Curso Inteco Seguridad

Módulo 1: Conceptos básicos sobre seguridad de la información La seguridad de la información cuenta con numerosos vocablos que no son de uso cotidiano y que dificultan a veces el entendimiento de los conceptos. Vamos Vamos a clarificar en primer lugar estos términos para que los distintos aspectos que se van a tratar sean fácilmente comprensibles. Las secciones de este capítulo son:  

Conceptos básicos. Evaluación.

Conceptos básicos ¿Qué entendemos entendemos por seguridad de la información?

ara comprender qué es la seguridad de la información! en primer lugar! debemos conocer que la información en este área es referida a los activos de información " es decir! los datos por supuesto! pero también los equipos! las aplicaciones! aplicaciones! las personas! que se utili#an para crear! gestionar! trasmitir y destruir la información$! que tienen un valor para la organi#ación. organi#ación. En las comple%as organi#aciones de &oy en d'a! se recogen! gestionan y transmiten multitud de datos a través de diferentes medios! a muc&a gente! y todas las acciones relacionadas con ello pueden necesitar protección.  (o se debe confundir confundir la seguridad seguridad de la información información con la seguridad informática ya que la seguridad de la información abarca muc&as más áreas mientras que la seguridad informática se encarga de la protección de las infraestructuras )*C que soportan el negocio. or tanto la seguridad de la información abarca la seguridad informática. La seguridad de la información! por tanto! se puede definir como la protección de la confidencialidad! confidencialidad! integridad y disponibilidad de los activos de información seg+n sea necesario para alcan#ar los ob%etivos de negocio de la organi#ación. organi#ación. Estos tres parámetros básicos de la seguridad se definen como: Confdencialidad:

A la información sólo pueden acceder las personas autorizadas para ello. Integridad:

La información ha de estar completa y correcta en todo momento. Disponibilidad:

La información está lista para acceder a ella o ulizarse cuando se necesita.

,ependiendo de los modelos utili#ados o de las necesidades necesidades del negocio! también son  parámetros a tener tener en cuenta: Autencidad

La información es lo que dice ser o el transmisor de la información es quien dice ser. ser. Trazabilidad

Poder asegurar en todo momento momento quién hizo qué y en cuando lo hizo.

En cualquier organi#ación e-isten datos de clientes o usuarios! esta información necesita  protección: 





Si accediera a ella alguien de la competencia podrÍa ulizarla para conseguir ene!cios económicos" o ien denunciar a la organización ante la Agencia de Protección de #atos para que se le impusiera una multa si se demuestra que se $ulneró la Ley de Protección de #atos de %arácter Personal" Personal" o pulicarla en la prensa para da&ar la imagen de la organización. organización. 'n fallo de con!dencialidad puede ser tremendamente tremendamente da&ino. Si la información se corrompe" se podr(an en$iar cartas o facturas erróneas erróneas a los clientes" con la confusión y las que)as de los afectados que acarrear(a" más el traa)o y el empo que har(a que emplear para corregir los errores y restaurar restaurar a su estado correcto la información. *ue la información permanezca permanezca Íntegra en todo momento es más importante de lo que a primera $ista pueda parecer. Si el equipo en el que reside esta información información se estropea y no se puede acceder a ella" simplemente simplemente no se puede funcionar" funcionar" no se puede dar ser$icio" lo que implica que se de)a de ganar dinero y en casos e+tremos se puede perder" si el cliente decide marcharse y adquirir el ser$icio en otro pro$eedor. pro$eedor. 'n fallo de disponiilidad ene siempre un impacto económico directo en la organización" organización" por le$e que sea" ya que se de)a de traa)ar" traa)ar" hay una parte de la organización que ha parado" por lo que ha de)ado de generar ene!cio.

¿Qué es un fallo de seguridad?

n fallo de seguridad es cualquier incidente que la compromete! es decir que pone en  peligro cualquiera de de los parámetros con con los que se valora la seguridad: seguridad: la confidencialidad! confidencialidad! la disponibilidad o la integridad de la información. Con la actual comple%idad de los sistemas de información! con una econom'a y un comercio que se  basan en intercambios intercambios y comunicaciones comunicaciones a lo largo largo y anc&o del mundo! con un n+mero creciente de usuarios que no sólo se conectan desde dentro sino también desde fuera de la organi#ación! es fácil &acerse una idea del reto que presenta evitar que sucedan cosas como:  



,allos en las comunicaciones. ,allos en el suministro eléctrico. ,allos humanos de usuarios internos" usuarios e+ternos" administradores" programadores" etc.



,allos en los sistemas de información- redes" aplicaciones" equipos" etc.



irus informácos" gusanos" troyanos" etc. que inundan la red.



Accesos no autorizados a los sistemas o la información.



/ncumplimiento de una ley o un reglamento.

Los fallos de seguridad son ocasionados muc&as veces por la errónea percepción de que si la seguridad física está ra#onablemente asegurada! asegurada! no tiene por qué &aber problemas. / que protegiendo +nicamente las aplicaciones y las bases de datos ya está garanti#ada la seguridad. Con esos supuestos se de%an desprotegidas muc&as áreas de la organi#ación! organi#ación! muc&os activos de información que pueden ser fácilmente da0ados o destruidos! ya que no se &an tenido en cuenta todos los aspectos de la seguridad de la información: la seguridad f'sica! la seguridad lógica y las medidas organi#ativas. ¿Qué son los Sistemas de Gestión de la Seguridad de la Información ( SGSI)?

1asta a&ora lo más com+n &a sido ir parc&eando los agu%eros de seguridad con medidas  puntuales! descoordinadas descoordinadas y poco proporcionadas proporcionadas al riesgo que reducen. 2e trata trata de medidas cuya implantación y efectividad no son llevadas a cabo y controladas de manera planificada. El resultado es obvio! se siguen manteniendo altos niveles de riesgo frente a las amena#as. amena#as. )odos estos incidentes que amena#an la seguridad de la información requieren! cada d'a más! de sistemas de gestión acordes con el valor de la propia información y de los sistemas informáticos que los tratan. Las directrices! procedimientos y controles de seguridad que se utili#an para gestionar esta seguridad es lo que conocemos por 2istema de 3estión de 2eguridad de la *nformación o 232*. ,e una manera más estricta! un 2istema de 3estión de 2eguridad de la *nformación es aquella parte del sistema general de gestión de una organi#ación que comprende:  

la pol(ca. la estructura organiza$a.



los procedimientos. procedimientos.



los procesos y



los recursos necesarios"

 para implantar la gestión gestión de la seguridad seguridad de la información. información. Con un sistema de gestión de seguridad de la información nos aseguraremos de cubrir todos los aspectos de seguridad tomando medidas encaminadas a reducir paulatinamente los riesgos a los que la organi#ación se enfrente. 4 pesar de lo que puede parecer en un principio! la definición e implantación de un 232* no deber'a ser ni un coste ni un esfuer#o relevantes! má-ime teniendo en cuenta los beneficios que conlleva. n 232* debe a%ustarse tanto a los requisitos del negocio como a los recursos disponibles y debe solucionar los problemas que tiene planteados el negocio pero siempre dentro de lo ra#onable en cuanto a esfuer#os y costes. Como cualquier sistema de gestión! el 232* debe ayudar a conseguir los ob%etivos de la organi#ación! organi#ación! no convertirse en un impedimento para ello. n 232* contiene en primer lugar! las pautas que se van a seguir en la organi#ación  para garanti#ar garanti#ar la seguridad de la información información y las responsabilidades responsabilidades de cada cada cual al respecto. El 232* recoge los ob%etivos que se pretenden obtener y los medios con que se va a contar para ello. ara determinar ambas cosas! se reali#a un análisis de riesgos que da la medida de &asta qué punto los activos están e-puestos a que les ocurran fallos de seguridad y cuál ser'a el impacto en caso de que lleguen a ocurrir. ocurrir. Con esa información se establece el punto de partida! cual es el estado en el que está la seguridad y se decide cual se pretende conseguir! conseguir! así como cual es el ob%etivo para un  periodo de tiempo determinado. determinado. 4 partir de a&'! se deciden deciden las acciones acciones a tomar para reducir esos riesgos al nivel que se decidido que sea el ob%etivo. or e%emplo! si se &a averiguado que un determinado servidor es un activo e-puesto a un gran riesgo y debe estar funcionando 56 &oras al d'a! para reducir el riesgo de que se pare! puede ser necesario instalar un 24* o incluso una l'nea alternativa de suministro eléctrico! reali#ar  un mantenimiento e-&austivo mensual! instalar un equipo duplicado de manera que si falla uno el otro siga funcionando! etc. Las acciones que se tomen deben documentarse dentro del 232*! mediante  procedimientos y planes planes para su e%ecución. or tanto definiremos un 2istema de 3estión de 2eguridad de la información "232*$ como la manera en la que una organi#ación conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida! documentada y conocida por todos! que se revisa y mejora constantemente.

Módulo 2: La seguridad y su justificación desde el punto de vista del negocio Los motivos por los que la seguridad debe formar parte de la agenda de cualquier organi#ación! organi#ación! independientemente de su sector económico o de su tama0o! son muc&os y variados! algunos de los cuales se pueden leer en la prensa con muc&a frecuencia: fraudes electrónicos! casos de p&ising en la banca! filtraciones no deseadas de información o de datos personales! cortes en las comunicaciones! comunicaciones! etc. Los per%uicios que ocasionan los incidentes de seguridad son! cuando menos! incómodos y en muc&os casos económicamente gravosos: paradas de producción!  pérdidas de clientes! clientes! pérdida de reputación! reputación! etc. 2eg+n el +ltimo Estudio sobre sector de la seguridad )*C en Espa0a del *()EC/! más del 778 de las 9E2 &an tenido incidencias incidencias de seguridad: troyanos troyanos informáticos "77!;8$! virus "65!78$ y recepción de correo no deseado "6. En respuesta a esta pregunta en este módulo se van a ver los siguientes contenidos:



*mportancia de la seguridad para el negocio. ?eneficios.



Evaluación.











Importancia de la seguridad para el negocio En un país en el que todavía &acen falta planes de concienciación y campa0as de  promoción para informati#ar informati#ar a las 9E2! y la implantación de las medidas de seguridad establecidas establecidas por la L/, dista muc&o a+n de &aber sido llevada a cabo en el Las 9E2 tienen que enfrentarse como siempre a las limitaciones de  presupuesto! y a la falta de conocimientos conocimientos y de concienciación concienciación a la &ora de afrontar nuevos retos. El &ec&o de que la seguridad de la información tenga un importante componente tecnológico tecnológico agrava estas limitaciones! ya que se percibe como un área e-tra0a que se de%a en manos de e-pertos! &abitualmente a%enos y que no conocen el negocio y las implicaciones que tiene su traba%o en dic&o negocio. La seguridad de la información sin embargo! embargo! es un tema directamente relacionado con la supervivencia del negocio y con el aseguramiento de los ingresos. ara un banco sería dramático que le fallaran sus sistemas informáticos  por unos minutos! minutos! pero tienen la capacidad capacidad de evitarlo! evitarlo! y en su caso! caso! de solucionarlo. ara una 9E! un simple fallo f allo de energía de unas &oras puede ocasionar un trastorno importante! en muc&os casos con repercusiones repercusiones

económicas! económicas! ya que se podría parar la actividad y se perderían encargos o ventas. En caso de desastre "incendio o robo! r obo! no &ace falta pensar en ataques terroristas o &uracanes$ puede significar incluso el cierre a corto pla#o del negocio. 



uesto que! a pesar de nuestro retraso tecnológico! &oy el ordenador ya &a sustituido a la máquina de escribir y el correo electrónico se impone al tradicional! los problemas asociados a estos avances también &an llegado.  (uevas tecnologías tecnologías "informática móvil! redes redes inalámbricas! inalámbricas! memorias 2?! etc.$ etc.$ van incorporándose progresivamente a los negocios debido a sus evidentes venta%as! pero llevan apare%ados riesgos que no se consideran. 2i además la empresa tiene empleados! su negocio corre un riesgo a+n mayor. mayor. Como se mencionaba en la *ntroducción! al menos el 77 8 de las empresas &a tenido alg+n incidente de seguridad relevante. Es decir! que el riesgo e-iste! y no es en absoluto despreciable. 4demás 4demás &ay que tener en cuenta que! a pesar de que los ataques a sistemas informáticos reciben en muc&os casos una tremenda tr emenda  publicidad! e-iste e-iste un considerable considerable porcenta%e de incidentes incidentes con origen origen interno! es decir! ocasionados ocasionados por alg+n empleado y que! a pesar de no contar &abitualmente con una gran difusión! son potencialmente mas da0inos por el conocimiento de  primera mano que tienen los que los los generan. Es decir! decir! pueden pueden entrar en los sistemas con facilidad! saben dónde está la información más +til o que puede ser utili#ada para &acer da0o a la organi#ación! organi#ación! o simplemente sacan información que en caso de pérdida o filtración puede ocasionar problemas.

 







Los incidentes! desde una simple infección por virus a una venta de información interna a la competencia o a un desastre como el incendio del Aindsor! Aindsor! tienen un coste económico directo que &ay que valorar: tiempos de parada! activos da0ados o perdidos! cese del lucro entrante! sanciones administrativas o contractuales! etc. Los costes indirectos pueden ser incluso más graves: pérdidas de clientes a medio pla#o! pérdida de reputación! etc. El cumplimiento de la legislación "principalmente la L/,$ está propagando la idea de que la información debe ser protegida so pena de incurrir en faltas que se  pagan con multas multas bastante elevadas. elevadas. 9a que el principio principio es el mismo! detectar detectar qué es importante "para la L/, los datos personales! para la organi#ación el fic&ero de clientes! por e%emplo$! se podría aprovec&ar esta preocupación para e-tender la protección al resto de los activos de información de la empresa. 2iempre e-iste el! por supuesto %ustificado! temor de los costes de afrontar este tipo de proyectos. 1ay que tener muy presente que ninguna ley ni norma va a e-igir un nivel de seguridad por encima de los que las necesidades y los recursos disponibles en la organi#ación organi#ación requiera! porque lógicamente! las necesidades de seguridad "y el presupuesto! no lo vamos a negar$ de la asesoría que lleva la contabilidad no son comparables a las de la 4gencia 4gencia Espacial Europea! por e%emplo. Contar con un sistema de gestión permite ordenar las actividades de la organi#ación organi#ación y dirigirlas &acia el ob%etivo que la empresa busca. Esto a veces se ve como un impedimento para el desarrollo de las actividades de la organi#ación! organi#ación! como un obstáculo que impide reaccionar con la rapide# que

requieren los tiempos y las particularidades del sector económico en el que se encuentre la organi#ación. 2in embargo! embargo! lo que se pretende con un sistema de gestión es precisamente evitar que tengamos que reaccionar ante &ec&os que  podrían &aber sido previstos y gestionados gestionados adecuadamente adecuadamente antes antes de que llegaran llegaran a ser un problema. Evitar problemas es una manera muy barata de a&orrar costes. Como tantos otros aspectos de la gestión de cualquier organi#ación! organi#ación! la clave está en adoptar una solución proporcionada a las necesidades necesidades del negocio.

eneficios E-isten numerosas e importantes ra#ones para afrontar el desarrollo y la implantación de un 2istema de 3estión de la 2eguridad: 





!educción de costes" Esta debería ser

una de las principales motivaciones para llevar a cabo la implantación de un 232*! ya que incide directamente sobre la rentabilidad económica de una organi#ación. organi#ación. (o suele serlo porque lo que se ve en un principio es el coste del mismo! sin embargo! en un breve pla#o! se puede observar como el 232* evita varias situaciones que suponen un coste! a veces importante. 4l detectar detectar los principales focos de fallos y errores! y eliminarlos o reducirlos &asta donde es posible! se evitan costosos incidentes de seguridad! que &asta entonces se asumían como cosas que pasan. 4 veces se evitan incidentes que &ubieran ocurrido de no &aber tomado las medidas a tiempo! y eso es difícil de cuantificar! pero no por ello es menos real. 4 veces los  beneficios surgen surgen de manera manera imprevista! como la reducción de primas primas de seguros en algunas póli#as debido a la %ustificación de la protección de los activos asegurados. #ptimi$ar los recursos y las inversiones en tecnolog%a" Con un 232* las decisiones se tomarán en base a información fiable sobre el estado de los sistemas de información y a los ob%etivos de la organi#ación. organi#ación. 1abrá una motivación de negocio detrás de estas decisiones! por lo que la dirección podrá comprenderlas y apoyarlas de manera más consciente. La organi#ación de%ará de depender e-clusivamente e-clusivamente de la e-periencia o pericia del responsable de informática! o más peligroso a+n! del proveedor &abitual de informática! a la &ora de valorar las distintas opciones de compra. &rotección del negocio" Con un 232* en marc&a se evitan interrupciones en el

flu%o de ingresos! ya que se está asegurando de una manera efica# la disponibilidad de los activos de información y! por lo tanto! de los servicios que la organi#ación ofrece. Esto en cuanto a la actividad cotidiana! pero también se está preparado para recuperarse ante incidentes más o menos graves e incluso garanti#ar la continuidad del negocio! afrontando un desastre sin que peligre el negocio a largo pla#o. 

Mejora de la competitividad" Cualquier me%ora en la

gestión de la organi#ación redunda en beneficio de la eficacia y la eficiencia de la misma! &aciéndola más competitiva. 4demás 4demás &ay que considerar el impacto que suponen el aumento de la confian#a de los clientes en nuestro negocio! la diferenciación frente a los competidores y una me%or preparación para asumir retos tecnológicos.





Cumplimiento legal y reglamentario" Cada ve# son

más numerosas las leyes! reglamentos y normativas que tienen implicaciones en la seguridad de la información. 3estionando de manera coordinada la seguridad tenemos un marco donde incorporar los nuevos requisitos y poder demostrar ante los organismos correspondientes correspondientes el cumplimiento de los mismos. Mantener y mejorar la imagen corporativa" Los clientes percibirán la

organi#ación organi#ación como una empresa responsable! comprometida con la me%ora de sus procesos! productos y servicios. ,ebido a la e-posición de cualquier organi#ación organi#ación a un fallo de seguridad que pueda acabar en la prensa! este punto  puede ser un catali#ador de esfuer#os! esfuer#os! ya que nadie quiere que su marca quede asociada a un problema de seguridad o una multa por incumplimiento! por las repercusiones que acarrea.

2eg+n uno de los +ltimos estudios llevados a cabo! los costes asociados a los incidentes de seguridad van aumentando progresivamente . En Estados nidos! país donde se llevó a cabo el estudio! en el a0o 5@@B se estimó el coste de un incidente por cada registro comprometido en unos 5@5! mientras que en a0o anterior era de ArEculos FGH y siguientes del %ódigo Penal@. Saota)es informácos. informácos. #elito de da&os mediante la destrucción o alteración de datos" programas o documentos electrónicos contenidos en redes o sistemas informácos. >ArEculo 1HI y otros del %ódigo Penal@. ,raudes informácos. informácos. #elitos de estafa a tra$és de la manipulación de datos o programas para para la otención de un lucro luc ro il(cito. >ArEculos 1IG y ss. del %ódigo Penal@. Amenazas. 4ealizadas por cualquier medio de comunicación. >ArEculos 0H; y ss. del %ódigo Penal@. %alumnias e in)urias. %uando se propaguen por cualquier medio de e!cacia seme)ante a la imprenta o la radiodifusión. >ArEculos 1?J y ss. del %ódigo Penal@.



Pornogra8a infanl. 7+isten $arios delitos en este ep(grafeo

o

o

o

La inducción" promoción" fa$orecimiento o facilitación de la prostución de una persona menor de edad o incapaz. >arEculo 0G:@ La producción" $enta" distriución" e+hiición" por cualquier medio" de material pornográ!co en cuya elaoración hayan sido ulizados menores de edad o incapaces" aunque el material tu$iere su origen en el e+tran)ero o fuere desconocido. >arEculo 0G;@. La facilitación de las conductas anteriores anteriores >7l que facilitare la producción" $enta" distriución" e+hiición...@. >arEculo 0G;@. La posesión de dicho material para la realización de dichas conductas.> arEculo 0G;@.

1ay que tener en cuenta que además nuestro Código enal recoge directivas europeas y establece penas importantes por comportamientos tales como las del 4rtículo ec (&ompro3ar)

na ve# puesto en marc&a el plan de seguridad! se debe revisar periódicamente periódicamente de manera que se detecten posibles desviaciones. ueden &aberse producido retrasos en las acciones a tomar o bien &aber surgido problemas que no fueron previstos y que &ay que solucionar para continuar con el plan. /tra de las comprobaciones que se reali#an dentro del 232* es la auditoría interna. )iene por ob%eto la medida y evaluación de la eficacia de otros controles! mediante la auditoría se determinar si los ob%etivos de los controles! los controles! los procesos y los  procedimientos:



7stán conformes conformes con los requisitos de la 2orma '27FF M Pro Pro.. K HH@ HH@

Alta

%asi seguro que ocurra el peor escenario posile >ProD M HH@

La siguiente tabla se utili#ará para calcular el nivel de riesgo! valorando el impacto que tendría en un activo la ocurrencia de una amena#a: 2i$el de riesgo A!enaza

Ba'a

Media

Alta

Mu( alta

&ulne ulnerrabil abilid idad ad Ba'a Ba'a Me Medi dia a Alt Alta Ba'a Ba'a Me Medi dia a Alt Alta Ba'a Ba'a Me Medi dia a Alta Alta Ba'a Ba'a Me Medi dia a Alt Alta I!pacto

) 0

0

0

0

0

1

0

1

1

1

1

F

* 0

1

1

1

1

F

1

F

F

F

F

I

+ 1

1

F

1

F

F

F

F

I

F

I

I

, 1

F

F

F

F

I

F

I

I

I

I

J

- F

F

I

F

I

I

I

I

J

I

J

J

2i$el de riesgo A!enaza

Ba'a

Media

Alta

Mu( alta

&ulne ulnerrabil abilid idad ad Ba'a Ba'a Me Medi dia a Alt Alta Ba'a Ba'a Me Medi dia a Alt Alta Ba'a Ba'a Me Medi dia a Alta Alta Ba'a Ba'a Me Medi dia a Alt Alta . F

I

I

I

I

J

I

J

J

J

J

H

/ I

I

J

I

J

J

J

J

H

J

H

H

0 I

J

J

J

J

H

J

H

H

H

H

:

1 J

J

H

J

H

H

H

:

:

G

G

;

2 H

H

:

:

G

G

G

;

;

;

0? 0?

0?

)omemos como e%emplo un activo! portátiles! cuya valoración &a resultado ser B y cuyas principales amena#as se considera que son:



4oo. 7rrores de los usuarios.



#i$ulgación de información.



Acceso no autorizado.



or lo que el nivel de riesgo será: 2i$el de riesgo A!enaza

I!pacto

$robabilidad

3&alor 3&alor del Ac4o5 de la A!enaza

&ulnera &ulnerabilidad bilidad 6i4el de riesgo riesgo

,uego

G

a)a

Alta

H

7rrores de los usuarios

G

Alta

=edia

:

#i$ulgación de información G

=edia

=edia

H

Acceso no autorizado

=uy Alta

Alta

;

Cotal Co

1G

 

G

El valor de riesgo para este activo es la suma de los valores individuales de cada amena#a! por lo que es 5B. ,e este modo obtendríamos el riesgo de todos los activos que se &an incluido en el 4nálisis de Iiesgos y podríamos reali#ar las medidas oportunas para mitigarlos "o reali#ar el tratamiento escogido en cada caso$.

%ocumentar el análisis de riesgos

*ndependientemente *ndependientemente de la metodología o la &erramienta informática que se utilice para la reali#ación del análisis de riesgos! el resultado debería ser una lista de los riesgos correspondientes correspondientes a los posibles impactos en caso de que se materialicen las amena#as a las que están e-puestos los activos.

Esto permite categori#ar los riesgos e identificar cuales deberían ser tratados primero o más e-&austivamente. e-&austivamente. 2e debe escoger! escoger! a la vista de los resultados! cual es el nivel de riesgo que la organi#ación está dispuesta a tolerar! de manera que por deba%o de ese nivel el riesgo es aceptable y por encima no lo será y se tomará t omará alguna decisión al respecto. 1ay cuatro tipos de decisiones para tratar los riesgos que se consideran no aceptables: 3ransferirlo

El riesgo se traspasa a otra organi#ación! por e%emplo mediante un seguro. ,liminarlo

2e elimina el riesgo! r iesgo! que normalmente sólo se puede &acer eliminando el activo que lo genera! por ello esta opción no suele ser viable. Mitigarlo

Es decir! reducir el riesgo! normalmente aplicando controles de seguridad. Es una de las opciones más &abituales. sumirlo

/tra opción com+n es aceptar que no se puede &acer nada y por lo tanto se asume ese riesgo.

)oda esta información debe quedar documentada para %ustificar las acciones que se van a tomar para conseguir el nivel de seguridad que la organi#ación organi#ación quiere alcan#ar y como referencia para posteriores análisis.

Metodolog%as E-isten numerosas metodologías disponibles disponibles para la reali#ación de análisis de riesgos! ya que es una labor que requiere de bastante dedicación y con una metodología estructurada se facilita la tarea! sobre todo si e-iste una &erramienta que simplifique todo el proceso. La organi#ación debe escoger aquella que se a%uste a sus necesidades! y si considera varias opciones! inclinarse por la más sencilla. 1ay que tener en cuenta que el análisis de riesgos debe revisarse periódicamente! por lo que si se &ace con una metodología complicada! esta labor necesitará de una dedicación e-cesiva. 4 continuación continuación se detallarán algunas de las metodologías más reconocidas: nálisis 9olands ;3@ I3=!>(*-C?>3@ AManual de protección básica de 3IB

,esarrollado en 4lemania 4lemania por la /ficina ederal de la 2eguridad de la *nformación "?2* en sus siglas alemanas$. Este manual proporciona un método  para establecer establecer un 232* en cualquier cualquier organi#ación! organi#ación! con recomendaciones recomendaciones técnicas para su implantación. El proceso de seguridad de )* propuesto por esta metodología sigue los siguientes pasos: *niciar el proceso. ,efinir los ob%etivos de seguridad y el conte-to de la organi#ación. organi#ación.  



Establecer la organi#ación para la seguridad de )*.



roporcionar recursos.



Crear el concepto de la seguridad de )*.



4nálisis de la estructura de )*.



Evaluación de los requisitos de protección.



odelado.



Comprobación de la seguridad de )*.



lanificación e implantación.



antenimiento! seguimiento y me%ora del proceso.

La metodología incluye listas de amena#as y controles de seguridad que se  pueden a%ustar a%ustar a las necesidades necesidades de cada organi#ac organi#ación. ión. M,!I3

,esarrollado por el inisterio de 4dministraciones +blicas espa0ol! es una metodología de análisis de riesgos que describe los pasos para reali#ar un análisis del estado de riesgo y para gestionar su mitigación! detalla las tareas  para llevarlo a cabo cabo de manera que que el proceso esté esté ba%o control en todo momento y contempla aspectos prácticos para la reali#ación de de un análisis y una gestión realmente efectivos. Cuenta con detallados catálogos de amena#as! vulnerabilidades y salvaguardas. Cuenta con una &erramienta! denominada *L4I para el análisis y la gestión de los riesgos de los sistemas de información que tiene dos versiones! una completa para grandes organi#aciones y otra simplificada para las peque0as. Manual de -eguridad de 3I ustriaco

onsta de dos partes! en la primera se describe el proceso de la gestión de la seguridad de )*! incluyendo el análisis de riesgos y la segunda es un compendio de 5;@ medidas de seguridad. Es conforme con la (orma *2/J*EC *2



roceso de certificación.



Evaluación.



Hu significa obtener la (orma >(,EI-#=I,C 2.//1J Certificar un 232* seg+n la (orma (EJ*2/Q*EC 57@@< significa obtener un W,ocumentoX que reconoce y avala la correcta adecuación del 2istema de 3estión de 2eguridad de la *nformación conforme a esta norma de referencia. Las motivaciones para intentar obtener la certificación provienen de muc&as fuentes! y  probablemente cada cada área de la organi#ac organi#ación ión tenga sus propios propios motivos para implicarse implicarse en una tarea de esta índole. El motivo más claro y generali#ado es el prestigio que otorga una certificación a la organi#ación! ya que es una evidencia clara y ob%etiva de que la gestión se está reali#ando de manera ordenada y efica#! siguiendo buenas  prácticas internacionales internacionales con el ob%etivo ob%etivo de ser cada día un poco me%ores. me%ores. Con la certificación se formali#a y acredita la buena gestión de la seguridad de la información.

/tros importantes motivos son me%orar la confian#a de clientes y proveedores en los  productos y servicios servicios de la organi#ación! organi#ación! el cumplimiento cumplimiento de ob%etivos ob%etivos empresariales o alimentar el proceso de me%ora continua! proporcionar visibilidad al área de sistemas! e incluso servir de canal de comunicación entre esta área y el resto de la organi#ación! que en ocasiones parecen e-istir a%enas las unas de las otras. Lo que aporta la certificación es avalar la adecuada implantación! gestión y operación de todo lo relacionado con la implantación de un 232* seg+n la (orma (EJ*2/Q*EC 57@@fcinas

?

F

F

H

E!pleados

1

1

1

H

9ubcontratados

1

1

0

J

E"pedientes

F

F

F

;

Contabilidad

F

F

F

;

Aplicaciones co!erciales

fcinas

9ubcontrat ados E"pediente s Contabilida d

alores alores de riesgo // &alo r del ac 4o

9uplanta Diusi8n Fallos de de inor!a ci8n

Fallos de

ci8n de Acceso

!anteni!i !anteni!i ento de

ento de

@ard;are so;are

la

s no

=o

idenda autoriz bo d del

ado

Indisponibi Ingeni lidad del

era

personal

social

=ies go

usuario

I?

I?

I?

1?

I?

1? 1? 

1?

:

1"G

1"G

1"G

0"I

1"G

0"I 0"I

0"I

:

Aplicacion I

0"H

0"H

0"H

?"G

0"H

?"G ?"G

?"G

I

$robabilid ad Aplicacion es de ges8n

es co!erciale

alores alores de riesgo // &alo r del ac

9uplanta Diusi8n Fallos de de ci8n

ci8n de Acceso

!anteni!i !anteni!i

inor!a

4o

Fallos de

ento de

ento de

la

s no

=o

idenda autoriz bo

@ard;are so;are

d del

ado

Indisponibi Ingeni lidad del

era

personal

social

=ies go

usuario

s 9er4idores I

0"H

0"H

0"H

?"G

0"H

?"G ?"G

?"G

I

I

0"H

0"H

0"H

?"G

0"H

?"G ?"G

?"G

I

co!unicaci :

1"G

1"G

1"G

0"I

1"G

0"I 0"I

0"I

:

H

1"I

1"I

1"I

0"1

1"I

0"1 0"1

0"1

H

E!pleados H

1"I

1"I

1"I

0"1

1"I

0"1 0"1

0"1

H

J

1

1

1

0

1

0

0

J

;

F"H F"H

F"H F"H

F"H F"H

0"G 0"G

F"H F"H

0"G 0"G 0"G 0"G

0"G 0"G

;

;

F"H F"H

F"H F"H

F"H F"H

0"G 0"G

F"H F"H

0"G 0"G 0"G 0"G

0"G 0"G

;

$uestos de usuario =ed de ones >fcinas

9ubcontrat ados E"pediente s Contabilida d

0

$aso '

1aciendo un resumen! las medidas de seguridad con las que ya cuenta la empresa son las siguientes: 











>4eferido >4eferido a H controles@ Seguridad 8sica de las instalaciones >%orrespondiente a la seguridad 8sica aplicada en las dependencias4eferido >4eferido a 0 control@ %ontroles sore los datos de entrada en las aplicaciones. >4eferido >4eferido a H controles@ %ontroles %ontroles que aseguran a los pri$ilegios de acceso a la información y los sistemas. >4eferido >4eferido a J controles@ %ontroles que estalecen los procedimientos de comunicación y resolución de prolemas e incidencias. >4eferido >4eferido a 0 control@ Procedimientos de copias de seguridad. >4eferido >4eferido a F controles@ Procedimientos de iden!cación y autencación de usuarios en los sistemas.



>4eferido >4eferido a 1 controles@ Protección contra $irus y malNare.

)eniendo en cuenta las medidas ya implantadas y los riesgos detectados en los pasos anteriores! se &an decidido implantar las siguientes medidas de seguridad "cada una de ellas puede afectar a uno o varios controles de la norma *2/ 57@@4eferido >4eferido a 1 controles@ Cener Cener una pol(ca de seguridad de la información y controlar su ciclo de $ida. >4eferido >4eferido a 0 control@ Cener las responsailidades claramente de!nidas. >4eferido >4eferido a 0 control@ /nsertar cláusulas detalladas de seguridad en los contratos con terceros.



>4eferido >4eferido a 0 control@ %ontar con personal espec(!co para la gesón de la seguridad.



>4eferido >4eferido a 0 control@ 7ntrenar y formar al personal en seguridad.

















>4eferido >4eferido a F controles@ 7stalecer procedimientos procedimientos para camios y !nalización del empleo as( como para todas las acciones relacionadas con el cese de un empleado. >4eferido >4eferido a 0 control@ %ontroles sore los datos de salida de las aplicaciones. >4eferido >4eferido a F controles@ %ontroles roustos para realizar operaciones remotas >desde el e+terior de la organización@. >4eferido >4eferido a H controles@ =onitorizar y super$isar los sistemas de información y aplicar las medidas de seguridad apropiadas sore las acciones de super$isión4eferido >4eferido a 0 control@ 7stalecer procedimientos para la gesón4eferido a F controles@ Procedimientos de instalación del soONare y actualización del soONare y prohiición de soONare no autorizado. >4eferido >4eferido a 0 control@ Procedimientos y autorización para adquisición de recursos. >4eferido >4eferido a F controles@ Protección " tratamiento y equetado de la información sensile eliminada" as( como de sus soportes.



>4eferido >4eferido a 0 control@ 4e$isión de la capacidad de los sistemas.



>4eferido >4eferido a 0 control@ Sistemas de alimentación ininterrumpida.



>4eferido >4eferido a J controles@ Planes de connuidad de negocio.

,e acuerdo con esta información! en el siguiente e%ercicio se &a de indicar qué controles se van a implantar "O4plicarO$ o ya están implantados en la empresa "O4plicadosO$. 4quellos que no figuran en ninguno de los dos grupos se marcarán como O(o 4plicadosO. or +ltimo en la siguiente lista aparecen los dominios y ob%etivos de la norma! dentro de los cuales se encuentran los