INSTITUTO TECNOLÓGICO

SUPERIOR DE LA REGIÓN DE LOS

LLANOS

METODOLOGIA DE PENTESTING

Alumno: Alejandro Parra Retana

No de Control: 15B100088

Ingeniería en Informática

1
Índice

Introducción…………………………………………………...……………………Pág. 3

Objeto……………………………………………………………..…………………Pág. 4

Objetivos…………………………………………………………………………….Pág. 4

Alcance…………………………………………………………….………………...Pág. 4

Términos y Definiciones…………………………………….……………………Pág. 4

Aproximación Básica………………………………………...……………………Pág. 6

Capítulo 1: Estructura de Gestión de Seguridad

Informática…………………………………………….…………………………….Pág. 7

1. Proceso de planificación de seguridad Informática………………….Pág. 8

1.1. Preparación…………………………………………………………Pág.

1.1.1. Compromiso de la dirección de la entidad con la Seguridad

Informática…………………………………………………………..Pág. 9

1.1.2. Seleccionar y preparar al equipo que participará en el diseño e

implementación de la metodología…………………………….Pág. 10
1.1.3. Recopilación de información de seguridad…………………..Pág. 11

1.2. Determinación de las necesidades de protección…………..Pág. 12

1.2.1. Características de la metodología……………………………Pág. 14

1.2.2. Identificación de amenazas…………………………………...Pág. 15

1.2.3. Estimación de riesgo sobre los activos informáticos…….Pág. 16

2
 1.2.4. Evaluación del estado actual de la Seguridad Informática….Pág. 17

1.3. Establecimiento de los requisitos de Seguridad……………....Pág. 17

1.4. Selección de controles de controles de

Seguridad

Informática…………………………………………………………….Pág. 18

1.5. Organización de la Seguridad Informática………………………Pág. 20

1.5.1. Organización Interna…………………………………………………Pág. 21

1.5.2. Coordinación de Seguridad Informática………………………….Pág. 21

1.5.3. Asignación de Responsabilidades de Seguridad Informática..Pág. 22

2. Determinación de las necesidades de protección…………..Pág. 23

2.1. Programa de Desarrollo de la Seguridad Informática….Pág. 25

2.2. Factores Críticos de Éxito…………………………………………Pág. 25

3. Proceso de Verificación de la Seguridad Informática…………….Pág. 27

3.1. Métodos de medición……………………………………………Pág. 29

3.2. Indicadores de Medición………………………………………..Pág. 29

4. Proceso de Actualización de la Metodología………………….Pág. 33

Conclusiones……………………………………………………………Pág. 34

Bibliografía………………………………………………………………Pág. 38

3
Introducción

La información, procedimientos, sistemas, dispositivos y redes son el activo más

importante de una organización hoy en día, por ello deben ser protegidos frente
amenazas que pongan en peligro la accesibilidad, disponibilidad, integridad,
confidencialidad de dicha información, estabilidad de procedimientos, niveles y
controles para garantizar la seguridad de la organización.

Generalmente la información es procesada, transmitida, intercambiada y

conservada en redes de datos, conjuntos de sistemas, dispositivos móviles y
soportes de almacenamiento, que forman parte del ecosistema que pertenece a
sistemas informáticos. Los sistemas tienden a estar sometidos a potenciales
amenazas y vulnerabilidades de seguridad de diversa índole, algunas originadas
desde la misma empresa, por causa de las malas prácticas que se utilizan al
desarrollar productos de software y/o trabajar con tecnologías. La seguridad

4
informática se basa principalmente en dos tipos de riesgos: físicos y lógicos, los
físicos pueden ser: sabotajes, incendios, accidentes, accesos a áreas no
autorizadas, tsunamis, etc. Y los riesgos lógicos pueden ser: software malicioso,
propagación de virus informáticos, ataques de intrusión, ataques de denegación de
servicios, pérdidas de información, entre otros.

Afortunadamente, se puede disminuir el nivel de riesgo de estas amenazas logrando

así evitar que se materialicen y que el impacto se mitigue considerablemente, esto
no implica tener necesariamente un amplio conocimiento en la seguridad
informática o en el análisis de sistemas, ni tampoco manejar un alto nivel jerárquico
de personal, solamente es cuestión de conocer , gestionar y controlar los riesgos a
los que puede ser sometido un sistema de información, haciendo uso de
procedimientos así como controles de seguridad necesarios que correspondan a las
necesidades y requerimientos de la organización.

El nivel de concientización sobre los niveles de seguridad se puede conseguir con

la implementación de controles que incluyan: normativas, políticas, procesos,
técnicas, estructuras de organización, funciones de hardware y software, todos
estos deben ser sistematizados, establecidos, implementados, supervisados y
mejorados cuando sea necesario.

Objeto

La presente metodología establece los aspectos que se deben tener en cuenta

durante la implementación de una estructura de seguridad informática para
cualquier entidad u organización haciendo énfasis a sus principales necesidades y
requerimientos y a los activos informáticos con los que se cuenta en ese momento.

Los aspectos que se describen en esta metodología establecen la creación de una

estructura de seguridad informática. Una vez teniendo definidos las necesidades,
objetivos, metas y requisitos de seguridad, procesos, tamaño y jerarquía de la
organización, razón por la cual la dimensión y complejidad se ajustará a lo requerido
por la misma.

5
Alcance

La presente metodología está dirigido a todo aquel usuario que trabaje o utilice
tecnologías de información de cualquier nivel de una organización para que hagan
un buen uso y se cree la conciencia de un buen funcionamiento de estas mismas
ya que con ellas es con lo que se labora hoy en día y se procesa la información.

Es importante mencionar que específicamente los destinatarios principales de esta

metodología son los dirigentes y supervisores de la empresa igualmente de cada
área correspondiente de la misma, ya que todos estos responden por el personal y
el uso que se le da a la tecnología como herramienta de apoyo para realizar sus
tareas diarias.

Términos y definiciones

Para efectos de esta metodología entiéndase por:

1. Amenaza: Es una situación en las que piratas informáticos logran entrar en

tus computadoras, dispositivos y/o servidores con malas intenciones. Estos
ataques, dependiendo de cuál sea, pueden darse a través de e-mails
engañosos, haciendo clic en anuncios maliciosos, etc.

2. Análisis de riesgo: Es un proceso que comprende la identificación de activos

informáticos, sus vulnerabilidades y amenazas a los que se encuentran
expuestos así como su probabilidad de ocurrencia y el impacto de las
mismas, a fin de determinar los controles adecuados para aceptar, disminuir,
transferir o evitar la ocurrencia del riesgo.
3. Activo Informático: Son los recursos que utiliza un sistema de información
para que las organizaciones funcionen y consigan los objetivos que se han
propuesto por la alta dirección. Los activos se encuentran asociados, de
forma directa o indirecta, con las demás áreas.
4. Impacto: Es el daño producido por la materialización de una amenaza.

6
 5. Riesgo: Es la probabilidad de que una amenaza se materialice sobre una
vulnerabilidad del sistema informático, causando un impacto negativo en la
organización.
6. Riesgo residual: Es el riesgo remanente después de aplicados controles de
seguridad para minimizarlo.
7. Seguridad: Es usado en el ámbito de minimizar los riesgos a que están
sometidos los activos informáticos hasta llevarlos a los niveles adecuados.
8. Sistema informático: Es el conjunto de activos informáticos de los que
dispone y depende una organización para su correcto funcionamiento y la
consecución de los objetivos.
9. Vulnerabilidad: En un sistema informático es un punto o aspecto susceptible
de ser atacado o de dañar la seguridad; representan las debilidades o
aspectos falibles o atacables en un sistema informático y califican el nivel de
riesgo del mismo.

Aproximación básica

La presente metodología está diseñada considerando el conjunto de activos

informáticos a partir de su importancia y el papel que representan para el
cumplimiento de su actividad, por lo que debe tomarse sumamente enserio sobre
todo a aquellos que sean críticos según la función que realicen y/o los servicios que
ofrezcan, así como también, los productos que generen.

Una metodología para la gestión de seguridad informática conlleva a la composición

de estrategias de cómo tratar las características y los principales aspectos de
seguridad, esto implica que se implementen controles necesarios para garantizar
que se cumpla y se llegue al objetivo de implementar un ecosistema de trabajo
seguro para ofrecer servicios y productos igualmente seguros a partir de un análisis
de riesgos considerando los siguientes puntos:

1. Determinar lo que se busca proteger

7
 2. Determinar las necesidades a proteger

3. Determinar la probabilidad de posibles amenazas

4. Implementar controles y mecanismos que protejan activos informáticos y

prácticas de desarrollo de tecnologías de manera rentable y confiable.
5. Verificar y revisar constantemente estos procesos y mejorarlos cada vez que
una vulnerabilidad se encuentre.

Cabe recalcar que los tres primeros puntos son los más importantes para la toma
de decisiones, garantizando así la seguridad de la empresa, considerando que
no se cuenta con un conocimiento previo de la informacion que se quiere
proteger.

La presente metodología incita a la adopción de un entorno y/o enfoque, basado

en procesos de pruebas, con el fin de: establecer, implementar, operar,
determinar, dar seguimiento y mejorar la estructura de seguridad de una
organización, por ello se sigue el modelo de procesos Planificar-
HacerVerificar-Actuar (PHVA), definido por la normalización NC-ISO-IEC
27001, esto para armar una estructura de procesos para la gestión de seguridad
informática.

Capítulo 1: Estructura de Gestión de la Seguridad Informática

8
 Procesos de la Metodología de Gestión de Seguridad Informática Se
compone de 4 pasos:

Hacer

Requerimientos y
expectativas de Verificar Seguridad
Planificar
seguridad Garantizada

Actuar

Ciclo de vida de la metodología

Tomando referencias de otras metodologías como por ejemplo la metodología NIST

(National Institute Of Standars and Technology).
(https://csrc.nist.gov/Projects/riskmanagement/publications) Esta metodología se
presta para el análisis y gestión de riesgos de seguridad de la información, alineada,
enfocada y complementaria con el resto de algunos otros documentos que
pertenecen a este instituto como lo son: SP 800-30, NISTIR 8212, SP 800-53A Rev.
5 y el NISTIR 8212

9
Podemos incluir otros 9 pasos para complementar este ciclo de vida tomando en
cuenta el análisis de riesgo son:

• Caracterización del sistema.

• Identificación de amenazas.

• Identificación de vulnerabilidades.

• Control de análisis.

• Determinación del riesgo.

• Análisis de impacto.

• Determinación del riesgo.

• Recomendaciones de control.

• Resultado de la implementación o documentación.

1. Proceso de Planificación de Gestión de Seguridad Informática.

Objetivo principal: La realización del análisis y evaluación de los riesgos

de seguridad, selección y aplicación de controles adecuados.

En esta primera etapa se crean los términos y condiciones del diseño

implementación y la Gestión de Seguridad Informática, por lo tanto se realiza un
estudio de la situación del entorno informático desde el punto de vista de la
seguridad, con el fin de determinar las acciones a realizar en función a las
necesidades detectadas y con ello poder establecer políticas, objetivos,
procedimientos y metas de seguridad aptos para controlar y mejorar las fallas de
seguridad informática encontradas, dando como resultado la obtención de un
impacto positivo conforme a las políticas y objetivos globales de la organización.

Los activos informáticos de los que dispone una entidad no tienen el mismo valor,
e igualmente, no están sometidos a los mismos riesgos, por lo que es importante
la realización de un análisis de riesgos que ofrezca una valoración de los
activos informáticos y las amenazas a las que están expuestos, de la misma

10
manera, una explicación sobre cómo se gestionaran dichos riesgos para
mitigarlos.

Como resultado, se establecerán las prioridades en las tareas y acciones a

realizar para minimizar los riesgos. Dado que los riesgos nunca desaparecen
totalmente, la dirección de la entidad debe asumir el riesgo residual, o sea el
nivel de riesgo después de su tratamiento.

1.1 Preparación

Durante la preparación se crean las condiciones para el diseño e implementación

de la gestión de estructura de seguridad informática, considerando los aspectos
siguientes:

1. Asegurar el compromiso de la dirección.

2. Seleccionar y preparar al personal del equipo que participará en el diseño e

implementación de la estructura de seguridad.
3. Recopilar información de seguridad.

1.1.1 Compromiso de la dirección de la entidad con la Seguridad

Informática

La dirección deberá apoyar activamente la seguridad dentro de la organización

mediante una orientación clara, compromiso demostrado y la asignación explicita
de las responsabilidades de seguridad informática y su reconocimiento, para lo
cual:

a) Asegura que los objetivos de seguridad informática estén identificados,

cumplen los requisitos de la organización y están integrados en los procesos
principales.
b) Formula, revisa y aprueba las políticas de seguridad informática.

11
 c) Revisa la efectividad de la implementación de las políticas de seguridad.

d) Provee una orientación clara y apoyo visible hacia las iniciativas de

seguridad.
e) Proporciona los recursos para la seguridad informática

f) Aprueba la asignación de los roles específicos y responsabilidades en

seguridad informática en la organización.
g) Inicia planes y programas para mantener la concienciación sobre seguridad.

h) Asegura que la implementación de los controles de seguridad informática sea

coordinada en toda la organización.

1.1.2. Seleccionar y preparar al equipo que participará en el diseño e

implementación de la metodología.

Durante este proceso la implementación no debe ser realizada por una sola
persona o por un grupo de personas de una misma especialidad, sino que debe
ser resultado del trabajo multidisciplinario en el que participen todos aquellos que
de manera integral puedan garantizar el cumplimiento de los objetivos
establecidos.

El equipo de diseño e implementación se conforma con:

1. Dirigentes, supervisores y funcionarios de los diferentes niveles a los que

correspondan.
2. Personal del área de sistemas e informática que domina los aspectos
técnicos necesarios para la implementación de controles y medidas de
seguridad.
3. Profesionales de la protección de información, a partir de su responsabilidad
en la custodia de los bienes informáticos y otros que se consideren de
acuerdo a su perfil.

1.1.3. Recopilación de información de seguridad

12
Durante se trabaja en el proceso de preparación, se deberá reunir toda la
información que facilite el diseño e implementación de la metodología, por lo cual
se utilizan los documentos, normativos y metódicos que estén al alcance,
documentación de aplicaciones y sistemas en explotación dentro de la organización;
documentos de incidentes ocurridos en la entidad o entre otras organizaciones
afines; tendencias de seguridad nacionales e internacionales, así como otros
materiales que faciliten su realización.

1.2. Determinación de las necesidades de protección

Las necesidades de protección del sistema informático, se establecen por la

realización de un análisis de riesgos, que es el proceso dirigido a determinar la
probabilidad de que las amenazas se materialicen sobre los activos informáticos e
implica la identificación de los activos a proteger, las amenazas que actúan sobre
ellos, su probabilidad de ocurrencia y el impacto que puedan causar.

La realización del análisis de riesgos debe proporcionar:

a) Una detallada caracterización del sistema informático objeto de protección

b) La creación de un inventario de bienes informáticos a proteger.

c) La evaluación de los activos informáticos a proteger en orden de su

importancia para la organización.
d) La identificación y evaluación de amenazas y vulnerabilidades.

e) La estimación de la relación importancia-riesgo vinculada a cada activo

informático lo que nos genera un peso de riesgo.

En el proceso de análisis de riesgos se pueden diferenciar dos puntos

importantes:

1. La Evaluación de Riesgos orientada a determinar los sistemas, productos,

prácticas que, en su conjunto o en cualquiera de sus partes, pueden verse
afectados directa o indirectamente por amenazas, valorando los riesgos y

13
 estableciendo sus niveles a partir de las posibles amenazas, vulnerabilidades
existentes y el impacto que estos puedan generar en la organización.
2. La Gestión de riesgos: implica que la identificación, selección, valoración,
aprobación y manejo de los controles a establecer para eliminar o reducir los
riesgos evaluados a niveles aceptables, con acciones destinadas a:
a) Reducir la probabilidad de surjan amenazas.

b) Limitar el impacto de una amenaza, si esta se origina

c) Reducir o mitigar una vulnerabilidad o posible amenaza existente

d) Permitir la pronta recuperación del impacto o su transferencia a terceros.

Este proceso implica una clasificación de posibles alternativas para manejar los
riesgos y/o conflictos a los que pueda estar expuesto un activo informático dentro
los procesos en una organización. Implica una estructura sólida y bien definida,
con controles adecuados y su conducción mediante acciones factibles y
efectivas. Para ello se cuenta con técnicas de control de riesgos como lo son:

1. Evitar: Impedir que los riesgos con un daño significativo por mejoramiento,
rediseño o eliminación, en los procesos, siendo el resultado de adecuados
controles y acciones realizadas.
2. Reducir: Una vez que el riesgo no puede evadirse o evitarse por alguna
dificultad o problema de tipo operacional, la solución puede ser reducirlo al
nivel más bajo posible.
3. Retener: Una vez que se reduce el impacto del riesgo pueden aparecer
riesgos residuales. Como estrategia de control de riesgos se debe plantear el
cómo manejarlos para después mantenerlos en un nivel mínimo.
4. Transferir: Se trata de buscar un respaldo contextual para compartir el riesgo
contra otras organizaciones, como lo puede ser, alojamiento, hospedaje,
externalización de servicios, entre otros.

Para establecer una necesidad de actualizaciones permanente del análisis, se

tendrá que determinar lo siguiente:

14
a) Los productos que se generen y/o usen dentro de las organizaciones estas
siendo cualquier tecnología como sistema de información, servicio web o
cualquier otro deben estar sometidos a constantes variaciones:
modificaciones a mecanismos de operación, cambio a personal, cambio a
técnicas de desarrollo de tecnologías, respaldos, etc.
b) La aparición de nuevas amenazas o la valoración de la probabilidad de
ocurrencia de alguna de las existentes.
c) Pueden aparecer nuevas vulnerabilidades o variar o incluso desaparecer
alguna de las existentes, originando, modificando o eliminando posibles
amenazas.

En resumen, durante la determinación de requerimientos y necesidades de la

presente metodología se necesita:

1. Identificar amenazas potenciales y estimar los riesgos sobre los activos

informáticos
2. Evaluar el estado actual de la seguridad

1.2.1 Identificar amenazas potenciales y estimar los riesgos sobre los

activos informáticos

Para proteger cada bien informático son necesario los requisitos de

confidencialidad, integridad y disponibilidad, por lo que hay que determinar cada
amenaza sobre la base de como pueda afectar a estas características de la
información. El peso que cada una de estas características tiene para los activos
informáticos varia de una organización a otra, dependiendo de la naturaleza y de
los procesos informáticos que se llevan a cabo de su función, de su objeto social.
Algunas de las principales amenazas son:

a) Perdida de información.

b) Corrupción o modificación de la información

c) Sustracción, alteración o perdida de equipos o componentes

d) Divulgación de información

15
e) Interrupción de servicios

La realización de un análisis de riesgos implica el examen de cada una de las

amenazas sobre los activos informáticos y su clasificación por niveles, a partir
de la probabilidad de su aparición y la severidad del impacto que puedan causar.

1.2.2. Estimación de riesgo sobre los bienes informáticos

Una amenaza puede ocurrir sobre varios activos informáticos con la misma
probabilidad, sin embargo sus consecuencias no necesariamente serán iguales,
dependiendo en cada caso de la importancia del bien en cuestión. La
interrelación entre la probabilidad que se materialicen las amenazas que actúan
sobre los activos informáticos y la importancia estimada para el mismo
determinan el peso de riesgo. De esta manera se puede determinar el nivel de
impacto del riesgo para cada activo informático.

Hacer una evaluación de riesgos posibilita conocer que activos informáticos, o

que áreas en específico están sometidas a un mayor peso de riesgo y su
naturaleza, lo que permite la selección adecuada de los controles de seguridad
que deben ser establecidos en cada uno de los casos, garantizándole de esta
manera una correcta proporcionalidad por medio de una adecuada relación entre
costos y beneficios.

16
Los riesgos a los que está sometido un sistema u organización es un aspecto
que se debe tomar muy en cuenta ya que afectan directamente a los
componentes de cada sistema y organización, de esto se puede partir para tomar
las medidas y determinar los controles necesarios para garantizar la seguridad
de forma exitosa.

La exposición y aplicación de elementos que aquí se exponen, dependen de la

dependencia, composición y preparación de equipos de trabajo, tecnologías y
diversas herramientas que ayuden a cumplir con el objetivo general de esta
metodología.

Por otro lado, al momento de presentar resultado esto dependerá de los valores
estimados, conclusiones, y comentarios a los que se lleguen a ser tomados como
una aproximación acertada al problema y que pueda ajustarse en versiones
posteriores, correspondiente a la práctica.

1.2.3. Evaluación del estado actual de la Seguridad Informática

Generalmente las entidades que desarrollan tecnologías de la información,

aunque no se diseñen sistemas de seguridad informática se considera de forma
integral que es un factor que debe tomarse en cuenta, implementando normas,
medidas y procedimientos de seguridad, generalmente de forma empírica
partiendo de incidentes que hayan ocurrido o de las experiencias de otras
organizaciones, por lo que claramente es insuficiente y da lugar a la existencia
de vulnerabilidades.

Es de suma importancia garantizar la efectividad de los controles existente, sobre

los resultados del análisis de riesgos realizado, con miras de perfeccionarlos o
sustituirlos por aquellos que brinden la respuesta adecuada.

Dichos resultados nos ayudaran a tomar un enfoque y a determinar un apropiado

plan de acción gerencial y las propiedades para gestionar los riesgos en la

17
seguridad informática, así como la implementación de controles de riesgos
específicos para protegerse.

Las necesidades más importantes a proteger deben dar como resultado lo

siguiente:

1. Cuáles son los activos informáticos más importantes a proteger.

2. Que amenazas tienen un mayor impacto sobre los activos informáticos y su

posible riesgo sobre la organización.
3. Que áreas están sometidos a un mayor peso de riesgo y que amenazas los
motivan.
4. Que controles de seguridad deben ser mejorados, sustituidos y en los casos
que se requieran definir e implementar alguno nuevo.

Llegado a este punto es necesario:

1. Identificar y evaluar alternativas posibles para tratar los riesgos

2. Seleccionar e implementar los controles que permitan reducir el riesgo a un

nivel aceptable.
3. Identificar los riesgos residuales que están sin resolver.

4. Preparar un plan para el tratamiento de los riesgos.

5. Preparar procedimientos para implementar los controles.

Cabe mencionar que estos procedimientos, se basan en la metodología CORAS,

la cual es una “metodología de análisis de riesgos basada en la elaboración de
modelos que constan de sietes pasos, basados fundamentalmente entrevistas
con los expertos”. Pero tomando en cuenta que esto se basa en la elaboración
de modelos, la idea de esta metodología, apoya la elaboración e implementación
de controles de riesgos, tomando en cuenta que de la metodología CORAS se
apoya la idea de realizar un análisis de riesgo pero también apoyado de un
control de riesgos.

1.3 Establecimiento de los requisitos de Seguridad Informática

18
Una parte fundamental del proceso de planificación de protección de la organización
consiste en identificar los requisitos de seguridad. Tomando en cuenta que la
metodología CORAS trabaja con 7 pasos, en esta metodología se contemplan solo
5 pasos:

1. La determinación de las necesidades de protección de la organización,

durante la cual se identifican los bienes informanticos más importantes; las
amenazas a que están sometidos.
2. El conjunto de requisitos instituidos por obligaciones contractuales, normas
legales y técnicas que debe satisfacer la organización.
3. Los principios, objetivos y requisitos que forman parte del procesamiento de
la información que la organización ha desarrollado para apoyar sus
operaciones.
4. Estimación de riesgos, probabilidades e impactos de los incidentes.

5. Evaluación de riesgo, emisión del informe de riesgos, para su ajuste fino y

correcciones.

Necesidades de
Protección

Exigencias
Superiores

Necesidades de
Procesamientos Requisitos de
seguridad

Controles de riesgo

Informes de
Impacto

19
Los requisitos se identifican mediante la evaluación de los riesgos. El gasto en
controles deben equilibrarse con el procedimiento de la organización, y lo que
resulte de los fallos de seguridad (costo – beneficio).

1.4 Selección de controles para Seguridad Informática

La organización deberá decidir que controles pueden ser implementados y

cuales no según los criterios y necesidades que se tengan en cuenta, un riesgo
puede ser aceptado si, se determina que es bajo o si el costo de la resolución no
es rentable para la organización.

Para cada riesgo identificado se tomará una decisión y/o un criterio sobre su
tratamiento.

a) Aplicar controles adecuados para reducir riesgos.

b) Aceptar riesgos de manera consciente y objetiva, siempre y cuando que

satisfagan claramente la política y los criterios de la organización para la
aceptación de riesgos.
c) Evitar riesgos, no permitiendo las acciones que proporcionen los riesgos.

d) Transferir los riesgos a otras partes por ejemplo, aseguradores y/o

proveedores.

Para aquellos riesgos donde se decida imponer controles apropiados, estos se

seleccionaran e implantarán para lograr los requisitos identificados mediante la
evaluación de riesgos. Los controles deben asegurar que los mismos son
reducidos a un nivel aceptable tomando en cuenta:

a) Requisitos y restricciones de la legislación y de las regulaciones nacionales

e internacionales.
b) Objetivos de la organización

20
c) Requisitos y restricciones operacionales.

d) Costo de la implementación y de la operación.

e) La necesidad de balancear la inversión en la implementación y la operación

de controles contra el daño probable como resultado de fallas de la seguridad.

Los controles de seguridad que se vayan a seleccionar para la reducción de

amenazas a un nivel aceptable cubrirán adecuadamente las necesidades
específicas de la organización. La selección de los controles de seguridad
depende de una decisión organizacional basada en los criterios de seguridad
depende de una decisión organizacional basada en los criterios para la
aceptación del riesgo, las opciones para el tratamiento del mismo, y el
acercamiento a sus gestión, las opciones para el tratamiento del mismo, y del
acercamiento a su gestión general aplicada a la organización, y también estará
conforme a toda la legislación y regulaciones nacionales e internacionales
vigentes.

Los objetivos de control y los controles se basan en: los resultados y

conclusiones de la evaluación de riesgos y en los procesos de tratamiento del
riesgo; en los requisitos legales o reglamentos; en las obligaciones contractuales
y en las necesidades orgánicas de la entidad en materia de seguridad
informática.

Estos controles de seguridad informática serán considerados en etapas de

especificación de requisitos, diseño y necesidades, sistemas y aplicaciones. Ya
que no hacerlo puede dar lugar a costos adicionales y a soluciones menos
eficaces, y en el peor de los casos, la imposibilidad de alcanzar la seguridad
adecuada. Estos controles serán establecidos, implementados, supervisados y
mejorados cuando sea necesario para asegurar que se cumplen los objetivos
específicos de seguridad de la organización.

21
Se debe tener muy presente que ningún sistema de controles puede alcanzar la
seguridad completa y que acciones adicionales de gestión deben implementarse
para supervisar, evaluar y mejorar la eficiencia y la eficacia de los controles de
seguridad para satisfacer y apoyar las metas y necesidades de la organización.

La seguridad informática se puede lograr implantando un conjunto adecuado de

controles, que incluyen políticas, procesos, medidas, procedimientos,
estructuras organizativas y funciones de hardware y software. Nos referimos a
continuación específicamente a las políticas y a las medidas y procedimientos
de seguridad informática.

1.5. Organización de la Seguridad Informática

Con el objetivo de gestionar la seguridad se establecerá un marco apropiado

para iniciar y controlar su implementación dentro de la organización.

1.5.1. Organización interna

La dirección de la empresa deberá aprobar las políticas de seguridad de la

entidad, asignara roles de seguridad, coordinara y revisara la implementación de
la seguridad a través de la organización.

Si es necesario, gestionara una fuente de asesoramiento especializada en el

área de la ciberseguridad. Serán establecidas capacitaciones a través de
portales web, Webinars, contacto con expertos en la materia, organizaciones

22
especializadas o grupos externos, esto para estar al día con las tendencias sobre
la seguridad informática.

1.5.2. Coordinación de la Seguridad Informática

Las actividades enfocadas a la seguridad informática serán coordinadas y

controladas por la dirección de la organización así como también personal del
área de sistemas con funciones y roles específicos. Esta coordinación deberá:

a) Asegurar que las actividades referentes a la seguridad son ejecutadas de

acuerdo a las políticas establecidas.
b) Identificar cómo manejar los incumplimientos

c) Aprobar metodologías y procedimientos para la seguridad informática, por

ejemplo, de evaluación de riesgos y amenazas, respaldos de información y
tratamiento de incidentes.
d) Identificar cambios de impacto ante cualquier amenaza y la exposición de la
información y de las instalaciones de procesamiento de información a las
amenazas
e) Evaluar la adecuación y coordinación de la implementación de los controles
de seguridad informática

f) Promover en forma efectiva la educación, la formación y la concienciación en

seguridad informática a través de la organización.
g) Evaluar la información resultante del tratamiento y análisis de los incidentes
de seguridad informática y las acciones recomendadas en respuesta a los
mismos.

1.5.3. Asignación de responsabilidad en cuanto a Seguridad Informática

23
Se asignaran las responsabilidades de seguridad del personal vinculado con el
sistema informático de acuerdo con su participación en el mismo. Dichas
responsabilidades, se asignaran de acuerdo a las áreas y facultades del personal
con el que se cuente. Estas responsabilidades serán complementadas, de ser
necesario, con medidas y procedimientos específicos.

Las personas que tengan responsabilidades de seguridad asignadas, podrán

delegar tareas de seguridad a otras, sin embargo, siguen manteniendo la
responsabilidad y deberán poder garantizar que cualquier tarea delegada se ha
cumplido correctamente. Se considera lo siguiente:

a) Definir y documentar los niveles de autorización

b) Identificar y definir los bienes informáticos y los procesos de seguridad

asociados con cada sistema específico.
c) Asignar un responsable de cada activo informático o proceso de seguridad y
documentar los detalles de dicha responsabilidad.

Se establecerán niveles de responsabilidad asociados con las políticas de

seguridad. Por ejemplo, en una red se puede definir un nivel con los usuarios de
la misma, donde cada uno tendrá la responsabilidad de proteger su cuenta. Un
usuario que permita que su cuenta sea comprometida incrementa la posibilidad
de comprometer otras cuentas o recursos. Los administradores de redes y
sistemas forman otro nivel de responsabilidad, implementando los mecanismos
de seguridad que se requieran.

Los usuarios son responsables cada uno de la comprensión y aplicación de las

políticas de seguridad de los sistemas que ellos emplean y del uso apropiado de
los recursos que se les han asignado.

Capítulo 2. Proceso de Implementación de la Metodología

Objetivo General: Garantizar una adecuada implementación de los

controles, mecanismos, herramientas y métodos para la correcta

24
aplicación de los mismos para reducir el impacto y la eliminación de
amenazas y riesgos que puedan afectar a los activos informáticos
producidos y que pertenezcan a la organización.

Durante el proceso de implementación se comienzan a gestionar los riesgos

identificados mediante la aplicación de los controles de revisión previamente
establecidos y seleccionados, y, las acciones apropiadas por parte del personal
definido, los recursos técnicos disponibles en función de la seguridad y las
medidas administrativas, que garanticen la implantación de controles efectivos
para lograr el nivel de seguridad necesario en correspondencia con los objetivos
de la organización, de manera que se mantenga siempre el riesgo por debajo del
nivel asumido por la propia organización.

Se garantizará que el personal al que se asignen responsabilidades definidas en

la organización de esta metodología tendrá la capacidad necesaria para realizar
las tareas y procesos exigidos, mediante la formación y el entrenamiento que les
permita adquirir el conocimiento y las habilidades que requieran en
correspondencia con su papel dentro de la organización, por lo cual se
implementan espacios de capacitación.

La organización también asegurará que el personal tiene conciencia de la

necesidad e importancia de las actividades de seguridad informática que le
corresponde realizar y como ellas contribuyen al logro de los objetivos de la
presente metodología.

Las actividades de formación y sensibilización incluyen:

1. Concientizar al personal de la empresa sobre la importancia de tener buenas

prácticas y un enfoque sobre el buen desarrollo de sistemas y aplicaciones
de información.
2. Garantizar la divulgación, el conocimiento y comprensión de las políticas de
seguridad que se implementan.

25
3. Capacitar a los usuarios en las medidas y procedimientos que se van a
implantar.
4. Lograr que el personal este responsabilizado sobre los roles a cumplir dentro
de la organización.

Se requiere además precisar el procedimiento de medición de la eficacia de los

controles o grupos de controles seleccionados, y especificar como se ven a
emplear estas mediciones con el fin de evaluar y preservar su eficacia para
producir resultados y servicios comparables y reproducibles y de esta forma
determinar si las actividades de seguridad implementadas satisfacen las
expectativas concebidas.

Y finalmente se implementaran los procedimientos y controles que se requieran

para detectar y dar atención oportuna a los incidentes de seguridad que se
presenten, y también tomando en cuenta su reporte a las instancias pertinentes.

El proceso de implementación es una etapa importante y tal vez la más difícil.

De nada sirve haber realizado una buena auditoria de las necesidades y
requisitos de protección e incluso haber hecho una excelente selección de los
controles de seguridad a aplicar si no se logra implantarlos en cada lugar,
ajustándolos a las particularidades de los bienes a proteger a las exigencias
específicas de cada área.

De modo para que el proceso de implementación de la metodología para que

sea exitosa debe garantizar la implantación de todos los controles que fueron
concebidos y su conocimiento y comprensión por los encargados de ejecutarlos
y cumplirlos.

2.1. Programa de Desarrollo de la Seguridad Informática

Es posible que la implementación de algunos controles requiera de un tiempo

adicional, ya sea porque necesitan algún tipo de recursos con que no se cuenta,
la realización de gestiones complementarias u otras causas. Las acciones que

26
sean necesarias para lograr la implementación de estos controles se incluirán
señalando los plazos para su cumplimiento y el personal responsabilizado con
su ejecución. Los aseguramientos que se deriven de estas acciones se
requieran. El cumplimiento de este programa contribuirá al proceso de mejora
continua de la seguridad informática y será actualizado según se vaya aplicando.
Algunos aspectos importantes a considerar para el Programa de Desarrollo de
la Seguridad Informática pueden ser los siguientes:

1. La implementación a mediano y largo plazo de aquellos aspectos que así lo

exijan para alcanzar un mayor nivel de seguridad, como por ejemplo la
introducción de medios técnicos de seguridad, modificación de locales, etc.
2. La preparación y capacitación del personal en materia de seguridad
informática, según su participación en la metodología diseñada, ya sea a
través de cursos específicos, mediante la impartición de materias
relacionadas con el tema y con acciones de divulgación.
3. La organización y ejecución de controles, inspecciones y auditorias (internas
y externas), mencionando con qué frecuencia se realizan, quienes participan
y el contenido de las mismas.

2.2 Factores críticos de éxito

Tomando en cuenta otras metodologías que son similares y aplicables a esta

misma, como por ejemplo, la metodología Magerit,
(https://www.pmgssi.com/2015/03/iso-27001-el-metodo-magerit/) dicha
metodología se encarga de dividir los activos más importantes de la organización
para su análisis y poder identificar riesgos de una manera más cuantificable y
darle seguimiento más personalizado a cada uno para ofrecer una mayor
precisión de resolución de problemas y controles de seguridad. De la misma
manera la metodología que también se estudia y de la que se apoya la presente
metodología es la metodología CORAS,(
https://www.ercim.eu/publication/Ercim_News/enw49/dimitrakos.html) esta

27
metodología se basa en un análisis de riesgos basado en la elaboración de
modelos, de aquí parte la idea de implementar un modelo de controles para
analizar y resolver los riesgos que se presenten, como a su vez la metodología
NIST SP 800-30, esta se incluye de una serie de pasos o controles en nuestro
caso para el análisis y la gestión de riesgos de la seguridad de la información.

Como se puede ver estas metodologías incluyendo la que se está presentando,

comparten algunas singularidades y se apoyan una de otra pero debemos tomar
en cuenta que de cada una de las metodologías antes presentadas se toman las
características más importantes y se complementa con mejoras hacia cada
punto antes expuesto.

La implementación de los controles seleccionados y la correcta aplicación de los

mismos en una organización presuponen además la consideración de los
factores siguientes:

a) El enfoque para implantar la seguridad que sea consistente con la cultura de

la organización
b) El apoyo visible y el compromiso de la alta dirección.

c) La buena comprensión de los requisitos de seguridad, de la evaluación del

riesgo y de la gestión del riesgo.
d) La comunicación eficaz de la necesidad de la seguridad a todos los directivos
y trabajadores.
e) La distribución a todos los trabajadores de directrices y normas sobre la
política de seguridad informática de la organización.
f) El suministrar recursos para las actividades de gestión de la seguridad
informática.
g) El proporcionar concienciación, formación y educación apropiadas.

h) El proceso efectivo de gestión de incidentes de seguridad informática.

i) La implementación de una metodología para la medición y evaluar el

desempeño en la gestión de seguridad informática y las sugerencias de
mejoras.

28
Para cumplir con lo expresado anteriormente se expone un cronograma de
implementación por áreas, mediante el cual con los jefes de las mismas
garanticen:

1. La concienciación del personal sobre la necesidad e importancia de sus

actividades de seguridad informática y con ellas contribuyen al logro de los
objetivos de la metodología.
2. La preparación del personal para el cumplimiento de sus obligaciones en
cuanto a la seguridad informática.
3. La implementación de los controles de seguridad, tanto los comunes para
toda la entidad como los específicos para el área.
4. La verificación de que los controles de seguridad establecidas en la
organización.
5. La precisión de los métodos de evaluación de la eficiencia de los controles
que se implementen.

Capítulo 3. Proceso de Verificación de los Procesos de Gestión de

Seguridad Informática.

Objetivo principal: Revisar y evaluar el desempeño (eficiencia y eficacia) de

la gestión de seguridad informática

Uno de los aspectos más importantes en el proceso de diseño e implementación

de la metodología de gestión de seguridad informática es el establecimiento de
los indicadores y métricas de gestión. Esto permite a la Dirección valorar si los
esfuerzos realizados están o no cumpliendo con los objetivos planteados. Para
ello se utiliza la medición como instrumento de control. Es necesario lograr
diagnosticar correctamente que está pasando y que es necesario corregir para
poder gestionar.

Mediante el proceso de revisión se comprobará la conformidad con los patrones

establecidos y como parte de ello se medirá la efectividad de los controles de
gestión de seguridad informática, para lo cual se precisa considerar las acciones
siguientes:

29
1. Revisiones periódicas de los indicadores seleccionados

2. Revisiones de los riesgos residuales y riesgos aceptables.

3. Realización de auditorías internas/externas de seguridad informática.

4. Comunicación de los resultados de las auditorías a las partes interesadas.

La ejecución de procedimientos de revisión mediante instrumentos de medición

posibilita detectar errores de proceso, identificar fallos de seguridad de forma
rápida y determinar las acciones a realizar. Se utilizan para ello los indicadores
seleccionados sobre la base de los criterios en relación a que aspectos se deben
controlar y medir para lograr el cumplimiento de las metas planteadas.

Los objetivos de estos procedimientos de revisión son:

1. Evaluar la efectividad de la implementación de los controles de seguridad.

2. Evaluar la eficiencia de la metodología, incluyendo mejoras continuas.

3. Proveer estados de seguridad que guíen las revisiones de la metodología,

facilitando mejoras a la seguridad y nuevas entradas para auditar.
4. Comunicar valores de seguridad a la organización.

5. Servir como entradas al análisis y tratamiento de riesgos.

La gestión de la seguridad informática se basa en un ciclo de mejora continua,

por lo que es vital medir para poder observar como las cosas mejoran a medida
que el sistema va madurando. Si no se mide, se trabajá en base a sensaciones,
y las decisiones tomadas sin la información necesaria pueden conducir a
equivocaciones.

Pasado un periodo de tiempo previsto de antemano, hay que volver a recopilar

datos de control y analizarlos, comparándolos con los objetivos y
especificaciones iniciales, para evaluar si se han producido cambios que afecten
los resultados esperados. Donde sea aplicable, se debe medir el desempeño de
la metodología contra políticas y los objetivos de seguridad y la experiencia
práctica, y reportar los resultados a la Dirección, para su revisión.
30
 3.1. Métodos de Medición

Los métodos de medición pueden abarcar varios tipos de actividades y un mismo

método puede aplicarse a múltiples aspectos. Por su naturaleza los métodos de
medición pueden ser subjetivos u objetivos. Los métodos subjetivos implican el
criterio humano, mientras que los objetivos se basan en una regla numérica, que
puede ser aplicada por personas o recursos automatizados.
Algunos ejemplos de métodos de medición son:

1. Encuestas/indagaciones.

2. Observación.

3. Entrevistas

4. Cuestionarios

5. Evaluación de conocimientos.

6. Inspecciones

7. Consulta a sistemas, manuales, normativas y/o políticas

8. Supervisión

9. Muestreo.

La medición debe servir para cuestionar continuamente en base de datos y

registros si los controles de seguridad están funcionando bien. Se establecerá
un conjunto de indicadores que sirvan para evidenciar que lo implementado
funciona correctamente.

3.2 Indicadores de medición

En esta etapa adquieren espacial importancia los registros (evidencias) que

dejan los diferentes controles, así como los indicadores que permiten verificar el
correcto funcionamiento de la metodología.

31
Cada indicador debe tener asociado valores que representen las metas a
cumplir. En este sentido, cada organización definirá su criterio respecto a qué
aspectos quiere controlar y medir para lograr el cumplimiento de los objetivos.

Para ello se pueden definir distintos grupos de indicadores que recojan los
diferentes ámbitos que se quieren gestionar. Por lo tanto se podrán tener:

1. Indicadores del grado de efectividad de los controles de seguridad: Su

sentido es valorar si los controles implantados están funcionando bien o es
necesario ajustarlos.
2. Indicadores de medición del entorno y la hostilidad: Su misión es detectar
cambios en el entorno y contexto que rodea a la metodología para realizar
ajustes respecto al análisis de riesgos por aparición de nuevas amenazas o
cambios en sus frecuencias de ocurrencia.
3. Indicadores de gestión interna: Estos se establecen para evaluar el
funcionamiento propio de la propia metodología y tiene que ver con la
monitorización de las tareas propias de gestión.

Al definir y valorar el comportamiento de los indicadores se tendrá muy en cuenta

el daño derivado de la ocurrencia de un incidente y su posible impacto en los
objetivos de la organización.

La información referente a estos indicadores, desde la perspectiva de la gestión,

es la más crítica dado que es la base de la retroalimentación del sistema. Por
tanto, hay que disponer de sensores de diferente naturaleza y con diferentes
objetivos: medir la evolución de la ejecución del plan, valorar el rendimiento y
funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve
más hostil, etc.

32
 Métodos:

Subjetivos y

Objetivos

Procesos
Procesos
Productos
Productos
Medición Indicadores Información Proyectos
Proyectos
Recursos
Recursos

Los datos medibles durante la presencia de incidencias se presentan mediante las

siguientes tablas y gráficos con datos de tres indicadores seleccionados:

33
Otro aspecto a tener en cuenta es el de la frecuencia. Se deben definir y programar
claramente los intervalos en los cuales se llevará a cabo cada medición (semanal,

34
mensual, trimestral, anual, etc.), considerando una relación entre la necesidad de
contar con esta información y el esfuerzo para obtenerla (costo/beneficio).

Se puede definir un total de factores a evaluar (que nombraremos con K) y ver

cuántos de ellos se cumplen (que nombraremos con k).

Por ejemplo: De 10 factores predeterminados se cumplen 7

K = 10 y k = 7

7/10 = 0.7 => 70 %

Algunas posibles relaciones para indicadores pudieran ser:

a) Tiempo sin interrupciones / Tiempo total de servicio

b) Tiempo sin violaciones reportadas / Tiempo total de servicio
c) 1 / cantidad de incidentes computacionales
d) Velocidad real / velocidad contratada
e) No conformidades detectadas / total de aspectos verificados

Capítulo 4. Proceso de Actualización y mejora de la metodología

Mantenimiento, mejora y corrección de la metodología

Objetivo General: Realizar los cambios que sean necesarios para mantener
el máximo rendimiento de la metodología.

El proceso de actualización de la metodología comprende la aplicación de

acciones correctivas y preventivas, basadas en los resultados del proceso de
verificación descrito en el apartado anterior, para lograr la mejora continua.

35
En esta etapa se llevarán a cabo las labores de mantenimiento de los sistemas,
recursos y activos informáticos con los que cuente la empresa, así como las
acciones de mejora y de corrección identificadas si, tras la verificación, se ha
detectado algún punto débil. Este proceso se suele llevar en paralelo con la
verificación y se actúa al detectarse la deficiencia, no esperándose a tener la
fase de verificación completada para comenzar con las tareas de mejora y
corrección.

La metodología debe aplicarse correctamente en todas las áreas de la

organización para garantizar la seguridad y generar confianza en el entorno de
trabajo siempre y cuando se utilicen las lecciones aprendidas de experiencias de
seguridad de otras organizaciones y casos de estudio relacionados, de la propia
organización y de incidentes ocurridos.

Se comunicarán las acciones, métodos, procesos, herramientas, procedimientos

y mejoras que se realicen a todas las áreas y a las partes interesadas, con un
nivel de detalle apropiado a las circunstancias, precisando sobre cómo proceder
ante el nuevo escenario y se entrenara al personal con el fin de asegurar que las
mejoras logren los objetivos establecidos.

Algunos ejemplos de circunstancias que implican la necesidad de un nuevo

análisis de riesgos pudieran ser las siguientes:

1. Instalación de nuevos tipos de redes (redes inalámbricas por ejemplo) en

áreas de la organización o de algún nuevo enlace para la comunicación con
otras áreas.
2. Cambios en la topología de redes o en la arquitectura de seguridad
3. Introducción de tecnologías que no se habían empleado con anterioridad
4. Incremento del empleo de medios removibles como soportes de información
por parte del personal.
5. Ocurrencia de algún incidente de seguridad.

36
6. Puesta en marcha de una nueva aplicación o introducción de un nuevo
servicio de red.
7. Nuevos requerimientos informativos para la organización
8. Incorporación de personal con poca experiencia y conocimientos
9. Cambios en la plantilla de personal, en su composición o completamiento.
10. Conversión de locales de uso interno en áreas de acceso publico
11. Modificaciones estructurales de los inmuebles o cambios en su distribución

Una vez realizados los cambios necesarios para mantener el máximo

rendimiento de la seguridad informática, se actualizan las políticas de seguridad
en las partes que corresponda informando de ello a todos los que requieran
conocerlo.

Conclusiones

El estudio, análisis y aplicación de la presente metodología, tendrá un impacto

positivo en las áreas más importantes de la organización como lo puede ser el
área de desarrollo de sistemas, por mencionar alguna de ellas, y tomando en
cuenta que se estudiaron y comprendieron otras metodologías que apoyan las
bases que forman a la presente, cada una comparte alguna característica con
esta metodología, a su vez se apoyan las ideas de cada una y se implementan
mejoras haciendo uso de prácticas que se ajustan a las necesidades de las
organizaciones. Un punto a favor de esta metodología es que se puede usar en
cualquier organización que la requiera, incluso si su enfoque comercial no sea el
área de tecnología.

No es necesario tener un conocimiento estricto sobre las cuestiones de

tecnologías de información pero esta metodología, ya que el uso, lenguaje,
estructura, términos y definiciones de la misma se presta a su fácil comprensión.

Para concluir que los controles establecidos en cada uno de los procesos se
precisan de herramientas y la concientización sobre lo importante que es tener

37
 medidas de actuación ante amenazas e incidencias existentes o que se puedan
presentar durante el desarrollo de actividades.

Bibliografía

DocuSign, C. (2021, 28 junio). Conoce los 7 mejores métodos de

seguridad informática para tu empresa. DocuSign.
https://www.docusign.mx/blog/seguridad-informatica
Metodologías para el análisis de riesgos en Seguridad Informática.

(2021, 18 agosto). Blogspot.

https://msnseguridad.blogspot.com/2012/08/seguridadinformatica
-la-seguridad.html
Ramirez, F. (s. f.). Metodologia De Seguridad Informática. Prezi.Com.

https://prezi.com/0pohr8tadr4p/metodologia-de-

seguridadinformatica/

Gomez, I. G. (s. f.). Metodologías Para Seguridad Informática. Scribd.

https://es.scribd.com/document/299788968/Metodologias-

ParaSeguridad-Informatica

38
METODOLOGIAS DE LA INFORMÁCION. (s. f.). DocPlayer.
https://docplayer.es/5567784-Metodologias-de-
laseguridadinformatica-integrantes-doris-mera-liliana-
arteagacarlosvillamarin-roberth-sosa.html

39