Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El ciclo de Deming,
también conocido
como círculo PDCA Las
( Edwards Deming ), es siglas, PDCA so
una estrategia de mejora n el acrónimo
continua de la calidad en de Plan, Do, Che
cuatro pasos, basada en ck, Act
un concepto ideado (Planificar,
por Walter A. Shewhart. Hacer, Verificar,
También se Actuar).
denomina espiral de
mejora continua, Es muy
Fuente: http://www.bulsuk.com/2009/02/taking-
utilizado por los Sistemas
de Gestión de Calidad
first-step-with-pdca.html
(SGC).
Círculo de Deming – (PDCA)
Los resultados de la
implementación de este ciclo
permiten a las empresas una
mejora integral de la
competitividad, de los productos y
servicios, mejorando
continuamente la calidad,
reduciendo los costes, optimizando
la productividad, reduciendo los
precios, incrementando la
participación del mercado y
Fuente:
aumentando la rentabilidad de la http://es.wikipedia.org/wiki/C%C3%ADrculo_de_D
empresa u organización. eming
(Planificar /Hacer /Verificar /Actuar)
Modelo utilizado para establecer, implementar, monitorear y mejorar
el SGSI.
Partes Partes
Interesadas Interesadas
Implementar
y Monitorear
operar el el SGSI
Requisitos y Seguridad
SGSI
expectativas Gestionada
Hacer Verificar
4
(Planificar /Hacer /Verificar /Actuar)
El SGSI adopta el siguiente modelo:
5
SGSI
El sistema de gestión de la seguridad de la
información (SGSI) es la parte del sistema de
gestión de la empresa, basado en un enfoque
de riesgos del negocio, para:
establecer,
implementar,
operar,
monitorear,
mantener y mejorar la seguridad de la información.
Incluye.
Estructura, políticas, actividades, responsabilidades,
prácticas, procedimientos, procesos y recueros.
6
Establecer el SGSI (Plan)
Establecer la política de seguridad, objetivos, metas, procesos
y procedimientos relevantes para manejar riesgos y mejorar la
seguridad de la información para generar resultados de
acuerdo con una política y objetivos marco de la organización.
Definir el alcance del SGSI a la luz de la organización.
Definir la Política de Seguridad.
Aplicar un enfoque sistémico para evaluar el riesgo.
Identificar y evaluar opciones para tratar el riesgo
Mitigar, eliminar, transferir, aceptar
Seleccionar objetivos de Control y controles a implementar
(Mitigar).
Establecer enunciado de aplicabilidad
7
Implementar y operar (Do)
Implementar y operar la política de seguridad, controles,
procesos y procedimientos.
Implementar plan de tratamiento de riesgos.
Transferir, eliminar, aceptar
Implementar los controles seleccionados.
Mitigar
Aceptar riesgo residual.
Firma de la alta dirección para riesgos que
superan el nivel definido.
Implementar medidas para evaluar la eficacia de los
controles
Gestionar operaciones y recursos.
Implementar programas de Capacitación y concientización.
Implementar procedimientos y controles de detección y
respuesta a incidentes.
8
Implementación del SGSI
Alcance.
Referencias Normativas.
Términos y Definiciones.
Estructura de esta Norma.
Obtención de la aprobación de la alta dirección para iniciar un
SGSI.
Definición del alcance del SGSI, límites y políticas.
Evaluación de requerimientos de seguridad de la información.
Evaluación de Riesgos y Plan de tratamiento de riesgos.
Diseño del SGSI.
Anexo A: lista de chequeo para la implementación de un SGSI.
Anexo B: Roles y responsabilidades en seguridad de la información
Anexo C: Información sobre auditorías internas.
Anexo D: Estructura de las políticas de seguridad.
Anexo E: Monitoreo y seguimiento del SGSI.
9
Monitoreo y Revisión (Check)
Evaluar y medir la performance de los procesos contra la
política de seguridad, los objetivos y experiencia practica y
reportar los resultados a la dirección para su revisión.
Revisar el nivel de riesgo residual aceptable,
considerando:
○ Cambios en la organización.
○ Cambios en la tecnologías.
○ Cambios en los objetivos del negocio.
○ Cambios en las amenazas.
○ Cambios en las condiciones externas (ej.
Regulaciones, leyes).
Realizar auditorias internas.
Realizar revisiones por parte de la dirección del
SGSI.
10
Monitoreo y Revisión (Check)
Se debe establecer y ejecutar procedimientos de monitoreo
para:
○ Detectar errores.
○ Identificar ataques a la seguridad fallidos y exitosos.
○ Brindar a la gerencia indicadores para determinar la
adecuación de los controles y el logro de los objetivos
de seguridad.
○ Determinar las acciones realizadas para resolver
brechas a la seguridad.
Mantener registros de las acciones y eventos que pueden
impactar al SGSI.
Realizar revisiones regulares a la eficiencia del SGSI.
11
Mantenimiento y mejora del SGSI
(Act)
Tomar acciones correctivas y preventivas, basadas en los
resultados de la revisión de la dirección, para lograr la
mejora continua del SGSI.
Medir el desempeño del SGSI.
Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las apropiadas acciones a implementar en el
ciclo en cuestión (preventivas y correctivas).
Comunicar los resultados y las acciones a emprender,
y consultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando
las acciones seleccionadas.
12
Mantenimiento de un SGSI
Aprobar documentos antes de su implementación.
Revisar y actualizar documentos periódicamente.
Garantizar que los cambios y el estado actual de revisión de
los documentos sean informados.
Garantizar que los documentos se mantienen legibles y
fácilmente identificables.
Garantizar que los documentos permanecen disponibles y
que sean transmitidos, almacenados y finalmente destruidos
acorde con los procedimientos aplicables según su
clasificación.
Prevenir la utilización de documentos obsoletos.
Aplicar la identificación apropiada a documentos que son
retenidos con algún propósito.
13
Implantación de los requisitos y
controles elegidos
Las fases que se llevaran a cabo en este punto serán:
Identificación-valoración de activos:
Se realizará una identificación, valoración de los activos, que
serán los elementos a proteger.
Identificación de amenazas:
Identificar y valorar las amenazas a las que se encuentran
expuestos estos activos.
Se ha realizado una tabla bastante extensa con todas las
valoraciones teniendo en cuenta las siguientes amenazas:
desastres naturales, de origen industrial, errores o fallos no
intencionados y ataques intencionados.
Calculo de impacto:
Se calculará el impacto, que no es más que la cuantificación del
daño que se puede producir sobre el activo al producirse la
amenaza.
14
Implantación de los requisitos y
controles elegidos
Calculo de impacto:
Se calculará el impacto, que no es más que la cuantificación del
daño que se puede producir sobre el activo al producirse la
amenaza.
Calculo del riesgo:
Una vez que se ha calculado el impacto potencial se puede
calcular el riesgo potencial asociado teniendo en cuenta la
frecuencia con la que puede tener lugar.
15
Análisis de Riesgos
Se debe tomar la decisión en relación a que riesgos la organización aceptara y
que controles serán implantados para mitigar el riesgo. Se requiere que la
dirección revise la gestión de riesgos para evaluar los niveles de riesgo
aceptados y el estado del riesgo residual.
Se definen también las fases que se llevaran a cabo en el análisis de riesgos.
Inventario de activos
Un apoyo para su elaboración es la metodología Magerit que incorpora el
concepto de propietario del riesgo (versus propietario del activo), quien deberá
aprobar tanto el plan de tratamiento de riesgos como el riesgo residual obtenido.
16
Valoración de los activos
El objetivo final del proceso es
tomar un conjunto de medidas
que garanticen nuestros
activos.
El coste de estas medidas no
ha de superar el coste del
activo que se tiene que
proteger.
Para poder valorar un activo se
han de tener en cuenta
diferentes aspectos, como por
ejemplo el coste de reposición,
el valor del tiempo sin servicio,
posibles penalizaciones, etc.
17
Dimensiones de seguridad
Autenticidad [A]. Hay garantía
de la identidad de los usuarios o
procesos que gestionarán la Valor Descripción
información.
Confidencialidad [C]. 10 Daño muy grave a la
Únicamente las personas organización
autorizadas tienen acceso a la
información sensible o privada. 7a9 Daño grave a la
Integridad [I]. La información y organización
los métodos de procesamiento
de esta información son exactos 4a6 Daño importante a la
y completos, y no se han
manipulado sin autorización organización
Disponibilidad [D]. Los 1a3 Daño menor a la
usuarios que están autorizados
pueden acceder a la información organización
cuando lo necesiten.
0 Daño irrelevante a la
No repudio [T]. Hay garantía de
la autoría de una determinada organización
acción y está asociada a quien
ha producido esta acción.
18
Análisis de amenazas
Los activos están expuestos a amenazas y estas pueden afectar
a los distintos aspectos de la seguridad. Se analizan qué
amenazas pueden afectar a qué activos. Una vez estudiado,
estimar cuán vulnerable es el activo a la materialización de la
amenaza así como la frecuencia estimada de la misma.
La metodología MAGERIT (Libro 2 “Catálogo de Elementos” -
Punto 5). Las amenazas están clasificadas en los siguientes
grandes bloques:
Desastres naturales
De origen industrial
Errores y fallos no intencionados
Ataques intencionados
19
Análisis de amenazas
20
Impacto potencial
Para el cálculo del impacto, no se tienen en cuenta
contramedidas, por tanto, el resultado que obtengamos de este
cálculo se podrá extraer un valor de referencia que ayudará
para determinar y priorizar un plan de acción. Al aplicar las
contramedidas, este valor se verá modificado.
21
Nivel de riesgo aceptable y riesgo
residual
Los riesgos no pueden eliminarse por
completo pese a las medidas que
tomen las organizaciones.
Sin embargo, de acuerdo a las
estrategias comentadas en la sección
anterior pueden disminuir la ocurrencia
de aquellos riesgos que pueden ser
más críticos a unos niveles aceptables.
Este riesgo que permanece después
de haber implementado las medidas se
conoce como residual y la organización
tomará la decisión de convivir él.
Una vez conocemos el impacto
potencial causado por un activo y su
impacto en el sistema, es posible
obtener el riesgo integrando la
frecuencia con que se puede dar un
hecho concreto en nuestros sistemas.
Para ello usaremos el siguiente cálculo:
Riesgo = Impacto Potencial *
Frecuencia
22
Nivel de riesgo aceptable y riesgo
residual
23
Definición de Controles
Un “Control” es lo que permite garantizar que cada
aspecto, que se valoró con un cierto riesgo, queda
cubierto y auditable
¿Cómo? De muchas formas posibles.
24
Indicadores de un SGSI
Los indicadores clave de rendimiento conocidos como KPI, son
herramientas de medición de aquellos aspectos esenciales que
marcan los logros de una determinada organización.
25
Ejemplos de indicadores de
rendimiento
Porcentaje de iniciativas empresariales apoyadas por el SGSI: con este indicador
se pone de manifiesto el nivel de alineación e integración de los SGSI con el negocio.