Tema 1: La Seguridad de la Información en las Organizaciones

Conceptos clave de la Seguridad de la Información

 Objetivo principal: Garantizar la confidencialidad, integridad y disponibilidad

de los datos y sistemas.

 Diferencia entre seguridad de la información y seguridad informática:

o La seguridad de la información es más amplia, abarca aspectos

organizativos, legales y humanos.

o La seguridad informática se centra en la protección de sistemas

informáticos.

Principios Fundamentales (CID)

1. Confidencialidad: Solo personas autorizadas deben acceder a la información.

2. Integridad: Garantizar que la información no sea alterada de manera no

autorizada.

3. Disponibilidad: Asegurar que la información esté accesible cuando se necesite.

Factores de riesgo en la seguridad de la información

 Amenazas internas y externas (hackers, empleados descontentos, ataques

APT).

 Errores humanos (uso de contraseñas débiles, phishing).

 Vulnerabilidades técnicas (fallos de software, hardware desactualizado).

El Factor Humano en la Seguridad

 Ingeniería social: Método de ataque basado en engañar a los usuarios para

obtener acceso a información o sistemas.

 Ejemplo de ataque: Phishing (suplantación de identidad para robar

credenciales).

Tema 2: Gobierno de la Seguridad de la Información

Definición y objetivos del gobierno de la seguridad

 Es el conjunto de estrategias, procesos y controles para proteger los sistemas

de información dentro de una organización.
  Debe alinearse con la estrategia de negocio y cumplir con normativas y
regulaciones.

Componentes clave del Gobierno de la Seguridad

1. Dirección estratégica: Integrar la seguridad en la planificación de la empresa.

2. Gestión de riesgos: Identificación y mitigación de amenazas.

3. Uso eficiente de recursos: Optimizar la inversión en seguridad.

Plan Director de Seguridad (PDS)

 Es un documento estratégico que establece las líneas de acción en seguridad

para un periodo de 2 a 5 años.

 Incluye:

o Evaluación del estado actual de la seguridad.

o Objetivos de mejora.

o Planes de acción y controles a implementar.

Buenas Prácticas en la Gestión de Servicios de TI

 ITIL (Information Technology Infrastructure Library): Marco de referencia para

la gestión de servicios de TI.

 ISO 27001: Norma para establecer un Sistema de Gestión de Seguridad de la

Información (SGSI).

Tema 3: Estándares de Gestión de la Seguridad y Niveles de Madurez

Normas ISO 27000

 ISO 27001: Establece requisitos para un SGSI (Sistema de Gestión de Seguridad

de la Información).

 ISO 27002: Buenas prácticas de seguridad de la información (no certificable).

 ISO 27005: Enfocada en la gestión del riesgo en seguridad de la información.

Modelo de Gestión de Seguridad de la Información (SGSI)

 Se basa en el ciclo PDCA (Plan-Do-Check-Act):

1. Planificar (evaluar riesgos y definir políticas).

2. Hacer (implementar medidas de seguridad).

3. Verificar (realizar auditorías y revisiones).

 4. Actuar (mejorar continuamente los controles).

Niveles de Madurez en Seguridad de la Información

 Se utilizan modelos para evaluar el grado de madurez de una organización en

ciberseguridad.

 CMMI (Capability Maturity Model Integration): Define 5 niveles de madurez

en seguridad:

1. Inicial: No hay procesos formales.

2. Repetible: Se aplican medidas básicas.

3. Definido: Se documentan y aplican políticas de seguridad.

4. Gestionado: Se mide el impacto de las políticas de seguridad.

5. Optimizado: La seguridad está completamente integrada en la

organización.

Tema 4: Programas, Procesos y Políticas de Seguridad

Programas de Gestión de Seguridad

 Un programa de seguridad es un conjunto de estrategias, normas y procesos

diseñados para proteger la información.

 Incluye:

o Políticas: Directrices generales.

o Estándares: Reglas específicas.

o Procedimientos: Guías paso a paso.

Gestión de Riesgos en Seguridad de la Información

 Riesgo = Amenaza x Vulnerabilidad x Impacto

 Métodos de gestión del riesgo:

1. Aceptar el riesgo (cuando el impacto es bajo).

2. Mitigar el riesgo (aplicando controles).

3. Transferir el riesgo (seguros, outsourcing).

4. Evitar el riesgo (no realizar actividades de alto riesgo).

Diseño de Políticas de Seguridad

  Deben ser claras, accesibles y alineadas con la estrategia de negocio.

 Tipos de políticas:

o Política de acceso (control de usuarios y permisos).

o Política de contraseñas (uso de claves robustas).

o Política de uso aceptable (normas sobre uso de TI en la empresa).

Tema 5: El Profesional de la Seguridad de la Información

Funciones del Profesional de Seguridad de la Información

 Diseñar e implementar políticas de seguridad.

 Gestionar riesgos y vulnerabilidades en la organización.

 Coordinar la respuesta a incidentes de seguridad.

 Supervisar el cumplimiento de normativas y regulaciones.

Roles Clave en Seguridad de la Información

1. CISO (Chief Information Security Officer): Responsable de la estrategia de

ciberseguridad.

2. Analista de Seguridad: Evalúa amenazas y desarrolla medidas de mitigación.

3. Hacker Ético: Realiza pruebas de penetración para detectar vulnerabilidades.

4. Administrador de Seguridad: Gestiona firewalls, antivirus y sistemas de

detección de intrusos.

Certificaciones en Seguridad de la Información

 CISSP (Certified Information Systems Security Professional)

 CISM (Certified Information Security Manager)

 CEH (Certified Ethical Hacker)

 ISO 27001 Lead Auditor

Aquí tienes un resumen detallado de los temas 6 a 10 de la asignatura Gobierno de la
Ciberseguridad y Análisis de Riesgos, con información clave para estudiar para el
examen:

Tema 6: Seguridad de la Información y Gestión de Riesgos

📌 Objetivo: Comprender la importancia de la seguridad de la información y la

necesidad de gestionar los riesgos para alcanzar los objetivos de una organización.

Principios de la Seguridad de la Información

 Confidencialidad: Solo usuarios autorizados pueden acceder a la información.

 Integridad: Garantizar que los datos no han sido alterados sin autorización.

 Disponibilidad: La información debe estar accesible cuando se necesite.

 Autenticidad: Verificar la identidad de los usuarios que acceden a la

información.

 Trazabilidad: Registro de quién accede, modifica o elimina información.

Gestión de Riesgos

 Análisis de riesgos: Identificación de amenazas y vulnerabilidades.

 Ciclo de vida de la información: La seguridad debe mantenerse en todas sus

fases (almacenamiento, transmisión, procesamiento y destrucción).

 Estrategias de mitigación: Aplicación de controles para reducir los riesgos.

 Clasificación del riesgo:

o Conocido-conocido: Se conoce el riesgo y su impacto.

o Conocido-desconocido: Se sospecha de un posible riesgo.

o Desconocido-desconocido: Riesgos imprevistos.

Tema 7: UNE-ISO 31000. Gestión del Riesgo

📌 Objetivo: Conocer el estándar ISO 31000 para la gestión del riesgo.

Principios de la Gestión de Riesgos según ISO 31000

 Integración: Debe estar incorporada en todas las áreas de la organización.

 Estructuración y exhaustividad: Aplicación sistemática y metodológica.

 Personalización: Adaptación a la realidad y contexto de cada organización.

  Inclusión de partes interesadas: Involucrar a todas las áreas afectadas.

 Dinamismo: La gestión de riesgos debe ser flexible y en constante evolución.

 Mejora continua: Ajustar los controles en función de las necesidades.

Proceso de la Gestión del Riesgo (ISO 31000)

1. Establecimiento del contexto: Definir objetivos, entorno y alcance.

2. Identificación del riesgo: Analizar amenazas potenciales.

3. Análisis del riesgo: Evaluar la probabilidad de ocurrencia y su impacto.

4. Valoración del riesgo: Comparar con criterios de riesgo predefinidos.

5. Tratamiento del riesgo: Aplicar controles y mitigaciones adecuadas.

6. Seguimiento y revisión: Evaluar la efectividad de las medidas implementadas.

Tema 8: Metodologías de Análisis de Riesgos

📌 Objetivo: Conocer y aplicar metodologías para la evaluación y gestión de riesgos.

Principales metodologías de análisis de riesgos

1. MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información)

o Desarrollada en España por el CCN-CERT.

o Se basa en la identificación de activos, amenazas y vulnerabilidades.

o Herramienta recomendada: PILAR (software para análisis de riesgos).

2. ISO/IEC 27005

o Norma internacional que detalla cómo gestionar los riesgos en

seguridad de la información.

o Se basa en el ciclo PDCA (Plan-Do-Check-Act).

3. NIST 800-30 Rev. 1

o Marco desarrollado por el National Institute of Standards and

Technology.

o Aplicado especialmente en entornos gubernamentales y críticos.

o Fases: Identificación, análisis, evaluación, respuesta y monitoreo del

riesgo.
Comparativa entre metodologías

 MAGERIT: Enfoque detallado, ideal para organismos públicos.

 ISO 27005: Amplio reconocimiento internacional, aplicable a cualquier sector.

 NIST 800-30: Centrado en la gestión de riesgos en TI y ciberseguridad.

Tema 9: Evaluación de Riesgos en Tecnologías de la Información (TI)

📌 Objetivo: Entender la importancia de la evaluación de riesgos en TI y aplicar técnicas

adecuadas.

Proceso de Evaluación del Riesgo

1. Identificación del riesgo: Determinar qué amenazas pueden afectar la

seguridad de los sistemas.

2. Análisis del riesgo:

o Evaluación de la probabilidad de ocurrencia.

o Estimación del impacto en la organización.

3. Valoración del riesgo:

o Riesgo alto: Se requiere mitigación inmediata.

o Riesgo medio: Se deben aplicar controles preventivos.

o Riesgo bajo: Se puede aceptar sin medidas adicionales.

Amenazas en TI

 Amenazas intencionadas: Ciberataques, malware, espionaje industrial.

 Amenazas accidentales: Fallos humanos, errores de configuración.

 Amenazas ambientales: Desastres naturales, incendios, fallos eléctricos.

Factores clave en la evaluación de riesgos

 Aparición de nuevas vulnerabilidades.

 Impacto en la continuidad del negocio.

 Evaluación periódica del riesgo para ajustar controles.

Tema 10: Respuesta y Monitorización de Riesgos

📌 Objetivo: Implementar estrategias para mitigar riesgos y establecer controles de
seguimiento.

Opciones de tratamiento del riesgo (ISO 31000)

 Evitar el riesgo: No realizar la actividad que genera el riesgo.

 Aceptar el riesgo: Asumirlo cuando el impacto es mínimo.

 Mitigar el riesgo: Implementar controles para reducir impacto o probabilidad.

 Transferir el riesgo: Contratar seguros o externalizar el riesgo.

Monitorización y reporte de riesgos

 Evaluación continua: Revisar periódicamente la efectividad de los controles.

 Indicadores de riesgo clave (KRI - Key Risk Indicators):

o Específicos: Enfocados en riesgos concretos.

o Medibles: Cuantificables para su seguimiento.

o Accionables: Que permitan tomar decisiones.

 Uso de métricas: Medición objetiva del desempeño de los controles.

Ciberresiliencia y mejora continua

 Implementación de estrategias de recuperación ante incidentes.

 Simulación de ataques y pruebas de penetración.

 Actualización constante de salvaguardas ante amenazas emergentes.