Beruflich Dokumente
Kultur Dokumente
[2.2] Introducción
2 TEMA
La seguridad de la información
Esquema
TEMA 2 – Esquema
implica
2
guías modelos estándares
soportan
Gobierno de la seguridad
Gestión de la seguridad
Gestión de la seguridad
Ideas clave
Para estudiar este tema lee el caso de estudio, además de las Ideas clave que
encontrarás a continuación.
2.2. Introducción
Este tema trata de introducirte en los términos y conceptos más relevantes en la gestión
de la seguridad de la información, introduciendo conceptos enfocados a la estrategia de
la seguridad y cómo esta debe estar alineada con los objetivos corporativos.
Después de una lectura rápida del tema, es especialmente importante, por su relevancia
como estándar, dedicar tiempo a entender y conocer en detalle el estándar ISO 27000
en lo relativo a su marco conceptual y terminología.
Al igual que el gobierno corporativo define una visión, una misión y unos objetivos que
dotan a la organización de sus fundamentos estratégicos, el gobierno de la seguridad de
la información debe definir una estrategia para cooperar en las metas definidas.
Visión
Misión Objetivos
Estrategia
Misión de Objetivos de
seguridad seguridad
Misión de la seguridad:
Visión de la seguridad:
Estrategia de seguridad:
Definición
Definición
Análisis de Realización del plan de Aprobación Seguimiento
de un
la situación de un acción: y desarrollo del plan y
modelo de
actual análisis GAP Proyectos y del PDS objetivos
seguridad
priorización
Las necesidades del negocio: Primero fijar los objetivos de seguridad y luego las
medidas o controles de seguridad que se desarrollan como parte del modelo.
Los estándares y buenas prácticas del sector.
Las circunstancias tecnológicas y operativas.
Para lograr cumplir los objetivos marcados, el plan de proyectos debe tener en cuenta el
conocimiento interno de la empresa, los recursos, el presupuesto y la tecnología
disponible.
27006
a Numeración reservada a diferentes temas de la seguridad de la información
17010
Establecer el
SGSI
Partes Partes
interesadas interesadas
Mantener y Implantar y
mejorar el ejecutar el
SGSI SGSI
Re quisitos y Se guridad de la
e xpe ctativas de información
la se guridad de ge stionada
la información
Seguimiento
y revisión
del SGSI
Requisitos generales
Ejemplo
En una organización pequeña, puede que el alcance del SGSI sea toda la organización.
No obstante, en organizaciones grandes no tiene por qué ser así. Por ejemplo, puede
que el alcance en una empresa de venta por Internet abarque la parte de comercio
electrónico pero no el aprovisionamiento (si este se realiza de manera tradicional, sin
conexión a Internet). En cualquier caso, al determinar el alcance es preciso indicar las
localizaciones físicas afectadas (oficinas, departamentos), las funciones que quedan
incluidas, y también los elementos tecnológicos cubiertos. Estos últimos se pueden definir
por ejemplo mediante un diagrama de red.
Requisitos de documentación
Jerarquía de la documentación
Política, alcance,
evaluación de
riesgos,
declaración de
aplicabilidad Manual de seguridad
Procesos
Quién, qué, cuándo, dónde
Procedimientos
Compromiso de la dirección
Responsabilidades
La Norma ISO requiere que la alta dirección asegure que se cumplan estos
requisitos y que las responsabilidades sean comunicadas dentro de la organización,
valorando el tamaño, complejidad y cultura de la organización.
Servicio de TI
Servicio a uno o más clientes, por un proveedor de servicios de TI. Un servicio de TI
se basa en el uso de tecnologías de la información y apoya el cliente en sus procesos
de negocio. Un servicio de TI se compone de una combinación de personas,
procesos y tecnología, y deben definirse en un acuerdo de nivel de servicio.
Comentario
De hecho, los SLA no son específicos de las relaciones de los DSI, sino que se utilizan para
todo tipo de relaciones de provisión de servicios. Se definen de manera general como
«protocolo plasmado normalmente en un documento de carácter legal por el que una
compañía que presta un servicio a otra se compromete a prestar el mismo bajo unas
determinadas condiciones y con unas prestaciones mínimas». Se utilizan también con
profusión en contratos de outsourcing.
Ejemplo
D = (T - Td) / T, donde
• D es el tiempo de disponibilidad del servicio
• Td es el tiempo con pérdida total de conectividad. Este tiempo de pérdida, será igual al
que trascurre desde la apertura de la incidencia, hasta el cierre de dicha incidencia.
Penalizaciones:
El cálculo de esta magnitud se establecerá desde que se ha dado noticia al DSI del
problema. El tiempo de la incidencia finaliza cuando el DSI comprueba que dicho servicio
se ha restaurado completamente.
La primera filial del itSMF se fundó en el Reino Unido en 1991. El itSMF holandés
(itSMF Holanda) fue la siguiente, establecida en noviembre de 1993. Ahora existen
filiales itSMF en países como Sudáfrica, Bélgica, Alemania, Austria, Suiza, Canadá,
Estados Unidos, Francia y Australia, que cooperan con itSMF Internacional.
La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el
proveedor acreditado en los siguientes años. Él definirá el estándar de los
exámenes, la provisión de los exámenes, y entrenadores capacitados, materiales de
capacitación y proveedores de capacitación de ITIL® v3.
ITIL consiste en las mejores prácticas. ITIL recoge las mejores prácticas a
nivel global, por lo tanto, es el resultado de la experiencia acumulada.
ITIL abarca prácticas de soporte y de entrega del servicio. La siguiente figura las
esquematiza.
Gestión de servicios TI
• Service Desk
• Gestión de incidentes • Gestión de los niveles de servicio.
• Gestión de problemas • Gestión financiera.
• Gestión de configuración • Gestión de la disponibilidad.
• Gestión del cambio • Gestión de la capacidad
• Gestión de entregas
Las prácticas que ITIL recoge tienen unas características comunes cuando se
observa su tipo y cómo las aplican las mejores organizaciones de servicio. Esas
características pueden resumirse en los siguientes puntos:
Predictiva. Esto se refleja, por ejemplo, en considerar que un factor crítico de éxito
en esta práctica es «proporcionar previsiones de demanda de TI precisas».
Consistente. Esto se refleja, por ejemplo, en la necesidad de implementar:
«políticas, procesos y procedimientos de gestión de la capacidad».
Medible. Esto se refleja en los indicadores recomendados para la evaluación del
servicio. Para esta práctica, entre los KPI (key performance indicators) tenemos por
ejemplo:
o Dólares en capacidad de TI no utilizada.
o Número de incidentes/violaciones de SLA debidos a la capacidad.
Adaptable. Entre las actividades encontramos: «Implementar cambios
relacionados con la capacidad».
Subproceso Objetivo
Diseñar las medidas técnicas y organizativas necesarias para
Diseño de controles de
asegurar la disponibilidad, integridad y confidencialidad de los
seguridad
recursos y servicios de información.
Respecto a los indicadores, la siguiente tabla describe indicadores típicos para este
proceso.
KPI Descripción
Número de medidas de prevención Número de medidas de prevención implementadas en
implementadas respuesta a amenazas a la seguridad implementadas.
En lo que sigue introducimos uno de esos modelos, el CMMI, quizá el más conocido y
extendido en la actualidad. Es importante tener en cuenta que las ideas del CMMI se
han aplicado recientemente a los servicios (Forrester, Buteau and Shrum, 2009).
El modelo CMMI, acrónimo del inglés Capability Madurity Model Integration, es una
evolución de un modelo anterior denominado CMM inicialmente desarrollado por el
Instituto de Ingeniería del Software (SEI) de la Universidad Carnegie Mellon.
El SEI llevó a cabo el encargo de desarrollar un modelo de calidad que sirviera como
base para establecer un sistema de capacitación de las compañías que suministraban
software al gobierno de los Estados Unidos. Dicho modelo fue definido como:
«Un enfoque para la mejora de procesos que proporciona a una organización los
elementos esenciales para llevar a cabo sus procesos de manera efectiva. Puede utilizarse
para guiar la mejora de procesos en un proyecto, en un departamento, o en una
organización completa. CMMI ayuda a integrar funciones de la organización
tradicionalmente separadas, a establecer prioridades y objetivos en la mejora de procesos,
proporciona guías para los procesos de calidad y sirve como punto de referencia para la
evaluación de los procesos actuales».
Nótese que CMMI no es un proceso de desarrollo de software, sino más bien una guía
que describe las características que hacen efectivo a un proceso. Las ideas
que aporta pueden ser, por tanto, utilizadas como un conjunto de buenas prácticas,
como un marco para la organización y priorización de actividades, o como una forma de
alinear los objetivos de la organización con los objetivos del proceso en estudio.
CMMI se interesa por la mejora de los procedimientos y métodos (procesos) que las
personas de una organización llevan a cabo con ayuda de tecnología y otras
herramientas, ya que, si los procesos no están correctamente definidos, son maduros y
ampliamente conocidos, ni las más cualificadas personas serán capaces de rendir a su
mejor nivel aun disponiendo de las mejores herramientas.
El modelo O-ISM3
Puedes encontrar más información sobre el Open Group y el modelo O-ISM3 en las
siguientes direcciones web:
http://www.opengroup.org/
https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicati
onid=12238
Gestión de riesgos
Controles de seguridad.
Gestión de la seguridad, mediante un sistema de políticas y herramientas que las
implementan.
Load * * * * *
Quality * *
Efficiency *
Lo + recomendado
Lecciones magistrales
En esta lección magistral veremos cómo gestionar una contingencia que podría poner
en peligro un negocio, sobre todo desde el punto de vista de la seguridad.
En esta ocasión vamos a hablar de dos sistemas de gestión, ISO 22301 e ISO 27001, y
de cómo implantarlos de forma simultánea.
TEMA 2 – Lo + recomendado 22
Gestión de la seguridad
En esta sesión vamos a ver cómo hablar con el negocio, algo fundamental para sacar
adelante un sistema de gestión de seguridad de la información (SGSI).
No dejes de leer…
La norma ISO 27001 establece los requisitos para la certificación de los SGSI. Como tal,
es muy importante conocer sus contenidos y definiciones.
TEMA 2 – Lo + recomendado 23
Gestión de la seguridad
No dejes de ver…
TEMA 2 – Lo + recomendado 24
Gestión de la seguridad
+ Información
A fondo
Webgrafía
http://www.27000.org/index.htm
TEMA 2 – + Información 25
Gestión de la seguridad
Bibliografía
VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach
Publications.
TEMA 2 – + Información 26
Gestión de la seguridad
Actividades
Descripción
Tras leer la última versión disponible de la norma ISO 27001 y con el apoyo de la ISO
27002, ambas disponibles en la Biblioteca Virtual de UNIR, responde a las siguientes
preguntas en un máximo de 8 páginas:
» La empresa en la que trabajas quiere certificarse según la norma ISO 27001. Para
afrontar con garantías el proceso de certificación se ha decidido llevar a cabo una
pre-auditoría. Dentro de la documentación solicitada para poder llevar a cabo la pre-
auditoría se nos ha solicitado:
TEMA 2 – Actividades 27
Gestión de la seguridad
Para cada uno de estos controles se debe proponer acciones de mejora que permitan
cumplir con la norma. Si en alguno de ellos considera necesario hacer asunciones sobre
otros controles, éstas deben estar debidamente justificadas.
Criterios de evaluación
Se valorará positivamente las referencias tanto a la ISO 27001 como a la ISO 27002 que
se realicen en el trabajo. Para ello, se debe indicar claramente qué epígrafe concreto
sustenta lo escrito por el alumno.
TEMA 2 – Actividades 28
Gestión de la seguridad
Test
2. Indica qué fases de las siguientes nunca formarán parte de un Plan Director de
Seguridad:
A. Diagnóstico del estado de la seguridad de la información actualmente en una
entidad.
B. Cumplir todos y cada uno de los controles definidos en el estándar ISO/IEC
27001.
C. Identificación de la diferencia de madurez en seguridad de la información de la
entidad en la actualidad respecto al estado deseado.
D. Adquirir la última tecnología de seguridad disponible en el mercado para así
acometer con garantías el plan de proyectos.
4. Indica cuáles de los siguientes aspectos están contemplados por la ISO 27001:
A. El mantenimiento de los equipos informáticos en la empresa.
B. El nombramiento de un comité específico y único para la continuidad del
negocio.
C. La implantación de un modelo organizativo corporativo que unifique las áreas
de seguridad física y seguridad lógica en una sola.
D. La ubicación adecuada de las copias de respaldo.
TEMA 2 – Test 29
Gestión de la seguridad
5. Indica cuáles de las afirmaciones siguientes son ciertas sobre el estándar 27001:
A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de
Gestión de la Seguridad de la Información.
B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los
Sistemas de Gestión de la Continuidad del Negocio.
C. ISO 27001 considera como uno de los elementos fundamentales el
compromiso de la dirección, requisito imprescindible para el establecimiento de
un Sistema de Gestión de la Seguridad de la Información.
D. Ninguna de las anteriores.
TEMA 2 – Test 30
Gestión de la seguridad
TEMA 2 – Test 31