Esquemas de Seguridad Informática

Perfiles de Protección Estructura - Entorno de seguridad

Se deben describir los aspectos de seguridad del entorno en el cual se pretende utilizar el objetivo de evaluación y la forma como se espera éste sea empleado, de manera que debe incluir:

  • Una descripción de las hipótesis.

  • Una descripción de las amenazas.

  • Una descripción de las políticas de seguridad organizacional.

En el entorno de seguridad:

  • La descripción se enfoca principalmente a las necesidades del usuario y con ello facilita la definición de requerimientos.

  • El análisis considera los diversos factores con los que interactúa.

  • Su análisis hace explícitas las hipótesis que se plantea al desarrollar el PP y las expectativas sobre el entorno que no se resolverán en otros ámbitos.

  • Su análisis identifica las amenazas a las que está expuesto el objeto de evaluación y determina las políticas de seguridad que deberán operar para resguardar el entorno.

Hipótesis

A través de las hipótesis se mostrarán los aspectos de seguridad del entorno, para lo cual se debe incluir: información acerca de cómo se pretende utilizar el objeto de evaluación, información acerca del entorno de uso objeto de evaluación. Así:


  • Con base en el entorno y su interacción con diversos elementos, se establecen las hipótesis, esto es, la forma en que se considera debería comportarse de manera segura el objeto de evaluación.


  • Deben identificarse las hipótesis y el alcance de los requerimientos relacionados con el entorno físico, el personal, los procedimientos y la conectividad.


  • Debe evitarse, en la medida de lo posible, incluir detalles de las funciones de seguridad en la definición de hipótesis.


  • Debe asignarse una etiqueta o nombre a cada hipótesis para facilitar las referencias.

Amenazas

Se consideran todas aquellas que atentan contra los bienes de la organización y contra las cuales se requiere protección, cada amenaza será descrita en términos den un agente identificado como una amenaza, un ataque y del bien que es el sujeto del ataque.
El apartado correspondiente a amenazas contendrá:

  • Las que sean importantes en términos de desarrollo de los requerimientos.

  • Las que los usuarios del objeto de evaluación y quienes hagan uso del esquema de seguridad quieran ver explícitamente todas en cuenta.

  • Las amenazas que sean relevantes, determinando cuáles son los bienes que requieren protección, contra qué métodos de ataque o contra qué eventos indeseables hay que protegerlos, y quiénes o cuáles son los agentes amenazadores.

  • Las descripciones de las amenazas de forma explícita, especificando claramente el origen de la amenaza, que bienes están bajo ataque y cuál es el método de ataque.

  • Las descripciones de las amenazas de manera concisa, evitando el traslape de éstas.

  • Las amenazas que pongan en riesgo a los bienes informáticos, en lugar de los ataques que se basen en debilidades o fallas de la implementación del objeto de evaluación.

  • Una etiqueta o nombre para cada amenaza a fin de facilitar las referencias.

Políticas de seguridad de la organización

A través de las políticas de seguridad se identificará, y si es necesario explicará, cualquier enunciado de política de seguridad organizacional y las normas con las cuales el objeto de evaluación debe cumplir; con lo que se pretende:

  • Determinar las políticas de seguridad informática para la organización, así como los requisitos que no se puedan satisfacer sólo mediante el estudio de las amenazas.

  • Determinar las políticas como conjuntos de reglas que deben ser implementadas por el objeto de evaluación.

  • Asignar una etiqueta o nombre a cada política para facilitar las referencias.

Con el diagrama mostrado en figura 5.8 se observa que después de llevar a cabo la introducción al PP que se pretende desarrollar, así como la descripción del objeto, la primera parte del análisis se refiere al estudio del entorno de seguridad en el cual se encuentra el objeto de evaluación, y esta primera parte del análisis se muestra gráficamente en la figura 5.9.




Figura 5.9. Análisis del entorno de seguridad