Gobierno de la seguridad de la información

[2.1] ¿Cómo estudiar este tema?

[2.2] Introducción

[2.3] Gobierno de la seguridad de la información

[2.4] El estándar ISO 27001

[2.5] Buenas prácticas de seguridad en la gestión de servicios

de TI

[2.6] Modelos de madurez para la seguridad de la

información

2 TEMA
 La seguridad de la información
Esquema

TEMA 2 – Esquema
implica

Sistema de gestión de la seguridad de la información

definido en definido en certificable

por

2
guías modelos estándares

ejemplo ejemplo ejemplo

ITIL O-ISM3 ISO 27001

soportan

Gobierno de la seguridad
Gestión de la seguridad
 Gestión de la seguridad

Ideas clave

2.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee el caso de estudio, además de las Ideas clave que
encontrarás a continuación.

El objetivo fundamental de este tema es el de conocer en qué consiste el gobierno

corporativo de la seguridad de la información, así como los principales
estándares. Este conocimiento es esencial para comprender los conceptos que son
necesarios para gestionar adecuadamente la protección de la información.

Más concretamente, los objetivos de este tema son los siguientes:

Adquirir los conocimientos fundamentales acerca del gobierno de la seguridad de la

información.
Conocer el marco del estándar ISO 27001 y saber aplicar los conceptos de la norma
en situaciones prácticas.
Conocer modelos de buenas prácticas de gestión y de madurez en el área de la
Seguridad de la Información y saber diferenciarlos entre sí y con relación a los
estándares de certificación.

2.2. Introducción

Este tema trata de introducirte en los términos y conceptos más relevantes en la gestión
de la seguridad de la información, introduciendo conceptos enfocados a la estrategia de
la seguridad y cómo esta debe estar alineada con los objetivos corporativos.

Después de una lectura rápida del tema, es especialmente importante, por su relevancia
como estándar, dedicar tiempo a entender y conocer en detalle el estándar ISO 27000
en lo relativo a su marco conceptual y terminología.

TEMA 2 – Ideas clave 3

 Gestión de la seguridad

2.3. Gobierno de la seguridad de la información

El gobierno es el «conjunto de responsabilidades y prácticas ejercidas por la

Dirección con la finalidad de brindar una dirección estratégica, garantizar que se
logren los objetivos, determinar que los riesgos se administren en forma apropiada y
verificar que los recursos de la empresa se utilicen con responsabilidad» (ISACA).

De forma más pormenorizada y focalizándolo en la seguridad de la información, el

gobierno de la seguridad trata de:

Dar una dirección estratégica y apoyar la consecución de objetivos:

o Se debe alinear la seguridad de la información con la estrategia de
negocio para apoyar los objetivos de la organización.
o Así mismo, se optimizarán las inversiones en la seguridad en apoyo a los
objetivos del negocio.

Gestionar adecuadamente los riesgos:

o Identificar y valorar los riesgos que se ciernen sobre la organización.
o Se deben implantar medidas adecuadas para mitigar los riesgos y reducir el
impacto potencial que tendrían en los recursos de información a un nivel
aceptable.

Verificar que los recursos se utilicen con responsabilidad:

o Se buscará utilizar el conocimiento y la infraestructura disponible de la
mejor forma posible.
o Se deberá controlar y monitorizar la eficacia y la eficiencia de los controles
ya implantados.

Visión, misión y objetivos en el gobierno de la seguridad

Al igual que el gobierno corporativo define una visión, una misión y unos objetivos que
dotan a la organización de sus fundamentos estratégicos, el gobierno de la seguridad de
la información debe definir una estrategia para cooperar en las metas definidas.

TEMA 2 – Ideas clave 4

 Gestión de la seguridad

Visión

Misión Objetivos

Estrategia
Misión de Objetivos de
seguridad seguridad

Misión de la seguridad:

Descripción de por qué la seguridad de la información es relevante en la

organización. Describe una realidad prácticamente invariable en el tiempo y que
puede lograrse de diversas formas, sirviendo de contexto para la toma de decisiones
en la entidad.

Visión de la seguridad:

Describe lo que la entidad desea que llegue a ser la seguridad de la

información, revisándose de forma periódica y sirviendo de guía para la definición
de la estrategia de seguridad.

Estrategia de seguridad:

La estrategia de seguridad se revisa periódicamente debido a los permanentes

cambios en el entorno y describe cómo alcanzar las metas definidas.
Concretamente contiene:

o De qué forma la seguridad da valor a la entidad, ligando sus iniciativas a las de

negocio.
o Cómo reducir los riesgos, teniendo en cuenta el cumplimiento normativo y la
reducción de costes.
o Cómo se protege la organización contra impactos de negocio, cómo esta
responde a la evolución de las amenazas y de qué forma se pretende mejorar las
medidas ya existentes: formación, tecnología, concienciación, etc.

TEMA 2 – Ideas clave 5

 Gestión de la seguridad

Plan Director de Seguridad

El Plan Director de Seguridad es una herramienta fundamental a la hora de implantar

la estrategia de seguridad en una organización en un periodo de tiempo que abarca
normalmente de 2 a 5 años como máximo.

Es un elemento básico que permite a una organización:

Definir y establecer las directrices de seguridad de la información que debe adoptar

la organización en consonancia con los objetivos corporativos.
Definir, planificar y formalizar las actividades en seguridad de la Información.

De forma simplificada, un Plan Director de Seguridad tratar de determinar:

El estado actual de la seguridad de la información en la organización y de la

gestión de los riesgos.
El resultado deseado que se pretende alcanzar dentro de un periodo de tiempo
fijado en función de los objetivos de seguridad que deben ser coherentes, medibles y
alcanzables.
El plan de proyectos que describa como se van a alcanzar dichos objetivos.

Fases de un Plan Director de Seguridad

Definición
Definición
Análisis de Realización del plan de Aprobación Seguimiento
de un
la situación de un acción: y desarrollo del plan y
modelo de
actual análisis GAP Proyectos y del PDS objetivos
seguridad
priorización

El modelo de seguridad deberá tener en cuenta:

Los objetivos y la estrategia corporativa: Resultado deseado que se pretende

alcanzar dentro de un periodo de tiempo fijado
La gestión de los riesgos: Conocer los riesgos y cómo gestionarlos.

TEMA 2 – Ideas clave 6

 Gestión de la seguridad

Las necesidades del negocio: Primero fijar los objetivos de seguridad y luego las
medidas o controles de seguridad que se desarrollan como parte del modelo.
Los estándares y buenas prácticas del sector.
Las circunstancias tecnológicas y operativas.

Para lograr cumplir los objetivos marcados, el plan de proyectos debe tener en cuenta el
conocimiento interno de la empresa, los recursos, el presupuesto y la tecnología
disponible.

2.4. El estándar ISO 27001

El estándar UNE-ISO/IEC 27001:2013 «Sistemas de Gestión de la Seguridad de

la Información (SGSI). Requisitos» es el primero de la serie de estándares ISO
27000. Es la norma principal de la familia, ya que establece los requisitos para la
gestión del SGSI y su auditoría.

Antecedentes del estándar ISO 27001: ISO/IEC BS7799

El Estándar Británico ISO-IEC BS7799-IT es un código aceptado

internacionalmente en la práctica de la seguridad de la información. El estándar aplica
un método de cuatro fases para implementar una solución de sistemas de
administración de seguridad de la información. La norma ISO 27001 puede
considerarse como la última revisión de la norma BS 7799:2002 Parte 2, de la
que ya había en el mundo previamente alrededor de 2.000 certificados.

La familia ISO 27000

La siguiente figura resume las normas de seguridad de la familia 27000. Por

ejemplo, la norma ISO 27002 detalla los requisitos de la norma 27001, proporcionando
una guía de buenas prácticas que describe los objetivos de control y controles en cuanto
a seguridad de la información con 14 dominios, 35 objetivos de control y 114 controles.
No obstante, ISO 27002 no se considera una norma de certificación como 27001, sino
una especificación de apoyo o buenas prácticas.

TEMA 2 – Ideas clave 7

 Gestión de la seguridad

ISO 27001 a 27010

Normas de seguridad

27001 Requerimientos del SGSI

27002 Buenas prácticas en seguridad

27003 Guía de implementación del SGSI

27004 Métricas y mediciones del SGSI

27005 Gestión del riesgo en el SGSI

27006
a Numeración reservada a diferentes temas de la seguridad de la información
17010

Por ejemplo, en la ISO 27002 se incluye el siguiente control: «Medios físicos en

tránsito: Los medios que contienen información debieran ser protegidos contra accesos
no-autorizados, mal uso o corrupción durante el transporte más allá de los límites
físicos de una organización.». Lógicamente, este control solo deberá diseñarse en caso
de que se dé el citado tránsito.

Introducción a la norma 27001

La norma ISO 27001 describe los requisitos de un Sistema de Gestión de la

Seguridad de la Información (SGSI). Proporciona un marco común para la
elaboración de las normas de seguridad de cualquier tipo de organización,
estableciendo un método de gestión eficaz de la seguridad. Esta norma es la base del
proceso de auditoría y certificación de los sistemas de seguridad de información
de las organizaciones.

El establecimiento del SGSI se realiza seleccionando una serie de controles

elegidos en función de su importancia en la gestión del sistema de seguridad.

La siguiente tabla resume la estructura de la norma y sus principales contenidos.

TEMA 2 – Ideas clave 8

 Gestión de la seguridad

Capítulo Título Contenidos

1 Alcance Establece el alcance y ámbito de aplicación de la norma.
2 Referencias Detalla otras normas relacionadas.
Términos y
3 Proporciona las definiciones de la terminología básica.
definiciones
Contexto de la Identifica los aspectos relevantes de la organización de cara a
4
organización la seguridad de la información y se delimita el alcance.
Establece los requisitos de compromiso de la dirección y de
5 Liderazgo
asignación de recursos.
Descripción de los objetivos de seguridad y definición de la
6 Planificación
gestión de los riesgos.
Dotación de recursos para el establecimiento y mejora del
7 Soporte
SGSI.
Verificación de la operación del SGSI y del estado de los
8 Operación
riesgos.
Evaluación del
9 Realización de auditorías internas y revisiones del SGSI.
desempeño
Gestión de las no conformidades, las acciones correctivas y la
10 Mejora
mejora continua.

En los procesos de un sistema de gestión de seguridad de la información se

utiliza con frecuencia el modelo PDCA (Planear-Hacer-Comprobar-Actuar).

Establecer el
SGSI

Partes Partes
interesadas interesadas

Mantener y Implantar y
mejorar el ejecutar el
SGSI SGSI
Re quisitos y Se guridad de la
e xpe ctativas de información
la se guridad de ge stionada
la información
Seguimiento
y revisión
del SGSI

El proceso de planificación comienza con el diseño inicial del SGSI, incluyendo la

evaluación de riesgos inicial y cómo se tratarán. Una vez se han diseñado los diferentes
mecanismos de gestión (políticas, procedimientos, etc.) se ponen en marcha
implantando y «ejecutando» el SGSI.

TEMA 2 – Ideas clave 9

 Gestión de la seguridad

En la fase de seguimiento y revisión será cuando se evalúe la marcha del mismo.

Dependiendo del nivel de madurez del SGSI en esta fase de verificación se incluirán
auditorías (internas o externas). Finalmente, a la luz de la evaluación realizada, se
propondrán las mejoras al SGSI que pasarán a una nueva fase de diseño.

Requisitos generales

La adopción de un sistema de gestión de seguridad de la información es una decisión

estratégica y se diseña e implanta de forma diferente en cada organización. Una
organización debe definir el alcance y los límites del sistema de gestión de
seguridad de la información de acuerdo con las características de la organización,
su ubicación, activos y tecnología.

Se deben establecer los objetivos de la política del sistema de gestión de seguridad de la

información, identificando los posibles riesgos o amenazas que se podrían producir.

Ejemplo

En una organización pequeña, puede que el alcance del SGSI sea toda la organización.
No obstante, en organizaciones grandes no tiene por qué ser así. Por ejemplo, puede
que el alcance en una empresa de venta por Internet abarque la parte de comercio
electrónico pero no el aprovisionamiento (si este se realiza de manera tradicional, sin
conexión a Internet). En cualquier caso, al determinar el alcance es preciso indicar las
localizaciones físicas afectadas (oficinas, departamentos), las funciones que quedan
incluidas, y también los elementos tecnológicos cubiertos. Estos últimos se pueden definir
por ejemplo mediante un diagrama de red.

Requisitos de documentación

La documentación del sistema de gestión de seguridad de la información deberá

incluir la política, alcance y objetivos del SGSI, así como los diferentes
procedimientos y controles de seguridad del sistema.

La documentación será más o menos amplia dependiendo de la organización y de las

diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los
requerimientos de seguridad variarán en función de estas circunstancias.

TEMA 2 – Ideas clave 10

 Gestión de la seguridad

La dirección debe aprobar un documento de política de seguridad de la

información, que deberá publicar y comunicar a todos los empleados y entidades
externas relevantes.

Se deben aprobar los documentos previamente a su distribución, revisando y

actualizando los documentos según las necesidades requeridas, y siempre que se
garantice que los documentos están periódicamente actualizados.

Jerarquía de la documentación

Política, alcance,
evaluación de
riesgos,
declaración de
aplicabilidad Manual de seguridad

Procesos
Quién, qué, cuándo, dónde
Procedimientos

Detalla cómo se realizan las actividades

Instrucciones

Proporciona la evidencia objetiva del

cumplimiento de los requerimientos del SGSI
Registros

Compromiso de la dirección

La Norma ISO 27001 especifica la obligación de suministrar evidencias del

compromiso planteado, tanto en el desarrollo como en la implantación y mejora del
sistema, en los siguientes aspectos:

En el proceso de comunicación interna al personal de la organización de la

gestión de la seguridad de la información en la empresa.
En el establecimiento de la política y los objetivos del sistema de gestión de
seguridad de la información de la empresa.
En la revisión periódica del desempeño del sistema de gestión.
En el aseguramiento de la disponibilidad de los recursos necesarios para la
plena efectividad del sistema.

TEMA 2 – Ideas clave 11

 Gestión de la seguridad

Responsabilidades

Las responsabilidades y sus correspondientes autoridades deben estar

perfectamente definidas en cualquier organización o empresa.

La Norma ISO requiere que la alta dirección asegure que se cumplan estos
requisitos y que las responsabilidades sean comunicadas dentro de la organización,
valorando el tamaño, complejidad y cultura de la organización.

Se puede nombrar un representante de la dirección que tendrá la responsabilidad de:

Asegurar que los procesos del sistema de gestión de seguridad de la información se

implanten y funcionen.
Informar a la alta dirección sobre el desempeño del sistema y de cualquier
oportunidad de mejora.

Revisión por la dirección

La dirección debe desarrollar una actividad de revisión que implique la

verificación de la eficacia y efectividad del sistema de gestión de seguridad de la
información para asegurar su plena validez.

El proceso de revisión por la dirección no debería ser un planteamiento realizado

solamente para satisfacer los requisitos de la norma o de los auditores, sino que debería
ser una parte integral de los procesos de gestión de la organización.

2.5. Buenas prácticas de seguridad en la gestión de servicios de TI

La gestión de los servicios de Tecnología de la Información (TI) ha evolucionado

desde una organización ad hoc centrada en la visión técnica de los recursos de TI a una
visión integradora que considera los aspectos humanos, sociales y
tecnológicos que intervienen en un servicio de TI.

TEMA 2 – Ideas clave 12

 Gestión de la seguridad

Servicio de TI
Servicio a uno o más clientes, por un proveedor de servicios de TI. Un servicio de TI
se basa en el uso de tecnologías de la información y apoya el cliente en sus procesos
de negocio. Un servicio de TI se compone de una combinación de personas,
procesos y tecnología, y deben definirse en un acuerdo de nivel de servicio.

La definición indica varios elementos fundamentales en la gestión de los servicios:

En primer lugar, hace referencia al apoyo al cliente en sus tareas. Esta es la

consideración central, y es especialmente importante dado que un fallo en un servicio de
TI en muchas ocasiones implica que hay usuarios que no pueden hacer su trabajo.
En segundo lugar, un servicio tiene tres componentes: personas, procesos y
tecnología, y estos tres elementos deben tenerse en cuenta en la definición, diseño
y evaluación de cada servicio.
Por último, la definición hace referencia a los Acuerdos de Nivel de Servicio
(Service Level Agreement, SLA), que pueden entenderse como los «contratos» entre
los usuarios y proveedores del servicio, dando un carácter de predictibilidad a los
servicios, y permitiendo una evaluación del servicio no ambigua, dado que los
niveles de calidad son explícitos en los acuerdos. Más adelante veremos algunos
detalles sobre la forma de estos acuerdos.

Los acuerdos de nivel de servicio (service-level agreement, SLA) son acuerdos

formales sobre la división de la responsabilidad de los medios de computación entre
el Departamento de Sistemas de Información (DSI) y los usuarios finales.
Estos acuerdos pueden considerarse contratos, y deben abarcar todos los recursos
fundamentales de las tecnologías de la información: hardware, software, personal,
datos, redes y procedimientos.

Comentario

De hecho, los SLA no son específicos de las relaciones de los DSI, sino que se utilizan para
todo tipo de relaciones de provisión de servicios. Se definen de manera general como
«protocolo plasmado normalmente en un documento de carácter legal por el que una
compañía que presta un servicio a otra se compromete a prestar el mismo bajo unas
determinadas condiciones y con unas prestaciones mínimas». Se utilizan también con
profusión en contratos de outsourcing.

TEMA 2 – Ideas clave 13

 Gestión de la seguridad

La fundamental ventaja de un SLA es que las responsabilidades quedan claramente

definidas, y los procesos para el funcionamiento diario también están determinados de
manera precisa.

Ejemplo

Ejemplo de SLA: Garantía de disponibilidad de red

Se define como tiempo en que el servidor tiene disponible la conectividad a Internet en el

puerto de red asignado. La disponibilidad del servicio se calcula según la siguiente fórmula:

D = (T - Td) / T, donde
• D es el tiempo de disponibilidad del servicio

• T es el tiempo total mensual.

• Td es el tiempo con pérdida total de conectividad. Este tiempo de pérdida, será igual al
que trascurre desde la apertura de la incidencia, hasta el cierre de dicha incidencia.

En caso de pérdida de disponibilidad real de este nivel de servicio, se aplicarán las

penalizaciones de la siguiente tabla, de acuerdo a las condiciones de penalización
generales del contrato.

Penalizaciones:

99% > D >= 98% Nivel A

98% > D >= 96% Nivel B

96% > D >= 90% Nivel C

D < 90% Nivel D

Cálculo del tiempo de caída:

El cálculo de esta magnitud se establecerá desde que se ha dado noticia al DSI del
problema. El tiempo de la incidencia finaliza cuando el DSI comprueba que dicho servicio
se ha restaurado completamente.

No se considera tiempo de caída aquel debido a problemas derivados de un mal uso de la

red, o una mala configuración de la red por parte del cliente.

Las buenas prácticas en los servicios de TI: ITIL

La práctica de la gestión de los servicios de TI maduró progresivamente durante los

años ochenta. El gobierno británico, guiado por la necesidad de una gestión más
efectiva de esos servicios, comenzó a recopilar las formas en las que las organizaciones
con más éxito gestionaban sus servicios. Esto llevó a la primera versión de la IT
Infrastructure Library (ITIL) al final de los ochenta, que no era otra cosa que un
conjunto de libros documentando los hallazgos de los estudios mencionados.

TEMA 2 – Ideas clave 14

 Gestión de la seguridad

El Information Technology Service Management Forum (itSMF) es el único grupo de

usuarios internacionalmente reconocido e independiente dedicado a la gestión de
servicios TI, que surgió como un foro para que los usuarios de ITIL pudiesen
intercambiar experiencias y aprender colectivamente. Es propiedad de sus miembros y
son ellos quienes lo operan. El itSMF tiene gran influencia y contribuye a la industria
de las mejores prácticas y a los estándares a nivel mundial.

La primera filial del itSMF se fundó en el Reino Unido en 1991. El itSMF holandés
(itSMF Holanda) fue la siguiente, establecida en noviembre de 1993. Ahora existen
filiales itSMF en países como Sudáfrica, Bélgica, Alemania, Austria, Suiza, Canadá,
Estados Unidos, Francia y Australia, que cooperan con itSMF Internacional.

OGC (The Office of Government Commerce) es la Oficina independiente del Tesoro en

el Reino Unido. El objetivo de la OGC es definir estándares y proporcionar las mejores
prácticas para el mercado del RU. La OGC es la dueña de ITIL® y el desarrollo de
ITIL® v3 ha sido auspiciado por la OGC.

La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el
proveedor acreditado en los siguientes años. Él definirá el estándar de los
exámenes, la provisión de los exámenes, y entrenadores capacitados, materiales de
capacitación y proveedores de capacitación de ITIL® v3.

El principio fundamental de ITIL es el de recoger todas las prácticas que «funcionan».

Esta aproximación se resume en unas características clave que pueden resumirse en las
siguientes:

ITIL no es propietario. Las prácticas de ITIL no son específicas de ningún tipo de

tecnología o de sector. Además, ITIL es propiedad del gobierno británico, no estando
por lo tanto en manos de ningún proveedor concreto.

ITIL no es prescriptivo. ITIL recoge prácticas maduras, probadas de

aplicabilidad general. Por su carácter genérico, no establece ningún tipo de
obligatoriedad o uso concreto de tecnologías o técnicas.

ITIL consiste en las mejores prácticas. ITIL recoge las mejores prácticas a
nivel global, por lo tanto, es el resultado de la experiencia acumulada.

TEMA 2 – Ideas clave 15

 Gestión de la seguridad

ITIL consiste en buenas prácticas. No todas las prácticas en ITIL pueden

considerarse como las «mejores». Esto es una consecuencia del carácter evolutivo de
la práctica. Lo que hoy es «lo mejor» mañana pasará simplemente a ser bueno o
común, dado que se habrán descubierto formas mejores de hacer lo mismo, o bien el
entorno habrá cambiado.

ITIL abarca prácticas de soporte y de entrega del servicio. La siguiente figura las
esquematiza.

Gestión de servicios TI

Soporte de servicios Entrega del servicio

• Service Desk
• Gestión de incidentes • Gestión de los niveles de servicio.
• Gestión de problemas • Gestión financiera.
• Gestión de configuración • Gestión de la disponibilidad.
• Gestión del cambio • Gestión de la capacidad
• Gestión de entregas

Las prácticas que ITIL recoge tienen unas características comunes cuando se
observa su tipo y cómo las aplican las mejores organizaciones de servicio. Esas
características pueden resumirse en los siguientes puntos:

Son predictivos en lugar de reactivos. Es decir, se basan en estudiar los

patrones de uso de los clientes o usuarios.
Son consistentes y medibles. Las mejores prácticas son estables y proporcionan
predictibilidad a los servicios de TI.
Son adaptables. Por último, las prácticas deben permitir su optimización y mejora
continua.

Tomemos como ejemplo la práctica de la «Gestión de la capacidad». Podemos definirla

cómo la práctica encargada de «asegurar que la infraestructura de TI se proporciona
cuando se necesita, en el volumen necesario y con el precio adecuado, garantizando su
uso eficiente».

TEMA 2 – Ideas clave 16

 Gestión de la seguridad

Siguiendo el esquema anterior, como toda práctica ITIL, debe ser:

Predictiva. Esto se refleja, por ejemplo, en considerar que un factor crítico de éxito
en esta práctica es «proporcionar previsiones de demanda de TI precisas».
Consistente. Esto se refleja, por ejemplo, en la necesidad de implementar:
«políticas, procesos y procedimientos de gestión de la capacidad».
Medible. Esto se refleja en los indicadores recomendados para la evaluación del
servicio. Para esta práctica, entre los KPI (key performance indicators) tenemos por
ejemplo:
o Dólares en capacidad de TI no utilizada.
o Número de incidentes/violaciones de SLA debidos a la capacidad.
Adaptable. Entre las actividades encontramos: «Implementar cambios
relacionados con la capacidad».

Es importante entender que las recomendaciones y directrices relativas a cada práctica

tienen en cuenta las cuatro características que acabamos de comentar.

El proceso de gestión de la seguridad en ITIL

El proceso de gestión de la seguridad en ITIL se basa en la norma ISO 27001 que ya

hemos visto. Para diseñar los procesos, las entradas son los requisitos que se formulan
por parte de los clientes. Estos requisitos se traducen en servicios de seguridad y de
calidad de seguridad que debe ser proporcionada en la sección de seguridad de los
acuerdos de nivel de servicio. El proceso de gestión de la seguridad en ITIL es complejo
y abarca un buen número de diferentes actividades. La siguiente tabla resume algunas
de ellas.

Subproceso Objetivo
Diseñar las medidas técnicas y organizativas necesarias para
Diseño de controles de
asegurar la disponibilidad, integridad y confidencialidad de los
seguridad
recursos y servicios de información.

Asegurar que los mecanismos de seguridad están sujetos a

Pruebas de seguridad
pruebas regulares.

Gestión de incidentes de Detectar y combatir los ataques y las intrusiones, y minimizar el

seguridad daño de las brechas de seguridad.

Revisar si las medidas y procedimientos de seguridad son

Revisión de la seguridad coherentes con las percepciones de riesgo del negocio, y si esas
medidas y procedimientos se revisan y evalúan regularmente.

TEMA 2 – Ideas clave 17

 Gestión de la seguridad

Respecto a los indicadores, la siguiente tabla describe indicadores típicos para este
proceso.

KPI Descripción
Número de medidas de prevención Número de medidas de prevención implementadas en
implementadas respuesta a amenazas a la seguridad implementadas.

Tiempo transcurrido desde la identificación de una

Duración de la implementación amenaza hasta la implementación de una
contramedida adecuada.

Número de incidentes de seguridad

Número de incidentes, clasificados por severidad.
importantes

Número de caídas del nivel de

Número de incidentes que han causado no
servicio relacionadas con la
disponibilidad del servicio limitada o interrupción.
seguridad

Número de test de seguridad (y de procesos de

Número de test de seguridad
formación) llevados a cabo.

Número de problemas identificados Número de problemas identificados en el transcurso de

durante los test los test de seguridad

Es interesante detenerse a pensar cómo los KPI que se acaban de mencionar se

relacionan con los modelos económicos de la seguridad. Las medidas de
prevención son pre-incidente, así como los test, si bien el número de incidentes es post-
incidente. La orientación al servicio hace que uno de los KPI tenga que ver con el
concepto de disponibilidad de manera directa.

2.6. Modelos de madurez para la seguridad de la información

Un modelo de madurez sirve para situar y evaluar el grado de desarrollo de

una gestión sistemática, predecible y optimizable. Estos modelos se han
popularizado en el contexto del desarrollo de software, pero poco a poco han sido
adaptados a otros dominios, incluyendo el de la seguridad de la información.

En lo que sigue introducimos uno de esos modelos, el CMMI, quizá el más conocido y
extendido en la actualidad. Es importante tener en cuenta que las ideas del CMMI se
han aplicado recientemente a los servicios (Forrester, Buteau and Shrum, 2009).

TEMA 2 – Ideas clave 18

 Gestión de la seguridad

Posteriormente describimos un modelo de madurez específico de la seguridad de la

información.

El modelo de madurez CMMI

El modelo CMMI, acrónimo del inglés Capability Madurity Model Integration, es una
evolución de un modelo anterior denominado CMM inicialmente desarrollado por el
Instituto de Ingeniería del Software (SEI) de la Universidad Carnegie Mellon.

El SEI llevó a cabo el encargo de desarrollar un modelo de calidad que sirviera como
base para establecer un sistema de capacitación de las compañías que suministraban
software al gobierno de los Estados Unidos. Dicho modelo fue definido como:

«Un enfoque para la mejora de procesos que proporciona a una organización los
elementos esenciales para llevar a cabo sus procesos de manera efectiva. Puede utilizarse
para guiar la mejora de procesos en un proyecto, en un departamento, o en una
organización completa. CMMI ayuda a integrar funciones de la organización
tradicionalmente separadas, a establecer prioridades y objetivos en la mejora de procesos,
proporciona guías para los procesos de calidad y sirve como punto de referencia para la
evaluación de los procesos actuales».

Nótese que CMMI no es un proceso de desarrollo de software, sino más bien una guía
que describe las características que hacen efectivo a un proceso. Las ideas
que aporta pueden ser, por tanto, utilizadas como un conjunto de buenas prácticas,
como un marco para la organización y priorización de actividades, o como una forma de
alinear los objetivos de la organización con los objetivos del proceso en estudio.

CMMI se interesa por la mejora de los procedimientos y métodos (procesos) que las
personas de una organización llevan a cabo con ayuda de tecnología y otras
herramientas, ya que, si los procesos no están correctamente definidos, son maduros y
ampliamente conocidos, ni las más cualificadas personas serán capaces de rendir a su
mejor nivel aun disponiendo de las mejores herramientas.

TEMA 2 – Ideas clave 19

 Gestión de la seguridad

El modelo O-ISM3

El Open Group desarrollado un modelo de madurez denominado Open Group Security

Management Maturity Model (O-ISM3), que permite el diseño de sistemas de
gestión de la seguridad alineados con la misión de la organización
empresarial y el cumplimiento de las necesidades.

Puedes encontrar más información sobre el Open Group y el modelo O-ISM3 en las
siguientes direcciones web:
http://www.opengroup.org/
https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicati
onid=12238

La nueva norma permite a las organizaciones priorizar y optimizar las

inversiones en seguridad de la información, así como permitir la mejora
continua de los sistemas que utilizan métricas bien definidas.

El modelo se basa en la consideración de tres elementos fundamentales en la seguridad

de la información que ya se han tratado en la asignatura:

Gestión de riesgos
Controles de seguridad.
Gestión de la seguridad, mediante un sistema de políticas y herramientas que las
implementan.

Por otro lado, el estándar se basa en las siguientes definiciones:

Proceso. Los procesos tienen capacidades que se realizan mediante prácticas de

gestión.
Capacidad. Las métricas de un proceso revelan las capacidades del mismo.
Madurez (grado de). Ciertos conjuntos de procesos seleccionados según ciertas
capacidades permiten clasificar a la organización en un nivel de madurez.

TEMA 2 – Ideas clave 20

 Gestión de la seguridad

La siguiente tabla resume la relación entre procesos, capacidades y niveles de

capacidad o madurez.

Capability Level Initial Managed Defined Controlled Optimized

Management Audit. Benefits
Test Monitor Planning Assessment Optimization
Practices Enabled Certify Realization
Documentation * * * * * * *
Activity * * * * * *
Scope * * * * * *
Unavailability 1 * * * * * *
Effectiveness * * * * * *
Metric Type

Load * * * * *
Quality * *
Efficiency *

TEMA 2 – Ideas clave 21

 Gestión de la seguridad

Lo + recomendado

Lecciones magistrales

La gestión de contingencias. Los detalles del éxito

En esta lección magistral veremos cómo gestionar una contingencia que podría poner
en peligro un negocio, sobre todo desde el punto de vista de la seguridad.

La clase magistral está disponible en el aula virtual.

ISO 27001 e ISO 22301. Creando sinergias

En esta ocasión vamos a hablar de dos sistemas de gestión, ISO 22301 e ISO 27001, y
de cómo implantarlos de forma simultánea.

La clase magistral está disponible en el aula virtual.

TEMA 2 – Lo + recomendado 22
 Gestión de la seguridad

¿Por qué un SGSI? Hablando con el negocio

En esta sesión vamos a ver cómo hablar con el negocio, algo fundamental para sacar
adelante un sistema de gestión de seguridad de la información (SGSI).

La clase magistral está disponible en el aula virtual.

No dejes de leer…

Norma UNE/ISO 27001

La norma ISO 27001 establece los requisitos para la certificación de los SGSI. Como tal,
es muy importante conocer sus contenidos y definiciones.

TEMA 2 – Lo + recomendado 23
 Gestión de la seguridad

No dejes de ver…

Vídeos introductorios a ISO 27001

Esta serie de vídeos introduce los

conceptos de ISO 27001 contados por
expertos en el área. Es una serie de
vídeos cortos introductorios
especialmente recomendados
mientras se está estudiando la
norma.

El vídeo completo está disponible en el aula virtual o en la siguiente dirección web:

https://www.youtube.com/watch?v=V7T4WVWvAA8

TEMA 2 – Lo + recomendado 24
 Gestión de la seguridad

+ Información

A fondo

ITIL e ISO/IEC 27001

El artículo propone una correspondencia de ITIL con ISO 27001. Aunque la

correspondencia es solo una propuesta no oficial, es interesante para entender mejor la
complementariedad de las dos especificaciones.

El artículo está disponible en el aula virtual o en la siguiente dirección web:

http://www.indjst.org/index.php/indjst/article/viewFile/30359/26290

Webgrafía

Web informativa de la familia de estándares ISO 27000

Esta web ofrece información general de la familia de estándares.

http://www.27000.org/index.htm

TEMA 2 – + Información 25
 Gestión de la seguridad

Bibliografía

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de

seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Tipton, H. F. and Micki K. (2004). Information Security Management Handbook.

Florida: Auerbach Publications.

VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach
Publications.

Brotby, Krag (2009). Information Security Governance: A Practical Development and

Implementation Approach. John Wiley & Sons.

Giordano, Anthony David (2014). Performing Information Governance: A Step-by-

step Guide to Making Information Governance Work. IBM Press.

TEMA 2 – + Información 26
 Gestión de la seguridad

Actividades

Trabajo: Aplicación práctica de la norma ISO 27001

Descripción

Tras leer la última versión disponible de la norma ISO 27001 y con el apoyo de la ISO
27002, ambas disponibles en la Biblioteca Virtual de UNIR, responde a las siguientes
preguntas en un máximo de 8 páginas:

» La empresa en la que trabajas quiere certificarse según la norma ISO 27001. Para
afrontar con garantías el proceso de certificación se ha decidido llevar a cabo una
pre-auditoría. Dentro de la documentación solicitada para poder llevar a cabo la pre-
auditoría se nos ha solicitado:

o Documentar un objetivo de negocio que justifique la necesidad de realizar un

SGSI dentro de la compañía. Así, se debe contextualizar la actividad de la
compañía (mediante una introducción, explicando su misión y visión) y se debe
justificar cómo el SGSI sustentaría dicho objetivo. Por ejemplo, se podría hablar
de qué beneficios concretos se obtienen (más allá de incrementar el nivel de
seguridad) o cómo se alinean los objetivos corporativos con esta nueva iniciativa.
El objetivo debe estar suficientemente explicado para justificar la necesidad de
realizar un SGSI.
o Respondiendo a ese objetivo de negocio se debe establecer un posible alcance
(procesos involucrados, ubicaciones incluidas, etc.) para el SGSI de forma
justificada.

» En el informe recibido tras pasar la pre-auditoría se identifican deficiencias en los

siguientes controles:

o Roles y responsabilidades en seguridad de la información: no se definen

las capacidades necesarias para desempeñar los roles de la organización,
concretamente el de responsable de seguridad. Por otro lado, tampoco se
identifican los activos, ni por tanto se ha designado un responsable que se ocupe
de su protección.

TEMA 2 – Actividades 27
 Gestión de la seguridad

o Concienciación, educación y capacitación en seguridad de la

información: no existe un programa de capacitación para los grupos técnicos
respecto a los procedimientos que deben seguir, ni se realizan cursos de
concienciación globales.
o Clasificación de la información: no se ha establecido un sistema de
clasificación de la información.
o Política de control de acceso: actualmente hay acceso global por parte de todos
los usuarios a las principales aplicaciones de negocio de la entidad.

Para cada uno de estos controles se debe proponer acciones de mejora que permitan
cumplir con la norma. Si en alguno de ellos considera necesario hacer asunciones sobre
otros controles, éstas deben estar debidamente justificadas.

Criterios de evaluación

Se valorará positivamente las referencias tanto a la ISO 27001 como a la ISO 27002 que
se realicen en el trabajo. Para ello, se debe indicar claramente qué epígrafe concreto
sustenta lo escrito por el alumno.

TEMA 2 – Actividades 28
 Gestión de la seguridad

Test

1. Indica cual no es un objetivo del gobierno de la seguridad:

A. Alinear los objetivos de seguridad con los objetivos estratégicos.
B. Lograr siempre el mínimo coste en el proceso de seguridad.
C. Gestionar de forma adecuada los riesgos de la seguridad de la información.
D. Manejar de la mejor forma posible los recursos disponibles para alcanzar los
objetivos fijados.

2. Indica qué fases de las siguientes nunca formarán parte de un Plan Director de
Seguridad:
A. Diagnóstico del estado de la seguridad de la información actualmente en una
entidad.
B. Cumplir todos y cada uno de los controles definidos en el estándar ISO/IEC
27001.
C. Identificación de la diferencia de madurez en seguridad de la información de la
entidad en la actualidad respecto al estado deseado.
D. Adquirir la última tecnología de seguridad disponible en el mercado para así
acometer con garantías el plan de proyectos.

3. Indica qué roles están involucrados en la seguridad de la información de una

empresa:
A. El encargado de la limpieza en las oficinas.
B. El responsable de cumplimiento normativo de la entidad.
C. El CEO de la empresa.
D. Todos estos roles tienen implicación en la seguridad de la información de una
empresa.

4. Indica cuáles de los siguientes aspectos están contemplados por la ISO 27001:
A. El mantenimiento de los equipos informáticos en la empresa.
B. El nombramiento de un comité específico y único para la continuidad del
negocio.
C. La implantación de un modelo organizativo corporativo que unifique las áreas
de seguridad física y seguridad lógica en una sola.
D. La ubicación adecuada de las copias de respaldo.

TEMA 2 – Test 29
 Gestión de la seguridad

5. Indica cuáles de las afirmaciones siguientes son ciertas sobre el estándar 27001:
A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de
Gestión de la Seguridad de la Información.
B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los
Sistemas de Gestión de la Continuidad del Negocio.
C. ISO 27001 considera como uno de los elementos fundamentales el
compromiso de la dirección, requisito imprescindible para el establecimiento de
un Sistema de Gestión de la Seguridad de la Información.
D. Ninguna de las anteriores.

6. Indica cuáles de las siguientes afirmaciones son ciertas:

A. La última versión de la ISO 27001 se basa en un modelo PDCA de mejora
continua.
B. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la
Información debe estar motivada por decisiones tácticas referentes a la mejora de
los costes asociados con la seguridad.
C. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información
debe comprender a toda la organización, para garantizar que no existe ninguna
posibilidad de intrusión en ninguno de sus niveles.
D. Ninguna de las anteriores.

7. Indica cuáles de las siguientes afirmaciones son ciertas:

A. Según ISO 27001, los registros son evidencia objetiva sobre el cumplimiento de
los requisitos del Sistema de Gestión de la Seguridad de la Información.
B. Según ISO 27001, el apoyo explícito y formal de la dirección solo será
necesario si la organización no cuenta con la suficiente madurez en seguridad de
la información.
C. La política de seguridad de la información es el documento que debe
comunicarse a toda la empresa y a partir del cual se deriva el resto de los
requisitos del sistema.
D. Ninguna de las anteriores.

TEMA 2 – Test 30
 Gestión de la seguridad

8. Indica cuáles de las siguientes afirmaciones son ciertas:

A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de
calidad de los servicios en diferentes dimensiones.
B. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un
SGSI si quiere ser compatible con ITIL.
C. ITIL solo es compatible con la última versión de la ISO 27001, pero no lo fue
con las anteriores.
D. Ninguna de las anteriores.

9. Indica cuáles de las siguientes afirmaciones son ciertas:

A. El modelo CMMI permite medir el nivel global de madurez de los procesos de
una organización.
B. El modelo CMMI permite medir el nivel de capacidad de un área de proceso en
una organización.
C. Según CMMI, en un nivel de madurez inicial el proceso está bien definido pero
aún no está gestionado.
D. Ninguna de las anteriores.

10. Indica cuál de las siguientes afirmaciones es cierta:

A. Un SGCN tiene como fin solventar cualquier disrupción de los procesos y
servicios por pequeña que esta sea.
B. Las pruebas en un Plan de Continuidad de Negocio son recomendables, pero
no realmente necesarias si se han definido e implantado las fases anteriores de
forma correcta.
C. ISO 22301 e ISO 27001 son complementarias y pueden ser implantadas en una
organización creando sinergias entre ambas.
Ninguna de las anteriores.

TEMA 2 – Test 31