Interfaz de Seguridad de Sistemas de Informacion

Seguridad
Interfaz de Seguridad
NDICE
DESCRIPCIN Y OBJETIVOS ............................................................................................... 4
PLANIFICACIN DE SISTEMAS DE INFORMACIN.............................................................. 5
ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA SEGURIDAD REQUERIDA EN EL
PROCESO PLANIFICACIN DE SISTEMAS DE INFORMACIN.......................................... 6
Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Planificacin de
Sistemas de Informacin.................................................................................................. 6
Tarea PSI-SEG 1.2: Organizacin y Planificacin .............................................................. 7
ACTIVIDAD PSI-SEG 2: EVALUACIN DEL RIESGO PARA LA ARQUITECTURA
TECNOLGICA .................................................................................................................. 8
Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de las Alternativas de Arquitectura
Tecnolgica..................................................................................................................... 8
Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo de las Alternativas de Arquitectura
Tecnolgica..................................................................................................................... 9
ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA SEGURIDAD EN EL PLAN DE ACCIN. 10
Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el Plan de Accin ......................... 10
ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE PLANIFICACIN DE SISTEMAS DE INFORMACIN ............................. 11
Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Planificacin de Sistemas de Informacin ...................................................... 11
ESTUDIO DE VIABILIDAD DEL SISTEMA............................................................................ 12
ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO
ESTUDIO DE VIABILIDAD DEL SISTEMA.......................................................................... 13
Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Estudio de Viabilidad
del Sistema ................................................................................................................... 13
ACTIVIDAD EVS-SEG 2: SELECCIN DEL EQUIPO DE SEGURIDAD ............................... 14
Tarea EVS-SEG 2.1: Seleccin del Equipo de Seguridad ................................................. 14
ACTIVIDAD EVS-SEG 3: RECOMENDACIONES ADICIONALES DE SEGURIDAD PARA EL
SISTEMA DE INFORMACIN............................................................................................ 15
Tarea EVS-SEG 3.1: Elaboracin de Recomendaciones de Seguridad ............................. 15
ACTIVIDAD EVS-SEG 4: EVALUACIN DE LA SEGURIDAD DE LAS ALTERNATIVAS DE
SOLUCIN....................................................................................................................... 16
Tarea EVS-SEG 4.1: Valoracin y Evaluacin de la Seguridad de las Alternativas de
Solucin ........................................................................................................................ 16
ACTIVIDAD EVS-SEG 5: EVALUACIN DETALLADA DE LA SEGURIDAD DE LA SOLUCIN
PROPUESTA .................................................................................................................... 17
Tarea EVS-SEG 5.1: Descripcin Detallada de la Seguridad de la Solucin Propuesta...... 17
ACTIVIDAD EVS-SEG 6: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE ESTUDIO DE VIABILIDAD DEL SISTEMA.............................................. 18
Tarea EVS-SEG 6.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Estudio de Viabilidad del Sistema.................................................................. 18
ANLISIS DEL SISTEMA DE INFORMACIN ...................................................................... 20
Ministerio de Administraciones Pblicas
Metodologa MTRICA Versin 3
Seguridad
ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE

ANLISIS DEL SISTEMA DE INFORMACIN.................................................................... 21
Tarea ASI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Anlisis del
Sistema de Informacin.................................................................................................. 21
ACTIVIDAD ASI-SEG 2: DESCRIPCIN DE LAS FUNCIONES Y MECANISMOS DE
SEGURIDAD..................................................................................................................... 22
Tarea ASI-SEG 2.1: Estudio de las Funciones y Mecanismos de Seguridad a Implantar .... 22
ACTIVIDAD ASI-SEG 3: DEFINICIN DE LOS CRITERIOS DE ACEPTACIN DE LA
SEGURIDAD..................................................................................................................... 23
Tarea ASI-SEG 3.1: Actualizacin del Plan de Pruebas.................................................... 23
ACTIVIDAD ASI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN ........................................ 24
Tarea ASI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados Durante el
Proceso de Anlisis del Sistema de Informacin.............................................................. 24
DISEO DEL SISTEMA DE INFORMACIN......................................................................... 26
ACTIVIDAD DSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE
DISEO DEL SISTEMA DE INFORMACIN ...................................................................... 27
Tarea DSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Diseo del
ACTIVIDAD DSI-SEG 2: ESPECIFICACIN DE REQUISITOS DE SEGURIDAD DEL
ENTORNO TECNOLGICO .............................................................................................. 28
Tarea DSI-SEG 2.1: Anlisis de los Riesgos del Entorno Tecnolgico............................... 28
ACTIVIDAD DSI-SEG 3: REQUISITOS DE SEGURIDAD DEL ENTORNO DE
CONSTRUCCIN............................................................................................................. 29
Tarea DSI-SEG 3.1: Identificacin de los Requisitos de Seguridad del Entorno de
Construccin ................................................................................................................. 29
ACTIVIDAD DSI-SEG 4: DISEO DE PRUEBAS DE SEGURIDAD...................................... 30
Tarea DSI-SEG 4.1: Diseo de las Pruebas de Seguridad................................................ 30
ACTIVIDAD DSI-SEG 5: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN.......................................... 31
Tarea DSI-SEG 5.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Diseo del Sistema de Informacin ............................................................... 31
CONSTRUCCIN DEL SISTEMA DE INFORMACIN........................................................... 33
ACTIVIDAD CSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE
CONSTRUCCIN DEL SISTEMA DE INFORMACIN........................................................ 34
Tarea CSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Construccin del
ACTIVIDAD CSI-SEG 2: EVALUACIN DE LOS RESULTADOS DE PRUEBAS DE
SEGURIDAD..................................................................................................................... 35
Tarea CSI-SEG 2.1: Estudio de los Resultados de Pruebas de Seguridad......................... 35
ACTIVIDAD CSI-SEG 3: ELABORACIN DEL PLAN DE FORMACIN DE SEGURIDAD..... 35
Tarea CSI-SEG 3.1: Elaboracin del Plan de Formacin de Seguridad ............................. 36
ACTIVIDAD CSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN............................ 37
Tarea CSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Construccin del Sistema de Informacin ...................................................... 37
IMPLANTACIN Y ACEPTACIN DEL SISTEMA................................................................. 39
ACTIVIDAD IAS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE
IMPLANTACIN Y ACEPTACIN DEL SISTEMA............................................................... 40
Tarea IAS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Implantacin y
Aceptacin del Sistema.................................................................................................. 40
ACTIVIDAD IAS-SEG 2: REVISIN DE MEDIDAS DE SEGURIDAD DEL ENTORNO DE
OPERACIN .................................................................................................................... 41
Tarea IAS-SEG 2.1: Revisin de Medidas de Seguridad del Entorno de Operacin............ 41
Seguridad
ACTIVIDAD IAS-SEG 3: EVALUACIN DE RESULTADOS DE PRUEBAS DE SEGURIDAD

DE IMPLANTACIN DEL SISTEMA................................................................................... 42
Tarea IAS-SEG 3.1: Estudio de los Resultados de Pruebas de Seguridad de Implantacin
del Sistema ................................................................................................................... 42
ACTIVIDAD IAS-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA .................................. 43
Tarea IAS-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso Implantacin y Aceptacin del Sistema .............................................................. 43
ACTIVIDAD IAS-SEG 5: REVISIN DE MEDIDAS DE SEGURIDAD EN EL ENTORNO DE
PRODUCCIN.................................................................................................................. 44
Tarea IAS-SEG 5.1: Revisin de Medidas de Seguridad en el Entorno de Produccin........ 44
MANTENIMIENTO DE SISTEMAS DE INFORMACIN.......................................................... 45
ACTIVIDAD MSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO
MANTENIMIENTO DE SISTEMAS DE INFORMACIN....................................................... 46
Tarea MSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Mantenimiento de
Sistemas de Informacin................................................................................................ 46
ACTIVIDAD MSI-SEG 2: ESPECIFICACIN E IDENTIFICACIN DE LAS FUNCIONES Y
MECANISMOS DE SEGURIDAD ....................................................................................... 47
Tarea MSI-SEG 2.1: Estudio de la Peticin...................................................................... 47
Tarea MSI-SEG 2.2: Anlisis de las Funciones y Mecanismos de Seguridad Afectados o
Nuevos ......................................................................................................................... 48
ACTIVIDAD MSI-SEG 3: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE MANTENIMIENTO DE SISTEMAS DE INFORMACIN........................... 49
Tarea MSI-SEG 3.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Mantenimiento de Sistemas de Informacin................................................... 49
Seguridad
DESCRIPCIN Y OBJETIVOS
El objetivo de la interfaz de seguridad de MTRICA Versin 3 es incorporar en los
sistemas de informacin mecanismos de seguridad adicionales a los que se proponen
en la propia metodologa, asegurando el desarrollo de cualquier tipo de sistema a lo
largo de los procesos que se realicen para su obtencin.
La seguridad del sistema de informacin ya se considera en MTRICA Versin 3
como requisito funcional (ASI 2.1), es decir previamente al desarrollo del mismo. La
interfaz de Seguridad hace posible incorporar durante la fase de desarrollo las funciones
y mecanismos que refuerzan la seguridad del nuevo sistema y del propio proceso de
desarrollo, asegurando su consistencia y seguridad.
El anlisis de los riesgos constituye una pieza fundamental en el diseo y
desarrollo de sistemas de informacin seguros. Si bien los riesgos que afectan a un
sistema de informacin son de distinta ndole: naturales (inundaciones, incendios, etc.) o
lgicos (fallos propios, ataques externos, virus, etc.) son estos ltimos los contemplados
en la interfaz de Seguridad de MTRICA Versin 3.
De lo anterior se desprende que existen dentro de la interfaz dos tipos de
actividades diferenciadas:
Actividades relacionadas con la seguridad intrnseca del sistema de informacin

(representadas en la parte inferior del grfico).
Actividades que velan por la seguridad del propio proceso de desarrollo del
sistema de informacin (representadas en la parte superior del grfico).
Si en la organizacin ya existe un plan de seguridad o una metodologa de anlisis

y gestin de riesgos como por ejemplo MAGERIT, para cada sistema de informacin
debern analizarse las necesidades de seguridad del sistema respecto al mtodo
vigente, y determinar las diferencias si las hubiera, as como aquellas necesidades
concretas que no se encuentren recogidas, estableciendo as el plan de seguridad del
sistema de informacin. Si no existe un plan de seguridad en la organizacin habr que
desarrollarlo desde el principio. El plan recoger adems las medidas de seguridad
activas o preventivas y reactivas, en respuesta a situaciones en que se produce un fallo
reduciendo su efecto, relacionadas con la seguridad del sistema de informacin y del
proceso de desarrollo.
Las valoraciones sobre la seguridad deben ser realizadas en funcin de las
caractersticas del sistema: complejidad, tamao, incertidumbre, participantes, etc. por
los responsables de la seguridad del sistema de informacin, quienes se apoyarn para
sus decisiones en su conocimiento y experiencia en la materia sin perder de vista
adems que, al ser finitos los recursos, no pueden asegurarse todos los aspectos del
desarrollo de los sistemas de informacin, por lo que habr que aceptar un determinado
nivel de riesgo concentrndose en los aspectos ms comprometidos o amenazados,
que sern diferentes segn las circunstancias.
Seguridad
PLANIFICACIN DE SISTEMAS DE
INFORMACIN
En la actualidad, la mayora de las organizaciones suelen disponer, en mayor o
menor grado, de una poltica de seguridad. Esta poltica constituir el punto de partida
de la interfaz de seguridad, completndola o adaptndola en aquellos aspectos que as
lo requieran. Si la organizacin no dispone de ella ser necesario realizar un esfuerzo
suplementario dirigido a la identificacin de los objetivos de seguridad ya que su
determinacin no es una tarea trivial.
La seguridad influir en las decisiones adoptadas en el proceso de Planificacin
de Sistemas de Informacin al igual que otros aspectos tales como la calidad, ya que
debe ser un parmetro ms a contemplar en el anlisis y evaluacin de soluciones.
En la siguiente figura aparecen las actividades de la interfaz de seguridad a lo
largo del proceso Planificacin de Sistemas de Informacin (PSI).
PSI-SEG 4
PSI-SEG 1
PSI 1
Inicio del Plan
del Sistemas de
Informacin
PSI 2
Definicin y
Organizacin del
PSI
PSI 3
Estudio de
Informacin
Relevante
PSI 4
Identificacin de
Requisitos
PSI 7
Definicin de la
Arquitectura
Tecnolgica
PSI 8
Definicin del
Plan de Accin
PSI-SEG 2
PSI-SEG 3
PSI 9
Revisin y
Aprobacin
PSI 6
Diseo del
Modelo de
Sistema de
Informacin
PSI 5
Estudio de los
Sistemas de
Informacin
Actuales
Seguridad
ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA

SEGURIDAD REQUERIDA EN EL PROCESO
PLANIFICACIN DE SISTEMAS DE INFORMACIN
Durante esta actividad, y para el proceso de Planificacin de Sistemas de
Informacin, se especifica:
La poltica de seguridad de la organizacin, si existe.
La determinacin global de objetivos de seguridad.
La organizacin necesaria para la seguridad.
Tarea
PSIEstudio de la
SEG 1.1 Seguridad
Requerida en el
Proceso
Planificacin de
Sistemas de
Informacin
PSI-SEG Organizacin y
1.2
Planificacin
Productos
Tcnicas y Prcticas
Seguridad Requerida
Sesiones de Trabajo
en el Proceso
Planificacin de
Sistemas de Sistemas
de Informacin:
o Seguridad para la
Ejecucin de
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios
Plan de Seguridad de
Revisin
Sistemas de
Sesiones de Trabajo
Informacin
o Poltica de Seguridad
de la Organizacin
o Organizacin y
Planificacin
Necesaria para la
Seguridad
o Anlisis y
Conclusiones
Participantes
Responsable de
Seguridad
Responsable de
Seguridad
Comit de
Direccin
Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso Planificacin de Sistemas de Informacin
El Responsable de Seguridad debe estudiar si es necesario supervisar la
seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los
productos generados en las actividades del proceso Planificacin de Sistemas de
Informacin. Como fruto de dicho estudio se establecer el control de la seguridad en
las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada
Descripcin General del PSI (PSI 1.3)

Poltica de Seguridad de la Organizacin (externo)
Riesgo Aceptable (Comit de Seguimiento)
Seguridad
De salida
Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin:

o Seguridad para la Ejecucin de Actividades
o Seguridad para la Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad
Tarea PSI-SEG 1.2: Organizacin y Planificacin

El responsable de seguridad determina la organizacin y planificacin necesaria
para la seguridad del proceso con objetivos, fases y posibles condicionantes. Deben
adaptarse los objetivos globales de seguridad de la organizacin relacionndolos con
los recursos necesarios, y determinando as el equipo de seguridad necesario para el
proceso de Planificacin de Sistemas de Informacin.
Productos
De entrada
Poltica de Seguridad de la Organizacin (externo)

Seguridad Requerida en el Proceso PSI (PSI-SEG 1.1)
De salida
Plan de Seguridad de los Sistemas de Informacin:

o Poltica de Seguridad de la Organizacin
o Organizacin y Planificacin Necesaria para la Seguridad
o Anlisis y Conclusiones
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Comit de Direccin
Seguridad
ACTIVIDAD PSI-SEG 2: EVALUACIN DEL

RIESGO PARA LA ARQUITECTURA
TECNOLGICA
Se evalan las caractersticas (vulnerabilidades, riesgos y costes de los
mecanismos de seguridad a implantar) para la arquitectura tecnolgica establecida en
cada una de las alternativas de solucin. Dicha evaluacin se entrega al Comit de
Seguimiento para su aprobacin.
Tarea
PSIEstudio y
SEG 2.1 Evaluacin del
Riesgo de las
Alternativas de
Arquitectura
Tecnolgica
PSIRevisin de la
SEG 2.2 Evaluacin del
Riesgo de las
Alternativas de
Arquitectura
Tecnolgica
Productos
Seguridad de las
Alternativas de
Arquitectura
Tecnolgica:
o Caractersticas
detalladas de
seguridad para cada
Alternativa
o Anlisis y Gestin del
Riesgo de cada
Alternativa
Seguridad de las
Alternativas de
Arquitectura
Tecnolgica:
o Anlisis y Gestin del
Riesgo de la
Arquitectura
Tecnolgica
o Nivel de Riesgo
Aceptable
Tcnicas y Prcticas
Participantes
Revisin
Sesiones de Trabajo
Equipo de
Seguridad
Responsable de
Seguridad
Revisin
Sesiones de Trabajo
Comit de
Seguimiento
Responsable de
Seguridad
Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de

las Alternativas de Arquitectura Tecnolgica
El equipo de seguridad estudia las alternativas de arquitectura tecnolgica,
analizando para cada una el nivel de seguridad, las vulnerabilidades, los riesgos y la
posible gestin de los mismos. Para ello, dicho equipo realizar los siguientes pasos:
Determinacin de los principales recursos (entornos, redes, comunicaciones, etc) de

cada una de las alternativas de arquitectura tecnolgica.
Identificacin de las amenazas relevantes para cada uno de los recursos anteriores.
Determinacin del riesgo efectivo e intrnseco de cada alternativa.
Seleccin de los mecanismos de salvaguarda oportunos que minimicen los riesgos.
Para la realizacin de esta tarea se puede tomar como referencia MAGERIT,

Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
Productos
De entrada
Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2)

Alternativas de Arquitectura Tecnolgica (PSI 7.1)
Seguridad
De salida
Seguridad de las Alternativas de Arquitectura Tecnolgica:

o Caractersticas detalladas de seguridad para cada Alternativa
o Anlisis y Gestin del Riesgo de cada Alternativa
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo

de las Alternativas de Arquitectura Tecnolgica
Una vez se dispone de la alternativa de la arquitectura tecnolgica seleccionada
(PSI 7.2) y del estudio de seguridad de las alternativas obtenido en la tarea anterior, el
Comit de Seguimiento y el Responsable de Seguridad realizan un examen del mismo
para aceptarlo o rechazarlo.
Productos
De entrada
Arquitectura Tecnolgica (PSI 7.2)

Seguridad de las Alternativas de Arquitectura Tecnolgica (PSI-SEG 2.1)
De salida
Seguridad de las Alternativas de Arquitectura Tecnolgica:

o Anlisis y Gestin del Riesgo de la Arquitectura Tecnolgica
o Nivel de Riesgo Aceptable
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Comit de Seguimiento
10
Seguridad
ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA

SEGURIDAD EN EL PLAN DE ACCIN
Una vez definida la arquitectura tecnolgica en el Plan de Sistemas de
Informacin se determina la poltica de seguridad a llevar a cabo en el Plan de Accin
en funcin de los riesgos aceptados. El objetivo de esta actividad es detallar la forma en
que se efectuar la puesta en marcha de los servicios y mecanismos de salvaguarda
durante el Plan de Accin, as como la infraestructura y los recursos necesarios para
llevarlo a cabo.
Tarea
PSIDeterminacin de la
SEG 3.1 Seguridad en el
Plan de Accin
Productos
Tcnicas y Prcticas
Seguridad para el Plan Revisin

de Accin
Sesiones de Trabajo
Participantes
Comit de
Seguimiento
Responsable de
Seguridad
Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el

Plan de Accin
Se estudia el Plan de Accin establecido en el Plan de Sistemas de Informacin
(PSI 8.1) con el objetivo de programar los recursos lgicos y fsicos necesarios para la
activacin de los servicios y mecanismos de salvaguarda que se determinaron para la
arquitectura tecnolgica escogida.
Productos
De entrada

Plan de Accin (PSI 8.1)
De salida
Seguridad para el Plan de Accin
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Seguridad
11
ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS

PRODUCTOS GENERADOS DURANTE EL
PROCESO DE PLANIFICACIN DE SISTEMAS DE
INFORMACIN
Tarea
PSIClasificacin y
SEG 4.1 Catalogacin de los
Productos
Generados durante
el Proceso de
Planificacin de
Sistemas de
Informacin
Productos
Tcnicas y Prcticas
Catalogacin de los
Revisin
Productos Generados Catalogacin
en el Proceso PSI:
o Determinacin de
Niveles de Seguridad
o Listado de Productos
Generados
o Niveles de Seguridad
de los Productos
o Soporte de
Almacenamiento
Participantes
Responsable de
Seguridad
Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los

Productos Generados durante el Proceso de
Planificacin de Sistemas de Informacin
El responsable de seguridad estudia los productos generados durante el proceso
de Planificacin de Sistemas de Informacin y determinan el nivel de seguridad de cada
uno de ellos con respecto a la autenticacin, confidencialidad, integridad y
disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo
de los productos, teniendo en cuenta a este respecto las particularidades del soporte de
almacenamiento elegido y del sistema de gestin de configuracin vigente en la
organizacin (Vase la Interfaz de Gestin de Configuracin).
Productos
De entrada
Productos generados durante el proceso Planificacin de Sistemas de Informacin

De salida
Catalogacin de los Productos Generados en el Proceso Planificacin de Sistemas

de Informacin:
o Determinacin de Niveles de Seguridad
o Listado de Productos Generados
o Niveles de Seguridad de los Productos
o Soporte de Almacenamiento
Prcticas
Revisin
Catalogacin
Participantes
12
Seguridad
ESTUDIO DE VIABILIDAD DEL SISTEMA

La primera actividad de la interfaz de Seguridad que debe abordarse en el
proceso de Estudio de Viabilidad del Sistema es el estudio de la seguridad requerida en
este proceso, seleccionando a continuacin a los miembros del Equipo de Seguridad
para los procesos de Estudio de Viabilidad, Anlisis, Diseo, Construccin e
Implantacin del Sistema de Informacin. Se trata de una tarea de vital importancia para
las siguientes actividades de seguridad, tanto las relativas a la Seguridad del Sistema
de Informacin, como para las concernientes a la Seguridad del Proceso de Desarrollo.
Es importante que tanto el Responsable de Seguridad como el Equipo de Seguridad se
basen en la poltica de seguridad de la organizacin y en la Seguridad para el Plan de
Accin (PSI-SEG 3.1). Si no se ha realizado el proceso Planificacin de Sistemas de
Informacin y las actividades de la interfaz de seguridad correspondientes al mismo, se
partir de la poltica de seguridad de la organizacin y del nivel de riesgo aceptable.
En el siguiente grfico se muestra la relacin entre las actividades del Estudio de
Viabilidad del Sistema (EVS) y las de la interfaz de Seguridad.
EVS-SEG 6
EVS-SEG 1
EVS-SEG 2
EVS 1
Establecimiento
del Alcance del
Sistema
EVS 2
Estudio de la
Situacin Actual
EVS 4
Estudio de
Alternativas de
Solucin
EVS 5
Valoracin de
las Alternativas
EVS 6
Seleccin de la
Solucin
EVS 3
Definicin de
Requisitos del
Sistema
EVS-SEG 3
EVS-SEG 4
EVS-SEG 5
Seguridad
13
ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA

ESTUDIO DE VIABILIDAD DEL SISTEMA
Tarea
EVSEstudio de la
SEG 1.1 Seguridad
Requerida en el
Proceso Estudio de
Viabilidad del
Sistema
Productos
Seguridad Requerida
en el Proceso Estudio
de Viabilidad del
Sistema:
o Seguridad para
Ejecucin de
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Responsable de
Seguridad
Jefe de Proyecto
Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso Estudio de Viabilidad del Sistema
El Responsable de Seguridad analiza la necesidad de supervisar la seguridad
(niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos
intermedios de alguna de las actividades del proceso Estudio de Viabilidad del Sistema.
Para ello se basa en las particularidades del sistema de informacin y en la manera en
que el proceso es llevado a cabo. Como fruto de dicho estudio, y teniendo en cuenta las
caractersticas del proceso, se establecer el control de la seguridad en las actividades
tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada
Catlogo de objetivos del EVS (EVS 1.1)

Plan de trabajo (EVS 1.3)
Seguridad para el Plan de Accin (PSI-SEG 3.1)
De salida
Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema:

Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Jefe de Proyecto
14
Seguridad
ACTIVIDAD EVS-SEG 2: SELECCIN DEL EQUIPO

DE SEGURIDAD
Tarea
EVSSeleccin del
SEG 2.1 Equipo de
Seguridad
Productos
Equipo de Seguridad
o Perfil de Seleccin
o Funciones y
Responsabilidades
Tcnicas y Prcticas
Revisin
Sesiones de Trabajo
Participantes
Comit de
Seguimiento
Responsable de
Seguridad
Tarea EVS-SEG 2.1: Seleccin del Equipo de Seguridad

La naturaleza de las funciones a desempear y la criticidad y confidencialidad de
la informacin y productos a los que tendr acceso el personal de seguridad hacen
necesario que tanto el Comit de Seguimiento como el Responsable de Seguridad
seleccionen cuidadosamente a los miembros del equipo de seguridad para el proceso
de desarrollo completo.
Deben realizarse las sesiones de trabajo necesarias para especificar las labores
que deben desempear y con qu grado de responsabilidad.
Productos
De entrada

De salida
Equipo de Seguridad:
o Perfil de Seleccin
o Funciones y Responsabilidades
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Seguridad
15
ACTIVIDAD EVS-SEG 3: RECOMENDACIONES

ADICIONALES DE SEGURIDAD PARA EL
SISTEMA DE INFORMACIN
El Equipo de Seguridad establece las recomendaciones de seguridad del sistema
en funcin del umbral del riesgo aceptado o asumible. Para ello, se estudian las
amenazas y vulnerabilidades que en funcin del Catlogo de Requisitos del Sistema
(EVS 3.3) se prevean, as como el impacto previsible de su materializacin.
Tarea
EVSElaboracin de
SEG 3.1 Recomendaciones
de Seguridad
Productos
Recomendaciones de
Seguridad:
o Normativas y
Legislacin
o Catlogo de
Recomendaciones
de Seguridad
Tcnicas y Prcticas
Sesiones de Trabajo
Catalogacin
Participantes
Responsable de
Seguridad
Equipo de
Seguridad
Tarea EVS-SEG 3.1: Elaboracin de Recomendaciones

de Seguridad
El Equipo de Seguridad estudia la legislacin, normas y procedimientos referentes
a la seguridad que son aplicables al sistema de informacin y que completan la poltica
de seguridad de la organizacin, elaborando las recomendaciones de seguridad para
dicho sistema.
Productos
De entrada
Legislacin, Normas y Procedimientos de Seguridad (Externo)

Catlogo de Normas (EVS 3.1)
Catlogo de Requisitos (EVS 3.3)
De salida
Recomendaciones de Seguridad:
o Normativas y Legislacin
o Catlogo de Recomendaciones de Seguridad
Prcticas
Sesiones de Trabajo
Catalogacin
Participantes
Equipo de Seguridad
16
Seguridad
ACTIVIDAD EVS-SEG 4: EVALUACIN DE LA

SEGURIDAD DE LAS ALTERNATIVAS DE
SOLUCIN
Se revisan las caractersticas de seguridad (amenazas, vulnerabilidades, riesgos y
costes de los mecanismos de seguridad a implantar) de cada una de las alternativas de
solucin, identificando la alternativa ms adecuada de acuerdo con los requisitos de
seguridad del sistema identificados en MTRICA Versin 3 y las recomendaciones
adicionales de seguridad establecidas en EVS-SEG 3.1.
Tarea
EVSValoracin y
SEG 4.1 Evaluacin de la
Seguridad de las
Alternativas de
Solucin
Productos
Tcnicas y Prcticas
Seguridad de las
Revisin
Alternativas de
Sesiones de Trabajo
Solucin:
o Caractersticas
Detalladas para cada
Alternativa
o Resultado del
Anlisis y Gestin del
Riesgo
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Tarea EVS-SEG 4.1: Valoracin y Evaluacin de la

Seguridad de las Alternativas de Solucin
El Equipo de Seguridad estudia la informacin sobre las alternativas de solucin.
Debe analizar el nivel de seguridad, las vulnerabilidades, los riesgos y la gestin de los
mismos para cada una de las alternativas de solucin. Para ello dicho equipo sigue los
pasos enumerados a continuacin:
Determinacin de los principales recursos del sistema de informacin (entorno,

aplicaciones, informacin, funcionalidades de la organizacin, personal, etc.) que
intervienen en cada una de las alternativas de solucin.
Identificacin de las amenazas relevantes para cada uno de los recursos anteriores.
Determinacin del riesgo efectivo e intrnseco de cada una de las alternativas de

solucin.
Productos
De entrada
Recomendaciones de Seguridad (EVS-SEG 3.1)

Alternativas de Solucin a Estudiar (EVS 4.2)
Valoracin de Alternativas (EVS 5.2)
Plan de Trabajo de cada Alternativa (EVS 5.3)
De salida
Seguridad de las Alternativas de Solucin:

o Caractersticas Detalladas para cada Alternativa
o Resultado del Anlisis y Gestin del Riesgo
Seguridad
17
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Equipo de Seguridad
ACTIVIDAD EVS-SEG 5: EVALUACIN

DETALLADA DE LA SEGURIDAD DE LA
SOLUCIN PROPUESTA
El objetivo de esta actividad es describir en detalle la seguridad de la solucin
escogida, identificando las posibles debilidades y mejoras.
Tarea
EVSDescripcin
SEG 5.1 Detallada de la
Seguridad de la
Solucin Propuesta
Productos
Seguridad de la
Solucin Propuesta:
o Caractersticas
Detalladas de
Seguridad de la
Solucin
o Recomendacin
Final de Mejoras de
Seguridad
Tcnicas y Prcticas
Catalogacin
Participantes
Responsable de
Seguridad
Equipo de
Seguridad
Tarea EVS-SEG 5.1: Descripcin Detallada de la

Seguridad de la Solucin Propuesta
El estudio de la seguridad de la solucin propuesta debe llevarse a cabo partiendo
del estudio de seguridad de las alternativas de solucin realizado en EVS-SEG 4,
amplindolo y profundizando en el mismo para la alternativa seleccionada. Para ello se
siguen las etapas citadas a continuacin:
Determinacin de los principales recursos del sistema de informacin (entorno,

aplicaciones, informacin, funcionalidades de la organizacin, personal, etc.) que
intervienen en la solucin propuesta.
Identificacin y estudio de las amenazas relevantes para cada uno de los recursos
anteriores. Se analiza la posibilidad de que dichas amenazas se materialicen sobre
cada recurso (vulnerabilidad del recurso) y su impacto en el sistema.
Determinacin del riesgo efectivo e intrnseco de la solucin propuesta.

Incorporacin, si es necesario, de nuevos mecanismos a este respecto.
Partiendo de una especificacin de las principales caractersticas de la solucin y

mediante modelos de inferencia, se detectan las vulnerabilidades, riesgos y las
18
Seguridad
posibilidades de gestin que pueda hacerse de dichos riesgos. Tras esa labor el Equipo
de Seguridad realiza una evaluacin de la seguridad de la solucin propuesta.
Productos
De entrada
Solucin Propuesta (EVS 6.2)

Seguridad de las Alternativas de Solucin (EVS-SEG 4.1)
De salida
Seguridad de la Solucin Propuesta:

o Caractersticas Detalladas de Seguridad de la Solucin
o Recomendacin Final de Mejoras de Seguridad
Prcticas
Catalogacin
Participantes
Equipo de Seguridad
ACTIVIDAD EVS-SEG 6: CATALOGACIN DE LOS

PROCESO DE ESTUDIO DE VIABILIDAD DEL
SISTEMA
Tarea
EVSClasificacin y
Productos
Generados durante
el Proceso de
Estudio de
Viabilidad del
Sistema
Productos
Tcnicas y Prcticas
Catalogacin de los
Revisin
en el Proceso Estudio
de Viabilidad del
Sistema:
o Determinacin de
Generados
de los Productos
o Soporte de
Almacenamiento
Participantes
Responsable de
Seguridad
Jefe de Proyecto
Comit de
Seguimiento
Tarea EVS-SEG 6.1: Clasificacin y Catalogacin de los

Productos Generados durante el Proceso de Estudio de
Viabilidad del Sistema
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento
estudian los productos generados durante el proceso de Estudio de Viabilidad del
Seguridad
19
Sistema y determinan el nivel de seguridad de cada uno de ellos con respecto a la

autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de
seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a
este respecto las particularidades del soporte de almacenamiento elegido y del sistema
de gestin de configuracin vigente en la organizacin.
Productos
De entrada
Productos generados durante el proceso Estudio de Viabilidad del Sistema.

De salida
Catalogacin de los Productos Generados en el Proceso Estudio de Viabilidad del

Sistema:
Prcticas
Revisin
Catalogacin
Participantes
Jefe de Proyecto
20
Seguridad
ANLISIS DEL SISTEMA DE INFORMACIN

En las actividades de la interfaz de seguridad que se realizan durante el proceso
de Anlisis del Sistema de Informacin se hace referencia a lo que se denomina
funciones de seguridad y mecanismos de seguridad. El entendimiento de ambos
conceptos es fundamental para comprender su papel dentro del trabajo de desarrollo de
un sistema de informacin:
Una funcin de seguridad se define como un servicio que garantiza la seguridad del
sistema de informacin.
Un mecanismo de seguridad se define como la lgica o el algoritmo que

implementa una funcin de seguridad, ya sea en Hardware o en Software.
Las funciones y mecanismos adicionales de seguridad definidos en las actividades

de interfaz se implementarn en el sistema a travs de MTRICA Versin 3, al igual que
los dems requisitos de seguridad.
En el siguiente grfico se muestra la relacin entre las actividades del proceso de
Anlisis del Sistema de Informacin (ASI) y las de la interfaz de Seguridad.
ASI-SEG 4
ASI-SEG 1
ASI 1
Definicin del Sistema
ASI 2
Establecimiento de
Requisitos
ASI 3
Identificacin de
Subsistemas de Anlisis
Slo en
Orientacin a
Objetos
Slo en
Estructurado
ASI 4
Anlisis de Casos de
Uso
Actividades
comunes
ASI 5
Anlisis de Clases
ASI 6
Elaboracin del
Modelo de Datos
ASI 9
Anlisis de
Consistencia
ASI 10
Especificacin del
Plan de Pruebas
ASI 7
Elaboracin del
Modelo de Datos
ASI 11
Presentacin y
Aprobacin Anlisis
Sistema de
Informacin
ASI 8
Definicin de
Interfaces de Usuario
ASI-SEG 2
ASI-SEG 3
Seguridad
21
ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA

SEGURIDAD REQUERIDA EN EL PROCESO DE
ANLISIS DEL SISTEMA DE INFORMACIN
Tarea
ASIEstudio de la
SEG 1.1 Seguridad
Requerida en el
Proceso de Anlisis
del Sistema de
Informacin
Productos
Seguridad Requerida
en el Proceso Anlisis
del Sistema de
Informacin:
o Seguridad para
Ejecucin de
Actividades
o Seguridad para
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Jefe de Proyecto
Tarea ASI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso de Anlisis del Sistema de Informacin
El Equipo de Seguridad estudia la necesidad de supervisar la seguridad (niveles
de autenticacin, confidencialidad, integridad y disponibilidad) de los productos
generados en alguna de las actividades del proceso de Anlisis del Sistema de
Informacin. Para ello se parte de la planificacin del proceso obtenida mediante la
interfaz de Gestin de Proyectos (GPI 2) y de las particularidades del sistema de
informacin. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del
proceso, se establecer el control de la seguridad en las actividades tanto a nivel de
ejecucin como de los productos obtenidos.
Productos
De entrada
Catlogo de Requisitos (ASI 1.1)

Planificacin detallada (GPI 2)
De salida
Seguridad Requerida en el Proceso Anlisis del Sistema de Informacin:

o Seguridad para Ejecucin de Actividades
o Seguridad para Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Jefe de Proyecto
22
Seguridad
ACTIVIDAD ASI-SEG 2: DESCRIPCIN DE LAS

FUNCIONES Y MECANISMOS DE SEGURIDAD
El objetivo de esta actividad es describir las funciones adicionales de seguridad
prestando especial atencin a las de tipo organizativo que deben ser incorporadas al
catlogo de requisitos del sistema. Igualmente deben determinarse los mecanismos de
seguridad que permiten la consecucin de tales funciones.
Tarea
ASIEstudio de las
SEG 2.1 Funciones y
Mecanismos de
Seguridad a
Implantar
Productos
Funciones y
Mecanismos de
Seguridad:
o Estudio de Riesgos
o Especificacin de
Funciones de
Seguridad
o Mecanismos de
Seguridad
Tcnicas y Prcticas
Catalogacin
Participantes
Responsable de
Seguridad
Equipo de
Seguridad
Tarea ASI-SEG 2.1: Estudio de las Funciones y

Mecanismos de Seguridad a Implantar
Se estudian los aspectos complementarios a los contemplados en MTRICA
Versin 3 en cuanto a funciones y mecanismos de seguridad a implantar.
La seleccin de las funciones de seguridad a implementar se hace en funcin de
la gestin de los riesgos escogida, de forma que los riesgos se minimicen, eliminen o
controlen. El Equipo de Seguridad ha de determinar el tipo de funciones de seguridad a
implantar (de prevencin, de deteccin o de correccin) y la naturaleza de las mismas
(tcnica, fsica, organizativa, etc.). Se presta especial atencin a los aspectos de
seguridad organizativa, ya que son tanto o ms importantes que los relativos a la
seguridad fsica y tcnica.
Para la determinacin de tales funciones pueden utilizarse las tcnicas que posea
al efecto la metodologa de anlisis y gestin de riesgos seleccionada, por ejemplo
MAGERIT. As mismo se establecen los mecanismos de seguridad que implementan
esas funciones.
Las funciones y mecanismos adicionales de seguridad definidos en esta actividad
se implementarn en el sistema a travs de MTRICA Versin 3, al igual que los dems
requisitos de seguridad.
Productos
De entrada
Seguridad de la Solucin Propuesta (EVS-SEG 5.1)

Catlogo de Requisitos (ASI 2.1)
De salida
Funciones y Mecanismos de Seguridad:

o Especificacin de Funciones de Seguridad
Seguridad
23
Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
Equipo de Seguridad
ACTIVIDAD ASI-SEG 3: DEFINICIN DE LOS

CRITERIOS DE ACEPTACIN DE LA SEGURIDAD
El Equipo de Seguridad debe determinar los criterios de aceptacin de la
seguridad para el sistema de informacin.
Tarea
ASIActualizacin del
SEG 3.1 Plan de Pruebas
Productos
Plan de Pruebas
o Criterios de
Seguridad
Tcnicas y Prcticas
Revisin
Sesiones de Trabajo
Participantes
Responsable de
Seguridad
Equipo de
Seguridad
Jefe de Proyecto
Tarea ASI-SEG 3.1: Actualizacin del Plan de Pruebas

Partiendo del plan de pruebas del Sistema de Informacin, se incluirn en las
pruebas los funciones y mecanismos adicionales de seguridad. El Equipo de Seguridad
debe comprobar la eficiencia del sistema de informacin para la eliminacin, control o
reduccin de las amenazas mediante los mecanismos de seguridad.
Productos
De entrada
Plan de Pruebas (ASI 10.3)

Funciones y Mecanismos de Seguridad (ASI-SEG 2.1)
De salida
Plan de Pruebas:
o Criterios de Seguridad
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Equipo de Seguridad del Proyecto
Jefe de Proyecto
24
Seguridad
ACTIVIDAD ASI-SEG 4: CATALOGACIN DE LOS

PROCESO DE ANLISIS DEL SISTEMA DE
INFORMACIN
Tarea
Productos
Tcnicas y Prcticas
Catalogacin de los
Revisin
Productos
en el Proceso Anlisis
Generados durante
del Sistema de
el Proceso de
Informacin:
Anlisis del Sistema
o Determinacin de
de Informacin
Generados
de los Productos
o Soporte de
Almacenamiento
ASIClasificacin y
Participantes
Responsable de
Seguridad
Jefe de Proyecto
Comit de
Seguimiento
Tarea ASI-SEG 4.1: Clasificacin y Catalogacin de los

Productos Generados Durante el Proceso de Anlisis
del Sistema de Informacin
estudian los productos generados durante el proceso de Anlisis del Sistema de
Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la
autenticacin, confidencialidad, integridad y disponibilidad.
En funcin del nivel de seguridad se establece la catalogacin y archivo de los
productos, teniendo en cuenta a este respecto las particularidades del soporte de
almacenamiento elegido y del sistema de gestin de configuracin vigente en la
organizacin.
Productos
De entrada
Productos generados durante el proceso Anlisis del Sistema de Informacin

De salida
Catalogacin de los Productos generados en el proceso Anlisis del Sistema de

Informacin:
Prcticas
Revisin
Catalogacin
Seguridad
25
Participantes
Jefe de Proyecto
26
Seguridad
DISEO DEL SISTEMA DE INFORMACIN

Durante este proceso cobran especial relevancia las actividades que tienden a
velar por la seguridad del sistema de informacin, disendose las funciones de
seguridad que controlarn, minimizarn o eliminarn los riesgos intrnsecos al sistema
de informacin. Es tambin importante para la seguridad la determinacin del entorno
tecnolgico, ya que sobre l se debern incorporar las funciones y mecanismos de
seguridad.
En el siguiente grfico se aprecia la relacin entre las actividades del proceso
Diseo del Sistema de Informacin (DSI) y las de la interfaz de Seguridad.
DSI-SEG 1
DSI-SEG 5
DSI 1
Definicin de la Arquitectura del
Sistema
DSI 2
Diseo de la
Arquitectura de
Soporte
DSI 3
Diseo de
Casos de Uso
Reales
DSI 4
Diseo de
Clases
DSI 5
Diseo de la
Arquitectura de
Mdulos del
Sistema
DSI 6
Diseo Fsico de
Datos
DSI 8
Generacin de
Especificaciones
de Construccin
DSI 7
Verificacin y
Aceptacin de la
Arquitectura del
Sistema
DSI 9
Diseo de
Migracin y
Carga Inicial de
Datos
DSI 10
Especificacin
Tcnica del Plan
de Pruebas
DSI 11
Establecimiento
De Requisitos de
Implantacin
DSI 12
Aprobacin del
Diseo Sistema
de Informacin
Actividad
comn
Actividad slo
Orientado a
Objetos
Actividad slo
Estructurado
DSI-SEG 2
DSI-SEG 3
DSI-SEG 4
Seguridad
27
ACTIVIDAD DSI-SEG 1: ESTUDIO DE LA

DISEO DEL SISTEMA DE INFORMACIN
Tarea
DSIEstudio de la
SEG 1.1 Seguridad
Requerida en el
Proceso de Diseo
del Sistema de
Informacin
Productos
Seguridad Requerida
en el Proceso Diseo
del Sistema de
Informacin:
o Seguridad para
Ejecucin de
Actividades
o Seguridad para
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Jefe de Proyecto
Tarea DSI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso de Diseo del Sistema de Informacin
El Responsable de Seguridad y el Equipo de Seguridad estudian, partiendo de las
particularidades del sistema de informacin, si es necesario supervisar la seguridad
(niveles de autenticacin, confidencialidad, integridad y disponibilidad de los productos
intermedios) de alguna de las actividades del proceso Diseo del Sistema de
Informacin previstas en la planificacin del proceso obtenida mediante la interfaz de
Gestin de Proyectos (GPI 2). Como fruto de dicho estudio, y teniendo en cuenta las
caractersticas del proceso, se establecer el control de la seguridad en las actividades
tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada

De salida
Seguridad Requerida en el Proceso Diseo del Sistema de Informacin:

Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Jefe de Proyecto
28
Seguridad
ACTIVIDAD DSI-SEG 2: ESPECIFICACIN DE

REQUISITOS DE SEGURIDAD DEL ENTORNO
TECNOLGICO
Es una realidad que el entorno tecnolgico acta de manera significativa en la
seguridad del sistema de informacin. En algunos casos aporta mayor seguridad al
sistema; en otros, por el contrario, provoca un dficit de seguridad que habr de ser
superado. Esta actividad estudia en qu modo y en qu medida el entorno tecnolgico
previsto influye en la seguridad.
Tarea
DSIAnlisis de los
SEG 2.1 Riesgos del Entorno
Tecnolgico
Productos
Tcnicas y Prcticas
Requisitos de
Seguridad del Entorno
Tecnolgico
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Tarea DSI-SEG 2.1: Anlisis de los Riesgos del Entorno

Tecnolgico
El Equipo de Seguridad estudia los riesgos que plantea la conjuncin del entorno
tecnolgico previsto y el sistema de informacin. Las tcnicas para la deteccin de
riesgos sirven de apoyo para la identificacin de los mismos en el entorno tecnolgico
del sistema.
Productos
De entrada
Diseo de la Arquitectura del Sistema (DSI 1.5)

Entorno Tecnolgico del Sistema (DSI 1.6)
De salida
Requisitos de Seguridad del Entorno Tecnolgico
Participantes
Equipo de Seguridad
Seguridad
29
ACTIVIDAD DSI-SEG 3: REQUISITOS DE

SEGURIDAD DEL ENTORNO DE CONSTRUCCIN
El Equipo de Seguridad establece los requisitos de seguridad que debe cumplir el
entorno de construccin del Sistema de Informacin (ubicacin, gestin de los datos,
comunicaciones, control de acceso, etc.).
Tarea
Productos
DSIIdentificacin de los
SEG 3.1 Requisitos de
Requisitos de
Seguridad del Entorno
de Construccin
Seguridad del
Entorno de
Construccin
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de
Seguridad
Tarea DSI-SEG 3.1: Identificacin de los Requisitos de

Seguridad del Entorno de Construccin
El Equipo de Seguridad estudia las condiciones que debe cumplir el entorno de
Construccin del Sistema de Informacin en materia de seguridad. Para ello se lleva a
cabo un anlisis de la seguridad del entorno de construccin, determinando los riesgos
intrnsecos y los mecanismos de salvaguarda.
Productos
De entrada
Especificaciones de Construccin del Sistema de Informacin (DSI 8.4)

Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1)
De salida
Requisitos de Seguridad del Entorno de Construccin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
30
Seguridad
ACTIVIDAD DSI-SEG 4: DISEO DE PRUEBAS DE

SEGURIDAD
A partir del plan de pruebas del sistema y teniendo en cuenta las funciones y
mecanismos de seguridad as como los requisitos de seguridad del entorno, el Equipo
de Seguridad ha de acometer el diseo de las pruebas de seguridad.
Tarea
Diseo de las
DSISEG 4.1 Pruebas de
Seguridad
Productos
Tcnicas y Prcticas
Diseo de Pruebas de Pruebas del Sistema

Seguridad del Sistema Pruebas de
y Aceptacin
Aceptacin
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Tarea DSI-SEG 4.1: Diseo de las Pruebas de Seguridad

El Equipo de Seguridad debe realizar el diseo especfico de las pruebas de
seguridad del sistema y establecer la manera en que se comprobar la seguridad del
mismo.
Productos
De entrada
Plan de Pruebas (ASI-SEG 4.1)

Procedimientos de Seguridad y Control de acceso (DSI 1.7)
Plan de Pruebas (DSI 10.1)
De salida
Diseo de Pruebas de Seguridad del Sistema y Aceptacin
Prcticas
Pruebas del Sistema

Pruebas de Aceptacin
Participantes
Equipo de Seguridad
Seguridad
31
ACTIVIDAD DSI-SEG 5: CATALOGACIN DE LOS

PROCESO DE DISEO DEL SISTEMA DE
INFORMACIN
Tarea
DSIClasificacin y
Productos
Generados durante
el Proceso de
Diseo del Sistema
de Informacin
Productos
Tcnicas y Prcticas
Clasificacin y
Revisin
Catalogacin de los
Catalogacin
Productos Generados
en el Proceso Diseo
del Sistema de
Informacin:
o Determinacin de
o Listado de productos
generados
de los Productos
o Soporte de
Almacenamiento
Participantes
Responsable de
Seguridad
Jefe de Proyecto
Comit de
Seguimiento
Tarea DSI-SEG 5.1: Clasificacin y Catalogacin de los

Productos Generados durante el Proceso de Diseo del
Sistema de Informacin
estudian los productos generados durante el proceso de Diseo del Sistema de
autenticacin, confidencialidad, integridad y disponibilidad (ACID). En funcin del nivel
de seguridad se establece la catalogacin y archivo de los productos, teniendo en
cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del
sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada
Productos generados durante el proceso Diseo del Sistema de Informacin

De salida
Catalogacin de los Productos Generados en el Proceso Diseo del Sistema de

Informacin:
Prcticas
Revisin
Catalogacin
32
Seguridad
Participantes
Jefe de Proyecto
Seguridad
33
CONSTRUCCIN DEL SISTEMA DE

INFORMACIN
Dada la gran cantidad de productos generados en este proceso y segn las
caractersticas del proyecto, el entorno de construccin debe ser sometido a controles
de seguridad que eviten filtraciones indeseables de datos relativos al sistema de
informacin. Adems se verifica el resultado de las pruebas de las funciones y
mecanismos adicionales de seguridad.
Se completa la Definicin de la Formacin a Usuarios Finales (CSI 7) con un plan
de formacin especfico en seguridad dirigido a los distintos usuarios del sistema y en el
que se contemplan diferentes niveles y perfiles.
Construccin del Sistema de Informacin (CSI) y las de la interfaz de Seguridad.
CSI -SEG 1
CSI -SEG 4
CSI 2
Generacin del
Cdigo de los
componentes y
Procedimientos
CSI 1
Preparacin del
Entorno de
Generacin y
Construccin
CSI 3
Ejecucin de las
Pruebas Unitarias
CSI 5
Ejecucin de las
Pruebas del
Sistema
CSI 9
Aprobacin del
Sistema de
Informacin
CSI 4
Ejecucin de las
Pruebas de
Integracin
CSI 6
Elaboracin de los Manuales de
Usuario
CSI 7
Definicin de la Formacin de
Usuarios Finales
CSI 8
Construccin Componentes y
Procedimientos de Migracin y
Carga Inicial de Datos
CSI-SEG 2
CSI-SEG 3
34
Seguridad
ACTIVIDAD CSI-SEG 1: ESTUDIO DE LA

CONSTRUCCIN DEL SISTEMA DE
INFORMACIN
Tarea
CSIEstudio de la
SEG 1.1 Seguridad
Requerida en el
Proceso de
Construccin del
Sistema de
Informacin
Productos
Seguridad Requerida
en el Proceso
Construccin del
Sistema de
Informacin:
o Seguridad para la
Ejecucin de
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Jefe de Proyecto
Tarea CSI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso de Construccin del Sistema de
Informacin
El Equipo de Seguridad analiza si es necesario supervisar la seguridad (niveles de
autenticacin, confidencialidad, integridad y disponibilidad de los productos intermedios)
de alguna de las actividades pertenecientes al proceso de Construccin del Sistema de
Informacin previstas en la planificacin del proceso obtenida mediante la interfaz de
Gestin de Proyectos (GPI 2). Para ello parte de las particularidades del sistema de
informacin. Como producto de este estudio, el Equipo de Seguridad elabora un informe
con las principales caractersticas del proceso y el control de la seguridad de sus
actividades, tanto a nivel de ejecucin como de los productos intermedios.
Productos
De entrada

De salida
Seguridad Requerida en el Proceso Construccin del Sistema de Informacin:

Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Seguridad
35
Jefe de Proyecto
ACTIVIDAD CSI-SEG 2: EVALUACIN DE LOS

RESULTADOS DE PRUEBAS DE SEGURIDAD
Tarea
CSIEstudio de los
SEG 2.1 Resultados de
Pruebas de
Seguridad
Productos
Resultados de las
Pruebas de Seguridad
de Integracin y de
Sistema
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de
Seguridad
Tarea CSI-SEG 2.1: Estudio de los Resultados de

El Equipo de Seguridad estudia los resultados obtenidos en las pruebas de
seguridad unitarias, de integracin y del Sistema de Informacin, y comprueba que no
ha habido problemas debidos a las funciones y mecanismos adicionales de seguridad
incorporados al sistema.
Productos
De entrada
Diseo de Pruebas de Seguridad de Sistema y Aceptacin (DSI-SEG 4.1)

Resultado de las Pruebas Unitarias (CSI 3.2)
Resultado de las Pruebas de Integracin (CSI 4.2)
Resultado de las Pruebas del Sistema (CSI 5.2)
De salida
Resultados de las Pruebas de Seguridad de Integracin y de Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad
ACTIVIDAD CSI-SEG 3: ELABORACIN DEL PLAN

DE FORMACIN DE SEGURIDAD
Para garantizar que los usuarios son conscientes de las amenazas y riesgos en el
mbito de la seguridad del Sistema de Informacin, se desarrolla un plan de formacin.
Con ello se intenta reducir el riesgo que provoca respecto a la seguridad el factor
36
Seguridad
humano, por accin o negligencia, ya que por muchas medidas que existan, si las
personas no las aplican todo es intil.
Tarea
CSIElaboracin del Plan
SEG 3.1 de Formacin de
Productos
Plan de Formacin de
Seguridad
Tcnicas y Prcticas
Sesiones de Trabajo
Planificacin
Seguridad
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Tarea CSI-SEG 3.1: Elaboracin del Plan de Formacin

de Seguridad
En esta tarea se definen las pautas que deben seguir los grupos de usuarios en
materia de seguridad. Para ello el Equipo de Seguridad define planes de formacin
especficos, contemplando distintos niveles y perfiles, para los grupos de usuarios
finales y usuarios de operacin del sistema de informacin. El Responsable de
Seguridad establece, tambin de forma particular, la manera en que debe acometerse la
formacin de los grupos de usuarios.
Productos
De entrada
Funciones y Mecanismos de Seguridad (DSI-SEG 3.1)

Recomendaciones de Seguridad (EVS-SEG 3.1)
Especificacin de la Formacin a Usuarios Finales (CSI 7.1)
De salida
Plan de Formacin de Seguridad
Tcnicas
Planificacin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Seguridad
37
ACTIVIDAD CSI-SEG 4: CATALOGACIN DE LOS

PROCESO DE CONSTRUCCIN DEL SISTEMA DE
INFORMACIN
Tarea
CSIClasificacin y
Productos
Generados durante
el Proceso de
Construccin del
Sistema de
Informacin
Productos
Tcnicas y Prcticas
Catalogacin de los
Revisin
en el Proceso
Construccin del
Sistema de
Informacin:
o Determinacin de
Generados
de los Productos
o Soporte de
Almacenamiento
Participantes
Responsable de
Seguridad
Jefe de Proyecto
Comit de
Seguimiento
Tarea CSI-SEG 4.1: Clasificacin y Catalogacin de los

Construccin del Sistema de Informacin
estudian los productos generados durante el proceso de Construccin del Sistema de
Productos
De entrada
Productos generados durante el proceso Construccin del Sistema de Informacin

De salida
Catalogacin de los Productos Generados en el Proceso Construccin del Sistema

de Informacin:
Prcticas
Revisin
Catalogacin
38
Seguridad
Participantes
Jefe de Proyecto
Seguridad
39
IMPLANTACIN Y ACEPTACIN DEL

SISTEMA
En este proceso se define de forma detallada la seguridad para la implantacin del
sistema una vez construido, especificando tanto las actividades relacionadas con la
seguridad intrnseca del propio sistema, como las que velan por la seguridad del
proceso. El equipo de seguridad tiene como objetivo reforzar los procedimientos de
seguridad y control de accesos previstos en MTRICA Versin 3 en el proceso de
Implantacin y Aceptacin del Sistema (IAS 3).
Tiene especial importancia el asegurar que se cubren los requisitos de seguridad,
a travs de las pruebas de implantacin, comprobando las funciones y mecanismos
adicionales. Dichos requisitos se debern tener en cuenta al establecer el acuerdo de
nivel de servicio para el sistema antes de su puesta en produccin.
Implantacin y Aceptacin del Sistema (IAS) y las de la interfaz de seguridad.
IAS-SEG 4
IAS-SEG 1
IAS 1
Establecimiento
del Plan de
Implantacin
IAS 2
Formacin
necesaria para
la Implantacin
IAS 3
Incorporacin
del Sistema a
Entorno de
Operacin
IAS 5
Pruebas de
Implantacin del
Sistema
IAS 6
Pruebas de
Aceptacin del
Sistema
IAS 9
Presentacin y
Aprobacin del
Sistema
IAS 10
Paso a
Produccin
IAS 4
Carga de datos
al Entorno de
Operacin
IAS 7
Preparacin del Mantenimiento
IAS 8
Establecimiento del Acuerdo de Nivel de Servicio
IAS-SEG 2
IAS-SEG 3
IAS-SEG 5
40
Seguridad
ACTIVIDAD IAS-SEG 1: ESTUDIO DE LA

IMPLANTACIN Y ACEPTACIN DEL SISTEMA
Tarea
IASEstudio de la
SEG 1.1 Seguridad
Requerida en el
Proceso de
Implantacin y
Aceptacin del
Sistema
Productos
Seguridad Requerida
en el Proceso
Implantacin y
Aceptacin del
Sistema de
Informacin:
o Seguridad para la
Ejecucin de
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Jefe de Proyecto
Tarea IAS-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso de Implantacin y Aceptacin del Sistema
El Equipo de Seguridad analiza la necesidad de supervisar la seguridad (niveles
de autenticacin, confidencialidad, integridad y disponibilidad de los productos
intermedios) de alguna de las actividades pertenecientes al proceso de Implantacin y
Aceptacin del Sistema. Para ello parte de las particularidades del sistema. Como fruto
de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el
control de la seguridad en las actividades tanto a nivel de ejecucin como de los
productos obtenidos.
Productos
De entrada
Plan de Implantacin (IAS 1.1)
De salida
Seguridad Requerida en el Proceso Implantacin y Aceptacin del Sistema de

Informacin:
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Jefe de Proyecto
Seguridad
41
ACTIVIDAD IAS-SEG 2: REVISIN DE MEDIDAS

DE SEGURIDAD DEL ENTORNO DE OPERACIN
Tarea
IASRevisin de
SEG 2.1 Medidas de
Seguridad del
Entorno de
Operacin
Productos
Medidas de Seguridad
del Entorno de
Operacin
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Tarea IAS-SEG 2.1: Revisin de Medidas de Seguridad

del Entorno de Operacin
En la preparacin de la instalacin (IAS 3.1) se comprueba la disponibilidad de la
infraestructura necesaria para configurar el entorno. El objetivo de esta tarea es que el
Equipo de Seguridad refuerce las acciones que relativas a procedimientos de seguridad
y control de accesos se realizan en IAS 3.1, verificando, basndose en las
particularidades del sistema, que se cubren las medidas de seguridad necesarias que
hacen referencia al entorno de operacin sobre el que se implantar el sistema y a la
carga inicial de datos.
Productos
De entrada

De salida
Medidas de Seguridad del Entorno de Operacin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
42
Seguridad
ACTIVIDAD IAS-SEG 3: EVALUACIN DE

RESULTADOS DE PRUEBAS DE SEGURIDAD DE
IMPLANTACIN DEL SISTEMA
Tarea
IASEstudio de los
SEG 3.1 Resultados de
Pruebas de
Seguridad de
Implantacin del
Sistema
Productos
Resultados de las
de Implantacin del
Sistema
Tcnicas y Prcticas
Pruebas de
Implantacin
Participantes
Equipo de
Seguridad
Tarea IAS-SEG 3.1: Estudio de los Resultados de

Pruebas de Seguridad de Implantacin del Sistema
El Equipo de Seguridad estudia los resultados obtenidos en las pruebas de
seguridad del sistema, una vez implantado en el entorno de operacin, y comprueba
que las funciones y mecanismos adicionales incorporados no han originado problemas.
Productos
De entrada
Resultado de las Pruebas de Implantacin (IAS 5.2)

Diseo de Pruebas de Seguridad del Sistema y Aceptacin (DSI-SEG 4.1)
De salida
Resultados de las Pruebas de Seguridad de Implantacin del Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad
Seguridad
43
ACTIVIDAD IAS-SEG 4: CATALOGACIN DE LOS

PROCESO DE IMPLANTACIN Y ACEPTACIN
DEL SISTEMA
Tarea
IASClasificacin y
Productos
Generados durante
el Proceso
Implantacin y
Aceptacin del
Sistema
Productos
Tcnicas y Prcticas
Catalogacin de los
Revisin
en el Proceso
Implantacin y
Aceptacin del
Sistema:
o Determinacin de
Generados
de los Productos
o Soporte de
Almacenamiento
Participantes
Responsable de
Seguridad
Jefe de Proyecto
Comit de
Seguimiento
Tarea IAS-SEG 4.1: Clasificacin y Catalogacin de los

Productos Generados durante el Proceso Implantacin y
Aceptacin del Sistema
estudian los productos generados durante el proceso de Implantacin y Aceptacin del
Sistema y determinan el nivel de seguridad de cada uno de ellos con respecto a la
Productos
De entrada
Productos generados durante el proceso Implantacin y Aceptacin del Sistema

De salida
Catalogacin de los Productos Generados en el Proceso Implantacin y Aceptacin

del Sistema:
Prcticas
Revisin
Catalogacin
44
Seguridad
Participantes
Jefe de Proyecto
ACTIVIDAD IAS-SEG 5: REVISIN DE MEDIDAS

DE SEGURIDAD EN EL ENTORNO DE
PRODUCCIN
Tarea
IASRevisin de
SEG 5.1 Medidas de
Seguridad en el
Entorno de
Produccin
Productos
Tcnicas y Prcticas
Revisin de Medidas
Sesiones de Trabajo
de Seguridad del
Entorno de Produccin
Participantes
Equipo de
Seguridad
Responsable de
Seguridad
Tarea IAS-SEG 5.1: Revisin de Medidas de Seguridad

en el Entorno de Produccin
Si el entorno donde se han realizado las pruebas de implantacin del sistema no
coincide con el entorno de produccin, el Equipo de Seguridad debe asegurar de nuevo
que se cubren las medidas de seguridad esenciales que hacen referencia al entorno de
operacin sobre el que se va a implantar el sistema de forma definitiva y a la carga de
datos necesaria para su correcto funcionamiento.
Deber tenerse en cuenta el control y registro de incidentes, tanto provocados
como por fallos propios, as como la respuesta dada a los mismos, que a veces puede
suponer volver a etapas previas para resolver el problema.
Productos
De entrada
Requisitos de Seguridad del Entorno Tecnolgico Previsto (DSI-SEG 2.1)

De salida
Revisin de Medidas de Seguridad del Entorno de Produccin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Seguridad
45
MANTENIMIENTO DE SISTEMAS DE
INFORMACIN
El hecho de contemplar cuestiones de seguridad en el proceso de Mantenimiento
de Sistemas de Informacin es til en la toma de decisiones ante una posible peticin
de una nueva funcionalidad o la modificacin de una existente, ya que la seguridad
debe ser un parmetro ms a contemplar en el anlisis y evaluacin de soluciones.
En la siguiente figura aparecen las actividades de la interfaz de seguridad a lo
largo del proceso Mantenimiento de Sistemas de Informacin (MSI).
MSI-SEG 3
MSI-SEG 1
MSI 1
Registro de
la Peticin
MSI 2
Anlisis de
la Peticin
MSI 3
Preparacin de la
Implementacin
de la Modificacin
MSI 4
Seguimiento y
Evaluacin de los
Cambios hasta la
Aceptacin
MSI-SEG 2
46
Seguridad
ACTIVIDAD MSI-SEG 1: ESTUDIO DE LA

MANTENIMIENTO DE SISTEMAS DE
INFORMACIN
Tarea
MSIEstudio de la
SEG 1.1 Seguridad
Requerida en el
Proceso
Mantenimiento de
Sistemas de
Informacin
Productos
Seguridad Requerida
en el Proceso
Mantenimiento de
Sistemas de Sistemas
de Informacin:
o Seguridad para la
Ejecucin de
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios .
Tcnicas y Prcticas
Sesiones de Trabajo
Participantes
Responsable de
Seguridad
Equipo de
Seguridad
Responsable de
Mantenimiento
Tarea MSI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso Mantenimiento de Sistemas de
Informacin
El Responsable de Seguridad, junto con el Equipo de Seguridad, debe estudiar si
es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad,
integridad y disponibilidad) de los productos generados en las actividades del proceso
Mantenimiento de Sistemas de Informacin. Como fruto de dicho estudio, y teniendo en
cuenta las caractersticas del proceso, se establecer el control de la seguridad en las
actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada
Plan de Mantenimiento (IAS 7.2)

De salida
Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Informacin:

Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Seguridad
47
Responsable de Mantenimiento
ACTIVIDAD MSI-SEG 2: ESPECIFICACIN E

IDENTIFICACIN DE LAS FUNCIONES Y
MECANISMOS DE SEGURIDAD
Se estudia si la peticin est relacionada con la seguridad del sistema, en cuyo
caso se especifican las funciones de seguridad que deben ser incorporadas en el
Mantenimiento del sistema, indicando los mecanismos de seguridad que permiten la
consecucin de tales funciones.
Tarea
Productos
Tcnicas y Prcticas
MSIEstudio de la
SEG 2.1 Peticin
Recomendaciones de
Seguridad
Catalogacin
MSIAnlisis de las
SEG 2.2 Funciones y
Funciones y
Mecanismos de
Seguridad:
o Especificacin de
Funciones de
Seguridad
o Mecanismos de
Seguridad
Catalogacin
Mecanismos de
Seguridad
Afectados o Nuevos
Participantes
Responsable de
Seguridad
Equipo de
Seguridad
Responsable de
Seguridad
Equipo de
Seguridad
Tarea MSI-SEG 2.1: Estudio de la Peticin

Ante una solicitud de cambio, habr que estudiar si el motivo de la peticin es,
directa o indirectamente, un fallo interno en materia de seguridad o un ataque externo y
adoptar en su caso las medidas oportunas para paliarlo.
Las peticiones de cambio originadas por problemas de seguridad deben tenerse
en cuenta en proyectos futuros, que desde un principio se beneficiarn de las
experiencias anteriores habidas en la organizacin.
Productos
De entrada
Propuesta de Solucin (MSI 2.2)

Catlogo de Peticiones (MSI 2.2)
De salida
Recomendaciones de Seguridad
Prcticas
Catalogacin
48
Seguridad
Participantes
Equipo de Seguridad
Tarea MSI-SEG 2.2: Anlisis de las Funciones y

Mecanismos de Seguridad Afectados o Nuevos
Se tendr en cuenta la seleccin de las funciones de seguridad realizada en el
proceso de Anlisis del Sistema, a partir del cual se ver si es necesario la implantacin
de alguna funcin adicional o, en su caso, la modificacin de alguna existente. Las
posibles nuevas funciones a implementar se hace en funcin de la gestin de los
riesgos escogida, de forma que los riesgos se minimicen, eliminen o controlen. El
Equipo de Seguridad ha de determinar el tipo de funciones de seguridad a implantar (de
prevencin, de deteccin o de correccin) y la naturaleza de las mismas (tcnica, fsica,
organizativa, etc.). Para la determinacin de tales funciones podrn utilizarse las
tcnicas propuestas en la metodologa de anlisis y gestin de riesgos que se emplee.
Se establecen los mecanismos de seguridad que implementan esas funciones.
Productos
De entrada
Recomendaciones de Seguridad (MSI-SEG 2.1)

Propuesta de Solucin (MSI 2.2)
Catlogo de Peticiones (MSI 2.2)
De salida
Funciones y Mecanismos de Seguridad:

o Especificacin de Funciones de Seguridad
o Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
Equipo de Seguridad
Seguridad
49
ACTIVIDAD MSI-SEG 3: CATALOGACIN DE LOS

PROCESO DE MANTENIMIENTO DE SISTEMAS
DE INFORMACIN
Tarea
MSIClasificacin y
Productos
Generados durante
el Proceso de
Mantenimiento de
Sistemas de
Informacin
Productos
Tcnicas y Prcticas
Catalogacin de los
Revisin
en el Proceso
Mantenimiento de
Sistemas de
Informacin:
o Determinacin de
Generados
de los Productos
o Soporte de
Almacenamiento
Participantes
Responsable de
Seguridad
Jefe de Proyecto
Tarea MSI-SEG 3.1: Clasificacin y Catalogacin de los

Mantenimiento de Sistemas de Informacin
El Responsable de Seguridad y el Jefe de Proyecto estudian los productos
generados durante el proceso de Mantenimiento del Sistema de Informacin y
determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin,
confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se
establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto
las particularidades del soporte de almacenamiento elegido y del sistema de gestin de
configuracin vigente en la organizacin.
Productos
De entrada
Productos generados durante el proceso Mantenimiento de Sistemas de Informacin

De salida
Catalogacin de los Productos Generados en el Proceso Mantenimiento de

Sistemas de Informacin:
Prcticas
Revisin
Catalogacin
50
Seguridad
Participantes
Jefe de Proyecto

Interfaz de Seguridad de Sistemas de Informacion

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Interfaz de Seguridad de Sistemas de Informacion

Cargado por

Copyright:

Formatos disponibles

Seguridad

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

ACTIVIDAD IAS-SEG 3: EVALUACIN DE RESULTADOS DE PRUEBAS DE SEGURIDAD

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

Actividades relacionadas con la seguridad intrnseca del sistema de informacin

Si en la organizacin ya existe un plan de seguridad o una metodologa de anlisis

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA

La poltica de seguridad de la organizacin, si existe.

La determinacin global de objetivos de seguridad.

La organizacin necesaria para la seguridad.

Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida

Descripcin General del PSI (PSI 1.3)

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin:

Tarea PSI-SEG 1.2: Organizacin y Planificacin

Poltica de Seguridad de la Organizacin (externo)

Plan de Seguridad de los Sistemas de Informacin:

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ACTIVIDAD PSI-SEG 2: EVALUACIN DEL

Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de

Determinacin de los principales recursos (entornos, redes, comunicaciones, etc) de

Para la realizacin de esta tarea se puede tomar como referencia MAGERIT,

Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2)

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

Seguridad de las Alternativas de Arquitectura Tecnolgica:

Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo

Arquitectura Tecnolgica (PSI 7.2)

Seguridad de las Alternativas de Arquitectura Tecnolgica:

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA

Seguridad para el Plan Revisin

Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el

Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2)

Seguridad para el Plan de Accin

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS

Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los

Productos generados durante el proceso Planificacin de Sistemas de Informacin

Catalogacin de los Productos Generados en el Proceso Planificacin de Sistemas

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3

ESTUDIO DE VIABILIDAD DEL SISTEMA

Metodologa MTRICA Versin 3

Ministerio de Administraciones Pblicas

ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA

Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida

Catlogo de objetivos del EVS (EVS 1.1)

Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema:

Ministerio de Administraciones Pblicas

Metodologa MTRICA Versin 3