Mg. Ing.

Elmer Omar Quiroz Peña

 Círculo de Deming – (PDCA)

El ciclo de Deming,
también conocido
como círculo PDCA Las
( Edwards Deming ), es siglas, PDCA so
una estrategia de mejora n el acrónimo
continua de la calidad en de Plan, Do, Che
cuatro pasos, basada en ck, Act
un concepto ideado (Planificar,
por Walter A. Shewhart. Hacer, Verificar,
También se Actuar).
denomina espiral de
mejora continua, Es muy
Fuente: http://www.bulsuk.com/2009/02/taking-
utilizado por los Sistemas
de Gestión de Calidad
first-step-with-pdca.html
(SGC).
 Círculo de Deming – (PDCA)

Los resultados de la
implementación de este ciclo
permiten a las empresas una
mejora integral de la
competitividad, de los productos y
servicios, mejorando
continuamente la calidad,
reduciendo los costes, optimizando
la productividad, reduciendo los
precios, incrementando la
participación del mercado y
Fuente:
aumentando la rentabilidad de la http://es.wikipedia.org/wiki/C%C3%ADrculo_de_D
empresa u organización. eming
(Planificar /Hacer /Verificar /Actuar)
 Modelo utilizado para establecer, implementar, monitorear y mejorar
el SGSI.

Planificar Mantener Actuar

y
Establecer
Mejorar el
el SGSI
SGSI

Partes Partes
Interesadas Interesadas
Implementar
y Monitorear
operar el el SGSI
Requisitos y Seguridad
SGSI
expectativas Gestionada
Hacer Verificar

4
(Planificar /Hacer /Verificar /Actuar)
 El SGSI adopta el siguiente modelo:

Definir la política de seguridad

Establecer el alcance del SGSI
Realizar los análisis de riesgos
Seleccionar los controles
Adoptar acciones correctivas Actuar
Adoptar acciones preventivas
Implantar el plan de gestión de riesgos
Implantar el SGSI
Planificar Implantar los controles.
Hacer
Implantar indicadores.
PHVA
Revisiones del SGSI por parte de
la Dirección.
Verificar
Realizar auditorías internas del SGSI

5
 SGSI
 El sistema de gestión de la seguridad de la
información (SGSI) es la parte del sistema de
gestión de la empresa, basado en un enfoque
de riesgos del negocio, para:
 establecer,
 implementar,
 operar,
 monitorear,
 mantener y mejorar la seguridad de la información.

 Incluye.
 Estructura, políticas, actividades, responsabilidades,
prácticas, procedimientos, procesos y recueros.

6
 Establecer el SGSI (Plan)
 Establecer la política de seguridad, objetivos, metas, procesos
y procedimientos relevantes para manejar riesgos y mejorar la
seguridad de la información para generar resultados de
acuerdo con una política y objetivos marco de la organización.
 Definir el alcance del SGSI a la luz de la organización.
 Definir la Política de Seguridad.
 Aplicar un enfoque sistémico para evaluar el riesgo.
 Identificar y evaluar opciones para tratar el riesgo
 Mitigar, eliminar, transferir, aceptar
 Seleccionar objetivos de Control y controles a implementar
(Mitigar).
 Establecer enunciado de aplicabilidad

 No se establece una metodología a seguir.

7
 Implementar y operar (Do)
 Implementar y operar la política de seguridad, controles,
procesos y procedimientos.
 Implementar plan de tratamiento de riesgos.
 Transferir, eliminar, aceptar
 Implementar los controles seleccionados.
 Mitigar
 Aceptar riesgo residual.
 Firma de la alta dirección para riesgos que
superan el nivel definido.
 Implementar medidas para evaluar la eficacia de los
controles
 Gestionar operaciones y recursos.
 Implementar programas de Capacitación y concientización.
 Implementar procedimientos y controles de detección y
respuesta a incidentes.

8
 Implementación del SGSI
 Alcance.
 Referencias Normativas.
 Términos y Definiciones.
 Estructura de esta Norma.
 Obtención de la aprobación de la alta dirección para iniciar un
SGSI.
 Definición del alcance del SGSI, límites y políticas.
 Evaluación de requerimientos de seguridad de la información.
 Evaluación de Riesgos y Plan de tratamiento de riesgos.
 Diseño del SGSI.
 Anexo A: lista de chequeo para la implementación de un SGSI.
 Anexo B: Roles y responsabilidades en seguridad de la información
 Anexo C: Información sobre auditorías internas.
 Anexo D: Estructura de las políticas de seguridad.
 Anexo E: Monitoreo y seguimiento del SGSI.

9
Monitoreo y Revisión (Check)
 Evaluar y medir la performance de los procesos contra la
política de seguridad, los objetivos y experiencia practica y
reportar los resultados a la dirección para su revisión.
 Revisar el nivel de riesgo residual aceptable,
considerando:
○ Cambios en la organización.
○ Cambios en la tecnologías.
○ Cambios en los objetivos del negocio.
○ Cambios en las amenazas.
○ Cambios en las condiciones externas (ej.
Regulaciones, leyes).
 Realizar auditorias internas.
 Realizar revisiones por parte de la dirección del
SGSI.

10
Monitoreo y Revisión (Check)
 Se debe establecer y ejecutar procedimientos de monitoreo
para:
○ Detectar errores.
○ Identificar ataques a la seguridad fallidos y exitosos.
○ Brindar a la gerencia indicadores para determinar la
adecuación de los controles y el logro de los objetivos
de seguridad.
○ Determinar las acciones realizadas para resolver
brechas a la seguridad.
 Mantener registros de las acciones y eventos que pueden
impactar al SGSI.
 Realizar revisiones regulares a la eficiencia del SGSI.

11
Mantenimiento y mejora del SGSI
(Act)
 Tomar acciones correctivas y preventivas, basadas en los
resultados de la revisión de la dirección, para lograr la
mejora continua del SGSI.
 Medir el desempeño del SGSI.
 Identificar mejoras en el SGSI a fin de implementarlas.
 Tomar las apropiadas acciones a implementar en el
ciclo en cuestión (preventivas y correctivas).
 Comunicar los resultados y las acciones a emprender,
y consultar con todas las partes involucradas.
 Revisar el SGSI donde sea necesario implementando
las acciones seleccionadas.

12
 Mantenimiento de un SGSI
 Aprobar documentos antes de su implementación.
 Revisar y actualizar documentos periódicamente.
 Garantizar que los cambios y el estado actual de revisión de
los documentos sean informados.
 Garantizar que los documentos se mantienen legibles y
fácilmente identificables.
 Garantizar que los documentos permanecen disponibles y
que sean transmitidos, almacenados y finalmente destruidos
acorde con los procedimientos aplicables según su
clasificación.
 Prevenir la utilización de documentos obsoletos.
 Aplicar la identificación apropiada a documentos que son
retenidos con algún propósito.

13
 Implantación de los requisitos y
controles elegidos
Las fases que se llevaran a cabo en este punto serán:
 Identificación-valoración de activos:
 Se realizará una identificación, valoración de los activos, que
serán los elementos a proteger.
 Identificación de amenazas:
 Identificar y valorar las amenazas a las que se encuentran
expuestos estos activos.
 Se ha realizado una tabla bastante extensa con todas las
valoraciones teniendo en cuenta las siguientes amenazas:
desastres naturales, de origen industrial, errores o fallos no
intencionados y ataques intencionados.
 Calculo de impacto:
 Se calculará el impacto, que no es más que la cuantificación del
daño que se puede producir sobre el activo al producirse la
amenaza.

14
 Implantación de los requisitos y
controles elegidos
 Calculo de impacto:
 Se calculará el impacto, que no es más que la cuantificación del
daño que se puede producir sobre el activo al producirse la
amenaza.
 Calculo del riesgo:
 Una vez que se ha calculado el impacto potencial se puede
calcular el riesgo potencial asociado teniendo en cuenta la
frecuencia con la que puede tener lugar.

Una vez finalizada la obtención del riesgo potencial se

obtendrán los puntos que se enfrentan a un riesgo mayor por lo
que habrá que aplicar medidas que reduzcan este riesgo.

15
 Análisis de Riesgos
Se debe tomar la decisión en relación a que riesgos la organización aceptara y
que controles serán implantados para mitigar el riesgo. Se requiere que la
dirección revise la gestión de riesgos para evaluar los niveles de riesgo
aceptados y el estado del riesgo residual.
Se definen también las fases que se llevaran a cabo en el análisis de riesgos.

Inventario de activos
Un apoyo para su elaboración es la metodología Magerit que incorpora el
concepto de propietario del riesgo (versus propietario del activo), quien deberá
aprobar tanto el plan de tratamiento de riesgos como el riesgo residual obtenido.

16
 Valoración de los activos
El objetivo final del proceso es
tomar un conjunto de medidas
que garanticen nuestros
activos.
El coste de estas medidas no
ha de superar el coste del
activo que se tiene que
proteger.
Para poder valorar un activo se
han de tener en cuenta
diferentes aspectos, como por
ejemplo el coste de reposición,
el valor del tiempo sin servicio,
posibles penalizaciones, etc.

17
 Dimensiones de seguridad
 Autenticidad [A]. Hay garantía
de la identidad de los usuarios o
procesos que gestionarán la Valor Descripción
información.
 Confidencialidad [C]. 10 Daño muy grave a la
Únicamente las personas organización
autorizadas tienen acceso a la
información sensible o privada. 7a9 Daño grave a la
 Integridad [I]. La información y organización
los métodos de procesamiento
de esta información son exactos 4a6 Daño importante a la
y completos, y no se han
manipulado sin autorización organización
 Disponibilidad [D]. Los 1a3 Daño menor a la
usuarios que están autorizados
pueden acceder a la información organización
cuando lo necesiten.
0 Daño irrelevante a la
 No repudio [T]. Hay garantía de
la autoría de una determinada organización
acción y está asociada a quien
ha producido esta acción.

18
 Análisis de amenazas
Los activos están expuestos a amenazas y estas pueden afectar
a los distintos aspectos de la seguridad. Se analizan qué
amenazas pueden afectar a qué activos. Una vez estudiado,
estimar cuán vulnerable es el activo a la materialización de la
amenaza así como la frecuencia estimada de la misma.
La metodología MAGERIT (Libro 2 “Catálogo de Elementos” -
Punto 5). Las amenazas están clasificadas en los siguientes
grandes bloques:
 Desastres naturales
 De origen industrial
 Errores y fallos no intencionados
 Ataques intencionados

19
 Análisis de amenazas

20
 Impacto potencial
Para el cálculo del impacto, no se tienen en cuenta
contramedidas, por tanto, el resultado que obtengamos de este
cálculo se podrá extraer un valor de referencia que ayudará
para determinar y priorizar un plan de acción. Al aplicar las
contramedidas, este valor se verá modificado.

Para realizar el cálculo del impacto potencial, se utiliza la

siguiente fórmula:
Impacto Potencial = Activo x Impacto

Donde, es el valor de cada dimensión y el impacto es la

degradación en cada dimensión en la que se ve afectado el
activo también en caso de materializarse.

21
 Nivel de riesgo aceptable y riesgo
residual
Los riesgos no pueden eliminarse por
completo pese a las medidas que
tomen las organizaciones.
Sin embargo, de acuerdo a las
estrategias comentadas en la sección
anterior pueden disminuir la ocurrencia
de aquellos riesgos que pueden ser
más críticos a unos niveles aceptables.
Este riesgo que permanece después
de haber implementado las medidas se
conoce como residual y la organización
tomará la decisión de convivir él.
Una vez conocemos el impacto
potencial causado por un activo y su
impacto en el sistema, es posible
obtener el riesgo integrando la
frecuencia con que se puede dar un
hecho concreto en nuestros sistemas.
Para ello usaremos el siguiente cálculo:
Riesgo = Impacto Potencial *
Frecuencia

22
Nivel de riesgo aceptable y riesgo
residual

23
 Definición de Controles
Un “Control” es lo que permite garantizar que cada
aspecto, que se valoró con un cierto riesgo, queda
cubierto y auditable
¿Cómo?  De muchas formas posibles.

Para minimizar ataques al sistema se deben incorporar

políticas y procedimientos especiales en el diseño e
implementación del SI.
El Control consiste en métodos, políticas y
procedimientos que aseguran la protección de los
activos de la empresa, la exactitud y confiabilidad de
sus registros y el apego de sus operaciones a los
estándares que defina la administración.

24
 Indicadores de un SGSI
Los indicadores clave de rendimiento conocidos como KPI, son
herramientas de medición de aquellos aspectos esenciales que
marcan los logros de una determinada organización.

Importancia para el negocio: el indicador que elijamos ha de

estar alineado con lo objetivos del negocio y requisitos legales,
ya que ello ayuda a entender mas fácilmente por qué se deben
medir y evaluar.

Integración del proceso: las actividades de recolección de datos

para el indicador de rendimiento clave debe generar el menor
trabajo posible y la información debe guardar el mismo formato
usado en el propio proceso.

Asertivo: el KPI ha ser tener la capacidad de detectar los aspectos

esenciales que requieren atención.

25
 Ejemplos de indicadores de
rendimiento
Porcentaje de iniciativas empresariales apoyadas por el SGSI: con este indicador
se pone de manifiesto el nivel de alineación e integración de los SGSI con el negocio.

Porcentaje de las iniciativas de seguridad de la información que contiene

estimación coste/beneficio: con este indicador se muestra la madurez en la gestión
de riesgos que tiene una organización.

Porcentaje de acuerdos con cláusulas se seguridad de la información: este

indicador muestra cómo todos los productos o servicios ofrecidos por nuestra
organización a terceros o al revés cumplen con la legislación en materia de seguridad
de la información.

Número de tiempo de parada de los servicios vinculados con la seguridad: esta

información la podemos conseguir a través de los informes de operaciones. Este
indicador refleja la eficacia del SGSI de forma directa.

Duración de las interrupciones del servicio: también al igual que el indicador

anterior, podemos obtener esta información a raíz de los informes de operaciones. Este
indicador también es importante, pues no sólo importa conocer el numero de paradas
sino la duración media de las mismas.

Tiempo de resolución de los incidentes: también es importante conocer la capacidad

de respuesta que tiene nuestros Sistema de Gestión de la Seguridad y Salud de la
Información. Podemos obtener la información también a través de los informes de
operaciones.
26