Está en la página 1de 201

Introducción a la seguridad de información

CONCEPTOS FUNDAMENTALES
¿Qué entendemos por seguridad de la información?

La información es un valioso activo Es la protección de la


del que depende el buen confidencialidad, integridad,
funcionamiento de una disponibilidad de los activos de
organización. mantener su información según sea
integridad, confidencialidad y necesario, para alcanzar los
disponibilidad es esencial para objetivos del negocio de la
alcanzar los objetivos del negocio. organización.
CONCEPTOS FUNDAMENTALES
¿Qué es un Sistema de Gestión de Seguridad de la Información?

Es una herramienta de gestión que nos va a


permitir conocer, gestionar y minimizar los
posibles riesgos que atenten contra la
Seguridad de la Información.
CONCEPTOS FUNDAMENTALES
¿Cuál es la Diferencia entre Seguridad Informática y Seguridad de la Información?

la Seguridad de la Informática se La Seguridad de la Información es la


refiere a la protección de las protección de los activos de
infraestructuras de las TIC`s que Información más fundamentales para el
soportan nuestro negocio. éxito de cualquier organización.
CONCEPTOS FUNDAMENTALES
¿Cuál es la Información más Valiosa que Manejamos?

1. La información asociada a nuestros clientes.

2. La información asociada a nuestras ventas.

3. La información asociada a nuestro personal.

4. La información asociada a nuestros productos y Servicios.

5. La información asociada a nuestras operaciones.


¿Cómo se debe Proteger la Información?
Las “Buenas Prácticas” en Seguridad de la Información,
protegen a ésta contra una amplia gama de amenazas,
tanto de orden fortuito (destrucción parcial o total por
incendio inundaciones, terremotos eventos eléctricos y
otros) como de orden deliberado, tal como fraude,
espionaje, sabotaje, vandalismo, etc.
¿Qué debe Garantizar la Triada de la
Información?
Confidencialidad: Se garantiza que la información es
accesible sólo a aquellas personas autorizadas.

Integridad: Se salvaguarda la exactitud y totalidad de la


información y los métodos de procesamiento y
transmisión.

Disponibilidad: Se garantiza que los usuarios


autorizados tienen acceso a la información y a los
recursos relacionados toda vez que lo requieran.
Conceptos de Seguridad de Información
◦ Confidencialidad
• Identificación
◦ Integridad
• Autenticación
◦ Disponibilidad
• Autorización

• Responsabilidad

• Privacidad

• No-repudio
Conceptos de Seguridad de Información
Confidencialidad .- La información debe ser accedida solo por personal
autorizado. El opuesto de confidencialidad es divulgación.

Integridad .- Toda modificación a datos o información es realizada por


personas autorizadas utilizando los procedimientos autorizados. El
opuesto de integridad alteración.

Disponibilidad .- La información y los datos se encuentran disponibles


cuando se necesitan. El opuesto de disponibilidad es destrucción.
Conceptos de Seguridad de Información
Identificación.- Forma en la cual un usuario comunica su identidad al usar
un activo de información.

Autenticación .- Es el proceso por el cual se prueba que la información


de identificación corresponde con el que el sujeto la presenta.

Autorización .- Derechos y permisos otorgados a un individuo o proceso


que le pemite acceder a un recurso o activo de información.
Conceptos de Seguridad de Información
Responsabilidad.- habilidad para determinar las acciones individuales de
un individuo.

Privacidad .- determina el nivel de confidencialidad y protección de


información de una persona.

No-repudio .- la utilización de elementos de información única que


permite validar la autenticidad de una persona.
Esquemas de Clasificación de Información
Pública.- Puede ser pública, su conocimiento no reviste gravedad para la
organización.

Sensitiva .- Debe protegerse de la pérdida de confidencialidad e integridad.

Privada .- Información personal y para uso interno de la organización

Confidencial.- Muy sensible, su conocimiento podría impactar fuertemente en la


compañía.
Modelo de Seguridad
Evaluar Objetivos de Negocio

Evaluación de Vulnerabilidad Pruebas de Penetración

Evaluación de riesgos Cualitativo/Cuantitativo Análisis de Riesgos Definir Riesgos y Amenazas

Requerimientos de Protección Clasificación de Datos Evaluación de Funcionalidad

Confiabilidad en los
Responsabilidad Legal Concientización Políticas y Procedimientos
Sistemas

Soluciones Costo Efectivas Salvaguardas Contramedidas

Integridad de Datos Confidencialidad Aseguramiento


¿Qué es una Amenaza?
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o
acción que puede producir un daño (material o inmaterial) sobre los
elementos de un sistema, en el caso de la Seguridad Informática, los
Elementos de Información.

Las Amenazas a la Seguridad de la Información atentan contra la


Confidencialidad - Integridad - Disponibilidad de la información.
¿Cuáles son Nuestras Amenazas?
El usuario: causa del mayor problema ligado
a la seguridad de un sistema informático
(porque no le importa, no se da cuenta o a
propósito).

Programas Maliciosos: programas


destinados a perjudicar o a hacer un uso
ilícito de los recursos del sistema.
¿Cuáles son Nuestras Amenazas?
Un intruso: persona que consigue acceder a los datos
o programas de los cuales no tiene acceso permitido
(Cracker, Defacer, Script Kiddie o Script Boy, Viruxer,
etc.)

Un siniestro (robo, incendio, inundación): una mala


manipulación o una mal intención derivan a la
pérdida del material o de los archivos.

El personal interno de Sistemas. Las pujas de poder que


llevan a disociaciones entre los sectores y soluciones
incompatibles para la seguridad informática.
Tipos de Amenazas
Internas (I) / Externas (E)

Hostiles (H) / No-Hostiles (NH)

Sofisticadas (S) / No Sofisticadas (NS)

I E

H NH H NH
S NS S NS S NS S NS
Tipos de Amenazas - Internas
Interna – Hostiles y Sofisticadas “I-H-S”:
Empleado que desea causar daño; podría tener el apoyo de alguna entidad
Interna No-Hostil y Sofisticada “I-NH-S”:
Administrador de sistemas senior curioso
Interna Hóstil No Sofisticado “I-H-NS”:
Empleado descontento, conocimientos limitados
Interna No-Hostil No sofisticado “I-NH-NS”:
Usuarios principiantes
Tipos de Amenazas - Externas
Externo Hostil y Sofisticado “E-H-S”:
Espionaje corporativo, Hacker financiado, Hacker malintencionado
Externo – No hostil – Sofisticado “E-NH-S”:
Hacker metódico, no dañino vinculado a organización alguna, Curioso, reta
hombre-maquina
Externo Hostil No Sofisticado “E-H-NS”:
Tipo de hacker que trabaja por su cuenta
Externo No hostil y No sofisticado
hacker no dañino, novato
¿Cuáles son Nuestras Vulnerabilidades?
La palabra Vulnerabilidad hace referencia a
una debilidad en un sistema permitiendo a
un atacante violar la confidencialidad,
integridad, disponibilidad, control de
acceso y consistencia del sistema o de sus
datos y aplicaciones.
Vulnerabilidades (V)
Definición.- Un medio por la cual una amenaza explota o compromete cada activo.
Ejemplos:
Ausencia de políticas, procedimientos ó guías
No existe un adecuado soporte a la seguridad en el nivel ejecutivo
No existen controles sobre el acceso físico al edificio

Objetivo: Clasificar el impacto de cada vulnerabilidad en el ambiente. Determinar que amenazas son más
probables que exploten una vulnerabilidad
Vulnerabilidad v/s Amenaza
Una vulnerabilidad es una debilidad en un activo.

Una amenaza es una violación potencial de la seguridad.

No es necesario que la violación ocurra para que la amenaza exista.

Las amenazas “explotan” vulnerabilidades.


Seguridad Adecuada
CERT sugiere:
◦ “Un estado deseado de la seguridad empresarial es la condición donde las estrategias de
protección para los activos críticos de la organización y los procesos de negocios sea
proporcional con el apetito de riesgo y la tolerancia al riesgo”

◦ Apetito de Riesgo.- Definido como la decisión de la gerencia, sobre la cantidad del valor
de riesgo que la organización toma para cumplir sus objetivos y su misión.
◦ Relacionado a los riesgos que deben ser mitigados y manejados

◦ Tolerancia de Riesgo.- Riesgo residual aceptado


◦ Relacionado a los riesgo por el cual ninguna mitigación será adoptada
Porqué gestionar la Seguridad de la Información?
Qué pasa cuando no se gestiona la Seguridad de la Información

Reiteración de incidentes

Inversión en seguridad no alineada con objetivos de Negocio

Áreas de seguridad desatendidas

Dispersión de responsabilidades

Falta de documentación

Se confunde Seguridad de la Información con Seguridad Informática


Principales riesgos y su impacto en las
organizaciones
Captura de PC desde el exterior
Mails “anónimos” con información crítica o con agresiones Robo de información
Spamming Violación de e-mails Destrucción de equipamiento

Violación de contraseñas Intercepción y modificación de e-mails


Violación de la privacidad de los empleados
Virus Incumplimiento de leyes y regulaciones
Ingeniería social
empleados deshonestos

Fraudes informáticos Programas “bomba”


Propiedad de la Información

Interrupción de los servicios Destrucción de soportes documentales

Acceso clandestino a redes Robo o extravío de notebooks

Acceso indebido a documentos impresos

Indisponibilidad de información clave


Software ilegal
Intercepción de comunicaciones
Falsificación de información
para terceros Agujeros de seguridad de redes conectadas
Escalamiento de privilegios

Password cracking Instalaciones default


Puertos vulnerables abiertos
Man in the middle
Exploits

Servicios de log inexistentes o que no son chequeados

Denegación de servicio
Últimos parches no instalados Backups inexistentes
Port scanning
Desactualización
Replay attack Keylogging
Principales riesgos y el impacto en las organizaciones
En estos tipos de problemas es difícil:
• Darse cuenta que pasan, hasta que pasan.

• Poder cuantificarlos económicamente, por ejemplo


• ¿cuánto le cuesta a la compañía 4 horas sin sistemas?

• Poder vincular directamente sus efectos sobre los resultados de la compañía.


Principales riesgos y el impacto en las organizaciones
Se puede estar preparado para que ocurran lo menos posible:
• Sin grandes inversiones en software

• Sin mucha estructura de personal

Tan solo:
• Ordenando la Gestión de Seguridad

• Parametrizando la seguridad propia de los sistemas

• Utilizando herramientas licenciadas y libres en la web


Exposiciones
Acceso Lógico

Exposiciones técnicas.- implementación o


Datos
modificación no autorizada (intencional o no
intencional) de datos y software ya sea en la
Aplicación

red, la plataforma (sistema operativo), base de Host

datos o nivel de aplicación. Red interna


Perimetro
Seguridad Física
Políticas, Procedimientos,
Concientización
Exposiciones
Acceso Lógico

• Puertas traseras (Trap doors)


• Caballos de troya/backdoors
• Ataques Asíncronos
• Redondeo hacia abajo
• Filtrado o vaciado de datos (datos leakage)
• Virus
• Intercepción de líneas (wire trapping)
• Gusanos (worms)
• Caída de la computadora (computer shutdown)
• Bombas Lógicas
• Ataques de negación de servicio
• Ingenieria Social
Exposiciones
Red

• Pérdida de datos debido a Cambios No • Sniffing (rastreo o búsqueda de


autorizados información por usuarios internos)
• Falta de control de versiones • Spoofing (usuarios internos suplantados)
• Exposición a la actividad externa • Destrucción de datos de log y de auditoria
• Infección por virus • Pérdida de disponibilidad de la red
• Revelación de datos • Uso no autorizado de modems
• Violación de licencias de software
• Acceso ilegal
Exposiciones
Red

• Análisis de la red (footprinting) • Modificación de mensajes

• Eavesdropping (fisgonear) • Accesos no autorizados a través de Internet


o servicios basados en la web
• Análisis de Tráfico (análisis de longitud de la
sesion, frecuencia, longitud del mensaje) • Negación de Servicio
• Ataques activos • Ataques de penetración mediante llamada
telefónica
• Ataque de fuerza bruta
• Enmascaramiento (medio de romper la seguridad • Bombardeo y Spamming del correo
de un firewall) electrónico

• Reenvio de Paquetes (packet replay) • Spoofing o suplantación de correo


electrónico
Tipos de Controles
Acceso Lógico
• Software de Control de Acceso
• Identificadores de Inicio de Sesión
• Contraseñas de Acceso
• Dispositivos de Tokens
• Biometricos
• Single Signon (SSO)
• Programa de Concientización
• Listas de Control de Accesos
• Seguridad de Acceso Remoto
• Logs de Auditoría al Monitorear Accesos al Sistema
Activos de Información

1. Identificar Activo 3. Identificar Propietarios del


2. Definir el Activo de
de Información Activo de Información
Información

4. Identificar Medios de 5. Identificar requerimientos 6. Determinar el valor del


Almacenamiento De Seguridad Activo de Información
Activos de Información
Perfil de Activo de Información
Nombre del Ficha medica de un paciente
Activo de
Información

Fecha de 17/11/2017 Versión 1.0


Creación

Definido por: Javier Alva Karen Silva Walter Castro Esther Jara
Jefe Medico Jefe de Dpto. Analista Dpto.Registros
Médicos
Endocrinologia Cirugía Dpto. Sistemas
Descripción del Colección de datos, registros e información para prestar atención medica a
Activo de un paciente. Incluye antecedentes, diagnósticos médicos, tratamientos,
información información de seguros médicos, facturación, etc.

Propietarios del Esther Jara, Jefe de Registros Médicos, Telefono: 232122-anexo 32


Activo de
Información
Activos de Información (cont.)
Perfil de Activo de Información
Nombre del Activo de Información Ficha Medica de un paciente
Fecha de 17/11/2017 Versión 1.0
Creación
Medios de Almacenamiento
Sistemas y Aplicaciones
Aplicaciones Sistema BD Registros Médicos, Sistema Atención Pacientes,
Sistemas Operativos
Hardware
Servidores Servidor Base de Datos (Producción)
Redes Red de Atención Pacientes de la Clínica y red de tratamientos
médicos
PC y Otros
Personas
Funcionarios de Negocios
Personal Técnico
Otros Laptop de los médicos tratantes
Otros Medios
Activos de Información (cont.)
Perfil de Activo de Información

Nombre del Activo Ficha Medica de un paciente


de Información

Fecha de 17/11/2017 Versión 1.0


Creación

Requerimientos de Seguridad

Confidencialidad

Toda información de registros médicos de un paciente son considerados sensibles y


operacionalmente críticos. El paciente requiere que esta información sea confidencial. Esta
información es protegida mediante regulación.

Integridad

El personal del hospital requiere que esta información sea exacta, correcta y no modificada. Solo
personal autorizado debe crear y modificar dicha información.

Disponibilidad

La información debe estar disponible las 24 horas x 7 dias x 365 dias. Para el tratamiento del
paciente.
Activos de Información (cont.)
Perfil de Activo de Información

Nombre del Activo Ficha Medica de un paciente


de Información

Fecha de 17/11/2017 Versión 1.0


Creación

Valuación del Activo de Información

Fallas en la seguridad de los registros médicos puede ocasionar juicios por parte del paciente, multas
y sanciones por parte del gobierno.

La pérdida de información o modificación no autorizada podría ocasionar problemas operacionales y


de calidad en la atención médica al paciente.
Modelo de Análisis de Riesgos

Activos

Ataques o consecuencias negativas

Amenaza

(+) Incrementa Probabilidad o Impacto (-) Reduce la probabilidad o impacto

Vulnerabilidades Controles
Proceso de Administración de Riesgo
Objetivos de
Administración de Concientización Asumir el Riesgo
Riesgos Detección temprana de problemas Evitar el Riesgo
Administrar recursos y gastos Reducir el Riesgo
Lograr los Transferir el riesgo
Objetivos Compartir el riesgo
Proteger las
inversiones Identificar y
Mitigar
Priorizar
Controlar los Riesgos
Riesgos
gastos

Reportar Monitorear

Toma de Decisiones Alineamiento Continuo con


Asignacion de - Entorno del Negocio
Responsabilidad - Objetivos de la Organización
Análisis de Riesgos
1. Definir Valores para el análisis de riesgos

2. Definir Criterios de Tratamiento de Riesgo

3. Identificar Riesgos

4. Evaluar Riesgos
Terminología
◦ Política reglas generales que todos deben seguir, deben ser cortas y claras.

◦ Estándar es una colección de requerimientos específicos que deben ser


cumplidos.

◦ Guías es una colección de sugerencias específicas como mejores prácticas.


No son obligatorias pero son fuertemente recomendables.

◦ Procedimientos una serie de pasos para cumplir una tarea.


Ejemplo de Política, Estándar, Guía, Procedimiento
Política
“Toda la información de la compañía debe ser clasificada de acuerdo al esquema
de clasificación aprobado y protegido de acuerdo a los estándares establecidos por
el Equipo de Seguridad”

Estándar
“Toda información confidencial debe ser encriptado en los medios por los cuales es
transmitida y cuando es almacenado en dispositivos móviles”

Guía
“Los datos confidenciales no deberán ser almacenados sobre un dispositivo móvil
tales como laptop, PDA, USB drive, etc.”
Ejemplo de Política, Estándar, Guía, Procedimiento
Procedimientos
◦ Como encriptar un archivo

◦ Como instalar y operar una encripción full-disk en una laptop.

◦ Como recuperar un dato encriptado cuando la clave es pérdida


Análisis de Riesgo con Magerit
Que es magerit

Es la metodología de análisis y gestión de riesgos elaborada por el Consejo


Superior de Administración Electrónica que estima que la gestión de los riesgos
es una piedra angular en las guías de buen gobierno.
Actualizada en 2012 en su versión 3
Porque medir el riesgo?

La medición es el primer paso para el control y la mejora. Si algo no se puede


medir, no se puede entender. Si no se entiende, no se puede controlar. Sino se
puede controlar, no se puede mejorar.
H. James Harrington
Que es análisis de riesgo?

Es la consideración sistemática del daño probable que pueda causar en el


negocio un fallo en la seguridad de la información, con las consecuencias
potenciales de perdida de confidencialidad, integridad y disponibilidad de la
información.
Riesgo

Es la posibilidad de que se produzca un impacto sobre algún activo(incurrir en


perdidas).

El control del riesgo como resultado de análisis de riesgos, es un proceso


complejo que parte de la determinación de los activos y las amenazas.
Aprovechan
Amenazas Vulnerabilidades

Protegen de Exponen
Aumentan Aumentan

Disminuyen
Controles Riesgos Activos
Impacta si se
materializan
Marcan Tienen
Imponen
Aumenta

Requerimientos Valor de los


de seguridad activos
Amenazas
1 2 3 4 5

Las amenazas son La consecuencia de Es decir hace pasar Los activos están Los controles de
los eventos que la amenaza, si se el activo inicial expuestos a seguridad que se
pueden materializa, es un anterior conocido muchos tipos de implementan se
desencadenar un incidente que a otro posterior, amenazas, las seleccionaran
accidente en la modifica el estado que puede ser no cuales pueden teniendo en
organización, de seguridad de deseable. explotar sus cuenta las
produciendo daños los activos vulnerabilidades. vulnerabilidades
materiales o amenazados. de las amenazas.
perdidas
inmateriales a sus
activos.
Vulnerabilidades
También se le conoce como una debilidad

Agujero falla o error en la seguridad del sistema de información.

En si misma no causa daño, es una condición o un conjunto de condiciones que pueden


permitir a una amenaza afectar a un activo.
Una propiedad de la relación entre un activo y una amenaza.

Si no se gestiona adecuadamente permitirá a la amenaza materializarse.


Impacto
Es la consecuencia sobre un activo de la materialización de una
amenaza.

El impacto mide la diferencia entre el estado de seguridad de


un activo.

Lo hace antes y después de la materialización de una amenaza


Otros conceptos

Que hacer
Riesgo intrínseco Riesgo residual después del
análisis de riesgos

Gestionar los riesgos detectados


Es el estudio que se realiza sin Es el estudio que se realiza que soporta la identificación,
tener en consideración las teniendo en consideración las selección y adopción de controles
diferentes medidas de seguridad medidas de seguridad que la con base a los riesgos
que ya están implantadas en una organización ya tiene identificados y a la reducción de
organización. implantadas. esos riesgos a un nivel aceptable,
definido por la alta gerencia.
Método de análisis de riesgos
Conceptos paso a paso
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos
pasos pautados:
1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de
qué perjuicio (coste) supondría su degradación
2. Determinar a qué amenazas están expuestos aquellos activos
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la
amenaza
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de
materialización) de la amenaza
Elementos del análisis de riesgos potenciales
Están expuestos a
Activos

Interesan por su
Amenazas
Valor

Causan
cierta genera
Degradación Impacto

Con una
cierta
Probabilidad Riesgo
Paso 1: Activos
Componente o funcionalidad de un sistema de información susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones (software), equipos
(hardware), comunicaciones, recursos administrativos, recursos físicos y
recursos humanos. [UNE 71504:2008]
En un sistema de información hay 2 cosas esenciales:
◦ la información que maneja
◦ y los servicios que presta.
Paso 1: Activos
Subordinados a dicha esencia se pueden identificar otros activos relevantes:
◦ Datos que materializan la información.
◦ Servicios auxiliares que se necesitan para poder organizar el sistema.
◦ Las aplicaciones informáticas (software) que permiten manejar los datos.
◦ Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
◦ Los soportes de información que son dispositivos de almacenamiento de datos.
◦ El equipamiento auxiliar que complementa el material informático.
◦ Las redes de comunicaciones que permiten intercambiar datos.
◦ Las instalaciones que acogen equipos informáticos y de comunicaciones.
◦ Las personas que explotan u operan todos los elementos anteriormente citados.
Dependencias
Los activos esenciales son la información y los servicios prestados; pero estos
activos dependen de otros activos más prosaicos como pueden ser los equipos,
las comunicaciones, las instalaciones y las frecuentemente olvidadas personas
que trabajan con aquellos.
◦ Activos esenciales
◦ Información que se maneja
◦ Servicios prestados
◦ Servicios internos
◦ Que estructuran ordenadamente el sistema de información
◦ El equipamiento informático
◦ Aplicaciones (software)
Dependencias
◦ Equipos informáticos (hardware)
◦ Comunicaciones
◦ Soportes de información: discos, cintas, etc.
◦ El entorno: activos que se precisan para garantizar las siguientes capas
◦ Equipamiento y suministros: energía, climatización, etc.
◦ Mobiliario
◦ Los servicios subcontratados a terceros
◦ Las instalaciones físicas
◦ El personal
◦ Usuarios
◦ Operadores y administradores
◦ Desarrolladores
Valoración
¿Por qué interesa un activo? Por lo que vale.
No se está hablando de lo que cuestan las cosas, sino de lo que valen
La valoración se puede ver desde la perspectiva de la ‘necesidad de proteger’ pues cuanto más
valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o dimensiones)
de seguridad que sean pertinentes
El valor puede ser propio, o puede ser acumulado

El valor nuclear suele estar en la información que el sistema maneja y los servicios que se
prestan (activos denominados esenciales), quedando los demás activos subordinados a las
necesidades de explotación y protección de lo esencial.
Determinación de los Valores del Riesgo
Nivel Rango Descripción
 Pérdida o inhabilitación temporal o permanente de activos o recursos considerados críticos y no
respaldados.
5 Crítico  Interrupción total de la prestación de servicio o procesos de negocio por parte de la organización.
 Daño significativo de la imagen y reputación de la Organización de cara a la opinión pública.
 Fuga de información estratégica
 Pérdida o inhabilitación temporal o permanente de activos o recursos no considerados críticos y no
respaldados.
4 Mayor  Interrupción parcial de la prestación de servicio o procesos de negocio por parte de la organización.
 Daño significativo de la imagen y reputación de la Organización de cara a los actuales clientes
 Fuga de información confidencial pero no catalogada como estratégica
 Pérdida o inhabilitación temporal o permanente de activos o recursos considerados críticos y
respaldados.
 No hay Interrupción de la prestación de servicio o procesos de negocio por parte de la organización, pero
3 Moderado
el rendimiento se ve seriamente afectado.
 Daño indirecto o colateral de la imagen y reputación de la Organización de cara a la opinión pública
 Fuga de información reservada pero no catalogada como confidencial o estratégica
 Pérdida o inhabilitación temporal o permanente de activos o recursos no considerados críticos y
respaldados.
 No hay Interrupción de la prestación de servicio o procesos de negocio por parte de la organización, pero
2 Menor
el rendimiento se ve sensiblemente afectado.
 Daño indirecto o colateral de la imagen y reputación de la Organización de cara a la opinión pública
 Fuga de información sensible pero no catalogada como reservada, confidencial o estratégica
 Pérdida o inhabilitación temporal o permanente de activos o recursos secundarios (por ejemplo activos
1 Muy Bajo de red de respaldo o backup)
 Fuga de información no pública pero no catalogada como sensible
Probabilidad del Riesgo

Nivel Rango Descripción

5 Altamente Probable Cuando la amenaza puede presentarse en periodos menos a una semana.

4 Probable Cuando la amenaza puede presentarse en periodos menos de dos meses.

3 Moderado Cuando la amenaza puede presentarse en periodos menos a un año.

2 Bajo Cuando la amenaza puede presentarse en periodos menos de cinco años

1 Muy Bajo Cuando la amenaza puede presentarse en periodos superiores a cinco años
Dimensiones
De un activo puede interesar calibrar diferentes dimensiones:
◦ Su confidencialidad: ¿qué daño causaría que lo conociera quien no debe?
◦ Esta valoración es típica de datos.
◦ Su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto?
◦ Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcial-mente falsos o, incluso, faltar datos.
◦ Su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo?
◦ Esta valoración es típica de los servicios.
◦ La autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa?
◦ Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autentici-dad de quien accede a los datos para
escribir o, simplemente, consultar)
◦ La trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea,
¿quién hace qué y cuándo?
◦ La trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué
hace con ellos?
¿Cuánto vale la “salud” de los activos?
Una vez determinadas qué dimensiones (de seguridad) interesan de un activo
hay que proceder a valorarlo. La valoración es la determinación del coste que
supondría recuperarse de una incidencia que destrozara el activo. Hay muchos
factores a considerar:
◦ Coste de reposición: adquisición e instalación
◦ Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
◦ Lucro cesante: pérdida de ingresos
◦ Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdi-da de
actividad o en peores condiciones económicas
◦ Sanciones por incumplimiento de la ley u obligaciones contractuales
◦ Daño a otros activos, propios o ajenos
◦ Daño a personas
◦ Daños medioambientales
¿Cuánto vale la “salud” de los activos?
La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa
(en alguna escala de niveles). Los criterios más importantes a respetar son:
◦ La homogeneidad: es importante poder comparar valores aunque sean de diferentes di-
mensiones a fin de poder combinar valores propios y valores acumulados, así como poder
determinar si es más grave el daño en una dimensión o en otra
◦ La relatividad: es importante poder relativizar el valor de un activo en comparación con otros
activos
Valoración cualitativa
Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un
orden relativo respecto de los demás. Es frecuente plantear estas escalas como “órdenes de
magnitud” y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo.
La limitación de las valoraciones cualitativas es que no permiten comparar valores más allá de su
orden relativo. No se pueden sumar valores

La "Guía de Técnicas" presenta un modelo de análisis basado en valoraciones cualitativas


Valoración cuantitativa
Las valoraciones numéricas absolutas cuestan mucho esfuerzo; pero permiten
sumar valores numéricos de forma absolutamente “natural”. La interpretación
de las sumas no es nunca motivo de controversia.
Si la valoración es dineraria, además se pueden hacer estudios económicos
comparando lo que se arriesga con lo que cuesta la solución respondiendo a las
preguntas:
◦ ¿Vale la pena invertir tanto dinero en esta salvaguarda?
◦ ¿Qué conjunto de salvaguardas optimizan la inversión?
◦ ¿En qué plazo de tiempo se recupera la inversión?
◦ ¿Cuánto es razonable que cueste la prima de un seguro?

La "Guía de Técnicas" presenta un modelo de análisis basado en valoraciones cualitativas


Paso 2: Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las
amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede
pasarle a nuestros activos y causar un daño.
Amenaza
◦ Causa potencial de un incidente que puede causar daños a un sistema de información o a una
organización. [UNE 71504:2008]
Identificación de las amenazas
De origen natural
◦ Hay accidentes naturales (terremotos, inundaciones, ...). Ante esos avatares el sistema de información
es víctima pasiva, pero de todas formas tendremos en cuenta lo que puede suceder.

Del entorno (de origen industrial)


◦ Hay desastres industriales (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información
es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.

Defectos de las aplicaciones


◦ Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su
implementación, con consecuencias potencialmente negativas sobre el sistema. Frecuentemente se
denominan vulnerabilidades técnicas o, simplemente, ‘vulnerabilidades
Identificación de las amenazas
Causadas por las personas de forma accidental
◦ Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados,
típicamente por error o por omisión.

Causadas por las personas de forma deliberada


◦ Las personas con acceso al sistema de información pueden ser causa de problemas intencionados:
ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con ánimo de causar daños y
perjuicios a los legítimos propietarios.

No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo
de activo y lo que le podría ocurrir
Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en
la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su
influencia en el valor del activo, en dos sentidos:
◦ Degradación: cuán perjudicado resultaría el [valor del] activo
◦ Probabilidad: cuán probable o improbable es que se materialice la amenaza

La degradación mide el daño causado por un incidente en el supuesto de que ocurriera


La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela
cualitativamente por medio de alguna escala nominal:
Valoración de las amenazas
MA Muy alta Casi seguro Fácil
A Alta Muy alto Medio
M Media Probable Difícil
B Baja Poco probable Muy difícil
MB Muy baja Muy raro Extremadamente difícil
Probabilidad de ocurrencia
Degradación del valor
MA 100 Muy frecuente A diario
A 10 Frecuente Mensualmente
M 1 Normal Una vez al año
B 1/10 Poco frecuente Cada varios años
MB 1/100 Muy poco frecuente Siglos
Determinación del impacto potencial
Se denomina impacto a la medida del daño sobre el activo derivado de la
materialización de una amenaza. Conociendo el valor de los activos (en varias
dimensiones) y la degradación que causan las amenazas, es directo derivar el
impacto que estas tendrían sobre el sistema.

La única consideración que queda hacer es relativa a las dependencias entre


activos. Es frecuente que el valor del sistema se centre en la información que
maneja y los servicios que presta; pero las amenazas suelen materializarse en
los medios. Para enlazar unos con otros recurriremos al grafo de dependencias
Impacto acumulado
Es el calculado sobre un activo teniendo en cuenta
◦ Su valor acumulado (el propio mas el acumulado de los activos que dependen de él)
◦ Las amenazas a que está expuesto
El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor acumulado y de la degradación causada.
El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de
información, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo:
protección de los equipos, copias de respaldo, etc.
Impacto repercutido
Es el calculado sobre un activo teniendo en cuenta
◦ Su valor propio
◦ Las amenazas a que están expuestos los activos de los que depende

El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor propio y de la degradación causada.
El impacto es tanto mayor cuanto mayor es el valor propio de un activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado
Agregación de valores de impacto
Los párrafos anteriores determinan el impacto que sobre un activo tendría una
amenaza en una cierta dimensión. Estos impactos singulares pueden agregarse
bajo ciertas condiciones:
◦ Puede agregarse el impacto repercutido sobre diferentes activos,
◦ Puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí, y no
hereden valor de un activo superior común,
◦ No debe agregarse el impacto acumulado sobre activos que no sean independientes, pues
ello supondría sobre ponderar el impacto al incluir varias veces el valor acumulado de acti-
vos superiores,
◦ Puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque con-
viene considerar en qué medida las diferentes amenazas son independientes y pueden ser
concurrentes,
◦ Puede agregarse el impacto de una amenaza en diferentes dimensiones
Determinación del riesgo potencial
Se denomina riesgo a la medida del daño probable sobre un sistema.
Conociendo el impacto de las amenazas sobre los activos, es directo derivar el
riesgo sin más que tener en cuenta la probabilidad de ocurrencia.
El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una
serie de zonas a tener en cuenta en el tratamiento del riesgo (que veremos más
adelante):
◦ Zona 1 – riesgos muy probables y de muy alto impacto
◦ Zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto
medio, hasta situaciones muy probables pero de impacto bajo o muy bajo
◦ Zona 3 – riesgos improbables y de bajo impacto
◦ Zona 4 – riesgos improbables pero de muy alto impacto
El riesgo en función del impacto y la probabilidad
Riesgo acumulado .- Es el calculado sobre un activo teniendo en cuenta
◦ El impacto acumulado sobre un activo debido a una amenaza y
◦ La probabilidad de la amenaza

Riesgo repercutido.- Es el calculado sobre un activo teniendo en cuenta


◦ El impacto repercutido sobre un activo debido a una amenaza y
◦ La probabilidad de la amenaza

Agregación de riesgos.- Los párrafos anteriores determinan el riesgo que sobre un activo
tendría una amenaza en una cierta dimensión. Estos riesgos singulares pueden agregarse bajo
ciertas condiciones:
◦ Puede agregarse el riesgo repercutido sobre diferentes activos,
◦ Puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí, y no hereden
valor de un activo superior común
◦ No debe agregarse el riesgo acumulado sobre activos que no sean independientes, pues ello supondría
sobre ponderar el riesgo al incluir varias veces el valor acumulado de activos su-periores,
◦ Puede agregarse el riesgo de diferentes amenazas sobre un mismo activo, aunque conviene considerar
en qué medida las diferentes amenazas son independientes y pueden ser concu-rrentes,
◦ Puede agregarse el riesgo de una amenaza en diferentes dimensiones
Paso 3: Salvaguardas
Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos
tecnológicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizándose
adecuadamente, otras requieres elementos técnicos (programas o equipos), otras seguridad
física y, por último, está la política de personal
Selección de salvaguardas
Ante el amplio abanico de posibles salvaguardas a considerar, es necesario hacer una criba
inicial para quedarnos con aquellas que son relevantes para lo que hay que proteger. En esta
criba se deben tener en cuenta los siguientes aspectos:
1. Tipo de activos a proteger, pues cada tipo se protege de una forma específica
2. Dimensión o dimensiones de seguridad que requieren protección
3. Amenazas de las que necesitamos protegernos
4. Si existen salvaguardas alternativas
Selección de salvaguardas
Además, es prudente establecer un principio de proporcionalidad y tener en cuenta:
1. El mayor o menor valor propio o acumulado sobre un activo, centrándonos en lo más valioso
y obviando lo irrelevante
2. La mayor o menor probabilidad de que una amenaza ocurra, centrándonos en los riesgos
más importantes (ver zonas de riesgo)
3. La cobertura del riesgo que proporcionan salvaguardas alternativas
Selección de salvaguardas
Esto lleva a dos tipos de declaraciones para excluir una cierta salvaguarda del
conjunto de las que conviene analizar:
◦ No aplica – se dice cuando una salvaguarda no es de aplicación porque técnicamente no es adecuada al
tipo de activos a proteger, no protege la dimensión necesaria o no protege frente a la amenaza en
consideración
◦ No se justifica – se dice cuando la salvaguarda aplica, pero es desproporcionada al riesgo que tenemos
que proteger

Como resultado de estas consideraciones dispondremos de una “declaración de


aplicabilidad” o relación de salvaguardas que deben ser analizadas como
componentes nuestro sistema de protección.
Efecto de las salvaguardas
Las salvaguardas entran en el cálculo del riesgo de dos formas:
◦ Reduciendo la probabilidad de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a
impedir completamente que la amenaza se materialice.

◦ Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación,
mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance.
Incluso al-gunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la
amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las con-secuencias
se limitan.
Están expuestos a
Activos

Interesan por su
Amenazas
Valor

Causan
cierta Degradación Impacto
residual residual

Con una
cierta
Probabilidad Riesgo
residual residual

Tipo de activo Elementos de análisis del riesgo residual


Dimensión
Amenaza Salvaguardas
Nivel de riesgo
Tipo de protección
[PR] prevención
◦ Cuando reduce las oportunidades de que un incidente ocurra.
◦ Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capa-cidades,
metodología segura de desarrollo de software, pruebas en pre-producción, segre-gación de tareas
[DR] disuasión
◦ Cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes
de atacar
◦ Ejemplos: vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito o persecución
del delincuente
[EL] eliminación
◦ Cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya
producido
◦ Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, de servicios inne-cesarios, …; en
general, todo lo que tenga que ver con la fortificación o bastionado, ..., ci-frado de la información, ...,
armarios ignífugos
Tipo de protección
[IM] minimización del impacto / limitación del impacto
◦ Cuando acota las consecuencias de un incidente.
◦ Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en caso de ataque,
seguros de cobertura, cumplimiento de la legislación vigente

[CR] corrección
◦ cuando, habiéndose producido un daño, lo re-para. Son salvaguardas que actúan después de que el
incidente se haya producido y por tanto reducen los daños.
◦ Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimenta-ción
redundantes, ...

[RC] recuperación
◦ Cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las
probabilidades del incidente, pero acotan los daños a un periodo de tiempo.
◦ Ejemplos: copias de seguridad (back-up)
Tipo de protección
[MN] monitorización
◦ Trabajan monitorizando lo que está ocurriendo o lo que ha ocu-rrido. Si se detectan cosas en tiempo
real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori,
podemos aprender del incidente y me-jorar el sistema de salvaguardas de cara al futuro.
◦ Ejemplos: registros de actividad, registro de descargas de web

[DC] detección
◦ Funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide
el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque,
minimizando daños.
◦ Ejemplos: anti-virus, IDS, detectores de incendio, ..
Tipo de protección
[AW] concienciación
◦ Actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él.
La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las
salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto
o, al menos, no menoscabándolo por una mala operación.
◦ Ejemplos: cursos de concienciación, cursos de formación

[AD] administración
◦ Relacionadas con los componentes de seguridad del sistema. Una buena administración evita el
desconocimiento de lo que hay y por tanto impide que hayan puertas desconocidas por las que pudiera
tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo.
◦ Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad
Tipos de salvaguardas
Efecto Tipo
[PR] preventivas
Preventivas: [DR] disuasorias
[EL] eliminatorias
[IM] minimizadoras
Acotan la degradación [CR] correctivas
[RC] recuperativas
[MN] de monitorización
Consolidad el efecto de las demás [DC] de detección
[AW] de concienciación
[AD] administrativas
Eficacia de la protección
Las salvaguardas se caracterizan, además de por su existencia, por su eficacia
frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz,
eficacia que combina 2 factores: desde el punto de vista técnico.
◦ Es técnicamente idónea para enfrentarse al riesgo que protege
◦ Se emplea siempre

desde el punto de vista de operación de la salvaguarda


◦ Está perfectamente desplegada, configurada y mantenida
◦ Existen procedimientos claros de uso normal y en caso de incidencias
◦ Los usuarios están formados y concienciados
◦ Existen controles que avisan de posibles fallos
Paso 4: impacto residual
Dado un cierto conjunto de salvaguardas desplegadas y una medida de la madurez de su
proceso de gestión, el sistema queda en una situación de posible impacto que se denomina
residual. Se dice que hemos modificado el impacto, desde un valor potencial a un valor residual.

El cálculo del impacto residual es sencillo. Como no han cambiado los activos, ni sus
dependencias, sino solamente la magnitud de la degradación, se repiten los cálculos de impacto
con este nuevo nivel de degradación.

La magnitud de la degradación tomando en cuenta la eficacia de las salvaguardas, es la


proporción que resta entre la eficacia perfecta y la eficacia real.
Paso 5: riesgo residual
El cálculo del riesgo residual es sencillo. Como no han cambiado los activos, ni sus dependencias,
sino solamente la magnitud de la degradación y la probabilidad de las amenazas, se repiten los
cálculos de riesgo usando el impacto residual y la probabilidad residual de ocurrencia.

La magnitud de la degradación se toma en consideración en el cálculo del impacto residual.

La magnitud de la probabilidad residual tomando en cuenta la eficacia de las salvaguardas, es la


proporción que resta entre la eficacia perfecta y la eficacia real.

El riesgo residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre
los activos superiores.
Formalización de las actividades
Este conjunto de actividades tiene los siguientes objetivos:
◦ Levantar un modelo del valor del sistema, identificando y valorando los activos relevantes.
◦ Levantar un mapa de riesgos del sistema, identificando y valorando las amenazas sobre
aquellos activos.
◦ Levantar un conocimiento de la situación actual de salvaguardas.
◦ Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto potencial (sin
salvaguardas), como el impacto residual (incluyendo el efecto de las salvaguardas
desplegadas para proteger el sistema).
◦ Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin salvaguardas), como el
riesgo residual (incluyendo el efecto de las salvaguardas desplegadas para proteger el
sistema).
◦ Informar de las áreas del sistema con mayor impacto y/o riesgo a fin de que se puedan tomar
las decisiones de tratamiento con motivo justificado.
Formalización de las actividades
El análisis de los riesgos se lleva a cabo por medio de las siguientes tareas:
MAR – Método de Análisis de Riesgos
◦ MAR.1 – Caracterización de los activos
◦ MAR.11 – Identificación de los activos
◦ MAR.12 – Dependencias entre activos
◦ MAR.13 – Valoración de los activos
◦ MAR.2 – Caracterización de las amenazas
◦ MAR.21 – Identificación de las amenazas
◦ MAR.22 – Valoración de las amenazas
◦ MAR.3 – Caracterización de las salvaguardas
◦ MAR.31 – Identificación de las salvaguardas pertinentes
◦ MAR.32 – Valoración de las salvaguardas
◦ MAR.4 – Estimación del estado de riesgo
◦ MAR.41 – Estimación del impacto
◦ MAR.42 – Estimación del riesgo
Proceso de gestión de riesgos
Proceso de gestión de riesgos
A la vista de los impactos y riesgos a que está expuesto el sistema, hay que
tomar una serie de decisiones condicionadas por diversos factores:
◦ La gravedad del impacto y/o del riesgo
◦ Las obligaciones a las que por ley esté sometida la Organización
◦ Las obligaciones a las que por reglamentos sectoriales esté sometida la Organización
◦ Las obligaciones a las que por contrato esté sometida la Organización
Proceso de gestión de riesgos
Dentro del margen de maniobra que permita, pueden aparecer consideraciones adicionales
sobre la capacidad de la Organización para aceptar ciertos impactos de naturaleza intangible
tales como:
◦ Imagen pública de cara a la Sociedad (aspectos reputacionales)
◦ Política interna: relaciones con los propios empleados, tales como capacidad de contratar al personal
idóneo, capacidad de retener a los mejores, capacidad de soportar rotaciones de personas, capacidad
de ofrecer una carrera profesional atractiva, etc.
◦ Relaciones con los proveedores, tales como capacidad de llegar a acuerdos ventajosos a corto, medio o
largo plazo, capacidad de obtener trato prioritario, etc.
◦ Relaciones con los clientes o usuarios, tales como capacidad de retención, capacidad de incrementar la
oferta, capacidad de diferenciarse frente a la competencia, ...
◦ Relaciones con otras organizaciones, tales como capacidad de alcanzar acuerdos estratégicos, alianzas,
etc.
◦ Nuevas oportunidades de negocio, tales como formas de recuperar la inversión en seguridad
◦ Acceso a sellos o calificaciones reconocidas de seguridad
Proceso de gestión de riesgos
Todas las consideraciones anteriores desembocan en una calificación de cada riesgo
significativo, determinándose si ...
◦ Es crítico en el sentido de que requiere atención urgente
◦ Es grave en el sentido de que requiere atención
◦ Es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento
◦ Es asumible en el sentido de que no se van a tomar acciones para atajarlo
La opción 4, aceptación del riesgo, siempre es arriesgada y hay que tomarla con prudencia y
justificación. Las razones que pueden llevar a esta aceptación son:
◦ Cuando el impacto residual es asumible
◦ Cuando el riesgo residual es asumible
◦ Cuando el coste de las salvaguardas oportunas es desproporcionado en comparación al im-pacto y
riesgo residuales
La calificación de los riesgos tendrá consecuencias en las tareas subsiguientes, siendo un factor
básico para establecer la prioridad relativa de las diferentes actuaciones.
Decisiones de tratamiento de los riesgos
Fases del
análisis de
riesgo
Fase 1. Definir el alcance
Hacer el análisis de riesgos cubra la totalidad del alcance del
PDS.

Seleccionar las áreas estratégicas sobre las que mejorar la


seguridad.

Definir un alcance más limitado atendiendo a departamentos,


procesos o sistemas.
Fase 2. Identificar los activos
Identificar los activos más importantes que guardan relación con el departamento, proceso, o
sistema objeto del estudio.
Fase 3. Identificar / seleccionar las amenazas

Si nuestra intención es evaluar el riesgo que corremos frente a la destrucción de


nuestro servidor de ficheros, es conveniente, considerar las averías del servidor,
la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego,
en lugar de plantearnos el riesgo de que el CPD sea destruido por un meteorito
Fase 4. Identificar vulnerabilidades y salvaguardas
Una posible vulnerabilidad puede ser identificar un conjunto
de ordenadores o servidores cuyo sistemas antivirus no están
actualizados o una serie de activos para los que no existe
soporte ni mantenimiento por parte del fabricante.
Posteriormente, a la hora de evaluar el riesgo aplicaremos
penalizaciones para reflejar las vulnerabilidades
identificadas.
Fase 5. Evaluar el riesgo
Llegado a este punto disponemos de los siguientes elementos:
◦ Inventario de activos.
◦ Conjunto de amenazas a las que está expuesta cada activo.
◦ Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
◦ Conjunto de medidas de seguridad implantadas

Tabla para el cálculo del impacto


Fase 5. Evaluar el riesgo
Cálculo del riesgo
A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo, calcularemos
multiplicando los factores probabilidad e impacto:
RIESGO = PROBABILIDAD x IMPACTO.
Fase 6. Tratar el riesgo
Trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo
en términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales:

Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a terceros ocasionados por
fugas de información.

Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el caso práctico
que hemos expuesto, podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no es estrictamente
necesario.
Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado
alto y por tanto, la organización puede optar por asumir.

Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los
servicios en la nube en caso de que la línea principal haya caído.
NORMA TECNICA PERUANA
NTP-ISO/IEC 27001-2014
SEGURIDAD DE LA
INFORMACION
Conceptos Fundamentales

¿De que información estamos hablando?

¿Qué tan expuestos estamos?


¿Qué es Información?
La información es un conjunto organizado de datos procesados, que
constituyen un mensaje que cambia el estado de conocimiento del sujeto o
sistema que recibe dicho mensaje.

Para sus actividades diarias, operaciones de su trabajo, para cumplir con sus
funciones, el cual puede equivocarse o no, o hacer el bien o el mal.
Información a proteger
• El CV,
• Las cuentas bancarias,
• La compra de una empresa,
• Estados de cuenta,
• Las imágenes de una
• Deuda tributaria,
cámara,
• Resultados de análisis
• Los sueldos,
clínicos,
• Correos,
• Configuración de un equipo
• Grabación de un teléfono,
de red,
• Logs de auditoría,
• Códigos de un sistema,
• Contratos,
• Tipo de cambio,
• Examen de admisión,
• La propuesta técnica y
• Identificación,
económica,
• Resultados electorales,
• Estado financiero,
• La comunicación telefónica,

¿Qué es Seguridad de la Información?
La información es un recurso que, como el resto de los activos, tiene valor para
una organización y por consiguiente debe ser debidamente protegida.
La seguridad de la información protege ésta de una amplia gama de amenazas,
a fin de garantizar la continuidad del negocio, minimizar el daño al mismo y
maximizar el retorno sobre las inversiones y las oportunidades.
La información puede existir en muchas formas.
◦ Puede estar impresa o escrita en papel,
◦ Almacenada electrónicamente,
◦ Transmitida por un medio electrónico,
◦ Presentada en imágenes,
◦ o expuesta en una conversación.
Cualquiera sea la forma que adquiere la información, o los medios por los
cuales se distribuye o almacena, siempre debe ser protegida en forma
adecuada.
¿Seguridad de la Información ?
La seguridad de la información se caracteriza aquí como la preservación de:

Asegurando que sólo quienes estén autorizados


Confidencialidad
pueden acceder a la información

Integridad
Asegurando que la información y sus métodos de
proceso son exactos y completos

Asegurando que los usuarios autorizados tienen


Disponibilidad acceso a la información y a sus activos asociados
cuando lo requieran
Fallos de Red Rotura de Incidentes de Seguridad
4% conduccion
Errores de
4%
Hardware
5% Otros
Inundaciones 3% Terrorismo/Sabota
7% je
17%

Errores de incendios
Software 17%
9%

Caidas Electricas
10%
Agentes
Atmosfericos
Terremotos
14%
10%
VARIOS Incidentes de
seguridad
30% de INCIDENTES DE SEGURIDAD EXTERNOS
incidentes
externos
VIRUS

INCIDENTES DE SEGURIDAD INTERNOS

70 % de
incidentes
internos
ERRORES DE USUARIOS
Riesgos en materia de Seguridad actualmente
Su Información Crítica puede estar fácilmente en peligro.
◦ Ordenadores/ Sistemas informáticos amenazados (hackers, spyware, spam, etc.)
◦ Potenciales aplicaciones informáticas instaladas que no están autorizadas.
◦ Posible uso inapropiado del email y de la Web por los empleados.
◦ Proveedores de Servicios Informáticos que no han tomado las acciones oportunas para
proteger la información de su organización.
◦ Catástrofes y contingencias imprevistas.
◦ Pérdida – sustracción – robo de la información crítica de la organización en cualquier tipo
de soporte.
◦ Etc …
Activos
ISO 27002:2013 Clausula 8.1
Activos relacionados con las instalaciones de procesamiento de
información, y la información deben ser identificados y un
inventario de los activos deberá estar redactado y mantenido.

activo

Activo primario Activo de soporte

Hardware, Software,
Información Procesos Redes, Personal, Sitio,
Servicios
Partes interesadas
ISO 27001:2013 Clausula 4.2
Entendiendo las necesidades y expectativas de las partes interesadas
◦ Las partes interesadas que son relevantes para el sistema de gestión de seguridad de la
información, y
◦ Los requisitos de estas partes interesadas pertinentes a la seguridad de la información.

Los servicios de
La información de esos
Mis contribuyentes limpieza publica,
Los procesos que procesos debe ser
requieren que les infraestructura urbana,
soportan esos servicios confiable, integra y
brinde buenos servicios parques y jardines y
deben ser mejorados disponible para las
en el municipio. seguridad ciudadana
tomas de decisiones
tiene que ser de calidad
¿Riesgos?
ISO 27001:2013 Clausula 6.1.2 Evaluación de los riesgos de la seguridad de la
información.
◦ Identifica los riesgos de seguridad de la información:
◦ Aplicar el proceso de evaluación de riesgos de seguridad de información para identificar los riesgos
asociados a la pérdida de la confidencialidad, integridad y disponibilidad de la información en el
ámbito del sistema de gestión de la seguridad de información, y
◦ Identificar a los propietarios de los riesgos;
Liderazgo
ISO 27001:2013 Clausula 5.3 Roles de organización, responsabilidades y
autoridades
La alta dirección debe asegurarse de que las responsabilidades y autoridades
para las funciones pertinentes a la seguridad de información se asignen y se
comuniquen.
Vulnerabilidades Comunes
◦ Inadecuado o falta de compromiso de la dirección.
◦ Personal no capacitado y/o concientizado.
◦ Falta o Inadecuada asignación de responsabilidades.
◦ Ausencia de políticas/ procedimientos.
◦ Ausencia de controles
◦ Físicos / Lógicos
◦ Disuasivos / Preventivos / Detectivos / Correctivos
◦ Ausencia de reportes de incidentes y vulnerabilidades.
◦ Inadecuado seguimiento y monitoreo de los controles.
Normas Internacionalmente reconocidas
Normas aplicables
Entre los distintos organismos relacionados comercial y/o institucionalmente
con los temas de Seguridad de la Información, podemos encontrar los
siguientes:
◦ ISACA: COBIT
◦ British Standards Institute: BSI
◦ International Standards Organization: Normas ISO
◦ Departamento de Defensa de USA: Orange Book / Common Criteria
◦ ITSEC - Information Technology Security Evaluation Criteria: White Book
◦ Sarbanes Oxley Act, HIPAA
¿Cómo establecer los requisitos?
Es esencial que la Organización identifique sus requisitos de seguridad.
Existen tres fuentes principales.
La PRIMER FUENTE procede de la valoración de los riesgos de la
Organización. Con ella:
- Se identifican las amenazas a los activos,
- Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia.
- Se estima su posible impacto.
¿Cómo establecer los requisitos?
La SEGUNDA FUENTE es el conjunto de requisitos legales, estatutarios,
regulatorios y contractuales que debe satisfacer:
- La Organización,
- Sus socios comerciales,
- Los contratistas
- Los proveedores de servicios.
La TERCERA FUENTE está formada por los principios, objetivos y requisitos
que la Organización ha desarrollado para apoyar sus operaciones.
La norma

ISO/IEC 27001
Que es la ISO
Es una federación mundial de organismos nacionales de normalización alrededor de 160 países,
trabajan a nivel de Comités Técnicos, tienen al menos 19,000 estándares publicados desde 1947
(creación), 1951 (publicación).
Trabaja en función a 8 principios de gestión:
◦ 1.Orientación al cliente.
◦ 2.Liderazgo.
◦ 3.Participación del personal.
◦ 4.Enfoque de procesos.
◦ 5.Enfoque de sistemas de gestión.
◦ 6.Mejora Continua.
◦ 7.Enfoque de mejora continua.
◦ 8.Relación mutuamente beneficiosa con el proveedor
Que es la Norma ISO 27001
Es un Sistema de Gestión que comprende:
◦ Política de Seguridad
◦ Estructura Organizativa
◦ Procedimientos
◦ Recursos

Necesarios para implantar la Seguridad de la Información en una


Organización.
Es una norma que plantea un sistema de gestión que permite asegurar las
continuidad de las operaciones en la organización.
Qué es la Norma ISO 27001
Es una Herramienta para la Dirección de las organizaciones que les permite
◦ Llevar a cabo las políticas y los objetivos de seguridad:
◦ Integridad,
◦ Confidencialidad,
◦ Disponibilidad,
◦ Autenticación,
◦ Asignación de responsabilidad…

Proporcionar Mecanismos para la salvaguarda de los activos de información, de acuerdo con:


◦ La política de seguridad y
◦ Los Planes estratégicos de la Organización

Disponer de un referente en la relación entre organizaciones que permite exigir mutuamente niveles
concretos y adecuados de seguridad, para interrelacionar sistemas de clientes, control de stock,
facturación, pedidos, productos…
Definición de la norma ISO 27001
Qué NO es la Norma ISO 27001
◦ No es una norma destinada a proteger exclusivamente al departamento
de informática

La propuesta de esta norma, está destinada a despliegues tecnológicos o


de infraestructura (si son necesarios), pero sobre todo está destinada a
aspectos organizativos.
La implementación de un SGSI conlleva la realización un análisis de
riesgos, pero no exclusivamente esto.
ISO/IEC 27001 familia de estandares
ISO/IEC 27000, Information security management systems — Overview and vocabulary
ISO/IEC 27001:2005, Information security management systems Requirements
ISO/IEC 27002:2005, Code of practice for information security management
ISO/IEC 27003, Information security management system implementation guidance
ISO/IEC 27004, Information security management — Measurement
ISO/IEC 27005:2008, Information security risk management
ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security
management systems
ISO/IEC 27007, Guidelines for information security management systems auditing
ISO/IEC 27011, Information security management guidelines for telecommunications organizations
basedon ISO/IEC 27002
Overview and vocabulary 27000
27016 Organizational economics

Guide 73 Code of practice 27002 27014 Governance


Vocabulary
familia de estandares
27003 Implementation guidance
31000 27005 27001
Principles and
ISO/IEC 27001

Risk Management Requirements 27004 Measurements


guidelines

31010
27x Extended Range 27009 Applicability
Risk assessment
techniques 27001 Inter-sector and
+ 27010
Inter organizational
Certification industry vertical

Conformity Assessment –
27011 Telecommunications
Vocabulary and general principals
17000 27013 27001+20000-1

27015 Financial services


Requirements for bodies
17021 27006
audit and certification
Conformity assessment 27017 Cloud Computing service
- ISMS
Guidelines for ISMS Data protection control of
19011 27007 27018
auditing public cloud computing service
Guidelines for
auditing management system 27019 Process control system -
Guidance for auditors TR
27008
on controls - TR
27799 Health
Cambio de versión de la norma ISO 27001
ISO 27001:2005 ISO 27001:2013 NOTAS
Garantizar la coherencia entre las futuras y actuales normas
de sistemas de gestión.
8 Puntos Clásicos Anexo SL Favorecer la integración de sistemas de gestión.
Facilitar a los usuario la comprensión y entendimiento de las
normas de gestión
11 Dominios 14 Dominios Las principales modificaciones se ven reflejadas en la
estructura y el contenido de los controles que conforman el
133 Controles 113 Controles anexo A, todo como resultado de un proceso de fusión,
exclusión e incorporación de nuevos controles de seguridad.
ISO 27001:2005 (11 Dominios, 133 Controles) ISO 27001:2013 (14 Dominios, 113 Controles)

A.5 Política de Seguridad A.5 Política de Seguridad

A.6 Organización de la seguridad de la información A.6 Organización de la seguridad de la información

A.7 Gestión de Activos A.7 Seguridad de los RRHH

A.8 Seguridad de los RRHH A.8 Gestión de Activos

A.9 Seguridad Física y del ambiente A.9 Control de acceso

A.10 Gestión de comunicaciones y operaciones A.10 Criptografía

A.11 Control de acceso A.11 Seguridad Física y ambiental

A.12 Adquisición, Desarrollo y Mantenimiento de Sistemas de A.12 Seguridad en las operaciones


Información
A.13 Gestión de incidentes de seguridad de información A.13 Transferencia de Información

A.14 Gestión de la continuidad del negocio A.14 Adquisición de sistemas, desarrollo y mantenimiento

A.15 Cumplimiento A.15 Relación con Proveedores

A.16 Gestión de los Incidentes de seguridad

A.17 Continuidad del negocio

A.18 Cumplimiento con requerimientos legales y contractuales


0. Introducción

1. Alcance Estructura del nuevo


2. Referencias Normativas
estándar ISO 27001
3. Términos y definiciones

• Entendimiento de la organización y su contexto


• Expectativas de las partes interesadas
• Alcance del SGSI
5. Liderazgo • Liderazgo y compromiso de la alta dirección
• Políticas
PLAN(PLANIFICAR) • Organización de los roles, responsabilidades y autoridades
6. Planeación
• Como abordar riesgos y planeación

7. Soporte • Recursos • Comunicación


• Competencias • Información documentada
• Conciencia
8. Operación
DO(HACER) • Evaluación de riesgos de la seguridad de la información
• Manejo de riesgos de la seguridad de la información
9. Evaluación de desempeño •
CHECK()VERIFICAR Evaluación de riesgos de la seguridad de la información
• Manejo de riesgos de la seguridad de la información

ACT(ACTUAR) 10. Mejora • Monitoreo y auditorias internas


• Revisión de la alta dirección
SGSI - Modelo P-H-V-A
METODOLOGÍA DE LA ISO/IEC 27001
Conceptos generales de un SGSI
ISO 27001 es un Sistema de Gestión de la Seguridad de la Información (SGSI).

La seguridad de la información queda definida por tres atributos:


◦ Confidencialidad
◦ Integridad
◦ Disponibilidad
Conceptos generales de un SGSI
La seguridad de la información (SI) es la protección de la información contra una amplia gama de amenazas
respecto a:
◦ Minimizar daños;
◦ Oportunidades del negocio;
◦ Retorno de la inversión;
◦ Continuidad del negocio;
◦ Cultura ética.

El SGSI garantiza la SI mediante una estructura de buenas prácticas, definidas por:


◦ Gestión de riesgos;
◦ Políticas;
◦ Procesos;
◦ Procedimientos;
◦ Controles;
◦ Revisiones;
◦ Mejoras.
Requisito Descripción
Alcance del SGSI Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las
dependencias, relaciones y limites que existen entre el alcance y aquellas partes que no hayan sido
consideradas
Política y Objetivos de seguridad Documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la
organización en la gestión de la seguridad de la información.
Procedimientos y controles del Aquellos procedimientos que regulan el propio funcionamiento del SGSI.
SGSI
Declaración de aplicabilidad Documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado
(SOA- Statement of Applicability) en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y
exclusiones.
Metodología de evaluación de Descripción de la forma como se realizara la evaluación de las amenazas, vulnerabilidades,
riesgos probabilidades de ocurrencia e impactos en la relación a los activos de la información dentro del
alcance definido, y los criterios de aceptación del riesgo.
Informe de evaluación y plan de Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos
tratamiento de riesgos de la información de la organización. Plan de tratamiento de riesgos
Plan de continuidad de negocio Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas, el análisis del
resultado de las pruebas y las acciones de mejoras del plan.
Procedimientos documentados Todos los necesarios para asegurar la planificación, operación y control de procesos de seguridad de
información, así como para la medida de la eficacia de los controles implantados.
Registros Evidencia objetiva del funcionamiento del SGSI
(Planificar /Hacer /Verificar /Actuar)
• Establecer el alcance del SGSI • Implantar el SGSI
• Definir la política de seguridad • Implantar el plan de gestión de riesgos.
• Realizar los análisis de riesgos • Implantar de políticas, controles y
• Plan de tratamiento de riesgos procedimientos
• Seleccionar controles • Programa de concientización
• Tratamiento de Riesgos.

Planificar Hacer • Implantar indicadores

Establecer el Implementar y
SGSI operar el SGSI

Actuar Verificar
Mantener y Monitorear y
mejorar el SGSI revisar el SGSI
• Medición de Resultados.
• Adoptar acciones correctivas • Análisis de tendencias.
• Adoptar acciones preventivas • Revisiones del SGSI por parte de la
• Tratamiento de no conformidades dirección
• Realizar auditorias internas del SGSI
Establecer el SGSI (Plan)
Establecer la política de seguridad, objetivos, metas, procesos y procedimientos
relevantes para manejar riesgos y mejorar la seguridad de la información para generar
resultados de acuerdo con una política y objetivos marco de la organización.

◦ Definir el alcance del SGSI a la luz de la organización.


◦ Definir la Política de Seguridad.
◦ Aplicar un enfoque sistémico para evaluar el riesgo.

Objetivo: Política:
Criterio(s):
Que en la empresa no “Toda persona que
Lo que indica la ley, es
trabajen personas sobre cumpla 65 años deberá
decir 65 años
la edad a jubilar jubilarse”
Establecer el SGSI (Plan)
Identificar y evaluar opciones para tratar el riesgo
◦ Mitigar, eliminar, transferir, aceptar

Seleccionar objetivos de Control y controles a implementar (Mitigar).

Establecer enunciado de aplicabilidad


Implementar y operar (Do)
Implementar y operar la política de seguridad, controles, procesos y
procedimientos.
Implementar plan de tratamiento de riesgos.
◦ Transferir, eliminar, aceptar
Implementar los controles seleccionados.
◦ Mitigar
Aceptar riesgo residual.
◦ Firma de la alta dirección para riesgos que superan el nivel definido.
Implementar y operar (Do)
Implementar medidas para evaluar la eficacia de los controles

Gestionar operaciones y recursos.

Implementar programas de Capacitación y concientización.

Implementar procedimientos y controles de detección y respuesta a


incidentes.
Monitoreo y Revisión (Check)
Evaluar y medir la performance de los procesos contra la política de
seguridad, los objetivos y experiencia practica y reportar los resultados a la
dirección para su revisión.
◦ Revisar el nivel de riesgo residual aceptable, considerando:
◦ Cambios en la organización.
◦ Cambios en la tecnologías.
◦ Cambios en los objetivos del negocio.
◦ Cambios en las amenazas.
◦ Cambios en las condiciones externas (ej. Regulaciones, leyes).

◦ Realizar auditorias internas.


◦ Realizar revisiones por parte de la dirección del SGSI.
Monitoreo y Revisión (Check)
Se debe establecer y ejecutar procedimientos de monitoreo para:
◦ Detectar errores.
◦ Identificar ataques a la seguridad fallidos y exitosos.
◦ Brindar a la gerencia indicadores para determinar la adecuación de los
controles y el logro de los objetivos de seguridad.
◦ Determinar las acciones realizadas para resolver brechas a la seguridad.
Mantener registros de las acciones y eventos que pueden impactar al SGSI.
Realizar revisiones regulares a la eficiencia del SGSI.
Mantenimiento y mejora del SGSI (Act)
Tomar acciones correctivas y preventivas, basadas en los resultados de la
revisión de la dirección, para lograr la mejora continua del SGSI.
◦ Medir el desempeño del SGSI.
◦ Identificar mejoras en el SGSI a fin de implementarlas.
◦ Tomar las acciones apropiadas a implementar en el ciclo en cuestión
(preventivas y correctivas).
◦ Comunicar los resultados y las acciones a emprender, y consultar con todas las
partes involucradas.
◦ Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
Documentación del SGSI

Contenido de los documentos

MANUAL DE
SEGURIDAD
Describe el sistema de gestión de la seguridad

PROCEDIMIENTOS
DOCUMENTADOS Describe los procesos y las actividades
EXIGIDOS POR LA
NORMA

OTROS DOCUMENTOS DEL SGSI


Describe tareas y requisitos
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
OTROS)
Son evidencias objetivas de la ejecución
REGISTROS de procesos, actividades o tareas
Estructura de implantación de un SGSI
DEFINICION DE DEFINICION DE IDENTIFICACION DE MEDIR, AUDITAR Y
ALCANCE RIESGO SALVAGUARDAS REVISAR
• Identificación de
amenazas
• Valoración de
DEFINICION DEL amenazas relación IMPLANTACION DE ACCIONES
EQUIPO DE TRABAJO probabilidad- SALVAGUARDAS O CORRECTIVAS,
amenaza-activo CONTRAMEDIDAS PREVENTIVAS Y DE
• Riesgo de (Cumplimientos MEJORA
incumplimiento LOPD)
IDENTIFICACION DE
LOPD
LOS PRINCIPALES
FLUJOS DE
INFORMACION • Planes de mejora
• Mantenimiento del
GESTION DEL RIESGO
ESTIMACION DE DOCUMENTO DE
IMPACTOS SEGURIDAD
RIESGOS NO
IDENTIFICACION DE ASUMIBLES
ACTIVOS:
Dependencia entre • Informe de
RIESGOS recomendaciones
los activos
ASUMIBLES • Plan de implantación
Valoración de los
• Plan de formación
activos
• Documento del sistema
Identificación de
DOCUMENTO DE
cumplimiento de • Inventario de riesgos SEGURIDAD
requisitos legales • Política de gestión de
riesgos
Definir e implementar un SGSI
• Posible evaluación del estado inicial de la organización con respecto a
0 la UNE-ISO/IEC 27001

• Lanzamiento y análisis del contexto de la organización


1
• Definición del alcance
Fases del proyecto
2 • Elaboración de la política y propuesta de objetivos.

• Evaluación de riesgos
3 • Tratamiento de riesgos
• Selección de controles y declaración de aplicabilidad

4 • Documentar la información de los SGSI (Políticas, Procedimientos,


Instrucciones)

5 • Implantación del SGSI

• Auditoria interna
6 • Revisión del sistema

7 • Auditoria de Certificación.
Documentación del SGSI
La política de seguridad y los objetivos del SGSI.
El alcance del SGSI.
El proceso de evaluación de riesgos y sus resultados.
El proceso de tratamiento de riesgos y sus resultados.
La declaración de aplicabilidad.
Los procedimientos que la organización haya determinado que es
necesario mantener documentados.
Política de seguridad
La política de seguridad recogerá las líneas generales de actuación en
un documento que estará firmado por la dirección, en el que
manifiesta su compromiso de velar por la confidencialidad,
integridad, y disponibilidad de los activos de información.
Evaluación de riesgos
Elaboración del inventario de activos
◦ ¿Qué información es necesaria para prestar el servicio?
◦ ¿Con qué aplicaciones se está gestionando esa información?
◦ ¿Dónde se almacenan la información y las aplicaciones?
◦ ¿Se han subcontratado servicios o productos de los que dependan?
◦ ¿Por qué medios se transmite la información?
◦ ¿De qué personas depende el servicio?

El inventario de activos debería recoger la siguiente información


◦ El nombre del activo.
◦ La descripción del activo.
◦ Categoría a la que pertenece, por ejemplo: servicio, software, hardware, personal, etc.
◦ Ubicación: el lugar físico en el que se encuentra.
◦ Activos de los que depende.
◦ Valor del activo en cada una de sus dimensiones: confidencialidad, disponibilidad, integridad.
Evaluación de riesgos
Identificar y valorar amenazas
◦ Fuego.
◦ Inundación.
◦ Corte de suministro eléctrico.
◦ Fallo del suministro de comunicaciones.
◦ Errores de usuario.

Para valorar la vulnerabilidad de los activos nos basaremos en la degradación y la probabilidad


de los activos frente a las amenazas.
◦ Sin degradación.
◦ Degradación baja.
◦ Degradación media.
◦ Degradación alta.
Evaluación de riesgos
Calcular el impacto
◦ Una vez identificados y valorados los activos de información y las amenazas que pueden afectar a cada
uno de ellos, se calcula el impacto, que será una función del valor del activo y de la degradación que
produciría la amenaza en caso de materializarse.

Cálculo de impacto

Niveles de impacto
Evaluación de riesgos
Calcular el riesgo
◦ Con los valores obtenidos para cada activo hay que calcular el riesgo para cada amenaza, que
será una función del impacto que produciría sobre el activo en caso de materializarse y de la
probabilidad de materialización

Cálculo de riesgo

Niveles de riesgo
Identificar a los propietarios de los riesgos y tratamiento
de los riesgos
Una vez obtenidos todos los valores de riesgo hay que decidir cómo se va
a tratar cada uno de ellos; si se van a asumir, a transferir, a eliminar o a
mitigar. Esta decisión corresponde al propietario o propietarios del riesgo,
que deben ser previamente identificados y que en base a un criterio
determinarán el máximo riesgo asumible.
Identificar a los propietarios de los riesgos y tratamiento
de los riesgos
La información documentada del análisis de riesgos recogerá.
◦ Todas las valoraciones realizadas.
◦ Los valores de riesgo intrínseco.
◦ La identificación del propietario o propietarios del riesgo.
◦ Cuál es el riesgo asumible.
◦ Las decisiones tomadas respecto a cada uno de los riesgos.
Determinar las medidas de seguridad
◦ Definir una clasificación de la información. De manera que se conozca qué nivel
de seguridad se debe aplicar.
◦ Controles de acceso a la información. No todo el mundo tiene por qué acceder a
ella.
◦ Copias de seguridad. Para garantizar la disponibilidad de la información.
◦ Procedimientos de intercambio de información. Cómo se van a hacer llegar de
manera segura garantizando su integridad y confidencialidad.
Determinar las medidas de seguridad
Es conveniente revisar uno por uno los controles y considerar.
◦ Si está ya implementado.
◦ Si ayudaría a reducir los riesgos identificados.
◦ Si el coste de implementarlo es aceptable.
◦ Si el coste de la operación y el mantenimiento del control serán aceptables.
Determinar las medidas de seguridad
Las decisiones sobre la selección de controles deberán quedar
documentadas en el documento de aplicabilidad, que debe contener, para
cada control, la siguiente información.
◦ Si está aplicado.
◦ Si se va a aplicar.
◦ Si no se va a aplicar.
◦ Razonamiento explicando la decisión.
Evaluar los riesgos residuales
Tras seleccionar los controles a implantar y considerando los que ya
estaban implantados en cierta medida en la entidad, se debe proceder a
repetir el proceso de análisis de riesgos, aplicando la misma metodología,
pero en este caso considerando la seguridad implantada cuando se valore
la degradación y la frecuencia de las amenazas.
Plan de tratamiento del riesgo
Es necesario recoger todas estas actividades en un plan de tratamiento de
riesgos, estableciendo la trazabilidad entre las medidas a implantar y los
riesgos que cada una de ellas pretende mitigar.

El plan deberá contemplar además las responsabilidades de cada una de


las acciones y el mecanismo para medir la eficacia de los controles a
implantar.
Plan de tratamiento del riesgo
Por ejemplo, se pueden definir métricas en relación a las tres dimensiones
de la seguridad consideradas:
◦ Confidencialidad: reducir el número de incidentes con riesgo de fuga de
información.
◦ Disponibilidad: porcentaje de disponibilidad de determinados equipos y
sistemas.
◦ Integridad: reducir los incidentes por información errónea
Información documentada sobre procesos
La implantación de la norma requiere el desarrollo de un conjunto de
documentos que describan el funcionamiento del sistema así como las
normas de seguridad aplicables.

Podemos distinguir principalmente entre políticas, normas,


procedimientos e instrucciones técnicas
Formación y concienciación
Todo el personal implicado en el SGSI debe ser concienciado en la importancia de su
labor para el sistema y formado en cómo desarrollar su trabajo aplicando las normas y
procedimientos de seguridad definidos.

Es conveniente comenzar con acciones de formación que permitan difundir entre todo
el personal las novedades que incorpora en la organización el SGSI, su importancia y los
objetivos perseguidos.

La concienciación, además de mediante jornadas o presentaciones, puede lograrse


también a través de los medios de comunicación habituales, por ejemplo, mediante el
envío de recordatorios por correo electrónico
Auditoría interna
La auditoría interna es una de las herramientas más efectivas, ya que
permite identificar insuficiencias en el sistema y detectar potenciales
situaciones de riesgo.

En términos generales, con la auditoría interna se pretende:


◦ Comprobar que el SGSI definido se ajusta a los requisitos de la norma.
◦ Comprobar que la actividad de la organización se lleva de acuerdo a lo especificado
en el SGSI.
Auditoría interna
El equipo auditor seleccionado debe garantizar la independencia sobre las
actividades a auditar y disponer de la experiencia y formación necesarias
para este tipo de auditorías.
Revisión por la dirección
El responsable de seguridad recopilará toda la información sobre el
funcionamiento del SGSI y elaborará un informe de alto nivel, que por lo
general no entrará en detalles técnicos, para la dirección.

Es importante que este informe contenga no solo las acciones realizadas


hasta el momento y la situación actual, sino también los planes que se
hayan podido definir como resultado de los procesos de mejora continua.
Evidencias
Puestos en marcha los procedimientos, se generarán una serie de evidencias, que son la
prueba de que se han ejecutado.
Algunas de las principales evidencias son:
◦ Actas del comité de seguridad.
◦ Informe de la revisión por la dirección.
◦ Informes de auditoría.
◦ Registros de formación.
◦ Perfiles profesionales.
◦ Acciones correctivas.
◦ Solicitudes de acceso de usuarios.
◦ Registros de los sistemas.
◦ Compromisos de confidencialidad firmados por los empleados.
◦ Acceso a la publicación de las normas y políticas.
El proceso de certificación
El proceso de certificación
Certificar un sistema de gestión es la acción llevada a cabo por una
entidad independiente y reconocida, en la que esta manifiesta que el
sistema cumple con los requisitos definidos en la norma.

La norma bajo la que se obtiene la certificación de un sistema de


gestión de seguridad de la información es la UNE-EN ISO/IEC 27001.

Como se ha venido indicando, la Norma UNE-ISO/IEC 27002 es una


guía de buenas prácticas, muy útil para la implantación de los
controles, pero que no es certificable
El proceso de certificación
Aunque lo más importante es gestionar la seguridad de la información de
la organización, puede ser de interés el obtener la certificación del sistema
de gestión, ya que conlleva ciertos beneficios:
◦ Aporta un valor añadido de confianza en la protección de la información.
◦ Permite asegurar la buena implantación del SGSI en base a las recomendaciones,
observaciones y experiencia de las empresas certificadoras.
◦ Mejora la imagen de la organización de cara a otras empresas.
◦ Es un factor de distinción frente a otras empresas.
◦ Se trata de una exigencia cada vez más demandada por los clientes a la hora de
contratar servicios.
Proceso de certificación en UNE-ISO/IEC 27001

Fuente AENOR
NORMA TECNICA PERUANA
NTP-ISO/IEC 27002-2017
NTP-ISO/IEC 27002-2017
◦ Define las buenas prácticas para la gestión de la seguridad.

◦ Medidas a tomar para asegurar los sistemas de información de una organización

◦ Se identifica los objetivos de control y los controles recomendados a implantar.

◦ Antes ISO 17799, basado en estándar BS 7799


NTP-ISO/IEC 27002-2017
◦ Conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de
Información.

◦ La ISO 27002 es mucho más detallada y mucho más precisa

◦ Los controles de la norma ISO 27002 tienen la misma denominación que los indicados en el Anexo A de
la ISO 27001, la diferencia se presenta en el nivel de detalle.
NTP-ISO/IEC 27002-2017
◦ La ISO 27002 explica un control en forma extensa, en contraste con la ISO 27001 que sólo define una
oración a cada uno.

◦ No es posible obtener la certificación ISO 27002 porque no es una norma de gestión, la certificación en
ISO 27001 sí es posible.

◦ La ISO 27002 define cómo ejecutar un sistema y la ISO 27001 define el sistema de gestión de seguridad
de la información (SGSI).
Dominios NTP-ISO/IEC 27002-2017
5. Políticas de seguridad de la información 12. Seguridad de las operaciones
6. Organización de la seguridad de la 13. Seguridad de las comunicaciones
información
14. Adquisición, desarrollo y mantenimiento
7. Seguridad de los recursos humanos de sistemas
8. Gestión de activos 15. Relaciones con los proveedores
9. Control de acceso 16. Gestión de incidentes de seguridad de la
información
10. Criptografía
17. Aspectos de seguridad de la información
11. Seguridad física y del entorno en la gestión de continuidad del negocio
18. Cumplimiento
Dominios NTP-ISO/IEC 27002-2017
5. Políticas de seguridad de la información.
5.1 Dirección de la gerencia para la seguridad de la información

6. Organización de la seguridad de la información.


6.1 Organización interna
6.2 Dispositivos móviles y teletrabajo

7. Seguridad de los recursos humanos.


7.1 Antes del empleo
7.2 Durante el empleo
7.3 Terminación y cambio de empleo
Dominios NTP-ISO/IEC 27002-2017
8. Gestión de activos.
8.1 Responsabilidad por los activos
8.2 Clasificación de la información
8.3 Manejo de los medios

9. Control de acceso.
9.1 Requisitos de la empresa para el control de acceso
9.2 Gestión de acceso de usuario
9.3 Responsabilidades de los usuarios
9.4 Control de acceso al sistema y aplicación

10. Criptografía.
10.1 Controles criptográficos
Dominios NTP-ISO/IEC 27002-2017
11. Seguridad física y del entorno.
11.1 Áreas seguras
11.2 Equipos

12. Seguridad de las operaciones.


12.1 Procedimientos y responsabilidades operativas
12.2 Protección contra software malicioso (malware)
12.3 Respaldo
12.4 Registros y monitoreo
12.5 Control del software operacional
12.6 Gestión de vulnerabilidad técnica
12.7 Consideraciones para la auditoría de los sistemas de información
Dominios NTP-ISO/IEC 27002-2017
13. Seguridad de las comunicaciones.
13.1 Gestión de seguridad de la red
13.2 Transferencia de información

14. Adquisición, desarrollo y mantenimiento de sistemas.


14.1 Requisitos de seguridad de los sistemas de información
14.2 Seguridad en los procesos de desarrollo y soporte
14.3 Datos de prueba
15. Relaciones con los proveedores.
15.1 Seguridad de la información en las relaciones con los proveedores
15.2 Gestión de entrega de servicios del proveedor
Dominios NTP-ISO/IEC 27002-2017
16. Gestión de incidentes de seguridad de la información.
16.1 Gestión de incidentes de seguridad de la información y mejoras

17. Aspectos de seguridad de la información en la gestión de continuidad del negocio.


17.1 Continuidad de seguridad de la información
17.2 Redundancias

18. Cumplimiento.
18.1 Cumplimiento con requisitos legales y contractuales
18.2 Revisiones de seguridad de la información
13. Seguridad de las comunicaciones.
13.1 Gestión de seguridad de la red
◦ Objetivo: Asegurar la protección de la información en las redes y sus instalaciones de
procesamiento de información de apoyo.

13.1.1 Controles de la red


◦ Control: Las redes deberán ser gestionadas y controladas para proteger la información en los
sistemas y aplicaciones.
13. Seguridad de las comunicaciones.
◦ Guía de implementación: Se deberían implementar controles para garantizar la seguridad de
la información en las redes y la protección de los servicios conectados contra accesos no
autorizados. En particular, deberían considerarse los siguientes elementos.
a) Las responsabilidades y procedimientos para la gestión de equipos de red debería estar
establecida.
b) La responsabilidad operacional de las redes debería separarse de las operaciones de
computo donde sea apropiado (véase 6.1.2);
c) Deberían establecerse controles especiales para resguardar la confidencialidad e integridad
de los datos que pasan a través de redes públicas o sobre las redes inalámbricas y para
proteger los sistemas conectados y aplicaciones (véase 10 y 13.2); controles especiales
también pueden ser necesarios para mantener la disponibilidad de los servicios de red y
computadoras conectadas.
13. Seguridad de las comunicaciones.
d) El registro de ingresos y monitoreo adecuado debería aplicarse para permitir la grabación y
detección de acciones que pueden afectar o son relevantes para la seguridad de la
información;
e) Las actividades de gestión deberían coordinarse estrechamente tanto para optimizar el
servicio a la organización como para garantizar que los controles son aplicados
consistentemente a través de la infraestructura de procesamiento de la información;
f) Los sistemas en la red deberían estar autenticados;
g) La conexión de sistemas a la red debería ser restringida.
13. Seguridad de las comunicaciones.
13.1.2 Seguridad de servicios de red
◦ Control: Mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los
servicios de red deberían ser identificados e incluidos en acuerdos de servicios de red, ya sea
que estos servicios se provean internamente o sean tercerizados.

◦ Guía de implementación: La capacidad del proveedor del servicio de red para gestionar los
servicios acordados de una manera segura debería ser determinada y regularmente
monitoreada y el derecho a auditar debería ser acordado.
Las medidas de seguridad necesarias para los servicios particulares, tales como
características de seguridad, niveles de servicio y los requisitos de gestión, deberían estar
identificadas. La organización debería asegurarse que los proveedores de los servicios de red
implementan estas medidas.
13. Seguridad de las comunicaciones.
◦ Información adicional: Los servicios de red incluyen la provisión de conexiones, servicios de
red privada y redes con valor agregado y soluciones de seguridad de redes gestionadas como
los firewalls y sistemas de detección de intrusiones. Estos servicios pueden ir desde un simple
ancho de banda no gestionado hasta complejas ofertas con valor agregado.

◦ Las características de seguridad de los servicios de red podrían ser:


a) Tecnología aplicada para la seguridad de los servicios de red, como la autenticación,
encriptación y controles de conexión de red;
b) Los parámetros técnicos necesarios para la conexión segura con los servicios de red en
concordancia con las reglas de seguridad y conexión a la red;
c) Los procedimientos en el uso de servicios de red para restringir el acceso a los servicios de
red o aplicaciones, donde sea necesario.
13. Seguridad de las comunicaciones.
13.1.3 Segregación en redes
◦ Control: Grupos de servicios de información, usuarios y sistemas de información deberían
estar segregados en redes.

◦ Guía de implementación: Un método para gestionar la seguridad de grandes redes es


dividirlas en dominios de red separados. Los dominios pueden ser elegidos basados en
niveles de confianza (por ejemplo, dominio de acceso público, dominio de escritorio de
trabajo, dominio de servidor), a lo largo de unidades organizativas (por ejemplo, recursos
humanos, finanzas, marketing) o alguna combinación (por ejemplo, el dominio servidor está
conectado a múltiples unidades organizacionales). La segregación puede hacerse utilizando
redes físicamente diferentes o mediante el uso de diferentes redes lógicas (por ejemplo,
redes privadas virtuales).
13. Seguridad de las comunicaciones.
◦ El perímetro de cada dominio debería estar bien definido. Se permite el acceso entre
dominios de la red, pero debería ser controlado en el perímetro utilizando una puerta de
enlace (por ejemplo, cortafuegos, router con capacidad de filtrado). Los criterios para
segregación de redes en dominios y el acceso permitido a través de las puertas de enlace,
deberían basarse en una evaluación de los requisitos de seguridad de cada dominio. La
evaluación debería estar en concordancia con la política de control de acceso (véase 9.1.1),
los requisitos de acceso, el valor y clasificación de la información procesada y también tomar
en cuenta el impacto relativo de costos y rendimiento de incorporar tecnología adecuada de
puerta de enlace.
13. Seguridad de las comunicaciones.
◦ Las redes inalámbricas requieren un tratamiento especial debido a la deficiente definición del
perímetro de la red. Para ambientes sensibles, debería considerarse tratar todos los accesos
inalámbricos como conexiones externas y para segregar este acceso desde las redes internas
hasta que el acceso haya pasado a través de una puerta de enlace en concordancia con la
política controles de red (véase 13.1.1) antes de otorgar acceso a los sistemas internos.

◦ Las tecnologías de control de acceso de autenticación, cifrado y de red a nivel de usuario de


las redes inalámbricas modernas basadas en estándares, pueden ser suficientes para la
conexión directa a la red interna de la organización cuando se implementa apropiadamente.
13. Seguridad de las comunicaciones.
◦ Información adicional: Las redes a menudo se extienden más allá de los límites de la organización,
como a los asociados de negocio formados para interconectarse o compartir las instalaciones de
procesamiento de información y redes. Tales extensiones pueden incrementar el riesgo de acceso no
autorizado a los sistemas de información de la organización que utilizan la red, algunos de los cuales
requieren protección de otros usuarios de la red debido a su sensibilidad o criticidad.