Beruflich Dokumente
Kultur Dokumente
La información ha pasado a ser un activo crítico que le sirve a las organizaciones en distintos
grados: desde una base de datos con la información de todos los trabajadores hasta los
sistemas de ayuda a la decisión que les sirven a los directivos para la planificación estratégica.
Es necesario salvaguardar la información para el buen funcionamiento de la empresa así como
evitar que los competidores tengan ventajas.
La seguridad informática se basa en la preservación de los requisitos ACIDT o
dimensiones de la seguridad (subestados de la seguridad en Magerit V1):
2
• Marco legal: LOPD (3/2018), RD 3/2010 (modificado por RD 951/2015),
RD 4/2010, LO 10/1995 y modificaciones posteriores (Código Penal, por
protección vía penal de datos sensibles y fraude informático LO 1/2019).
• Requisitos y objetivos particulares
• Las estrategias que se van a tomar respecto a las posibles amenazas de
seguridad son:
-Evitar el riesgo, para ello se aplican las medidas de salvaguarda oportuna, eliminando sus
causas. Por ejemplo: respecto a los fallos de corriente eléctrica, una medida sería los sistemas
SAI de alimentación ininterrumpida.
-Minimizar el riesgo, el riesgo nunca es nulo, para que una vez que se ha producido el ataque
tenga menos consecuencias. Por ejemplo: plan de contingencias.
-Transferir el riesgo, para que otro lo trate. (Transferencia total o parcial, en este caso sería
“compartir el riesgo). Por ejemplo: contratar un seguro.
-Aceptar el riesgo sin control. Porque se presupone que la posibilidad de que ocurra es mínima,
pero siempre habrá una medida de contingencia para los riesgos asumibles, dado que no se
tomará ninguna acción para atajarlo.
3
Implementación del Plan de seguridad: a la vez que se implementa se debe
formar al personal y al usuario final en su uso y conocimiento de las salvaguardas
Mantenimiento.
DEFINICIÓN DE OBJETIVOS Y
ESTRATEGIAS
ANÁLISIS Y GESTIÓN DE
RIESGOS
ELECCIÓN DE MEDIDAS A
ADOPTAR
SEGURIDAD PLAN DE
PREVENTIVA CONTINGENCIAS
4
2.1 PLAN DIRECTOR DE SEGURIDAD
5
Otra visión, como proceso continuo en el círculo de Demming (PDCA) en los Sistemas
de Gestión de la Seguridad de la Información (SGSI, ISO 27001:2007):
6
evaluar la efectividad de las mismas y actuar en consecuencia, dentro de un círculo de
excelencia o mejora continua.
- Van a determinar como se van a seleccionar los controles y medidas de seguridad para
alcanzar los requisitos de seguridad
- Hay tres formas de realizar esta selección:
o Línea Base: se seleccionan un conjunto de salvaguardas para alcanzar un
nivel básico de protección, se basan en metodologías o normas ya definidas:
MAGERIT, “buenas prácticas comunes”, etc. No necesitan grandes esfuerzos y
valen para cualquier sistema, el problema es que el nivel de seguridad igual
para todos los sistemas puede ser muy restrictivo para algunos y demasiado
suave para otros mas críticos
o Análisis de riesgos detallado: identifican y seleccionan las salvaguardas de
acuerdo con las necesidades estudiadas para cada sistema, esto da un nivel
adecuado de seguridad para cada sistema, pero es más caro en esfuerzo y en
tiempo
o Mixta: se separan los sistemas críticos o con alto nivel de riesgo del resto,
aplicando la primera selección a los segundos y el análisis detallado a los
primeros.
7
- Tiene un objetivo doble, por una parte el estudio de los riesgos (probabilidad de que
exista un daño) del SI y por otra recomendar las medidas apropiadas para prevenir,
impedir o reducir los riesgos investigados.
- Tiene en cuenta los criterios europeos ITSEC y los Criterios Comunes de Evaluación
de la Seguridad de los Productos y SI (EEUU y Canadá).
- MAGERIT presenta una interfaz específica con MÉTRICA v2.1, no así con M v3 que se
desarrolló posteriormente, pero la seguridad está presente durante todo el ciclo de vida
como interfaz.
- Magerit es una guía de “máximas” que habrá que adaptar a cada circunstancia.
8
- 1 Glosario
- 2 Referencias bibliográficas
- 3 Marco legal
- 4 Marco de evaluación y certificación
- 5 Herramientas para análisis y gestión de riesgos (PILAR, Procedimiento
Informático Lógico para el Análisis de Riesgos).
- 6 Evolución de Magerit (V1 V2, V2 V3)
- 1 Notación XML
- 2 Fichas (para captura de datos)
- 3 Modelo de valor (para la utilización de herramientas, categorización del
valor del activo para la Organización y dependencia entre distintos activos).
- 4 Informes (*) ver en el Libro I Método.
9
activo y FRECUENCIA: cada cuánto se materializa la amenaza. Se modela como un
porcentaje o tasa anual de ocurrencia.
En otras palabras, las amenazas son cosas que le pueden pasar a los activos causando un
perjuicio para la Organización; el impacto es lo que podría pasar y el riesgo es lo que
probablemente pase.
Algunas veces, las instrucciones de un programa de ordenador pueden producir daños y
perjuicios, cuando el daño no es intencionado, se dice que es un error de programa, siendo
esta la causa más común del comportamiento inesperado de los programas y aplicaciones. Por
el contrario se entiende por amenaza programada cuando las instrucciones se diseñaron con la
intención de hacer daño.
10
-Cumplimiento de normativa (que se ajusta a la normativa vigente)
-Plan de seguridad (conjunto de proyectos de seguridad que permiten tomar decisiones
para la gestión del riesgo).
Evaluación: permiten expresar el grado de confianza que inspira un SI. (Hay evaluación
interna y externa). La evaluación puede llevar a la certificación o acreditación del sistema.
Certificación: permite asegurar por escrito un comportamiento (luego de un análisis de riesgo).
Una certificación dice que un sistema es capaz de proteger unos datos de unas amenazas con
una cierta calidad (capacidad de protección) en base a las medidas de salvaguardas
adoptadas. Se certifican productos y sistemas de gestión de seguridad.
La certificación es un servicio de valor añadido que sirve para probar la conformidad de las
propiedades y características de un producto con las normas y especificaciones técnicas que le
sean de aplicación. Los resultados de la evaluación son validados por un Organismo de
Certificación, quién emite un Certificado.
Acreditación: permite legitimar a un sistema para formar parte de sistemas más amplios. Es
una certificación para un propósito específico. Por ejemplo sistemas que manejan
información clasificada nacional, de UE u OTAN. Organismo en España: ENAC (Entidad
Nacional de Acreditación, ver Anexo al final).
Auditoria: permite conocer el grado de adecuación de medidas y controles. Se materializan en
informes con las recomendaciones. Es por aplicación de la LOPD (art. 9), RD 1720/2007 (art.
96 y 110), RD 3/2010 (Modificado por RD 951/2015) (art. 34) o bien requeridas por la propia
Dirección de la Organización.
Normas: Todo se basa en la norma británica de partida, la BS-7799-2. Esta evolucionó dando
origen a la ISO 17799. La ISO 17799 es una guía que contiene consejos y recomendaciones
(controles) que permiten garantizar la seguridad de la información en una empresa dentro de
varios dominios de aplicación. Define una vía sistemática para manejar la información, que es
apropiada para cualquier tipo de empresa, pero no se trataba de una norma directamente
certificable.
Para certificarse, se empleaba la norma ISO/IEC UNE 71502:2004, Especificaciones para los
Sistemas de Gestión de la Seguridad de la Información (SGSI).
La norma UNE ISO-IEC 17799:2000/2005, Código de buenas prácticas para la gestión de la
seguridad de la información (SGSI), definía 11 dominios de controles pero que no es
certificable directamente.
-La UNE ISO-IEC 17799:2000/2005, ha sido reemplazada por UNE-ISO/IEC 27002:2005/2009,
que se basa en los controles descriptos en la norma UNE ISO-IEC 17799:2000/2005, Código
de buenas prácticas para la gestión de la seguridad de la información.
-La guía UNE-ISO/IEC 27002:2005/2009 es actualmente la ISO/IEC 27.002:2013.
-El nuevo estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y
única, ya que contiene todos los nuevos términos y definiciones, esta parte se elimina de la
ISO 27.002:2013
-La guía UNE-ISO/IEC 27001:2005/2009 es actualmente la ISO/IEC 27.001:2013
(certificable).
11
El ISO-15408 son perfiles de protección que permite a priori especificar los requisitos de
seguridad (en el desarrollo o contratación) estableciendo una calificación para la idoneidad de
un SI. (Common Criteria)
El Centro Criptológico Nacional (dependiente del Centro Nacional de Inteligencia, CNI), tiene
entre una de sus misiones de constituir el Organismo de Certificación del Esquema Nacional de
Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Al respecto en
la OM PRE 2740/2007 (BOE 25-9-2007) se aprueba el Reglamento de Evaluación y
Certificación de las TIC. El ámbito de actuación del Organismo de Certificación denominado
ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías
de la Información) comprende las entidades públicas o privadas que quieran ejercer de
laboratorios de evaluación de la seguridad de las TI en el marco del Esquema. También
comprende a estas entidades cuando sean fabricantes de productos o sistemas de TI que
quieran certificar la seguridad de dichos productos, en el marco del Esquema. Todo ello,
siempre que dichos productos o sistemas sean susceptibles de ser incluidos en el ámbito de
actuación del Centro Criptológico Nacional.
En resumen, el CCN acredita a laboratorios para que puedan certificar productos basados en
criptografía, por ejemplo del Dispositivo seguro de creación de firma que establece la ley
59/2003 de firma electrónica “reconocida”. El CCN también certifica, dentro del Ministerio de
Defensa, los equipos inmunes a las radiaciones electromagnéticas espúreas emitidas por los
equipos basados en tecnologías de la información, como por ejemplo las pantallas TRC, más
conocido como certificación TEMPEST.
Otro ejemplo, AENOR está acreditado por ENAC para que pueda certificar
1. Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que
podría pasar.
2. Tratamiento de los riesgos, que permite organizar la defensa concienzuda y prudente,
defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las
emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones;
como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la
12
Dirección asume. Ambas actividades, análisis y tratamiento se combinan en el proceso
denominado Gestión de Riesgos.
Es, por lo tanto, un proceso sistemático para estimar los riesgos a que está expuesto un SI.
Es la determinación de impactos (daños absolutos o sea daño posible) y riesgos (probabilidad
de que ocurra o sea daño probable).
13
En el contexto se incluye las obligaciones propias y obligaciones contraídas, así como las
relaciones con otras organizaciones, sean para intercambio de información y servicios o
proveedoras de servicios subcontratados.
(Ver también las actividades en el punto 3.1.4 Formalización de las actividades del MAR
(Método de Análisis de Riesgos):
Paso1: Activos
Ver sus dependencias cuál es el activo superior e inferior, su valoración cuantitativa (valoración
numérica absoluta) y cualitativa (valor relativo de un activo respecto de los demás) para la
Organización (no su coste), sus “dimensiones” (ACIDT), dar valor a la interrupción del servicio
(no es lo mismo una hora, un día o un mes, tiene distintas consecuencias.
Los activos se estructuran en capas, donde las capas a superiores dependen de las inferiores:
7 Activos esenciales
- información que se maneja
- servicios prestados
6 Servicios internos que estructuran ordenadamente el sistema de información
5 El equipamiento informático
- aplicaciones (software)
- equipos informáticos (hardware)
- comunicaciones
- soportes de información: discos, cintas, etc.
4 El entorno: activos que se precisan para garantizar las siguientes capas
- equipamiento y suministros: energía, climatización, etc.
- mobiliario
3 Los servicios subcontratados a terceros
2 Las instalaciones físicas
1 El personal:
- usuarios
- operadores y administradores
- desarrolladores
Valor de un activo:
• Coste de reposición: adquisición e instalación
• Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
• Lucro cesante: pérdida de ingresos
• Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida
de actividad o en peores condiciones económicas
• Sanciones por incumplimiento de la ley u obligaciones contractuales
• Daño a otros activos, propios o ajenos
14
• Daño a personas
• Daños medioambientales
- cuantitativamente como una tasa anual de ocurrencia, siendo los valores típicos de
probabilidad de ocurrencia:
Ver el capítulo 5 del "Catálogo de Elementos" que presenta una relación de amenazas típicas.
De origen natural
Hay accidentes naturales (terremotos, inundaciones, etc.). Ante esos avatares el sistema de
información es víctima pasiva, pero de todas formas tendremos en cuenta lo que puede
suceder.
Del entorno (de origen industrial)
15
Hay desastres industriales (contaminación, fallos eléctricos, etc.) ante los cuales el sistema de
información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.
Defectos de las aplicaciones
Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o
en su implementación, con consecuencias potencialmente negativas sobre el sistema.
Frecuentemente se denominan vulnerabilidades técnicas o, simplemente, ‘vulnerabilidades’.
Causadas por las personas de forma accidental
Las personas con acceso al sistema de información pueden ser causa de problemas no
intencionados, típicamente por error o por omisión.
Causadas por las personas de forma deliberada
Las personas con acceso al sistema de información pueden ser causa de problemas
intencionados: ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con
ánimo de causar daños y perjuicios a los legítimos propietarios.
Tener en cuenta que no todas las amenazas afectan a todos los activos, sino que hay una
cierta relación entre el tipo de activo y lo que le podría ocurrir.
16
Paso5: Determinación del riesgo. Si no hay salvaguardas desplegadas se llaman impactos
potenciales (inherente). El riesgo crece con el impacto (o daño) y la frecuencia. Hay riesgos
acumulados, repercutidos y agregados. El riesgo es valor del activo * % de degradación *
frecuencia o (impacto*frecuencia). (El % de degradación está considerado en el Impacto, junto
con el valor del activo).
El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de zonas a
tener en cuenta en el tratamiento del riesgo.
Zona 1 – riesgos muy probables y de muy alto impacto. Hay que evitar estar en esta zona
Zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto
medio, hasta situaciones muy probables pero de impacto bajo o muy bajo
Zona 3 – riesgos improbables y de bajo impacto. Se dejan como están salvo que escalen.
Zona 4 – riesgos improbables pero de muy alto impacto. No justifican acciones preventivas, si
reactivas.
Paso3: Salvaguardas Son las medidas que reducen el riesgo (se limita la frecuencia o el
daño causado). En los pasos anteriores no se han protegido en absoluto (no se consideraron
las salvaguardas desplegadas y se habla de “inseguridad potencial”). Las salvaguardas pueden
reducir la frecuencia de las amenazas (se denominan Preventivas) o bien limitar el daño
causado (Impacto). Hay que tener en cuenta aquellas salvaguardas que no aplican o que no
se justifican.
Tipo se protección:
17
[PR] prevención: Cuando reduce las oportunidades de que un incidente ocurra. Si la
salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos:
autorización previa de los usuarios, gestión de privilegios, planificación de capacidades,
metodología segura de desarrollo de software, pruebas en preproducción, etc.
[DR] disuasión: Cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo
piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente,
reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños
causados caso de que el atacante realmente se atreva. Ejemplos: vallas elevadas, guardias de
seguridad, avisos sobre la persecución del delito o persecución del delincuente, etc.
[EL] eliminación: Cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de
que el incidente se haya producido. No reducen los daños en caso de que la salvaguarda no
sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de
cuentas sin contraseña, de servicios innecesarios, cifrado de la información, armarios
ignífugos, etc.
[IM] minimización del impacto / limitación del impacto: Cuando acota las consecuencias de
un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, detención de
servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente.
[CR] corrección: Cuando, habiéndose producido un daño, lo repara. Son salvaguardas que
actúan después de que el incidente se haya producido y por tanto reducen los daños.
Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación
redundantes, etc.
[RC] recuperación: Cuando permite regresar al estado anterior al incidente. Son salvaguardas
que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo.
Ejemplos: copias de seguridad (back-up).
[MN] monitorización: Son salvaguardas que trabajan monitorizando lo que está ocurriendo o
lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el
incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del
incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de
actividad, registro de descargas de Web, etc.
[DC] detección: Cuando informa de que el ataque está ocurriendo. Aunque no impide el
ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque,
minimizando daños. Ejemplos: antivirus, IDS, detectores de incendio, etc.
[AW] concienciación: Son las actividades de formación de las personas anexas al sistema
que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo
cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las
operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo
por una mala operación. Ejemplos: cursos de concienciación, cursos de formación, etc.
[AD] administración: Salvaguardas relacionadas con los componentes de seguridad del
sistema. Una buena administración evita el desconocimiento de lo que hay y por tanto impide
que haya puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden
considerarse medidas de tipo preventivo. Ejemplos: inventario de activos, análisis de riesgos,
plan de continuidad, etc.
Efecto Tipo
Preventivas: reducen la probabilidad [PR] preventivas
[DR] disuasorias
[EL] eliminatorias
18
Acotan la degradación [IM] minimizadoras
[CR] correctivas
[RC] recuperativas
Consolidan el efecto de las demás [MN] de monitorización
[DC] de detección
[AW] de concienciación
[AD] administrativas
Se denomina vulnerabilidad a toda debilidad que puede ser aprovechada por una amenaza, o
más detalladamente a las debilidades de los activos o de sus medidas de protección que
facilitan el éxito de una amenaza potencial.
Revisión del Paso4: Impacto residual (debe ser despreciable (o asumible). La eficacia de las
salvaguardas nunca es perfecta.
19
No cambian los activos ni sus dependencias, sino la magnitud de la degradación (impacto) o la
magnitud y la frecuencia (riesgo), se repiten los cálculos con los nuevos niveles. En el caso de
introducir un nuevo elemento de salvaguarda (un activo más, además de solucionar los
problemas que se espera de él, tiene vulnerabilidades y por ende está sujeto a amenazas en
otras dimensiones), hay que considerarlo ya que entraña nuevos riesgos, hay que considerarlo
en el nuevo paso 4 y 5.
Para que haya impacto, la amenaza debe cumplirse, materializarse, o ser víctima de la
amenaza (degradación ≠ 0 en alguna dimensión), por sí sola no causa daño. Las
amenazas, causan una cierta degradación sólo si hay impacto con lo cual la frecuencia
al menos es 1 vez. La frecuencia estima la probabilidad que interviene en el riesgo.
Se hace este tipo de nomenclatura para reforzar las ideas, 1, 2, 4, 5, 3, 4, 5, 3, 4, 5....; es decir
se analizan los Activos, las Amenazas, y determinan los Impactos (potenciales, sin
salvaguardas), se determinan los Riesgos (potenciales, sin salvaguardas), ahora que se saben
20
ya cuantificadas las “pérdidas”, se determinan salvaguardas y se repite el Paso 4 y Paso 5 con
dichas salvaguardas, si el riesgo o el impacto no es despreciable o asumible, se refuerzan las
salvaguardas, se cambian, etc. y se itera....).
Los elementos del Análisis de Riesgo, por lo tanto son: Activos, Amenazas y
Salvaguardas.
3.1.5.- Documentación
Documentación intermedia:
-Resultados de las entrevistas.
-Documentación de otras fuentes: estadísticas, observaciones de expertos y observaciones de
los analistas.
-Información existente utilizable por el proyecto (por ejemplo inventario de activos)
-Documentación auxiliar: planos, organigramas, requisitos, especificaciones, análisis
funcionales, cuadernos de carga, manuales de usuario, manuales de explotación, diagramas
de flujo de información y de procesos, modelos de datos, etc.
-Informes y evaluaciones de defectos de los productos, procedentes de fabricantes o de
centros de respuesta a incidentes de seguridad (CERTs). {Computer Emergency Response
Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información}.
Ej: CCN-CERT, INCIBE-CERT.
(Su denominación actual es INCIBE, Instituto Nacional de Ciberseguridad, antes INTECO).
21
Documentación final:
-Modelo de valor: Informe que detalla los activos, sus dependencias, las dimensiones en las
que son valiosos y la estimación de su valor en cada dimensión. (MAR.1)
-Mapa de riesgos: Informe que detalla las amenazas significativas sobre cada activo,
caracterizándolas por su frecuencia de ocurrencia y por la degradación que causaría su
materialización sobre el activo. (MAR. 2)
-Declaración de aplicabilidad: Informe que recoge las contramedidas que se consideran
apropiadas para defender el sistema de información bajo estudio. (MAR.3)
-Evaluación de salvaguardas: Informe que detalla las salvaguardas existentes calificándolas
en su eficacia para reducir el riesgo que afrontan. (MAR.3)
-Informe de insuficiencias o vulnerabilidades: Informe que detalla las salvaguardas
necesarias pero ausentes o insuficientemente eficaces. (MAR.3)
-Estado de riesgo: Informe que detalla para cada activo el impacto y el riesgo, potenciales y
residuales, frente a cada amenaza. (Estimación de impacto y riesgo e informe de
insuficiencias. (MAR.4)
-Es la selección e implantación de salvaguardas para conocer, reducir o controlar los riesgos
identificados. Cada amenaza debe tener una respuesta adecuada es el objetivo del Sistema
de Gestión de la seguridad.
-Hay que interpretar los impactos y riesgos residuales. Si no es despreciable es que hay algo
de se debería hacer y no se hace, se apunta en el informe de Insuficiencias.
-Hay que elegir las salvaguardas (reduciendo la degradación del activo, minimizando el daño) o
reduciendo la frecuencia de las amenazas (minimizando sus oportunidades). Hay que procurar
un equilibrio entre salvaguardas técnicas, salvaguardas físicas, de organización (prevención y
gestión de las incidencias) y política personal (formación contratación de RRHH, medidas
disciplinarias).
La opción 4, aceptación del riesgo, siempre es arriesgada y hay que tomarla con prudencia y
justificación. Las razones que pueden llevar a esta aceptación son:
- cuando el impacto residual es asumible
- cuando el riesgo residual es asumible
- cuando el coste de las salvaguardas oportunas es desproporcionado en comparación al
impacto y riesgo residuales
22
• Paso 1: evaluación
• Paso 2: tratamiento
La siguiente figura resume las posibles decisiones que se pueden tomar tras haber estudiado
los riesgos. La caja ‘estudio de los riesgos’ pretende combinar el análisis con la evaluación.
Impacto y riesgo residual son una medida del estado presente, entre la inseguridad potencial
(sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores
aceptables (con las salvaguardas implantadas o contramedidas).
Si el valor residual es igual al valor potencial, las salvaguardas existentes no valen para nada,
típicamente no porque no haya nada hecho, sino porque hay elementos fundamentales sin
hacer. Esto es sólo un número pero hay que interpretarlo dentro de las tareas pendientes del
Informe de insuficiencias, o de vulnerabilidades. La Dirección de la Organización sometida al
análisis de riesgos debe determinar el nivel de impacto y riesgo aceptable, que más que
técnica es una decisión gerencial o política. Se puede decir entonces que cualquier nivel de
impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección.
Para tomar la mejor decisión hay que enmarcar los riesgos soportados por el SI dentro de un
contexto:
23
• Equilibrio con otros tipos de riesgos: comerciales, financieros, regulatorios, medioambientales,
laborales, etc.
Como regla general: “No invertir en salvaguardas más que el valor de los activos a proteger”,
salvo motivos de otro orden: políticos, administrativos, etc., para eso se tiene el valor monetario
del riesgo.
El gráfico muestra coste de la in-seguridad (lo que costaría no estar protegidos, en la escala
inicial si se asta poco o nada en salvaguardas, además del riesgo residual alto tenemos que el
gasto es elevado por la inseguridad, es decir contingencias tras cada incidente) y el coste de
las salvaguardas. El riesgo cae fuertemente con pequeñas inversiones en seguridad, y se
gasta menos en prevenir que en reponer tras los incidentes.
Si el impacto o el riesgo está por arriba de lo aceptable, se deben descartar esos activos o
mejorar la eficacia de las salvaguardas. Otras opciones: transferir el riesgo (compartir con un
seguro) o financiación (reserva de fondos a modo de plan de contingencia).
(Si hay salvaguardas técnicas (nuevos activos) hay que revisar el Paso1 de Activos (amenazas
sobre los nuevos activos) y es un nuevo punto con posibles vulnerabilidades en la arquitectura
del SI. Normalmente un nuevo componente no puede causar más riesgo que el que pretende
mitigar.
24
Actores:
1- Órganos de gobierno
Son los altos cargos de los organismos. También, si existe, es el Comité de Seguridad
de la Información. Tienen la autoridad última para aceptar los riesgos con que se opera.
Se dice que son los “propietarios del riesgo”.
2- Dirección ejecutiva
Son los responsables de unidades de negocio, los responsables de la calidad de los
servicios prestados por la organización, etc.
3- Dirección operacional
Son los que toman decisiones prácticas para materializar las indicaciones dadas por los
órganos ejecutivos. Típicamente: responsables de operaciones, de producción, de
explotación y similares.
Del ENS:
1- Responsable de la información
Típicamente a nivel de gobierno. Tiene la responsabilidad última sobre qué seguridad
requiere una cierta información manejada por la Organización. Se concreta la
responsabilidad sobre datos de carácter personal y sobre la clasificación de la
información. A veces este rol lo ejerce el Comité de Seguridad de la Información.
2- Responsable del servicio
Típicamente a nivel de gobierno, aunque a veces baja a nivel ejecutivo. Tiene la
responsabilidad última de determinar los niveles de servicio aceptables por la
Organización. A veces este rol lo asume el Comité de Seguridad de la Información.
3- Responsable de la seguridad
Típicamente a nivel ejecutivo, actuando como engranaje entre las directrices emanadas
de los responsables de la información y los servicios, y el responsable del sistema. A su
vez funciona como supervisor de la operación del sistema y vehículo de reporte al
Comité de Seguridad de la Información. A veces se denomina a esta figura CISO (Chief
Information Security Officer). En lo que respecta al proceso de gestión de riesgos, es la
persona que traslada la valoración de los activos esenciales, que aprueba la
declaración de aplicabilidad de salvaguardas, los procedimientos operativos, los
riesgos residuales y los planes de seguridad.
4- Responsable del sistema
A nivel operacional, toma decisiones operativas como arquitectura del sistema,
adquisiciones, instalaciones y operación del día a día. En lo que respecta al proceso de
gestión de riesgos, es la persona que propone la arquitectura de seguridad, la
declaración de aplicabilidad de salvaguardas, los procedimientos operativos y los planes
de seguridad. También es la persona responsable de la implantación y correcta
operación de las salvaguardas.
5- Administradores y operadores
Son las personas encargadas de ejecutar las acciones diarias de operación del sistema
según las indicaciones recibidas de sus superiores jerárquicos.
25
(individuos o equipos de trabajo). De esta manera se logra asegurar que cada una de las
tareas esté asignada a un individuo o a un órgano colegiado los roles distribuidos son:
Rol Descripción
R Responsible Este rol realiza el trabajo y es responsable por su
realización. Lo más habitual es que exista sólo un
R, si existe más de uno, entonces el trabajo
debería ser subdividido a un nivel más bajo,
usando para ello las matrices RACI. Es quien
debe ejecutar las tareas.
A Accountable Este rol se encarga de aprobar el trabajo
finalizado y a partir de ese momento, se vuelve
responsable por él. Sólo puede existir un A por
cada tarea. Es quien debe asegurar que se
ejecutan las tareas.
C Consulted Este rol posee alguna información o capacidad
necesaria para terminar el trabajo. Se le informa y
se le consulta información (comunicación
bidireccional).
I Informed Este rol debe ser informado sobre el progreso y
los resultados del trabajo. A diferencia del
Consultado, la comunicación es unidireccional.
Actores:
-Órganos colegidos: Comité de seguimiento (responsables de las unidades afectadas), Equipo
de Proyecto (expertos en seguridad), Grupos de Interlocutores (usuarios de las unidades
afectadas).
-Singulares: Promotor (lidera de las primeras fases del proyecto), Director del Proyecto, Enlace
Operacional (interlocutor entre el Comité de Seguimiento y el Grupo de Usuarios).
Tareas:
26
Importante:
Para que el alcance quede determinado debemos concretar:
- una primera entrevista para exponer las necesidades y recabar los datos
- una segunda entrevista para validar que los datos son completos y se han entendido
correctamente
- según las circunstancias puede ser necesaria alguna entrevista adicional si la validación
levanta muchas inexactitudes o dudas
Documentación intermedia
- Resultados de las entrevistas.
- Documentación de otras fuentes: estadísticas, observaciones de expertos y
observaciones de los analistas.
- Documentación auxiliar: planos, organigramas, requisitos, especificaciones, análisis
funcionales, cuadernos de carga, manuales de usuario, manuales de explotación,
diagramas de flujo de información y de procesos, modelos de datos, etc.
- Análisis de los resultados, con la detección de las áreas críticas claves.
- Información existente utilizable por el proyecto (por ejemplo inventario de activos)
- Resultados de posibles aplicaciones de métodos de análisis y gestión de riesgos
realizadas anteriormente (por ejemplo catalogación, agrupación y valoración de
activos, amenazas, vulnerabilidades, impactos, riesgo, mecanismos de salvaguarda,
etc.).
Documentación final
- Modelo de valor: identificación de activos junto con sus dependencias y valoración
propia y acumulada
- Mapa de amenazas junto con sus consecuencias y probabilidad de ocurrencia.
- Documento de aplicabilidad de las salvaguardas.
- Informe de valoración de la efectividad de las salvaguardas presentes.
- Informe de insuficiencias o debilidades del sistema de salvaguardas.
27
- Indicadores de impacto y riesgo, potenciales y residuales.
Nota: la documentación es del mismo estilo del MAR, pero se resume y forma parte
del proyecto. Es decir el MAR puede abarcar todo y el PAR, sólo lo que se va a
realizar de acuerdo al presupuesto,
Las decisiones que se adoptan para el tratamiento de los riesgos se plasman en un Plan de
Seguridad, estos tienen distintos nombres como plan de mejora de la seguridad, plan director
de seguridad, plan estratégico de seguridad o plan de adecuación (en concreto es el nombre
que se usa en el ENS), según el contexto en el que se hable de él.
En el Plan de Seguridad en MAGERIT v3 se identifican 3 tareas:
• La criticidad, gravedad o conveniencia de los impactos y/o riesgos que se afrontan, teniendo
máxima prioridad los programas que afronten situaciones críticas.
• El coste del programa.
28
• La disponibilidad del personal propio para responsabilizarse de la dirección (y, en su caso,
ejecución) de las tareas programadas
• Otros factores como puede ser la elaboración del presupuesto anual de la Organización, las
relaciones con otras organizaciones, la evolución del marco legal, reglamentario o contractual,
etc.
Se debe desarrollar un (1) plan director único, que es el que da perspectiva y unidad de
objetivos a las actuaciones puntuales. Este plan director permite ir desarrollando planes
anuales que, dentro del marco estratégico, van estructurando la asignación de recursos para la
ejecución de las tareas, en particular partidas presupuestarias. Y, por último, habrá una serie
de proyectos que materializan los programas de seguridad.
• Objetivos: Alcanzar los objetivos previstos en el plan de seguridad para cada proyecto
planificado
• Productos de entrada: Resultados de las actividades PS.1 (proyectos de seguridad) y PS.2
(planificación) y Proyecto de seguridad que nos ocupa
• Productos de salida: Salvaguardas implantadas, normas de uso y procedimientos de
operación, sistema de indicadores de eficacia y eficiencia del desempeño de los objetivos de
seguridad perseguidos, modelo de valor actualizado, mapa de riesgos actualizado, estado de
riesgo actualizado (impacto y riesgo residuales).
• Técnicas, prácticas y pautas: Método de Análisis de riesgos (MAR) y planificación de
proyectos
• Participantes: El equipo de proyecto para la evolución del análisis de riesgos y el personal
especializado en cada salvaguarda en cuestión.
29
Esta evoluciona con el ciclo de vida del sistema:
Se dan una serie de pautas de ayuda para la identificación de activos (los intangibles como
intimidad de los usuarios, buena imagen, etc.), para su modelado (descubrir dependencias y
pensar siempre por dónde se atacarían), se muestran los errores típicos (los datos dependen
de la aplicación y no al revés o el equipo y la aplicación son necesarios), la valoración de
30
activos, en la identificación y valoración de amenazas, la selección de salvaguardas y por
último la realización de aproximaciones sucesivas
Se destacan:
mal bien
• aplicación → información • información → aplicación
La información que maneja un sistema o bien se pone por encima de los servicios, o bien se
agrupa:
- información → servicios → equipamiento (incluyendo datos, aplicaciones, equipos, `)
- {información + servicios} → equipamiento (incluyendo datos, aplicaciones, equipos, `)
No es correcto decir que una aplicación dependa del equipo donde se ejecuta. El
razonamiento de quien tal afirma es que “la aplicación no funcionaría sin equipo”, lo que es
correcto; pero no es lo que interesa reflejar. Si tanto la aplicación como el equipo son
necesarios para prestar un servicio, se debe decir explícitamente.
mal bien
• servicio → aplicación • servicio → aplicación
• aplicación → equipo • servicio → equipo
31
• Normas sectoriales
• Normas corporativas, especialmente frecuentes en pequeñas delegaciones de grandes
organizaciones.
• Es muy rápido
• Cuesta menos esfuerzo que ponerse a analizar y decidir
• Se logra un nivel homogéneo con otras organizaciones parecidas.
• El sistema puede protegerse frente a amenazas que no padece, lo que supone un gasto
injustificado
• El sistema puede estar inadecuadamente protegido frente a amenazas reales
PILAR contempla las normas: ISO/IEC 27002:2009 “Código de buenas prácticas para la
gestión de la seguridad de la información”, RD 1720/2007 reglamentos de la LOPD de datos de
carácter personal y RD 3/2010 ENS (Modificado por RD 951/2015).
La información es un recurso que, como el resto de los activos, tiene valor para una
organización y por consiguiente debe ser debidamente protegida. La seguridad de la
información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad
del negocio, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las
oportunidades
La información puede existir en muchas formas. Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por un medio electrónico, presentada en imágenes,
o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los
medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma
adecuada.
32
Debe haber aparte un proceso de mantenimiento, ya que con el tiempo puede variar la
percepción de un activo, o la estimación de las vulnerabilidades frente a las amenazas.
Realizar el análisis de riesgo es costoso y laborioso. Hay que cuantificar los riesgos y
relativizarlos. Es decir evaluar lo más importante, descartando lo secundario o despreciable. Es
un requisito exigido antes de proceder a la certificación utilizando las normas AENOR UNE.
Está sujeto a adecuaciones y cambios. Se incluye notación en formato XML para ser utilizado
por PILAR.
Contiene:
1) Tipos de activos
-Activos esenciales: Tener en cuenta que el activo esencial es la información que maneja
el sistema; o sea los datos y los servicios que presta. Y alrededor de estos datos se
pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan
para poder gestionar dichos datos.
-La arquitectura del sistema. Establece la frontera entre la prestación de un servicio
(proveedor) y el usuario (consumidor).
-Datos e información
-Las claves criptográficas. Se utilizan para proteger el secreto o autenticar las partes.
-Los servicios (función que satisface una necesidad de los usuarios)
-Las aplicaciones informáticas (software) que permiten manejar los datos.
-Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
-Los soportes de información que son dispositivos de almacenamiento de datos.
-El equipamiento auxiliar que complementa el material informático.
-Las redes de comunicaciones que permiten intercambiar datos.
-Las instalaciones que acogen equipos informáticos y de comunicaciones.
-Las personas que explotan u operan todos los elementos anteriormente citados.
33
-E: Errores y fallos no intencionados
-A: Ataques intencionados
-Correlación de errores y ataques
-Nuevas amenazas
-Nivel de la amenaza
1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de
ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo
específico del sistema objeto del análisis.
2. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos
criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes
equipos.
A- Autenticidad: Propiedad o característica consistente en que una entidad es quién dice ser o
bien que garantiza la fuente de la que proceden (UNE71504:2008).
34
C- Confidencialidad: Propiedad o característica consistente en que la información ni se pone a
disposición, ni se revela a individuos, entidades o procesos no autorizados (UNE-ISO/IEC
27001:2007).
Para valorar los activos vale, teóricamente, cualquier escala de valores. A efectos prácticos es
sin embargo muy importante que:
- Se use una escala común para todas las dimensiones, permitiendo comparar riesgos.
- Se use una escala logarítmica, centrada en diferencias relativas de valor, que no en
diferencias absolutas y
- Se use un criterio homogéneo que permita comparar análisis realizados por separado.
valor criterio
10 extremo daño extremadamente grave
9 muy alto daño muy grave
6-8 alto daño grave
3-5 medio daño importante
1-2 bajo daño menor
0 despreciable irrelevante a efectos prácticos
Se consideran:
-Desastres naturales (fuego, daños por agua, daños sísmicos, contaminación, etc.)
-De origen industrial (contaminación mecánica, electromagnética, corte de luz, fuego, daños
por agua, fallo en el servicio de comunicaciones, degradación de los soportes de
almacenamiento, amenaza TEMPEST, etc.)
35
-Errores y fallos no intencionados (de usuario, de administrador, de configuración, escapes de
información, difusión de SW dañino, alteración de la información, errores de mantenimiento,
etc.)
-Ataques intencionados (suplantación de identidades, acceso no autorizado, SW dañino, abuso
de privilegios de acceso, uso no previsto, repudio, robo, DoS, etc.)
Se establece la correlación entre errores y ataques (amenazas que son por error, otras que son
intencionales y amenazas que se producen por ambos).
Se establecen plantillas de amenazas por tipo de activo.
Se brinda un catálogo de salvaguardas, desde generales u horizontales hasta para cada tipo
de activo.
Se hace referencia a:
• LOPD Ley 15/99 y RD 1720/2007 y los niveles básico, medio y alto. (Actualmente Ley 3/2018)
• Ley 9/1968 de Secretos Oficiales. (Asuntos, actos, documentos, datos e información cuyo
conocimiento por personas no autorizadas pueda dañar o poner en riesgo la seguridad y
defensa del Estado). (Secreto, reservado, confidencial y difusión limitada).
• Documentos de la UE: (datos clasificados)
-secreto: (UE Top Secret) información o material cuya divulgación no autorizada pueda
causar un perjuicio excepcionalmente grave a la UE o estados miembros.
-reservado (Secret UE) información o material cuya divulgación no autorizada pueda
causar un perjuicio grave a la UE o estados miembros.
-confidencial (Confidentiel UE) información o material cuya divulgación no autorizada
pueda causar un perjuicio a la UE o estados miembros.
-difusión limitada (Restreint UE) información o material cuya divulgación no autorizada
pueda resultar desventajosa para los intereses de la UE o estados miembros.
36
3. valoraciones Delphi: La técnica o método Delphi11, original de la Rand Corporation
(Research ANd Development), comenzó a aplicarse desde 1948 en un proyecto avanzado
de las Fuerzas Aéreas de los Estados Unidos y la Compañía Douglas de Aviación,
orientándose desde entonces a los estudios prospectivos de investigación espacial. De
forma paulatina la técnica diseñada por la Rand Corporation ha ido ampliando sus campos
de aplicación: así esta "reflexión intuitiva de expertos" (como algún autor denomina al
método Delphi), puede ser utilizada con éxito en multitud de campos y sectores. Delphi es
especialmente adecuada para Magerit
La realizan personas que tienen una opinión relevante en el tema a investigar:
Se dan ejemplos:
1.- Si un activo está valorado en 1.000.000 y sufre una degradación del 90%, el impacto
acumulado es de:
cuantía = 900.000.
(Es decir el calculado tomando en consideración el valor propio de un activo y el valor de los
activos que dependen de él.
2.- Calcular el riesgo acumulado del Activo A, sabiendo que B depende del anterior un 50% y C
depende de B un 50%. Cada uno de los activos está valorado en 10.000 Euros. Podría ser A
un servidor Web, B un servidor de aplicaciones y C un SGDB, considerando que la información
se solicita a A y esta cadena
(A → B) ∧ (B → C) implementa un servicio. Se produce una degradación en A de un 90 %, (o
una eficacia del 10%). El impacto en A es de 10.000 * 0,9 = 9.000 Euros. (o sea el daño).
Frecuencia una vez al año.
[Para las dependencias, siempre hay que empezar poniendo en lo más alto la información y los
servicios. Depende de cada circunstancia el que sea antes la información o los servicios; pero
lo más frecuente es que el valor esté en la información y deba ser respetado por los servicios
que la manejan. Los datos son importantes por su A, C e I y el servicio por su D. En todo caso
hay que ponerse en lugar del atacante, por donde robar la información más fácil o más
vulnerable
37
Para el cálculo se utiliza un análisis algorítmico recomendado en el libro III, en el que se
denomina el coeficiente “grado de dependencia”, que se aplica a las dependencias entre los
activos del modelo cuantitativo que varía entre 0,0 para los activos independientes y 1,0 para
los activos con dependencia absoluta].
Impacto acumulado en A: 10.000 * 0,9 + 10.000 * 0,9 * 0,5 + 10.000 * 0,9 * 0,5 *0,5 = 15.750
La degradación sólo es en A, que es el que sufre el impacto, pero acumula a los activos que
dependen de A con su grado y su degradación que afecta al resto de valores.
Riesgo acumulado: Impacto acumulado * frecuencia= 15.750 * 1= 15.750 €
3.- Sea un activo A valorado en 1.000, que depende de otro activo B (cuyo valor es de 2.000,
aunque no interesa aquí) en un 30%. Si B es víctima de una amenaza que lo degrada un 90%,
A sufre un impacto repercutido de cuantía: 1.000 x 0,9 x 0,3 = 270
A=1.000
Grado (B)= 0,3
IMPACTO
Degradación 0,9
IMPACTO
B= 2.000
REPERCUTIDO
(Es decir el calculado tomando en consideración el valor propio de un activo y el valor de los
activos de los que depende). Es impacto repercutido porque el impacto no lo sufre él (activo A)
sino un activo del que depende (activo B, en el ejemplo al 30%). El impacto en A es 0, pero el
repercutido a causa de B, 270.
4.- Sea un activo valorado en 1.000.000, que es víctima de una amenaza que lo degrada un
90%. El impacto es de cuantía:
38
1.000.000 x 90% = 900.000 (Impacto= valor del activo * degradación)
Si el activo está expuesto a la amenaza con una frecuencia estimada de 0,1; el riesgo estimado
es de cuantía:
900.000 x 0,1 = 90.000 (Riesgo= impacto * frecuencia)
Si los valores son euros y la frecuencia mide tasa anual (o sea, si 0,1 significa una vez cada 10
años), entonces la pérdida posible de valor es de 900.000 euros (= impacto, si ocurre se pierde
el 90% de una vez), mientras que la pérdida anual prevista es de: 90.000 euros. [Se está
considerando que al menos una vez en 10 años se pierde el 90% de su valor, riesgo=pérdida
anual].
5.- Sea un activo valorado en 1.000.000, que es víctima de una amenaza que lo degrada un
90%. El impacto es de cuantía:
impacto = 1.000.000 x 90% = 900.000
Si la frecuencia anual estimada es de 0,1, el riesgo es de cuantía:
riesgo = 900.000 x 0,1 = 90.000 = pérdida anual estimada [En 10 años al menos una
vez].
Si las salvaguardas tienen un 90% de eficacia sobre el impacto, el impacto residual es:
impacto residual = 900.000 x (1 – 90%) = 90.000 (o el 10% de ineficacia)
Si las salvaguardas tienen un 50% de eficacia sobre la frecuencia, la eficacia combinada de las
salvaguardas es:
frecuencia residual = 0,1 x (1 – 50%) = 0,05 y el riesgo residual es:
riesgo residual = 90.000 * 0,05 = 4.500 (pérdida anual estimada)
riesgo= impacto * frecuencia= (valor activo * degradación) * frecuencia
Si las cantidades son euros y las frecuencias anuales, la pérdida posible es de: 90.000 euros
[por año], pero debido a que las salvaguardas rebaja también la frecuencia a la mitad, la
pérdida anual se estima en: 4.500 euros [= riesgo residual, si se tiene en cuenta que las
salvaguardas además de tener una eficiencia del 90% también bajan la tasa de ocurrencia a la
mitad, 1 vez cada 20 años o sea 0,05 anual].
4 AUDITORÍAS DE SEGURIDAD
39
En el caso de la Administración pública, existen algunos referentes fundamentales respecto de
los cuales se puede y se debe realizar auditorías:
-Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal. (Para sistemas medio o alto, auditoría interna o externa al menos cada 2 años)
-Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica, modificado por el RD 951/2015, de 23 de
octubre).
- Auditoría regular ordinaria, al menos cada dos años.
- Auditoría extraordinaria si hay cambios sustanciales.
- Para categoría Básica: es autoevaluación por el mismo personal que administra el sistema,
para categorías Media y Alta la auditoria debe ser Externa.
En sistemas de categoría ALTA, se podrá acordar la retirada de operación de alguna
información, de algún servicio o del sistema en su totalidad, hasta la satisfacción de las
medidas correctoras.
5 LA SEGRURIDAD EN EL ENS
La seguridad en el RD 3/2010 de 8 de Enero, Esquema Nacional de Seguridad (modificado por
RD 951/2015 de 23 de octubre)
a) Seguridad integral.
b) Gestión de riesgos.
c) Prevención, reacción y recuperación.
d) Líneas de defensa.
e) Reevaluación periódica.
f) Función diferenciada.
40
Artículo 6. Gestión de la seguridad basada en los riesgos.
1. El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá
mantenerse permanentemente actualizado.
2. La gestión de riesgos permitirá el mantenimiento de un entorno controlado,
minimizando los riesgos hasta niveles aceptables (*). La reducción de estos niveles se
realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre
la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las
medidas de seguridad. (* no dice asumibles).
a) Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido
evitarse.
b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
c) Minimizar el impacto final sobre el mismo.
41
un replanteamiento de la seguridad, si fuese necesario.
Las Administraciones públicas podrán determinar aquellos sistemas de información a los que
no les sea de aplicación lo dispuesto en el presente de real decreto por tratarse de sistemas no
relacionados con el ejercicio de derechos ni con el cumplimiento de deberes por medios
electrónicos ni con el acceso por medios electrónicos de los ciudadanos a la información y al
procedimiento administrativo, de acuerdo con lo previsto en la Ley 11/2007, de 22 de junio.
1. Los sistemas de información a los que se refiere el presente real decreto serán
objeto de una auditoria regular ordinaria, al menos cada dos años, que verifique el
cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.
Con carácter extraordinario, deberá realizarse dicha auditoria siempre que se
produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en
las medidas de seguridad requeridas. La realización de la auditoria extraordinaria
determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la
42
realización de la siguiente auditoria regular ordinaria, indicados en el párrafo anterior.
```````````````````````````````````````.
Nota: se han reproducido los artículos más generales o extractos de ellos relacionados con el
tema de la seguridad. No obstante se recomienda al alumno una lectura completa tanto de
este RD, así como el Esquena Nacional de Interoperabilidad, RD 4 /2010 de 8 de enero y las
Normas Técnicas publicadas.
Las normas Técnicas son Resoluciones del ex Ministerio de Política Territorial y Función
Pública, Secretaría de Estado para la función pública del 19-7-2011 (BOE 30-7-2011):
6 NORMAS ISO
Todo se basa en la norma británica de partida, la BS-7799-2. Esta evolucionó dando origen a la
ISO 17799. La ISO 17799 es una guía que contiene consejos y recomendaciones (controles)
que permiten garantizar la seguridad de la información en una empresa dentro de varios
dominios de aplicación. Define una vía sistemática para manejar la información, que es
apropiada para cualquier tipo de empresa, pero no se trataba de una norma directamente
certificable. Esto ha evolucionado a:
43
-ISO 27001. Sistema de gestión de la seguridad de la información (especificación
de los requisitos de seguridad). Define el SGSI, seleccionando los controles (de la otra
guía) apropiados a la Organización en función de sus necesidades y riesgos. Es la
norma certificable. Habla de los controles sólo en su anexo, estos están definidos en la
27.002.
El ENS no obliga a certificarse mediante ISO 27001.
Se han publicado nuevas Guías ISO 27001:2013 y 27002:2013 que reemplazan a las
anteriores versiones. Causas de la evolución: los estándares ISO se revisan cada 4 o 5 años
y muchos de los controles de la ISO 27002:2009 son obsoletos, así la ISO 27002:2013 tiene
menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente
se cuentan con políticas de control más claras.
En ISO 27001:2013, es la norma certificable: los conceptos que debemos reforzar: Partes
interesadas, Liderazgo, Sensibilización, Comunicación, Capacidades, Propietario del riesgo,
Activos, Gestión de Riesgos y Oportunidades, entre otros.
44
Lo nuevo en ISO 27.001:2013:
0. Introducción
1. Alcance
2. Referencias normativas
45
El estándar ISO-27002 ya no es una referencia normativa para ISO-27001:2013, aunque
continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad
(SOA, por sus siglas en inglés). El estándar ISO 27000:2013 se convierte en una
referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y
definiciones.
3. Términos y definiciones
4. Contexto de la organización
Esta cláusula hace hincapié en identificar los problemas externos e internos que rodean a la
organización.
• Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de
organización y su alcance.
• Introduce una nueva figura (las partes interesadas) como un elemento primordial para
la definición del alcance del SGSI.
• Establece la prioridad de identificar y definir formalmente las necesidades de las partes
interesadas con relación a la seguridad de la información y sus expectativas con
relación al SGSI, pues esto determinará las políticas de seguridad de la información y
los objetivos a seguir para el proceso de gestión de riesgos.
5. Liderazgo
Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como un
todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos.
7. Soporte
46
Marca los requerimientos de soporte para el establecimiento, implementación y mejora del
SGSI, que incluye:
• Recursos
• Personal competente
• Conciencia y comunicación de las partes interesadas
Se incluye una nueva definición “información documentada” que sustituye a los términos
“documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar
la documentación correspondiente al SGSI.
El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un
determinado conjunto de estos.
8. Operación
Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la
Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar.
Además, plantea que la organización debe planear y controlar las operaciones y requerimientos
de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos
de seguridad de la información de manera periódica por medio de un programa previamente
elegido.
La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las
auditorías internas y las revisiones del SGSI.
Se debe considerar para estas revisiones el estado de los planes de acción para atender no
conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben
realizar estas evaluaciones así como quién debe analizar la información recolectada.
10. Mejora
El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales
tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se
repitan y que las acciones correctivas sean efectivas.
Aquí se observa uno de los cambios más importantes porque las medidas preventivas se
fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite
enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se
tratan. Además, se distingue entre las correcciones que se ejecutan como una respuesta
directa a una “no conformidad”, en oposición a las acciones correctoras que se realizan para
eliminar la causa de la no conformidad.
Nota: ISO 27.002:2005 11 dominios numerados del 5 al 15, ISO 27.002:2013, 14 dominios,
denominados ahora “cláusulas de controles”, numerados del 5 al 18).
47
La norma AENOR UNE 27.002:2015 que se denomina “Código de prácticas para los controles
de la seguridad de la información” es la versión traducida y adaptada al mercado español de la
ISO/IEC 27.002:2013. Son 14 dominios, (en 35 categorías de control) y 114 controles [dentro
de cada una de estas categorías]:
48
1) Políticas de seguridad de la información. (1 Directrices de la gestión de la seguridad de la
información).
2) Organización de la seguridad de la información. (2 Organización interna, 3 Los dispositivos
móviles y el teletrabajo).
3) Seguridad relativa a los Recursos Humanos. (4 Antes del empleo, 5 Durante el empleo, 6
Finalización del empleo o cambio del puesto de trabajo).
4) Gestión de activos. (7 Responsabilidad sobre los activos, 8 Clasificación de la información, 9
Manipulación de los soportes).
5) Control de acceso. (10 Requisitos de negocio para el control de acceso, 11 Gestión de
acceso de usuario, 12 Responsabilidades del usuario, 13 Control de acceso a sistemas y
aplicaciones).
6) Criptografía. (14 Controles criptográficos)
7) Seguridad física del entorno. (15 Áreas seguras, 16 Seguridad de los equipos)
8) Seguridad de las operaciones. (17 Procedimientos y responsabilidades operacionales, 18
Protección sobre el SW malicioso o malware, 19 Copias de seguridad, 20 Registros y
supervisión, 21 Control de software de explotación, 22 Gestión de la vulnerabilidad técnica, 23
Consideraciones sobre la auditoría de sistemas de la información).
9) Seguridad de las comunicaciones. (24 Gestión de la seguridad de redes, 25 Intercambio de
información).
10) Adquisición, desarrollo y mantenimiento de los sistemas de información. (26 Requisitos de
seguridad en sistemas de información, 27 Seguridad en el desarrollo y en los procesos de
soporte, 28 Datos de prueba).
11) Relación con proveedores. (29 Seguridad en las relaciones con los proveedores, 30
Gestión de la provisión de servicios del proveedor).
12) Gestión de incidentes de seguridad de la información. (31 Gestión de incidentes de
seguridad de la información y mejoras).
13) Aspectos de seguridad de la información para la gestión de la continuidad del negocio. (32
Continuidad de la seguridad de la información, 33 Redundancias).
14) Cumplimiento. (34 Cumplimiento de los requisitos legales y contractuales, 35 Revisiones de
la seguridad de la información).
Existe también la ISO 9004:2000 que hace referencia a las recomendaciones para la mejora
del desempeño en sistemas de gestión de la calidad.
Y la norma ISO/IEC 31000 “Gestión del riesgo. Principios y directrices” provee principios y
directrices genéricas sobre la gestión del riesgo. Se trata de una norma general, de aplicación a
cualquier organización independientemente del tamaño o sector y que no es certificable.
Al tratarse de una norma general, la ISO/IEC 31000 no establece directrices para el tratamiento
de riesgos concretos sino que da orientaciones para la implantación de un sistema de gestión
del riesgo que sea compatible con los estándares de gestión de riesgos particulares de
cualquier sector.
La ISO/IEC 31000 está estructura en tres elementos claves para una gestión de riesgos
efectiva, transparente, sistemática y creíble. Dichos elementos son:
49
Principios de ISO 31000: hay que satisfacer 11 principios:
1) Crear y proteger valor para ayudar a alcanzar los objetivos de la organización y mejorar su
desempeño.
2) Estar integrada en los procesos de una organización. Hacer la responsabilidad del riesgo
una responsabilidad de cada gerente.
3) Ser parte de la toma de decisiones. La gestión del riesgo ayuda a la toma de decisiones
evaluando la información sobre las distintas alternativas.
4) Tratar explícitamente la incertidumbre. Trata aquellos aspectos de la toma de decisiones que
no son ciertos, la naturaleza de esa incertidumbre y como puede solucionarse.
5) Ser sistemática, estructurada y oportuna. Contribuye a la eficiencia y a la obtención de
resultados fiables.
6) Basarse en la mejor información disponible. Los insumos del proceso de gestión del riesgo
están basados en fuentes de información fiables.
7) Alinearse al contexto y al perfil de riesgos de la organización.
8) Tener en cuenta factores humanos y culturales. Las capacidades, percepciones o
intenciones humanas pueden facilitar o dificultar el logro de los objetivos de la organización.
9) Ser transparente e inclusiva. Asegurar que la gestión del riesgo sea abierta, visible y
accesible involucrando a las partes interesadas y responsables de la organización.
10) Ser dinámica, iterativa y sensible al cambio. La gestión de riesgos debe ser capaz de
detectar y responder a los cambios de la organización y de su entorno.
11) Facilitar la mejora continua de la organización. Las organizaciones deberían desarrollar e
implementar estrategias para mejorar continuamente el enfoque de la gestión del riesgo.
7 GLOSARIO
50
ISO-13335 Guía de trazabilidad en datos. Conocer quién accede, sobre qué datos y
qué hace con ellos.
ITSEC Information Technology Security Evaluation Criteria
LOPD Ley Orgánica, 15/1999, de Protección de Datos de Carácter Personal.
Actualmente Ley 3/2018
MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información de las Administraciones Públicas
NIST National Institute of Standards and Technology
PILAR Herramienta: Procedimiento Informático Lógico para el Análisis de Riesgo
RAID Redundant Array of Independent Disks ó Redundant Array of Inexpensive
Disks
RADIUS Remote Authenticate Dial In User Service. Sistema de autenticación de
usuarios que se encuentran fuera de la red. En la LAN hay un servidor
RADIUS centralizado con los permisos de todos los usuarios. Es un servicio
distribuido y seguro
RD 3 y 4 /2010 Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad
Resiliencia Capacidad de una organización para evitar el fracaso, colapso del negocio o
parte del mismo
SAI Sistema de Alimentación Ininterrumpida
SI Sistema de Información
SLA Service Level Agreement: Acuerdos de Nivel de Servicio, contratos entre
cliente y proveedor de un servicio sobre las calidades mínimas aceptables
del servicio prestado
TEMPEST Transient Electromagnetic Pulse Standard. Emanaciones electromagnéticas
que son susceptibles de interceptación. Ej: TRC. No son: WLAN, ni
microondas.
UPS SAI
VPN Virtual Private Network
8 WEBS RELACIONADAS
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293651550991&l
angPae=es&detalleLista=PAE_1276529683497133
9 ANEXO I
Ejemplo: Determinar el riesgo con los siguientes datos ante una amenaza de infección por virus
si La frecuencia 2 veces al año, con degradación al 25% y al 50% respectivamente, en los
siguientes dos casos:
Amenaza de infección por virus si el valor del activo es 30.000 €
51
Impacto por infección de virus: 30.000 €
Riesgo = impactos * frecuencia = (30.000 x 0,25 + 30.000 x 0,50) * 1 (una vez cada impacto al
año) = 22.500 Euros/año.
10 ANEXO II
ENAC (Entidad Nacional de Acreditación) tiene como misión generar confianza en el mercado
y en la sociedad en general en relación con la competencia técnica de los evaluadores de la
conformidad acreditados, contribuyendo así a la seguridad y el bienestar de las personas, la
calidad de los productos y servicios y la protección del medioambiente, y con ello al aumento
de la competitividad de los productos y servicios españoles y a una disminución de los costes
para la sociedad debidos a estas actividades. Es el organismo acreditador español dentro de la
infraestructura de calidad.
52
• Promover la aceptación internacional de las actividades de los evaluadores de la
conformidad acreditados mediante el establecimiento de acuerdos de reconocimiento,
facilitando así los intercambios comerciales en un mercado global.
• Tiene carácter no comercial: Debe actuar únicamente por razones técnicas evitando
en todo momento el tomar decisiones por motivos comerciales.
ENAC acredita organismos que prestan servicios de evaluación de la conformidad, sea cual
sea el sector en que se desarrolle su actividad.
53