CDTS - INTECO

TAXONOMIA (v 2.0) DE SOLUCIONES DE SEGURIDAD TIC
CDTS - INTECO

TAXONOMÍA (v 2.0) DE SOLUCIONES DE SEGURIDAD
CDTS - INTECO

Taxonomía (v 2.0) de soluciones de seguridad TIC
Edita:

Avenida José Aguado, 41 - Edificio INTECO - 24005 León www.inteco.es

Edición: Octubre 2009 © de los pictogramas. Todos los derechos reservados Depósito Legal: LE-1725-2009 Diseño e impresión: IMPRENTA SORLES Ctra. Madrid, km 320,5 24227 Valdelafuente - León

Sumario

1. 2. 3. 4.

PROLOGO ....................................................................................................................................................................... 7 PRESENTACIÓN ............................................................................................................................................................9 ANTECEDENTES ........................................................................................................................................................11 LA PRIMERA TAXONOMÍA ................................................................................................................................13 4.1. 4.2. 4.3. Objetivos ..........................................................................................................................................................13 Metodología: el mercado como referencia ...................................................................................14 Modelo final de Taxonomía 1.0 .............................................................................................................16

5.

LA TAXONOMÍA 2.0 ................................................................................................................................................21 5.1. 5.2. 5.3. 5.4 Objetivos ..........................................................................................................................................................21 Metodología .....................................................................................................................................................22 Fundamentos de diseño y revisión ....................................................................................................23 Alcance de productos y servicios ........................................................................................................26 5.4.1 Descripción de los alcances de producto ..........................................................................29 5.4.1.1 Gestión de acceso e identidad ...............................................................................29 5.4.1..2 Seguridad en el puesto de trabajo ......................................................................30 5.4.1.3 Seguridad en aplicaciones y datos .......................................................................30 5.4.1.4 Seguridad en los sistemas..........................................................................................31 5.4.1.5 Seguridad en Red ............................................................................................................32 5.4.2 Descripción de los alcances de servicios ............................................................................33 5.4.2.1 Personas ................................................................................................................................33 5.4.2.2 Organización ......................................................................................................................34 5.4.2.3 Información .........................................................................................................................34 5.4.2.4 Infraestructura ...................................................................................................................35 5.4.2.4 Negocio .................................................................................................................................35 5.5 Nueva Taxonomía 2.0 ..................................................................................................................................36 5.5.1 Productos y servicios .......................................................................................................................36
5.5.2 Categoría de productos y servicios ........................................................................................36
5.5.3 Sub-categorías o tipos ....................................................................................................................38
5.5.4 Alcance .....................................................................................................................................................38 5.5.5 Taxonomía 2.0 .....................................................................................................................................39

5

Taxonomía de Soluciones de Seguridad TIC

Sumario

Sumario
6. FICHAS DE PRODUCTOS DE SEGURIDAD TIC ...................................................................................41
6.1. Fichas de productos de seguridad TIC .............................................................................................43
6.1.1 Anti-fraude ..........................................................................................................................................45
6.1.2 Anti-malware .....................................................................................................................................49
6.1.3 Auditoría técnica y forense ......................................................................................................53
6.1.4 Autenticación y certificación digital....................................................................................57
6.1.5 Contingencia y continuidad ....................................................................................................61
6.1.6 Control de contenidos confidenciales .............................................................................65
6.1.7 Control de tráfico de red ............................................................................................................69
6.1.8 Cortafuegos ........................................................................................................................................73
6.1.9 Cumplimiento legal y normativo ..........................................................................................77
6.1.10 Gestión de eventos ........................................................................................................................81
6.1.11 Gestión y control de acceso e identidad..........................................................................85
6.1.12 Seguridad en movilidad .............................................................................................................89
6.1.13 Sistemas y herramientas criptográficas.............................................................................93
7. FICHAS DE SERVICIOS DE SEGURIDAD TIC ........................................................................................97
7.1. Fichas de servicios de seguridad TIC .................................................................................................99
7.1.1 Auditorío técnica ..........................................................................................................................101
7.1.2 Contingencia y continuidad de negocio ......................................................................105
7.1.3 Cumplimiento con la legislación .......................................................................................109
7.1.4 Externalización de servicios de seguridad ...................................................................113
7.1.5 Formación.........................................................................................................................................117
7.1.6 Gestión de incidentes ...............................................................................................................121
7.1.7 Implantación y certificación de normativa ..................................................................125
7.1.8 Planificación e implantación de infraestructuras .....................................................129
8. 9. LA TAXONOMÍA EN LA PRÁCTICA ...........................................................................................................133
APUNTES FINALES ...............................................................................................................................................135

1. Prólogo

El mercado de la seguridad TIC es un mercado que a lo largo de los últimos años está experimentando profundos cambios, no sólo en términos de volumen de negocio, sino también en términos cualitativos, por efecto de los constantes avances tecnológicos, los progresos en la legislación y las nuevas concep­ ciones sociales y de negocio con relación a la seguridad. Por otra parte, el número de amenazas tecnoló­ gicas aumenta progresivamente en una tendencia que se ha mantenido invariable en estos últimos años. Apremiada por esta circunstancia, la industria de la seguridad ha realizado un esfuerzo formidable para ofrecer modernos productos (bienes y servicios) y soluciones de seguridad capaces de hacer frente a la aparición de nuevos desafíos, caracterizados por una complejidad y diversidad crecientes. Un reto que implica tanto a las empresas que diseñan y fabrican los productos y soluciones de seguridad como a los usuarios finales, que los adquieren y utilizan en su actividad diaria. Siempre es posible aprovechar favorablemente situaciones adversas convirtiendo un escenario com­ plejo en nuevas oportunidades de negocio, de forma que estas amenazas a la seguridad favorezcan también la aparición de nuevos nichos de mercado. Este contexto impulsa el desarrollo y la innovación en productos y soluciones que se adapten mejor a las necesidades y recursos de los usuarios, tanto indi­ viduales como de empresas, Administraciones Públicas y otras entidades. INTECO desea contribuir a afrontar estos retos, con diferentes medios, uno de los cuales es la Taxono­ mía de Soluciones de Seguridad TIC, cuya segunda versión presentamos en este documento. Esta Taxonomía es el resultado de la búsqueda de una clasificación, agrupación y estructuración fun­ cional de todos los productos y soluciones de seguridad existentes en el mercado español. Asimismo, se ha profundizado en la búsqueda de un lenguaje común que permita el acercamiento entre la oferta y la demanda, de forma que clientes y proveedores hablen en los mismos términos y utilicen los mismos conceptos, teniendo siempre en mente a los usuarios, que desean disponer de un producto o una solu­ ción de seguridad que se adapte a sus necesidades y recursos. En este sentido INTECO confía en que esta nueva Taxonomía, como base conceptual del Catálogo de Empresas y Soluciones de Seguridad TIC de INTECO, sea una herramienta útil para el sector español de la seguridad TIC, expresiva del compromiso del Instituto con su desarrollo y que promueva su competitividad internacional. Esta nueva versión 2.0 de la Taxonomía, por un lado, cuenta con el consenso de los agentes públi­ cos y privados más relevantes de nuestro país en el campo de la Seguridad TIC y, por otro, creemos que contribuye a mejorar claramente el posicionamiento del sector TIC español en los mercados globales. Por el respaldo recibido queremos mostrar nuestro más sincero agradecimiento a las aso­ ciaciones empresariales, Administraciones Públicas, laboratorios de certificación y publicacio­ nes profesionales, en especial, a la Plataforma Tecnológica Española de Tecnologías para Seguridad y Confianza eSEC por sus valiosas contribuciones. Somos conscientes del largo camino que queda por recorrer, ya que sólo hemos pasado por las pri­ meras etapas de este viaje, pero estamos seguros de que estos pasos nos llevarán a alcanzar el objetivo estratégico que persigue esta Taxonomía 2.0, que no es otro sino el de reforzar el papel de la indus­ tria española de la seguridad TIC en los mercados globales. Víctor M. Izquierdo Loyola Director General.

7

Taxonomía de Soluciones de Seguridad TIC

Prólogo

2. Presentación

El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio (MITYC) a través de la Secretaría de Estado de Telecomuni­ caciones y para la Sociedad de la Información (SETSI). INTECO tiene la vocación de ser un centro de desarrollo de carácter innovador y de interés público a nivel nacional e internacional que constituye una iniciativa enriquecedora y difusora de las nuevas tec­ nologías en España en clara sintonía con Europa. Su objetivo fundamental es servir como instrumento para fomentar y desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las Tecnologías de la Información y la Comunicación (TIC), basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación. Para ello, INTECO desarrolla actuaciones en las siguientes líneas: • Seguridad Tecnológica / eConfianza: Establecimiento de las bases de coordinación de dis­ tintas iniciativas públicas en torno a la seguridad informática y seguridad de la información. • Accesibilidad: Inclusión social basada en políticas de accesibilidad y equidad de todos los ciudadanos ante las opciones de la Sociedad de la Información. • Calidad del Software. Promoción de la competitividad de la industria del software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales del desarrollo. Enmarcado en el área de eConfianza de INTECO, el Centro Demostrador de Tecnologías de Seguridad persigue como objetivo fundamental potenciar el sector de seguridad TIC en España acercando la oferta y la demanda. Para ello se llevan a cabo las siguientes acciones: • Sensibilización en el uso de herramientas y soluciones de seguridad en las empresas y orga­ nizaciones. • Difusión de las tecnologías de seguridad entre las empresas y organizaciones.

9

• Catalogación de productos y soluciones de seguridad disponibles en el mercado español STIC. Una de las acciones más importantes desarrollada por INTECO a través del Centro Demostrador es la elaboración de un Catálogo de Empresas y Soluciones de Seguridad TIC, sobre el que se fundamentan gran parte de las acciones y actividades del propio Centro Demostrador y que constituye así mismo la base fundamental sobre la que se asienta esta taxonomía de soluciones de seguridad TIC, que constituye el tema central de este documento.

Taxonomía de Soluciones de Seguridad TIC

Presentación

• Acciones relativas al impulso y potenciación de las relaciones con el Sector STIC.

3. Antecedentes

En el año 2006 inició su andadura el Centro Demostrador de Tecnologías de Seguridad de INTECO, con un conjunto de objetivos muy claros, entre los cuales destacaba el impulso y potenciación del mercado de la seguridad TIC en España. Para ello, se diseñaron un conjunto de acciones entre las que destacaba la elaboración de un Catálo­ go de Empresas y Soluciones de Seguridad TIC del mercado español. Durante el diseño de dicho catálogo se observó el mercado de la seguridad TIC, el cual se tomó como referencia de diseño, resultó ser enorme en cuanto al número y tipo de soluciones disponibles, además de incorporar un importante nivel de complejidad en cuanto a la dificultad que suponía encontrar una clasificación adecuada de los distintos productos y servicios disponibles en dicho mercado. Si se querían tener garantías de éxito a la hora de conseguir establecer una clasificación adaptada al mercado, era necesario tener en cuenta no solo cuestiones relativas a los productos y servicios a clasificar, sino que además era fundamental que dicha clasificación fuera comprensible, funcional y útil tanto para el mercado como para los propios usuarios, destinatarios al fin y al cabo de las distintas soluciones de seguridad que ofrecía el mismo. Por otro lado, a medida que se profundizaba en el diseño de la clasificación de soluciones de segu­ ridad, en adelante Taxonomía, se comprendió que ésta podría ser mucho más que una clasificación, podría ser el “lenguaje” del mercado de la seguridad TIC, un lenguaje común que podrían hablar todos los actores de este mercado. Todo ello confería a la Taxonomía una “potencia” y un abanico de posibilidades enorme, pero también, el reto era tremendo y muy complejo, puesto que ya existían clasificaciones, categorizaciones de solucio­ nes, productos, servicios y tecnologías de seguridad y decidir el camino a seguir para conseguir mejorar lo existente no estaba nada claro. Los enfoques eran muchos y diversos, y todos ellos aparentemente correctos y adecuados para el propósito y ámbito para los cuales fueron diseñados. La solución en forma de punto de partida llego del propio mercado de seguridad TIC español, el cual fue tomado como referencia y lugar desde el cual debía de partir el diseño de la Taxonomía y donde también tendría que terminar una vez finalizada la elaboración de ésta. Teniendo en cuenta todas estas premisas, en septiembre de 2007 se inició el diseño de la primera ver­ sión de la Taxonomía, que vio la luz incorporada en la también primera versión del Catalogo de Empresas y Soluciones de Seguridad TIC, y es aquí donde da comienzo el ciclo vital de la Taxonomía tal y como la conocemos actualmente. A lo largo del presente documento, conoceremos más sobre el diseño y elaboración de la primera Taxonomía, lo cual consideramos es fundamental para comprender la evolución que ha sufrido hasta llegar a la segunda versión de la Taxonomía, que es el núcleo y razón de ser de este documento.

11

Taxonomía de Soluciones de Seguridad TIC

Antecedentes

4. La primera Taxonomía

Como hemos visto en los antecedentes, la primera versión de la Taxonomía nace de la necesidad de contar con una clasificación de las distintas soluciones de seguridad TIC existentes en el mercado espa­ ñol, con el objetivo de llevar a cabo una catalogación de las mismas. Vamos a conocer con mayor detalle los aspectos básicos de esta primera versión, los cuales nos servirán para comprender la subsiguiente evolución y renovación en forma de la Taxonomía 2.0 que describimos más adelante en este documento. Los contenidos de este apartado se estructuran de la siguiente forma: • Objetivos • Metodología: el mercado como referencia • Fundamentos de diseño • Modelo final de Taxonomía 1.0

Objetivos

13
Los objetivos que se pretendían alcanzar con la elaboración de la primera Taxonomía tenían como principal foco diseñar una clasificación que sirviera de base para llevar a cabo una catalogación de todos los productos y servicios de seguridad TIC existentes en el mercado español. Además de éste, existían otros objetivos que también se querían alcanzar con la elaboración de la primera taxonomía: • Diseñar una clasificación para productos y servicios de seguridad TIC adaptada al mercado español. • Establecer las características y atributos asociados a cada una de las categorías de productos y servicios, estableciendo dichas características y atributos en forma de fichas de categorías de productos y de servicios. • Implementar la Taxonomía obtenida (conjunto de categorías de productos y servicios) en el Catálogo de Empresas y Soluciones de Seguridad TIC, para dotarlo de una clasificación robusta. Además de estos objetivos, podemos añadir un objetivo de carácter más estratégico y con una proyección a medio o largo plazo, como era conseguir que la Taxonomía se convirtiera en la clasificación de referencia para el mercado de seguridad TIC en España. Este objetivo, qué se planteaba a más largo plazo, era y sigue siendo un objetivo fundamental y primario de la Taxonomía.

Taxonomía de Soluciones de Seguridad TIC

La primera Taxonomía

tos de seguridad
La primera Taxonomía
Metodología: el mercado como referencia

Métodología: el mercado como referencia
Ante el importante reto de crear una clasificación adecuada de productos y servicios de seguridad TIC, el primer problema que se planteaba era cuál debía de ser el punto de partida, es decir, que ele­ mento debía ser la “referencia” de partida para establecer las premisas de diseño fundamentales de la clasificación. La respuesta, finalmente, la encontramos en el propio mercado de seguridad TIC, tanto nacional como internacional. El mercado de seguridad debía ser la referencia. Teniendo en cuenta lo anterior, la metodología empleada se fundamentó en dos pilares: por un lado, en el análisis de las clasificaciones de soluciones de seguridad TIC existentes tanto en el mercado español como en mercados internacionales y por otro lado, se llevó a cabo un estudio de las diferen­ tes denominaciones y usos de las soluciones de seguridad que podemos encontrar en el mercado español. A partir de la información recogida por estas dos vías, se establecieron un conjunto de premisas de diseño básicas, las cuales servirían de guía durante el diseño de la Taxonomía. Éstas fueron las siguientes: • El número de categorías, tanto para productos como servicios, debía ser lo suficientemente amplio como para no dejar ninguna solución sin asociar a una categoría, pero con un nivel conceptual relativamente bajo, es decir, establecer categorías con un carácter más técnico. • Las denominaciones para cada una de las categorías, tanto de productos como de servicios debían ser lo más comunes posibles, tanto a proveedores de soluciones de seguridad como a los propios usuarios, de forma que facilitará la identificación y reconocimiento por ambas partes, con el menor esfuerzo de aprendizaje posible. Para eso se buscaron términos de uso cotidiano o frecuente tanto por la industria, como por los usuarios. • Tenía que ser posible que todos los productos y servicios existentes pudieran asignarse, al menos, a una categoría de producto o servicio. Asímismo era fundamental diseñar categorías que evitasen que un producto pudiera estar asignado a más de una categoría, en la medida de lo posible, reduciendo así la complejidad a la hora de llevar a cabo la catalogación de soluciones. Además de éstas, hay que decir, que era fundamental establecer una definición clara de cada una de las categorías seleccionadas como parte de la clasificación, puesto que uno de los problemas a los que tuvimos que enfrentarnos durante la selección de estas categorías fue que en muchas ocasiones no existía una diferenciación clara entre varias categorías; es decir, se producían “colisiones” entre una o más categorías o se daban casos en los cuales las categorías seleccionadas tenían distintos niveles concep­ tuales, de esta forma, unas podían englobar otras o viceversa y era necesario homogeneizar ese nivel lo más posible para conseguir un conjunto de categorías con el mismo nivel conceptual. Otro de los problemas que encontramos tenía que ver con decidir cuál debía de ser dicho nivel con­ ceptual, es decir, si optar por categorías más técnicas o de más alto nivel.

14

4. La primera Taxonomía

Un ejemplo de lo comentado en los parráfos anteriores lo podemos encontrar en las categorías aso­ ciadas a “cortafuegos”. Hay muchos tipos de cortafuegos y fue necesario llegar a un compromiso, de forma que, aunque se podría haber optado por una categoría de nivel conceptual elevado que contu­ viera a todos los tipos de cortafuegos, por ejemplo, una categoría llamada simplemente “Cortafuegos”, en aquel momento se optó por establecer varias categorías de cortafuegos, siendo estas categorías de menor nivel conceptual pero más cercanas al usuario. Como veremos más adelante, este planteamiento no fue el más acertado y en la segunda versión de la Taxonomía se ha realizado un proceso “contrario” creando categorías de mayor nivel conceptual que dotan de mayor flexibilidad y sencillez a la propia clasificación. Además de todo lo anterior, era necesario no perder de vista y tener en cuenta otras clasificaciones ya existentes y, por tanto, la metodología empleada requirió de un importante trabajo de investigación en cuanto a clasificaciones de soluciones de seguridad TIC existentes, lo que permitió examinar los distin­ tos enfoques de clasificación, entre los cuales podemos encontrar los siguientes: • Funcionales. Son clasificaciones en las que la categorización y clasificación de soluciones se hace atendiendo a las funcionalidades del producto o servicio. • Tecnológicos. Son clasificaciones en las que la categorización y clasificación de soluciones se realiza atendiendo a las tecnologías que incorpora un producto o servicio. • De usuario final. Son clasificaciones en las que la categorización y clasificación de solucio­ nes se realiza atendiendo a las necesidades y criterios del usuario final. Además de estos enfoques, hay otros pero, debido a que se trataba de la primera versión de la Taxo­ nomía, se buscó un compromiso en cuanto al enfoque que se le quería dar a la clasificación, puesto que al ser la primera Taxonomía específicamente orientada al mercado español, tampoco se pretendía conseguir un diseño radical o muy distinto a los ya existentes, sino establecer una primera aproximación al problema. Por ello, la solución elegida fue un compendio de los diversos enfoques existentes, pero teniendo como premisa básica, que la referencia debía ser los productos y servicios que ofrece el mercado, pero no cualquier mercado de seguridad, sino de forma específica, el mercado de seguridad TIC español. Debemos hacer hincapié en esto último, puesto que la mayoría de las taxonomías o clasificaciones de soluciones de seguridad TIC analizadas no estaban diseñadas para el mercado español y, por tanto, su aplicación al mercado nacional precisaba de una adaptación que considerara la naturaleza y peculia­ ridades de este mercado. La traducción directa inglés-español resultaba insuficiente, además de que el mercado español incorpora peculiaridades y connotaciones importantes.
Esta fue precisamente una de las razones por la cual se optó por el diseño de una taxonomía de solu­ ciones de seguridad nueva: se trataba de conseguir una clasificación de soluciones de seguridad adecuada y específica para el mercado nacional.

15

Taxonomía de Soluciones de Seguridad TIC

La primera Taxonomía

tos de seguridad
La primera Taxonomía
Modelo final de Taxonomía 1.0

Modelo final de Taxonomía 1.0
Tras un proceso de revisión y depuración de las distintas categorías seleccionadas para productos y servicios, se consiguió una categorización establecida a partir de la información que aportaba el propio mercado, de otras clasificaciones existentes y de la información obtenida de los distintos actores del mercado, consiguiendo de esta forma un diseño que trata de reflejar de la forma más fiel posible el mercado de seguridad TIC en España.

Niveles de clasificación
La Taxonomía está estructurada mediante varios niveles de clasificación, los cuales vamos a ver a con­ tinuación. Concretamente son dos. El primer nivel de clasificación de la Taxonomía son los productos y servicios, tal y como podemos ver en el gráfico que se muestra a continuación.

Taxonomía STIC

16

Productos STIC

Servicios STIC

Taxonomía 1.0, Primer nivel de la Taxonomía

A partir de este primer nivel, se desarrollaron un conjunto de categorías tanto para productos como para servicios, con un total de 31 categorías de productos y 14 categorías de servicios. Por tanto, la Taxonomía cuenta con dos niveles de clasificación que podemos ver en la figura que se muestra a continuación:

4. La primera Taxonomía

Categoría 1

Producto

Categoría (...) Categoría 31

Solución STIC
Categoría 1

Servicio

Categoría (...) Categoría 14

Taxonomía 1.0, Estructura de la Taxonomía 1.0

En cuanto a las propias categorías, a continuación podemos ver las correspondientes a productos:

Categorías de productos de seguridad TIC, Taxonomía 1.0

Y las correspondientes a servicios:

Certificación y acreditación Cumplimiento con la legislación Formación Gestión de riesgos Outsourcing Planificación de infraestructuras Pruebas (auditoría técnica)

Plan de contingencia y continuidad de negocio Servicios de detección de intrusiones Gestión de incidentes Implantación de infraestructuras Planes de seguridad Políticas de seguridad Seguridad gestionada
Categorías de servicios de seguridad TIC, Taxonomía 1.0

Taxonomía de Soluciones de Seguridad TIC

La primera Taxonomía

Anti-phishing Anti-spyware Control de acceso a la red corporativa Control P2P Filtro de contenidos web Firewall de aplicación web Firewall personal Gestión de identidades y autenticación Gestión de políticas (auditoría y cumplimiento) Herramientas de auditoría forense Herramientas de certificación digital Herramientas de recuperación de desastres Red privada virtual (VPN) con protocolo SSL Seguridad en redes inalámbricas Wi-Fi Sistemas de copias de seguridad Sistemas de prevención de intrusión (IPS)

Anti-spam Anti-virus Control de contenidos confidenciales (Outbound) Encriptación de mensajería Firewall corporativo Firewall de mensajería instantánea Gestión de eventos de seguridad Gestión de parches y vulnerabilidades Gestión unificada de amenazas (UTM) Herramientas de borrado seguro Herramientas smartcard y DNI-e Red privada virtual (VPN) con protocolo IPSec Seguridad para dispositivos móviles Servidores de autenticación Sistemas de detección de intrusión (IDS)

17

tos de seguridad
La primera Taxonomía
Modelo final de Taxonomía 1.0

Ficha de categoría
Además de las categorías para productos y servicios, era fundamental definir y describir adecuada­ mente cada categoría y para ello se creó una “ficha de categoría” para los productos y otra similar para los servicios. A continuación, vamos a describir qué información contienen cada una de estas fichas.

Ficha de producto
La ficha de producto consta de los siguientes apartados:
Nombre de categoría de producto
¿Qué es?
¿Para qué sirve?
¿De qué protege?
¿Escenarios de aplicación?

18
Recomendaciones y buenas prácticas

Ficha de servicio
La ficha de servicios consta de los siguientes apartados: • Nombre de categoría de servicio • ¿Qué es? • ¿Para qué sirve? • ¿De qué protege? • ¿Escenarios de aplicación? • Recomendaciones y buenas prácticas

Objeto y alcance
Además de los apartados que se han detallado para las fichas de producto y servicio, se incluía otro apartado en forma de pequeña tabla, denominado “objeto y alcance”. El objeto para productos y servicios era su propósito de seguridad y el alcance se refería a los ele­ mentos (sw. y hw.) sobre los que aplica o a los que se dirigía esa categoría. Así los productos tenían como objeto: la auditoría, la protección, la detección o la reacción; y los servicios: la consultoría, el desarrollo, la implantación y la explotación.

4. La primera Taxonomía

El alcance para productos se había definido como el entorno al que va dirigido el mismo: la red, el sistema, las aplicaciones, los usuarios y los datos. Es el contexto donde se aplicaba físicamente las funcionalidades de seguridad que implementan los productos. Para servicios se definie­ ron tres alcances: técnico, operativo y de negocio.

19

Taxonomía de Soluciones de Seguridad TIC

La primera Taxonomía

5. La Taxonomía 2.0

La primera versión de la Taxonomía ha servido como elemento de clasificación para la gran mayoría de las soluciones de seguridad TIC que podemos encontrar en el mercado, pero el mercado de la se­ guridad TIC es un mercado altamente dinámico y cambiante, lo que ha supuesto que después de dos años de vida de la Taxonomía 1.0 hayan ido apareciendo deficiencias asociadas a su diseño, un diseño que todavía ha de madurar y mejorar de forma considerable, máxime cuando el mercado sobre el cual se fundamenta dicho diseño cambia constantemente. A lo largo de los siguientes apartados conoceremos más en detalle los problemas y limitaciones de la actual Taxonomía y veremos cómo se ha desarrollado la revisión de la misma y cuáles son los funda­ mentos sobre los que se ha apoyado todo el proceso. Los contenidos que vamos a ver se estructuran de la siguiente forma: • Objetivos • Metodología • Fundamentos de diseño y revisión • Nueva Taxonomía 2.0

21
Objetivos
A partir de la experiencia acumulada durante los dos años de vida de la primera versión de la Taxono­ mía, se han podido constatar diversas deficiencias y aspectos que es necesario mejorar. En este tiempo la Taxonomía ha pasado su prueba más dura en el Catalogo de Empresas y Soluciones de Seguridad TIC, ya que ha constituido el núcleo del sistema de clasificación del Catálogo. En la actualidad el Catálogo cuenta con más de 950 empresas y más de 1700 soluciones de seguridad TIC. Cada una de estas soluciones ha sido clasificada siguiendo la Taxonomía 1.0 y esto ha permitido contar con información de análisis muy valiosa sobre la aplicación “práctica” y funcional de la propia Taxonomía. Gracias a toda esta información fue posible establecer y determinar aquellos puntos en los cuales era fundamental realizar mejoras. Indicamos a continuación los más importantes: • Simplificar la clasificación de Productos y Servicios que conforman las Soluciones de Segu­ ridad de la Taxonomía. • Aportar mayor coherencia a las distintas categorías de productos y de servicios, de forma que éstas reflejen mejor la realidad actual del mercado. • Dotar de mayor flexibilidad a la Taxonomía mediante la inclusión varios niveles de ca­ tegorías que puedan ser adaptadas a un entorno tan cambiante como es el mercado de Seguridad TIC.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

La Taxonomía 2.0

• Establecer el concepto de ámbito, que veremos más adelante, tanto para productos como para servicios, que permite añadir una “dimensión” más a la clasificación de productos y servicios. Se ha tratado, por tanto, de realizar una profunda revisión de la Taxonomía original, esta vez con una proyección aún más amplia que la primera, puesto que se pretende, no sólo revisar la categoriza­ ción y estructuración de la Taxonomía, sino también, que ésta se consolide como el modelo de clasifi­ cación de referencia del mercado de seguridad TIC en España, para lo que se ha contado en su revisión con la participación de todos los actores del mercado de la seguridad.

Metodología
A pesar de que la Taxonomía 2.0 pueda parecer a priori una revisión y actualización de la anterior Taxonomía, realmente tendríamos que hablar de “evolución” puesto que los objetivos que se han plan­ teado en el apartado anterior nos “hablan” de importantes cambios estructurales y funcionales a realizar sobre la Taxonomía original.

22

La consecución de los objetivos planteados en el apartado anterior requirió de un importante trabajo de análisis sobre los datos recopilados en torno al uso de la primera versión de la Taxonomía a lo largo de los dos años de vida de esta. Para ello, se contaba con una herramienta fundamental y que ha aportado las claves necesarias para, por un lado, detectar, constatar deficiencias y debilidades en el primer modelo de la taxonomía y, por otro, determinar aquellos aspectos que era fundamental mejorar para alcanzar el siguiente paso en el camino de evolución de la Taxonomía de Soluciones de Seguridad TIC. Podemos establecer tres pilares básicos sobre los que se fundamentó la revisión y evolución hacia la segunda versión de la Taxonomía. Los describimos a continuación: • el conocimiento y experiencia acumulada sobre el mercado de soluciones de seguridad TIC por el Centro Demostrador de Tecnologías de Seguridad de INTECO, • el Catálogo de Empresas y Soluciones de Seguridad TIC de INTECO y • la colaboración de todos los actores del mercado de la seguridad en España.

Conocimiento y experiencia
Durante toda la vida del proyecto del Centro Demostrador, se ha realizado una importantísima labor de establecimiento de contactos y relaciones con todos los actores del mercado de la seguridad TIC en España, tratando siempre de aprender todo lo posible de ellos, creando canales y vías de comunicación en forma de convenios de colaboración que han permitido contar con valiosa información sobre el mercado, proveniente de los actores que lo componen.

5. La Taxonomía 2.0

Esta información ha sido fundamental para conseguir un importante nivel de feedback sobre la Taxo­ nomía, así como sobre otras cuestiones relacionadas con las distintas acciones llevadas a cabo por el Centro Demostrador de Tecnologías de Seguridad.

El Catálogo de Empresas y Soluciones de Seguridad TIC
El Catálogo de Empresas y Soluciones de Seguridad TIC ha sido una fuente fundamental de infor­ mación sobre el uso de la Taxonomía. Durante dos años se han catalogado y clasificado más de 950 empresas y 1700 soluciones de seguridad TIC, lo que ha supuesto un reto muy importante y una prueba fundamental para la Taxonomía. Gracias al Catálogo, se ha conseguido recabar gran cantidad de información sobre las dificultades que se encontraron las propias empresas proveedoras de seguridad al utilizar la Taxonomía para clasificar sus propias soluciones dentro del Catálogo de Empresas y Soluciones de Seguridad TIC. Por otro lado, la ges­ tión del propio Catálogo desde INTECO, también aportó importantes conclusiones sobre los problemas y dificultades en el uso de la Taxonomía.

Los actores del mercado de seguridad TIC
Pero además de contar con el feedback propio del mercado durante todo este tiempo, también era fundamental contar con los principales actores del mercado a la hora de llevar a cabo la revisión de la primera Taxonomía, para lo cual se creó un grupo de trabajo el cual ha permitido contar con la experien­ cia y conocimiento de estos actores, lo cual ha aportado mayor claridad y definición a la nueva versión de la Taxonomía. Todo ello ha permitido establecer una metodología de trabajo muy completa que queda avalada por los resultados que, como veremos, se materializan en una Taxonomía depurada, con mayor sencillez y de nuevo ajustada a la realidad del mercado actual y futuro de la seguridad.

23

La nueva versión de la Taxonomía ha requerido una importante fase de re-diseño y re-ingenie­ ría. La mejor forma de comprender cuáles han sido los fundamentos de diseño sobre los que se sustenta la nueva versión de la Taxonomía es realizar un recorrido por los distintos objetivos que se pretendían conseguir y a partir de ellos desgranar los fundamentos de diseño de la Taxonomía 2.0. Como habíamos visto en un apartado anterior, los objetivos fundamentales que se perseguían en esta revisión eran los siguientes: • Simplificar la clasificación de Productos y Servicios que conforman las Soluciones de Segu­ ridad de la Taxonomía.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

Fundamentos de diseño

La Taxonomía 2.0

• Establecimiento del nivel conceptual más adecuado que dote a la Taxonomía de mayor duración y estabilidad en el tiempo ante los cambios que se producen en el mercado. • Dotar de mayor flexibilidad a la Taxonomía mediante la inclusión de varios niveles de categorías que puedan ser adaptadas a un entorno tan cambiante como es el mercado de Seguridad TIC. • Establecer el concepto de ámbito, que veremos más adelante, tanto para productos como para servicios, que permite añadir una “dimensión” más a la clasificación de productos y servicios. Vamos a describir con más detalle cada uno de ellos.

Simplificar
Uno de los principales problemas de la primera versión de la Taxonomía tiene que ver con el número de categorías que incorporaba la clasificación. Un total de 31 categorías de productos y de 14 para servicios. Pueden no parecer demasiadas, pero en la práctica un número de categorías relativamente alto, in­ corpora complejidad a la catalogación. Por ejemplo, en la práctica se ha visto que es mejor que un producto o servicio “caiga” o esté asociado al menor número de categorías posibles, puesto que: • Por un lado, esto facilita mucho la tarea de clasificación. Al clasificar un producto o servicio, reducimos el número de categorías a la que está asociado. Estamos simplificando. • Y por otro lado, hoy en día se ha dado una importante tendencia en cuanto a que los diversos productos y servicios de seguridad cada vez “hacen más cosas” y, por tanto, la tendencia es “agru­ par” tecnologías y productos y servicios de de seguridad en soluciones cada vez más completas. Teniendo en cuenta lo anterior, reducir el número de categorías tanto para productos, como para ser­ vicios, simplifica enormemente la posterior catalogación y en definitiva el propio uso de la Taxonomía.

24

Nivel conceptual
El nivel conceptual se refiere al hecho de que las categorías pueden tener niveles conceptuales distin­ tos. Pongamos un ejemplo, en el caso de los cortafuegos podríamos establecer dos tipos de categorías, como las siguientes: • Categoría “Cortafuegos”. • Categoría “Cortafuegos de nivel de red”. Como vemos, la categoría “Cortafuegos” es una categoría más “genérica” y que, por tanto, permite in­ cluir dentro de ésta cualquier tipo de cortafuegos, puesto que simplemente hace referencia a cualquier producto que incorpore la capacidad de protección mediante un cortafuegos, pero sin especificar qué tipo de cortafuegos.

5. La Taxonomía 2.0

En el caso de la categoría de “Cortafuegos de nivel de red” ésta hace referencia a un tipo específico de cortafuegos, en este caso, “de nivel de red” y, por tanto, en esta categoría sólo podrán estar incorporados aquellos cortafuegos que operan a este nivel. Es, por tanto, una categoría con nivel conceptual menor. En relación con el nivel conceptual, lo que se ha visto es que es más práctico y sencillo establecer categorías con un mayor nivel conceptual; es decir, más genéricas. De esta forma, es posible reducir considerablemente el número de categorías.

Aumentar la flexibilidad
Otro aspecto muy importante en el que ha sido necesario mejorar, tiene que ver con la “flexibilidad” a la hora de incorporar nuevas categorías a la Taxonomía de forma que ésta sea lo suficientemente flexible como para adaptarse a los cambios del mercado de la seguridad. Desde el punto de vista de la flexibilidad, el problema al que se enfrenta la Taxonomía es el hecho de que una parte de la misma no puede variar constantemente, como es el caso de las categorías de productos y de servicios. Si aparecen nuevos productos o servicios, estos deben ser asociados a alguna de las categorías existentes y, si esto no es posible, nos encontramos ante un problema. Para solucionar esto, se ha trabajado en dos vías. La primera tiene que ver con el nivel conceptual: al crear categorías más genéricas, conseguimos que cada categoría sea capaz de albergar más tipos de productos y servicios, limitando así el riesgo de que existan productos o servicios que no puedan ser asociados a ninguna categoría. Por otro lado, se establecen dos niveles de categorías, el primero es el que ya conocemos, en el cual nos encontramos las categorías principales de productos y servicios, y el segundo, serían las subcategorías o tipos. Pongamos un ejemplo. Si nos fijamos en la categoría “Cortafuegos” y la categoría “Cortafuegos de nivel de red” tenemos un ejemplo perfecto de categoría y sub-categoría o tipo. En este caso, la categoría principal sería “Corta­ fuegos”, que incluye a todos los productos que ofrecen esta tecnología de protección, mientras que “Cortafuegos de nivel de red” es una sub-categoria o tipo especifico de cortafuegos. Lo interesante de las sub-categorías o tipos es que éstas pueden variar con mucha más frecuencia que las categorías principales, puesto que éstas no son fijas a diferencia de las categorías y, por tanto, dispone­ mos de mucha flexibilidad posibilitando que la clasificación pueda adaptarse a los cambios del mercado.

25

Una nueva dimensión: alcance
En la primera versión de la Taxonomía, como parte de las fichas que se elaboraron para cada uno de los productos y servicios, se incorporó un pequeño cuadro adicional donde se podía ver el “objeto y alcance” de una categoría. Esta información, aportaba datos adicionales sobre determinados aspectos que aplicaban a una ca­ tegoría concreta. Por ejemplo, si era hardware o software o si se trataba de una categoría de productos orientada a reacción, auditoría u otros.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

La Taxonomía 2.0

Después de realizar un análisis del uso que se hacía en la realidad de esta información, se vio que ésta podría ser agrupada en un único concepto, el alcance, el cual se utiliza para añadir información de tipo funcional a una categoría, ya sea de producto o de servicio. Es por ello que los productos y servicios en la versión 2.0 de la Taxonomía cuentan con un alcance para productos y servicios respectivamente. Todos estos alcances son detallados más adelante. El alcance permite establecer “dónde” o en “qué área” de la organización actúan cada una de las categorías de productos y servicios definidas. El alcance está predefinido para cada categoría y aporta información adicional sobre la misma. Más adelante, se detalla este concepto.

Alcance de productos y servicios
El alcance es uno de los conceptos más interesantes que incorpora la segunda versión de la Taxo­ nomía y, como hemos visto en apartados anteriores, proviene de dos conceptos independientes que nacieron en la primera Taxonomía, el “objeto” y el “alcance”. El hecho de que esos dos conceptos queden reducidos a uno sólo obedece, por un lado, a la nece­ sidad de simplificación y, por otro lado, a la búsqueda de una vía más adecuada que permita describir “dónde” se aplica y utiliza un determinado producto o servicio. En la Taxonomía 1.0 contábamos con el objeto y el alcance, cuya definición era la siguiente: • El objeto se refería al próposito para el cual estaba destinado un producto o servicio. Es decir, cual es la función o uso al que está destinado. Por ejemplo la auditoría, la protección, la detección o la reacción, en el caso de los productos y la consultoría, o la implantación en el caso de los servicios. • El alcance se refería al entorno físico o contexto en el cual son utilizados los distintos produc­ tos o servicios. Por ejemplo la red, los sistemas y los usuarios, en el caso de los productos, o el alcance de tipo técnico, operativo y de negocio para los servicios. Durante la revisión de las categorías de productos y servicios de la primera Taxonomía, se encontró que era posible fusionar y combinar muchas de ellas, creando categorías de más alto nivel y, por tanto, más genéricas. Durante dicho proceso de combinación y fusión de categorías se observó que además de esto, era posible crear categorías con un carácter más funcional; es decir, que la propia categoría indica de forma implícita a qué está destinada o cuál es objeto. Esto fue muy evidente en el caso de las categorías de servicios y, finalmente, se aplicó el mismo concepto a las categorías de productos. El resultado fue que el “objeto” ha quedado embebido en las propias categorías de productos y ser­ vicios, quedando el alcance como un concepto externo e indepeniente, pero que está relacionado con las categorías y, por tanto, debe ser “representado” de alguna forma.

26

5. La Taxonomía 2.0

Por otro lado, a la hora de determinar los alcances de productos y servicios se vió que era posible usar el alcance como una “guía” u “hoja de ruta” que ayudara a los usuarios de productos y servicios de seguridad a la hora de llevar a cabo su implementación o a determinar en dondé se pretende aplicar seguridad dentro de las organizaciones. Para ello, en el caso de los productos, se determinaron cinco alcances diferentes que citamos a con­ tinuación: • Gestión de acceso e identidad, • Seguridad en el puesto de trabajo, • Seguridad en aplicaciones y datos, • Seguridad en los sistemas • Seguridad en las redes Estos cinco alcances están ordenados en base a un hipotético proceso de implantación de productos de seguridad en una organización, comenzando por la “gestión del acceso y la identidad” y finalizando en la implantación de “seguridad en las redes”. En el caso los servicios, se establecieron ámbitos de aplicación más amplios, o conceptualmente más genéricos, puesto que de por sí los propios servicios pueden ser aplicados, no sólo a sistemas e infraes­ tructuras TIC, sino que en muchas ocasiones se aplican a personas, o al negocio, de una forma amplia. Para servicios se establecieron los siguientes alcances: • Personas • Organización • Información • Infraestructuras • Negocio El resultado de la combinación de las categorías de productos y servicios con sus respectivos alcan­ ces es un modelo de Taxonomía “bidimensional”; es decir, la nueva Taxonomía incorpora información sobre el entorno físico o contexto en el cual son utilizados los diversos productos y servicios como una “dimensión” nueva.
Si representamos la Taxonomía, con las categorías y el alcance, obtenemos una tabla como la que
podemos ver en el gráfico siguiente:

27

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

La Taxonomía 2.0

Alcance 1
Categoría 1 Categoría 2 Categoría 3 Categoría n

Alcance 2

Alcance 3

Alcance n

Taxonomía 2.0 Estructura bidimensional, categorías y alcance

Como hemos dicho, desde el punto de vista de implantación de productos y servicios de seguridad, los alcances funcionan como una “hoja de ruta” o guía que pueden utilizar las organizaciones para esta­ blecer dónde realizar dicha implantación. Pero lo cierto es que los alcances no tiene un principio o un final. No hay un alcance que se pueda tomar como punto de partida o de referencia siempre, sino que dependerá de cada caso, será uno u otro el alcance elegido como “lugar” dónde se debe de realizar la implantación. La forma en que están organizados los alcances puede asimilarse a un gráfico como el que podemos ver a continuación.

28

GESTIÓN DE ACCESO DE IDENTIDAD

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LA RED

SEGURIDAD EN APLICACIONES Y DATOS

SEGURIDAD EN LOS SISTEMAS
Taxonomía 2.0 Alcances de producto como ciclo de implantación de seguridad

5. La Taxonomía 2.0

Los alcances, además, posibilitan la realización de una búsqueda más sencilla de soluciones de segu­ ridad, puesto que no sólo utilizamos la categoría como criterio de busqueda sino que podemos utilizar otra información, como qué infraestructuras tratamos de proteger o en qué área de nuestra organiza­ ción necesitamos implementar seguridad. La secuencia de búsqueda, a lo hora de encontrar un producto o servicio de seguridad, podría ser la siguiente: 1. Establecer el ámbito del producto o servicio 2. Decidir si buscamos un producto o servicio o una solución completa 3. Determinar la categoría de producto o servicio que se ajusta a nuestras necesidades 4. Identificar aquellas soluciones que cumplen los criterios anteriores A continuación se describen los alcances de productos y servicios.

Descripción de los alcances de producto
Los alcances identificados para productos en la taxonomía 2.0 son los siguientes: • Gestión de acceso e identidad • Seguridad en el puesto de trabajo • Seguridad en aplicaciones y datos • Seguridad en los sistemas • Seguridad en las redes

29

Gestión de acceso e identidad
En el primer nivel el elemento de seguridad con el que se encuentran los usuarios al acceder a las TIC es, con independencia del tipo de terminal, un mecanismo de Identificación y Acceso. Cada vez es mayor la diversidad de dispositivos y servicios al alcance de los usuarios de las TIC y por su amplia difusión también aumenta progresivamente el número de usuarios de las mismas. También la movilidad plantea nuevos retos para el acceso remoto a los sistemas y la identificación no sólo de usuarios sino también de máquinas que acceden desde redes externas. Por todo ello, cobran especial la importancia los mecanismos de control y gestión del acceso lógico a los siste­ mas (y acceso físico a las ubicaciones con sistemas TIC) e identificación de los usuarios (y máqui­ nas) ante sistemas y aplicaciones.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

La Taxonomía 2.0

Estos mecanismos son los responsables de establecer los permisos y vigilar el acceso a sistemas y aplicaciones locales o remotas; de asignar, mantener y controlar los perfiles de los usuarios según la utilización que cada usuario tienen asignada de los recursos TIC; monitorizar el uso de los recursos por los usuarios, etc. Por analogía con el mundo físico, y en ocasiones con formatos similares, caen bajo este alcance los mecanismos (llaves, tarjetas…) que tenemos que aplicar o disponer para asegurar y tener acce­ so a aquellos recursos necesarios para realizar nuestra actividad. El usuario final (el usuario técnico y los responsables de seguridad de las empresas) a los pro­ ductos de seguridad en este nivel, les demandan que su identidad y la de las máquinas bajo su control pueda ser correctamente salvaguardada ante ataques (intrusión, robo de identidad, suplan­ tación…) y así puedan acceder con confianza y utilizar los datos, aplicaciones, sistemas y redes que necesitan para realizar su actividad y su trabajo diario.

Seguridad en el puesto de trabajo
Una vez hemos superado el primer nivel, se ha de tener la garantía de seguridad de lo más in­ mediato, los sistemas de los dispositivos que forman el puesto de trabajo. Bajo la denominación de Seguridad en el puesto de trabajo se engloba la seguridad aplicable a los sistemas operativos de los dispositivos fijos, portátiles y móviles (ordenadores, periféricos, teléfonos, PDAs, terminales TDT…) que están en primera línea ante el usuario de las TIC. Una vez que los usuarios han sido iden­ tificados y sus permisos establecidos se garantiza la seguridad de lo más inmediato, los sistemas de los dispositivos que forman el puesto de trabajo. En este alcance se engloban muchas categorías y, la mayoría de éstas, comparten también otros alcances. En general, los productos de seguridad de este alcance se encargan de proteger al usuario y su equipo contra los posibles incidentes de seguridad que pueda sufrir (ataques con­ tra el sistema operativo, clientes software, navegadores…). Son en particular los productos que aportan seguridad en el entorno local, en el hardware y software a disposición y, con frecuencia, bajo el control, del usuario final. Con frecuencia los mecanismos de seguridad de estos produc­ tos incluyen funciones que vigilan la actualización del software instalado en nuestros sistemas, advierten de posibles ataques, etc. El usuario final y el usuario técnico (y los responsables de seguridad de las empresas) a los pro­ ductos de seguridad en este nivel les demandan que los sistemas informáticos de los terminales que utilizan (móviles, PDAs, portátiles, memorias,…) estén a salvo ante cualquier ataque contra su contenido, que los inhabilite para el uso para el que fueron diseñados, que facilite la sustracción de datos o la vigilancia de la actividad del usuario no permitida o que los convierta, sin el consenti­ miento consciente del usuario, en elementos de redes con actividades maliciosas.

30

Seguridad en aplicaciones y datos
El siguiente nivel con el que el usuario se enfrenta con frecuencia con alta dependencia del anterior, y como veremos más adelante también de los siguientes, es la Seguridad de los datos

5. La Taxonomía 2.0

y aplicaciones. En este nivel ya disponemos como usuarios de la confianza que nos aportan los niveles anteriores: que nuestros recursos básicos están a salvo de que sólo acceda quién los nece­ sita y de que trabajamos en un entorno local seguro. El usuario necesita a continuación aplicar las tecnologías de Seguridad TIC a los datos y las aplicaciones que con ellos trabajan. En este nivel es el encargado de dotar de seguridad al sistema de información sobre el que se sustenta su negocio formado esencialmente por las aplicaciones con las que interactúa el usuario y la información que éstas manejan (documentos, mensajes, registros de bases de datos…). Los productos que ofrecen este nivel de seguridad están con frecuencia relacionados también con la Seguridad en Servidores y en Redes, dada la constante transferencia de los datos y el hecho de que la mayoría de las aplicaciones trabajan según esquemas de ejecución distribuida (cliente-servidor, SOA, Cloud Computing…). En este nivel se incluyen la protección de las aplicaciones con independencia de la tecnología subyacente a las mismas: de escritorio, aplicaciones web, correo electrónico, mensajería, etc. Este tipo de productos están sufriendo considerables transformaciones guiados y empujados por el constante crecimiento de la complejidad en los desarrollos del software de las aplicaciones que es también aprovechado por los atacantes. También bajo este alcance se incluye todo tipo de productos de protección de datos, desde los que utilizamos en sistemas de almacenamiento local y en memorias portátiles hasta los que residen en soportes de almacenamiento remotos. Algunos de estos productos van a permitir la continuidad del negocio en caso de siniestro o ataque. Estos son, entre otros, productos para cifrar la información, así como para establecer políticas de respaldo de la información, copias de seguridad, etc. Particular interés tienen en este apartado la protección de datos personales y credenciales de usuario (banca on-line, comercio electrónico…) que en la actualidad están siendo el objeto de un número creciente de ataques y de desarrollo legislativo específico. El usuario final y el profesional responsable de la seguridad, a los productos de seguridad en este nivel les demandan que las aplicaciones y los datos que éstas manejan estén a salvo ante cualquier ataque que comprometa la integridad de los datos, permita la difusión no permitida de sus datos, en particular sus datos personales, afecte al funcionamiento de las aplicaciones y pueda compro­ meter directa o indirectamente los sistemas en los que éstas se ejecutan. Además, les demandan que, ante algún incidente de seguridad que afecte a su actividad (y por tanto a su negocio en el caso de empresas), permitan restaurar la actividad en el menor tiempo posible.

31

Seguridad en los sistemas
Interrelacionadas con el anterior, al igual que los productos de Seguridad en el puesto de trabajo, pero en un nivel de complejidad mayor y dirigidos a usuarios técnicos y administradores de sistemas están las herramientas que proporcionan Seguridad en los Sistemas. En este nivel el usuario ne­ cesita aplicar las medidas técnicas y organizativas que protejan los sistemas informáticos de la em­ presa (servidores, elementos comunes de almacenamiento y otros periféricos) de forma centralizada ante incidentes de seguridad, tanto de forma preventiva como reactiva. Las tecnologías que aplican en este nivel sirven con frecuencia para aplicar métodos de supervisión y mecanismos de auditoría.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

La Taxonomía 2.0

El control de estos mecanismos de seguridad está generalmente en manos de operadores de sistemas que actúan en consonancia con las estrategias y políticas de seguridad de la organización. En este alcance se incluyen principalmente herramientas para servidores corporativos, herra­ mientas para la restauración de sistemas en caso de incidentes de seguridad para sistemas de al­ macenamiento centralizados, así como herramientas para la realización de auditorías técnicas de sistemas y gestión de eventos de seguridad, aunque también tienen cabida otros productos de seguridad relacionados. El usuario final, el usuario técnico y los responsables de seguridad de las empresas a los pro­ ductos de seguridad en este nivel les demandan que protejan preventivamente a los sistemas e indirectamente sus contenidos y permitan, en caso de incidente, el seguimiento y corrección de los fallos de seguridad encontrados.

Seguridad en Red
Por último, el nivel de Seguridad en Red engloba los elementos de seguridad directamente aplicables a las redes en todas sus expresiones: LAN, WAN, VLAN, WiFi... Los productos en este nivel van a garantizar al usuario que pueda confiar el transporte entre los elementos terminales que proporcionan el interfaz con el usuario y elementos remotos servidores u otros terminales con independencia de los elementos intermedios (routers, switches…). En este ámbito de aplicación se incluyen principalmente firewalls de red, redes privadas virtua­ les, sistemas de prevención y detección de intrusiones, herramientas para la protección de redes inalámbricas y dispositivos móviles, así como herramientas para el control de tráfico de red, aunque también tienen cabida otros productos de seguridad relacionados. Los productos bajo este alcance están también a merced de los cambios de la tecnología y en particular al aumento espectacular del uso de dispositivos y aplicaciones móviles. El usuario final, el usuario técnico y los responsables de seguridad de las empresas a los produc­ tos de seguridad en este nivel les demandan que garanticen la seguridad en los accesos remotos de equipos entre redes y en las transferencias de información a través de las mismas, permitiendo, sólo a usuarios autorizados, la supervisión, análisis y control de los tráficos entrantes y salientes, y garantizando la continuidad de la conectividad de los equipos que enlazan.

32

5. La Taxonomía 2.0

Descripción de los alcances de servicios
Los alcances identificados para servicios en la taxonomía 2.0 son los siguientes: • Personas • Organización • Información • Infraestructuras • Negocio

Personas
El primer nivel en el alcance de los servicios afecta a las personas, tanto por su seguridad en su interacción con las TIC (datos personales, identidades, permisos…), como por la seguridad que ellas pueden aportar. Se ha constatado que la mayoría de los ataques de seguridad aprovechan la ingenuidad y la falta de conocimientos de los usuarios. Es por esto por lo que los servicios dirigidos a sensibilizar y formar a los usuarios hacia un uso más seguro de los recursos son un elemento clave para fomentar la seguridad de las TIC en empresas. Bajo este alcance se encuadran los servicios de seguridad rela­ cionados con la concienciación y la sensibilización sobre las medidas de seguridad necesarias para un buen uso de las tecnologías de la información, en particular todo lo relacionado con las buenas prácticas del uso y aplicación de la tecnología dentro del trabajo. La implicación de los trabajado­ res a la hora de que se cumplan las políticas y procedimientos de seguridad es fundamental para mejorar el nivel de seguridad de la organización. Igualmente, en este alcance, están los servicios de formación sobre la utilización de dispositivos de seguridad. Un apartado de seguridad relativo a las personas es el cumplimiento normativo de la legislación en materia de datos personales. Tienen este alcance, además de otros relacionados, las herramien­ tas que facilitan a las empresas este cumplimiento normativo. También está en crecimiento el número de ataques contra la seguridad, procedentes del interior de las empresas. Los servicios que previenen, detectan y contrarrestan este tipo de ataques tienen cabida bajo este alcance. Los usuarios y las empresas demandan a los servicios de este alcance para proteger a la em­ presa ante actividades no deseables desde su interior, la mejora en la seguridad que pueden aportar los usuarios de las TIC por sus conocimientos, y la garantía de la seguridad propia de las personas y de sus identidades y credenciales (tanto de empelados como de usuarios) en el uso de las TIC.

33

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

La Taxonomía 2.0

Organización
El siguiente nivel de alcance de servicios, la organización, se refiere a los servicios de seguridad relacionados con el sistema organizativo de la empresa: funciones, responsabilidades y procedi­ mientos. Los servicios bajo este alcance tienen como objetivo la aplicación de medidas de seguridad organizativas: permisos y obligaciones, cumplimiento con la legislación, operativa de seguridad, etc. Este alcance está muy relacionado con el anterior, ya que son las personas las destinatarias de cumplir y hacer cumplir las reglas y estándares de seguridad para aumentar el grado de seguridad de la empresa. Un conjunto importante de servicios bajo este alcance va a estar orientado al mantenimiento de la actividad en caso de ataque, restauración de la actividad y búsqueda de los motivos del fallo de seguridad. También bajo este alcance están los servicios que van a registrar la actividad de la empresa para demostrar el cumplimiento normativo tanto de la legislación en materia de servicios a través de internet, como en materia de protección de datos personales de sus empleados y de los usuarios de sus servicios. Las empresas demandan a los servicios bajo este alcance garantías de seguridad del funcio­ namiento organizativo, supervisión y registro de la actividad de su empresa basada en las TIC y facilidades para la resolución de problemas de seguridad que permitan la continuidad de su actividad.

34

Información
En el alcance relativo a la información se agrupan los servicios de seguridad que permiten direc­ tamente la protección y recuperación de datos e información de la empresa. La información en formato electrónico representa uno de los activos más importantes de las empresas. El objetivo de la seguridad de la información es garantizar la confidencialidad, la integri­ dad y la disponibilidad de esta información. Evitar que la información sea accedida por personas o sistemas no autorizados, proteger que la información no sea alterada sin autorización, tanto cuando está archivada como cuando está siendo transferida o utilizada y que la información esté accesible, en tiempo y forma para todos los que la necesiten. Un importante grupo de servicios bajo este alcance va a permitir el intercambio de información confidencial y la identificación fidedigna del origen de la misma. Asímismo, son también servicios que caen bajo este alcance los orientados a la protección frente a pérdidas de información: los que permiten la copia de información y su posterior recuperación, los que evitan la difusión no permitida de información y los que aplican medidas de protección ante pérdida de terminales y otros dispositivos.

5. La Taxonomía 2.0

Las empresas demandan a estos servicios la protección de la información en todo su ciclo de vida: desde su creación, cuando está almacenada en soportes y en dispositivos, en el intercambio de la misma, y hasta su destrucción segura.

Infraestructura
Otro alcance, infraestructuras, agrupa los servicios de seguridad que aplican al equipamiento de la empresa. Bajo este alcance están los servicios dirigidos a la selección, implementación y operación de los productos de seguridad en todas sus categorías. Son también servicios bajo este alcance los que permiten detectar los posibles fallos de seguri­ dad de la infraestructura TIC y los que proporcionan la operación del equipamiento de seguridad y la gestión de los incidentes de seguridad. Las empresas demandan a los servicios bajo este alcance una solución externa a sus carencias técnicas en materia de seguridad y que les proporcionen los mecanismos externos en forma de operación y mantenimiento de equipos o de personal o una mezcla de ambos.

Negocio
El alcance de negocio está referido a los servicios de seguridad relativos al negocio en todas sus expresiones. Bajo este alcance están los servicios que facilitan los cambios organizativos necesarios para la adecuación de los planes y políticas de seguridad dentro de las empresas y organizaciones. También está la implantación de buenas prácticas en materia de seguridad de la información, que afecta de forma positiva en la mejora de sus procesos productivos, dotándolos de fiabilidad y seguridad, y permitiendo ahorro de costes y tiempos de indisponibilidad de sus propios servicios, son servicios bajo este alcance. Las empresas demandan a estos servicios la adecuación de sus procesos de negocio y la aplica­ ción de estándares y mecanismos de seguridad que garanticen la continuidad de los mismos y, por tanto, minimicen las pérdidas en caso de ataques o desastres de seguridad.

35

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

La Taxonomía 2.0

Nueva Taxonomía 2.0
Teniendo en cuenta todo lo anterior, podemos presentar los aspectos fundamentales del modelo final propuesto para la Taxonomía 2.0, la cual incorpora un conjunto de elementos y mejorasqué vamos a describir a continuación.

Productos y servicios
La Taxonomía 2.0 incorpora, al igual que la primera versión, un primer nivel de clasificación en el cual se establecen por un lado, productos y por otro, servicios, tal y como se puede ver en el gráfico a continuación.

Taxonomía STIC

36

Productos STIC

Servicios STIC

Taxonomía 2.0, Primer nivel de la Taxonomía

Categorías de productos y servicios
Asimismo, incorporan también un segundo nivel de categorías principales, que están diseñadas para no variar, salvo cuando la Taxonomía sea sometida a revisiones o actualizaciones, como la que aquí se presenta. Por tanto, la estructura general de la Taxonomía 2.0 no ha variado respecto de la anterior. El verdadero cambio se ha producido en las propias categorías puesto que se han visto reducidas hasta un total de 13 para productos y 8 para servicios. Dicha reducción ha sido posible gracias a que todas ellas tie­

5. La Taxonomía 2.0

nen un mayor nivel conceptual o, dicho de otro modo, son categorías más genéricas. Podemos verlas en el gráfico que se muestra a continuación.

Productos
Anti-fraude Anti-malware Auditoría técnica y forense Autentificación y certificación digital Contingencia y continuidad Control de contenidos confidenciales Control de tráfico de Red Cortafuegos Cumplimiento legal y normativo Gestión de eventos Gestión y control de acceso e identidad Seguridad en movilidad Sistemas y herramientas criptográficas

Servicios
Auditoría técnica Contingencia y continuidad de negocio Cumplimiento con la legislación Externalización de servicios de seguridad Formación Gestión de incidentes Implantación y certificación de normativa Planificación e implantación de infraestructuras

37

Taxonomía 2.0, Nuevas categorías de productos y servicios

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

La Taxonomía 2.0

Sub-categorias o tipos
Uno de los cambios más importantes que incorpora la nueva Taxonomía es que cuenta con un tercer nivel de clasificación en forma de sub-categorías, las cuales, a diferencia de las categorías principales, están pensa­ das para que puedan cambiar y adaptarse a los cam­ bios que se vayan produciendo en el mercado. A continuación, vemos un ejemplo de sub-catego­ rías, en este caso pertenecientes a la categoría princi­ pal de producto “Cortafuegos”.

Cortafuegos
Filtro de contenidos web Firewall corporativo Cortafuegos de aplicación web Cortafuegos de IM Cortafuegos personal UTM

38

Taxonomía 2.0, Ejemplo de sub-categorias correspondien­ tes a la categoría principal de producto “Cortafuegos”

VPN (ipsec, ssl) Control parental

Alcance
La incorporación del alcance tanto a productos como servicios, que permite establecer el “ámbito o área de aplicación” para cada categoría de producto o servicio. En el gráfico que se muestra a continua­ ción podemos ver los ámbitos para productos y servicios respectivamente:

Productos
Gestión de acceso e identidad Seguridad en el puesto de trabajo Seguridad en aplicaciones y datos Seguridad en los sistemas Seguridad en la red

Servicios
Personas Organización Información Infraestructura Negocio

Taxonomía 2.0, Alcance para productos y servicios

5. La Taxonomía 2.0

Taxonomía 2.0
Todos los elementos que hemos descrito en los apartados anteriores dan como resultado de su com­ binación el cuadro que presentamos a continuación, y que contiene el modelo final de la Taxonomía 2.0.

TAXONOMÍA DE PRODUCTOS CATEGORÍA DE PRODUCTO Anti-fraude:
Anti-phishing, Anti-spam, UTM

Ámbito de aplicación Gestión de Seguridad en Seguridad en Seguridad acceso e el puesto aplicaciones en los identidad de trabajo y datos sistemas Seguridad en la red

Anti-malware:
Anti-virus, anti-spyware, UTM

Auditoría técnica y forense:
H. de Aud. Técnica, H. de Aud. forense, test de intrusión, borrado seguro, Gestión de parches y vulnerabilidades, puesta a punto

Autentificación y certificación digital:
H. de certificación digital, H. smartcard y DNI

39

Contingencia y continuidad:
H. de recuperación de desastres, s. de copias de seguridad, virtualización

Control de contenidos confidenciales:
Control de contenidos confidenciales (outbound), UTM, Prevención de fuga de información

Control de tráfico de Red:
Control P2P, Monitorización y reporting de tráfico de Red, Control de ancho de banda, QoS, UTM

Cortafuegos:

Cumplimiento legal y normativo:
LOPD, LSSI, gestión de riesgos, SGSI, ILM

Gestión de eventos:
Gestión de eventos de seguridad, SIM /SIEM

Gestión y control de acceso e identidad:
Control acceso red corporativa

Seguridad en movilidad:
Para dispositivos móviles, en redes inalámbricas Wi-Fi

Sistemas de herramientas criptográficas:
Encriptación de mensajería, Almacenamiento seguro
Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0

Filtro de contenidos web, corporativo, c. aplic. web, c. IM, c. personal, UTM, VPN ipsec, ssl), IDS, IPS, Control parental

La Taxonomía 2.0

TAXONOMÍA DE SERVICIÓS CATEGORÍA DE SERVICIO Auditoría Técnica:
Servicios de detección de intrusiones, Pruebas (auditoría técnica), test de intrusión

Ámbito de aplicación Personas Organización Información Infraestructura Negocio

Contingencia y continuidad del negocio

Cumplimiento de la legislación

Externacionalización de servicios de seguridad:
Seguridad Gestionada, outsourcing

Formación

40
Gestión de incidentes Implantación y certificación de Nnormativa:
Certificación y acreditación, Políticas de Seguridad, Planes de seguridad, Gestión de riesgos

Planificación e implantación de infraestructuras

Taxonomía 2.0, Modelo final de la Taxonomía

La Taxonomía 2.0
Fichas de productos de seguridad TIC

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC

La primera versión de la Taxonomía ha servido como elemento de clasificación para la gran mayoría de las soluciones de seguridad.

Taxonomía 2.0: Fichas de productos de seguridad TIC
A continuación se describen las fichas de las siguientes categorías de productos:

Productos
Anti-fraude Anti-malware Auditoría técnica y forense Autentificación y certificación digital Contingencia y continuidad Control de contenidos confidenciales Control de tráfico de Red Cortafuegos Cumplimiento legal y normativo Gestión de eventos Gestión y control de acceso e identidad Seguridad en movilidad Sistemas y herramientas criptográficas

43

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Fichas de productos de seguridad

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Anti-fraude

Anti-fraude

DESCRIPCIÓN - ¿Qué es?
Las herramientas anti-fraude están destinadas a proteger a los usuarios de ataques que utilizan prácti­ cas denominadas de ingeniería social. Uno de los objetivos de la ingeniería social es conseguir, median­ te engaños, datos de los usuarios (contraseñas, cuentas de correo,…) para realizar con ellos actividades fraudulentas en internet. Estos ataques consisten, entre otros, en el robo de información personal y de datos bancarios y la suplantación de identidad, utilizando para ello técnicas como intentos de fraude bancario (phishing), redirección de páginas web (pharming), correo electrónico no deseado (spam) o malware diseñado al efecto (programas que capturan las pulsaciones de teclado – keyloggers, recolectores de contraseñas, …). Los intentos de fraude más frecuentes llegan a través de mensajes falsos (accesos a servicios financieros, ofertas de trabajo fraudulentas, loterías, premios o regalos,…). Los datos así obtenidos se utilizan para realizar fraudes o comerciar con esta información para ser usada en actividades que persiguen obtener un beneficio económico, generalmente con perjuicio del usuario engañado. El fraude on-line es una amenaza que utiliza múltiples técnicas y distintas vías de entrada (servicios en Internet, malware) pero sobre todo se caracteriza por explotar la confianza de los usuarios y su dificultad para diferenciar aquello que es legítimo de lo que no lo es.

45

MODALIDADES – Subcategorias
Podemos encontrar las siguientes subcategorías dentro de los productos anti-fraude: • Herramientas anti-phishing • Herramientas anti-spam • Herramientas de navegación segura • Herramientas UTM (gestión unificada de amenazas) y en formato de appliance (dispositivo que integra varias herramientas de seguridad) Podemos encontrar las herramientas anti-fraude dirigidas a la protección del puesto de trabajo for­ mando parte de soluciones integradas con otras herramientas en las denominadas suites de seguridad, o como productos con funcionalidad específica que se venden por separado. También existen productos de este tipo en formatos dirigidos a la protección de organizaciones completas, es decir, de protección corporativa.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Anti-fraude

La Taxonomía 2.0 Fichas de Productos
Anti-fraude

En cuanto a su forma de distribución se encuentran tanto como software o como productos hard­ ware integrados en un appliance que, en general, incluye diversas herramientas de seguridad en un único dispositivo.

USO - ¿Para qué sirve?
Son productos destinados a la protección general contra el fraude on-line, mejorando la seguridad en las transacciones electrónicas, pero también en el uso diario de Internet: correo electrónico, navegación web, mensajería instantánea, etc.

ESCENARIO - ¿Dónde utilizarlo?
Son herramientas con un ámbito de utilización muy amplio, desde la protección de un puesto de trabajo, hasta la protección de una organización completa. Su uso si bien generalizado, es muy recomendable, ya que proporcionan una protección fundamen­ tal y necesaria tanto para usuarios individuales como para empresas y organizaciones, fundamental­ mente en el uso del correo electrónico, la navegación web y los servicios a través de internet.

46

Se recomienda su uso en aquellos escenarios en los que se realizan transacciones electrónicas en internet, en particular banca electrónica o comercio electrónico, ya sea entre empresas o particulares.

RECOMENDACIONES – Buenas prácticas
• Son herramientas que deben ser actualizadas frecuentemente. Utilice sólo herramientas que dispongan de servicios de actualizaciones regulares y confiables. • Mantenga actualizado su sistema operativo y aplicaciones, ya sea un usuario o una empresa u organización. • Cuando realice transacciones electrónicas tome precauciones: evite realizarlas desde orde­ nadores públicos o poco confiables, teclee siempre manualmente la URL a la que desea acceder y mantenga actualizado su navegador.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Anti-fraude

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

47

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

SUBCATEGORÍAS – Definiciones
A continuación se aportan unas definiciones básicas de las distintas subcategorías incluidas en las herramientas anti-fraude: • Herramientas anti-phishing: Protegen del fraude bancario iniciado a través del correo electrónico. Se usan mensajes de correo electrónico falsos como herramientas de ingeniería social para conseguir información del usuario haciéndole creer que procede de una fuente legítima, como por ejemplo su entidad bancaria, y solicitándole datos de cuentas, credencia­ les de acceso, etc.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Anti-fraude

La Taxonomía 2.0 Fichas de Productos
Anti-fraude

• Herramientas anti-spam. Son herramientas destinadas a filtrar el correo electrónico no deseado, también llamado correo basura. • Herramientas de navegación segura. Son herramientas destinadas a proteger al usuario durante la navegación en internet, controlando los sitios a los que se accede mediante lis­ tas negras/blancas (no permitidas/permitidas), sistemas de reputación y otros mecanismos como sistemas heurísticos, de detección proactiva, así como herramientas para impedir in­ tentos de pharming o redirección a sitios web no solicitados. También se utilizan para limitar la navegación en sitios no permitidos (por ejemplo a menores o descargas P2P). • Herramientas UTM y appliance. Los UTMs se denominan así de sus siglas en inglés (Unified Thread Management) que se corresponde con Gestión Unificada de Amenazas y consisten en servidores o dispositivos, en ocasiones appliances específicos, que integran distintas so­ luciones de seguridad con un único interfaz de gestión. El término appliance se refiere a plataformas hardware diseñadas con una funcionalidad específica; en el caso de appliances de seguridad esta funcionalidad suele estar destinada a la protección del correo electrónico o la navegación o ambas pero no necesariamente con gestión unificada como en los deno­ minados UTMs. Es muy habitual encontrar soluciones completas anti-fraude unidas a otras categorías, como anti-malware en formato UTM.

48

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Anti-malware

Anti-malware

DESCRIPCIÓN - ¿Qué es?
Son herramientas destinadas a la protección de sistemas informáticos: servidores, ordenadores de sobremesa, portátiles, dispositivos móviles, etc., frente a todo tipo de software malicioso que pueda afectarles (virus, troyanos, gusanos, spyware, etc.) El software malicioso o malware es una amenaza que utiliza múltiples técnicas y vías de entrada: páginas web, correo electrónico, mensajería instantánea, redes P2P, dispositivos de almacenamiento externos (memorias USB, discos duros externos, CDs, DVDs,…), redes P2P, etc. y puertos abiertos en nuestro ordenador. Entre otras, estas vías, son utilizadas por el malware para infectar a los sistemas informáticos y propagarse por ellos, afectando de distintas formas al uso para el que están destinados (impidiendo acciones, vigilando usos, ralentizando sistemas, ejecutando acciones no permitidas,…). Las herramientas anti-malware son de uso generalizado y las más antiguas que existen.

49

MODALIDADES – Subcategorías
Los productos anti-malware corresponden a las siguientes subcategorías: • Herramientas anti-virus • Herramientas anti-spyware • Herramientas UTM (gestión unificada de amenazas) y en formato de appliance (dispositivo que integra varias herramientas de seguridad)

Así mismo, existen productos de este tipo para la protección de organizaciones completas, es decir, proporcionando una protección anti-malware corporativa. También podemos encontrar estos productos como software o como soluciones integradas en un appliance que proporciona diversas herramientas de seguridad en un único dispositivo.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Anti-malware

Las herramientas anti-malware dirigidas a la protección del puesto de trabajo con frecuencia se encuentran integradas con otras herramientas como en las denominadas suites de seguridad, o bien como productos específicos que se venden por separado.

La Taxonomía 2.0 Fichas de Productos
Anti-malware

USO - ¿Para qué sirve?
Son productos destinados a la protección general contra todo tipo de malware, mejorando la segu­ ridad de los sistemas informáticos en su uso habitual. Incluyen la protección frente a amenazas proce­ dentes de internet (navegación web, correo electrónico, mensajería instantánea, descargas de ficheros, banca electrónica) y en el uso de dispositivos externos, como los USB, discos duros externos, etc.

ESCENARIO - ¿Dónde utilizarlo?
Son herramientas con un ámbito de utilización muy amplio, desde protección de un puesto de traba­ jo o un único usuario, hasta la protección de una organización completa. Son de uso generalizado y muy recomendable, puesto que proporcionan una protección fundamen­ tal y necesaria tanto para usuarios domésticos como para empresas u organizaciones. Se recomienda su uso en todo tipo de sistemas informáticos, ya sean servidores, dispositivos de so­ bremesa o portátiles, incluyendo PDAs y smartphones. Se recomienda también su utilización en aquellos escenarios en los que se realiza un uso intensivo de Internet y del correo electrónico, y el intercambio frecuente ficheros o de memorias USB (pen-drives)..

50

RECOMENDACIONES – Buenas prácticas
• Son herramientas que deben de ser actualizadas con frecuencia. Utilice sólo herramientas que dispongan de servicios de actualización regulares y confiables. • Mantenga actualizado su sistema operativo y sus aplicaciones, ya sea un usuario o una or­ ganización. • Evite la descarga e instalación de programas desde sitios web que no ofrezcan garantías. • Verifique cada mensaje nuevo de correo electrónico antes de abrirlo. No abra mensajes de origen desconocido. No descargue ficheros adjuntos de origen sospechoso ni siga enlaces incluidos en mensajes de dudosa procedencia. • Mantenga actualizado su sistema y sus aplicaciones, en concreto actualice con frecuencia su navegador y su cliente de correo electrónico.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Anti-malware

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

51

SUBCATEGORÍAS – Definiciones

• Herramientas anti-virus. Son las herramientas de seguridad más antiguas dentro de la categoría de anti-malware. Originalmente estaban destinadas a la protección contra los virus y hoy en día su aplicación ha ido evolucionando hacia la protección de las distintas variantes de virus y ante otros tipos de malware (troyanos, gusanos,…). Las técnicas de protección también han ido evolucionando, haciéndose cada vez más complejas para la detección de malware de nueva aparición. • Herramientas anti-spyware. Son herramientas anti-malware centradas en la lucha contra los programas creados con fines de marketing o publicitarios que suelen terminar en los ordenadores de los usuarios por el simple hecho de navegar o usar el correo electrónico. Es un tipo de malware que, aunque no siempre es perjudicial, sí es molesto ya que espía nuestra actividad y ralentiza nuestro ordenador.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Anti-malware

A continuación se aportan unas definiciones básicas de las distintas subcategorías incluidas en las herramientas anti-malware:

La Taxonomía 2.0 Fichas de Productos
Anti-malware

• Herramientas UTM y appliance. Los UTMs se denominan así de sus siglas en inglés (Unified Thread Management) que se corresponde con Gestión Unificada de Amenazas y consisten en servidores o dispositivos, en ocasiones appliances específicos, que integran distintas so­ luciones de seguridad con un único interfaz de gestión. El término appliance se refiere a plataformas hardware diseñadas con una funcionalidad específica; en el caso de appliances de seguridad esta funcionalidad suele estar destinada a la protección del correo electróni­ co, de la navegación o ambas, pero no necesariamente con gestión unificada como en los denominados UTMs. Ambos, appliances y UTMs, suelen estar destinados a la protección de redes de pequeño, mediano o gran tamaño. Es muy habitual encontrar soluciones completas anti-fraude unidas a otras categorías, como anti-malware en formato UTM.

52

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Auditoría técnica y forense

Auditoría técnica y forense

DESCRIPCIÓN - ¿Qué es?
Son herramientas destinadas a la realización de auditorías de sistemas, aplicaciones y datos, para determinar posibles fallos de seguridad o brechas que pudieran ser fuente de un incidente de segu­ ridad y, por tanto, de un riesgo para los activos de una organización. Por tanto, de forma general, son herramientas de prevención. Por otro lado, en esta categoría se incluyen las herramientas de auditoría forense que, a diferencia de las anteriores, están orientadas a determinar qué ocurrió y cómo se ocasionó un incidente de seguridad, una vez que éste ya ha tenido lugar. Por tanto, son herramientas de análisis posteriores a un incidente. En la realidad, ambos tipos de herramientas se pueden combinar y, en algunos casos, se pueden usar de forma indistinta tanto antes como después de un incidente, puesto que muchas de sus funcionalida­ des son similares o realizan las mismas tareas, pero en un momento distinto del tiempo. Las herramientas más orientadas a auditoria forense hacen uso de los logs o registros que quedan almacenados en los sistemas para establecer la historia del incidente, así como de los rastros de la acti­ vidad del incidente que puedan encontrarse en otro tipo de registros.

53

MODALIDADES – Subcategorías
Podemos encontrar las siguientes subcategorías dentro de estas herramientas: • Herramientas de análisis de logs • Herramientas de análisis de puertos • Herramientas de análisis de parches y vulnerabilidades • Herramientas de auditoría de contraseñas • Herramientas de auditoría de ficheros • Herramientas de auditoría de red • Herramientas de auditoría de sistemas • Herramientas de recuperación de datos (recuperación de rastros) • Herramientas de testeo de software / aplicaciones web (en fase de diseño)

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Auditoría técnica y forense

La Taxonomía 2.0 Fichas de Productos
Auditoría técnica y forense

USO - ¿Para qué sirve?
Estas herramientas están orientadas a los siguientes usos: • Realizar análisis de los logs (registros de actividad) de todo tipo de sistemas, dispositivos y herramientas con el fin de determinar qué ocurrió a partir de la actividad registrada • Realizar análisis de puertos, tanto a ordenadores como a dispositivos de red u otros con el objetivo de detectar posibles puertos abiertos u otras debilidades • Realizar análisis de los sistemas y aplicaciones, detectando los parches y actualizaciones que no han sido aplicadas, así como otro tipo de vulnerabilidades • Realizar auditorías de contraseñas, determinando si se están aplicando los criterios de resis­ tencia establecidos, así como identificando aquellas que no cumplen, y que son fuentes de posibles accesos no autorizados • Realizar análisis de la actividad sobre los ficheros y datos, determinando si han sido alterados y toda la información relativa a dicha alteración

54

• Realizar recuperaciones de datos borrados, que pudieran ser rastros de un incidente que han sido eliminados, ya sea de forma intencionada o accidental • Realizar pruebas de diseño seguro a aplicaciones web y desarrollos software

ESCENARIO - ¿Dónde utilizarlo?
• En todo tipo de organizaciones con infraestructuras TIC, donde deban llevarse a cabo audi­ torías internas de seguridad. • En aquellas organizaciones donde se haya implantado un SGSI o se haya realizado una ade­ cuación a algún tipo de normativa o legislación. En estos casos, es muy importante contar con mecanismos de registro de la actividad, no sólo en los sistemas, sino también en los procesos y actividades. • En general, en cualquier organización que desee contar con herramientas que permitan rea­ lizar una valoración del estado de la seguridad en la organización y poder analizar incidentes de seguridad que hayan podido darse, con el objetivo de conocer la causa. • En el diseño de aplicaciones como una fase más de sus test de calidad.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Auditoría técnica y forense

RECOMENDACIONES – Buenas prácticas
• Debido a que los sistemas a auditar cambian constantemente, es fundamental mantener dichas herramientas convenientemente actualizadas. • Debido al alto contenido técnico relacionado con el manejo de este tipo de herramientas y el análisis de los datos que se obtienen de éstas, se recomienda contar con empresas y pro­ fesionales especializados a la hora de obtener información fidedigna y contrastada sobre la situación de la seguridad en su organización, o sobre un incidente de seguridad.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

55
ACCESO E IDENTIDAD

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Auditoría técnica y forense

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

La Taxonomía 2.0 Fichas de Productos
Auditoría técnica y forense

SUBCATEGORÍAS – Definiciones
• Herramientas de análisis de logs. Son herramientas destinadas a analizar los registros de actividad que se almacenan en todo tipo de sistemas, destinadas a incrementar los ratios de dispositivos con el fin de determinar la causa de un incidente. • Herramientas de análisis de puertos. Son herramientas destinadas a localizar o descrubrir puertos abiertos en información de los sistemas que son analizados o descubrir posibles brechas en la seguridad de los sistemas y dispositivos conectados a una red. • Herramientas de análisis de parches y vulnerabilidades. Son herramientas destinadas a identificar aplicaciones y sistemas sin actualizar, así como vulnerabilidades. • Herramientas de auditoría de contraseñas. Son aplicaciones diseñadas para realizar aná­ lisis de contraseñas, realizar ataques por fuerza bruta, ataques de diccionario, etc. Se trata de establecer si se está cumpliendo la política de contraseñas de la organización, así como detectar contraseñas débiles o que no cumplen dicha política. • Herramientas de auditoría de ficheros. Son herramientas destinadas a registrar y analizar la actividad sobre los ficheros y datos de los sistemas. • Herramientas de auditoría de red. Son herramientas pensadas para realizar auditorías completas de las infraestructuras de comunicaciones, detectando puertos abiertos, servicios vulnerables, recursos de red visibles, equipos y sistemas conectados, posibles vulnerabilida­ des, parches y actualizaciones faltantes, etc... • Herramientas de auditoría de sistemas. Son herramientas orientadas a la auditoria de sistemas, es decir, de ordenadores, ya sean servidores, de sobremesa o portátiles. • Herramientas de recuperación de datos (recuperación de rastros). Son herramientas pensadas para recuperar rastros de un incidente que hayan podido ser eliminados de forma intencionada o accidental. • Herramientas de desarrollo seguro. Son herramientas que permiten aplicar metodolo­ gías y estándares de desarrollo seguro durante el ciclo de vida del desarrollo de software, y en particular de aplicaciones web, para evitar el lanzamiento al mercado de aplicaciones vulnerables a ataques conocidos.

56

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Autenticación y certificación digital

Autenticación y certificación digital

DESCRIPCIÓN - ¿Qué es?
Son productos destinados al uso y utilización de certificados digitales para aportar mayor seguridad a procesos, aplicaciones y sistemas. Estos productos permiten utilizar los certificados digitales en multitud de escenarios y situaciones diferentes. Por ejemplo, en la firma de documentos o en la autenticación en sistemas e instalaciones. Los certificados digitales se usan conjuntamente con las tarjetas inteligentes “smart cards”, en las cuales se pueden almacenar certificados digitales, y con dispositivos lectores de este tipo de tarjetas. El DNI electrónico, o DNIe, es un ejemplo de tarjeta inteligente que incluye certificados digitales para autenticación y firma. Así mismo, se incluyen en esta categoría todo tipo de productos que permiten la creación y emisión de certificados digitales.

57

MODALIDADES – Subcategorías
Podemos encontrar las siguientes subcategorías dentro de esta categoría de productos: • Generación y emisión de certificados digitales • Firma electrónica de documentos, correos electrónicos u otros • Tarjetas inteligentes y dispositivos asociados • Autenticación e identificación digital mediante certificados digitales Podemos encontrar estos productos tanto hardware, como es el caso de las tarjetas inteligentes o los lectores de las mismas, como software, para firma de documentos digitales, autenticación y verificación de la integridad de dichos documentos, etc. Así mismo, podemos encontrar productos destinados a la identificación y autenticación de usuarios y organizaciones mediante certificados digitales. Estas soluciones generalmente combinan un dispositivo hardware con un sistema software que in­ teractúa con una infraestructura de clave pública (a cargo de una entidad de confianza que aporta la garantía de los certificados) para comprobar y aplicar los certificados.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Autenticación y certificación digital

La Taxonomía 2.0 Fichas de Productos
Autenticación y certificación digital

USO - ¿Para qué sirve?
• Permiten la generación y emisión de certificados digitales
• Posibilitan la firma electrónica de documentos y correos electrónicos • Permiten el almacenamiento seguro de los certificados y su difusión y utilización en múltiples escenarios • Permiten la autenticación e identificación digital en el acceso a servicios, aplicaciones y sistemas • Posibilitan comprobar la veracidad e integridad de documentos digitales, correos electrónicos y otros

Los certificados digitales, son herramientas con un ámbito de utilización muy amplio y que se amplía día a día. Estas herramientas se encuentran como productos específicos o como funcionalidades integradas en otras herramientas o soluciones.

58

ESCENARIO - ¿Dónde utilizarlo?
Se recomienda su uso en los siguientes escenarios: • Donde exista una necesidad de identificar personas u organizaciones de forma robusta y segura en un entorno digital • Donde sea necesario implementar tramitación electrónica que incluya capacidades de firma, envío de documentación, garantía de integridad, no repudio, etc. • En la implementación de mecanismos de control de acceso físico y lógico a sistemas, aplica­ ciones, servicios o instalaciones • En la implementación de servicios seguros a través de INTERNET, mediante la utilización de contenidos firmados, conexiones seguras, etc. • Para realizar la firma de documentos digitales, correos electrónicos u otro tipo de contenidos • Mantenimiento de la integridad de archivos digitales de documentos en las organizaciones

RECOMENDACIONES – Buenas prácticas
• Son herramientas que deben ser actualizadas con regularidad, puesto que de su seguridad depende la identidad y la validez de documentos, que pueden tener valor desde el punto de vista legal, económico, etc. • La gestión de los certificados digitales debe incluir una adecuada política de seguridad para dicha gestión, así como para la gestión de las claves y contraseñas asociadas a estos.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Autenticación y certificación digital

• Hay que distinguir y usar adecuadamente los distintos tipos de certificados y herramientas asociadas en función del escenario y las necesidades de la organización.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones.

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

59

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

SUBCATEGORÍAS – Definiciones
A continuación se aportan unas definiciones básicas de las distintas subcategorías incluidas en esta categoría de producto. • Generación y emisión de certificados digitales. Son aquellas herramientas que posibili­ tan la creación y emisión de certificados digitales, así como la infraestructura necesaria para el mantenimiento y gestión de todos los aspectos relativos a los certificados digitales.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Autenticación y certificación digital

La Taxonomía 2.0 Fichas de Productos
Autenticación y certificación digital

• Firma electrónica de documentos, correos electrónicos u otros. Son aquellas herra­ mientas que permiten firmar todo tipo de documentos electrónicos, así como aquellas que pueden ser utilizadas en tramitaciones electrónicas. • Tarjetas inteligentes y dispositivos asociados. Son herramientas, fundamentalmente hardware, que permiten el uso de certificados digitales en un dispositivo, como es el caso de las tarjetas inteligentes y su uso en entornos y escenarios mediante los lectores de tarjetas, RFID, etc. • Autenticación e identificación digital de personas mediante certificados digitales. Son herramientas destinadas a verificar la identidad de un usuario u organización mediante el uso de certificados digitales, orientadas a determinar la identidad y realizar una autentica­ ción en base a dicha identidad digital. Permiten el acceso a instalaciones, recintos, etc...

60

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Contingencia y continuidad

Contingencia y continuidad

DESCRIPCIÓN - ¿Qué es?
Son herramientas cuyo objetivo es facilitar el proceso de implantar planes de contingencia y conti­ nuidad en las organizaciones en todas sus fases. Por tanto, son herramientas que facilitan y posibilitan la gestión de los planes de contingencia y continuidad, desde su concepción y diseño hasta su imple­ mentación, pasando por su seguimiento, mejora continua y gestión de los incidentes que se puedan dar y que pondrán a prueba dichos planes. Entre estas herramientas, las de recuperación de sistemas, tras un incidente que afecta a la disponibilidad de la infraestructura TIC y las herramientas de copias de seguridad, son fundamentales para la implantación de planes de contingencia y continuidad en las organizaciones Para que un plan de contingencia y continuidad funcione correctamente es importante un buen di­ seño del plan, establecimiento de los tiempos de recuperación necesarios, implementación de medidas y políticas y valoración del impacto. Estas herramientas están muy enfocadas a la recuperación ante desastres e incidentes de seguridad. La externalización se ha convertido en un elemento fundamental de este tipo de herramientas, como son las soluciones de copia de seguridad remota. Por otra parte, la virtualización está cobrando impor­ tancia a la hora la de conseguir reducir lo máximo posible los tiempos de despliegue y puesta en marcha de infraestructuras de respaldo, con el objetivo de reducir los tiempos de interrupción de la actividad.

61

Podemos encontrar las siguientes subcategorías dentro de estas herramientas: • Herramientas de gestión de planes de contingencia y continuidad • Herramientas de recuperación de sistemas • Herramientas de copias de seguridad • Herramientas de despliegue rápido de infraestructuras • Seguridad en virtualización

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Contingencia y continuidad

MODALIDADES – Subcategorías

La Taxonomía 2.0 Fichas de Productos
Contingencia y continuidad

USO - ¿Para qué sirve?
Estas herramientas están orientadas a los siguientes usos: • Gestionar planes de contingencia y continuidad en todas sus fases y actividades, automati­ zando parte del proceso y registrando la actividad. • Recuperar sistemas y aplicaciones en el menor tiempo posible ante incidentes de seguridad. • Recuperar datos e información en el menor tiempo posible ante incidentes de seguridad. • Facilitar el despliegue rápido de infraestructuras • Coordinar toda la información y los recursos durante la gestión de un incidente.

ESCENARIO - ¿Dónde utilizarlo?
Los escenarios donde se recomienda el uso de este tipo de herramientas son los siguientes: • Son de uso recomendado en cualquier tipo de organización que utilice sistemas de informa­ ción o cuyos procesos de negocio dependan de su uso • Son productos que pueden ser utilizados en organizaciones y empresas de cualquier tamaño • Son muy recomendables para la recuperación de la información y disponer de copias de seguridad

62

RECOMENDACIONES – Buenas prácticas
• Se recomienda contar con servicios de consultoría o soporte previos a la implantación de cualquier herramienta asociada a esta categoría. • Se recomienda utilizar productos y herramientas para copias de seguridad como medida básica y fundamental de seguridad. • Considere tener un centro de respaldo de su actividad para garantizar la continuidad de su negocio en caso de desastre

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Contingencia y continuidad

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

63

SUBCATEGORÍAS – Definiciones

• Herramientas de gestión de planes de contingencia y continuidad. Son herramientas que permiten la gestión en todas sus fases de los planes de contingencia y continuidad. Du­ rante su diseño, implantación, seguimiento y mejora continua, durante el incidente, durante la recuperación, etc. • Herramientas de recuperación de sistemas. Son herramientas destinadas a posibilitar una rápida recuperación de los sistemas y las aplicaciones ante un incidente de seguridad. • Herramientas de copias de seguridad. Son herramientas destinadas a posibilitar una rápida recuperación de los datos y la información ante un incidente de seguridad. Permiten automatizar la realización de copias de datos, programas, sistemas operativos y programar su frecuencia, sus características (total, incremental, parcial, cifrada,…) y su ciclo de vida. Fa­ cilitan también la recuperación de los datos en caso de pérdida accidental o intencionada.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Contingencia y continuidad

A continuación se aportan unas definiciones básicas de las distintas subcategorías incluidas en esta categoría de producto:

La Taxonomía 2.0 Fichas de Productos
Contingecia y continuidad

• Herramientas de despliegue rápido de infraestructuras. Son herramientas destinadas a posibilitar el despliegue rápido de infraestructuras de respaldo en caso de pérdida de las actuales, con el objetivo de reducir al mínimo los tiempos de interrupción de la actividad. • Seguridad en Virtualización. Se engloban en esta subcategoría los mecanismos y tecno­ logías que aportan seguridad a los sistemas virtualizados.

64

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Control de contenidos confidenciales

Control de contenidos confidenciales

DESCRIPCIÓN - ¿Qué es?
Son herramientas que previenen la difusión, accidental o intencionada, de cualquier tipo de infor­ mación o datos fuera de una organización. Evitan la fuga de información a través de correo electrónico, mensajería instantánea, transferencia de ficheros mediante FTP, redes P2P, chats, blogs o mediante dis­ positivos externos de almacenamiento, como es el caso de las memorias USB. Actúan monitorizando todo tipo canales de comunicación, desde y hacia el exterior de la organiza­ ción, evitando la fuga de información e implementando políticas de uso de información sensible. Se incluyen en estas herramientas aquellos sistemas que gestionan el ciclo de vida de información, controlando el uso autorizado de documentos electrónicos y facilitando la destrucción de los mismos cuando estén en desuso.

65
MODALIDADES – Subcategorías
Podemos encontrar las siguientes subcategorías dentro de los productos de Control de Contenidos Confidenciales: • Herramientas de prevención de fuga de información (en inglés DLP: Data Leakage Protection) • Herramientas para la gestión del ciclo de vida de la información (en inglés ILM: Information Life Cicle) • Herramientas para el control de acceso a dispositivos extraíbles de almacenamiento. Estas herramientas se presentan generalmente como dispositivos hardware y, en menor medida, como software y están dirigidas tanto a usuarios como a organizaciones.

USO - ¿Para qué sirve?
• Permiten la aplicación de políticas de seguridad a nivel de documento para establecer nive­ les de confidencialidad, secreto y difusión. • Impiden la pérdida o difusión no controlada de todo tipo de datos, a través de diversos me­ dios y canales de comunicación electrónica. • Impiden acciones no autorizadas sobre datos y documentos confidenciales cuando se utili­ zan, se transmiten o se almacenan en dispositivos externos.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Control de contenidos confidenciales

La Taxonomía 2.0 Fichas de Productos
Control de contenidos confidenciales

ESCENARIO - ¿Dónde utilizarlo?
La protección de la información corporativa es uno de los puntos fundamentales de la aplicación de la seguridad de la información en las organizaciones. Además, la fuga de información, como se denomi­ na a la pérdida de información sensible para el negocio de la empresa, se está convirtiendo en uno de los riesgos más importantes para las organizaciones. Son, por tanto, productos indicados para cualquier organización, en especial aquellas que tratan in­ formación de carácter personal, la cual está sometida a una regulación muy específica y con importan­ tes sanciones ante su incumplimiento. También aplica a la protección de cualquier información confi­ dencial o especialmente sensible (información financiera, propiedad intelectual,…) para el negocio de la empresa. Son herramientas muy recomendables en aquellas empresas que dispongan de equipos portátiles, personal en itinerancia, que trabajen con datos confidenciales de otras compañías, etc.

RECOMENDACIONES – Buenas prácticas
• Es recomendable una actualización frecuente del producto.

66

• Contemple en sus políticas de seguridad la definición de los datos y documentos confiden­ ciales, sus usos autorizados y su vigencia. • Identifique los datos de carácter personal y los documentos confidenciales que desea pro­ teger. • Identifique los usuarios autorizados y defina los privilegios para el uso de datos y documen­ tos confidenciales.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Control de contenidos confidenciales

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

67

SUBCATEGORÍAS – Definiciones
A continuación se aportan unas definiciones básicas de las distintas subcategorías incluidas en esta categoría de producto: • Herramientas de prevención de fuga de información (en inglés DLP: Data Leakage Prevention). Son herramientas que impiden y evitan la difusión, premeditada o no, de la información de la organización, independientemente de su estado (almacenada, en tránsito ó en uso). • Herramientas para la gestión del ciclo de vida de la información (en inglés ILM: In­ formation Life Cicle). Son herramientas que permiten gestionar el ciclo completo de vida de la información, y entre sus características incluyen la capacidad de implementar políticas y mecanismos para gestionar el nivel de confidencialidad de la información, su ámbito de uso y su vigencia. • Herramientas para el control de dispositivos externos de almacenamiento. Son he­ rramientas que están destinadas a controlar el acceso físico a puertos y otros dispositivos extraíbles (memorias USB) para evitar el robo de información.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Control de contenidos confidenciales

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Control de tráfico de red

Control de tráfico de red

DESCRIPCIÓN - ¿Qué es?
Son herramientas destinadas al control de la actividad de las infraestructuras de comunicaciones de una organización con distintos objetivos: cumplimiento de políticas de seguridad de la organización, seguridad perimetral y disponibilidad y uso adecuado de los recursos. Permiten controlar el tráfico generado y recibido mediante el empleo de sondas o sistemas que re­ colectan información en tiempo real de los elementos de la red, realizando también un análisis de los datos recogidos para detectar situaciones que están fuera de los parámetros normales de operación. Se realiza así un control sobre el uso del ancho de banda, los usuarios, el tipo de tráfico y del rendimiento en general. Son herramientas centradas en proteger la disponibilidad de las infraestructuras de comunicaciones de las organizaciones.

69

MODALIDADES – Subcategorías
Podemos encontrar las siguientes subcategorías dentro de los productos de Control de tráfico de red: • Herramientas de gestión y control de ancho de banda • Herramientas de monitorización y reporting (generación de informes)

Este tipo de herramientas se encuentran como productos software, o como appliances que integran varias herramientas para realizar control, monitorización y reporting (generación de informes) de la ac­ tividad de la red. Así mismo, podemos encontrar soluciones que aplican niveles de análisis de eventos, en base a los cuales actúan y activan alarmas. Otras herramientas aplican mecanismos que van desde la fijación de ni­ veles o márgenes de operación, hasta análisis de comportamiento más complejos destinados a detectar situaciones anómalas en la actividad de la infraestructura de comunicaciones.

USO - ¿Para qué sirve?
Son herramientas que posibilitan un uso eficiente de las infraestructuras de comunicaciones, así como el aseguramiento de la disponibilidad de las mismas. Se centran en la monitorización, análisis y reporting de toda la actividad de la infraestructura de comunicaciones.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Control de tráfico de red

• Herramientas de Control P2P

La Taxonomía 2.0 Fichas de Productos
Control de tráfico de red

Permiten aplicar y cumplir las políticas de seguridad que afectan al uso de las infraestructuras de co­ municaciones, posibilitando un uso eficiente de los recursos al detectar y analizar todo tipo de eventos que puedan afectar a la misma.

ESCENARIO - ¿Dónde utilizarlo?
Son herramientas aplicables a todo tipo de empresas que dispongan de infraestructuras de comuni­ caciones, como por ejemplo una intranet o red corporativa. Así mismo, son herramientas enfocadas a infraestructuras de comunicaciones de tamaño medio o grande, donde sea necesario realizar la moni­ torización de numerosos equipos y sistemas de comunicaciones. También se pueden dimensionar para infraestructuras más reducidas.

RECOMENDACIONES – Buenas prácticas
• Es recomendable una actualización frecuente del producto. • Establezca políticas de seguridad que definan el uso de la red por parte de usuarios y apli­ caciones.

70

• Realice una monitorización acorde con su nivel de dependencia de las infraestructuras y su nivel de complejidad y tamaño. • Si no puede contar con recursos propios para realizar la gestión de dichas herramientas, con­ sidere externalizar dicho servicio de forma completa.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Control de tráfico de red

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

71

SUBCATEGORÍAS – Definiciones
• Herramientas de gestión y control de ancho de banda. Son herramientas destinadas a un uso eficiente y adecuado del ancho de banda disponible, cuya disponibilidad puede verse afectada por un uso inadecuado de las infraestructuras de comunicaciones. Permiten limitar y controlar el uso que se realiza, en base a políticas de seguridad y a las necesidades de la organización. • Herramientas de monitorización y reporting (elaboración de informes). Son herra­ mientas centradas en la vigilancia de las infraestructuras de comunicaciones, detectando averías, fallos de servicio, uso inadecuado de infraestructuras, comportamientos anómalos, sobrecargas, y todo tipo de incidentes que pueden poner en riesgo la disponibilidad de las comunicaciones. Por otro lado, pueden generar informes que aportan información muy pre­ cisa de lo que está ocurriendo y de esta forma poder tomar decisiones para actuar de la mejor forma posible ante un incidente. • Herramientas de control P2P. Son herramientas para bloquear y controlar el tráfico a tra­ vés de redes P2P, mensajería instantánea y otras aplicaciones que consumen recursos de red. Normalmente impiden y restringen el acceso por parte de los usuarios a estos servicios, controlando el tipo de información transmitida.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Control de tráfico de red

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Cortafuegos

Cortafuegos

DESCRIPCIÓN - ¿Qué es?
Son productos destinados a proteger los sistemas y dispositivos conectados a una red. Son herra­ mientas que permiten establecer un perímetro de seguridad y garantizar las comunicaciones seguras para evitar accesos no autorizados y ataques provinientes de de redes externas y de internet. Esta categoría agrupa a productos que aseguran que las comunicaciones hacia y desde la red, cor­ porativa o doméstica, cumplen las políticas de seguridad establecidas. Para ello rastrean y controlan las comunicaciones, bloqueando el tráfico, detectando comportamientos anómalos y ataques y evitando intrusiones no autorizadas. También se integran en esta categoría las herramientas que permiten exten­ der la red corporativa a entornos distantes (sedes remotas, oficinas) creando enlaces de comunicación seguros.

MODALIDADES – Subcategorías
Podemos encontrar las siguientes subcategorías dentro de los productos CORTAFUEGOS: • Cortafuegos de nivel de red • Cortafuegos de nivel de aplicación • Cortafuegos personal • Redes privadas virtuales o VPNs (del inglés Virtual Private Network) • Cortafuegos corporativo • Cortafuegos UTM (Gestión unificada de amenazas, del inglés Unified Thread Management) o en formato appliance • Sistemas de prevención y detección de intrusiones IPS/ IDS (del inglés Intrusion Prevention System / Intrusion Detection System) • Filtro de contenidos Existen muchos tipos de cortafuegos. Se suelen clasificar en función de la capa del protocolo de comunicaciones en la que trabajan. Así podemos encontrar los denominados cortafuegos de capa de red, que son la mayoría de los cortafuegos que se comercializan y que se caracterizan por controlar las comunicaciones a un nivel de conexión entre redes.

73

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Cortafuegos

La Taxonomía 2.0 Fichas de Productos
Cortafuegos

También podemos encontrar cortafuegos de nivel de aplicación, que son capaces no sólo de contro­ lar conexiones, sino también protocolos específicos y aplicaciones. Este tipo de cortafuegos suelen ser más habituales en el entorno empresarial. Un ejemplo de cortafuegos de aplicación son los cortafuegos para mensajería instantánea o de aplicaciones web. En este tipo de productos se integran los sistemas de protección y detección de intrusiones IDS e IPS (del inglés Intrusion Prevention System / Intrusion Detection System), que llevan a cabo un análisis en tiempo real de las conexiones y los protocolos para determinar si se está produciendo o se va a producir un incidente. También se integran en esta categoría las redes privadas virtuales VPN (del inglés Virtual Private Net­ works) que permiten extender el perímetro seguro de la organización a oficinas remotas o usuarios distantes. Otra forma de clasificarlos es en función de su ámbito de protección, es decir, si están destinados a proteger un puesto de trabajo o toda una organización. En cuanto a su formato pueden presentarse integrados en software de aplicación, como en el caso de navegadores, formando parte de sistemas operativos o como dispositivos hardware específicos o in­ tegrados con otras funcionalidades de seguridad como es el caso de los UTMs (del inglés Unified Thread Management) y en formato appliances.

74

USO - ¿Para qué sirve?
Son herramientas destinadas a crear un perímetro de seguridad en la red de cualquier organización. Además de proteger de las amenazas externas provenientes de la red a la que estamos conectados, también protegen de las amenazas internas, por ejemplo, evitando el envío de información confidencial o la saturación de los recursos de comunicaciones.

ESCENARIO - ¿Dónde utilizarlo?
Está indicado para todo tipo de empresas y para usuarios domésticos. Son productos que podemos encontrar para cualquier dispositivo con capacidad de conectarse a redes. Es muy recomendable su utilización en dispositivos con posibilidad de conexión a una red: ordenador personal, portátil, teléfono móvil, PDAs.

RECOMENDACIONES – Buenas prácticas
• Son herramientas que deben ser actualizadas con frecuencia. Utilice solo herramientas que dispongan de servicios de actualización regulares y confiables. • Utilice este tipo de productos junto con unas adecuadas políticas de seguridad, diseñadas y adaptadas para su organización. • La gestión de este tipo de herramientas puede ser compleja, valore la externalización y los servicios tanto de protección como de gestión de estas herramientas.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Cortafuegos

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

75

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

SUBCATEGORÍAS – Definiciones
• Cortafuegos de nivel de red. Son cortafuegos que operan en la capa de nivel de red. La mayoría de los cortafuegos son de este tipo, como los cortafuegos personales o los cortafue­ gos corporativos. Es la modalidad más extendida. • Cortafuegos de nivel de aplicación. Son cortafuegos que operan por encima de la capa de nivel de red. Son capaces de procesar información a nivel de aplicación o de protocolos de aplicación. Este tipo de cortafuegos incluyen los de mensajería instantánea, de navegación web o de tráfico P2P. • Cortafuegos personal. Son cortafuegos pensados para la protección de un ordenador per­ sonal, o un puesto de trabajo.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Cortafuegos

La Taxonomía 2.0 Fichas de Productos
Cortafuegos

• Redes privadas virtuales o VPN (del inglés Virtual Private Network). Es una tecnología que suele estar incorporada como una característica de los cortafuegos de tipo corporativo o destinados a la protección de redes de varios ordenadores. Las VPN son muy utilizadas para interconectar las sedes u oficinas de una compañía cuando estas están situadas en distintas localizaciones geográficas, mediante la creación de túneles cifrados a través de internet y utilizando técnicas de traducción de direcciones. • Cortafuegos corporativo. Son cortafuegos pensados para la protección completa de la red de una organización. Se diferencian de los personales o de puesto de trabajo en la potencia y capacidad de proceso que incorporan, necesaria para controlar y gestionar las miles de co­ nexiones que entran y salen a diario de una red corporativa. Este tipo de cortafuegos puede trabajar tanto a nivel de red como de aplicación. • Herramientas UTM y appliance. Los UTMs se denominan así de sus siglas en inglés (Unified Thread Management) que se corresponde con Gestión Unificada de Amenazas y consisten en servidores o dispositivos, en ocasiones appliances específicos, que integran distintas so­ luciones de seguridad con un único interfaz de gestión. El término appliance se refiere a plataformas hardware diseñadas con una funcionalidad específica; en el caso de appliances de seguridad esta funcionalidad suele estar destinada a la protección del correo electrónico, la navegación o ambas, pero no necesariamente con gestión unificada como en los deno­ minados UTMs. Ambos, appliances y UTMs, suelen estar destinados a la protección de redes de pequeño, mediano o gran tamaño. Es muy habitual encontrar soluciones con cortafuegos unidas a otras categorías, como anti-malware o anti-spam en formato UTM y appliance. • Sistemas de prevención y detección de intrusiones IPS/ IDS (del inglés Intrusion Preven­ tion System / Intrusion Detection System). Son herramientas utilizadas para detectar y prevenir accesos no autorizados a un equipo o a una red. Hay IDS/IPS de equipo y de red; ambos monitorizan el tráfico para determinar y prevenir comportamientos sospechosos. Se integran con frecuencia con cortafuegos que realizan la función de bloquear el tráfico sospechoso. • Filtro de contenidos. Son herramientas para controlar, restringir y limitar el acceso a con­ tenidos web. Sirven para configurar condiciones en los accesos a Internet a través de nave­ gadores.

76

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Cumplimiento legal y normativo

Cumplimiento legal y normativo

DESCRIPCIÓN - ¿Qué es?
Son herramientas destinadas a facilitar el cumplimiento legal y normativo aplicable en materia de seguridad de la información, como es el caso de la LOPD en las organizaciones y las empresas. Posibilitan la implementación de políticas de seguridad, la realización de análisis de riesgos, la va­ loración de activos, la implantación de medidas de seguridad, la verificación y el cumplimiento de las políticas y medidas establecidas. Así mismo, permiten la gestión de los distintos registros asociados al cumplimiento, que luego servirán de indicadores del nivel de cumplimiento y adecuación. Por otro lado, también pueden proporcionar guías o instrucciones en forma de procesos estándares desde el punto de vista de la implementación de medidas destinadas al cumplimiento legal y norma­ tivo. Pueden ser herramientas que formalizan el conocimiento y la experiencia, de forma que luego sea posible automatizar total o parcialmente el proceso de cumplimiento y adecuación. En este grupo se incluyen las herramientas que facilitan el cumplimiento con la legislación en materia de protección de datos de carácter personal (LOPD), comercio electrónico (LSSI), Gestión de Riesgos, así como los Sistemas de Gestión de Seguridad de la Información (SGSI).

77

En particular, algunas de las herramientas más frecuentes son: • Herramientas para el cumplimiento con la legislación: LOPD, LSSI, LPI,… • Herramientas para el cumplimiento normativo: SGSI, Gestión y análisis de riesgos y otros es­ tándares y normativas de seguridad.

USO - ¿Para qué sirve?
Estas herramientas están orientadas a los siguientes usos: • Facilitar el cumplimiento de la legislación aplicable en materia de seguridad en las empresas y organizaciones • Permitir la gestión automatizada de todos los aspectos relativos al cumplimiento y adecua­ ción, como son las políticas, las medidas implementadas, etc.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Cumplimiento legal y normativo

MODALIDADES – Subcategorías

La Taxonomía 2.0 Fichas de Productos
Cumplimiento legal y normativo

• facilitar el control y la medición del nivel de cumplimiento y adecuación, con el objetivo de permitir la mejora continua y detectar debilidades y puntos en los que es necesario mejorar. • facilitar la realización de inventarios de activos, registro de actividades, hitos, incidentes, flujo de gestión de incidentes, etc.

ESCENARIO - ¿Dónde utilizarlo?
Se recomienda su uso en los siguientes escenarios: • Cualquier organización que comience a realizar un proceso de adecuación o cumplimiento a normativa • Cualquier organización que desee implementar herramientas para el control y la gestión de la seguridad en la organización • Cualquier organización que desee implantar un Sistema de Gestión de Seguridad de la In­ formación o SGSI • Cualquier organización que desee adecuarse a la legislación aplicable en materia de seguri­ dad de la información

78

RECOMENDACIONES – Buenas prácticas
• Debido a la complejidad a la hora de abordar cualquier proceso de adecuación y cumpli­ miento de normativa y de legislación, se recomienda contar con servicios de consultoría previos a la implantación de cualquier herramienta asociada a esta categoría. • Desarrolle políticas de seguridad en las que se valoren los riesgos a los que están expuestos los sistemas de información que sustentan su negocio. • Establezca rutinas de gestión de la seguridad y verifique su cumplimento para minimizar riesgos de seguridad

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Cumplimiento legal y normativo

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

79

SUBCATEGORÍAS – Definiciones
• Herramientas de cumplimiento con la legislación. Son herramientas destinadas a fa­ cilitar el cumplimiento con la legislación en materia de seguridad de la información en las organizaciones. Entre estas leyes se encuentran: LOPD (Ley Orgánica de Protección de Datos), LSSI (Ley de Servicios de la Sociedad de la Información), LPI (Ley de Propiedad Industrial),….. Estas herramientas permiten realizar la gestión, seguimiento y control de las obligaciones legales en materia de seguridad, la utilización de guías y buenas prácticas y la automatización de las obligaciones. • Herramientas de cumplimiento normativo: Son herramientas destinadas a facilitar el cumplimiento e implantación de normativa en materia de seguridad de la información en las organizaciones. Entre estos estándares y normativas se encuentran: SGSI (Sistemas de Ges­ tión de la Seguridad de la Información), Gestión y análisis de riesgos y otros estándares y normativas de seguridad. Estas herramientas permiten realizar una gestión, seguimiento y control de las buenas prácticas y normativas en materia de seguridad.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Cumplimiento legal y normativo

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Gestión de eventos

Gestión de eventos

DESCRIPCIÓN - ¿Qué es?
Son productos que permiten llevar a cabo la gestión de eventos o incidentes de seguridad en cual­ quiera de sus fases, ya sea antes, durante o después de que se produzca un incidente. Recogen, cotejan y hacen informes con los datos de los registros de actividad (logs) de los dispositivos de seguridad o de red instalados en la red de área local (LAN): routers (enrutadores), switches (conmutadores), cortafuegos, UTMs,… Así mismo, permiten establecer un flujo para la gestión de los eventos de seguridad de forma que sea posible tratar los incidentes de forma organizada y siguiendo un procedimiento cuyo objetivo es la resolución del incidente en el menor tiempo posible y con las menores consecuencias para las or­ ganizaciones. Son herramientas que posibilitan actuar en la prevención, detección, mitigación, análisis y aplicación de contramedidas.

MODALIDADES – Subcategorías
Podemos encontrar las siguientes subcategorías dentro de esta categoría de productos: • Gestión de eventos de seguridad • Gestión de información y eventos de seguridad SIM / SIEM (del inglés Security Information Management / Security Information and Event Management) Podemos clasificar estos productos como herramientas de gestión de incidentes completa o parcial, es decir, herramientas que apoyan la gestión de incidentes en todas las fases del mismo o productos que lo hacen en algunas fases del incidente; por ejemplo, productos que ayudan a la detección, preven­ ción, análisis, mitigación de consecuencias, recuperación, etc. Generalmente una herramienta de este tipo está compuesta por un servidor / appliance dedicado y un software SIM/SIEM. En general, suelen estar construidas bajo una arquitectura del tipo cliente/servi­ dor y en nuestra máquina tendremos el cliente (cliente gráfico, cliente web, etc.)

81

USO - ¿Para qué sirve?
Son productos destinados a ayudar a las empresas en la gestión de los eventos o incidentes de seguridad que puedan darse respecto a todas las infraestructuras y sistemas de información dentro de la organización. Se trata de proporcionar apoyo en todas las etapas del proceso de gestión de un inciden­ te de seguridad, incluyendo la detección temprana de actividad que indique riesgo de un incidente, pasando por la propia detección del incidente, su análisis, actuaciones para minimizar su impacto, la investigación del incidente o la prevención del mismo, así como minimizar sus consecuencias una vez que se ha producido.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Gestión de eventos

La Taxonomía 2.0 Fichas de Productos
Gestión de eventos

Facilitan la gestión de riesgos, permiten realizar un control y monitorización de la actividad y aportan informes útiles para la toma de decisiones.

ESCENARIO - ¿Dónde utilizarlo?
Su escenario de aplicación es fundamentalmente en organizaciones y empresas de cualquier tama­ ño. Allí donde existan procesos y actividades críticas e importantes para el buen funcionamiento de una organización o empresa, es recomendable contar con este tipo de herramientas. Así mismo, son fundamentales en organizaciones que cuenten con infraestructuras tecnológicas importantes tanto por tamaño como por dependencia de las mismas, puesto que ayudan a la gestión de todos los aspectos relativos a la seguridad, minimizando cualquier incidente que se pueda producir.

RECOMENDACIONES – Buenas prácticas
Es recomendable una actualización frecuente del producto. Son productos que pueden requerir un mantenimiento continuo y, debido a que interactúan con distintos tipos de infraestructuras, es funda­ mental que estas herramientas sean revisadas y se mantengan actualizadas constantemente.

ÁMBITO – Aplicación

82

El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Gestión de eventos

SUBCATEGORÍAS – Definiciones
• Gestión de eventos de seguridad (SEM – Securitiy Event Managment). Son herra­ mientas destinadas a dar respuesta a incidentes de seguridad, apoyando a las organizaciones en cualquiera de las fases de un evento de seguridad. Sus beneficios incluyen el envío de todos los eventos a un sistema centralizado que va a permitir: • Acceder a todos los logs (registros de actividad) con un interfaz único • Proveer un sistema de archivo y almacenamiento seguro de los registros de los distintos eventos • Generar informes para extraer de los logs la información útil • Seguir e investigar los eventos según su importancia con la emisión de alertas y notifi­ caciones a los agentes y actuadores interesados • Detectar eventos en múltiples sistemas • Proteger ante un borrado intencional o accidental de los logs

83
• SIM / SIEM. Un dispositivo SIM/SIEM recoge o recibe logs (registros de actividad) de todos los dispositivos que se monitorizan, almacenándolos a largo plazo y ofreciendo su análisis para un análisis forense. Los registros son almacenados y marcados de forma que no sean mani­ pulables. Es decir, que en caso de necesitar presentar logs como prueba judicial podremos presentarlos como prueba inmutable y válida. Dependiendo de los fabricantes esto se hace con hashes, timestamps, cifrado, etc. Para realizar una explotación de logs fácil y completa se clasifican los eventos recibidos. Todo esto forma la inteligencia básica e imprescindible de una herramienta SIM/SIEM. El valor añadido de una herramienta SIM/SIEM consiste en:

• Alertas • Reglas de correlación Además, facilitan la obtención de logs como pruebas judiciales, realizan backup de los logs y sirven para adecuarse a la normativa (tipo PCI, ISO, HIPAA, etc.) gracias a los informes que de ellas se obtienen.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Gestión de eventos

• Informes

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Gestión y control de acceso e identidad

Gestión y control de acceso e identidad

DESCRIPCIÓN - ¿Qué es?
Son productos destinados a dotar a las empresas y organizaciones de mecanismos que permitan: gestionar usuarios y sus datos de identificación; asociar roles, perfiles y políticas de seguridad; y contro­ lar el acceso a los recursos. Suelen estar integrados con mecanismos de autenticación (véase categoría Autenticación y certificación digital) que posibilitan el control del acceso lógico de los usuarios en los sistemas informáticos.

MODALIDADES – Subcategorías
Esta categoría agrupa las siguientes subcategorías: • Herramientas de control de acceso a la red corporativa

85
• Herramientas de gestión de identidad y autenticación y servidores de autenticación • Herramientas Single Sign-On Podemos clasificar los productos de esta categoría por su ámbito de aplicación, como por ejemplo, para el puesto de trabajo o para una organización, dependiendo estas últimas del número de usuarios que son capaces de gestionar. También existen productos destinados a la gestión de identidad federada (interdependiente entre distintas organizaciones) orientados a grandes redes. Según sus funcionalidades, se clasifican en las subcategorías mencionadas. Además se pueden en­ contrar herramientas con funcionalidad específica como la gestión de roles y perfiles, la aplicación de políticas de seguridad, servicios de directorio, integración con flujos de trabajo, auditoría e informes. Atendiendo a la tecnología empleada para la identificación de usuarios podemos encontrar produc­ tos de gestión de identidad basados en criptografía de clave pública, en criptografía simétrica o en mecanismos o algoritmos específicos. En cuanto a su forma de entrega son habitualmente productos software para su aplicación en siste­ mas y redes que pueden integran para la autenticación de usuarios hardware específico en forma de tokens, tarjetas inteligentes y tarjetas RFID.

USO - ¿Para qué sirve?
Permiten administrar la identidad de los usuarios de los sistemas informáticos en las organizaciones, centralizar dicha gestión y facilitar la propagación de permisos, privilegios, roles y políticas a todos los miembros de una organización o de una red. Crean repositorios seguros desde donde se gestionan las identidades digitales de los miembros de una organización. Son fundamentales para la correcta aplica
Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Gestión y control de acceso e identidad

La Taxonomía 2.0 Fichas de Productos
Gestión y control de acceso e identidad

ción de las políticas de seguridad de una organización, para el control de los recursos y para asegurar la trazabilidad y seguimiento de las actividades.

ESCENARIO - ¿Dónde utilizarlo?
Son herramientas dirigidas a la gestión de la seguridad en las empresas y organizaciones. Son imprescindibles para aplicar políticas de seguridad relativas a la autorización y uso de los recursos y para realizar un adecuado seguimiento de la actividad de los usuarios y los sistemas informáticos de una organización. Se pueden utilizar también para mejorar el cumplimiento de la normativa y legislación.

RECOMENDACIONES – Buenas prácticas
• Es recomendable una actualización frecuente del producto. • Es importante en toda gestión de usuarios tener en cuenta el ciclo de vida de los mismos y la correcta destrucción de identidades en desuso. • Es fundamental mantener réplicas de los repositorios de identidad y que éstos tengan una alta disponibilidad, puesto que estas herramientas hacen que sea posible un uso correcto de los recursos de la organización y el registro de la actividad asociada a cada identidad.

86

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Gestión y control de acceso e identidad

SUBCATEGORÍAS – Definiciones
• Herramientas de control de acceso a la red corporativa. En inglés NAC (Network Ac­ cess Control), son herramientas destinadas a proporcionar mecanismos para administrar y controlar el acceso de usuarios y de otras redes a los servicios de la red corporativa. Suelen incluir una función preventiva ante intrusiones y usos indebidos y una función de refuerzo de políticas basada en la identidad, roles y permisos de los usuarios. • Gestión de identidad y autenticación. Son herramientas centradas en la gestión de la identidad, que proveen un repositorio centralizado de usuarios y permiten realizar una au­ tenticación y autorización centralizada a los sistemas y recursos de una organización. Aplican a los usuarios perfiles, privilegios, roles y políticas de uso de los recursos. Así mismo los servi­ dores de autenticación. • Herramientas Single Sign-On. Son herramientas que permiten el acceso a distintos sis­ temas o ubicaciones con un mecanismo de identificación común. Esto se realiza mediante la propagación de una identidad única y su asociación a los diversos servicios y recursos de una organización.

87
La Taxonomía 2.0 Gestión y control de acceso e identidad
Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Seguridad en movilidad

Seguridad en movilidad

DESCRIPCIÓN - ¿Qué es?
Son herramientas destinadas a la protección de redes inalámbricas y dispositivos móviles o de dis­ positivos en movilidad (portátiles, PDA’s, Smartphones,…) de forma que se minimicen o reduzcan los incidentes de seguridad. Un ejemplo es la protección de los datos en caso de sustracción o la pérdida de dispositivos. Así mismo, son herramientas que protegen no solo a los dispositivos en movilidad, sino que además proporcionan protección y seguridad a aquellos dispositivos e infraestructuras a las cuales se conectan dichos dispositivos, proporcionando mecanismos de acceso y autenticación robustos, que posibilitan el uso de redes de comunicaciones desde cualquier localización o situación de forma segura. Algunas de estas herramientas disponen además de hardware adicional de autenticación, como lec­ tores biométricos de huella digital, lectores de tarjeta, etc.

89

MODALIDADES – Subcategorías
Podemos encontrar las siguientes subcategorías dentro de estas herramientas: • Seguridad para dispositivos móviles • Seguridad para redes inalámbricas

Estas herramientas están orientadas a los siguientes usos: • Identificación y autenticación en dispositivos móviles • Transmisión de datos segura desde redes públicas o de acceso publico • Proporcionan mecanismos de protección de la información de los dispositivos móviles ante el robo o la sustracción de éstos • Permiten realizar un borrado de la información o reset del dispositivo si éste ha sido sustraído o perdido • Permiten recuperar la información de un dispositivo móvil, mediante copias remotas y siste­ mas de respaldo remotos de la información y la configuración.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Seguridad en movilidad

USO - ¿Para qué sirve?

La Taxonomía 2.0 Fichas de Productos
Seguridad en movilidad

ESCENARIO - ¿Dónde utilizarlo?
Los escenarios donde se recomienda el uso de este tipo de herramientas son los siguientes: • En todas aquellas organizaciones que tienen trabajadores en itinerancia, como pueden ser comerciales, técnicos, directivos o similares • Es recomendable usar herramientas para la protección de la información de los dispositivos móviles ante el riesgo de robo o pérdida, cuando esta información sea sensible o de impor­ tancia para la organización, no sólo desde el punto de vista de que ésta se pueda perder, sino también teniendo en cuenta que puede terminar en manos de terceros

RECOMENDACIONES – Buenas prácticas
• Sea consciente de que los dispositivos móviles, al igual que los ordenadores de sobremesa, tienen vulnerabilidades y requieren la adopción de medidas de seguridad que garanticen la autenticación de usuario, la integridad de los datos y la confidencialidad de las comunica­ ciones.

90

• Defina políticas de seguridad asociadas a los dispositivos móviles de su organización. El uso de estos dispositivos puede convertirse en una importante brecha de seguridad. • Proteja las redes inalámbricas de su organización

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Seguridad en movilidad

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

91

SUBCATEGORÍAS – Definiciones

• Seguridad para redes inalámbricas. Son herramientas destinadas a proteger el acceso y la conexión a redes inalámbricas. Incorporando mecanismos de control de acceso, encripta­ ción y otros.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Seguridad en movilidad

• Seguridad para dispositivos móviles. Son herramientas para proteger tanto la informa­ ción, como las aplicaciones y sistemas de estos dispositivos. Para la seguridad para dispo­ sitivos móviles también aplican las categorías generales, en particular las de anti-fraude y anti-malware.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Sistemas y herramientas criptográficas

Sistemas y herramientas criptográficas

DESCRIPCIÓN - ¿Qué es?
Son herramientas destinadas a proteger la confidencialidad de la información tanto en tránsito como almacenada. Permiten el cifrado y descifrado de la información mediante técnicas criptográficas, lo que impide un uso indebido de la misma por personas no autorizadas y permite el intercambio de la infor­ mación de forma segura a través de medios o sistemas de comunicación inseguros, por ejemplo a través de correo electrónico o transferencia de ficheros. Así mismo, no sólo protege la confidencialidad de la información, sino que además incorpora meca­ nismos para detectar modificaciones, cambios o manipulaciones durante su envío o almacenamiento. Por tanto, son herramientas que también protegen la integridad de la información.

MODALIDADES – Subcategorías

93
Podemos encontrar las siguientes subcategorías dentro de los sistemas y herramientas criptográficas:

• Herramientas de cifrado de información almacenada en discos duros y otros soportes de almacenamiento externos Podemos clasificar estas herramientas según la información que protegen, si se trata de información en tránsito o almacenada. Es decir, si lo que se protege es información en tránsito por redes de comu­ nicaciones, o información que se encuentra almacenada en discos duros, memorias USB u otro tipo de soportes de almacenamiento. Desde el punto de vista del momento en el que los datos son cifrados y descifrados, podemos dis­ tinguir entre la encriptación en tiempo real y aquella que no lo es. La encriptación en tiempo real suele hacer uso de algoritmos menos robustos, como es el caso de las comunicaciones a través de internet o de un hardware dedicado, como es el caso de los discos duros que incorporan chips para el cifrado y descifrado de la información en tiempo real. Se encuentran tanto en forma de software como en forma de hardware, dependiendo de su ámbito de aplicación. Van destinadas tanto a un uso individual como a un uso corporativo o de grandes flotas de equipamiento informático (PDAs, portátiles,…)

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Sistemas y herramientas criptográficas

• Herramientas de cifrado de las comunicaciones

La Taxonomía 2.0 Fichas de Productos
Sistemas y herramientas criptográficas

USO - ¿Para qué sirve?
• Protegen la confidencialidad de la información • Permiten el envío de todo tipo de información a través de canales de comunicaciones inse­ guros con un nivel de seguridad muy alto. • Minimizan el daño causado ante el robo de soportes o dispositivos móviles, como teléfonos o portátiles, puesto que la información que contienen no puede ser accedida. • Colaboran con el cumplimiento de la legislación, como por ejemplo en lo relativo a la Ley de Protección de Datos de Carácter Personal.

ESCENARIO - ¿Dónde utilizarlo?
Se recomienda el uso de sistemas y herramientas criptográficas para la protección de las comunica­ ciones, cuando intervenga información sensible o se estén llevando a cabo transacciones electrónicas. Así mismo, es muy recomendable su uso en el envío de todo tipo de información a través de correo electrónico.

94

Su uso es fundamental para el cifrado de información confidencial almacenada en soportes de al­ macenamiento tanto fijos como extraíbles, como son los discos duros, memorias USB (pen-drives), así como ordenadores portátiles y todo tipo de dispositivos con los que habitualmente se viaje.

RECOMENDACIONES – Buenas prácticas
• Es fundamental establecer una adecuada política de gestión de las contraseñas y las cuentas de acceso utilizadas para cifrar / descifrar la información que se desea proteger. • Utilizar en dispositivos móviles o de almacenamiento que contengan información sensible.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En azul oscuro se identifican las que aplican.

La Taxonomía 2.0 6. Fichas de productos de Seguridad TIC
Sistemas y herramientas criptográficas

ACCESO E IDENTIDAD

SEGURIDAD EN LA RED

SEGURIDAD EN EL PUESTO DE TRABAJO

SEGURIDAD EN LOS SISTEMAS

SEGURIDAD EN APLICACIONES Y DATOS

95
La Taxonomía 2.0 Sistemas y herramientas criptográficas

SUBCATEGORÍAS – Dzefiniciones
• Herramientas de cifrado de las comunicaciones. Son herramientas que protegen la in­ formación en tránsito en aplicaciones de mensajería instantánea, correo electrónico, navega­ ción web, etc. Permiten ocultar la información en mensajes y ficheros adjuntos para que se puedan enviar de forma segura a través de una red insegura, como es internet. • Herramientas de cifrado de discos duros y soportes de almacenamiento. Son herra­ mientas destinadas a la encriptación de todo tipo de soportes de almacenamiento: discos duros (de servidores ordenadores personales y estaciones de trabajo), discos duros externos y memorias USB.

Taxonomía de Soluciones de Seguridad TIC

Fichas de servicios de seguridad TIC

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC

Taxonomía 2.0: Fichas de servicios de seguridad TIC
A continuación se describen las fichas de las siguientes categorías de productos:

Servicios
Auditoría técnica Contingencia y continuidad de negocio Cumplimiento con la legislación Externalización de servicios de seguridad Formación Gestión de incidentes Implantación y certificación de normativa Planificación e implantación de infraestructuras

99

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Fichas de servicios de seguridad

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Auditoría técnica

Auditoría técnica

DESCRIPCIÓN - ¿Qué es?
Son servicios destinados a la realización de auditorías de seguridad de carácter técnico que permiten analizar y establecer el nivel real de seguridad de las distintas infraestructuras de soporte de la informa­ ción y las comunicaciones en las organizaciones. La información obtenida de estas auditorías es muy valiosa, pues permite detectar todo tipo de vul­ nerabilidades y posibles brechas en la seguridad de la organización. Con dicha información la organiza­ ción está en una posición privilegiada para tomar decisiones desde el punto de vista de la seguridad y establecer los planes y acciones destinados a mejorar su nivel de seguridad. Además de los servicios de auditoría destinados a prevención, estableciendo los niveles reales de la infraestructura TIC de una organización, también se incluyen en esta categoría aquellos servicios desti­ nados a la realización de auditorías posteriores a un evento o incidente de seguridad, para establecer las causas y las consecuencias reales del mismo. Por otro lado, también se incluyen en esta categoría de servicios los destinados a la actualización sistemática y automatizada de sistemas y aplicaciones, dirigida a la aplicación sistemática de parches y medidas para eliminar vulnerabilidades y fallos de seguridad.

101

MODALIDADES - Subcategorías
Podemos encontrar las siguientes subcategorías para esta categoría de servicio: • Test de intrusión o PenTest • Hacking ético • Análisis de vulnerabilidades • Auditoría de contraseñas • Auditoría forense • Test de rendimiento y disponibilidad • Gestión de parches y vulnerabilidades

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Auditoría técnica

La Taxonomía 2.0 Fichas de Servicios
Auditoría técnica

FASES - Hoja de ruta
De forma general, para esta categoría, podemos encontrar las siguientes fases: • Diseño del plan de auditoría. Durante esta fase se determinan los objetivos, el alcance de la auditoría, los recursos, plazos, etc. • Realización de la auditoría. Etapa durante la cual se realiza el conjunto de análisis técnicos, ya sean preventivos o posteriores a un evento o incidente de seguridad. • Análisis y elaboración de informe. Una vez recogida la información, ésta es revisada y analizada y se procede a la elaboración de un informe de resultados, en el cual se indicaran un conjunto de recomendaciones y medidas para mejorar la seguridad o las deficiencias detectadas.

DESTINATARIOS - A quién va dirigido
• Indicado para todas aquellas empresas y organizaciones que cuenten con infraestructuras TIC de las cuales dependa su actividad y negocio.

102

• Indicado para todas aquellas empresas y organizaciones que hayan sufrido ataques o inci­ dentes de seguridad. • Indicado para todas aquellas empresas y organizaciones que deseen conocer su nivel real de seguridad y llevar a cabo acciones de mejora o mantenimiento del mismo.

VENTAJAS Y BENEFICIOS - ¿Qué ofrece al negocio?
• Permiten conocer, identificar y analizar los riesgos y vulnerabilidades, pudiendo reducir así sus impactos. • Son un paso fundamental antes de implementar medidas de seguridad o realizar inversiones en este sentido. • Permiten mejorar los procesos de negocio desde el punto de vista de la seguridad y la ges­ tión. • Permiten mejorar la imagen externa de la organización, ofreciendo mayores garantías y ni­ veles de seguridad. • Permiten ofrecer mejores garantías de seguridad y niveles de servicio a clientes, partners y socios.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Auditoría técnica

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En rojo oscuro se identifican las que aplican.

PERSONAS

NEGOCIO

ORGANIZACIÓN

103

INFRAESTRUCTURAS

INFORMACIÓN

SUBCATEGORÍAS – Definiciones
• Test de intrusión o PenTest. Son servicios de auditorías de seguridad destinadas a detectar posibles vías de entrada a las infraestructuras TIC de las organizaciones. • Hacking Ético. Son servicios que utilizan las técnicas habituales de los hackers y ciber-delincuentes como herramientas de análisis de la seguridad de las organizaciones y empresas sin causar daño. • Análisis de vulnerabilidades. Son servicios de auditoría que permiten conocer las vulne­ rabilidades de sistemas, infraestructuras o aplicaciones, así como contraseñas débiles, u otros agujeros de seguridad.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Auditoría técnica

La Taxonomía 2.0 Fichas de Servicios
Auditoría técnica

• Auditoría forense. Son servicios de auditoría, posteriores a un incidente de seguridad, orientados a identificar las causas del mismo. En ocasiones los resultados son utilizados como pruebas judiciales. • Test de rendimiento y disponibilidad. Son servicios de auditoría centrados en comprobar la disponibilidad de las infraestructuras de comunicaciones desde el punto del rendimiento, la denegación de servicio y la fiabilidad. • Gestión de parches y vulnerabilidades. Son servicios destinados a la automatización de la actualización necesaria de los sistemas que evite la explotación de vulnerabilidades detec­ tadas en otros sistemas.

104

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Contingencia y continuidad de negocio

Contingencia y continuidad de negocio

DESCRIPCIÓN - ¿Qué es?
Son servicios destinados a la realización de acciones y gestiones encaminadas a la recuperación de la actividad del negocio en casos en que se produzcan incidentes de seguridad que afecten a la informa­ ción y las tecnologías que los soportan, así como la continuidad de los mismos. Estos servicios persiguen reducir las consecuencias de un incidente de seguridad, incluso aquellos que ocasionen la interrupción de la actividad de la empresa con la consiguiente reducción de la incidencia en el negocio. Estos servicios facilitan la elaboración y aplicación de “Planes de contingencia y continuidad de Ne­ gocio” que permiten diseñar y activar alternativas en caso de incidentes a través de estrategias de recuperación y políticas de respaldo, de los distintos activos y recursos de la organización mediante la elaboración de procedimientos, identificación de activos, diseño de acciones y gestión de la informa­ ción necesarios para realizar acciones de recuperación en respuesta a desastres de seguridad.

105
La Taxonomía 2.0 Contingencia y continuidad de negocio

MODALIDADES - Subcategorías
En esta categoría se engloban los servicios correspondientes a las siguientes subcategorías: • Copias de seguridad remotas • Custodia y archivo seguro de soportes de almacenamiento e información • Centros de respaldo (diseño, instalación, mantenimiento,…) • Planes de contingencia y continuidad de negocio (elaboración, implantación, revisión y prueba) • Valoración y análisis de impacto en el negocio en caso de emergencia, desastres o incidentes de seguridad (BIA: Business Impact Analysis / Assessment) • Gestión del ciclo de vida de la información (ILM: Information Lifecycle Management) • En esta categoría podemos encontrar servicios centrados en ofrecer consultoría de negocio pero también podemos encontrar servicios centrados en consultoría tecnológica, para pro­ porcionar mecanismos de respaldo y recuperación ante desastres.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Fichas de Servicios
Contingencia y continuidad de negocio

FASES - Hoja de ruta
De forma general, para esta categoría, podemos encontrar las siguientes fases o elementos: • Diseño general del plan. Servicios orientados a la definición del plan de contingencia, de su alcance, objetivos y métricas. • Auditoría y análisis de la situación. Estos servicios van orientados a determinar la situa­ ción actual del negocio y la organización en cuanto a los riesgos de contingencia y continui­ dad de negocio. • Proyecto de implantación. Elaboración del proyecto de implantación, fases, recursos, cos­ te, etc. del plan de contingencia y continuidad de negocio. • Implantación. Implantación de planes, medidas, sistemas, políticas, etc. relativas a contin­ gencia y continuidad de negocio. • Revisión y prueba. Servicios de evaluación de la implantación realizada, pruebas del siste­ ma de gestión, copias de seguridad, sistemas de respaldo, etc.

106

• Mantenimiento y mejora continua. Servicios orientados a la revisión y mejora continua de los planes, sistemas, políticas e infraestructuras implantadas para hacer frente a situaciones de contingencia y permitir la continuidad del negocio.

DESTINATARIOS - A quién va dirigido
• A toda organización que disponga de un sistema de información basado en las TIC para el desarrollo de su actividad. • A organizaciones que estén en proceso de implantación de planes y políticas de seguridad.

VENTAJAS Y BENEFICIOS - ¿Qué ofrece al negocio?
• Mejora la preparación ante desastres de seguridad que puedan afectar a la actividad y nego­ cio de las organizaciones. • Permiten que las empresas se puedan recuperar con rapidez y eficacia ante interrupciones de su actividad, perdida de recursos, etc. • Permiten garantizar la continuidad de los procesos de negocio ante incidentes y desastres de seguridad • Son un mecanismo para la concienciación, implementación de buenas prácticas y aplicación de políticas de seguridad relativas a las situaciones de contingencia. • Permiten ofrecer mejores garantías de seguridad y niveles de servicio a nuestros clientes, partners y socios.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Contingencia y continuidad de negocio

• Permiten conocer, identificar y analizar los riesgos y vulnerabilidades, con un enfoque de continuidad de negocio, pudiendo reducir así sus impactos.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En rojo oscuro se identifican las que aplican.

PERSONAS

NEGOCIO

ORGANIZACIÓN

107
La Taxonomía 2.0 Contingencia y continuidad de negocio

INFRAESTRUCTURAS

INFORMACIÓN

SUBCATEGORÍAS – Definiciones
• Copias de seguridad remotas. Son servicios que permiten que una organización gestio­ ne y realice, de forma automatizada, copias que se almacenen fuera de su organización de la información necesaria para el negocio y de los sistemas de información que la manejan. También permiten la restauración de la copia en caso de que sea necesario (destrucción accidental o intencionada de datos) • Custodia y archivo seguro de soportes de almacenamiento e información. Son servi­ cios de almacenamiento con fuertes medidas de seguridad y en un emplazamiento distante de la organización de todo tipo de soportes y de información.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Fichas de Servicios
Contingencia y continuidad de negocio

• Centros de respaldo (diseño, instalación, mantenimiento,…). Son servicios orientados al diseño y puesta en marcha de instalaciones de respaldo o de réplica que permiten a las or­ ganizaciones disponer de infraestructuras secundarias ante la pérdida de las infraestructuras principales. Se ofrecen también servicios globales que permiten contar con salas que pue­ den sustituir a las propias instalaciones en caso de incidentes graves que dañen e inutilicen las infraestructuras de la organización. • Planes de contingencia y continuidad de negocio (elaboración, implantación, revisión y prueba). Son servicios para el diseño e implantación de medidas y planes relacionados con la respuesta ante incidentes y desastres que afecten a la información de las empresas y a sus soportes tecnológicos. Permiten reestablecer la continuidad del negocio. También se inclu­ yen en esta subcategoría servicios destinados a probar y verificar los planes, las políticas, los servicios y las infraestructuras establecidos o implantados para dotar a las organizaciones de mecanismos de contingencia y continuidad de negocio. • Valoración y análisis de impacto en el negocio en caso de emergencia, desastres o in­ cidentes de seguridad (BIA: Business Impact Analysis / Assessment). Son servicios destinados a la realización de análisis de impacto ante incidentes de seguridad que puedan afectar al negocio.

108
• Gestión del ciclo de vida de la información (ILM, Information Life Cicle) Esta subcategoria aunque está relacionada con la categoría de Contingencia y Continuidad, se ha incluido en la categoría de Cumplimiento de Legislación.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Cumplimiento de la legislación

Cumplimiento de la legislación

DESCRIPCIÓN - ¿Qué es?
Son servicios que ayudan a las empresas a cumplir con la legislación vigente en materia de seguridad tecnológica o de seguridad de la información, como son la Ley Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSICE), la Ley de Propie­ dad Intelectual (LPI) y otras. Mediante estos servicios se ofrece apoyo y guía a las organizaciones desde el diseño a la auditoría, pasando por la implantación de las medidas de tipo jurídico, técnico y organizativo que garantizan el cumplimiento de la legislación.

MODALIDADES - Subcategorías
Las siguientes subcategorías integran esta categoría de servicio, todas ellas relativas a la legislación aplicable en materia de seguridad: • Auditoria de legislación • Adecuación y cumplimiento de legislación (implantación)

109

• Asistencia a empresas en proceso de inspecciones de la AEPD

FASES - Hoja de ruta
De forma general, para esta categoría, podemos encontrar las siguientes fases: • Diseño del plan de adecuación a la legislación. Determinación de la legislación a cum­ plir, plazos, objetivos, fases. • Auditoría y análisis de la situación. Determinación de la situación actual del negocio y la organización respecto de la legislación a cumplir. • Proyecto de implantación. Elaboración del proyecto de adecuación, fases, recursos, coste, soluciones, etc. • Implantación. Proceso de adecuación, que incluye la implantación de las medidas de tipo jurídico, técnico y organizativo.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Cumplimiento de la legislación

• Asesoramiento en legislación

La Taxonomía 2.0 Fichas de Servicios
Cumplimiento de la legislación

• Auditoría interna. Evaluación interna, por personal de la propia organización, de la implan­ tación realizada, pruebas sobre las medidas implantadas, revisión de la documentación aso­ ciada, etc. • Auditoría externa. En caso de que así lo requiera la legislación y muy recomendable para tener un análisis externo de la situación real de la organización respecto del cumplimiento de la legislación aplicable. • Mantenimiento y mejora continua. Revisión y mejora continua de la implantación y ade­ cuación realizada para el mantenimiento de la adecuación y el cumplimiento legislativo.

DESTINATARIOS - A quién va dirigido
• A todas las empresas y organizaciones que hagan uso o tratamiento de datos de carácter personal. • A todas aquellas empresas y organizaciones que dispongan de servicios en INTERNET, como tiendas virtuales u otro tipo de servicios que requieran algún tipo de relación contractual.

110

• Para aquellas empresas que quieran contar con un servicio profesional de asesoramiento legal y técnico para la implantación de esta normativa.

VENTAJAS Y BENEFICIOS - ¿Qué ofrece al negocio?
• Permiten a las empresas y organizaciones cumplir con la legislación aplicable y estar pre­ parados ante posibles denuncias o incidentes de seguridad relativos al cumplimiento de la legislación. • Permiten mejorar los procesos de negocio desde el punto de vista de la seguridad y la ges­ tión. • Permiten mejorar la imagen externa de la organización, ofreciendo mayores garantías y ni­ veles de seguridad. • Permiten que las organizaciones puedan diferenciarse y destacar sobre otras. • Ofrecen mecanismos para la concienciación y formación en seguridad, las buenas prácticas y la aplicación de legislación de seguridad • Permiten ofrecer mejores garantías de seguridad y niveles de servicio a nuestros clientes, partners y socios. • Permiten conocer, identificar y analizar los riesgos y vulnerabilidades que afectan a la legisla­ ción, pudiendo reducir así sus impactos.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Cumplimiento de la legislación

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En rojo oscuro se identifican las que aplican.

PERSONAS

NEGOCIO

ORGANIZACIÓN

111

SUBCATEGORÍAS – Definiciones
• Auditoría de legislación. Son servicios destinados a la realización de auditorías del nivel de cumplimiento de la legislación aplicable a una empresa u organización. Permiten obtener una imagen clara de la situación de la misma y actuar en consecuencia. • Adecuación y cumplimiento de legislación (implantación). Son servicios destinados a llevar a cabo la adecuación de las empresas y organizaciones a la legislación aplicable, llevan­ do a cabo la implantación de las medidas de tipo jurídico, técnico y organizativo.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Cumplimiento de la legislación

INFRAESTRUCTURAS

INFORMACIÓN

La Taxonomía 2.0 Fichas de Servicios
Cumplimiento de la legislación

• Asesoramiento en legislación. Son servicios que aconsejan a las empresas y organiza­ ciones sobre el cumplimiento en materia relacionada con la legislación aplicable relativa a la seguridad. Posibilitan que éstas cuenten con información fiable y actualizada relativa a la aplicación a su negocio de la legislación vigente. • Asistencia a empresas en proceso de inspecciones o denuncia. Son servicios destina­ dos a ayudar a aquellas empresas u organizaciones que se encuentran en proceso de inspec­ ción o denuncia ante el posible incumplimiento de la legislación aplicable.

112

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Externalización de servicios de seguridad

Externalización de servicios de seguridad

DESCRIPCIÓN - ¿Qué es?
Son servicios que permiten a las empresas externalizar procesos, infraestructuras y personal de se­ guridad, de forma que sea una empresa especializada la que se encargue de dicha actividad de forma local o remota. La externalización de servicios de seguridad consiste en la subcontratación de actividades propias de seguridad o actividades que garantizan la seguridad de la información en las empresas. Normalmente la empresa descarga la responsabilidad de los servicios de seguridad a una empresa especializada la cual se encarga de garantizar la seguridad mediante contrato, y reportando a través de informes, logs (registros de actividad de los equipos) o paneles de monitorización y seguimiento.

MODALIDADES - Subcategorías

113
Las siguientes subcategorías integran esta categoría de servicios: • Seguridad gestionada (perimetral, VPN, detección de intrusiones, correo seguro, …) • Outsourcing de personal • Centros de respaldo y custodia de datos.

FASES - Hoja de ruta
De forma general, para esta categoría, podemos encontrar las siguientes fases: • Definir los servicios de seguridad a externalizar. La organización o empresa que desea externalizar alguna de sus actividades de seguridad evalúa qué procesos, infraestructuras y personal puede externalizar desde múltiples puntos de vista, como pueden ser costes, com­ plejidad en la administración y gestión, personal necesario, etc. • Proyecto de externalización. Se trata de evaluar el proyecto, los participantes y los detalles de la prestación de servicios, los niveles de servicios necesarios, etc. • Prestador de servicios. En esta fase se trata de establecer y seleccionar el prestador de ser­ vicios, o el tipo de prestador de servicios necesario para cubrir las necesidades identificadas y los niveles de servicio deseados.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Externalización de servicios de seguridad

La Taxonomía 2.0 Fichas de Servicios
Externalización de servicios de seguridad

• Revisión y nivel de servicio. A lo largo del mantenimiento del contrato con el prestador de servicios, se realiza una revisión y un análisis del nivel de servicio ofrecido y alcanzado para detectar deficiencias o posibles mejoras, tanto en los servicios como en el nivel de servicio ofrecido.

DESTINATARIOS - A quién va dirigido
• Indicado para empresas que quieran enfocarse en su actividad principal y consideren la ce­ sión de las actividades relativas a la seguridad de sus sistemas de información a empresas especializadas. • Indicado para empresas que no quieran realizar una inversión en equipamiento y quieran garantizar la seguridad de sus aplicaciones, equipos, datos y usuarios contratando servicios.

VENTAJAS Y BENEFICIOS - ¿Qué ofrece al negocio?
• La empresa se beneficia del conocimiento y experiencia aportada por la empresa externa que le proporcionará eficiencia y rendimiento de los sistemas de seguridad subcontratados.

114

• Se reduce el riesgo asociado a la inversión en tecnología de seguridad. • Permite a la empresa enfocarse en la gestión de las actividades fundamentales del negocio. • Aumento de la disponibilidad de los sistemas y de su fiabilidad. Horario 24x7. • Utilización de las últimas tecnologías de seguridad aplicables a las necesidades particulares de cada organización.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En rojo oscuro se identifican las que aplican.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Externalización de servicios de seguridad

PERSONAS

NEGOCIO

ORGANIZACIÓN

INFRAESTRUCTURAS

INFORMACIÓN

115
La Taxonomía 2.0 Externalización de servicios de seguridad

SUBCATEGORÍAS – Definiciones
A continuación se definen de forma breve las sub categorías asociadas a esta categoría: • Seguridad gestionada. Externalización total o parcial de servicios de seguridad, infraes­ tructuras de seguridad, así como de la gestión, supervisión y administración de dichos ser­ vicios e infraestructuras. Esta externalización puede realizarse «in situ» o de forma remota. • Outsourcing de personal. Externalización de personal de seguridad, de forma que es una empresa especializada la que aporta el personal y el conocimiento de seguridad especiali­ zado. • Centros de respaldo Se ofrecen como servicios que permiten contar con instalaciones que pueden sustituir a las propias salas en caso de incidentes graves que dañen e inutilicen las infraestructuras de la organización.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Formación

Formación

DESCRIPCIÓN - ¿Qué es?
Son servicios destinados a ofrecer formación relativa a la seguridad de la información, tanto para profesionales como para usuarios, así como a organizaciones y empresas. La formación se estructura en distintos niveles según el público objetivo: usuario doméstico o profesional, gerentes, técnico; o según los objetivos de la formación: sensibilización y concienciación, formación general o especializada. Por otro lado, los servicios de formación pueden ser presenciales o a través de plataformas de eLear­ ning o formación on-line a través de INTERNET que permiten llevar a cabo una formación a distancia.

MODALIDADES - Subcategorías
Podemos encontrar las siguientes sub categorías para esta categoría de servicio:

117
• Sensibilización y concienciación. • Formación académica en materia de seguridad (masters, posgrados, especialidades). • Formación técnica en soluciones específicas de seguridad. • Formación para certificación de profesionales (CISA, CISSP,…)

FASES - Hoja de ruta
De forma general, para esta categoría, podemos encontrar las siguientes fases:

• Formación. Fase durante la cual se lleva a cabo la formación, de forma presencial o a través de herramientas de e-learning, además del seguimiento y medida del progreso de la activi­ dad formativa. • Examen y valoración de los conocimientos adquirido. Se evalúa, si procede, el nivel de aprendizaje y los conocimientos que han asimilado los participantes en la formación. En esta fase se obtiene la acreditación en caso de enseñanza reglada o formación para certificación de profesionales.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Formación

• Diseño del plan de formación. Durante esta fase se determinan los objetivos, el alcance de la formación, los recursos, plazos y evolución de dicho plan.

La Taxonomía 2.0 Fichas de Servicios
Formación

• Análisis y elaboración de informe. Si procede, sobre todo de cara a formación para empresa, es fundamental realizar un informe de resultados, evaluando la aceptación de la formación por parte de los participantes, de forma que permita una mejora continua de la formación.

DESTINATARIOS - A quién va dirigido
• Dirigido a empresas que se enfrenten a procesos de implantación de sistemas o políticas de seguridad. • Dirigido a empresas que tengan que cumplir con la legislación. • Dirigido a empresas que cuenten con equipamiento de seguridad informática. • Dirigido a profesionales de la seguridad que quieran certificarse en materia de seguridad.

VENTAJAS Y BENEFICIOS - ¿Qué ofrece al negocio?
• Entender y utilizar de manera eficiente todos los recursos que posee la empresa para prote­ ger sus sistemas y cumplir con la legalidad en materia de seguridad.

118
• Optimizar el manejo y funcionamiento de los sistemas de seguridad implantados. • Garantizar el cumplimiento de la legislación y de las políticas de seguridad.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En rojo oscuro se identifican las que aplican.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Formación

PERSONAS

NEGOCIO

ORGANIZACIÓN

INFRAESTRUCTURAS

INFORMACIÓN

119

SUBCATEGORÍAS – Definiciones
• Sensibilización y concienciación. Son servicios de formación orientados a la sensibiliza­ ción de los usuarios, creando una conciencia de buenas prácticas y usos de las infraestructu­ ras y los recursos de las organizaciones y las empresas.

• Formación técnica en soluciones especificas de seguridad. Se trata de servicios de for­ mación muy especializada que tiene por objetivo formar a personal técnico o a personal de los canales de distribución en herramientas y soluciones de seguridad específicas. Así mismo son servicios de formación que forman a los administradores y técnicos de sistemas de las distintas organizaciones cuando se adquieren productos y soluciones de seguridad. • Certificación profesional. Son servicios de formación impartidos por organismos acredita­ dos y certificados, que posibilitan la obtención de títulos específicos (CISA, CISM, CISSP…) y muy demandados en el ámbito profesional.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Formación

• Formación académica en materia de seguridad (masters, posgrados, especialida­ des). Son servicios de formación impartidos por centros de formación autorizados que posi­ bilitan la obtención de títulos específicos en materia de seguridad de la información.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Gestión de incidentes

Gestión de incidentes

DESCRIPCIÓN - ¿Qué es?
Los servicios de gestión de incidentes de seguridad de la información, están destinados a prevenir, detectar y solucionar incidentes de seguridad que atenten contra la confidencialidad, disponibilidad, integridad o autenticidad de la información, como es el caso de un incidente ocasionado por un código malicioso, un acceso no autorizado, una denegación de servicio o un uso inapropiado de los sistemas informáticos de la organización. En el caso de los servicios preventivos suelen consistir entre otros en concienciación, definición de buenas prácticas y políticas, definición de planes de contingencia y con­ tinuidad, procedimientos de copias de seguridad, instalación de cortafuegos, etc… Los servicios de detección de incidentes suelen consistir en instalación de programas anti-malware, IDS, monitorización de red, gestión de logs y eventos de seguridad, y los servicios correctivos son los procedimientos de restauración de backups y auditoría forense

MODALIDADES - Subcategorías
Podemos encontrar las siguientes sub categorías para esta categoría de servicio: • Servicios de prevención de incidentes de seguridad. • Servicios de detección de incidentes de seguridad. • Servicios de resolución de incidentes de seguridad.

121

FASES - Hoja de ruta
De forma general, para esta categoría, podemos encontrar las siguientes fases: • Identificación y valoración de incidentes. • Coordinación con fuentes externas. • Investigación forense. • Definición y ejecución de programas y procedimientos de gestión de incidentes. • Desarrollo y mantenimiento de perfiles de configuración de sistemas. • Aislamiento de sistemas y plataformas afectadas. • Asistencia técnica para análisis de eventos.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Gestión de incidentes

La Taxonomía 2.0 Fichas de Servicios
Gestión de incidentes

• Elimina las causas de los incidentes y los efectos. • Acciones correctoras. • Recuperación y vuelta al funcionamiento normal. • Soporte preventivo y soporte post-incidentes..

DESTINATARIOS - A quién va dirigido
• Dirigido a empresas que tengan sistemas de información basados en equipos informáticos y especialmente a aquellas que tengan información sensible. • Destinado a empresas que tengan que dar cuenta a terceros o internamente de los inci­ dentes de seguridad o que tengan obligación de determinar las causas y el origen de los incidentes

VENTAJAS Y BENEFICIOS - ¿Qué ofrece al negocio?
• Estar preparado ante incidentes y eventos de seguridad que afecten al negocio.

122
• Rapidez de actuación en caso de incidentes. • Análisis de la causa de incidentes que permite tomar medidas para impedir su repetición. • Garantizar el cumplimiento de la legislación y de las políticas de seguridad.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En rojo oscuro se identifican las que aplican.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Gestión de incidentes

PERSONAS

NEGOCIO

ORGANIZACIÓN

INFRAESTRUCTURAS

INFORMACIÓN

123

SUBCATEGORÍAS – Definiciones
• Servicios de prevención de incidentes de seguridad. Son servicios para prevenir inci­ dentes de seguridad, como son entre otros concienciación, definición de buenas prácticas y políticas de seguridad, definición de planes de contingencia y continuidad de negocio, procedimientos de copias de seguridad, instalación de cortafuegos,… • Servicios de Detección de incidentes de seguridad. Son servicios para detectar inciden­ tes de seguridad, suelen consistir en instalación de programas anti-malware, IDS, monitoriza­ ción de red, gestión de logs y eventos de seguridad. • Servicios de Resolución de incidentes de seguridad. Son servicios para resolver y reac­ cionar ante incidentes de seguridad que hayan ocurrido, suelen consistir en procedimientos de restauración de backups, eliminación de malware y auditoría forense.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Gestión de incidentes

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Implantación y certificación de normativa

Implantación y certificación de normativa

DESCRIPCIÓN - ¿Qué es?
Son servicios orientados a facilitar a las empresas y organizaciones la adecuación y cumplimiento de normativa en materia de seguridad y obtención de certificados en estas normativas. Fundamentalmen­ te se incluyen servicios relacionados con la normativa relativa a Sistemas de Gestión de Seguridad de la Información. (SGSI). Podemos diferenciar dos tipos de servicios en esta categoría. Por un lado aquellos servicios orientados a la implantación de normativas de seguridad en las organizaciones: sistemas de gestión de seguridad de la información, políticas de seguridad, análisis de riesgos, etc. Y por otro lado, tenemos los servicios de certificación, los cuales tienen por objetivo acreditar y certificar las implantaciones de normativa rea­ lizadas en las organizaciones, verificando y comprobando si éstas cumplen con los requisitos que indica la norma correspondiente y por otro lado, conocer si se ha llevado a cabo el proceso de implantación de la forma adecuada, para finalmente obtener el sello y la certificación correspondiente.

125
La Taxonomía 2.0 Implantación y certificación de normativa

MODALIDADES - subcategorías
Esta categoría agrupa las siguientes subcategorías: • Auditorías de seguridad y cumplimiento • Análisis de riesgos • Sistemas de Gestión de la Seguridad de la Información • Planes y políticas de seguridad • Certificación y acreditación Los servicios asociados a estas subcategorías están enfocados a facilitar la gestión completa o parcial de la implantación.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Fichas de Servicios
Implantación y certificación de normativa

FASES - Hoja de ruta
De forma general, para esta categoría, podemos encontrar las siguientes fases: • Plan de implantación. Se corresponde con la selección del tipo de normativa a implantar y el establecimiento de los objetivos, recursos, plazos, coste, etc. • Auditoría y análisis de la situación. En este paso se estudia la situación de la organización respecto de la normativa que se trata de implantar para obtener un imagen lo más completa y detallada posible de la situación. • Informe de situación y alcance de los trabajos a realizar. A partir de la información ob­ tenida en la auditoría se establecen de forma detallada las medidas y actuaciones necesarias. • Implantación de la normativa. Se corresponde con los trabajos específicos de implanta­ ción, elaboración de documentación, formación a los trabajadores, elaboración de políticas, etc. • Revisión y auditoría interna. Es el proceso de revisión interno de la implantación realiza­ da. Se trata de verificar los trabajos realizados, identificar deficiencias y realizar las mejoras necesarias. • Auditoría externa y certificación. La auditoría externa se corresponde con el proceso de revisión realizado por entidades externas a la organización, necesario para la obtención de un certificado que acredita la validez conforme a la normativa de la implantación realizada. La certificación se corresponde con la obtención del certificado una vez superada la auditoría. • Mantenimiento y mejora continua. Proceso de revisión cíclico y continuo del la normativa implantada y proceso de mejora continua.

126

DESTINATARIOS - A quién va dirigido
• A todo tipo de organizaciones que deseen mejorar la seguridad a todos los niveles, acreditan­ do dichas mejoras y certificándolas de acuerdo con un estándar reconocido por el mercado. • A toda organización que disponga de un sistema de información basado en las TIC para el desarrollo de su actividad. • Son especialmente recomendables para las organizaciones que operan a través de Internet y con medios electrónicos de pago.

VENTAJAS Y BENEFICIOS - ¿Qué ofrece al negocio?
• Permiten mejorar los procesos de negocio desde el punto de vista de la seguridad • Permiten mejorar la imagen externa de la organización mediante las acreditaciones y certi­ ficaciones.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Implantación y certificación de normativa

• Permiten que las organizaciones puedan diferenciarse y destacar por su gestión de la segu­ ridad. • Son también un mecanismo en manos de las organizaciones para promover la conciencia­ ción y formación en seguridad, las buenas prácticas y la aplicación de políticas de seguridad • Permiten ofrecer mejores garantías de seguridad en el tratamiento de la información a nues­ tros clientes, partners y socios. • Permiten conocer, identificar y analizar los riesgos y vulnerabilidades existentes, pudiendo reducir así sus impactos.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En rojo oscuro se identifican las que aplican.

127
PERSONAS

NEGOCIO

ORGANIZACIÓN

INFRAESTRUCTURAS

INFORMACIÓN

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Implantación y certificación de normativa

La Taxonomía 2.0 Fichas de Servicios
Implantación y certificación de normativa

SUBCATEGORÍAS – Definiciones
• Auditorías de seguridad y cumplimiento. Estos servicios ofrecen la revisión y verificación, en base a unos niveles conocidos y estandarizados, de los niveles de seguridad y del cumpli­ miento de políticas y normativas. • Análisis de riesgos. Estos servicios realizan la evaluación de los riesgos a los que se enfren­ tan los activos (relativos a la información) de una organización en relación con la importancia de dichos activos para los procesos de negocio y la actividad de la misma. • Sistemas de Gestión de la Seguridad de la Información. Estos servicios realizan la im­ plantación de los denominados SGSI o Sistemas de Gestión de Seguridad de la Información, de acuerdo a la normativa vigente. Los SGSI permiten hacer frente de una forma organizada a los incidentes de seguridad relativos a la información en las organizaciones. Los SGSI implan­ tados conforme a la norma UNE ISO/IEC 27001 pueden certificarse. • Planes y políticas de seguridad. Son servicios dirigidos a los responsables de las empresa dirigidos a desarrollar y mantener las estrategias y actividades encaminadas a garantizar la seguridad de las TIC (Tecnologías de la Información y la Comunicación). Se enfocan en de­ terminar directrices, tecnologías, tiempos, recursos y métricas desde el punto de vista del negocio. • Certificación y acreditación. Estos servicios persiguen la obtención de los correspondien­ tes certificados asociados a la implantación de determinada normativa que acredita que una organización ha realizado una implantación conforme a una determinada normativa.

128

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Planificación e Implantación de infraestructuras

Planificación e implantación de infraestructuras

DESCRIPCIÓN - ¿Qué es?
Son servicios destinados a la planificación, diseño e implantación de infraestructuras y soluciones de seguridad en las organizaciones. Se centran sobre todo en la integración y puesta en marcha de estas infraestructuras y soluciones tecnológicas. Estos servicios que pueden ser consecuencia de las auditorías de seguridad, donde se detectan una serie de deficiencias y posibles mejoras, a partir de las cuales se establecen las soluciones y nuevas infra­ estructuras necesarias y mediante las cuales se puede mejorar el nivel de seguridad de la organización. Así mismo, se integran en esta categoría todos aquellos servicios destinados a gestionar infraestruc­ turas y soluciones de seguridad.

MODALIDADES - Subcategorías
Podemos encontrar las siguientes sub categorías para esta categoría de servicio: • Planificación de infraestructuras. • Implantación de infraestructuras.

129

FASES - Hoja de ruta
De forma general, para esta categoría, podemos encontrar las siguientes fases: • Consultoría y análisis previo. En esta fase se realiza un análisis del nivel de seguridad de la organización, que puede ser en profundidad o afectar solamente a una parte de la orga­ nización. • Selección de soluciones de seguridad e infraestructuras necesarias. A continuación, a partir de las necesidades detectadas se seleccionan las mejores soluciones de seguridad e infraestructuras. • Planificación de la implantación tecnológica. Se realiza una planificación de la implanta­ ción que se va a realizar, tiempos, costes y otras cuestiones relativas a cómo puede afectar la implantación a los distintos procesos de negocio y a la actividad de la organización.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Planificación e Implantación de infraestructuras

• Gestión de infraestructuras.

La Taxonomía 2.0 Fichas de Servicios
Planificación e Implantación de infraestructuras

• Implantación de la infraestructura. Fase en la cual se lleva a cabo la instalación, parame­ trización y puesta en marcha de las soluciones e infraestructuras de seguridad en la organi­ zación. • Elaboración de documentación y formación. Una vez finalizado la fase de implantación, y en ocasiones paralela a ésta, se lleva a cabo la elaboración de la documentación y la forma­ ción al personal de la organización. • Gestión y mantenimiento. La gestión y el mantenimiento puede ser un proceso que se realice tanto por personal de la propia organización, como una empresa externa o una com­ binación de ambos. • Revisión de la implantación. Finalmente es posible realizar una revisión periódica encami­ nada a mantener los niveles de seguridad alcanzados y adaptarse a los posibles cambios de la organización con el tiempo.

DESTINATARIOS - A quién va dirigido
• Dirigidos a organizaciones que dispongan de un sistema de información basado en las TIC para el desarrollo de su actividad y especialmente para aquellas que no cuenten con perso­ nal especializado en TIC. • Destinado a organizaciones que quieran implantar soluciones de seguridad complejas. Ge­ neralmente estos servicios van asociados a una planificación e implantación de infraestruc­ turas.

130

VENTAJAS Y BENEFICIOS - ¿Qué ofrece al negocio?
• Garantía de que la instalación y configuración de las herramientas de seguridad informática es realizada por profesionales. • Garantía de la selección de las herramientas adecuadas para su negocio. • La empresa se beneficia del conocimiento y experiencia aportada por la consultora. • Se reduce el riesgo asociado a la inversión en tecnología de seguridad al contar con una metodología o con el consejo profesional para su selección.

ÁMBITO – Aplicación
El ámbito es el contexto donde se aplican las funcionalidades de seguridad que implementan las distintas soluciones. En rojo oscuro se identifican las que aplican.

La Taxonomía 2.0 7. Fichas de servicios de Seguridad TIC
Planificación e Implantación de infraestructuras

PERSONAS

NEGOCIO

ORGANIZACIÓN

INFRAESTRUCTURAS

INFORMACIÓN

131

SUBCATEGORÍAS – Definiciones
• Planificación de infraestructuras. Servicios que ayudan a las empresas y organizaciones a realizar un diseño adecuado de las infraestructuras y soluciones de seguridad necesarias para unos niveles de seguridad objetivo. • Implantación de infraestructuras. Servicios para realizar la implantación de soluciones e infraestructuras de seguridad en las organizaciones. • Gestión de infraestructuras. Servicios de gestión de soluciones e infraestructuras de segu­ ridad de forma externalizada o in-situ.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Planificación e Implantación de infraestructuras

La Taxonomía 2.0 8. La Taxonomía en la práctica

Como hemos visto a lo largo de este documento, la Taxonomía es conceptualmente compleja, pues­ to que detrás de su diseño existen multitud de cuestiones y aspectos que hay que tener en cuenta. No se trata simplemente de una clasificación. Pero por otro lado, aunque el diseño y los conceptos que están detrás puedan ser relativamente com­ plicados, el resultado obtenido con la Taxonomía es altamente práctico, puesto que es una herramienta muy potente si se sabe utilizar. Este apartado trata precisamente de todas esas características y cualidades de la Taxonomía que la convierten en un instrumento muy útil tanto para el consultor de seguridad, como el distribuidor o para el usuario doméstico. Veamos cómo puede ayudar a todos ellos y qué podemos esperar de la Taxonomía desde el punto de vista práctico, muchos de ellos, ya han sido tratados en apartados anteriores, pero en este caso, se trata de resumir y describir de forma breve aquellos que pueden resultar muy prácticos y útiles en el día a día.

Clasificando el mercado
Cuando un usuario o un consultor tecnológico se dirigen al mercado en busca de una solución de seguridad que se adapte a una problemática concreta, se encuentra con un gran número de soluciones en forma de productos y servicios. Puede resultar complejo encontrar aquello que buscamos, pero afortunadamente podemos recurrir al Catálogo de Empresas y Soluciones de Seguridad TIC (www.inteco.es) en el cual encontraremos más de 1600 soluciones de seguridad catalogadas y lo más importante, clasificadas según la Taxonomía. Además de buscar, cualquier empresa que desarrolle productos o servicios de seguridad TIC podrá formar parte de este catálogo, de forma totalmente gratuita. El hecho de poder contar con un catálogo como este, supone un enorme paso adelante para el mer­ cado de la seguridad, puesto que cualquier empresa o usuario puede buscar aquellas soluciones que necesita y a las empresas que ofrecen dichas soluciones, en su zona geográfica cercana.

133

Un lenguaje común
La Taxonomía es una herramienta muy potente para homogeneizar el mercado en cuanto a la manera en que nos referimos a las distintas soluciones de seguridad que existen en él.

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 La Taxonomía en la práctica

La Taxonomía 2.0 La Taxonomía en la práctica

Uno de los problemas que tratamos de resolver es conseguir que un consultor, un técnico, un asesor de marketing o un usuario, cuando hablan de un tipo de solución de seguridad, como podría ser un cortafuegos, lo hagan usando el mismo concepto y que dicho concepto incorpore las mismas caracte­ rísticas y las mismas definiciones. Se trata por tanto de usar la Taxonomía como un lenguaje común para todos los actores del mercado. En este sentido, al Taxonomía es una herramienta de marketing muy poderosa, puesto que posibilita que el proveedor de soluciones“hable”el mismo lenguaje que el usuario y este a su vez pueda compren­ der qué le están ofreciendo y si realmente dicha solución es adecuada para su problemática o escenario.

Comparación
Cuando el usuario busca soluciones trata de comparar. Es un proceso “natural” y lógico en el proceso de selección y búsqueda de la mejor solución. En un mercado cada vez más competitivo como es el de la seguridad es necesario facilitar la comparación tanto entre productos, como servicios, o soluciones.

134

La Taxonomía, al establecer un conjunto de categorías, completamente definidas y cada una de las cuales con unas características definidas, facilita que sea posible establecer comparaciones entre solu­ ciones que pertenecen a una misma categoría. Esto facilita muchísimo la búsqueda de soluciones tanto a un usuario, como a un consultor o respon­ sable de soluciones de seguridad, puesto que todos ellos buscan la mejor solución, y para ello analizan las distintas características que estas soluciones incorporan.

La Taxonomía 2.0 9. Apuntes finales

Como hemos visto a lo largo de este documento, la Taxonomía es conceptualmente compleja, pues­ to que detrás de su diseño existen multitud de cuestiones y aspectos que hay que tener en cuenta. No se trata simplemente de una clasificación. Además de los aspectos prácticos comentados, hay otros, pero lo importante es que creemos que es innegable que la Taxonomía puede ser una herramienta muy potente para el impulso del mercado, pero también para el día a día y es esta “dualidad” la que hace que la Taxonomía sea un elemento fundamental que debemos potenciar al máximo, puesto que los beneficios son enormes para todos los actores del mercado de la seguridad. A lo largo de este documento se han dado las pautas generales sobre las que se asienta la Taxonomía y esperamos que este documento sirva como “germen” de una Taxonomía más ambiciosa aún, pero sin perder de vista el objetivo fundamental y su razón de ser: conseguir un mercado de la seguridad más competitivo e innovador y mejor adaptado a las necesidades de los usuarios y las organizaciones.

135

Taxonomía de Soluciones de Seguridad TIC

La Taxonomía 2.0 Apuntes finales