Tema 1.0 - GC y AR

Gobierno de la ciberseguridad y análisis de riesgos
Juan de Vicente Mohino
La Seguridad de la Información
Índice del Tema 1
1. Introducción
2. La seguridad de la información implica la confidencialidad,
integridad y disponibilidad
3. La seguridad es un asunto económico
4. La seguridad es un proceso
5. La clasificación de la información
6. La seguridad se articula con controles de seguridad
7. La seguridad en la información implica la gestión de los riesgos
8. La seguridad en tanto física como lógica
9. La seguridad implica a las personas
2
Tema 1: La Seguridad de la Información
1.1.- Introducción
► El tema debe comenzarse comprendiendo y sabiendo enunciar:
Qué se protege La confidencialidad, integridad y disponibilidad.

De qué activos De los clasificados como valiosos.
Por qué medios Mediante controles implementados en políticas, estándares y
procedimientos.
► Además, también es importante conocer la protección de las

amenazas físicas y del factor humano, y entender las técnicas de
ingeniería social
3
1.2.- La seguridad de la información implica la confidencialidad,
► La seguridad de la información implica determinar qué hay que

proteger y por qué, de qué se debe proteger y cómo protegerlo
► Hay tres perspectivas fundamentales en la seguridad de la

información:
 Legal
 Técnica
 Organizativa
4
El punto de vista legal concierne a las regulaciones internacionales,

nacionales y regionales que protegen básicamente la privacidad y los
derechos de propiedad intelectual
La perspectiva técnica es la del desarrollo, análisis, configuración y

despliegue de elementos técnicos (hardware, software, redes, etc.) que
tiene determinadas características relacionadas con la seguridad
La visión organizativa considera esencialmente la seguridad como un

elemento fundamental para el negocio. La perspectiva organizativa de la
seguridad se basa en el análisis de riesgos
5
Podemos decir que la perspectiva organizativa y la legal indican qué hay

que proteger, por qué y de qué
La perspectiva técnica se encarga del cómo hay que proteger desde el

punto de vista técnico dependiendo de la tipología cambiante de las
amenazas
La seguridad de la información en una organización básicamente implica la

protección de los activos necesarios para que la organización cumpla con
su misión frente al daño o la destrucción. Por esa naturaleza, es una
actividad crítica en la empresa
6
La seguridad es un proceso continuo de mejora y no un estado de un

sistema por lo que las políticas y controles establecidos para la protección
de la información deberán revisarse, probarse y adecuarse ante los nuevos
riesgos que se identifiquen
En este sentido, se puede decir que no existe un sistema de información

perfectamente seguro, dado que las amenazas evolucionan, y también la
propia organización y sus recursos de información
7
Principios de la seguridad de la información
Estos tres atributos pueden utilizarse como criterio para los controles de
seguridad dentro de las organizaciones. Sus atributos «inversos», de
carácter negativo o no deseable, son la revelación, la alteración y la
destrucción
8
Confidencialidad
La privacidad es quizá el aspecto que se menciona con más frecuencia
en cuanto a la confidencialidad. La privacidad de la información personal es
un derecho protegido por regulaciones internacionales y nacionales, pero
no es más que una de las caras de la confidencialidad
Confidencialidad es la propiedad de prevenir la revelación y

divulgación intencionada o no intencionada de información a personas o
sistemas no autorizados. Las amenazas a la confidencialidad son múltiples
y los medios para conseguir acceso muy diversos
9
Integridad
Integridad es la propiedad que busca mantener los datos libres de
modificaciones no autorizadas
Un ejemplo típico de ataque contra la integridad es la alteración de un

balance de una cuenta bancaria. Los ataques contra la integridad suelen
implicar también pérdidas de confidencialidad, pero no necesariamente
Algunos autores consideran que la integridad debe también cubrir las

modificaciones no autorizadas por el personal autorizado, es decir, el
control interno de las autorizaciones
10
Integridad
La integridad de la información se gestiona de acuerdo a tres principios:
• Mínimo privilegio (least privilege based on need-to-know): sólo se
debe dar acceso a los usuarios a aquellos recursos de información
que les sean absolutamente imprescindibles para realizar su trabajo
• Separación de obligaciones (segregation of duties): para una
determinada tarea, no deber haber nunca un único usuario
responsable de realizarla
• Rotación de obligaciones: propone que las tareas asignadas a los
empleados cambien de responsable con una frecuencia determinada
11
Disponibilidad
Un sistema está disponible cuando sus usuarios legítimos pueden utilizarlo
para realizar funciones legítimas
Disponibilidad es la característica, cualidad o condición de la

información de encontrarse a disposición de quienes deben acceder a
ella como usuarios autorizados, ya sean personas, procesos o
aplicaciones. Se habla de disponibilidad en dos situaciones típicas:
 Ataques de denegación de servicio (Denial of Service, DoS)
 Pérdidas de datos o capacidades de procesamiento de datos debidas a
catástrofes naturales
12
1.3.- La seguridad es un asunto económico
En muchas empresas no se toma suficientemente en cuenta la seguridad

de la información hasta que experimentan un ataque o una brecha de
seguridad
Dado que la seguridad cuesta dinero, el problema fundamental es buscar

un equilibrio entre el coste de la seguridad y el impacto económico de
los riesgos probables
Es importante entender la vertiente económica de la seguridad, dado que

aparentemente los avances técnicos en seguridad no mejoran la seguridad
de las empresas, si éstas no la ponen en práctica
13
Muchas tecnologías de seguridad comienzan a utilizarse cuando se dan los

dos siguientes elementos:
Son fáciles de implantar Los auditores de seguridad comienzan a

demandarlas
Por ejemplo, los firewalls. El coste para implantarlos se ha reducido

considerablemente porque cada vez son más fáciles de implantar y hay
más gente preparada para hacerlo. Por otro lado, el coste de no tenerlos,
en el caso de una auditoría, es grande (la empresa no pasará la auditoría).
El aspecto económico de la seguridad es tan importante, que es un campo

de estudio en sí mismo «Information Security Economics»
14
Marco económico para la seguridad de la información
15
1.4.- La seguridad es un proceso
La seguridad son actividades continuas realizadas dentro de un plan

sistemático que debe evaluarse continuamente. Es decir, la seguridad de
la información es un proceso
Los elementos fundamentales de ese proceso son los activos de

información, por eso la base de todo el proceso es su identificación, para
después aplicar una serie de herramientas de gestión
16
La gestión de la seguridad implica:

• La identificación y valoración de los activos de información
• La gestión integral de los riesgos
• Documentación e implementación de políticas, normas,
procedimientos y guías que garanticen su disponibilidad, integridad
y confidencialidad
• La implantación y el mantenimiento de controles
Las herramientas de gestión se utilizan para identificar las amenazas,

clasificar los activos y su vulnerabilidad para establecer controles de
seguridad eficaces
17
Cuerpo Normativo de Seguridad
PDS
Política de Seguridad
de la Información
Políticas Política de
Clasificación de la
Información
Normas
Procedimientos
Guías
18
Cuerpo Normativo de Seguridad
Establecen la gestión de seguridad en la organización en función de los objetivos

Políticas
de negocio
Normas Detallan aspectos concretos de las políticas
Especifican un conjunto ordenado de pasos en relación con la ejecución de un

Procedimientos
proceso o actividad que trata de cumplir con lo definido en las normas
Especifican las acciones o tareas necesarias para completar una actividad o

Guías (técnicas) proceso de un procedimiento concreto sobre una parte concreta de un sistema de
información
Hacen referencia a un punto en el tiempo utilizado para comparación ante cambios

Baselines en el futuro. Normalmente una vez que un riesgo ha sido mitigado, se formaliza
una baseline del sistema para tomarlo de referencia
19
1.5.- La clasificación de la información
La clasificación de la información permite identificar el valor de los

recursos de información, incluyendo la información más sensible o vital
para la empresa
Clasificar la información además demuestra un compromiso con la

seguridad y puede ser imprescindible debido a regulaciones existentes
Política de Clasificación de
la Información
20
Militar
Tipo Definición
Sin clasificar / Unclassified Información no clasificada. Su difusión no afecta a la confidencialidad
Sensible / Sensitive Información que tiene un impacto menor si se difunde
Confidencial / Confidential Su difusión causaría daño a la seguridad nacional
Secreta / Secret Su difusión causaría un daño importante a la seguridad nacional
Alto secreto / Top Secret Su difusión causaría un daño extremadamente grave a la seguridad nacional
21
Empresarial
Tipo Definición
Público/ Public Información que puede difundirse públicamente

Información que se puede difundir internamente, pero no externamente. Por
Uso interno / Private
ejemplo, información sobre los proveedores y su eficiencia.
Información que se puede difundir únicamente internamente y sólo disponible
Sensible / Sensitive
para determinados colectivos/personal dentro de la empresa
La información más sensible. Por ejemplo, información sobre fórmulas de
Confidencial / Confidential
productos, productos nuevos o fusiones empresariales en curso.
22
Roles y procedimientos en la clasificación de información
Principales roles:
 Propietario (owner) del activo: es el encargado de la protección de los
recursos de información
 Responsable (custodian): Normalmente es personal técnico, en quien el
propietario delega la custodia efectiva de la información
 Usuario: Son los «consumidores» de la información para su trabajo
diario. Pueden tener diferentes permisos sobre la información
A nivel de dato, se habla también del Data steward (administrador del dato
y responsable de la calidad) y del Privacy Officer (responsable de la PII)
23
1.6.- La seguridad se articula con controles de seguridad
El Control de Seguridad tiene como objetivo reducir los efectos de una

amenaza o vulnerabilidad de la seguridad
El establecimiento de un control de seguridad es consecuencia de un

estudio previo del impacto de determinadas vulnerabilidades o amenazas.
El proceso estructurado que produce estimaciones de las pérdidas por esas
vulnerabilidades es el análisis de riesgos (Risk Assessment)
Los conceptos de riesgo son la vara de medir para determinar si un control

está bien implementado o no
24
Atendiendo a diferentes criterios, los controles se pueden clasificar en:
• Tipología: administrativos o de gestión, técnicos y físicos
• Objetivos: preventivos, disuasorios, de detección, correctivos y

alternativos o compensatorios
• Naturaleza: obligatorios, voluntarios, manuales y automáticos
25
Por ejemplo, consideremos el siguiente control mencionado en la norma

ISO 27001:2013:
Objetivo de control: responsabilidades del usuario
• Control o medida de ejemplo: [A.9.3.1] Uso de clave control: Se
debe requerir que los usuarios sigan buenas prácticas de seguridad en
la selección y uso de claves
El riesgo en este caso redundaría en la pérdida de confidencialidad,

integridad y/o disponibilidad. La organización debe implementar este control
en la forma de políticas y en procedimientos concretos
26
1.7.- La seguridad en la información implica la gestión de los riesgos
Para poder medir con una cierta fiabilidad el impacto y la posibilidad de

que un evento no deseado suceda hay primero que analizar los
elementos que componen el riesgo y sus relaciones
Una vez un riesgo ha sido analizado y evaluado se puede:

• Aceptarlo
• Mitigarlo (en su impacto o en su probabilidad de ocurrencia)
• Evitarlo o eliminarlo completamente
• Transferir el riesgo (no actúa sobre el riesgo en sí)
27
1.8.- La seguridad es tanto física como lógica
Es habitual pensar en los controles de seguridad desde el punto de vista

lógico, pero se ha de considerar igualmente la seguridad física como parte
de las responsabilidades de una adecuada gestión de la Seguridad de la
Información
Controles de seguridad física:

• Control de acceso físico (puertas, cerraduras, etc.)
• Sistemas de alarma
• Guardias de seguridad y cámaras de vigilancia
• Tarjetas de acceso
• Armarios de seguridad, jaulas, candados, filtros de privacidad, etc.
28
1.8.- La seguridad es tanto física como lógica
Controles de seguridad física:

• Jaulas de Faraday
• Air Gaps
• Heating, Ventilation, Air Conditioning (HVAC)
• Sistemas de detección de fuego
29
1.9.- La seguridad implica a las personas
Para poder abordar adecuadamente la seguridad, es necesario articular las

líneas de acción con el apoyo de los diferentes órganos responsables.
▪ Alta gerencia/Board of Directors: responsables de proteger los
intereses de la organización
▪ Dirección ejecutiva/Executive Management: CEO, CFO, etc.
▪ Chief Information Office (CIO): supervisa y es responsable de las

operaciones tecnológicas diarias de la organización y de la protección de
los activos. Es en última instancia responsable del éxito del programa de
seguridad
30
▪ Chief Security Officer (CSO): responsable de conocer y poner en

conocimiento de la organización, todos los riesgos frente a los que está
expuesta y mantener el nivel de riesgo general dentro de los niveles
definidos como aceptables para la misma
▪ Chief Information Security Officer (CISO): es el responsable de velar

por la ciberseguridad. Su rol puede ser similar al del CSO, pero en el
caso del CISO está más centrado en el apartado tecnológico y suele
tener un conocimiento a nivel de IT más profundo
▪ Otros roles: CPO, DPD, etc.
31
El factor humano es un elemento más del sistema de información, y

como tal, las políticas y las herramientas para implementarlas deben
tenerlos en cuenta
La Ingeniería social consiste en la práctica y métodos de obtener

información confidencial a través de la manipulación de usuarios legítimos
La realidad es que el elemento más débil del sistema de seguridad es en

muchos casos el factor humano
32
www.unir.net

Tema 1.0 - GC y AR

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 1.0 - GC y AR

Cargado por

Copyright:

Formatos disponibles

Gobierno de la ciberseguridad y análisis de riesgos

Juan de Vicente Mohino

► El tema debe comenzarse comprendiendo y sabiendo enunciar:

Qué se protege La confidencialidad, integridad y disponibilidad.

► Además, también es importante conocer la protección de las

► La seguridad de la información implica determinar qué hay que

► Hay tres perspectivas fundamentales en la seguridad de la

El punto de vista legal concierne a las regulaciones internacionales,

La perspectiva técnica es la del desarrollo, análisis, configuración y

La visión organizativa considera esencialmente la seguridad como un

Podemos decir que la perspectiva organizativa y la legal indican qué hay

La perspectiva técnica se encarga del cómo hay que proteger desde el

La seguridad de la información en una organización básicamente implica la

La seguridad es un proceso continuo de mejora y no un estado de un

En este sentido, se puede decir que no existe un sistema de información

Confidencialidad es la propiedad de prevenir la revelación y

Un ejemplo típico de ataque contra la integridad es la alteración de un

Algunos autores consideran que la integridad debe también cubrir las

Disponibilidad es la característica, cualidad o condición de la

En muchas empresas no se toma suficientemente en cuenta la seguridad

Dado que la seguridad cuesta dinero, el problema fundamental es buscar

Es importante entender la vertiente económica de la seguridad, dado que

Muchas tecnologías de seguridad comienzan a utilizarse cuando se dan los

Son fáciles de implantar Los auditores de seguridad comienzan a

Por ejemplo, los firewalls. El coste para implantarlos se ha reducido

El aspecto económico de la seguridad es tan importante, que es un campo

La seguridad son actividades continuas realizadas dentro de un plan

Los elementos fundamentales de ese proceso son los activos de

La gestión de la seguridad implica:

Las herramientas de gestión se utilizan para identificar las amenazas,

Establecen la gestión de seguridad en la organización en función de los objetivos

Normas Detallan aspectos concretos de las políticas

Especifican un conjunto ordenado de pasos en relación con la ejecución de un

Especifican las acciones o tareas necesarias para completar una actividad o

Hacen referencia a un punto en el tiempo utilizado para comparación ante cambios

La clasificación de la información permite identificar el valor de los

Clasificar la información además demuestra un compromiso con la

Sin clasificar / Unclassified Información no clasificada. Su difusión no afecta a la confidencialidad

Sensible / Sensitive Información que tiene un impacto menor si se difunde

Confidencial / Confidential Su difusión causaría daño a la seguridad nacional

Secreta / Secret Su difusión causaría un daño importante a la seguridad nacional

Público/ Public Información que puede difundirse públicamente

El Control de Seguridad tiene como objetivo reducir los efectos de una

El establecimiento de un control de seguridad es consecuencia de un

Los conceptos de riesgo son la vara de medir para determinar si un control

Atendiendo a diferentes criterios, los controles se pueden clasificar en:

• Tipología: administrativos o de gestión, técnicos y físicos

• Objetivos: preventivos, disuasorios, de detección, correctivos y

• Naturaleza: obligatorios, voluntarios, manuales y automáticos

Por ejemplo, consideremos el siguiente control mencionado en la norma

El riesgo en este caso redundaría en la pérdida de confidencialidad,

Para poder medir con una cierta fiabilidad el impacto y la posibilidad de

Una vez un riesgo ha sido analizado y evaluado se puede:

Es habitual pensar en los controles de seguridad desde el punto de vista

Controles de seguridad física:

Controles de seguridad física:

Para poder abordar adecuadamente la seguridad, es necesario articular las

▪ Dirección ejecutiva/Executive Management: CEO, CFO, etc.

▪ Chief Information Office (CIO): supervisa y es responsable de las

▪ Chief Security Officer (CSO): responsable de conocer y poner en

▪ Chief Information Security Officer (CISO): es el responsable de velar

▪ Otros roles: CPO, DPD, etc.

El factor humano es un elemento más del sistema de información, y

La Ingeniería social consiste en la práctica y métodos de obtener