Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PLANIFICACIÓN ESTRATÉGICA DE LA
SEGURIDAD DE LA INFORMACIÓN
ESPOL-FIEC
2022
TEMA
ISO27001:2017 (5-6)
• Trabajo en equipo
• Realizar la política y los objetivos de seguridad de la
empresa de software
• Ir a canal de los equipos en la pestaña T5.1 Política
5.3 Roles, responsabilidades y autoridades en
la organización.
INTERPRETACIÓN
• Es recomendable que participen personas de diferentes áreas y que
además tengan una relación directa en la implementación y
mantenimiento del SGSI, por ejemplo:
• Gerente General, Recursos Humanos, Legal, Finanzas, Auditoría, Tecnología
de información, Responsable de la seguridad de la información
• No es necesario que los roles y responsabilidades estén detallados en la
PSI. El responsable de seguridad de información debe redactar las actas de
asignación de roles y responsabilidades para cada gerencia, este
documento de asignación de rol y responsabilidad debe estar firmado por
la Gerencia General, como evidencia del apoyo y compromiso en la
implementación del SGSI.
Roles y responsabilidades
Rol Responsabilidad
Gerencia General • Aprobar la política de seguridad de la
información
• Aprobar los planes de tratamiento de
riesgos
• Aceptar la evaluación y tratamiento de
riesgo de la organización
Tecnología de información • Implementación de los controles técnicos
• Realizar pruebas de contingencia
• Crear documentación técnica de apoyo a la
implementación del SGSI
Seguridad de la información • Redacción de los procedimientos de
seguridad
• Capacitar al personal de su organización
• Evaluar el desempeño de los controles y
procesos del SGSI
• Realizar pruebas técnicas de seguridad
• Realizar presentaciones con toda la
información relacionado a los procesos del
SGSI
Roles y responsabilidades
Rol Responsabilidad
Recursos humanos • Planificar capacitaciones anuales a todos
sus usuarios en seguridad de la información
• Inducción en seguridad de la información al
nuevo personal
• Establecer perfiles dentro de su
organización
Auditoría interna • Planificar las auditorías internas al SGSI
• Preparar informes de auditoría
• Realizar seguimiento a las no
conformidades u oportunidades de mejora.
Legal • Identificar obligaciones legales que su
organización deberá cumplir.
• Redactar los acuerdos de confidencialidad
para sus usuarios internos y terceros.
Responsables
• Gerencia general
• Tecnología de información
• Seguridad de la información
• Recursos humanos
• Auditoria
• legal
QUIENES ESTARÍAN SI LA EMPRESA ES:
- PEQUEÑA
- MEDIANA
- GRANDE
Ejercicio 2
• Trabajo en equipo
• Para la empresa de software
• Seleccionar a los miembros del comité de seguridad.
• Asignarles responsabilidades
• Ir a canal de los equipos en la pestaña T5.2
Responsables
Cláusula 6: Planificación
ISO 27001:2013
MAESTRÍA EN SEGURIDAD INFORMÁTICA
Instructor: Ing. Lenin Freire Cobo
6.1 Acciones para tratar riesgos y
oportunidades
• 6.1.1 Generalidades
• Al planificar el SGSI, la organización debe considerar el numeral 4.1 y los
requisitos a que se hace referencia en el numeral 4.2 y determinar los
riesgos y oportunidades que es necesario tratar con el fin de:
• a) Asegurarse de que SGSI prueba lograr sus resultados previstos.
• b) Prevenir o reducir efectos indeseados; y
• c) Lograr la mejorar continua
• La organización debe planificar
• d) Las acciones para tratar estos riesgos y oportunidades, y
• e) La manera de:
• 1) Integrar e implementar estas acciones en sus procesos del SGSI.
• 2) Evaluar la eficacia de está acciones.
INTEPRETACIÓN
• La organización planifica el cumplimiento de todos los procesos que
conforman el SGSI, para cumplir con todas las actividades
identificadas en el plan de tratamiento de riesgo y alcanzar las metas
establecidas. Al ser un documento que formará parte del SGSI deberá
ser revisado y actualizados con base en los parámetros de revisión de
la gestión documental.
6.1.2 Valoración de riesgos de la seguridad de
la información.
• La organización debe definir y aplicar un proceso de valoración de riesgos
de la seguridad de la información que:
• a) Establezca y mantenga criterios de riesgo de la seguridad de la
información que incluyan:
• 1) Los criterios de aceptación de riesgos; y
• 2) Los criterios para realizar valoraciones de riesgos de seguridad de la información
• b) Asegure que las valoraciones repetidas de riesgos de la seguridad de la
información produzcan resultados consistentes, válidos y comparables.
• c) Identifique los riesgos de la seguridad de la información:
• 1) Aplicar el proceso de valoración de riesgos de la seguridad de la información para
identificar los riesgos asociados con la pérdida de confidencialidad, integridad y
disponibilidad de información dentro del alcance del SGSI; e
• 2) Identificar a los dueños de los riesgos
6.1.2 Valoración de riesgos de la seguridad de
la información.
• d) Analice los riesgos de la seguridad de información
• 1) Valorar las consecuencias potenciales que resultarán si de materializan los riesgos
identificados en 6.2.1 c) 1)
• 2) Valorar la probabilidad realista de que ocurran los riesgos identificados en 6.1.2 c)
1); y
• 3) Determinar los niveles de riesgo
• e) Evalúe los riesgos de seguridad de información
• 1) Comparar los resultados del análisis de riesgos con los criterios de riesgo
establecidos en 6.1.2 a) y
• 2) Priorizar los riesgos analizados para el tratamiento de riesgos.
• La organización debe conserva información documentada acerca del
proceso de valoración de riesgos de la seguridad de la información
INTERPRETACIÓN
• Es la parte clave de la implementación, si la organización cuenta con
una metodología, utilícese o ajuste para cumplir con los requisitos de
este capítulo, si no cuenta con una, se debe implementar una
metodología de evaluación y tratamiento de riesgo que permita
identificar las amenazas y vulnerabilidades a la cuales están
expuestos los activos de información que se encuentran dentro del
alcance del SGSI.
Algunas metodologías de evaluación de
riesgos.
• ISO 27005 } Criterios para seleccionar
• Magerit (España) un método
} Contabilidad con los
• Octave (EEUU) criterios ISO 27001
• Cramm (Reino Unido) } Idioma del método
• Microsoft (EEUU) } Posibilidad de herramientas
de software
• Tra (Canadá) } Documentación, formación
• Nist 800-30 (EEUU) y apoyo.
• Ebios (Francia) } Facilidad de uso
• Mehari (Francia) } Costo de utilización
} Existencia de material
• Propia… (métricas, casos, etc)
METODOLOGÍA DEL PROCESO DE
EVALUACIÓN DE RIESGOS
MAESTRÍA EN SEGURIDAD INFORMÁTICA
METODOLOGIA PARA LA EVALUACIÓN DE RIESGOS ISO 27005.
Fase 2
1.-Identificación del Riesgo:
La identificación del riesgo se realiza en cuatro eatapas
1. Identificación de los activos de información
2. Identificación de las amenazas
3. Identificación de los controles existentes
4. Identificación de las Vulnerabilidades
2.-Análisis del Riesgo :
Para realizar el análisis de riesgo, se realiza en las siguientes etapas:
1. Evaluación de las consecuencias
2. Determinación de la probabilidad
3. Determinación del nivel de riesgo, los riesgos que se van a tratar son
aquellos que son mayor a 3.
3.-Evaluación del Riesgo:
• Se relaciona los activos de información con los
principios de la seguridad de información:
Confidencialidad, integridad y disponibilidad.
4.-Tratamiento del Riesgo: Para aquellos
riesgos no aceptables se debe establecer un plan de
tratamiento que incluya la definición de controles a
implementar, plazos, responsabilidades y
descripción de las actividades a realizar.
• Evitar el riesgo
• Mitigar el riesgo
• Remover la fuente del riesgo
• Compartir el riesgo con terceras partes
1.Identificación de riesgos
A. Identificación de los activos de información
D. Identificación de vulnerabilidades
Magerit
• Es una metodología española que tienen tres libros
• Libro-1: El método
• Libro-2: El catálogo
• Libro-3 La Guía
• Es una metodología libre, actualmente tienen la versión 3.
• https://administracionelectronica.gob.es/pae_Home/pae_Document
acion/pae_Metodolog/pae_Magerit.html#.X67JM2j0nIU
A. Identificación de activos de información
Fuente: Magerit
• Tipo de amenazas
• N: Desastres naturales
• I : Origen industrial
• E : Errores y fallos no intencionados
• A : Ataques intencionados
B. Identificación de las Amenazas
Fuente: Magerit
Amenazas Amenazas
1.10 Degradación de los soportes de almacenamiento de la E.20 Vulnerabilidades de los programas (software)
información
E.21 Errores de mantenimiento/Actualización de programas….
1.11 Emanaciones electromagnéticas
B. Identificación de las Amenazas
Fuente: Magerit
Pueden ser que los activos de información tengas mas de una amenaza y por ende
mas de una vulnerabilidad. Entonces en las vulnerabilidades encontradas estan los riesgos.
EJERCICIO-3 :Caso: Análisis de Riesgo implementación para una empresa de desarrollo
de software (Cada equipo T5.3). Realizar la identificación de los activos de información
Para lo cual ha realizado un inventario de los activos de información.
Contratos con los clientes
Contratos con el personal
Servidor de aplicaciones y base datos (1)
Servidor de pruebas (1)
Estaciones de trabajo (10)
Metodologías de desarrollo
Metodología de documentación
Switch (1)
Router (1)
Firewall (1)
Documentación de los proyectos de implementación
Actas de Entrega y Recepción de los trabajos
Control de versiones
• El Gerente General, haciendo una evaluación de la oficina en donde se encuentra ha notado las siguientes
situaciones:
• Que no tiene UPS en caso de que se vaya la luz.
• Varias veces se ha dañado la central de aire, y se ha quedado sin luz hasta por un día.
• Los técnicos muchas veces entregan al cliente la documentación desactualizada de las aplicaciones desarrolladas por
ellos mismos.
• Los técnicos se llevan trabajo a la casa, pero no se les ha dicho nada porque tienen varios años trabajando con él.
• Si bien es cierto que existe un buen ambiente de trabajo, por lo que la rotación de personal de muy poca, y como los
proyectos son de poca duración no tienen problemas con los atrasos ni pagos de multas.
• Los clientes generalmente quedan contentos con el trabajo, por lo que repetidamente se les entrega servicios parecidos.
• Bajo la percepción del Gerente General , este contento por el desempeño de la empresa, pero desea mejorar
la confianza de los clientes hacia su empresa. Para cual desea proteger su proceso de implementación. Cómo
medida de protección hace mantenimiento de los equipos y respaldo de información.