Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sesión 7
Definición y metodologías de los sistemas
de gestión de la seguridad de la información
1. Introducción
El análisis y gestión de riesgos de la seguridad de la información es la actividad
clave de todo Sistema de Gestión de Seguridad de la Información (SGSI). A lo
largo de este tema vamos a reincidir en explicar la importancia de los activos de
información como primer paso para, sobre ellos, analizar los riesgos a los que
están expuestos y la importancia que para la organización tiene gestionarlos.
Para este proceso nos vamos a ayudar de metodologías de tal manera que
sistematicen estas tareas. La ISO/IEC 27005 describe este proceso. Como
vimos en el tema anterior, la importancia de la gestión de la seguridad de la
información empieza por la necesidad de la organización. El negocio y su
continuidad son los motivadores de toda esta preocupación por la seguridad, al
fin y al cabo, la información está íntimamente ligado a los servicios que una
empresa proporciona, son fundamentales para su actividad cotidiana y son la
base para la toma de decisiones, tanto si la información está en soporte
informático como si no.
de un sistema de información, cosa que por otro lado hemos querido tener en
mente a la hora de hacer las actividades prácticas en las sesiones de laboratorio
de la asignatura.
Una vez definido el concepto, es conveniente tener una idea de cómo podemos
clasificar los activos. Nos queda claro que hay activos muy ligados a la
información, como son, por ejemplo, los relacionados con los datos en formato
digital, es decir, las bases de datos, las copias de seguridad, las claves de
acceso a los sistemas, por poner algunos. Pero además, hay otros activos
tangibles como los correos electrónicos, los faxes, los libros de contabilidad en
formato electrónico, los valores contables como el valor llave de un activo
(diferencia del valor de mercado frente al internamente establecido en la
contabilidad), etc. Además los activos intangibles, difíciles de medir a veces
como las patentes, los conocimientos, el know-how, las relaciones y el
networking, entre otros. Para terminar de perfilar esto, una subclase de activos
de información la constituye el software, en sentido amplio, o bien el propio
software de base en forma de sistemas operativos.
Por otro lado, otro gran bloque de activos lo componen los elementos físicos,
como las infraestructuras de Tecnologías de Información (TI), los edificios, las
oficinas, las habitaciones, los armarios, etc. Aquí también es necesario
mencionar los activos hardware de TI, como los ordenadores personales o
estaciones de trabajo, los portátiles, las tablets, los teléfonos móviles, routers,
switches y cosas así. Y finalmente, se debe tener en cuenta otros tipos de
dispositivos necesarios para el funcionamiento y soporte de los activos físicos
anteriores, como los sistemas SAI (Sistemas de Alimentación Ininterrumpida), el
control de temperatura, los sistemas de aire acondicionado y los sistemas de
alarma, por poner algunos.
El tercer gran bloque de activos lo forman los servicios de TI, como los servicios
de autenticación, los sistemas de SSO (Single Sign On), los servicios de red, el
acceso controlado a Internet, etc. Todo esto visto desde un punto de vista de
servicios que se despliegan para la funcionalidad de la empresa.
Finalmente, los activos relacionados con los recursos humanos deben valorarse
al menos distinguiendo entre el personal interno (empleados) y el personal
externo como los proveedores, las visitas, etc.
Todos estos elementos forman el conjunto de activos que debemos considerar
para hacer un buen análisis de riesgos y que mediante una metodología
adecuada la organización debe gestionar de forma continua.
Esta clasificación es en esencia una orientación y, como hemos visto, en temas
anteriores otras normas relacionadas con la gestión de la seguridad han querido
distinguir en otros grupos, como se muestra en la tabla siguiente a modo de
recordatorio. En cualquier caso, los activos de la organización son los mismos
aunque agrupados de forma diferente.
Dicho de otra manera, ,el análisis de riesgos permite determinar cómo es, cuánto
vale y cómo de protegido se encuentra el sistema. En coordinación con los
objetivos, estrategia y política de la organización, las actividades de tratamiento
de los riesgos permiten elaborar un plan de seguridad que, implantado y
operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la
dirección de la organización.
Al conjunto de las actividades que hemos mencionado para estudiar los activos,
analizarlos desde el prisma de los riesgos de seguridad y la evaluación de los
tratamientos más adecuados, se le denomina Proceso de Gestión de Riesgos.
Este esquema de trabajo debe ser repetible, pues los sistemas de información
rara vez son inmutables; más bien se encuentran sometidos a evolución continua
tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige
una revisión periódica en la que se aprende de la experiencia y se adapta al
nuevo contexto. Con esto se completa el proceso cíclico que hemos mencionado,
mediante el ciclo PDCA o circulo de Deming.
Aunque parezca insistente, debe quedar claro que el análisis y gestión de riesgos
es la piedra angular para controlar todas las actividades de la organización con
fundamento. Como modelo del sistema en términos de activos, amenazas y
salvaguardas, la fase de tratamiento estructura las acciones que se deben
acometer por la empresa.
Esto viene a indicarnos que las tareas de análisis y tratamiento de los riesgos no
son un fin en sí mismas, sino que se encajan en la actividad continua de gestión
de la seguridad. El análisis de riesgos permite determinar cómo es, cuánto vale
y cómo de protegido se encuentra el sistema. En coordinación con los objetivos,
estrategia y política de la organización, las actividades de tratamiento de los
A nivel metodológico se deben distinguir varias fases, e incluso una más que
identificaría la fase de mejora que vuelve de nuevo a la fase inicial con la
intención de hacer cíclico y continuo el proceso.
R=PxI
Otra herramienta a nuestra disposición para realizar los cálculos puede ser
numéricos como se indica en la siguiente tabla, donde la magnitud del daño
indica exactamente el impacto.
MATRIZ PROBABILIDAD
CUANTITATIVA
1 2 3 4
IMPACTO 1
1 2 3 4
2
2 4 6 8
3
3 6 9 12
4
4 8 12 16
Ilustración 6. Matriz cuantitativa particionado en 3 tipos de riesgo
MAGERIT
5. Consideraciones adicionales
Concienciación y formación
Auditorías
Aunque no sea lo mismo, no están muy lejos de este mundo las auditorías,
internas o externas, a las que se someten los sistemas de información. Unas
veces requeridas por ley para poder operar en un cierto sector mediante
cumplimiento de determinada normativa, otras veces son requeridas por la propia
Dirección de la Organización o por entidades colaboradoras que ven su propio
nivel de riesgo ligado al de nuestra organización.
Una auditoría puede servirse de un análisis de riesgos con la idea de conocer el
sistema, a qué se expone y valorar la eficacia y eficiencia del mismo a través de
sus salvaguardas. En este sentido, a partir del análisis de riesgos se puede
analizar el sistema e informar a la dirección de la organización de si el sistema
está bajo control; es decir, si las medidas de seguridad adoptadas están
justificadas, implantadas y monitorizadas, de forma que se puede confiar en el
sistema. Como conclusión de la auditoría se obtiene un informe de necesidades
detectadas al contrastar el análisis de riesgos con la realidad.
Tomando el caso de auditoría específicamente para el ámbito de la protección
de datos, se define el informe de auditoría como el dictamen que sobre la
adecuación de las medidas y controles para identificar sus deficiencias y
proponer las medidas correctoras o complementarias necesarias, incluyendo
datos, hechos, observaciones y recomendaciones, como indica el Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de
datos de carácter personal (art. 96.2).