El enfoque de protección de la base de TI ( en alemán : IT-Grundschutz ) de la Oficina Federal Alemana de Seguridad de la Información (BSI) es una metodología para identificar e implementar medidas de seguridad informática en una organización. El objetivo es lograr un nivel adecuado y apropiado de seguridad para los sistemas de TI. Para alcanzar este objetivo, la BSI recomienda "medidas de seguridad técnicas, organizativas, de personal y de infraestructura bien probadas". [1] Las organizaciones y agencias federales muestran su enfoque sistemático para proteger sus sistemas de TI (por ejemplo, el sistema de gestión de seguridad de la información) al obtener un certificado ISO/IEC 27001 sobre la base de IT-Grundschutz .
El término seguridad de base hace referencia a medidas de seguridad estándar para sistemas informáticos típicos. Se utiliza en diversos contextos con significados ligeramente diferentes. Por ejemplo:
El concepto de protección básica de TI no se basa en un análisis detallado de los riesgos, sino en los riesgos globales. Por lo tanto, se prescinde de una clasificación sofisticada según el grado de daño y la probabilidad de ocurrencia. Se establecen tres categorías de necesidades de protección. Con su ayuda, se pueden determinar las necesidades de protección del objeto investigado. En base a ellas, se seleccionan las medidas de seguridad adecuadas en términos de personal, técnicos, organizativos e infraestructurales a partir de los catálogos de protección básica de TI.
Los catálogos de protección básica de TI de la Oficina Federal de Seguridad de la Información ofrecen una "receta de libro de cocina" para un nivel de protección normal. Además de la probabilidad de ocurrencia y el alcance de los posibles daños, también se tienen en cuenta los costes de implementación. Con el uso de los catálogos de protección básica se evitan los costosos análisis de seguridad que requieren conocimientos especializados, ya que se trabaja con los riesgos generales desde el principio. Es posible que un profano en la materia identifique las medidas que se deben tomar y las implemente en colaboración con profesionales.
La BSI otorga un certificado de protección de base como confirmación de la implementación exitosa de la protección de base. En las etapas 1 y 2, esto se basa en una declaración propia. En la etapa 3, un auditor independiente autorizado por la BSI realiza una auditoría. La internacionalización del proceso de certificación ha sido posible desde 2006. La certificación ISO/IEC 27001 puede realizarse simultáneamente con la certificación de protección de base de TI. (La norma ISO/IEC 27001 es la sucesora de la BS 7799-2 ). Este proceso se basa en las nuevas normas de seguridad de la BSI. Este proceso conlleva un costo de desarrollo que ha prevalecido durante algún tiempo. Las empresas que se han certificado bajo la norma BS 7799-2 están obligadas a realizar una evaluación de riesgos . Para que sea más cómodo, la mayoría se desvía del análisis de necesidades de protección de acuerdo con los Catálogos de protección de base de TI. La ventaja no es solo la conformidad con la estricta BSI , sino también la obtención de la certificación BS 7799-2 . Además de esto, el BSI ofrece algunas ayudas como la plantilla de políticas y el GSTOOL.
Existe un componente de protección de datos que se ha elaborado en colaboración con el Comisionado Federal de Protección de Datos y Libertad de Información y las autoridades de protección de datos de los estados federados y que se ha integrado en el Catálogo de Protección de Datos de Base IT. Sin embargo, este componente no se tiene en cuenta en el proceso de certificación.
Los siguientes pasos se toman de conformidad con el proceso de protección de referencia durante el análisis de la estructura y el análisis de las necesidades de protección:
La creación se produce en los siguientes pasos:
Una red de TI incluye la totalidad de los componentes de infraestructura , organización, personal y técnicos que sirven para el cumplimiento de una tarea en un área de aplicación de procesamiento de información particular . Una red de TI puede abarcar la totalidad del carácter de TI de una institución o de una división individual, que está dividida por estructuras organizativas como, por ejemplo, una red departamental, o como aplicaciones de TI compartidas , por ejemplo, un sistema de información de personal. Es necesario analizar y documentar la estructura de tecnología de la información en cuestión para generar un concepto de seguridad de TI y, especialmente, para aplicar los Catálogos de protección de línea base de TI. Debido a que los sistemas de TI actuales suelen estar muy interconectados, un plan de topología de red ofrece un punto de partida para el análisis. Se deben tener en cuenta los siguientes aspectos:
El objetivo de la determinación de las necesidades de protección es investigar qué protección es suficiente y adecuada para la información y la tecnología de la información utilizadas. En este contexto, se tienen en cuenta los daños que podrían ocasionar a cada aplicación y a la información procesada una violación de la confidencialidad, la integridad o la disponibilidad. En este contexto, es importante realizar una evaluación realista de los posibles daños posteriores. Se ha demostrado que la clasificación en tres categorías de necesidades de protección: "baja a media", "alta" y "muy alta" es útil. Para la confidencialidad se utilizan a menudo los términos "público", "interno" y "secreto".
En la actualidad, los sistemas informáticos muy interconectados son una característica típica de la tecnología de la información en las administraciones públicas y las empresas. Por ello, en general, resulta ventajoso considerar el sistema informático completo y no solo los sistemas individuales en el marco de un análisis y concepto de seguridad informática. Para poder llevar a cabo esta tarea, tiene sentido dividir de forma lógica todo el sistema informático en partes y considerar por separado cada parte o incluso una red informática. Para poder utilizar los Catálogos de protección de línea base de TI en una red informática, es necesario disponer de una documentación detallada sobre su estructura. Esto se puede lograr, por ejemplo, mediante el análisis de la estructura de TI descrito anteriormente. Los componentes del Catálogo de protección de línea base de TI deben finalmente asignarse a los componentes de la red informática en cuestión en un paso de modelado.
El control de seguridad de referencia es un instrumento organizativo que ofrece una visión general rápida del nivel de seguridad de TI existente. Con la ayuda de entrevistas, se investiga el estado actual de una red de TI existente (según el modelo de protección de referencia de TI) en relación con el número de medidas de seguridad implementadas de los catálogos de protección de referencia de TI. El resultado es un catálogo en el que se introduce el estado de implementación "prescindible", "sí", "parcialmente" o "no" para cada medida relevante. Al identificar las medidas que aún no se han implementado o que solo se han implementado parcialmente, se destacan las opciones de mejora para la seguridad de la tecnología de la información en cuestión.
La comprobación de seguridad de referencia proporciona información sobre las medidas que aún faltan (comparación nominal vs. real). De ahí se deduce lo que queda por hacer para lograr la protección de referencia mediante seguridad. No es necesario implementar todas las medidas sugeridas por esta comprobación de referencia. ¡Hay que tener en cuenta las particularidades! Puede suceder que en un servidor se estén ejecutando varias aplicaciones más o menos irrelevantes que tengan menores necesidades de protección. Sin embargo, en su conjunto, estas aplicaciones deben recibir un nivel de protección más alto. Esto se denomina (efecto de acumulación).
Las aplicaciones que se ejecutan en un servidor determinan la necesidad de protección. En un sistema informático pueden ejecutarse varias aplicaciones de TI. Cuando esto ocurre, la aplicación con mayor necesidad de protección determina la categoría de protección del sistema informático.
Por el contrario, es posible que una aplicación informática con grandes necesidades de protección no las transfiera automáticamente al sistema informático. Esto puede suceder porque el sistema informático está configurado de forma redundante o porque solo se ejecuta en él una parte insignificante. Esto se denomina (efecto de distribución). Este es el caso, por ejemplo, de los clústeres.
La comprobación de seguridad de referencia establece las medidas de protección de referencia. Este nivel es suficiente para necesidades de protección bajas o medias. Según las estimaciones de BSI, este nivel representa aproximadamente el 80 % de todos los sistemas de TI. Para sistemas con necesidades de protección altas o muy altas, se suelen utilizar conceptos de seguridad de la información basados en el análisis de riesgos, como por ejemplo las normas de la serie ISO/IEC 27000 .
Durante la reestructuración y ampliación de los Catálogos de Protección de Línea Base de TI en 2005, la BSI separó la metodología del Catálogo de Protección de Línea Base de TI. Las normas BSI 100-1, BSI 100-2 y BSI 100-3 contienen información sobre la construcción de un sistema de gestión de seguridad de la información (SGSI), la metodología o el enfoque de protección básica y la creación de un análisis de seguridad para necesidades de protección elevadas y muy elevadas basándose en una investigación de protección de línea base completada.
La norma BSI 100-4, "Gestión de emergencias", se encuentra actualmente en preparación. Contiene elementos de la norma BS 25999 , Gestión de la continuidad del servicio de ITIL combinados con los componentes pertinentes del Catálogo de protección de línea base de TI y aspectos esenciales para la gestión de la continuidad del negocio (BCM) adecuada. La implementación de estas normas permite obtener la certificación de conformidad con la norma BS 25999-2 . La BSI ha presentado el diseño de las normas BSI 100-4 para comentarios en línea en [5] .
De esta manera el BSI adecua sus estándares a normas internacionales como la ISO/IEC 27001 .