Ciclo de vida de una red segura - Seguridad en redes

El ciclo de vida de red segura es un proceso de revisión y reevaluación de las necesida- des de seguridad y de equipamiento a me- dida que la red cambia. Uno de los aspectos importantes de esta evaluación constante

es entender cuáles activos de la organiza- ción deben ser protegidos, incluso mientras que los activos cambian.

Un ciclo de vida de una red segura se basa en el estándar SDLC (System Development Life Circle), está constituido por 5 fases:

Inicio

Requiere definir tres niveles de impacto (bajo, medio, alto) debido a brechas de seguridad, estos niveles ayudan a realizar la correcta elección de controles de seguridad que correspondan a los sistemas de infor- mación.

Adicional describe inicialmente las necesi- dades de seguridad básicas del sistema que define el ambiente de amenazas en el que éste se desenvuelve.

Adquisición y desarrollo

Tiene a su cargo varias tareas de seguridad:

■

Evaluación de riesgos: identificar los re-

quisitos de protección del sistema a tra- vés de un proceso formal de evaluación de riesgos. Basado en la evaluación de riesgos que se realiza en la primera etapa (inicio).

■

Requisitos funcionales de seguridad:

realizar el análisis de las principales nece- sidades operativas al relacionarse la po- lítica de seguridad de la información de

Fundación Universitaria del Área Andina 89

Fundación Universitaria del Área Andina ₆

la empresa, el ambiente de seguridad del sistema y la arquitectura de seguridad de la empresa.

■

Requisitos de garantía de seguridad:

tratar las actividades de desarrollo reque- ridas y la evidencia de garantía necesaria para producir el nivel deseado de confianza en que la seguridad de la informa- ción.

■

Consideración y reporte de costos de seguridad: establecer qué parte del cos-

to de desarrollo debe reservar a la seguridad de la información en el ciclo de vida del sistema. Estos costos incluyen hardware, software, personal y capacitación.

■

Planeamiento de seguridad: describe

con detalle los sistemas de información e incluye adjuntos o referencias a documentos claves que soportan el programa de seguridad de la información de la or- ganización. Los documentos que soportan el programa de seguridad de la infor- mación incluyen plan de contingencias, un plan de administración de configura- ción, evaluación de riesgos, plan de res- puesta a incidentes, plan de capacitación en seguridad, pruebas de seguridad y re- sultados de evaluaciones, reglas de com- portamiento, acuerdos de interconexión de sistemas, autorizaciones y acreditacio- nes de seguridad y un plan de acción e hitos.

■

Desarrollo de un control de seguridad:

busca asegurar que los controles de seguridad descriptos en los planes de seguridad sean diseñados, desarrollados e implementados.

■

Prueba y evaluación de seguridad del desarrollo: aseguramiento de los con-

troles de seguridad desarrollados para un nuevo sistema de información con el

fin de detectar que estén trabajando correcta y efectivamente.

Implementación

Las tareas de seguridad en esta fase son:

■

Inspección y aceptación: aprobar y con-

firmar que la funcionalidad definida por la especificación esté contenida en las prestaciones.

■

Integración del sistema: certificar de

que el sistema esté compuesto en el sitio operativo donde se despliega el sistema de información.

■

Certificación de seguridad: usar técni-

cas e instrucciones de revisión estableci- dos. Este paso otorga familiaridad a los empleados de la organización de que se están tomando las moderaciones y con- tramedidas adecuadas. La certificación de seguridad también revela y detalla las debilidades conocidas del sistema de in- formación.

■

Acreditación de seguridad: suminis-

trar la credencial de seguridad necesaria para resolver, recopilar y transmitir la in- formación solicitada. Esta credencial es otorgada por un empleado superior de la organización y está establecida en la confianza confirmada de los controles de seguridad a un nivel establecido de ga- rantía.

Operaciones y mantenimiento

Las tareas de seguridad en la fase de operaciones y mantenimiento son:

■

Administración y control de la con- figuración: considerar los potenciales

impactos de seguridad que pueden ser causados por cambios definidos a un sistema de información o su contexto. Las instrucciones de gestión y control de la

Fundación Universitaria del Área Andina 90

Fundación Universitaria del Área Andina ₇

configuración son críticos para implantar un punto de partida de mecanismos de hardware, software y firmware y luego controlar y mantener una descripción precisa de los cambios al sistema.

■

Monitoreo continuo: certificar de que los controles continúen siendo seguros por medio

de pruebas periódicas. Informar el estado de seguridad del sistema de información a los empleados correspondientes es una actividad fundamental en un programa de seguridad de la información.

Descarte

Las tareas de seguridad en la fase de descarte son:

■

Preservación de la información: detener la información según sea requerido para cum-

plir con las obligaciones legales y hacer lugar a futuros cambios tecnológicos que pueden volver obsoleto al método de desempeño.

■

Saneamiento de los medios: certificar de que los datos sean eliminados y sobreescritos

según sea necesario.

■

Descarte de hardware y software: retirar el hardware y el software según las órdenes

del empleado de seguridad del sistema de información.

Imagen 1. SDLC, ciclo de vida de una red segura Fuente: Propia.

Fundación Universitaria del Área Andina 91

Fundación Universitaria del Área Andina ₈

In document Seguridad en redes (página 88-91)