BREVE DESCRIPCIN DE LOS

PROCESOS ADMINISTRACIN
DE LA SEGURIDAD (ASI) Y
OPERACIN DE CONTROLES
DE SEGURIDAD (OPEC) DEL
MAAGTIC-SI

Ricardo Caldern Cruz

Abril 2016
 OBJETIVO DE LA REUNIN

Describir los procesos ASI y OPEC del MAAGTIC-SI, con la finalidad

de dar a conocer como pueden fortalecer la identificacin de
infraestructura critica, administracin de riesgos, el sistema de
gestin de la informacin y el funcionamiento de equipos de
respuesta a incidentes.
 AGENDA
1. Introduccin
2. Modelo actual de procesos del MAAGTIC-SI
3. Algunos conceptos bsicos
4. Descripcin del proceso ASI
5. Descripcin del Proceso OPEC
6. Relacin entre los procesos ASI y OPEC
7. Interaccin entre los procesos ASI y OPEC
8. Elementos bsicos del SGSI
9. Resumen
 INTRODUCCIN
Como respuesta al problema cada vez mayor de amenazas en el ciberespacio, el
Consejo de Seguridad Nacional estableci el Grupo Tcnico Intersecretarial
Especializado en Seguridad de la Informacin (GTECSI), con el objetivo de
coordinar los trabajos para el desarrollo de una poltica general de seguridad
de la informacin. Estos trabajos dieron como resultado diversos lineamientos
generales que el Ejecutivo Federal, acord incorporar en el Manual
Administrativo de Aplicacin General en materia de Tecnologas de Informacin y
Comunicaciones (MAAGTICSI).

En consecuencia, el 29 de noviembre de 2011 se public en el Diario Oficial de

la Federacin (DOF) el "Acuerdo por el que se establecen las disposiciones
administrativas en materia de tecnologas de la informacin y comunicaciones, y
se expide el Manual Administrativo de Aplicacin General en esa materia y en la
de Seguridad de la Informacin" (MAAGTICSI).
 INTRODUCCIN
Los principales productos de los procesos AS y OPEC son el Modelo de
Gobierno de la Seguridad de la Informacin (MGSI) de la institucin y del
Sistema de Gestin de la Seguridad de la Informacin (SGSI).

ASI

MGSI
y SGSI
OPEC
 INTRODUCCIN
El modelo de gobierno para la Seguridad de la Informacin esta basado en:

Informacin de la institucin
Ley de seguridad nacional
Estrategia de seguridad de la informacin
Estrategia Digital Nacional
Polticas de la Seguridad de la informacin
Acuerdos en materia de TIC
MAAGTICSI
MODELO ACTUAL DE PROCESOS
DEL MAAGTIC-SI
 CONCEPTOS BSICOS
El Sistema de Gestin de la Seguridad de la Informacin SGSI

Es una herramienta de gestin que permite conocer, gestionar y minimizar los posibles
riesgos que atenten contra la seguridad de la informacin en la empresa.

Activos de informacin
Son software, sistemas de informacin, bienes informticos, soluciones tecnolgicas, sus
componentes, las bases de datos o archivos electrnicos y la informacin contenida en
stos.
Para identificar los activos de informacin hay que tener en cuenta que estos pueden
proceder de distintas fuentes de informacin dentro de la empresa y que pueden
encontrarse en diferentes soportes, como papel o medios digitales. Adems es
necesario considerar el ciclo de vida de la informacin ya que, lo que puede ser
critico para el negocio puede dejar de tener importancia con el tiempo.
 CONCEPTOS BSICOS
Gestin de Riesgo

La gestin de los riesgos va a permitir preservar la confidencialidad, integridad

y disponibilidad de la informacin en el interior y al exterior de la empresa ante
nuestros clientes y ante distintas partes interesadas en el negocio.

Controles de seguridad
Medios para manejar el riesgo. Estas acciones van a proteger a la institucin
frente a amenazas y riesgos que puedan poner en peligro la continuidad de los
niveles de competitividad, rentabilidad y conformidad legal necesarios para
alcanzar los objetivos de negocio. De esta manera, se conseguir mantener el
riesgo para nuestra informacin por debajo del nivel definido por la propia
institucin
 CONCEPTOS BSICOS
ISO/IEC 27000

Con el fin de proporcionar un marco de gestin de la seguridad de la

informacin utilizable por cualquier tipo de organizacin se cre una familia de
estndares con el nombre de ISO/IEC 27000.

Estas normas van a permitir disminuir de forma significativa el impacto de los

riesgos sin necesidad de realizar grandes inversiones en software y sin contar con
una gran estructura de personal.
 PROCESO DE ADMINISTRACIN
DE LA SEGURIDAD (ASI)
Objetivo general

Establecer y vigilar los mecanismos que permitan la administracin

de la seguridad de la informacin de la Institucin, as como disminuir
el impacto de eventos adversos, que potencialmente podran afectar
el logro de los objetivos de la Institucin o constituir una amenaza
para la Seguridad Nacional.

Para cumplir con el objetivo, se debern considerar las siguientes

actividades:
 PROCESO DE ADMINISTRACIN
DE LA SEGURIDAD (ASI) Operar y
Establecer mantener Diseo del Identificar Elaborar el Integrar al
Mejorar el
modelo de modelo de SGSI Infra. Critica y Anlisis de SGSI controles
SGSI
gobierno de SI gobierno de SI Activos clave Riesgos mnimos
Designar al RSII Elaborar el Disear la Establecer el ETIC Establecer la Definir los Constatar que las
Catalogo de IC estrategia de SI directriz de controles para actualizaciones de
admn. de riesgos proteger la seguridad se
activos crticos de apliquen en toda
Integrar el ETAR TIC la Institucin.

Informar al CISEN Establecer Definir el SGSI y Identificar Identificar activos Documentar los Obtener el
de su designacin mecanismos de programa de procesos crticos a proteger controles desempeo del
proteccin de la implantacin de la Institucin determinados SGSI y definir las
IC Identificar mejoras
amenazas y correspondientes
vulnerabilidades
Establecer el GESI Vigilar los Capacitar a la Identificar Identificar y Elaborar el
y su operacin controles de Institucin en actividades evaluar escenarios documento de
seguridad temas de SI criticas de los de riesgo. mejora del SGSI
procesos clave
Constatar la Elaborar un Identificar si los Elaborar anlisis Comunicar las
implementacin programa de procesos crticos costo-beneficio de mejoras que se
del SGSI evaluacin del estn vinculados los controles van a aplicar.
SGSI con la integridad,
estabilidad y
Elaborar la permanencia del Elaborar docto.
directriz rectora Edo. Mexicano. De resultados del
de respuesta a Anlisis de Riesgo
incidentes (ERISC)
Dar seguimiento a Comunicar al OIC Seleccionar Elaborar un
las acciones de cumplimientos al controles a informe de
mejora del SGSI SGSI implementar seguimiento a las
acciones de
Elaborar e mejora.
implementar
Programa AR
 PROCESO DE ADMINISTRACIN
DE LA SEGURIDAD (ASI)

Relacin de productos

1. Documento de integracin y operacin del grupo Estratgico de

Seguridad de la Informacin. Formato ASI F1.
2. Catlogo de Infraestructuras Crticas. Formato ASI F2.
3. Documento de resultados del Anlisis de Riesgos. Formato ASI
F3.
4. Documento de definicin del SGSI. Formato ASI F4.
5. Directriz rectora de respuesta a incidentes. Formato ASI F5.
 PROCESO DE ADMINISTRACIN
DE LA SEGURIDAD (ASI)
Indicador del proceso ASI

Nombre: Cumplimiento del Proceso ASI.

Objetivo: Obtener la eficiencia del proceso en base a su cumplimiento.

Descripcin: Medir el cumplimiento en la implementacin de los controles

establecidos durante el proceso.

Frmula:
% de eficiencia = (controles implementados / controles programados
para su implementacin) X 100.

Responsable: El responsable del proceso ASI

Frecuencia de clculo: Anual.

PROCESO DE OPERACIN DE
CONTROLES Y DEL ERISC (OPEC)

Objetivo General

Implementar y operar los controles de seguridad de la informacin

de acuerdo al programa de implementacin del SGSI, as como los
correspondientes a la capacidad de respuesta a incidentes.

Para cumplir con el objetivo, se debern realizar las siguientes

actividades:
 PROCESO DE OPERACIN DE
CONTROLES Y DEL ERISC (OPEC)
Establecer los Implant. los ctrls. Implant. los ctrls.
elementos de
Op. del ERISC Revisar la Aplicar al SGSI
Designar Resp. de de mitigacin de del SGSI de
Impl. de controles operacin del en la atencin operacin las mejoras
riesgos y del dominios tecs.
ERISC de incidentes de TIC del SGSI definidas
SGSI
Asignar Resp. de Definir reglas de Definir acciones Ejecutar los Mantener los Verificar eficacia Aplicar acciones
Implementacin de operacin del de atencin a programas de componentes de y eficiencia de correctivas y
controles ERISC incidentes de SI manejo de riesgos doms. tecs. Con el controles preventivas a los
y de imp. Del sw de SI y de implementados ctrls. de SI
SGSI monitoreo.
Comunicar esta Elaborar la gua Verificar que los Dar seguimiento a Reforzar Evaluar el SGSI Documentar
asignacin a tcnica de resp. de estos programas conexiones de resultados de
involucrados atencin a implementar ctrls. redes con ctrls. de acciones de
incidentes apliquen la gua acceso mejora

Actualizar Docto. Definir mecanismo Integrar los datos Elaborar informe Asegurar que Registrar intentos Actualizar informe
Resultado Anlisis de registro de del incidente al de resultados de servidores cuenten de violaciones e de seguimiento a
de Riesgo y PI del incidentes repositorio del la imp. del SGSI con sw de incidentes de SI las mejoras del
SGSI area corresp. proteccin contra SGSI
cdigo malicioso
Reportar al RSII Checar que ctrls. Proteger correo Documentarlas Actualizar
los incidentes de SI de SI se hayan electrnico contra acciones de programa de
imp. de acuerdo correo no deseado mejora al SGSI evaluaciones del
al diseo del SGSI SGSI
Hacer informe de Proteger equipos
desviacin de imp de computo
y/o operacin de
controles de SI Gestionar
privilegios de
acceso
Integrar los
controles de doms.
Tecs al SGSI
PROCESO DE OPERACIN DE
CONTROLES Y DEL ERISC (OPEC)
Relacin de productos

Este proceso utiliza para su operacin, consulta y actualizacin

los productos del Proceso de Administracin de la Seguridad de la
Informacin (ASI).
 PROCESO DE OPERACIN DE
CONTROLES Y DEL ERISC (OPEC)

Indicador del proceso

Nombre: Cumplimiento de la administracin de riesgos.

Objetivo: Medir la eficiencia de la gestin del proceso.
Descripcin: Medir el cumplimiento en la implementacin de los controles para
la mitigacin de riesgos establecidos durante el proceso.
Frmula:
% de eficiencia = (controles implementados en operacin de acuerdo a su
definicin / controles implementados) X 100.
Responsable: El responsable del proceso.

Frecuencia de clculo: Anual.

INTERACCIN ENTRE LOS
PROCESOS ASI Y OPEC
Polticas
de SI
Actuar
ASI-8. Definir mejoras al SGSI
OPEC-7. Aplicar mejoras al SGSI
Planear
ASI-1. Modelo de gobierno de SI
ASI-2. Mantener el modelo de gobierno
de SI
Opec-2. Establecer el ERISC
ASI-3. Disear el SGSI
ASI-4. Identificar la IC
ASI-5. Establecer Directriz de
Administracin de Riesgos
ASI-6. Elaborar Anlisis de Riesgos
ASI-7. Disear controles mnimos
Ejecutar
OPEC-1. Establecer el Grupo de
Implantacin.
OPEC-3. Operar el ERISC
SGSI OPEC-4 y OPEC-5. Implantar los
controles del SGSI.
Verificar
OPEC-6. Revisar la operacin del
SGSI.
 ELEMENTOS BSICOS DEL SGSI
Planeacin
Polticas de SI
Estudio de la
organizacin

-Catalogo de activos
-Anlisis de Riesgos
Mejora - Declaracin de Aplicabilidad Ejecucin

Implementacin
Acciones de mejora Mantenimiento Control implantado:
de Controles de
del SSI - Gestin incidentes de SI
Seguridad - Registro de usuarios

Seguimiento

Evaluacin de la
eficacia de los
controles
Control implantado:
Respaldo de informacin
Indicadores
colocando las piezas del rompecabezas juntas
en resumen

Para establecer un SGSI en el IIE

1. Establecer el modelo de gobierno de la SI

2. Crear o actualizar las Polticas de SI
3. Integrar del catalogo de infraestructura critica
4. Administrar el riesgo de los activos de informacin crticos y/o claves
a) Definir las directrices para el anlisis de riesgo
b) Identificacin y evaluacin de escenarios de riesgo para la
infraestructura del catalogo (tabla de anlisis y determinacin de
riesgos, tabla de evaluacin de riesgos)
c) Realizar anlisis costo-beneficio de controles de seguridad (tabla de
anlisis costo-beneficio)
d) Realizar el documento de Declaracin de Aplicabilidad
e) Realizar el programa de mitigacin de riesgos
f) Realizar el programa de contingencia de riesgos
g) Realizar el programa de implantacin para el manejo de riesgos
5. Hacer el programa de implantacin de controles
6. Conformar el SGSI
7. Evaluar el SGSI
8. Realizar el programa de mejora del SGSI
en resumen

Seguridad Informtica

Seguridad Informtica
Gracias por su atencin