Une 71501 2 2001 in

informe UNE 71501-2 IN
UNE
Noviembre 2001
TÍTULO Tecnología de la Información (TI)
Guía para la gestión de la seguridad de TI
Parte 2: Gestión y planificación de la seguridad de TI
Information technology. Guidelines for the management of IT Security. Part 2: Managing and planning IT
Security.
Technologies de l'information. Lignes directrices pour le management de sécurité IT. Partie 2: Management
et planning de sécurité IT.
CORRESPONDENCIA Este informe es equivalente al Informe Técnico ISO/IEC TR 13335-2:1997.
OBSERVACIONES
ANTECEDENTES Este informe ha sido elaborado por el comité técnico AEN/CTN 71 Tecnología de la
Información cuya Secretaría desempeña ANIEL.
Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 51181:2001
25 Páginas
 AENOR 2001 C Génova, 6 Teléfono 91 432 60 00 Grupo 13

Reproducción prohibida 28004 MADRID-España Fax 91 310 40 32
Documento de trabajo de uso exclusivo para los cursos de

S

-3- UNE 71501-2:2001 IN
ÍNDICE
Página
ANTECEDENTES............................................................................................................................ 4
INTRODUCCIÓN ............................................................................................................................ 5
1 OBJETO Y CAMPO DE APLICACIÓN ...................................................................... 5
2 NORMAS PARA CONSULTA....................................................................................... 5
3 DEFINICIONES .............................................................................................................. 6
4 ESTRUCTURA ................................................................................................................ 6
5 OBJETIVO ....................................................................................................................... 6
6 FUNDAMENTO............................................................................................................... 6
7 GESTIÓN DE LA SEGURIDAD DE TI........................................................................ 7
7.1 Procesos de gestión y planificación ................................................................................. 7
7.2 Análisis y gestión de riesgos ............................................................................................ 8
7.3 Implantación..................................................................................................................... 9
7.4 Seguimiento ...................................................................................................................... 9
7.5 Integración de la seguridad de TI ................................................................................... 9
8 POLÍTICA DE SEGURIDAD DE TI DE LA ORGANIZACIÓN............................... 10
8.1 Objetivos ........................................................................................................................... 10
8.2 Compromiso de la dirección............................................................................................ 10
8.3 Relación entre políticas.................................................................................................... 10
8.4 Elementos de la política de seguridad de TI de la organización .................................. 11
9 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE TI.................................. 12
9.1 Funciones y responsabilidades ........................................................................................ 12
9.2 Compromiso ..................................................................................................................... 15
9.3 Enfoque consistente.......................................................................................................... 15
10 OPCIONES EN LA ESTRATEGIA DE ANÁLISIS Y GESTIÓN DE RIESGOS .... 15
10.1 Enfoque básico.................................................................................................................. 16
10.2 Enfoque informal ............................................................................................................. 16
10.3 Análisis y gestión de riesgos detallado............................................................................ 17
10.4 Enfoque combinado ......................................................................................................... 17
11 RECOMENDACIONES DE SEGURIDAD DE TI....................................................... 18
11.1 Selección de salvaguardas................................................................................................ 18
11.2 Aceptación de riesgos....................................................................................................... 19
12 POLÍTICA DE SEGURIDAD DE SISTEMA DE TI ................................................... 19
13 PLAN DE SEGURIDAD DE TI...................................................................................... 20
14 IMPLANTACIÓN DE SALVAGUARDAS ................................................................... 20
15 CONCIENCIACIÓN EN LA SEGURIDAD ................................................................. 21
16 SEGUIMIENTO............................................................................................................... 22
16.1 Mantenimiento ................................................................................................................. 22
16.2 Conformidad con los requisitos de seguridad................................................................ 23
16.3 Verificación de las salvaguardas..................................................................................... 23
16.4 Gestión de incidencias...................................................................................................... 23
17 RESUMEN........................................................................................................................ 24
ANEXO A (Informativo) BIBLIOGRAFÍA.................................................................................. 25

UNE 71501-2:2001 IN -4-
ANTECEDENTES
ISO (Organización Internacional de Normalización) y CEI (Comisión Electrotécnica Internacional)

constituyen el sistema especializado para la normalización a nivel mundial. Los órganos nacionales que
son miembros de ISO o CEI participan en el desarrollo de normas internacionales a través de comités
técnicos establecidos por las organizaciones respectivas para realizar acuerdos en los campos específicos
de la actividad técnica. Los comités técnicos de ISO y CEI colaboran en los campos de interés mutuo.
Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con ISO y
CEI, también toman parte en el trabajo.
En el campo de la tecnología de la información, ISO y CEI han establecido un comité técnico conjunto, el
denominado ISO/IEC JTC 1.
La principal tarea de los comités técnicos es elaborar las normas internacionales, pero en circunstancias
excepcionales un comité técnico puede proponer la publicación de un informe técnico de uno de los
siguientes tipos:
− tipo 1, cuando, a pesar de repetidos esfuerzos, no se puede obtener el apoyo necesario para la
publicación de una norma internacional;
− tipo 2, cuando la materia está todavía bajo desarrollo técnico o cuando por cualquier otra razón existe
una posibilidad futura pero no inmediata para un acuerdo en una norma internacional;
− tipo 3, cuando un comité técnico ha recogido datos de un tipo diferente al que normalmente se publica
como una norma internacional ("estado del arte", por ejemplo).
Los informes técnicos de los tipos 1 y 2 están sujetos a revisión dentro de los tres años siguientes a su
publicación, para decidir si pueden ser transformados en norma internacional. Los informes técnicos del
tipo 3 no tienen que ser necesariamente revisados hasta que los datos que proporcionan sean considerados
inválidos o inútiles.
El Informe ISO/IEC TR 13335, que es del tipo 3 ha sido elaborado por el ISO/IEC JTC 1/SC 27 Técnicas
de seguridad en tecnologías de la información y consta de las siguientes partes:
ISO/IEC TR 13335-1 − Tecnología de la Información (TI). Guía para la gestión de la seguridad de TI.
Parte 1: Conceptos y modelos para la seguridad de TI.
Parte 2: Gestión y planificación de la seguridad de TI.
Parte 3: Técnicas para la gestión de la seguridad de TI.
A esta norma internacional se le pueden añadir partes adicionales en un futuro.
A nivel nacional el comité espejo de éste es el AEN/CTN 71/SC 27 Técnicas de Seguridad en Tecnología
de la Información encuadrado en la estructura del comité nacional AEN/CTN 71 Tecnología de la
Información y que ha sido el encargado de elaborar este Informe UNE 71501 IN que consta de 3 partes
que son equivalentes a las correspondientes del Informe Técnico ISO/IEC TR 13335 antes mencionado.

-5- UNE 71501-2:2001 IN
INTRODUCCIÓN
La Norma UNE 71501 IN se ha elaborado para facilitar la comprensión de la seguridad de las Tecnologías de la Infor-
mación (TI), y proporcionar orientación sobre los aspectos de su gestión. Los responsables de la seguridad de TI de la
organización pueden, si así lo desean, adaptar los contenidos de esta norma a sus necesidades específicas. Los objetivos
principales de esta norma son:
− definir y describir los conceptos relacionados con la gestión de la seguridad de TI,
− identificar las relaciones entre la gestión de la seguridad de TI y la gestión de las TI en general,
− presentar varios modelos útiles para explicar la seguridad de TI,
− proporcionar orientación general sobre la gestión de la seguridad de TI, y
− proporcionar orientación en relación con la selección de salvaguardas.
La Norma UNE 71501 IN está estructurada en varias partes:
− UNE 71501-1 IN que proporciona una visión general de los conceptos fundamentales y de los modelos utilizados
para describir la gestión de la seguridad de TI. Sus contenidos van dirigidos a los responsables de la seguridad de TI
y a quienes son responsables del plan global de seguridad de la organización.
− UNE 71501-2 IN que describe los aspectos de gestión y planificación de la seguridad de TI. Va dirigida a los
directivos con responsabilidades relacionadas con los sistemas de TI de la organización. Pueden ser:
− directivos de TI responsables del diseño, desarrollo, pruebas, adquisición o explotación de sistemas de TI, o
− directivos responsables de actividades que hacen un uso sustancial de los sistemas de TI.
− UNE 71501-3 IN que describe técnicas de seguridad indicadas para quienes se encuentran implicados en actividades
de gestión durante el ciclo de vida de un proyecto, como planificación, diseño, desarrollo, pruebas, implantación,
adquisición o explotación.
Partes adicionales a la norma se podrán añadir en un futuro.
1 OBJETO Y CAMPO DE APLICACIÓN

Esta Norma UNE 71501-2 IN trata los aspectos esenciales de la gestión de la seguridad de TI y sus relaciones.
Proporciona una orientación útil para la identificación y la gestión de todos los aspectos de la seguridad de TI.
Para una completa comprensión de esta parte 2 es esencial la familiaridad con los conceptos y modelos presentados en
la parte 1.
2 NORMAS PARA CONSULTA

Las normas que a continuación se relacionan contienen disposiciones válidas para esta norma internacional. En el
momento de la publicación las ediciones indicadas estaban en vigor. Toda norma está sujeta a revisión por lo que las
partes que basen sus acuerdos en esta norma internacional deben estudiar la posibilidad de aplicar la edición más
reciente de las normas indicadas a continuación. Los miembros de CEI y de ISO poseen el registro de las normas
internacionales en vigor en cada momento.
UNE 70501-1:2001 IN − Tecnología de la Información (TI). Guía para la gestión de la seguridad de TI. Parte 1:
Conceptos y modelos para la seguridad de TI.

UNE 71501-2:2001 IN -6-
3 DEFINICIONES
Para los propósitos de esta parte 2 son válidas las definiciones dadas en la Norma UNE 71501-1. Se utilizan los
siguientes términos: activo, amenaza, análisis de riesgos, autenticidad, confidencialidad, disponibilidad, gestión de
riesgos, impacto, integridad, política de seguridad de TI, riesgo, riesgo residual, salvaguarda, seguridad de TI,
vulnerabilidad.
4 ESTRUCTURA
La parte 2 está dividida en 17 capítulos. Los capítulos 5 y 6 facilitan información sobre los objetivos y los antecedentes
de este documento. El capítulo 7 presenta las actividades necesarias para la gestión satisfactoria de la seguridad de TI.
Los capítulos 8 al 16 describen dichas actividades. El capítulo 17 resume esta parte 2. El anexo A indica la bibliografía
utilizada en la elaboración de esta norma.
5 OBJETIVO
El objetivo de esta parte 2 es presentar las diferentes actividades relacionadas con la gestión y la planificación de la
seguridad de TI, así como las funciones y las responsabilidades asociadas dentro de una organización. Es de interés para
los gestores de TI con responsabilidades en la adquisición, diseño, implantación y explotación de sistemas de TI. Es
también de interés para los gestores responsables de actividades que hacen un uso substancial de sistemas de TI. En
general, esta parte es útil para quien tenga responsabilidades de gestión relacionadas con los sistemas de TI de la
organización.
6 FUNDAMENTO
Las organizaciones, tanto del sector público como del sector privado, dependen crecientemente de la información para
el desarrollo de sus actividades. Así, la pérdida de autenticidad, confidencialidad, integridad y disponibilidad de su
información y servicios puede tener para ellas un impacto negativo. En consecuencia, es necesario proteger la
información y gestionar la seguridad de los sistemas de TI dentro de las organizaciones. Este requisito de proteger la
información es particularmente importante, dado que numerosas organizaciones están conectadas a redes de sistemas de
TI interna y externamente.
La gestión de la seguridad de TI es el proceso para alcanzar y mantener niveles apropiados de autenticidad,

confidencialidad, integridad y disponibilidad. Las funciones de gestión de la seguridad de TI incluyen:
− determinación de los objetivos, estrategias y políticas organizativas de la seguridad de TI,
− determinación de los requisitos organizativos de la seguridad de TI,
− identificación y análisis de amenazas a activos de la organización (análisis de riesgos),
− como consecuencia del punto anterior, especificación de las salvaguardas apropiadas (gestión de riesgos),
− seguimiento de la implantación y operación de las salvaguardas necesarias para proteger la información y los
servicios de la organización,
− desarrollo e implantación de un plan de concienciación en la seguridad, y
− detección y reacción ante incidentes.
Para completar estas responsabilidades, la seguridad de TI debe concebirse como parte del plan global de seguridad de
la organización. En consecuencia, diversas cuestiones de seguridad tratadas en esta norma pueden tener implicaciones
más amplias sobre la gestión. No obstante, se persigue mantener el foco de interés en los aspectos relativos a la
seguridad de TI.

-7- UNE 71501-2:2001 IN
7 GESTIÓN DE LA SEGURIDAD DE TI
7.1 Procesos de gestión y planificación

La gestión y planificación de la seguridad de TI es el proceso global de establecer y mantener un plan de seguridad de
TI en la organización. La figura 1 muestra las principales actividades dentro de este proceso. Dado que los estilos de
gestión y las estructuras y tamaños de las organizaciones son diferentes, este proceso debe ser adaptado conveniente al
entorno en el que se desarrolla. Todas las actividades y funciones identificadas en la figura 1 han de realizarse según el
estilo, tamaño y estructura de la organización así como según su forma de actuar. Se entiende que como parte de estas
actividades y funciones la dirección realizará las oportunas revisiones.
El punto de partida es el establecimiento de una visión clara de los objetivos de seguridad de TI de la organización.
Estos objetivos se desarrollan a partir de los objetivos de mayor nivel (por ejemplo, los objetivos de la organización) y
conducen, como se detalla en el capítulo 8, hacia la estrategia de seguridad de TI y hacia la política de seguridad de TI
de la organización. Por tanto, una parte de la política de seguridad de TI de la organización, es la creación de una
estructura organizativa apropiada que asegure el logro de los objetivos definidos.

UNE 71501-2:2001 IN -8-
Fig. 1 − Visión general de la planificación y gestión de la seguridad de TI
7.2 Análisis y gestión de riesgos

El análisis y gestión de riesgos incluye cuatro actividades diferenciadas:
− determinación de la estrategia global de análisis y gestión de riesgos adecuada a la organización en el contexto de la

política de seguridad de TI de la misma,
− selección de salvaguardas para sistemas de TI determinados como resultado del análisis y gestión de riesgos o bien
de acuerdo con la selección de salvaguardas de nivel básico,

-9- UNE 71501-2:2001 IN
− formulación de políticas de seguridad de sistemas de TI a partir de los requisitos de seguridad y, en su caso,

actualización de las políticas de seguridad de TI de la organización (y donde sea conveniente de la política de
seguridad de TI departamental), y
− construcción de planes de seguridad de TI para implantar salvaguardas, basados en las políticas de seguridad de
sistemas de TI aprobadas.
7.3 Implantación
La implantación de las salvaguardas necesarias para cada sistema de TI debe ser acorde con el plan de seguridad de TI.
La concienciación en la seguridad de TI, aunque se descuida a menudo, es un aspecto importante para la efectividad de
las salvaguardas. La figura 1 muestra que estas dos tareas, es decir, la implantación de las salvaguardas y el plan de
concienciación en la seguridad, deben realizarse en paralelo, puesto que el comportamiento del usuario no se puede
cambiar de la noche a la mañana, y que la concienciación requiere continuidad en el tiempo.
7.4 Seguimiento
Las actividades tratadas en el capítulo 16, "Seguimiento", incluyen:
− mantenimiento de las salvaguardas, para asegurar su operación continuada y efectiva,
− verificación de la conformidad con los requisitos de seguridad para asegurar que las salvaguardas cumplen con los
planes y políticas aprobados,
− verificación de las salvaguardas, para detectar cambios que puedan dar lugar a riesgos en activos, amenazas,
vulnerabilidades y en las propias salvaguardas, y
− gestión de incidentes para asegurar la reacción apropiada ante eventos no deseados.
El seguimiento es una acción permanente, que debe incluir la re-evaluación de decisiones previas.
7.5 Integración de la seguridad de TI

Para mayor efectividad las actividades de seguridad de TI deben abarcar de forma coherente toda la organización y
realizarse desde el principio del ciclo de vida de cualquier sistema de TI. La seguridad de TI es a su vez un ciclo de
actividades de mayor importancia que debe integrarse en las fases del ciclo de vida del sistema de TI. Si bien la
seguridad es más efectiva si se aplica en los sistemas nuevos desde el principio, los sistemas en explotación así como las
actividades de la organización se benefician de la aplicación de la seguridad en cualquier momento.
El ciclo de vida de un sistema de TI puede subdividirse en tres fases básicas. Cada una de estas tres fases se relaciona
con la seguridad de TI de la siguiente manera:
− Planificación: Las actividades de planificación y toma de decisiones deben contemplar las necesidades de seguridad
de TI.
− Adquisición: Los requisitos de seguridad de TI deben ser integrados en los procesos de diseño, desarrollo,
adquisición, actualización, y en resumen, de construcción de los sistemas. La integración de los requisitos de
seguridad en estas actividades asegura que ésta se incluye en los sistemas en el momento oportuno y no después.
− Operación: La seguridad de TI debe estar integrada en el entorno operativo. Dado que un sistema de TI se usa para
realizar una misión específica, sufre una serie de actualizaciones que incluyen elementos de hardware (soporte
físico) o bien la modificación o incorporación de nuevo software (soporte lógico). Además, el propio entorno
operativo cambia frecuentemente. Estos cambios en el entorno pueden provocar nuevas vulnerabilidades en el
sistema que deben ser analizadas y evaluadas y, consecuentemente, o bien mitigadas o bien aceptadas. Es
igualmente importante realizar el abandono o reasignación de los sistemas de una forma segura.

UNE 71501-2:2001 IN - 10 -
La seguridad de TI es una acción permanente con retroalimentaciones dentro y entre las distintas fases de vida del
sistema de TI. En la figura 1 sólo se muestra el camino de retroalimentación general. En la mayor parte de las
situaciones, la retroalimentación también ocurrirá entre y dentro de las actividades más importantes del proceso de
seguridad de TI. Esto da lugar a un flujo continuo de información sobre las vulnerabilidades, amenazas y salvaguardas
de los sistemas de TI a través de las tres fases arriba citadas del ciclo de vida de un sistema de TI.
También merece la pena resaltar que cada área de actividad de una organización puede identificar requisitos de
seguridad de TI que le sean particulares. Estas áreas deberían proporcionarse soporte mutuamente y al proceso global de
seguridad de TI, compartiendo información sobre aspectos de seguridad que puedan ser útiles para el proceso de toma
de decisiones.
8 POLÍTICA DE SEGURIDAD DE TI DE LA ORGANIZACIÓN
8.1 Objetivos
Los objetivos (lo que hay que lograr), las estrategias (cómo lograr esos objetivos) y las políticas (las reglas para lograr
los objetivos) se pueden definir para cada nivel de la organización y para cada unidad de negocio o departamento. Al
objeto de conseguir una seguridad de TI eficaz es necesario sintonizar los distintos objetivos, estrategias y políticas de
cada nivel organizativo o unidad de negocio. La consistencia entre los correspondientes documentos, con sus diferentes
puntos de vista, es muy importante, puesto que muchas amenazas (como la penetración en sistemas, la destrucción de
archivos y los incendios) son comunes.
8.2 Compromiso de la dirección

El compromiso de la alta dirección con la seguridad de TI es importante y debe dar lugar a una política de seguridad de
TI de la organización formalmente acordada y documentada. Por otra parte, la política de seguridad de TI debe derivar
de la política de seguridad global de la organización.
8.3 Relación entre políticas

La política de seguridad de la organización debe ubicarse en el marco de las políticas técnicas y de gestión, que a su vez
forman la base para la formulación estratégica de TI. Esta formulación debe incluir argumentos sobre la importancia de
la seguridad, en particular, si la seguridad es necesaria para la satisfacción de estrategias de la organización. La figura 2
muestra las relaciones entre las diversas políticas. Con independencia de la documentación y de la estructura
organizativa, es importante que se mantenga la consistencia entre los diferentes mensajes de las políticas descritas.

- 11 - UNE 71501-2:2001 IN
Fig. 2 − Relación entre políticas
Es preciso desarrollar otras políticas de seguridad de TI más detalladas para sistemas y servicios específicos, o bien para
grupos de sistemas y servicios de TI, conocidas normalmente como políticas de seguridad de sistemas de TI. A efectos
de gestión, es muy importante que su objetivo y límites estén claramente definidos, y basados en razones técnicas y de
actividad de la organización.
8.4 Elementos de la política de seguridad de TI de la organización

La política de seguridad de la organización debe contemplar como mínimo los siguientes aspectos:
− requisitos de seguridad de TI, por ejemplo, en términos de confidencialidad, integridad, disponibilidad, autenticidad,
particularmente acordes con los puntos de vista de los propietarios de los activos,
− infraestructura organizativa y asignación de responsabilidades,
− integración de la seguridad en el desarrollo y adquisición de sistemas,
− directrices y procedimientos,
− definición de clases para la clasificación de la información,
− estrategias de análisis y gestión de riesgos,
− planes de contingencias,

UNE 71501-2:2001 IN - 12 -
− cuestiones de personal (debe prestarse atención especial al personal en puestos que requieran confianza, como
personal de mantenimiento y administradores del sistema),
− concienciación y formación,
− obligaciones de carácter normativo,
− gestión de la externalización de servicios, y
− gestión de incidentes.
9 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE TI
9.1 Funciones y responsabilidades

La seguridad de TI es una cuestión multidisciplinar e importante para cada proyecto y sistema de TI y para todos los
usuarios de TI en la organización. La asignación y delimitación de responsabilidades debe asegurar que se acometen
todas las tareas importantes y que se llevan a cabo de un modo eficiente.
Si bien este objetivo puede lograrse a través de diversos esquemas, dependiendo de la estructura y tamaño de la
organización, en cualquier caso se deben contemplar los siguientes aspectos:
− un comité de seguridad de TI, que resuelva los asuntos interdisciplinarios y que apruebe directrices y normas, y
− un responsable de seguridad de TI, que actúe como punto focal de todos los aspectos de seguridad de TI de la
organización.
Ambos, el comité de seguridad y el responsable de seguridad de TI de la organización deben tener tareas bien definidas
y no ambiguas, y encontrarse a un nivel suficiente en la estructura de la organización de tal forma que se pueda asegurar
el compromiso con la política de seguridad de TI. La organización debe proporcionar líneas claras de comunicación,
responsabilidad y autoridad al responsable de seguridad de TI, y sus tareas deben ser aprobadas por el comité de
seguridad de TI. El desarrollo de estas tareas puede ser complementado con el apoyo de consultores externos.
La figura 3 muestra un ejemplo típico de las relaciones entre el responsable de seguridad de TI, el comité de seguridad
de TI y los representantes de otras áreas de la organización, tales como otras funciones de seguridad, la comunidad de
usuarios y el personal de TI. Estas relaciones pueden producirse según el organigrama o bien tener un carácter
funcional. El ejemplo de organización de la seguridad de TI descrito en la figura 3 utiliza tres niveles funcionales. Este
enfoque se puede adaptar fácilmente a cualquier organización añadiendo u omitiendo niveles de acuerdo con las
necesidades de la misma. Las organizaciones pequeñas o medianas pueden elegir entre tener o no un responsable de
seguridad de TI cuyas responsabilidades cubran todas las funciones de seguridad. Cuando las funciones son combinadas
es importante asegurar la presencia de las comprobaciones y equilibrios adecuados para evitar la concentración de un
excesivo poder en manos de una sola persona sin tener la posibilidad de influir en ella o controlarla.

- 13 - UNE 71501-2:2001 IN
Fig. 3 − Ejemplo de organización de la seguridad de TI

UNE 71501-2:2001 IN - 14 -
9.1.1 Comité de seguridad de TI. Un comité de este tipo, debe involucrar a quienes cuentan con la capacidad necesa-
ria para identificar requisitos, formular políticas, diseñar el plan de seguridad, revisar los logros y dirigir al responsable
de seguridad corporativa de TI. Puede existir ya un comité adecuado o puede preferirse un comité de seguridad de TI
separado. La función de cada comité es la siguiente:
− asesorar a la dirección de TI en relación con la planificación estratégica de la seguridad,
− formular una política de seguridad de TI de la organización para soportar la estrategia de TI y obtener la aprobación
de la dirección de TI,
− traducir la política de seguridad de TI en un plan de seguridad de TI,
− verificar la efectividad de la política de seguridad de TI,
− promover la concienciación en la seguridad de TI, y
− asesorar sobre recursos (personal, fondos, conocimientos, etc.) necesarios para dar soporte al proceso de planifica-
ción e implantación de la seguridad de TI.
Para mayor eficacia, el comité debe incluir miembros con experiencia en aspectos técnicos y de seguridad en sistemas
de TI, así como representantes de los propios sistemas y usuarios de los mismos. Son necesarios conocimientos y
habilidades en todas estas áreas para desarrollar una política de seguridad de TI que sea realmente práctica.
9.1.2 Responsable de seguridad de TI de la organización. Debido a que la responsabilidad en la seguridad de TI es

compartida, existe el riesgo de que, al final, nadie se sienta responsable de ella. Para evitar esta situación, la
responsabilidad debe ser asignada a una persona específica. El responsable de la seguridad de TI debe actuar como el
punto focal de todos los aspectos de seguridad de TI de la organización. Puede existir ya la persona adecuada que asuma
las responsabilidades adicionales, aunque se recomienda establecer un puesto específico. Es preferible seleccionar a una
persona con experiencia en seguridad y TI como responsable de seguridad de TI. Sus principales responsabilidades son:
− supervisión de la implantación de un plan de seguridad de TI,
− coordinación e información al comité de seguridad de TI y al responsable de seguridad de la organización,
− mantenimiento de las directrices y políticas de seguridad de TI,
− coordinación de las investigaciones de incidentes,
− gestión del plan de concienciación en la seguridad, y
− determinación de los términos de referencia para proyectos de TI y para los responsables de seguridad de los
sistemas (y donde sea pertinente responsables de seguridad de TI departamentales).
9.1.3 Responsable de seguridad de un proyecto de TI y responsable de seguridad de un sistema de TI. Los pro-
yectos o sistemas individuales deben tener un responsable de seguridad, normalmente denominado responsable de segu-
ridad de TI. En algunos casos, puede no ser una función a tiempo completo. La gestión funcional de estos responsables
deberá ser responsabilidad del responsable de seguridad de TI de la organización(o, donde sea aplicable, del
responsable de seguridad de TI departamental). El responsable de seguridad actúa como el foco de todos los aspectos de
seguridad de un proyecto, un sistema o un grupo de sistemas. Las responsabilidades principales del puesto son:
− coordinación e información al responsable de seguridad de TI de la organización (o, donde sea aplicable, al respon-
sable de seguridad de TI departamental),
− documentación y mantenimiento de la política de seguridad del proyecto o sistema de TI,
− desarrollo e implantación del plan de seguridad,
− supervisión día a día de la implantación y uso de las salvaguardas de TI, e
− inicio y apoyo en la investigación de incidentes de seguridad.

- 15 - UNE 71501-2:2001 IN
9.2 Compromiso
Es vital para la seguridad de TI que la dirección a todos los niveles apoye los esfuerzos realizados por el personal. Un
compromiso con los objetivos de seguridad de TI incluye:
− la comprensión de las necesidades globales de la organización,
− la comprensión de las necesidades de seguridad de TI en la organización,
− la demostración del compromiso con la seguridad de TI,
− la voluntad de contemplar las necesidades de seguridad de TI,
− la voluntad de asignar recursos a la seguridad de TI, y
− la concienciación, al más alto nivel, de lo que significa la seguridad de TI o en qué consiste (objeto y campo de
aplicación).
Los objetivos de seguridad de TI deben ser divulgados en la organización. Todos los actores deben conocer su función y
responsabilidad, su contribución a la seguridad de TI y gozar de la confianza para conseguir los objetivos de seguridad.
9.3 Enfoque consistente

Se debe aplicar un enfoque consistente de la seguridad de TI a las actividades de desarrollo, mantenimiento y explo-
tación. La protección debe asegurarse a través del ciclo de vida de la información y de los sistemas de TI, desde la
planificación a su abandono.
Una estructura organizativa, como la que se muestra en la figura 3, puede soportar un enfoque armonizado de la
seguridad de TI en la organización. El compromiso con las normas es un elemento clave. Éstas pueden incluir normas
internacionales, nacionales, regionales, del sector industrial, de la organización y ser seleccionadas y aplicadas de
acuerdo con las necesidades de seguridad de TI de la organización. Las normas técnicas han de ser complementadas con
orientaciones en cuanto a su implantación, uso y gestión.
Los beneficios de la utilización de normas incluyen:
− seguridad integrada,
− interoperatividad,
− consistencia,
− portabilidad,
− economías de escala, e
− interrelación entre organizaciones.
10 OPCIONES EN LA ESTRATEGIA DE ANÁLISIS Y GESTIÓN DE RIESGOS

Cualquier organización que desee mejorar la seguridad debe poner en práctica una estrategia de análisis y gestión de
riesgos adecuada a su entorno y que contemple los recursos necesarios para tratar los riesgos de forma eficaz. Esta
estrategia ha de concentrar el esfuerzo en seguridad allá donde sea necesario y permitir, por tanto, un enfoque eficaz en
términos de recursos económicos y de tiempo.
No es eficaz realizar revisiones detalladas de todos los sistemas, como tampoco no orientarlas hacia los riesgos
importantes. El equilibrio entre estos extremos implica la combinación de la realización de revisiones a alto nivel para
determinar las necesidades en materia de seguridad de TI de los sistemas, junto con los análisis en profundidad
coherentes con las necesidades detectadas. Estas necesidades en materia de seguridad dependen del tamaño, tipo de
actividad, entorno y cultura de la organización. La decisión de realizar un análisis y gestión de riesgos global de la
organización debe ser coherente con estas circunstancias.

UNE 71501-2:2001 IN - 16 -
En algunas situaciones, la organización puede decidir no hacer nada o posponer la implantación de las salvaguardas.
Esta decisión debe tomarse únicamente después de que la organización haya hecho las citadas revisiones de alto nivel.
De todos modos, si se adopta una decisión de este estilo, la dirección debe ser responsable de los riesgos e impactos
adversos que pueden producirse, y de la probabilidad de que un incidente no deseado tenga lugar. Sin el conocimiento
que aporta un análisis y gestión de riesgos de carácter estratégico la organización puede de forma inadvertida incumplir
normativas y puede exponer su actividad a pérdidas potenciales. La decisión y la justificación de no hacer nada o la de
posponer la implantación de las salvaguardas debe ser adoptada únicamente tras una reflexión seria que contemple los
posibles efectos adversos.
Teniendo en cuenta los resultados de las revisiones a alto nivel, se pueden seleccionar las salvaguardas para mitigar los
riesgos utilizando alguna de las cuatro opciones que se describen a continuación. Los siguientes apartados proporcionan
una explicación de las ventajas y desventajas proporcionadas por cada opción.
10.1 Enfoque básico

La primera opción es seleccionar un conjunto de salvaguardas que permita alcanzar un nivel básico de protección para
todos los sistemas. Diversos documentos orientativos básicos y códigos de prácticas sugieren conjuntos de salvaguardas
de carácter normalizado o básico. Tras la identificación de las necesidades básicas, se pueden utilizar como fuentes para
la selección de estas salvaguardas referencias tales como normas nacionales e internacionales, recomendaciones o
normas del sector industrial, o de alguna otra organización que presente ciertas similitudes (como actividad, tamaño,
sistemas y aplicaciones de TI).
Esta aproximación posee una serie de ventajas como:
− No es necesario asignar recursos para un análisis y gestión de riesgos detallado, y el tiempo y esfuerzo empleado en
seleccionar las salvaguardas se reduce. Normalmente, no se necesitan recursos significativos para identificar las
salvaguardas de nivel básico.
− El mismo conjunto de salvaguardas de nivel básico o con pequeñas modificaciones puede adaptarse a muchos
sistemas sin un gran esfuerzo. Las salvaguardas de nivel básico pueden ofrecer una solución eficaz en términos de
costes cuando la organización dispone de sistemas que operan en un mismo entorno y que dan soporte a actividades
con necesidades similares.
Las desventajas de esta opción son:
− Si el listón que señala el nivel básico se establece demasiado alto, puede darse una seguridad demasiado restrictiva o
demasiado costosa para algunos sistemas; por otra parte, si el listón es demasiado bajo, puede darse una seguridad
insuficiente para algunos sistemas.
− Puede haber dificultades derivadas de cambios importantes que afecten a la gestión de la seguridad. Por ejemplo, si
un sistema es actualizado, puede ser difícil valorar si las salvaguardas de nivel básico originales son suficientes.
10.2 Enfoque informal

La segunda opción es llevar a cabo un análisis y gestión de riesgos informal y pragmático en todos los sistemas. Este
enfoque informal no se basa en métodos estructurados, sino que aprovecha el conocimiento y la experiencia de los
expertos. Si no existen expertos internos en seguridad, este análisis puede ser realizado por consultores externos.
La ventaja de esta opción es que:
− No se requiere el aprendizaje de habilidades adicionales para hacer este análisis informal, y puede realizarse más
rápidamente que un análisis y gestión de riesgos detallado. Por ello, este enfoque puede ser muy eficaz en términos
de costes y adecuado para pequeñas organizaciones.

- 17 - UNE 71501-2:2001 IN
Hay varias desventajas:
− Sin un enfoque estructurado, aumenta la posibilidad de pasar por alto algunos riesgos, así como áreas
potencialmente problemáticas.
− Debido a su carácter informal, los resultados pueden venir influenciados por perspectivas subjetivas y por prejuicios
del analista.
− La selección de las salvaguardas no se encuentra suficientemente argumentada o razonada; por tanto, los gastos en
las mismas pueden ser difíciles de justificar.
− Pasado un tiempo sin que se hayan realizado revisiones periódicas puede ser difícil gestionar los cambios con
impacto importante en la seguridad.
10.3 Análisis y gestión de riesgos detallado

La tercera opción es realizar un análisis y gestión de riesgos detallado para todos los sistemas. El análisis y gestión de
riesgos detallado implica la identificación y valoración de los activos, la evaluación de las amenazas y de las
vulnerabilidades de los activos frente a las amenazas, estimación de los posibles impactos y la valoración de los riesgos
en base a lo anterior. El análisis y gestión de riesgos soporta la identificación, selección y adopción de salvaguardas en
base a los riesgos identificados y la reducción de esos riesgos a un nivel aceptable definido por la dirección. Puede ser
un proceso que requiera muchos recursos, y que, por lo tanto, necesite una cuidadosa delimitación del alcance así como
una gestión eficaz.
Las ventajas de esta opción son:

− Se identifica un nivel de seguridad acorde con las necesidades de seguridad de cada sistema.
− La gestión de los cambios con impacto importante en la seguridad se beneficiará de la información adicional
obtenida a partir del análisis y gestión de riesgos detallado.
La mayor desventaja de esta opción es:

− Requiere una considerable cantidad de tiempo, esfuerzo y pericia para lograr resultados viables.
10.4 Enfoque combinado

La cuarta opción consiste en identificar primero aquellos sistemas que están expuestos a un alto riesgo o que son
críticos en relación a la actividad de la organización, mediante un análisis y gestión de riesgos realizado a alto nivel.
Basándose en estos resultados, los sistemas se clasifican en dos grupos, los que requieren un análisis y gestión de
riesgos detallado para conseguir la protección adecuada y los que sólo necesitan la protección a nivel básico.
Esta opción es una combinación de los mejores aspectos de las opciones descritas en 10.1 "Enfoque a nivel básico" y
10.3 "Análisis y gestión de riesgos detallado". Consecuentemente, proporciona un equilibrio entre minimizar el tiempo
y el esfuerzo empleado para identificar las salvaguardas, y asegurar que todos los sistemas están protegidos
adecuadamente.
Las ventajas de esta opción son:
− Un enfoque de alto nivel para recoger la información necesaria antes de comprometer recursos significativos facilita
la aceptación del plan de análisis y gestión de riesgos.
− Debe ser posible configurar a nivel estratégico una visión del plan de seguridad de la organización, que puede
utilizarse como soporte a la planificación.
− Los recursos pueden invertirse donde vayan a ser más beneficiosos, y de forma que los sistemas de alto riesgo
puedan ser tratados antes.

UNE 71501-2:2001 IN - 18 -
La desventaja de esta opción es:

− Si el análisis y gestión de riesgos a alto nivel produce resultados erróneos, algunos de los sistemas en los que se
necesita un análisis y gestión de riesgos detallado podrían no ser contemplados. Esta circunstancia puede soslayarse
mediante una comprobación adecuada de los citados resultados; no obstante, ante cualquier evento dichos sistemas
se encontrarían protegidos por las salvaguardas de nivel básico.
En la mayoría de los casos está opción ofrece el enfoque más eficaz en términos de costes y es la opción de análisis y
gestión de riesgos más recomendable para la mayoría de las organizaciones.
11 RECOMENDACIONES DE SEGURIDAD DE TI
Cualquiera de las opciones del capítulo 10 debería proporcionar recomendaciones suficientes para reducir los riesgos en
la seguridad a un nivel aceptable. Estas recomendaciones deberían ser aprobadas por la dirección y deberían incluir:
− el criterio para determinar los niveles aceptables de riesgo para los sistemas de TI considerados,
− una selección de salvaguardas que reduzcan los riesgos a un nivel aceptable,
− beneficios relacionados con la implantación de estas salvaguardas y la reducción de riesgos conseguida por estas
salvaguardas, y
− la aceptación de los riesgos residuales que queden cuando todas estas salvaguardas hayan sido implantadas.
11.1 Selección de salvaguardas

Los diversos tipos de salvaguardas permiten conocer, prevenir, impedir, reducir, controlar, corregir y recuperarse de
incidentes no deseados. La prevención puede incluir la disuasión de acciones no deseadas, así como actividades que
mejoren la concienciación en la seguridad. Las áreas más importantes, donde las salvaguardas son aplicables, y algunos
ejemplos de cada área son:
− equipos (copias de seguridad, claves),
− software (soporte lógico) (firmas electrónicas, registros, programas antivirus),
− comunicaciones (cortafuegos, cifrado),
− entorno físico (barreras, insignias),
− personal (concienciación, procedimientos de abandono de la organización), y
− administración (autorización, abandono de equipos, control de licencias).
Las salvaguardas no son independientes unas de las otras y frecuentemente funcionan conjuntamente. El proceso de
selección debe tener en cuenta las interdependencias entre salvaguardas; así también debe verificarse que no quedan
lagunas. Dichas lagunas hacen posible la burla de las salvaguardas existentes y permiten que amenazas accidentales
puedan materializarse y causar daños.
En el caso de nuevos sistemas, o bien en aquellos sistemas en explotación donde se vayan a realizar cambios significa-
tivos, la selección de salvaguardas puede realizarse según una arquitectura de seguridad. Una arquitectura de seguridad
describe cómo se deben satisfacer los requisitos de seguridad en un sistema de TI y es, a su vez, parte de la arquitectura
global del sistema. Contempla las salvaguardas técnicas teniendo en cuenta los aspectos de carácter no técnico.
Todas las salvaguardas precisan una gestión que asegure su funcionamiento eficaz y muchas de ellas requieren soporte
administrativo a efectos de mantenimiento. Estos factores deben tenerse en cuenta durante el proceso de selección de las
mismas.

- 19 - UNE 71501-2:2001 IN
Es importante que las salvaguardas sean implantadas eficazmente y sin ocasionar gastos indebidos de gestión y uso. Si
las salvaguardas provocan cambios significativos, su implantación debe estar ligada a un plan de concienciación en la
seguridad, a una gestión de cambios y a una gestión de la configuración.
11.2 Aceptación de riesgos

Tras la implantación de las salvaguardas seleccionadas, siempre existe un riesgo residual. Esto es debido a que no puede
haber ningún sistema absolutamente seguro y a que ciertos activos pueden haberse dejado sin protección intencionada-
mente (por ejemplo, porque se asume un bajo riesgo o por los altos costes de la salvaguarda recomendada en relación al
valor estimado del activo que se protege).
El primer paso del proceso de aceptación de riesgos es revisar las salvaguardas seleccionadas e identificar y valorar
todos los riesgos residuales. El paso siguiente es clasificar los riesgos residuales en aquellos considerados "aceptables"
y en aquellos que son "inaceptables" para la organización.
Es obvio que los riesgos inaceptables no pueden tolerarse, y, por tanto, deberían considerarse salvaguardas adicionales
que limiten dichos riesgos. En cada uno de estos casos, se debe tomar una decisión: o bien el riesgo se considera
“aceptable” o bien se aprueba la adquisición de salvaguardas adicionales para reducir el riesgo a un nivel aceptable.
12 POLÍTICA DE SEGURIDAD DE SISTEMAS DE TI

Las políticas de seguridad de sistemas de TI deben basarse en la política de seguridad de la organización. Estas políticas
constan de un conjunto de principios y de reglas para la protección de los sistemas y de los servicios. Las políticas
deben implantarse mediante la aplicación de las salvaguardas apropiadas a los sistemas y servicios para asegurar un
nivel adecuado de protección.
Las políticas de seguridad de sistemas de TI deben contar con el respaldo de la dirección con el fin de que pueda
asegurarse el compromiso de los recursos financieros y humanos necesarios para su aplicación y cumplimiento.
Los aspectos clave a considerar cuando se determina la política de seguridad de cada sistema de TI son:
− definición del sistema de TI considerado y sus límites,
− definición de los objetivos del sistema, debido a que pueden tener un impacto en la política de seguridad del sistema
y en la selección e implantación de las salvaguardas,
− impactos potenciales adversos de:

− indisponibilidad, denegación o destrucción de servicios o activos, incluyendo la información,
− modificaciones no autorizadas de información o de software (soporte lógico), y
− revelación no autorizada de información, con consecuencias cuantitativas como pérdidas económicas directas o
indirectas, así como consecuencias cualitativas como pérdida de clientes, pérdida o peligro de vidas humanas,
violación de la privacidad personal,
− nivel de inversión en TI,
− amenazas significativas al sistema de TI y a la información manejada,
− vulnerabilidades, incluyendo debilidades que dejan al sistema de TI expuesto al peligro de amenazas identificadas,
− salvaguardas requeridas, que sean proporcionadas a los riesgos identificados,
− costes de seguridad de TI, es decir, los costes de proteger los activos de TI (el coste de la seguridad de TI debería ser
considerado como una parte más del coste del sistema de TI), y
− criterios en relación a la externalización de servicios (outsourcing) (por ejemplo, centros de cálculo, soporte para
ordenadores personales).

UNE 71501-2:2001 IN - 20 -
La seguridad de TI precisa un enfoque planificado y no debería plantearse de manera aislada. Debe figurar en el proceso
de planificación estratégico, de esta manera se asegura que la seguridad se encuentra presente en la planificación y dise-
ño del sistema desde el principio. En la mayor parte de las situaciones será más costoso, incluso imposible, incorporar
las salvaguardas más tarde.
13 PLAN DE SEGURIDAD DE TI
El plan de seguridad de TI es un documento en el que se definen las acciones coordinadas que hay que llevar a cabo
para implantar la política de seguridad de un sistema de TI. Este plan debe contener las acciones que deben realizarse a
corto, medio y largo plazo; los costes asociados en términos de inversiones, costes operativos, carga de trabajo, etc., y
un calendario de implantación. Debería incluir:
− un diseño y una arquitectura global de seguridad,
− una breve descripción del sistema de TI para asegurar la consistencia con los objetivos de seguridad de la
organización, reflejados en términos de máximas pérdidas económicas, molestias para la organización, cuestiones de
imagen, etc.,
− una identificación de las salvaguardas validadas por la dirección en respuesta a los riesgos evaluados,
− una valoración del nivel actual de confianza en las salvaguardas, que incluye la determinación de su eficacia,
− una visión general de la valoración de los riesgos residuales en el contexto del sistema o aplicación dado,
− la identificación y definición de acciones con su prioridad respectiva con objeto de implantar las salvaguardas,
− un plan de trabajo detallado para la implantación de las salvaguardas, incluyendo prioridades, presupuesto y calendarios,
− actividades de control del proyecto incluyendo:
− el compromiso de recursos y asignación de responsabilidades, y
− la definición de los procedimientos para seguimiento del progreso,
− la concienciación en la seguridad y los requisitos de formación para la plantilla de TI y los usuarios finales, y
− los requisitos para el desarrollo de los procedimientos de operación y administración de la seguridad.
Además, el plan debe incluir los procedimientos que definen las condiciones y acciones para la validación de cada uno
de los puntos arriba expuestos, incluyendo la modificación del propio plan.
14 IMPLANTACIÓN DE SALVAGUARDAS
Después de haber establecido un plan de seguridad de TI, es necesario implantarlo. Normalmente, el responsable de ello
es el responsable de seguridad del sistema de TI. Los siguientes objetivos deberían tenerse en cuenta durante la
implantación de la seguridad:
– el coste de las salvaguardas permanece dentro del rango aprobado,
– las salvaguardas son implantadas correctamente, como se especifica en el plan de seguridad de TI, y
– las salvaguardas se explotan y administran como se especifica en el plan de seguridad de TI.
En general las salvaguardas técnicas han de completarse con procedimientos de operación y administración que no
pueden ser satisfechos por medios exclusivamente técnicos. Por tanto, estos procedimientos deberán ser respaldados e
impuestos por la dirección.

- 21 - UNE 71501-2:2001 IN
La concienciación en la seguridad y la formación también están consideradas como salvaguardas. Debido a su impor-
tancia, la concienciación se trata en el capítulo 15. Mientras que la concienciación en la seguridad se aplica a todo el
personal, la formación específica en seguridad es precisa para:
– el personal responsable del desarrollo de los sistemas de TI,
– el personal responsable de la explotación de los sistemas de TI,
– los responsables de seguridad de sistemas y proyectos de TI, y
– el personal responsable de la administración de la seguridad, por ejemplo, para control de acceso.
Cuando la implantación del plan de seguridad de TI se haya completado, debería tener lugar el proceso formal de
aprobación de la implantación de las salvaguardas especificadas en el plan de seguridad del sistema de TI. Una vez se
haya obtenido la aprobación, se da la autorización para que el sistema o servicio de TI sea puesto en explotación. Este
proceso de aprobación se suele denominar "acreditación".
Cualquier cambio significativo en un sistema o servicio de TI debería conllevar un nuevo proceso de verificación,
prueba y aprobación del sistema o servicio de TI.
15 CONCIENCIACIÓN EN LA SEGURIDAD
El plan de concienciación en la seguridad debería ser implantado a todos los niveles de la organización, desde la alta
dirección hasta los usuarios. Sin la aceptación y participación del personal al nivel de usuario el plan de concienciación
en la seguridad no puede tener éxito. Los usuarios han de comprender su importancia para que el plan tenga éxito.
Un plan de concienciación debe transmitir ideas de la política de seguridad de TI y asegurar una completa comprensión
de las directrices de seguridad y de las acciones apropiadas. Además, el plan de concienciación en la seguridad debería
cubrir los objetivos previstos en la planificación de la seguridad del sistema. El plan debe contemplar al menos los
siguientes aspectos:
− las necesidades básicas de protección de la información,
– las consecuencias de los incidentes de seguridad para el usuario así como para la organización,
– los objetivos que se persiguen y una explicación de la política de seguridad de TI de la organización y de la

estrategia de análisis y gestión de riesgos, orientados a una comprensión de los riesgos y de las salvaguardas,
– los planes de seguridad de TI para implantar y comprobar las salvaguardas,
– la clasificación de la información,
– las responsabilidades de los propietarios de la información,
– las responsabilidades, las descripciones de tareas y los procedimientos,
– la necesidad de informar e investigar las violaciones de seguridad o sus tentativas,
– las consecuencias de no actuar de una manera autorizada (incluyendo acciones disciplinarias),
– la verificación de la conformidad con los requisitos de seguridad, y
– la gestión de la configuración y la gestión de cambios.
Un plan de concienciación en la seguridad eficaz se valdrá de una gran variedad de medios tales como folletos, manua-
les, posters, videos, cartas, ejercicios prácticos, talleres, seminarios y conferencias. Es importante que la implantación
del plan de concienciación contemple aspectos sociales, culturales y psicológicos y que contribuya a desarrollar una
cultura que reconozca la importancia de la seguridad.

UNE 71501-2:2001 IN - 22 -
La concienciación en la seguridad debería incluir a toda la organización y debería influir en el comportamiento, y

conducir a una mayor responsabilidad de todos los actores. Un factor crítico es que la dirección sea consciente de la
necesidad de la seguridad. Es parte del trabajo de todos los directivos asegurar la concienciación en la seguridad del
personal de la organización. Por lo tanto, deberán asignar el presupuesto correspondiente. En el caso de grandes
organizaciones, la responsabilidad en la concienciación en la seguridad de TI debería delegarse en el responsable de
seguridad de TI de la organización. El objeto de un plan de concienciación es convencer de que existen riesgos
significativos para los sistemas de TI y que la pérdida, modificación no autorizada y revelación de información, podrían
tener importantes consecuencias para la organización y su personal.
Es preferible organizar sesiones de concienciación relacionadas con el entorno de la organización. Deberían plantearse
ejemplos significativos, es decir, ejemplos basados en casos de otras organizaciones, que son fáciles de comprender y
tienen un mayor impacto que los casos reflejados en las noticias. Dichas sesiones proporcionarán al personal mayores
oportunidades de interacción con el instructor. El cumplimiento del personal con las salvaguardas debería ser
supervisado para medir el impacto de las sesiones de concienciación en la seguridad y para evaluar los contenidos de las
mismas. Si el resultado no es satisfactorio, el contenido de las sesiones de concienciación debería modificarse.
Las sesiones de concienciación en la seguridad deberían repetirse periódicamente para refrescar el conocimiento del
personal existente y para formar al nuevo personal. Además, cada nuevo empleado, cada nueva persona contratada y
cada nueva persona ascendida deberían ser formados en sus nuevas responsabilidades. También es recomendable
integrar aspectos de seguridad de TI en otros cursos.
Todo esto significa que la concienciación en la seguridad es un proceso continuo y que nunca puede considerarse
finalizado.
16 SEGUIMIENTO
Todas las salvaguardas requieren un mantenimiento para asegurar que están funcionando y que lo continuarán haciendo
de una manera predecible y adecuada. Este aspecto de la seguridad es uno de los más importantes, pero suele recibir una
atención insuficiente. Habitualmente, el sistema o servicio ya existe y la seguridad se añade con posterioridad y luego se
olvida. Se tiende a ignorar las salvaguardas que se han implantado y, en el mejor de los casos, se presta escasa atención
a mantener o mejorar la seguridad. Más aún, la obsolescencia de las salvaguardas debe ser puesta de manifiesto por
acciones planificadas más que por un descubrimiento casual. Además, la verificación de la conformidad con los
requisitos de seguridad, la verificación del entorno operativo, la revisión de los registros de eventos y la gestión de
incidentes también son necesarias para asegurar la continuidad en la seguridad.
16.1 Mantenimiento
El mantenimiento de las salvaguardas, que incluye su administración, es una parte esencial del plan de seguridad de la
organización. Es responsabilidad de todos los niveles directivos asegurar que:
− se asignan recursos de la organización al mantenimiento de las salvaguardas,
− las salvaguardas se validan periódicamente para asegurar que siguen actuando como se pretende,
− las salvaguardas se actualizan cuando se descubren nuevos requisitos,
− la responsabilidad del mantenimiento de las salvaguardas esté claramente establecida,
− las modificaciones y actualizaciones de equipos y software (soporte lógico) de un sistema de TI no modifican la

actuación de las salvaguardas existentes, y
− la mejora en tecnología no da lugar a nuevas amenazas o vulnerabilidades.
Cuando las actividades de gestión descritas se llevan a cabo, las salvaguardas existentes deben actuar como se espera y
se evitarán impactos costosos.

- 23 - UNE 71501-2:2001 IN
16.2 Conformidad con los requisitos de seguridad

La verificación de la conformidad con los requisitos de seguridad, también conocida como auditoría de seguridad o
revisión de la seguridad, es una actividad muy importante para asegurar el cumplimiento y adecuación con el plan de
seguridad del sistema de TI.
Para asegurar que el nivel de seguridad de TI adecuado permanece efectivo, es esencial que las salvaguardas implan-
tadas sean conformes, y continúen siéndolo, con las salvaguardas especificadas en el proyecto de TI o plan de seguridad
del sistema. Esto debe ser cierto para todos los proyectos y sistemas de TI durante:
− el diseño y la implantación,
− el tiempo de vida operativo, y
− la sustitución o abandono.
La verificación de la conformidad con los requisitos de seguridad puede ser realizada por personal externo o interno a la
organización (por ejemplo auditores) y se basa esencialmente en el uso de una lista de verificación relacionada con el
proyecto de TI o con la política de seguridad del sistema o proyecto de TI.
La verificación de la conformidad con los requisitos de seguridad debería ser planificada e integrada con otras
actividades previstas.
Las verificaciones in situ son particularmente útiles para determinar si el personal de explotación y los usuarios siguen
los procedimientos y las salvaguardas específicas.
La verificación debería hacerse para asegurar que se implantan las salvaguardas correctas, que son implantadas correc-
tamente, que se usan correctamente y, donde sea conveniente, también para comprobarlas. Donde se detecte que algunas
salvaguardas no son conformes con los requisitos, se debe ejecutar un plan de acciones correctoras, y revisar los resultados.
16.3 Verificación de las salvaguardas

La verificación de las salvaguardas es una parte crucial en el ciclo de seguridad de TI. Si se lleva a cabo adecuada-
mente, proporciona a la dirección una visión de:
− lo que se ha conseguido comparado con los objetivos y los tiempos límite establecidos, y
− dónde los logros son o no satisfactorios y dónde iniciativas específicas funcionaron o no.
Todos los cambios en activos, amenazas, vulnerabilidades y salvaguardas podrían tener potencialmente un efecto
significativo en los riesgos, y una pronta detección de los cambios permite adoptar acciones preventivas.
Muchas salvaguardas producen registros de eventos relevantes. Estos registros deberían ser revisados periódicamente y
si es posible, analizados usando técnicas estadísticas para permitir una pronta detección de cambios de tendencias, y la
detección de sucesos adversos recurrentes. El uso de registros únicamente para análisis a posteriori ignora un mecanis-
mo muy potente de las salvaguardas.
La verificación debería incluir también procedimientos de informe al responsable de seguridad de TI pertinente y a la

dirección con regularidad.
16.4 Gestión de incidencias

Es inevitable que ocurran incidencias de seguridad. Cada incidencia debe investigarse en proporción con el daño causado.
La gestión de incidencias proporciona la capacidad para reaccionar ante interrupciones accidentales o deliberadas en el
funcionamiento normal del sistema de TI. En consecuencia, se debe establecer un procedimiento de informe e investigación
de incidencias de seguridad adecuado para todos los sistemas y servicios de TI de la organización. Además, se debe
considerar la participación en foros inter-organizacionales para disponer de una visión más amplia de la ocurrencia de
incidencias en la seguridad de TI y de las amenazas relacionadas, y sus efectos tanto en los activos de TI así como en la
actividad de la organización.

UNE 71501-2:2001 IN - 24 -
Los objetivos fundamentales durante la investigación de un incidente de seguridad de TI son:
− reaccionar ante una incidencia de una manera sensata y eficaz, y
− aprender de la incidencia para impedir sucesos adversos similares en un futuro.
Un plan de acción con decisiones predefinidas permitirá a la organización reaccionar en un tiempo razonable para evitar
más daños y, donde sea pertinente, continuar la actividad con recursos auxiliares. Un plan para la gestión de incidencias
debe incluir una documentación cronológica de todos los eventos y acciones; lo que debería conducir a la identificación
de la fuente de la incidencia. Dicho requisito es una condición previa para alcanzar el segundo objetivo, que es reducir
riesgos futuros con la mejora de las salvaguardas. Un efecto positivo de una incidencia es que aumente la voluntad de
invertir en salvaguardas.
Es importante que se lleve a cabo y se documente un análisis del incidente que incluya las siguientes preguntas:
− ¿Qué ha pasado y a qué hora?
− ¿Siguió el personal el plan?
− ¿Estaba disponible la información requerida por el personal a tiempo?
− ¿Qué propondría el personal hacer de diferente manera la próxima vez?
La respuesta a estas preguntas ayudará a comprender la incidencia. Esta información debería utilizarse para reducir los
riesgos mejorando los planes y políticas de seguridad (por ejemplo, mejorando las salvaguardas, reduciendo las vulnera-
bilidades y adaptando el plan de concienciación en la seguridad).
17 RESUMEN
Esta Norma UNE 71501-2 IN trata sobre la gestión y las responsabilidades asociadas a un plan eficaz de seguridad de
TI. Persigue familiarizar a los gestores con los principales procesos y funciones en la gestión de la seguridad de TI. La
información proporcionada en esta parte puede no ser directamente aplicable a todas las organizaciones. En particular,
las organizaciones pequeñas probablemente no dispongan de todos los recursos para llevar a cabo por completo algunas
de las funciones descritas. En estos casos, es importante que los conceptos y funciones básicos sean adaptados de forma
adecuada a la organización. Incluso en algunas organizaciones grandes, algunas de las funciones contempladas pueden
no ser llevadas a cabo exactamente como se describe. La parte 3 analiza diversas técnicas para satisfacer las funciones
descritas en la parte 2. Otras partes tratan la selección de las salvaguardas, y las salvaguardas específicas para
conexiones a redes externas.

- 25 - UNE 71501-2:2001 IN
ANEXO A (Informativo)
BILBIOGRAFÍA
ISO/IEC TR 13335-1:1996 − Tecnología de la Información (TI). Guía para la gestión de la seguridad de TI. Parte 1:
Conceptos y modelos para la seguridad de TI.
ISO/IEC TR 13335-2:1997 − Tecnología de la Información (TI). Guía para la gestión de la seguridad de TI. Parte 2:
Gestión y planificación de la seguridad de TI.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT), del Ministerio de Adminis-
traciones Públicas. Se utiliza como referencia para precisar las definiciones y descripciones de los elementos de seguri-
dad (activos, amenazas, vulnerabilidades, impactos, riesgo y salvaguardas), así como la descripción del análisis y
gestión de riesgos.

Dirección C Génova, 6 Teléfono 91 432 60 00 Fax 91 310 40 32
28004 MADRID-España

Une 71501 2 2001 in

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Une 71501 2 2001 in

Cargado por

Copyright:

Formatos disponibles

informe UNE 71501-2 IN

TÍTULO Tecnología de la Información (TI)

Guía para la gestión de la seguridad de TI

Parte 2: Gestión y planificación de la seguridad de TI

CORRESPONDENCIA Este informe es equivalente al Informe Técnico ISO/IEC TR 13335-2:1997.

 AENOR 2001 C Génova, 6 Teléfono 91 432 60 00 Grupo 13

Documento de trabajo de uso exclusivo para los cursos de

Documento de trabajo de uso exclusivo para los cursos de

ANEXO A (Informativo) BIBLIOGRAFÍA.................................................................................. 25

Documento de trabajo de uso exclusivo para los cursos de

ISO (Organización Internacional de Normalización) y CEI (Comisión Electrotécnica Internacional)

A esta norma internacional se le pueden añadir partes adicionales en un futuro.

Documento de trabajo de uso exclusivo para los cursos de

− definir y describir los conceptos relacionados con la gestión de la seguridad de TI,

− identificar las relaciones entre la gestión de la seguridad de TI y la gestión de las TI en general,

− presentar varios modelos útiles para explicar la seguridad de TI,

− proporcionar orientación general sobre la gestión de la seguridad de TI, y

− proporcionar orientación en relación con la selección de salvaguardas.

La Norma UNE 71501 IN está estructurada en varias partes:

Partes adicionales a la norma se podrán añadir en un futuro.

1 OBJETO Y CAMPO DE APLICACIÓN

2 NORMAS PARA CONSULTA

Documento de trabajo de uso exclusivo para los cursos de

La gestión de la seguridad de TI es el proceso para alcanzar y mantener niveles apropiados de autenticidad,

− determinación de los objetivos, estrategias y políticas organizativas de la seguridad de TI,

− determinación de los requisitos organizativos de la seguridad de TI,

− identificación y análisis de amenazas a activos de la organización (análisis de riesgos),

− desarrollo e implantación de un plan de concienciación en la seguridad, y

− detección y reacción ante incidentes.

Documento de trabajo de uso exclusivo para los cursos de

7.1 Procesos de gestión y planificación

Documento de trabajo de uso exclusivo para los cursos de

Fig. 1 − Visión general de la planificación y gestión de la seguridad de TI

7.2 Análisis y gestión de riesgos

− determinación de la estrategia global de análisis y gestión de riesgos adecuada a la organización en el contexto de la

Documento de trabajo de uso exclusivo para los cursos de

− formulación de políticas de seguridad de sistemas de TI a partir de los requisitos de seguridad y, en su caso,

− mantenimiento de las salvaguardas, para asegurar su operación continuada y efectiva,

− gestión de incidentes para asegurar la reacción apropiada ante eventos no deseados.

7.5 Integración de la seguridad de TI

Documento de trabajo de uso exclusivo para los cursos de

8 POLÍTICA DE SEGURIDAD DE TI DE LA ORGANIZACIÓN

8.2 Compromiso de la dirección

8.3 Relación entre políticas

Documento de trabajo de uso exclusivo para los cursos de

Fig. 2 − Relación entre políticas

8.4 Elementos de la política de seguridad de TI de la organización

− infraestructura organizativa y asignación de responsabilidades,

− integración de la seguridad en el desarrollo y adquisición de sistemas,

− definición de clases para la clasificación de la información,

− estrategias de análisis y gestión de riesgos,

Documento de trabajo de uso exclusivo para los cursos de

− obligaciones de carácter normativo,

− gestión de la externalización de servicios, y

9 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE TI

9.1 Funciones y responsabilidades

Documento de trabajo de uso exclusivo para los cursos de

Fig. 3 − Ejemplo de organización de la seguridad de TI

Documento de trabajo de uso exclusivo para los cursos de

− asesorar a la dirección de TI en relación con la planificación estratégica de la seguridad,

− traducir la política de seguridad de TI en un plan de seguridad de TI,

− verificar la efectividad de la política de seguridad de TI,