CURSO

PLANIFICACIÓN ESTRATÉGICA DE LA
SEGURIDAD DE LA INFORMACIÓN

MAESTRÍA EN SEGURIDAD INFORMÁTICA

ESPOL-FIEC
2022
 TEMA
ISO27001:2017 (5-6)

Seguir un estandar de seguridad aceptado por el mercado

crea una defensa segura a la empresa
Agenda
• Resumen
• ISO 27000 - Liderazgo
• ISO 27001 - Planificación
Resumen
• MANUAL DEL SGSI
• 4.1 Contexto de la organización
• 4.2 Interesados
• 4.3 Definir el alcance
• Mapa de procesos
• Diagrama de flujo
 Cláusula 5:
Liderazgo
MAESTRÍA EN SEGURIDAD INFORMÁTICA
Instructor: Ing. Lenin Freire Cobo
5.1 Liderazgo y compromiso
INTERPRETACIÓN
• La participación de la alta dirección deberá ser constante
demostrando compromiso y liderazgo, garantizando, que los recursos
tecnológicos, financieros y humanos estén disponibles para cumplir
con las actividades de implementación del SGSI, también permite
establecer objetivos de seguridad de la información alineados a los
objetivos de la organización
Evidencia de cumplimiento
• Se sugiere los siguientes registros y procedimientos
• Actas de revisión por la dirección respecto al SGSI
• Política de seguridad de la información aprobada por la alta dirección
(gerencia general)
• Comunicación de la gestión de seguridad.
• Presupuesto asignado para el área de seguridad de la información.
• Reuniones respecto a temas de seguridad de la información. (comité de
seguridad)
5.2 Política
5.2 Política
INTERPRETACIÓN
• La PSI tiene que ser escrita de manera general, evitando utilizar términos
técnicos, esto permitirá una fácil comprensión por las partes interesadas
(Alta dirección, usuarios, clientes, proveedores). Es responsable de
seguridad de la información es el encargado de redactar la política. En el
caso de que la organización no cuente con el cargo de responsable, el
comité de seguridad de la información tiene la obligación de redactar el
documento. La revisión tendrá que ser realizada por los responsables
identificados en el punto 5.3 (roles y responsabilidades) de la norma,
garantizando que el documento se encuentre alineado a los objetivos del
negocio, cumpliendo los requisitos de la norma. Una vez redactada y
revisada el documento tiene que ser aprobado por la alta dirección solo así
cumplirá el requisito 5.2
Ejemplos de políticas y objetivos
de seguridad
 Política de la seguridad de la información
• La alta dirección se compromete a preservar la confidencialidad,
disponibilidad e integridad de los activos de información, de acuerdo
al un marco de trabajo estructurado con base a la norma ISO/IEC
27001:2013, los objetivos del sistema de gestión de seguridad de la
información se encuentran alineados a los objetivos estratégicos del
negocio.
Objetivos de seguridad
• Preservar y proteger la confidencialidad, disponibilidad, e integridad
de la información.
• Implementar medidas de seguridad para proteger los activos
informáticos y de información de la organización.
• Planificar actividades para generar conciencia y la importancia
• EMPRESA: RTT Ibérica es una empresa fundada en 1995 dedicada a la
prestación de servicios de venta y alquiler de vehículos tanto a empresas como
a particulares.
Política de seguridad
• El propósito de esta política de seguridad de la información es proteger los
activos de información de rtt ibérica
• La información esté protegida contra pérdidas de disponibilidad,
confidencialidad e integridad.
• Cumplan los requisitos legales aplicables
• Cumplan los requisitos del negocio respecto a la seguridad de la información y
los sistemas de información.
• Cada empleado es responsable de cumplir con esta política y sus
procedimientos según aplique a su puesto de trabajo.
• Es política de rtt ibérica implementar, mantener y realizar un seguimiento del
sgsi, y llevar a cabo las acciones necesarias para la mejora continua.
Objetivos de seguridad
• Asegurar la confidencialidad de la información de nuestros asociados depositan
y que rtt ibérica Almacena en los sistemas de información.
• Maximizar la disponibilidad y calidad de los servicios prestados a nuestros
clientes.
• Garantizar que nuestras operaciones y procesos actuales y futuros cumplan con
la legislación vigente en materia de seguridad de la información.
¿Que falta en estas declaraciones?
• Indicar quién es el responsable de garantizar el cumplimiento de la SI.
• Indicar quién es el responsable de mantener actualizado el
documento.
• Indicar quiénes son los responsables de actuar en base a los
requisitos y objetivos establecidos por el SGSI
• Finalmente, hay que indicar como se va a comunicar la norma.
DE SEGURIDAD
Ejercicio 1

• Trabajo en equipo
• Realizar la política y los objetivos de seguridad de la
empresa de software
• Ir a canal de los equipos en la pestaña T5.1 Política
5.3 Roles, responsabilidades y autoridades en
la organización.
INTERPRETACIÓN
• Es recomendable que participen personas de diferentes áreas y que
además tengan una relación directa en la implementación y
mantenimiento del SGSI, por ejemplo:
• Gerente General, Recursos Humanos, Legal, Finanzas, Auditoría, Tecnología
de información, Responsable de la seguridad de la información
• No es necesario que los roles y responsabilidades estén detallados en la
PSI. El responsable de seguridad de información debe redactar las actas de
asignación de roles y responsabilidades para cada gerencia, este
documento de asignación de rol y responsabilidad debe estar firmado por
la Gerencia General, como evidencia del apoyo y compromiso en la
implementación del SGSI.
 Roles y responsabilidades
Rol
Gerencia General
Tecnología de información
Seguridad de la información
Responsabilidad
• Aprobar la política de seguridad de la
información
• Aprobar los planes de tratamiento de
riesgos
• Aceptar la evaluación y tratamiento de
riesgo de la organización
• Implementación de los controles técnicos
• Realizar pruebas de contingencia
• Crear documentación técnica de apoyo a la
implementación del SGSI
• Redacción de los procedimientos de
seguridad
• Capacitar al personal de su organización
• Evaluar el desempeño de los controles y
procesos del SGSI
• Realizar pruebas técnicas de seguridad
• Realizar presentaciones con toda la
información relacionado a los procesos del
SGSI
Roles y responsabilidades
Rol Responsabilidad
Recursos humanos • Planificar capacitaciones anuales a todos
sus usuarios en seguridad de la información
• Inducción en seguridad de la información al
nuevo personal
• Establecer perfiles dentro de su
organización
Auditoría interna • Planificar las auditorías internas al SGSI
• Preparar informes de auditoría
• Realizar seguimiento a las no
conformidades u oportunidades de mejora.
Legal • Identificar obligaciones legales que su
organización deberá cumplir.
• Redactar los acuerdos de confidencialidad
para sus usuarios internos y terceros.
Responsables
• Gerencia general
• Tecnología de información
• Seguridad de la información
• Recursos humanos
• Auditoria
• legal
QUIENES ESTARÍAN SI LA EMPRESA ES:
- PEQUEÑA
- MEDIANA
- GRANDE
Ejercicio 2

• Trabajo en equipo
• Para la empresa de software
• Seleccionar a los miembros del comité de seguridad.
• Asignarles responsabilidades
• Ir a canal de los equipos en la pestaña T5.2
Responsables
Cláusula 6: Planificación
ISO 27001:2013
MAESTRÍA EN SEGURIDAD INFORMÁTICA
Instructor: Ing. Lenin Freire Cobo
6.1 Acciones para tratar riesgos y
oportunidades
• 6.1.1 Generalidades
• Al planificar el SGSI, la organización debe considerar el numeral 4.1 y los
requisitos a que se hace referencia en el numeral 4.2 y determinar los
riesgos y oportunidades que es necesario tratar con el fin de:
• a) Asegurarse de que SGSI prueba lograr sus resultados previstos.
• b) Prevenir o reducir efectos indeseados; y
• c) Lograr la mejorar continua
• La organización debe planificar
• d) Las acciones para tratar estos riesgos y oportunidades, y
• e) La manera de:
• 1) Integrar e implementar estas acciones en sus procesos del SGSI.
• 2) Evaluar la eficacia de está acciones.
 INTEPRETACIÓN
• La organización planifica el cumplimiento de todos los procesos que
conforman el SGSI, para cumplir con todas las actividades
identificadas en el plan de tratamiento de riesgo y alcanzar las metas
establecidas. Al ser un documento que formará parte del SGSI deberá
ser revisado y actualizados con base en los parámetros de revisión de
la gestión documental.
6.1.2 Valoración de riesgos de la seguridad de
la información.
• La organización debe definir y aplicar un proceso de valoración de riesgos
de la seguridad de la información que:
• a) Establezca y mantenga criterios de riesgo de la seguridad de la
información que incluyan:
• 1) Los criterios de aceptación de riesgos; y
• 2) Los criterios para realizar valoraciones de riesgos de seguridad de la información
• b) Asegure que las valoraciones repetidas de riesgos de la seguridad de la
información produzcan resultados consistentes, válidos y comparables.
• c) Identifique los riesgos de la seguridad de la información:
• 1) Aplicar el proceso de valoración de riesgos de la seguridad de la información para
identificar los riesgos asociados con la pérdida de confidencialidad, integridad y
disponibilidad de información dentro del alcance del SGSI; e
• 2) Identificar a los dueños de los riesgos
6.1.2 Valoración de riesgos de la seguridad de
la información.
• d) Analice los riesgos de la seguridad de información
• 1) Valorar las consecuencias potenciales que resultarán si de materializan los riesgos
identificados en 6.2.1 c) 1)
• 2) Valorar la probabilidad realista de que ocurran los riesgos identificados en 6.1.2 c)
1); y
• 3) Determinar los niveles de riesgo
• e) Evalúe los riesgos de seguridad de información
• 1) Comparar los resultados del análisis de riesgos con los criterios de riesgo
establecidos en 6.1.2 a) y
• 2) Priorizar los riesgos analizados para el tratamiento de riesgos.
• La organización debe conserva información documentada acerca del
proceso de valoración de riesgos de la seguridad de la información
INTERPRETACIÓN
• Es la parte clave de la implementación, si la organización cuenta con
una metodología, utilícese o ajuste para cumplir con los requisitos de
este capítulo, si no cuenta con una, se debe implementar una
metodología de evaluación y tratamiento de riesgo que permita
identificar las amenazas y vulnerabilidades a la cuales están
expuestos los activos de información que se encuentran dentro del
alcance del SGSI.
Algunas metodologías de evaluación de
riesgos.
• ISO 27005 } Criterios para seleccionar
• Magerit (España) un método
} Contabilidad con los
• Octave (EEUU) criterios ISO 27001
• Cramm (Reino Unido) } Idioma del método
• Microsoft (EEUU) } Posibilidad de herramientas
de software
• Tra (Canadá) } Documentación, formación
• Nist 800-30 (EEUU) y apoyo.
• Ebios (Francia) } Facilidad de uso
• Mehari (Francia) } Costo de utilización
} Existencia de material
• Propia… (métricas, casos, etc)
METODOLOGÍA DEL PROCESO DE
EVALUACIÓN DE RIESGOS
MAESTRÍA EN SEGURIDAD INFORMÁTICA
 METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS ISO 27005.

Fase 2
1.-Identificación del Riesgo:
La identificación del riesgo se realiza en cuatro eatapas
1. Identificación de los activos de información
2. Identificación de las amenazas
3. Identificación de los controles existentes
4. Identificación de las Vulnerabilidades
2.-Análisis del Riesgo :
Para realizar el análisis de riesgo, se realiza en las siguientes etapas:
1. Evaluación de las consecuencias
2. Determinación de la probabilidad
3. Determinación del nivel de riesgo, los riesgos que se van a tratar son
aquellos que son mayor a 3.
3.-Evaluación del Riesgo:
• Se relaciona los activos de información con los
principios de la seguridad de información:
Confidencialidad, integridad y disponibilidad.
4.-Tratamiento del Riesgo: Para aquellos
riesgos no aceptables se debe establecer un plan de
tratamiento que incluya la definición de controles a
implementar, plazos, responsabilidades y
descripción de las actividades a realizar.
• Evitar el riesgo
• Mitigar el riesgo
• Remover la fuente del riesgo
• Compartir el riesgo con terceras partes
1.Identificación de riesgos
A. Identificación de los activos de información

B. Identificación de las amenazas

C. Identificación de los controles existentes

D. Identificación de vulnerabilidades
Magerit
• Es una metodología española que tienen tres libros
• Libro-1: El método
• Libro-2: El catálogo
• Libro-3 La Guía
• Es una metodología libre, actualmente tienen la versión 3.
• https://administracionelectronica.gob.es/pae_Home/pae_Document
acion/pae_Metodolog/pae_Magerit.html#.X67JM2j0nIU
A. Identificación de activos de información
Fuente: Magerit

Tipos de activo Código

Datos / Información D
Claves Criptográfocas K
Servicios S
Software SW
Hardware HW
Redes comunicaciones COM
Soportes de información Media
Equipamiento auxiliar AUX
Instalaciones L
Personal P
A. Identificación de activos de información
Fuente: Magerit

Código Activo Tipo Activo Descripción Responsable

HW001 HW Servidor de base de Gerente de TI

datos

HW002 HW Servidor de Gerente de TI

aplicaciones

D001 D Contratos de clientes Gerente Comercial

D002 D Respaldo de Gerente de Consultoría

implementaciones de
clientes
B. Identificación de las Amenazas
Fuente: Magerit

• Tipo de amenazas
• N: Desastres naturales
• I : Origen industrial
• E : Errores y fallos no intencionados
• A : Ataques intencionados
 B. Identificación de las Amenazas
Fuente: Magerit
Amenazas Amenazas

N. Desastres naturales E. Errores y fallos no intencionados

N.1 Fuego E,1 Errores de los usuarios

N.2 Daños por agua E.2 Errores del administrador

N.3 Desastres naturales E.3 Errores de monitorización

I Origen industrial E.4 Errores de configuración

I.1 Fuego E.7 Deficiencias en la organización

I.2 Daños por agua E.8 Difusión de software dañino

I.3 Contaminación mecánica E.9 Errores de redes

I.5 Avería de origen físico o lógico E10. Errores de secuencia

I.6 Corte de suministro eléctrico E.14. Escapes de información

I.7 Condiciones inadecuadas de temperatura y humedad E.15 Alteración accidental

I.8 Fallo de servicios de comunicaciones. E.18 Destrucción de información

I.9 Interrupción de otros servicios y suministros esenciales. E.19 Fugas de información

1.10 Degradación de los soportes de almacenamiento de la E.20 Vulnerabilidades de los programas (software)
información
E.21 Errores de mantenimiento/Actualización de programas….
1.11 Emanaciones electromagnéticas
B. Identificación de las Amenazas
Fuente: Magerit

Código Activo Descripción Amenaza

HW001 Servidor de base de datos Acceso lógico no autorizado

HW002 Servidor de aplicaciones Fallas técnicas

D001 Contratos de clientes Deterioro por humedad

D002 Respaldo de Deterioro por duración del

implementaciones de medio.
clientes
C. Identificación de los controles existentes
Código Descripción Responsable Amenazas Controles existentes
Activo
HW001 Servidor de base Gerente de TI Acceso lógico no - Mantenimiento
de datos autorizado preventivo.
- Instalación de
antivirus
- Control de acceso
HW002 Servidor de Gerente de TI Fallas técnicas - Mantenimiento
aplicaciones preventivo.
- Instalación de
antivirus
- Control de acceso
D001 Contratos de Gerente Comercial Deterioro por Ninguno
clientes humedad
D002 Respaldo de Gerente de Deterioro por Ninguno
implementaciones Consultoría duración del medio.
de clientes
D. Identificación de vulnerabilidades
Fuente: Magerit
Código Descripción Amenaza Vulnerabilidades
Activo
HW001 Servidor de base de Acceso lógico no Falla de controles de
datos autorizado acceso lógico
HW002 Servidor de Fallas técnicas Mantenimiento de
aplicaciones equipo inadecuado
D001 Contratos de clientes Deterioro por humedad Se encuentran
almacenados en un lugar
húmedo.
D002 Respaldo de Deterioro por duración Son respaldados en Cd
implementaciones del medio. que tienen una duración
de clientes promedio de 5 años.

Pueden ser que los activos de información tengas mas de una amenaza y por ende
mas de una vulnerabilidad. Entonces en las vulnerabilidades encontradas estan los riesgos.
 EJERCICIO-3 :Caso: Análisis de Riesgo implementación para una empresa de desarrollo
de software (Cada equipo T5.3). Realizar la identificación de los activos de información
Para lo cual ha realizado un inventario de los activos de información.
Contratos con los clientes
Contratos con el personal
Servidor de aplicaciones y base datos (1)
Servidor de pruebas (1)
Estaciones de trabajo (10)
Metodologías de desarrollo
Metodología de documentación
Switch (1)
Router (1)
Firewall (1)
Documentación de los proyectos de implementación
Actas de Entrega y Recepción de los trabajos
Control de versiones
• El Gerente General, haciendo una evaluación de la oficina en donde se encuentra ha notado las siguientes
situaciones:
• Que no tiene UPS en caso de que se vaya la luz.
• Varias veces se ha dañado la central de aire, y se ha quedado sin luz hasta por un día.
• Los técnicos muchas veces entregan al cliente la documentación desactualizada de las aplicaciones desarrolladas por
ellos mismos.
• Los técnicos se llevan trabajo a la casa, pero no se les ha dicho nada porque tienen varios años trabajando con él.
• Si bien es cierto que existe un buen ambiente de trabajo, por lo que la rotación de personal de muy poca, y como los
proyectos son de poca duración no tienen problemas con los atrasos ni pagos de multas.
• Los clientes generalmente quedan contentos con el trabajo, por lo que repetidamente se les entrega servicios parecidos.
• Bajo la percepción del Gerente General , este contento por el desempeño de la empresa, pero desea mejorar
la confianza de los clientes hacia su empresa. Para cual desea proteger su proceso de implementación. Cómo
medida de protección hace mantenimiento de los equipos y respaldo de información.