Metodologas de Seguridad de la

Informacin

Dr. Erbert Osco M.

Qu es la seguridad?
La situacin estado de algo, que se adquiere al estar libre de riesgo
o peligro.
Se logra por que algo nos da o asegura nuestra proteccin
Un departamento o grupo de guardias
Medidas adoptadas por el gobierno para evitar un ataque externo
Medidas adoptadas por una empresa para prevenir el robo en sus
propiedades.
Medidas adoptadas para prevenir el escape de una prisin.
Un seguro.
Se puede definir la seguridad Informtica como cualquier
medida que impida la ejecucin de operaciones no
autorizadas sobre un sistema o red informtica, cuyos efectos
puedan conllevar daos sobre la informacin, comprometer
su confiabilidad, autenticidad o integridad, disminuir el
rendimiento de los equipos o bloquear el acceso de usuarios
autorizados al sistema.
 Seguridad de la Informacin

Los objetivos de Seguridad que cumplen los requerimientos de negocio

incluyen:

Confidencialidad

Preservar la Confidencialidad de la informacin

sensible.

Seguridad
de la
Informacin

Integridad Disponibilidad
Asegurar la Integridad de
Asegurar la Disponibilidad(Availability)
la informacion
continua de los sistemas de informacin.
almacenada en los
sistemas de informacin.

Asegurar la Conformidad de leyes, regulaciones y estandares.

Preservar la Confidencialidad de los datos sensitivos almacenados y en
transito.
INFORMACION VS SEGURIDAD
El riesgo permanente
Los recursos informticos se encuentran de manera continua
sujeto a numerosos riesgos que, de materializarse, podran
afectar la continuidad de las operaciones, el cumplimiento de
las metas y el patrimonio de las empresas. Por esta razn es
importante protegerlos.
Hay un sistema seguro?

"El nico sistema seguro es aquel que est apagado y desconectado,

enterrado en un refugio de concreto, rodeado por gas venenoso y
custodiado por guardianes bien pagados y muy bien armados. Aun as, yo
no apostara mi vida por l".

Gene Spafford
Certificaciones en Seguridad TI

CISSP: Certified Information System Security Professional

CCNA: Cisco Certified Network Associate
CCSE: Check Point Certified Security Expert
MCSE: Microsoft Certified System Engineer
GSEC: GIAC Security Essentials Certified
RT-PKI-C: Rainbow Technologies PKI Certification
IBM Certified Professional Server Expert
TICSA TruSecure International Computer Security
Association Trend Micro InterScan VirusWall
CPP Certified Protection Professional
CIA Certified Internal Auditor
CISA Certified Information System Auditor
CISM: Certified Information Security Manager
CGEIT: Certified Governance OF Enterprise IT
CRISC: Certified in Risk and Information Systems Control

CSX: Cybersegurity fundamentals Certificacate

 Seguridad de la informacin
Que es la seguridad de la informacin?
Es la proteccin de la confidencialidad, integridad y disponibilidad de los activos de
informacin segn sea necesario para alcanzar los objetivos de negocio de la
organizacin.

NTP ISO/IEC 27001 2014. Tecnologa de la Informacin, Tcnicas de seguridad. Sistemas

de gestin de seguridad de la Informacin. Requisitos
 Familia Estndares ISO
27000 Visin general y vocabulario seguridad informacin
27001 Gestin de Seguridad Informacin - Req. Certificable (Per NTP SGSI -2014)
27002 Cdigo de Practicas para controles de seguridad de Informacin
27003 Gestin Seguridad de Sistemas Informacin Gua Implementacin
27004 Gestin Seguridad de Informacin - Mtricas
27005 Seguridad Informacin Gestin de riesgos
27006 Requisitos para acreditacin de entidades de auditoria y certificacin de SGSI
27007 Directrices para Auditoria de Sistemas de Informacin y Gestin de
Seguridad
27008 Directrices para Auditores en Controles de Seguridad de Informacin
27010 Gestin de seguridad de Informacin para comunicaciones de gestin
intersectorial y interinstitucional
27032 : Lead Manager Cybersecurity
ISO 27032 Lead manager Cybersecurity
La Gestin del Riesgo es el proceso de asegurar que el
impacto de las amenazas que pudieran explotar las
vulnerabilidades estn dentro de los limites aceptables y a
costos aceptables. En este nivel, esto se logra mediante un
equilibrio entre la exposicin al riesgo y los costos de
mitigacin, as como mediante la implementacin de
acciones preventivas y controles apropiados.

Riesgo es estimacin de las probabilidades

de que una amenaza se materialice sobre
los activos de la organizacin, causando
efectos negativos o perdidas.
 Relacin Causa y Efecto

Vulnera-
Amenaza Riesgo
bilidad Activos

Causa Probabilidad Efecto

Impacto

16
 RIESGO POTENCIAL DE QUE UNA AMENAZA
EXPLOTE LAS VULNERABILIDADES DE
UN ACTIVO

IMPACTO
VULNERABILIDAD
Medir las
AMENAZA (PELIGRO) consecuencias
Posibilidad de
Evento que puede al materializar
ocurrencia de
una amenaza
desencadenar un materializacin de una
incidente en la amenaza sobre un
organizacin, activo.
produciendo Grado de destruccin
perdidas (magnitud), hueco,
craker, virus debilidad, brecha
Panorama General

El riesgo puede ser categorizado en

muchos tipos diferentes:
Riesgo de Procesos Transferir
Riesgo operativo
Riesgo ambiental 4 OPCIONES Eliminar
Riesgo Financiero TRATAMIENTO DEL RIESGO
ESTRATEGICAS

Riesgo de T.I. Reducir

Riesgo de Integridad
Riesgo comercial Aceptar
etc.

18

MAGERIT
Se utiliza mucho en Espaa, sobre
todo en instituciones pblicas, ya
que fue desarrollado por el
congreso superior de
administracin electrnica. A nivel
internacional no es muy
conocida, aunque su utilizacin
puede ser interesante en
cualquier tipo de empresa.
NIST 800-30
Fue desarrollado por el NIST
(National Institute of Standards
and Technology) en los EEUU y
aunque tiene reconocimiento
internacional, su uso se limita
sobre todo a EEUU
(administraciones pblicas), se
compone de un mayor nmero
de fases que las anteriores
metodologas, es muy intuitiva,
Metodologas
CRAMM
Tuvo su origen en el Reino Unido,
ya que fue desarrollado por el
CCTA (Central Computer and
Telecomunications Agency), tiene
reconocimiento a nivel
internacional y su desarrollo es de
los ms simples, identificacin y
valoracin de activos, valoracin
de amenazas, vulnerabilidades y
seleccin de contramedidas.
ISO 27005
27005 Norma internacional, no
especifica ningn mtodo de anlisis
de riesgo concreto, sino que contiene
recomendaciones y directrices
generales para la gestin de riesgos,
por tanto, puede utilizarse como gua
para elaborar una metodologa de
gestin de riesgos propia.
Contiene la Gua de Gestin del riesgo
de la seguridad de la informacin y la
implantacin de SGSI . Incluye partes de la
ISO 13335
OCTAVE
Desarrollado por el SEI (Software
Engineering Institute) en los Estados
Unidos. Tiene un gran
reconocimiento internacional.
buena aceptacin a nivel
mundial, aunque las fases que la
componen son un poco diferentes
de las metodologas habituales, lo
cual suele implicar mayor
dificultad en su utilizacin.
ISO 31000
Al igual que la anterior es una ISO
internacional que contiene una
serie de buenas prcticas para
gestionar riesgos, aunque la
diferencia con respecto a la ISO
27005 es que esta no aplica
solamente a la Seguridad de la
Informacin sino que aplica a
cualquier tipo de riesgo.
 NIST 800-30

Instituto Nacional de
Normas y tecnologa EEUU
PASOS SEGN METODOLOGIA NIST 800-30 Instituto Nacional de Normas y tecnologa EEUU

Informacin para conocer activos, funciones

Ejemplo de vulnerabilidades y amenazas que podran ser explotadas
MATRIZ DEL NIVEL DE RIESGO
METODOLOGIA MAGERIT V3 Metodologa de anlisis y gestin de riesgos

I. Detalle como se desarrolla

II. Complemento del I, ejemplos

III. Complemento del I, describe

tcnicas que pueden usarse
para cada fase.
 Metodologa MAGERIT
CAPITULOS
I. INTRODUCCION Importancia del riesgo

II. VISION DE CONJUNTO Conceptos de gestin de riesgos

III. METODO DE ANALISIS DE RIESGOS Activos, vulnerabilidades, amenazas, salvaguardas. Estimar el riesgo

IV. PROCESO DE GESTION DE RIESGOS Evaluar niveles de impacto y riesgo residual, niveles aceptables de riesgo, C/B,
tratamiento del riesgo, documentacin del proceso

V. PROYECTOS DE ANALISIS DE RIESGOS Cuando la organizacin desarrolla su primer proyecto, revisiones,

actualizaciones

VI. PLAN DE SEGURIDAD Una vez finalizada el anlisis y gestin de riesgos, recomendaciones

VII. DESARROLLO DE S.I. Reduccin de riesgos en los S.I.

VIII. CONSEJOS PRACTICOS Recomendaciones

MATRIZ DE RIESGOS
EJM.2
 CONCLUSIONES

1. La seguridad de la informacin es un aspecto muy importante en cualquier organizacin

2. Es un tema que necesita ser abordado de manera responsable, procedimental y
orientada al cumplimiento de estndares mnimos requeridos para la tecnologa
implementada en la Empresa.
3. Las metodologas, son estndares de seguridad de informacin en la organizacin tanto
privadas como publicas.
4. Estas guas y directrices son documentos muy elaborados y de reconocido prestigio,
cubren mltiples aspectos relacionados con seguridad de la informacin y sirven de
apoyo para desarrollar polticas, procedimientos y controles.
 Referencias Bibliogrficas
Chicano Tejada, Ester. Auditora de seguridad informtica (MF0487_3).
Madrid, ESPAA: IC Editorial, 2014. ProQuest ebrary. Web. 7 June 2017.
Copyright 2014. IC Editorial. All rights reserved.
ISO NTP 27001 Sistema de gestin de seguridad de informacion
ISO 31000: 2009 Gestin de riesgos Principios y lineamientos
Instituto Nacional de Normas y Tecnologa NIST 800-30
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
MAGERIT Metodologa de anlisis y gestin de riesgos
Gua de control interno. Resolucin de contralora 458-2008-CG
ISACA. www.isaca.Gob.pe