Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INDICE
CAPTULO 1 Conceptos bsicos sobre Seguridad de la Informacin....................................................................... 3
CAPTULO 2 La seguridad y su justificacin desde el punto de vista del negocio. .............................................. 6
CAPTULO 3 Marco legal y jurdico de la Seguridad. Normativas de Seguridad. .................................................. 8
CAPTULO 4 Estndares de Gestin de la Seguridad de la Informacin. .............................................................. 11
CAPTULO 5 Implantacin de un SGSI............................................................................................................................ 13
CAPTULO 6 Definicin de las Polticas, Organizacin, Alcance del Sistema de Gestin y Concienciacin.16
CAPTULO 7 Los activos de la Seguridad de la Informacin..................................................................................... 19
CAPTULO 8 Anlisis y Valoracin de los Riesgos. Metodologas............................................................................ 22
CAPTULO 9 Gestin y Tratamiento de los Riesgos. Seleccin de los Controles................................................. 25
CAPTULO 10 Seguimiento, Monitorizacin y Registro de las Operaciones del Sistema. ................................ 29
CAPTULO 11 Gestin de la Continuidad del Negocio............................................................................................... 32
CAPTULO 12 Proceso de Certificacin........................................................................................................................... 35
Debe de ser redactada de una manera accesible para todo el personal de la organizacin. Por
lo tanto debe ser corta, precisa y de fcil comprensin.
Debe ser aprobada por la direccin y publicitada por la misma.
Debe ser de dominio pblico dentro de la organizacin, por lo que debe estar disponible para
su consulta siempre que sea necesario.
Debe ser la referencia para la resolucin de conflictos y otras cuestiones relativas a la
seguridad de la organizacin.
Debe definir responsabilidades teniendo en cuenta que stas van asociadas a la autoridad
dentro de la compaa. En funcin de las responsabilidades se decidir quin est autorizado a
acceder a qu tipo de informacin.
Debe indicar que lo que se protege en la organizacin incluye tanto al personal como a la
informacin, as como su reputacin y continuidad.
Debe ser personalizada totalmente para cada organizacin.
Por ltimo, debe sealar las normas y reglas que va a adoptar la organizacin y las medidas de
seguridad que sern necesarias.
En lo que ser refiere al contenido, la Poltica de Seguridad debera incluir, al menos, los siguientes
cinco apartados.
Uno. Definicin de la seguridad de la informacin y sus objetivos globales, el alcance de la seguridad y
su importancia como mecanismo de control que permite compartir la informacin.
Dos. Declaracin por parte de la Direccin apoyando los objetivos y principios de la seguridad de la
informacin.
Tres. Breve explicacin de las polticas
Cuatro. Definicin de responsabilidades generales y especficas, en las que se incluirn los roles pero
nunca a personas concretas dentro de la organizacin.
Cinco. Referencias a documentacin que pueda sustentar la poltica.
La Poltica de Seguridad debe ser un documento completamente actualizado, por lo que debe ser
revisado y modificado anualmente. Adems, existen otros tres casos en los que es imprescindible su
revisin y actualizacin. El primero, despus de grandes incidentes de seguridad. El segundo, despus
de una auditora del sistema sin xito. Y el tercero, frente a cambios que afectan a la estructura de la
organizacin.
La organizacin de la seguridad es el tercer aspecto a desarrollar durante el diseo del Sistema de
Gestin de Seguridad de la Informacin. En este momento, se realiza la revisin de los aspectos
organizativos de la entidad y la asignacin de nuevas responsabilidades.
Entre estas nuevas responsabilidades hay tres que tienen gran importancia.
El responsable de seguridad, que es la persona que se va a encargar de coordinar todas las
actuaciones en materia de seguridad dentro de la empresa.
Conocer todos estos trminos facilita la comprensin del tema que nos ocupa, el anlisis de riesgos.
Podramos decir que este proceso consiste en identificar los riesgos de seguridad en nuestra empresa,
determinar su magnitud e identificar las reas que requieren implantar salvaguardas.
Gracias al anlisis de riesgos conoceremos el impacto econmico de un fallo de seguridad y la
probabilidad realista de que ocurra ese fallo.
El informe de las auditoras internas que recoge el estado del sistema y de las incidencias
detectadas.
Los informes que el comit de gestin dirige al comit de direccin. Estos documentos son una
fuente muy valiosa para el seguimiento del proyecto, ya que reflejan el estado del sistema y los
puntos que requieren la supervisin de la direccin.
El informe sobre las acciones realizadas por parte de los diferentes actores involucrados en el
sistema.
El resumen sobre el estado de las incidencias reportadas y la solucin a las mismas.
La revisin de los objetivos propuestos en cada una de las fases as como el grado de
cumplimiento de los mismos.
Y el resumen sobre los cambios sufridos en la organizacin.
Tras la revisin del Sistema de Gestin de Seguridad de la Informacin por parte de la direccin, se
debern ejecutar una serie de acciones dentro de la organizacin:
En primer lugar, hay que decidir si es necesario realizar mejoras dentro del sistema, cules se
van a llevar a cabo y su repercusin econmica y laboral dentro de la organizacin.
En segundo lugar, se tendr que actualizar la evaluacin y la gestin de riesgos. En el caso de
que se hayan observado cambios significativos en la organizacin, es necesario realizar un
nuevo Anlisis de Riesgos y un plan de tratamiento de los mismos.
Por ltimo, hay que realizar una actualizacin de los procedimientos y controles si estos han
dejado de ser tiles o estn obsoletos.
Adems de la revisin del sistema que realiza la direccin, es necesario llevar a cabo una revisin
anual denominada auditora interna. Esta auditora puede ser realizada por personal de la propia
entidad.
Durante las auditoras internas se realiza un listado de todos los controles a revisar y todos los
aspectos del sistema que necesitan ser analizados. Con este listado el auditor realizar una revisin del
sistema e indicar aquellos aspectos de mejora que se han detectado, as como la prioridad o
gravedad de cada uno de ellos.
El auditor del sistema no debe haber participado en la implantacin del mismo. Suele ser habitual que
dentro de una empresa, unos departamentos auditen a otros como medida para mantener la
objetividad y la independencia entre la implantacin y la auditora.
Debe realizarse una revisin completa del sistema una vez al ao. Para ello se pueden planificar varias
auditoras internas durante el ao e ir revisando el sistema por partes. De este modo, slo una parte
de la organizacin estar pendiente de la auditora, mientras que el resto puede continuar con su
trabajo diario sin ninguna alteracin.
Al finalizar la auditoria interna es necesario llevar a cabo dos tipos de acciones, unas para subsanar las
incidencias encontradas y otras para mejorar el sistema. Estas acciones se realizan dentro de la ltima
fase del modelo PDCA, vista con anterioridad, la Fase de Mejora.
Las acciones correctivas resuelven un problema observado durante las auditoras. Estas acciones
pueden ir desde la actualizacin de un documento hasta el cambio de una infraestructura de red o de
un responsable de un activo. Las acciones correctivas deben ser realizadas tan pronto como sean
detectadas las incidencias.
Las fallas elctricas causan el 90% de los incendios. Los problemas ms comunes por los que se
produce este tipo de siniestros son: la utilizacin de materiales no adecuados, un clculo
errneo del sistema o contratar electricistas sin formacin tcnica.
El 43% de las empresas estadounidenses que sufren un desastre, sin contar con un Plan de
Continuidad del Negocio, no se recuperan. El 51% sobrevive pero tarda un promedio de dos
aos en reinsertarse en el mercado y solo el 6% mantiene su negocio a largo plazo.
El 30% de las copias de seguridad y el 50% de las restauraciones fallan, segn un informe de
Enterprise Strategy Group. Durante este estudio muchos departamentos de Tecnologa de la
Informacin reconocan no estar seguros de ser capaces de recuperar los datos crticos del
negocio y si podran hacerlo en un tiempo razonable.
Para evitar estas y otras situaciones es necesario disponer de un Plan de Continuidad del Negocio. Este
plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectan
de forma crtica.
No importa el tamao de la empresa o el coste de las medidas de seguridad implantadas, toda
organizacin necesita un Plan de Continuidad del Negocio, ya que tarde o temprano se encontrar con
una incidencia de seguridad.
En lneas generales podemos decir, que estos planes tienen como objetivo impedir que la actividad de
la empresa se interrumpa y, si no puede evitarse, que el tiempo de inactividad sea el mnimo posible.
Mantener el nivel de servicio en los lmites definidos por la compaa y que han sido asumidos
por la misma.
Establecer un periodo de recuperacin mnimo para garantizar la continuidad del negocio.
Algunas compaas pueden parar su actividad, debido a una incidencia, durante una semana
pero otras no pueden superar unas horas.
Recuperar la situacin inicial de los servicios y procesos. La recuperacin no tiene que ser
inmediata y toda al mismo tiempo, ya que puede que existan procesos ms crticos que
necesiten recuperarse antes.
Analizar el resultado de la aplicacin del plan y los motivos del fallo para optimizar las acciones
a futuro. Es decir, aprender de las incidencias para mejorar en la respuesta.
Cuando desarrollemos nuestro Plan de Continuidad del Negocio tenemos que tener en cuenta que
debe contener los siguientes apartados:
Establecimiento y definicin de las situaciones crticas. Para ello se han de identificar, entre los
riesgos analizados, aquellos que no podrn ser evitados a travs de las diversas medidas
implantadas.
Establecimiento de un Comit de Emergencia que ser el encargado de gestionar la situacin
de crisis ante una incidencia. Es el responsable de organizar al resto del personal y de que la
empresa pueda recuperarse de un incidente.
Definicin de las diversas situaciones posibles, elaborando procedimientos para cada una de
las incidencias que se podran dar en una organizacin. Estos procedimientos recogern:
En primer lugar, la situacin que provocar una incidencia determinada. Al producirse esta
situacin se deben comenzar las acciones para evitar que el dao vaya a ms y para
comenzar la recuperacin.
En segundo lugar, todas las acciones y las secuencias que deben llevarse a cabo ante un
incidente de seguridad. Las prisas y las situaciones de estrs, provocadas por este tipo de
incidencias, pueden hacer que no se lleven a cabo las acciones como se deberan. Por ello,
es importante tener por escrito todo el procedimiento detallado y ste, debe ser conocido
por las personas implicadas.
Y por ltimo, contener los registros que es necesario recoger durante la incidencia para su
posterior anlisis y realizacin de acciones de mejora.
El plan debe haber sido probado y mejorado antes de que haya que aplicarlo. De no ser as, puede ser
Primera fase. Definicin del proyecto, donde es necesario establecer los objetivos, el alcance y
el peor de los escenarios.
Segunda fase. Anlisis de impacto en el negocio, conocido por sus siglas en ingls BIA (Business
Impact Analysis). Debemos realizar un anlisis de riesgos, evaluar el impacto del incidente
tanto econmico como de cualquier otro tipo, identificar los procesos y activos crticos, asignar
el tiempo objetivo de recuperacin y evaluar las coberturas de los seguros y contratos.
Tercera fase. Seleccin de estrategias. Aqu hay que identificar los recursos disponibles, evaluar
las salvaguardas y estimar si conviene ms aportar una solucin a nivel interno o a nivel
externo.
Con toda la informacin hay que valorar las ventajas y desventajas de cada una de las
estrategias posibles y escoger la ms conveniente para la organizacin.
Cuarta fase. Desarrollo de planes en los que tenemos que implementar diferentes
procedimientos para afrontar las diversas incidencias.
Es imprescindible probar el plan para garantizar que cuando haya que usarlo todo funcione como
est previsto.
El plan debe ser probado peridicamente para identificar y corregir posibles deficiencias e incluir
actualizaciones del sistema. Estas pruebas deben incluir, al menos, la restauracin de las copias de
seguridad, la coordinacin del personal y departamentos involucrados, la verificacin de la
conectividad de los datos y del rendimiento de los sistemas alternativos, y la verificacin del
procedimiento para la notificacin de las incidencias y la vuelta a la situacin inicial de normalidad.
la implantacin del SGSI, tales como el alcance, el nmero de empleados y los centros de
trabajo dentro del alcance, etctera. Con ello se calcula el precio y el nmero de das de
duracin de la auditora as como el nmero de auditores que la llevarn a cabo.
A continuacin tiene lugar la auditora documental, que es la primera fase de la auditora: En
ella se revisa la documentacin generada durante la implantacin del sistema y que incluir, al
menos, la poltica de seguridad, el alcance de la certificacin, el anlisis de riesgos, la seleccin
de los controles de acuerdo con la declaracin de aplicabilidad (SOA) y la revisin de la
documentacin de los controles seleccionados por la entidad de certificacin.
La segunda fase de la auditora es la auditora in-situ: Tiene lugar en la empresa, a la que se
desplazan los auditores para verificar la documentacin revisada en la fase anterior as como
los registros del sistema. Durante esta fase los auditores confirman que la organizacin cumple
con sus polticas y procedimientos, comprueban que el sistema desarrollado est conforme con
las especificaciones de la norma y verifican que est logrando los objetivos que la organizacin
se ha marcado.
Despus de cada una de las fases de la auditora la entidad de certificacin emite un informe en el que
se indican los resultados de la misma. En estos informes pueden aparecer los siguientes resultados: