Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Alvarez Alvarez, Gustavo Alexander
1. INTRODUCCION:
El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of
Standards) es una agencia de la Administración de Tecnología del Departamento de Comercio de
los Estados Unidos. La misión de este instituto es promover la innovación y la competencia
industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que
mejoren la estabilidad económica y la calidad de vida.
Como parte de esta misión, los científicos e ingenieros del NIST continuamente refinan la ciencia
de la medición (metrología) creando una ingeniería precisa y una manufacturación requerida para
la mayoría de los avances tecnológicos actuales. También están directamente involucrados en el
desarrollo y pruebas de normas hechos por el sector privado y agencias de gobierno. El NIST fue
originalmente llamado Oficina Nacional de Normas (NBS por sus siglas en inglés), un nombre que
tuvo desde 1901 hasta 1988. El progreso e innovación tecnológica de Estados Unidos dependen de
las habilidades del NIST, especialmente si hablamos de cuatro áreas: biotecnología,
nanotecnología, tecnologías de la información y fabricación avanzada.
La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de la
Información. Estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos
y organizaciones académicas para todos los interesados en la seguridad.
Este documento será dedicado al análisis del Documento 800 – 53.
SP 800-53 Rev. 2 (Noviembre, 2007) DRAFT Recommended Security Controls for Federal
Information Systems.
SP 800-53 Rev.1 (Diciembre, 2006) Recommended Security Controls for Federal Information
Systems.
SP 800-53 Rev.3 (Agosto, 2009) Recommended Security Controls for Federal Information
Systems and Organizations.
2. FUNDAMENTOS
Los controles de seguridad descritos en 800-53 tienen una organización bien definida y
estructurada. Para facilidad de selección del Control de Seguridad y las especificaciones de sus
procesos se organizan en 17 familias.
1
Id Familia Clase
AC Access Control (Control de Acceso) Técnico
AT Awareness and Training (Sensibilización y Formación) Operativo
AU Audit and Accountability (Auditoria y Rendición de Costos) Técnico
CA Security Assessment and Authorization (Evaluación de la Seguridad Gestión
y Autorización)
CM Configuration Management (Gestión de Configuración) Operativo
CP Contingency Planning (Plan de Contingencia) Operativo
IA Identification and Authentication (Identificación y Autentificación) Técnico
IR Incident Response (Respuesta a Incidentes) Operativo
MA Maintenance (Mantenimiento) Operativo
MP Media Protection (Medios de Protección) Operativo
PE Physical and Environmental Protection (Protección Física y del Operativo
Medio Ambiente)
PL Planning (Planeación) Gestión
PS Personnel Security(Seguridad del Personal) Operación
RA Risk Assessment (Evaluación de Riesgos) Gestión
SA System and Services Acquisition (Sistemas y Servicios de Gestión
Adquisición)
SC System and Communications Protection (Sistemas De Protección y Técnico
Comunicación)
SI System and Information Integrity (Integridad del Sistema y la Operación
Información)
PM Program Management (Programa de Gestión) Gestión
Tabla 1.1 Clases, familias e Identificadores de Control de Seguridad
Las organizaciones tienen la obligación de mitigar adecuadamente los riesgos derivados del
uso de la información y sistemas de información en la ejecución de las misiones y funciones
de negocios.
2.3.Controles Comunes
Los controles más comunes son los controles de seguridad que se pueden heredar de uno o
más sistemas de información de la organización. La organización asigna la responsabilidad de
los controles comunes a los funcionarios apropiados de organización y coordina el desarrollo,
implementación, evaluación, autorización y supervisión de los controles. La identificación de
los mandos común es más eficaz a cabo como una actividad de toda la organización con la
participación activa del responsable de información de alto oficial de seguridad de la
información, el ejecutivo de riesgo (función), se autoriza a los funcionarios, los propietarios
de sistema de información, los propietarios de la información / administradores, y la
información oficiales de seguridad del sistema. La actividad de toda la organización
considera que las categorías de seguridad y niveles de impacto asociados de los sistemas de
información dentro de la organización, de conformidad con FIPS 199 y FIPS 200, así como
los controles de seguridad necesarias para mitigar adecuadamente los riesgos derivados de la
utilización de esos sistemas.
Por ejemplo, los controles comunes pueden ser identificados para todos los sistemas de
información de bajo impacto, teniendo en cuenta los controles de seguridad asociados de
referencia en el Apéndice D. ejercicios similares pueden llevarse a cabo por impacto
moderado y alto impacto de los sistemas de información también. Cuando los controles
comunes de protección de múltiples sistemas de información de la organización de los
diferentes niveles de impacto, los controles se aplican en relación con el nivel más alto
impacto entre los sistemas.
Muchos de los controles de seguridad necesarios para proteger los sistemas de información
de la organización (por ejemplo, los controles de la planificación de contingencia, los
controles de respuesta a incidentes, la formación de seguridad y control de sensibilización, el
personal de los controles de seguridad, los controles de protección física y ambiental, y los
controles de detección de intrusos) son excelentes candidatos para el régimen de control
común.
3
oficial de la organización o los funcionarios responsables de la elaboración, ejecución,
evaluación, autorización y supervisión de los controles respectivos común. Por ejemplo, la
organización podrá exigir que la Oficina de Gestión de Instalaciones desarrollar,
implementar, evaluar, autorizar y supervisar continuamente los controles de protección física
y ambiental de la familia del PE cuando dichos controles no se asocian con un determinado
sistema de información, sino que, el apoyo a múltiples sistemas.
Cuando los controles comunes se incluyen en un plan de seguridad adicional para un sistema
de información (por ejemplo, controles de seguridad de empleados como parte de un sistema
de detección de intrusos proporcionar protección frontera heredada por uno o más sistemas de
información de la organización), la información del plan de seguridad del programa indica
que el plan de seguridad independiente contiene una descripción de los controles comunes.
Controles híbridos también pueden servir como plantillas para el refinamiento de control.
Una organización puede elegir, por ejemplo, para aplicar el control de seguridad de
Planificación de Contingencias (CP-2) como una plantilla para un plan de contingencia
generalizada para todos los sistemas de información de la organización con los propietarios
individuales del sistema de información adaptar el plan, en su caso, para el sistema de usos
específicos.
Las organizaciones son cada vez más dependiente de los servicios del sistema la información
proporcionada por los proveedores externos para llevar a cabo importantes misiones y
funciones de negocios. Sistema de servicios externos de información son los servicios se
ejecutan fuera de los límites de la autorización establecido por la organización de sus
sistemas de información. Estos servicios externos pueden ser utilizados por, pero no son parte
de, los sistemas de información de la organización. En algunos casos, los servicios externos
del sistema de información puede reemplazar por completo la funcionalidad de los sistemas
de información interna. Las organizaciones son responsables y rendir cuentas de los riesgos
incurridos por el uso de los servicios prestados por proveedores externos y la dirección de
este riesgo mediante la aplicación de controles de compensación, cuando el riesgo es mayor
que el funcionario que autoriza o la organización está dispuesta a aceptar.
4
Las relaciones con los proveedores externos de servicios estén establecidos en una variedad
de maneras, por ejemplo, a través de empresas mixtas, asociaciones comerciales, acuerdos de
contratación externa (es decir, a través de contratos, acuerdos interinstitucionales, las líneas
de acuerdos comerciales), acuerdos de licencia y / o intercambios de cadena de suministro. La
creciente dependencia de proveedores externos de servicios y que se están forjando nuevas
relaciones con los proveedores presentan desafíos nuevos y difíciles para la organización,
especialmente en el ámbito de la seguridad de la información del sistema. Estos retos
incluyen:
Las organizaciones pueden exigir a los proveedores externos para implementar todas las
medidas en el marco de gestión de riesgos descrito en el capítulo tres, con la excepción del
paso de la autorización de seguridad, que sigue siendo una responsabilidad federal inherente
que está directamente vinculada a la gestión de los riesgos relacionados con el uso del
sistema de información externa servicios.
Acciones tomadas por los evaluadores de control de seguridad para determinar el grado
en que los controles se aplican correctamente, funcionan según lo previsto, y producir el
resultado deseado con respecto al cumplimiento de los requisitos de seguridad para el
sistema.
2.6.Revisiones y Extensiones
5
El conjunto de controles de seguridad que figuran en esta publicación representa el estado
actual-de-la-práctica, las salvaguardias y medidas para los sistemas de información federal y
las organizaciones. Los controles de seguridad serán cuidadosamente examinadas y revisadas
periódicamente para reflejar:
Los controles de seguridad en el catálogo de control de seguridad se espera que cambien con
el tiempo, como los controles se retiren, revisada, y añadió. Los controles de seguridad
definidos en las líneas de base baja, moderada y alta también se espera que cambie con el
tiempo a medida que el nivel de seguridad y la debida diligencia para mitigar los riesgos
dentro de los cambios organizaciones. Además de la necesidad de cambio, la necesidad de
estabilidad se abordarán, exigiendo que las adiciones propuestas, supresiones o
modificaciones en el catálogo de los controles de seguridad pasan por un riguroso proceso de
examen público para obtener comentarios públicos y privados del sector y crear consenso
para los cambios. Un conjunto estable y flexible y técnicamente rigurosa de los controles de
seguridad se mantendrá en el catálogo de control de seguridad.
3. EL PROCESO
3.1.Gestión de Riesgo
6
específicas, análisis de costo-beneficio, o circunstancias especiales, y especificar los
requisitos de seguridad.
Aplicación de los controles de seguridad y describir cómo los controles están empleados
en el sistema de información y de su entorno de operación.
Evaluar los controles de seguridad utilizando los procedimientos de evaluación
adecuados para determinar la medida en que los controles se aplican
correctamente, funcionan según lo previsto, y producir el resultado deseado con
respecto al cumplimiento de los requisitos de seguridad para el sistema.
Autorizar el funcionamiento del sistema de información basado en una determinación del
riesgo para las operaciones de la organización y los bienes, personas, otras
organizaciones, y la Nación como resultado de la operación del sistema de información y
la decisión de que este riesgo es aceptable.
Supervisar los controles de seguridad en el sistema de información en forma permanente
incluyendo la evaluación de la eficacia del control, la documentación de cambios en el
sistema o de su entorno de operación, realizar análisis de impacto en la seguridad de los
cambios asociados, e informar el estado de seguridad del sistema de organización a los
funcionarios designados.
ESTRATEGIA DE
GESTION DE RIESGO
Descripción de Arquitectura Entradas de la Organización
Misión / Procesos de Negocio Punto de Inicio Leyes, Normas,
Modelos de referencia FEA Política de Orientación
Segmento de soluciones y Metas y objetivos estratégicos
arquitecturas Requisitos de Seguridad de la
Sistema de Información de Paso 1 Información
Fronteras •CATEGORIZAR Las Prioridades y la
• Sistemas de Información
disponibilidad de Recursos
Repetir si es necesario
Paso 6 Paso 2
•MONITORIZAR •SELECCIONAR
• Controles de Seguridad •Controles de Seguridad
FRAMEWORK DE
GESTIÓN DE
RIESGO
Paso 5
Ciclo de Vida Seguro Paso 3
•AUTORIZAR
• Sistemas de Información •IMPLEMENTAR
•Controles de Seguridad
Paso 4
•EVALUAR
•Controles de Seguridad
7
Figura 3.1 Framework para la Gestión de Riesgo
FIPS 199, la norma obligatoria de clasificación de seguridad, se basa en una simple y bien
establecido concepto-para determinar las prioridades de seguridad adecuadas para los
sistemas de información de la organización y, posteriormente, aplicar las medidas adecuadas
para proteger adecuadamente los sistemas. Los controles de seguridad aplicados a un
determinado sistema de información se corresponden con los posibles efectos adversos sobre
las operaciones de la organización, los activos de la organización, los individuos, otras
organizaciones, y la Nación debería haber una pérdida de confidencialidad, integridad o
disponibilidad. FIPS 199 exige que las organizaciones de clasificar sus sistemas de
información como de bajo impacto, moderado de impacto o de alto impacto para los
objetivos de seguridad de la confidencialidad, integridad y disponibilidad (RMF Paso 1). El
impacto potencial de los valores asignados a los objetivos de seguridad correspondientes, son
los valores más altos (es decir, alta marca de agua) de entre las categorías de seguridad que se
hayan determinado para cada tipo de información procesada, almacenada o transmitida por
los sistemas de información.
( , ), ( , ),
=
ó
( , )
Donde los valores aceptables para el impacto potencial son bajo, moderado o alto.
Una vez que se determina el nivel de impacto del sistema de información, la organización
inicia el proceso de control de seguridad de selección (RMF Paso 2). Hay tres pasos en el
proceso de selección de control llevadas a cabo de forma consecutiva:
Las secciones siguientes describen cada uno de estos pasos en mayor detalle.
Amplitud de la Orientación
9
información orientativa ayuda a asegurar que las organizaciones de aplicar únicamente los
controles que son esenciales para proporcionar el nivel adecuado de protección para el
sistema de información basado en misión o requisitos específicos de las empresas y entornos
particulares de operación. Hay varias consideraciones de alcance se describe a continuación,
que pueden afectar a cómo los controles de seguridad de base se han aplicado y ejecutado por
las organizaciones:
(i) es coherente con la categoría de seguridad FIPS 199 para el objetivo de seguridad
soportadas (s) antes de pasar al nivel de 200 FIPS de impacto (es decir, de alta marca
de agua)
(ii) el apoyo de una evaluación organizacional de riesgo;
(iii) no afecten negativamente el nivel de protección de la seguridad de la información
pertinente en el sistema de información.
Controles de seguridad que se ocupan de las cuestiones regidas por las leyes federales,
órdenes ejecutivas, directivas, políticas, normas o reglamentos (por ejemplo, las
evaluaciones de impacto en la privacidad) se exigirán únicamente si el empleo de estos
controles es coherente con el tipo de información y sistemas de información cubierta por
las leyes aplicables, órdenes ejecutivas, directivas, políticas, normas o reglamentos.
11
Consideraciones Relacionadas con la Escalabilidad
En particular, la organización vuelve sobre una base regular, las actividades de gestión de
riesgos descrito en el Marco de Gestión de Riesgos. Además de las actividades en curso
relacionadas con la aplicación del Marco de Gestión de Riesgos, hay ciertos eventos que
pueden desencadenar la inmediata necesidad de evaluar el estado de seguridad del sistema de
información y si es necesario, modificar o actualizar los controles de seguridad actuales.
Estos eventos incluyen, por ejemplo:
Evaluar el estado actual de seguridad del sistema de información y el riesgo para las
operaciones de la organización y los bienes, las personas, otras organizaciones, y la Nación.
La organización investiga la vulnerabilidad del sistema de información (o vulnerabilidades)
explotados por la fuente de la amenaza (o con potencial de explotación por una fuente de la
amenaza) y los controles de seguridad a cabo actualmente en el sistema como se describe en
el plan de seguridad. La explotación de vulnerabilidades del sistema de información por una
fuente de amenaza puede deberse a uno o más factores, incluyendo pero no limitado a:
Después de los controles de seguridad y / o mejoras de control se han aplicado y las otras
debilidades o deficiencias corregidas, los controles se evaluó la eficacia para determinar si los
controles se aplican correctamente, funcionan según lo previsto, y producir los resultados
deseados con respecto a la reunión de seguridad requisitos para el sistema de información. Si
es necesario, el plan de seguridad se actualiza para reflejar las medidas adicionales
correctivas adoptadas por la organización para mitigar el riesgo.
14
4. COBIT
COBIT 4.1 (Control OBjectives for Information and related Technology | Objetivos de Control
para tecnología de la información y relacionada). Publicada originalmente como Los procesos y
las medidas de control de la vinculación a las necesidades del negocio, fue inicialmente utilizado
principalmente por la comunidad de seguros en relación con el negocio y los dueños del proceso.
Con la incorporación de pautas de manejo en 1998, COBIT fue utilizado con más frecuencia como
un marco de gestión, proporcionando herramientas de gestión tales como métricas y modelos de
madurez para complementar el sistema de control. Con el lanzamiento de COBI T 4.0 en 2005, se
convirtió en una más completa estructura de gobierno IT. Las actualizaciones incrementales a C
OBI T 4.0 se hicieron en 2007, ya que pueden verse como un ajuste del marco, no los cambios
fundamentales. La versión actual es COBI T 4.1.
La última versión del ITGI - COBIT ® 4.1 - acentúa el cumplimiento regulador, ayuda a
organizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta en
práctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones más
tempranas de COBIT, pero en cambio puede ser usado realzar el trabajo ya hecho basado sobre
aquellas versiones más tempranas. Cuando actividades principales son planeadas para iniciativas
de gobernación TI, o cuando una revisión y reparación del marco de control de la empresa es
esperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades de
regalos en una manera más dinamizada y práctica tan la mejora continua de la gobernación TI es
más fácil que alguna vez para alcanzar.
Esta nueva versión refleja la armonización aumentada con otras normas detalladas, el énfasis
mayor sobre la gobernación TI, el dinamizar de conceptos y lengua, y el análisis detallado de
conceptos de métrico, entre otras mejoras. El nuevo volumen, consistiendo en más de 200 páginas,
incluye una descripción ejecutiva, el marco, el contenido principal (el control de alto nivel
objetivos de control objetivos, detallados, directrices de dirección y el modelo de madurez) para
cada uno de los 34 procesos, y varios apéndices.
15
medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la
organización.
La misión COBIT es " para investigar, desarrollar, hacer público y promover un juego
autoritario, actualizado, internacional de objetivos de control de tecnología de información
generalmente aceptados para el empleo cotidiano por directores comerciales e interventores. "
Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les
ayuda a entender sus sistemas TI y decidir el nivel de seguridad (valor) y control que es
necesario para proteger el activo de sus empresas por el desarrollo de un modelo de
gobernación TI.
1. Resumen(Sumario) Ejecutivo
2. Marco
3. Objetivos de Control
4. Directrices de auditoria
5. Instrumento de puesta en práctica
6. Directrices de Dirección
Objetivos de Control
Directrices De auditoria
Analice, evalúa, haga de intérprete, reaccione, el instrumento. Para alcanzar sus objetivos
deseados y objetivos usted y coherentemente constantemente debe revisar sus
procedimientos. Directrices de auditoría perfilan y aconsejan actividades reales ser realizadas
correspondiente a cada uno de los 34 objetivos de control de TI de alto nivel, justificando el
riesgo de objetivos de control no siendo encontrados. Directrices de auditoría son un
instrumento inestimable para interventores de sistemas de información en el aseguramiento
de dirección que provee y/o el consejo para la mejora.
Directrices de Dirección
Para asegurar una empresa acertada, usted con eficacia debe manejar la unión eficaz entre
procesos de negocio y sistemas de información. Las nuevas Directrices de Dirección son
compuestas de Modelos de Madurez, ayudar determinar las etapas y los niveles de
expectativa de control y compararlos contra normas de industria; Factores de Éxito Críticos,
para identificar las acciones más importantes para alcanzar control de los procesos de TI;
Indicadores de Objetivo Claves, para definir los niveles objetivo de funcionamiento; e
Indicadores de Funcionamiento Claves, para medir si un proceso de control de TI encuentra
su objetivo. Estas Directrices de Dirección ayudarán a contestar las preguntas de
preocupación (interés) inmediata a todo los que tienen una estaca (un interés) en el éxito de la
empresa.
17
4.3. KIT COBIT
18
COBIT para desarrollar un conjunto sano de procesos:
• escogen los Objetivos de Control que caben los objetivos de negocio
• identifican los modelos de industria que proporcionan la dirección para apoyar
procesos (CMMI, Poblar CMM, ITIL)
La Planificación y la Organización
Planificación y Organización
Adquiera e Instrumento
Identificación de sus exigencias TI, adquiriendo la tecnología, y poniéndolo en práctica
(realización) dentro de los procesos de negocio corrientes de la empresa. Este dominio
también dirige el desarrollo de un plan de mantenimiento que una empresa debería adoptar
para prolongar la vida de un sistema TI y sus componentes. La mesa siguiente cataloga los
objetivos de control nivel altos para el dominio de Puesta en práctica y la Adquisición.
Adquiera e Instrumento
19
Entrega y Apoyo
Entregue y Apoyo
Monitor y Evaluación
Monitor y Evalúa
20
5. CONCLUSIONES
La óptima gestión de la seguridad requiere métricas estandarizadas.
La selección de métricas depende de las políticas y la madurez de la organización.
El proceso de implantación de métricas debe ser progresivo.
El proceso de implantación debe contar con apoyo de la dirección y recursos suficientes.
El proceso debe ser controlado y revisado de manera continua convirtiéndose en proceso de
mejora continua.
6. BIBLIOGRAFIA
[1] NIST, “SP 800-53-rev3-final-errata”, http://csrc.nist.gov/publications/, 2009
[2] Gobernance Institute, “COBIT4.1”, http://www.itgi.org/, 2007
[3] William Bentley – Peter T. Davis, “Lean SIX Sigma Secrets for the CIO”, 2010
[4] Robert Barton, “Global IT Management – A Practical Approach”, 2003
21