PREMIER MINISTRE
Secrétariat général de la défense nationale
Direction centrale de la sécurité des systèmes d’information Sous-direction des opérations
Bureau conseil
M EJORES PRÁCTICAS PARA LA GESTIÓN DE LOS RIESGOS DE SSI
Uso específico del método EBIOS
®para elaborar una PSSI
Versión del 22 de septiembre de 2004
¿Qué es una PSSI?
La Política de Seguridad de los Sistemas de Información (PSSI) es el conjunto formalizado en un documento aplicable de las directivas, procedimientos, códigos de conducta, normas organizacionales y técnicas, que tienen como objetivo la protección de los sistemas de información del organismo.
Traduce el reconocimiento oficial de la importancia otorgada por la dirección general del organismo a la seguridad de sus sistemas de información. En líneas generales, contiene una parte referida a los elementos estratégicos del organismo (perímetro, contexto, retos, orientaciones estratégicas en materia de SSI, referencial reglamentario, escala de sensibilidad, necesidades de seguridad, amenazas) y una parte referida a las normas de seguridad aplicables. Constituye, por lo tanto, la materialización de la estrategia de seguridad del organismo.
La guía PSSI editada por la DCSSI tiene como objetivo principal el acompañamiento de los responsables de la seguridad en la elaboración de una política de seguridad de uno o varios sistemas de información dentro de su organismo.
¿Cuáles son las ventajas del método EBIOS para la elaboración de una PSSI?
La realización previa de un estudio EBIOS ofrece varias ventajas:
- La elaboración de la PSSI se encuentra facilitada por un procedimiento estructurado, que permite además deducir y, al mismo tiempo, justificar una parte de los principios y de las normas establecidas en la PSSI.
- El análisis de los resultados del estudio EBIOS, asociado a otros datos de entrada, permite obtener todos los elementos estratégicos, elegir los principios y elaborar las normas de seguridad.
- Los diferentes actores del SI (responsables de la toma de decisiones, responsables de la SSI, diseñador del proyecto, clientes, actores financieros, usuarios, etc.) ya han sido concienciados sobre la SSI, especialmente en cuanto a los riesgos en materia de SSI y al hecho de que la seguridad organizacional constituye una parte importante de la seguridad global.
¿Cómo elaborar una PSSI utilizando EBIOS?
Una solución eficaz para elaborar una PSSI consiste en:
- Organizar el proyecto PSSI.
- Realizar un estudio EBIOS global.
- Extraer los datos necesarios del estudio EBIOS (fundamentalmente del estudio del contexto, la expresión de las necesidades de seguridad y el estudio de las amenazas).
- Realizar las últimas tareas mencionadas en la guía PSSI:
o selección de los principios de seguridad y elaboración de las normas de seguridad, tareas facilitadas gracias al uso de los objetivos y requerimientos de seguridad surgidos del estudio EBIOS;
o elaboración de los informes de síntesis;
o finalización y validación de la PSSI;
o elaboración y validación del plan de acción.
Para lograrlo, las actividades del método EBIOS se utilizan del siguiente modo:
Actividades
EBIOS Implementación con el fin de elaborar una PSSI ETAPA 1
Estudio del contexto
En resumen: se profundiza el estudio del contexto, que figurará en el informe de estrategia de seguridad de la PSSI.
1.1 – Estudio del organismo
Esta actividad debe ser detallada y completa.
Se adaptará al objeto de la PSSI y a las características de organismo. Debe servir para identificar claramente los distintos procesos y funciones presentes y las limitaciones generales a fin de garantizar una mejor definición del sistema evaluado.
Es fundamental no omitir las referencias reglamentarias y legales, así como las normas que debe respetar la organización.
1.2 – Estudio del sistema evaluado
Esta actividad debe ser detallada y completa.
Se deben definir y evaluar los retos a fin de poder, eventualmente, clasificar el(los) sistema(s) evaluados(s) (unos) en relación con otros e indicar el lugar que ocupa el sistema evaluado en términos de continuidad de la empresa.
Sólo se considerarán los elementos verdaderamente esenciales. La descripción del sistema evaluado debe ser clara, concisa y lo más estandarizada posible.
La definición de las hipótesis, normas de seguridad y referencias reglamentarias, así como las limitaciones, son indispensables para disponer de un contexto completo y adecuado.
Es importante considerar las interfaces con los demás sistemas de información.
Si se trata de una PSSI global del organismo, los elementos esenciales considerados podrán ser los ámbitos de actividad y los procesos más importantes de la empresa.
1.3 – Determinación del objetivo del estudio de seguridad
Esta actividad contribuye a determinar los objetivos y requerimientos de seguridad, que servirán para redactar las normas de seguridad.
Las principales entidades (o tipos de entidades) serán descriptas y cotejadas con los elementos esenciales.
Actividades EBIOS
Implementación con el fin de elaborar una PSSI ETAPA 2
Expresión de las necesidades de
seguridad
En resumen: se detalla la escala de necesidades, que figurará en el informe de estrategia de seguridad de la PSSI.
2.1 – Realización de las fichas de
necesidades
La actividad debe ser detallada, estar completa y enriquecida con ejemplos provenientes del organismo. Los resultados estarán integrados en el informe de estrategia de seguridad de la PSSI.
Los criterios de seguridad, la escala de necesidades y los impactos seleccionados deberían ser los mismos para todas las PSSI de la organización.
2.2 – Síntesis de las necesidades de seguridad
Una síntesis de esta actividad podrá servir para ampliar el informe de estrategia de seguridad de la PSSI. Dicha síntesis especificará las necesidades de seguridad generales por debajo de las cuales es inaceptable situarse.
Puede llegar a ser útil rellenar totalmente las fichas de expresión de las necesidades de seguridad (y no rellenar únicamente los valores finales) para identificar el vínculo existente entre los elementos esenciales y los impactos, así como la importancia relativa de los impactos.
ETAPA 3 Estudio de las
amenazas
En resumen: se debe detallar el origen de las amenazas, que figurará en el informe de estrategia de seguridad de la PSSI, el
estudio de las vulnerabilidades contribuirá aún más a la continuación de la PSSI.
3.1 – Estudio de los orígenes de las amenazas
Esta actividad debe ser detallada y completa. La caracterización de los métodos de ataque y de los elementos peligrosos debe ser particularmente clara y precisa. Se debe indicar, explicitar y justificar el potencial de ataque de cada elemento peligroso.
Se debe elaborar una lista de los métodos de ataque no considerados, incluyendo las justificaciones correspondientes.
3.2 – Estudio de las vulnerabilidades
Esta actividad contribuye a determinar los objetivos y requerimientos de seguridad, que servirán para redactar las normas de seguridad. Puede no realizarse si se trata de una PSSI global.
Se deben identificar todas las vulnerabilidades pertinentes, comprobadas o no.
La escala eventualmente utilizada para los niveles de vulnerabilidad debería ser la misma para todas las PSSI de la organización.
3.3 – Formalización de las amenazas
Esta actividad contribuye a determinar los objetivos y requerimientos de seguridad, que servirán para redactar las normas de seguridad.
Esta actividad debe ser clara (a los fines de la comunicación) y precisa.
Es preferible formular amenazas unitarias y específicas (una vulnerabilidad por amenaza).
La jerarquización de las amenazas puede ser útil para determinar prioridades para su tratamiento.
Actividades EBIOS
Implementación con el fin de elaborar una PSSI ETAPA 4
Identificación de los objetivos de
seguridad
En resumen: se enumeran, sin tener en cuenta las redundancias, los objetivos de seguridad que figurarán en el informe de estrategia de
seguridad y contribuirán a la elección de la justificación de los principios y normas considerados.
4.1 – Confrontación de las amenazas con las necesidades
Esta actividad contribuye a determinar los objetivos y requerimientos de seguridad, que servirán para redactar las normas de seguridad.
Se deben identificar y formular los riesgos de manera uniforme.
También es necesario jerarquizarlos, a fin de determinar prioridades para su tratamiento, e identificar eventuales riesgos residuales.
4.2 - Formalización de los objetivos de seguridad
En la medida de lo posible, se debe realizar una enumeración de los objetivos de seguridad, sin tener en cuenta aquellos objetivos redundantes, para enriquecer los ejes estratégicos del informe de estrategia de seguridad de la PSSI.
La redacción de los objetivos de seguridad debe ser clara, precisa y uniforme, para poder justificar dichos objetivos mediante su contenido.
Se deben identificar los eventuales riesgos residuales.
4.3 – Determinación de los niveles de seguridad
Esta actividad contribuye a determinar los requerimientos de seguridad, que servirán para redactar las normas de seguridad.
Puede no realizarse si se trata de una PSSI global.
Los niveles de seguridad deben ser explícitos y deben estar debidamente justificados.
ETAPA 5 Determinación de los requerimientos
de seguridad
En resumen: los requerimientos de seguridad funcionales y de aseguramiento podrán constituir directamente normas de seguridad de la
PSSI, eventualmente serán completados con otras normas, elaboradas en respuesta a necesidades no cubiertas por el estudio EBIOS.
5.1 – Determinación de los
requerimientos de seguridad
funcionales
Lo ideal sería que los requerimientos de seguridad funcionales fueran específicos (un actor y un ámbito cada vez), mensurables (definición del medio de control), alcanzables (eventualmente en varias etapas, proporcionando los recursos necesarios), realistas (en función de los actores, de sus capacidades) y estar encuadrados en el tiempo (hay una fecha límite, un plazo, un período definido). Una vez seleccionados, podrán constituir directamente una parte de las normas de seguridad de la PSSI.
Se deben identificar los eventuales riesgos residuales.
Los requerimientos de seguridad deberían clasificarse en función de los ámbitos cubiertos por la PSSI.
5.2 – Determinación de los
requerimientos de seguridad de aseguramiento
En la medida de lo posible, los requerimientos de seguridad de aseguramiento deben ser específicos (un actor y un ámbito cada vez), mensurables (definición del medio de control), alcanzables (eventualmente en varias etapas, proporcionando los recursos necesarios), realistas (en función de los actores, de sus capacidades) y estar encuadrados en el tiempo (hay una fecha límite, un plazo, un período definido). Una vez seleccionados, podrán constituir directamente una parte de las normas de seguridad de la PSSI.
En resumen, los datos que pueden utilizarse son los siguientes:
Perímetro de la PSSI
Retos y orientaciones estratégicas
Aspectos legales y reglamentarios Escala de necesidad
Necesidades de seguridad
Amenazas
Tema 1
...
Tema N Elementos estratégicos
Normas de seguridad
EBIOS PSSI
Estudio del organismo
Estudio del sistema objetivo
Determinación del objeto del estudio
Realización de las fichas de necesidades Síntesis de las necesidades
de seguridad Determinación del modo de
explotación
Estudio de los orígenes de las amenazas Estudio de las vulnerabilidades Determinación de las
amenazas Estudio del contexto
Expresión de las necesidades de seguridad
Estudio de las amenazas
Confrontación de las amenazas con las
necesidades Determinación de los objetivos de seguridad Identificación de los objetivos de seguridad
Determinación de los niveles de seguridad
Determinación de los requerimientos funcionales
Determinación de los requerimientos de
aseguramiento
Determinación de los requerimientos de seguridad
Extracción y síntesis de los elementos necesarios
Justificación de la elección de los principios
de seguridad
Presentación de los requerimientos de seguridad en
forma de normas de seguridad justificadas
(Para mayor información, escribir a: [email protected])