningún usuario debe poder impugnar las operaciones que ha realizado en el marco de sus acciones autorizadas y ningún tercero debe poder atribuirse las acciones de otro usuario.

Una vez determinados los objetivos de seguridad, se pueden estimar los riesgos que pesan sobre cada uno de estos elementos según las amenazas . El nivel general de seguridad del sistema de información se define por el nivel de seguridad del eslabón más débil. Las precauciones y contramedidas deben considerarse en función de las vulnerabilidades específicas del contexto al que se supone que el sistema de información debe brindar servicio y soporte.

Para ello, es necesario estimar:

• La gravedad de las consecuencias en caso de que se materialicen los riesgos;
• La probabilidad de los riesgos (o su potencial , o incluso su probabilidad de ocurrencia ).

Enfoque general

Para asegurar los sistemas de información, el enfoque adopta una espiral evolutiva regular: el final de un ciclo conduce al inicio de uno nuevo, como en la rueda de Deming . En seguridad, esto consiste en:

evaluar los riesgos y su criticidad ¿Qué riesgos y amenazas, sobre qué datos y qué actividades, con qué consecuencias?
Hablamos de “  mapeo de riesgos  ”. La calidad de este mapeo depende de la calidad de la seguridad que se implementará. buscar y seleccionar desfiles ¿Qué vamos a asegurar, cuándo y cómo?
Etapa difícil de opciones de seguridad: en un contexto de recursos limitados (en tiempo, habilidades y dinero), solo se pueden implementar ciertas soluciones. implementar las protecciones y verificar su efectividad Esta es la culminación de la fase de análisis y comienza la protección del sistema de información. Una debilidad frecuente de esta fase es omitir la verificación de que las protecciones son efectivamente efectivas (pruebas de funcionamiento en modo degradado, pruebas de recuperación de datos, pruebas de ataques maliciosos, etc.).

Enfoque por fases (sección con fuentes insuficientes)

Plan de fase  : Planificación del proceso de obtención de los sistemas de información

Paso 1: alcance y política

Es importante tener en cuenta los activos que tienen valor al definir un alcance del sistema de gestión del sistema de información . Puede enfocarse en toda la empresa, en un sitio específico, en un servicio dependiendo de la estrategia de la empresa. El capital intelectual de las empresas integra información sensible , este patrimonio informativo debe ser protegido. Por lo tanto, la empresa debe implementar una política de seguridad para los sistemas de información, la seguridad de los datos y los mecanismos de identificación . Además, es necesario definir una política SGSI, que es el compromiso de la empresa con una determinada cantidad de puntos en materia de seguridad. Estos dos puntos forman la piedra angular de la CMSI , con el objetivo de establecer la norma ISO / IEC 27001 y, por tanto, brindar confianza a las partes interesadas.

Paso 2: evaluación de riesgos

Intentar asegurar un sistema de información equivale a intentar protegerse de amenazas intencionales y de forma más general de todos los riesgos que puedan influir en la seguridad de éste o de la información que procesa.

Método de análisis de riesgos

Existen diferentes métodos de análisis de riesgos en el sistema de información. Estos son los métodos de evaluación de riesgos más comunes:

En Francia, el primer método desarrollado fue Marion. En la actualidad, ha sido sustituido, aunque algunas empresas han mantenido este modelo inicial, por el método Méhari (Método armonizado de análisis de riesgos ) desarrollado por CLUSIF , y por el método EBIOS ( Expresión de necesidades e identificación de objetivos de seguridad ) desarrollado por la Agencia Nacional de Seguridad de los Sistemas de Información ( ANSSI ).

En Inglaterra, Cramm es un método de análisis de riesgos desarrollado por la organización gubernamental del Reino Unido ACTC (Agencia Central de Comunicaciones y Telecomunicaciones). Este es el método de análisis de riesgo preferido por el gobierno del Reino Unido, pero también lo utilizan muchos otros países.

Estados Unidos utiliza OCTAVE ( Evaluación de amenazas, activos y vulnerabilidades operativamente críticas ), desarrollado por la Universidad Carnegie Mellon.

A nivel internacional, se utiliza ISO / IEC 27005 , que es un estándar internacional que reúne punto por punto los requisitos de la certificación ISO / IEC 27001 . Es el estándar más reciente, además es de fácil aplicación porque es pragmático.

Otros métodos más utilizados a nivel internacional

Método	Autor	País
Evaluación de riesgos	Platino al cuadrado	Reino Unido
Afhankelijkheids	Ministerio holandés	Países Bajos
ISAMM	Evosec	Bélgica
IT-Grundschutz	BSI	Alemania
Magerit	Ministerio español	España
Migra	AMTEC / ElsagDatamat	Italia
SP 800-30	NIST	EE.UU
ISO 17799	YO ASI	Internacional
ISO 13335	YO ASI	Internacional
ISO 14408	YO ASI	Internacional

Aunque el propósito de estos métodos es el mismo, los términos y expresiones utilizados pueden variar. Los utilizados anteriormente están generalmente inspirados en el método Feros .

Paradójicamente, en las empresas, la definición de indicadores de "seguridad de SI" mensurables y relevantes que luego permitan la definición de objetivos de tiempo razonable está resultando delicada. Para medir el desempeño, podemos designar como indicadores los estados de instalación de herramientas o procedimientos, pero los indicadores de resultado son más complejos de definir y evaluar, por ejemplo los relativos a “alertas de virus” .

Identificar activos

Consiste en hacer una lista de todos los elementos de información importantes dentro del perímetro del SGSI. Existen diferentes tipos de activos:

1. equipo
2. físico
3. software
4. humano
5. documentos
6. intangible

Para la identificación de activos surgen tres problemas:

1. El nivel de granularidad  : cuanto mayor es la noción de granularidad, más amplia es la noción de activo.
2. Enumere los más importantes: el objetivo no es hacer una lista exhaustiva de activos, sino identificar los más importantes.
3. No confunda activos con activos de información: un activo es algo que tiene valor para la empresa, mientras que un activo de información es lo importante en términos de información.

Ahora es fundamental contar con planes de seguridad empresarial para garantizar la continuidad y la recuperación si se produce un desastre ( plan de recuperación empresarial ). Estos planes intentan minimizar la pérdida de datos y aumentar la capacidad de respuesta en caso de un desastre mayor. Un plan de continuidad empresarial eficaz es prácticamente transparente para los usuarios y garantiza la integridad de los datos sin pérdida de información.

Identificar personas responsables

Es el responsable de un bien quien responde por él. Este suele ser el que mejor conoce el valor y el impacto de la disponibilidad , la integridad y la confidencialidad de los activos . En una empresa, generalmente es el responsable de la seguridad de los sistemas de información quien mejor conoce los activos de información.

Identificar vulnerabilidades

Cada activo listado tiene vulnerabilidades; es una propiedad intrínseca del activo que lo expone a amenazas.

Identificar y modelar amenazas

Las vulnerabilidades identificadas previamente exponen los activos a amenazas. El estándar ISO / CEI 27001 requiere la identificación de amenazas para todos los activos listados.

Las principales amenazas a las que puede enfrentarse un sistema de información son:

1. un usuario del sistema: la gran mayoría de problemas relacionados con la seguridad de un sistema de información tienen su origen en un usuario, generalmente imprudente. No tiene el deseo de socavar la integridad del sistema en el que trabaja, pero su comportamiento promueve el peligro;
2. una persona malintencionada  : una persona logra ingresar al sistema, legítimamente o no, y luego obtener acceso a datos o programas a los que se supone que no debe tener acceso. El caso frecuente es pasar por software utilizado dentro del sistema, pero mal asegurado. El hombro surfeando es un defecto.
3. un programa malicioso  : un programa destinado a dañar o abusar de los recursos del sistema se instala (accidental o maliciosamente) en el sistema, lo que abre la puerta a la intrusión o la modificación de datos; los datos confidenciales pueden recopilarse sin el conocimiento del usuario y reutilizarse con fines maliciosos;
4. un desastre (robo, incendio, daños por agua): manejo inadecuado o intención maliciosa que resulta en la pérdida de equipo y / o datos.

Identifica las consecuencias

La norma ISO 27001 obliga a evaluar las consecuencias; tales como: pérdida de confidencialidad, disponibilidad o integridad. Esto equivale a otorgar una puntuación tridimensional ( confidencialidad  ; disponibilidad e integridad ), según criterios definidos, para cada activo .

Identificar daño

Cuatro tipos de daños pueden afectar el sistema de información de una organización:

1. Daño financiero:
   1. En forma de daño directo, es la acción de reconstituir bases de datos que han desaparecido, de reconfigurar una flota de estaciones informáticas o de reescribir una aplicación,
   2. En forma de daños indirectos, se trata de una indemnización para las víctimas de la piratería, el robo de un secreto comercial o la pérdida de mercados comerciales  ;
2. La pérdida de la marca  :
   1. Pérdida directa a través de publicidad negativa sobre seguridad insuficiente, como phishing ,
   2. Pérdida indirecta debido a la disminución de la confianza del público en una sociedad, por ejemplo, técnicas de desfiguración generalizadas  ;
3. Daños reglamentarios  :
   1. La falta de disponibilidad de un sistema de información puede poner a la entidad en incumplimiento de sus obligaciones legales y legales;
4. Daños ecológicos y / o sanitarios:
   1. La falla de un sistema puede causar desastres ecológicos ( por ejemplo: AZF, derrames de petróleo, etc.),
   2. La falla de un sistema puede causar daños a la salud ( por ejemplo , plantas de energía nuclear, etc.).

Evaluar la probabilidad

Esto implica volver a poner el activo de información en su contexto ambiental y, por lo tanto, tener en cuenta las medidas que ya están implementadas ( por ejemplo, si un archivo de un cliente ya está encriptado, entonces la probabilidad de ver comprometida su confidencialidad es limitada). Es posible evaluar la noción de probabilidad mediante una puntuación en una escala del 1 al 5.

Estimar los niveles de riesgo

La asignación de una puntuación final reflejará el nivel real de riesgo teniendo en cuenta los elementos anteriores. La norma ISO 27001 no impone ninguna fórmula, por lo que corresponde al implementador elegirla. Puede ser una puntuación de 0 a 100 o un código de color.

Paso 3: Trate el riesgo e identifique el riesgo residual

La empresa puede afrontar los riesgos identificados de 4 formas:

Acepta el riesgo solución ad hoc cuando la ocurrencia del riesgo tiene repercusiones aceptables para la empresa. Evita el riesgo solución cuando las consecuencias de un ataque se consideran demasiado peligrosas para la empresa. Transferir el riesgo solución cuando la empresa no puede afrontar el riesgo por sus propios medios (contratación de seguros o subcontratación ). Reducir el riesgo solución para hacer aceptable el riesgo.

Finalmente, no debemos olvidar tener en cuenta los “riesgos residuales” que persisten tras la implementación de todas las medidas de seguridad. Se deben tomar medidas de protección adicionales para que estos riesgos sean aceptables.

Paso 4: Seleccione las medidas a implementar (Anexo A de ISO / IEC 27001)

La implementación de la norma ISO2 / CEI 27001 generalmente se lleva a cabo en cinco fases complementarias:

• Reunión de lanzamiento de la fase 1: esta reunión sirve para enmarcar el desempeño y presentar el enfoque de los consultores.
• Entrevistas Fase 2: reuniones con los distintos responsables de los servicios clave de la empresa para hacer balance de su nivel de cumplimiento de la norma ISO / CEI 27001 .
• Fase 3 Familiarización con la documentación: documentos de política general ( política de seguridad , estatuto de usuario, etc.), documentos de política específicos (contraseñas, acceso remoto y procedimiento).
• Fase 4 Redacción del informe: informe teniendo en cuenta todos los elementos obtenidos durante las fases anteriores.
• Fase 5 Presentación de resultados: reunión en la que se discuten los siguientes puntos; resumen de puntos clave, presentación del plan de cumplimiento ISO / IEC 27001 y discusión.

Fase hacer  : Establecimiento de objetivos

Plan de tratamiento de riesgos

La etapa de planificación identifica las medidas a tomar en la organización, pero no permite que se implementen de manera concreta. Deben organizarse, seleccionar los medios necesarios y definir las responsabilidades mediante el establecimiento de un plan de tratamiento de riesgos. Este paso se enmarca en la gestión de proyectos .

Implementar medidas de seguridad

Se pueden implementar muchos medios técnicos para garantizar la seguridad del sistema de información . Es recomendable elegir los medios necesarios, suficientes y justos. Aquí hay una lista no exhaustiva de medios técnicos que pueden satisfacer ciertas necesidades de seguridad del sistema de información:

1. Control de acceso al sistema de información  ;
2. Monitoreo de red: rastreador , sistema de detección de intrusos  ;
3. Seguridad de la aplicación: separación de privilegios , auditoría de código , ingeniería inversa  ;
4. Uso de tecnologías ad hoc  : firewall , UTM , anti- malware ( antivirus , anti- spam , anti- spyware );
5. Criptografía  : autenticación fuerte , infraestructura de clave pública , cifrado .
6. Plan de continuidad empresarial  : copia de seguridad y restauración de datos, plan de recuperación empresarial .

Generar indicadores

Una de las nuevas características de ISO / IEC 27001 es requerir controles de seguridad regulares. El gerente debe elegir indicadores que midan su confiabilidad. Pueden ser de dos tipos:

1. indicadores de desempeño  : miden la efectividad de las medidas;
2. indicadores de cumplimiento: miden la adecuación de las medidas a los estándares .

Capacitar y educar al personal

Informar al personal es fundamental para el éxito de un proyecto de seguridad de SI, para que comprendan su utilidad y sepan cómo aplicarlo. Por lo tanto, es una buena práctica concienciar a todo el personal sobre los problemas de seguridad de TI de su organización, de manera general. Esta explicación debe recordar los compromisos de la organización, y dar ejemplos muy prácticos y procedimientos internos para evitar las incidencias más habituales. Los empleados directamente involucrados en la seguridad de TI deben estar capacitados para que sepan cómo utilizar correctamente las herramientas.

La capacitación, incluida la inoculación psicológica contra las técnicas de ingeniería social, permite a las personas resistir las tentaciones de desviarse de los procedimientos y principios de seguridad.

Gestionar el SGSI a diario

La norma ISO / IEC 27001 no solo requiere la implementación de un sistema de seguridad, sino también la prueba de su efectividad. Por tanto, las empresas deben gestionar adecuadamente sus recursos y desarrollar la trazabilidad .

Detección y respuesta rápida de incidentes

Esta fase se basa en la teoría de la seguridad basada en el tiempo . El principio es tener en cuenta el tiempo necesario para que un ataque de seguridad tenga éxito. Durante este tiempo, la empresa debe poder detectar y responder a la amenaza, con un margen adicional de seguridad.

Fase de verificación  : establecimiento de medios de control

Debe haber medios de control para monitorear la efectividad del SGSI, así como su cumplimiento.

Hay herramientas para verificar esto como:

Las auditorías internas  Auditoría planificada con mucha antelación y llamando a los oyentes.

El control interno  : Monitorea constantemente dentro de la organización para asegurar que todos apliquen los procedimientos diariamente.

Reseñas: Dé un paso atrás para alinear la CMSI y su entorno.

Podemos ayudarnos a nosotros mismos al:

• COBIT  : permite el análisis de riesgos y el control de inversiones
• ITIL  : el objetivo es promover la eficiencia empresarial en el uso de SI para cumplir con las demandas organizacionales para reducir costos mientras se mantienen o mejoran los servicios de TI
• ISO / IEC 27007  : directrices para ayudar a los auditores internos o externos a comprobar si el SGSI está desarrollado correctamente.

Ley de fase  : Ejecución de las acciones

Después de resaltar cualquier mal funcionamiento gracias a la fase de Verificación, es importante analizarlos y poner en marcha:

• Acciones correctivas  : Es necesario actuar sobre el mal funcionamiento y eliminar sus efectos.
• Acciones preventivas  : Actuamos antes de que ocurra la disfunción.
• Acciones de mejora: Mejoramos el desempeño de un proceso.

Notas y referencias

1. JF Pillou, Todo sobre sistemas de información, Paris Dunod 2006, Collect ° Commentcamarche.net
2. Agencia Nacional para la Seguridad de la Información, Amenazas a los sistemas informáticos , París, ANSSI,2006( leer en línea )

Ver también

Artículos relacionados

• Suite ISO / IEC 27000 , sistema de gestión de seguridad de la información
• Agencia Nacional de Seguridad de los Sistemas de Información o ANSSI
• Centro gubernamental para monitorear, alertar y responder a ataques informáticos (CERT-FR)
• certificado electronico
• Cigref (Club de TI de las grandes empresas francesas)
• Club francés de seguridad de la información (CLUSIF)
• Cerdos bailando
• Equipo de respuesta a emergencias informáticas o CERT: coordinación europea de seguridad informática
• Ley de abuso y fraude informático , legislación de EE. UU.
• Ciberdelito
• La seguridad cibernética
• Expresión de necesidades e identificación de objetivos de seguridad o EBIOS: el método de gestión de riesgos ANSSI
• Federación de profesionales de pruebas intrusivas
• Foro Internacional de Ciberseguridad (FIC)
• Fuga de información
• Arriesgalo)
• Criterios de evaluación de la seguridad de las tecnologías de la información (ITSEC: estándar para la seguridad de los sistemas de información)
• Método de análisis de riesgos armonizado (MEHARI: método de gestión de riesgos CLUSIF
• Plausibilidad
• Modelo de amenaza
• Política de seguridad del sistema de información
• Política de seguridad de TI
• Seguridad de información
• Seguridad de los sistemas telefónicos
• Seguridad de Internet
• Sistema de gestión de tarjetas inteligentes
• Soberanía digital
• Seguridad de los sistemas ciberfísicos
• Seguridad del mainframe de IBM
• Caso de filtración de datos sanitarios de laboratorios franceses
• Tehtris
• Análisis de malware

enlaces externos

• Normas de seguridad: métodos de análisis de riesgos
• (en) Sitio de la Agencia de la Unión Europea para la Seguridad de las Redes y la Información
• Sitio institucional de ANSSI y Circular No. CERTA 2006-INF-002
• Sitio web de ANSSI sobre seguridad informática para el público en general
• Sitio de información del Estado francés sobre seguridad informática para el público en general
• Los requisitos de seguridad informática que existen en la legislación francesa , especialmente en la regulación de los datos personales.

Bibliografía

• Daniel Guinier , Seguridad y calidad de los sistemas de información: Enfoque sistémico , Masson,1992, 298  p. ( ISBN  978-2-225-82686-3 )
• Fernandez-Toro , Gerencia de Seguridad de la Información. Auditoría de implementación y certificación ISO 27001 , Eyrolles ,2012
• Bernard Foray , The RSSI function (Information System Security Manager): Guide to practices and feedback - 2nd edition , Dunod ,2011