Академический Документы
Профессиональный Документы
Культура Документы
CONCEPTOS FUNDAMENTALES
¿Qué entendemos por seguridad de la información?
• Responsabilidad
• Privacidad
• No-repudio
Conceptos de Seguridad de Información
Confidencialidad .- La información debe ser accedida solo por personal
autorizado. El opuesto de confidencialidad es divulgación.
Confiabilidad en los
Responsabilidad Legal Concientización Políticas y Procedimientos
Sistemas
I E
H NH H NH
S NS S NS S NS S NS
Tipos de Amenazas - Internas
Interna – Hostiles y Sofisticadas “I-H-S”:
Empleado que desea causar daño; podría tener el apoyo de alguna entidad
Interna No-Hostil y Sofisticada “I-NH-S”:
Administrador de sistemas senior curioso
Interna Hóstil No Sofisticado “I-H-NS”:
Empleado descontento, conocimientos limitados
Interna No-Hostil No sofisticado “I-NH-NS”:
Usuarios principiantes
Tipos de Amenazas - Externas
Externo Hostil y Sofisticado “E-H-S”:
Espionaje corporativo, Hacker financiado, Hacker malintencionado
Externo – No hostil – Sofisticado “E-NH-S”:
Hacker metódico, no dañino vinculado a organización alguna, Curioso, reta
hombre-maquina
Externo Hostil No Sofisticado “E-H-NS”:
Tipo de hacker que trabaja por su cuenta
Externo No hostil y No sofisticado
hacker no dañino, novato
¿Cuáles son Nuestras Vulnerabilidades?
La palabra Vulnerabilidad hace referencia a
una debilidad en un sistema permitiendo a
un atacante violar la confidencialidad,
integridad, disponibilidad, control de
acceso y consistencia del sistema o de sus
datos y aplicaciones.
Vulnerabilidades (V)
Definición.- Un medio por la cual una amenaza explota o compromete cada activo.
Ejemplos:
Ausencia de políticas, procedimientos ó guías
No existe un adecuado soporte a la seguridad en el nivel ejecutivo
No existen controles sobre el acceso físico al edificio
Objetivo: Clasificar el impacto de cada vulnerabilidad en el ambiente. Determinar que amenazas son más
probables que exploten una vulnerabilidad
Vulnerabilidad v/s Amenaza
Una vulnerabilidad es una debilidad en un activo.
◦ Apetito de Riesgo.- Definido como la decisión de la gerencia, sobre la cantidad del valor
de riesgo que la organización toma para cumplir sus objetivos y su misión.
◦ Relacionado a los riesgos que deben ser mitigados y manejados
Reiteración de incidentes
Dispersión de responsabilidades
Falta de documentación
Denegación de servicio
Últimos parches no instalados Backups inexistentes
Port scanning
Desactualización
Replay attack Keylogging
Principales riesgos y el impacto en las organizaciones
En estos tipos de problemas es difícil:
• Darse cuenta que pasan, hasta que pasan.
Tan solo:
• Ordenando la Gestión de Seguridad
Definido por: Javier Alva Karen Silva Walter Castro Esther Jara
Jefe Medico Jefe de Dpto. Analista Dpto.Registros
Médicos
Endocrinologia Cirugía Dpto. Sistemas
Descripción del Colección de datos, registros e información para prestar atención medica a
Activo de un paciente. Incluye antecedentes, diagnósticos médicos, tratamientos,
información información de seguros médicos, facturación, etc.
Requerimientos de Seguridad
Confidencialidad
Integridad
El personal del hospital requiere que esta información sea exacta, correcta y no modificada. Solo
personal autorizado debe crear y modificar dicha información.
Disponibilidad
La información debe estar disponible las 24 horas x 7 dias x 365 dias. Para el tratamiento del
paciente.
Activos de Información (cont.)
Perfil de Activo de Información
Fallas en la seguridad de los registros médicos puede ocasionar juicios por parte del paciente, multas
y sanciones por parte del gobierno.
Activos
Amenaza
Vulnerabilidades Controles
Proceso de Administración de Riesgo
Objetivos de
Administración de Concientización Asumir el Riesgo
Riesgos Detección temprana de problemas Evitar el Riesgo
Administrar recursos y gastos Reducir el Riesgo
Lograr los Transferir el riesgo
Objetivos Compartir el riesgo
Proteger las
inversiones Identificar y
Mitigar
Priorizar
Controlar los Riesgos
Riesgos
gastos
Reportar Monitorear
3. Identificar Riesgos
4. Evaluar Riesgos
Terminología
◦ Política reglas generales que todos deben seguir, deben ser cortas y claras.
Estándar
“Toda información confidencial debe ser encriptado en los medios por los cuales es
transmitida y cuando es almacenado en dispositivos móviles”
Guía
“Los datos confidenciales no deberán ser almacenados sobre un dispositivo móvil
tales como laptop, PDA, USB drive, etc.”
Ejemplo de Política, Estándar, Guía, Procedimiento
Procedimientos
◦ Como encriptar un archivo
Protegen de Exponen
Aumentan Aumentan
Disminuyen
Controles Riesgos Activos
Impacta si se
materializan
Marcan Tienen
Imponen
Aumenta
Las amenazas son La consecuencia de Es decir hace pasar Los activos están Los controles de
los eventos que la amenaza, si se el activo inicial expuestos a seguridad que se
pueden materializa, es un anterior conocido muchos tipos de implementan se
desencadenar un incidente que a otro posterior, amenazas, las seleccionaran
accidente en la modifica el estado que puede ser no cuales pueden teniendo en
organización, de seguridad de deseable. explotar sus cuenta las
produciendo daños los activos vulnerabilidades. vulnerabilidades
materiales o amenazados. de las amenazas.
perdidas
inmateriales a sus
activos.
Vulnerabilidades
También se le conoce como una debilidad
Que hacer
Riesgo intrínseco Riesgo residual después del
análisis de riesgos
Interesan por su
Amenazas
Valor
Causan
cierta genera
Degradación Impacto
Con una
cierta
Probabilidad Riesgo
Paso 1: Activos
Componente o funcionalidad de un sistema de información susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones (software), equipos
(hardware), comunicaciones, recursos administrativos, recursos físicos y
recursos humanos. [UNE 71504:2008]
En un sistema de información hay 2 cosas esenciales:
◦ la información que maneja
◦ y los servicios que presta.
Paso 1: Activos
Subordinados a dicha esencia se pueden identificar otros activos relevantes:
◦ Datos que materializan la información.
◦ Servicios auxiliares que se necesitan para poder organizar el sistema.
◦ Las aplicaciones informáticas (software) que permiten manejar los datos.
◦ Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
◦ Los soportes de información que son dispositivos de almacenamiento de datos.
◦ El equipamiento auxiliar que complementa el material informático.
◦ Las redes de comunicaciones que permiten intercambiar datos.
◦ Las instalaciones que acogen equipos informáticos y de comunicaciones.
◦ Las personas que explotan u operan todos los elementos anteriormente citados.
Dependencias
Los activos esenciales son la información y los servicios prestados; pero estos
activos dependen de otros activos más prosaicos como pueden ser los equipos,
las comunicaciones, las instalaciones y las frecuentemente olvidadas personas
que trabajan con aquellos.
◦ Activos esenciales
◦ Información que se maneja
◦ Servicios prestados
◦ Servicios internos
◦ Que estructuran ordenadamente el sistema de información
◦ El equipamiento informático
◦ Aplicaciones (software)
Dependencias
◦ Equipos informáticos (hardware)
◦ Comunicaciones
◦ Soportes de información: discos, cintas, etc.
◦ El entorno: activos que se precisan para garantizar las siguientes capas
◦ Equipamiento y suministros: energía, climatización, etc.
◦ Mobiliario
◦ Los servicios subcontratados a terceros
◦ Las instalaciones físicas
◦ El personal
◦ Usuarios
◦ Operadores y administradores
◦ Desarrolladores
Valoración
¿Por qué interesa un activo? Por lo que vale.
No se está hablando de lo que cuestan las cosas, sino de lo que valen
La valoración se puede ver desde la perspectiva de la ‘necesidad de proteger’ pues cuanto más
valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o dimensiones)
de seguridad que sean pertinentes
El valor puede ser propio, o puede ser acumulado
El valor nuclear suele estar en la información que el sistema maneja y los servicios que se
prestan (activos denominados esenciales), quedando los demás activos subordinados a las
necesidades de explotación y protección de lo esencial.
Determinación de los Valores del Riesgo
Nivel Rango Descripción
Pérdida o inhabilitación temporal o permanente de activos o recursos considerados críticos y no
respaldados.
5 Crítico Interrupción total de la prestación de servicio o procesos de negocio por parte de la organización.
Daño significativo de la imagen y reputación de la Organización de cara a la opinión pública.
Fuga de información estratégica
Pérdida o inhabilitación temporal o permanente de activos o recursos no considerados críticos y no
respaldados.
4 Mayor Interrupción parcial de la prestación de servicio o procesos de negocio por parte de la organización.
Daño significativo de la imagen y reputación de la Organización de cara a los actuales clientes
Fuga de información confidencial pero no catalogada como estratégica
Pérdida o inhabilitación temporal o permanente de activos o recursos considerados críticos y
respaldados.
No hay Interrupción de la prestación de servicio o procesos de negocio por parte de la organización, pero
3 Moderado
el rendimiento se ve seriamente afectado.
Daño indirecto o colateral de la imagen y reputación de la Organización de cara a la opinión pública
Fuga de información reservada pero no catalogada como confidencial o estratégica
Pérdida o inhabilitación temporal o permanente de activos o recursos no considerados críticos y
respaldados.
No hay Interrupción de la prestación de servicio o procesos de negocio por parte de la organización, pero
2 Menor
el rendimiento se ve sensiblemente afectado.
Daño indirecto o colateral de la imagen y reputación de la Organización de cara a la opinión pública
Fuga de información sensible pero no catalogada como reservada, confidencial o estratégica
Pérdida o inhabilitación temporal o permanente de activos o recursos secundarios (por ejemplo activos
1 Muy Bajo de red de respaldo o backup)
Fuga de información no pública pero no catalogada como sensible
Probabilidad del Riesgo
5 Altamente Probable Cuando la amenaza puede presentarse en periodos menos a una semana.
1 Muy Bajo Cuando la amenaza puede presentarse en periodos superiores a cinco años
Dimensiones
De un activo puede interesar calibrar diferentes dimensiones:
◦ Su confidencialidad: ¿qué daño causaría que lo conociera quien no debe?
◦ Esta valoración es típica de datos.
◦ Su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto?
◦ Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcial-mente falsos o, incluso, faltar datos.
◦ Su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo?
◦ Esta valoración es típica de los servicios.
◦ La autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa?
◦ Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autentici-dad de quien accede a los datos para
escribir o, simplemente, consultar)
◦ La trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea,
¿quién hace qué y cuándo?
◦ La trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué
hace con ellos?
¿Cuánto vale la “salud” de los activos?
Una vez determinadas qué dimensiones (de seguridad) interesan de un activo
hay que proceder a valorarlo. La valoración es la determinación del coste que
supondría recuperarse de una incidencia que destrozara el activo. Hay muchos
factores a considerar:
◦ Coste de reposición: adquisición e instalación
◦ Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
◦ Lucro cesante: pérdida de ingresos
◦ Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdi-da de
actividad o en peores condiciones económicas
◦ Sanciones por incumplimiento de la ley u obligaciones contractuales
◦ Daño a otros activos, propios o ajenos
◦ Daño a personas
◦ Daños medioambientales
¿Cuánto vale la “salud” de los activos?
La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa
(en alguna escala de niveles). Los criterios más importantes a respetar son:
◦ La homogeneidad: es importante poder comparar valores aunque sean de diferentes di-
mensiones a fin de poder combinar valores propios y valores acumulados, así como poder
determinar si es más grave el daño en una dimensión o en otra
◦ La relatividad: es importante poder relativizar el valor de un activo en comparación con otros
activos
Valoración cualitativa
Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un
orden relativo respecto de los demás. Es frecuente plantear estas escalas como “órdenes de
magnitud” y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo.
La limitación de las valoraciones cualitativas es que no permiten comparar valores más allá de su
orden relativo. No se pueden sumar valores
No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo
de activo y lo que le podría ocurrir
Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en
la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su
influencia en el valor del activo, en dos sentidos:
◦ Degradación: cuán perjudicado resultaría el [valor del] activo
◦ Probabilidad: cuán probable o improbable es que se materialice la amenaza
El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de
valoración, siendo una función del valor propio y de la degradación causada.
El impacto es tanto mayor cuanto mayor es el valor propio de un activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado
Agregación de valores de impacto
Los párrafos anteriores determinan el impacto que sobre un activo tendría una
amenaza en una cierta dimensión. Estos impactos singulares pueden agregarse
bajo ciertas condiciones:
◦ Puede agregarse el impacto repercutido sobre diferentes activos,
◦ Puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí, y no
hereden valor de un activo superior común,
◦ No debe agregarse el impacto acumulado sobre activos que no sean independientes, pues
ello supondría sobre ponderar el impacto al incluir varias veces el valor acumulado de acti-
vos superiores,
◦ Puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque con-
viene considerar en qué medida las diferentes amenazas son independientes y pueden ser
concurrentes,
◦ Puede agregarse el impacto de una amenaza en diferentes dimensiones
Determinación del riesgo potencial
Se denomina riesgo a la medida del daño probable sobre un sistema.
Conociendo el impacto de las amenazas sobre los activos, es directo derivar el
riesgo sin más que tener en cuenta la probabilidad de ocurrencia.
El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una
serie de zonas a tener en cuenta en el tratamiento del riesgo (que veremos más
adelante):
◦ Zona 1 – riesgos muy probables y de muy alto impacto
◦ Zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto
medio, hasta situaciones muy probables pero de impacto bajo o muy bajo
◦ Zona 3 – riesgos improbables y de bajo impacto
◦ Zona 4 – riesgos improbables pero de muy alto impacto
El riesgo en función del impacto y la probabilidad
Riesgo acumulado .- Es el calculado sobre un activo teniendo en cuenta
◦ El impacto acumulado sobre un activo debido a una amenaza y
◦ La probabilidad de la amenaza
Agregación de riesgos.- Los párrafos anteriores determinan el riesgo que sobre un activo
tendría una amenaza en una cierta dimensión. Estos riesgos singulares pueden agregarse bajo
ciertas condiciones:
◦ Puede agregarse el riesgo repercutido sobre diferentes activos,
◦ Puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí, y no hereden
valor de un activo superior común
◦ No debe agregarse el riesgo acumulado sobre activos que no sean independientes, pues ello supondría
sobre ponderar el riesgo al incluir varias veces el valor acumulado de activos su-periores,
◦ Puede agregarse el riesgo de diferentes amenazas sobre un mismo activo, aunque conviene considerar
en qué medida las diferentes amenazas son independientes y pueden ser concu-rrentes,
◦ Puede agregarse el riesgo de una amenaza en diferentes dimensiones
Paso 3: Salvaguardas
Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos
tecnológicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizándose
adecuadamente, otras requieres elementos técnicos (programas o equipos), otras seguridad
física y, por último, está la política de personal
Selección de salvaguardas
Ante el amplio abanico de posibles salvaguardas a considerar, es necesario hacer una criba
inicial para quedarnos con aquellas que son relevantes para lo que hay que proteger. En esta
criba se deben tener en cuenta los siguientes aspectos:
1. Tipo de activos a proteger, pues cada tipo se protege de una forma específica
2. Dimensión o dimensiones de seguridad que requieren protección
3. Amenazas de las que necesitamos protegernos
4. Si existen salvaguardas alternativas
Selección de salvaguardas
Además, es prudente establecer un principio de proporcionalidad y tener en cuenta:
1. El mayor o menor valor propio o acumulado sobre un activo, centrándonos en lo más valioso
y obviando lo irrelevante
2. La mayor o menor probabilidad de que una amenaza ocurra, centrándonos en los riesgos
más importantes (ver zonas de riesgo)
3. La cobertura del riesgo que proporcionan salvaguardas alternativas
Selección de salvaguardas
Esto lleva a dos tipos de declaraciones para excluir una cierta salvaguarda del
conjunto de las que conviene analizar:
◦ No aplica – se dice cuando una salvaguarda no es de aplicación porque técnicamente no es adecuada al
tipo de activos a proteger, no protege la dimensión necesaria o no protege frente a la amenaza en
consideración
◦ No se justifica – se dice cuando la salvaguarda aplica, pero es desproporcionada al riesgo que tenemos
que proteger
◦ Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación,
mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance.
Incluso al-gunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la
amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las con-secuencias
se limitan.
Están expuestos a
Activos
Interesan por su
Amenazas
Valor
Causan
cierta Degradación Impacto
residual residual
Con una
cierta
Probabilidad Riesgo
residual residual
[CR] corrección
◦ cuando, habiéndose producido un daño, lo re-para. Son salvaguardas que actúan después de que el
incidente se haya producido y por tanto reducen los daños.
◦ Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimenta-ción
redundantes, ...
[RC] recuperación
◦ Cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las
probabilidades del incidente, pero acotan los daños a un periodo de tiempo.
◦ Ejemplos: copias de seguridad (back-up)
Tipo de protección
[MN] monitorización
◦ Trabajan monitorizando lo que está ocurriendo o lo que ha ocu-rrido. Si se detectan cosas en tiempo
real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori,
podemos aprender del incidente y me-jorar el sistema de salvaguardas de cara al futuro.
◦ Ejemplos: registros de actividad, registro de descargas de web
[DC] detección
◦ Funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide
el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque,
minimizando daños.
◦ Ejemplos: anti-virus, IDS, detectores de incendio, ..
Tipo de protección
[AW] concienciación
◦ Actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él.
La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las
salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto
o, al menos, no menoscabándolo por una mala operación.
◦ Ejemplos: cursos de concienciación, cursos de formación
[AD] administración
◦ Relacionadas con los componentes de seguridad del sistema. Una buena administración evita el
desconocimiento de lo que hay y por tanto impide que hayan puertas desconocidas por las que pudiera
tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo.
◦ Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad
Tipos de salvaguardas
Efecto Tipo
[PR] preventivas
Preventivas: [DR] disuasorias
[EL] eliminatorias
[IM] minimizadoras
Acotan la degradación [CR] correctivas
[RC] recuperativas
[MN] de monitorización
Consolidad el efecto de las demás [DC] de detección
[AW] de concienciación
[AD] administrativas
Eficacia de la protección
Las salvaguardas se caracterizan, además de por su existencia, por su eficacia
frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz,
eficacia que combina 2 factores: desde el punto de vista técnico.
◦ Es técnicamente idónea para enfrentarse al riesgo que protege
◦ Se emplea siempre
El cálculo del impacto residual es sencillo. Como no han cambiado los activos, ni sus
dependencias, sino solamente la magnitud de la degradación, se repiten los cálculos de impacto
con este nuevo nivel de degradación.
El riesgo residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre
los activos superiores.
Formalización de las actividades
Este conjunto de actividades tiene los siguientes objetivos:
◦ Levantar un modelo del valor del sistema, identificando y valorando los activos relevantes.
◦ Levantar un mapa de riesgos del sistema, identificando y valorando las amenazas sobre
aquellos activos.
◦ Levantar un conocimiento de la situación actual de salvaguardas.
◦ Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto potencial (sin
salvaguardas), como el impacto residual (incluyendo el efecto de las salvaguardas
desplegadas para proteger el sistema).
◦ Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin salvaguardas), como el
riesgo residual (incluyendo el efecto de las salvaguardas desplegadas para proteger el
sistema).
◦ Informar de las áreas del sistema con mayor impacto y/o riesgo a fin de que se puedan tomar
las decisiones de tratamiento con motivo justificado.
Formalización de las actividades
El análisis de los riesgos se lleva a cabo por medio de las siguientes tareas:
MAR – Método de Análisis de Riesgos
◦ MAR.1 – Caracterización de los activos
◦ MAR.11 – Identificación de los activos
◦ MAR.12 – Dependencias entre activos
◦ MAR.13 – Valoración de los activos
◦ MAR.2 – Caracterización de las amenazas
◦ MAR.21 – Identificación de las amenazas
◦ MAR.22 – Valoración de las amenazas
◦ MAR.3 – Caracterización de las salvaguardas
◦ MAR.31 – Identificación de las salvaguardas pertinentes
◦ MAR.32 – Valoración de las salvaguardas
◦ MAR.4 – Estimación del estado de riesgo
◦ MAR.41 – Estimación del impacto
◦ MAR.42 – Estimación del riesgo
Proceso de gestión de riesgos
Proceso de gestión de riesgos
A la vista de los impactos y riesgos a que está expuesto el sistema, hay que
tomar una serie de decisiones condicionadas por diversos factores:
◦ La gravedad del impacto y/o del riesgo
◦ Las obligaciones a las que por ley esté sometida la Organización
◦ Las obligaciones a las que por reglamentos sectoriales esté sometida la Organización
◦ Las obligaciones a las que por contrato esté sometida la Organización
Proceso de gestión de riesgos
Dentro del margen de maniobra que permita, pueden aparecer consideraciones adicionales
sobre la capacidad de la Organización para aceptar ciertos impactos de naturaleza intangible
tales como:
◦ Imagen pública de cara a la Sociedad (aspectos reputacionales)
◦ Política interna: relaciones con los propios empleados, tales como capacidad de contratar al personal
idóneo, capacidad de retener a los mejores, capacidad de soportar rotaciones de personas, capacidad
de ofrecer una carrera profesional atractiva, etc.
◦ Relaciones con los proveedores, tales como capacidad de llegar a acuerdos ventajosos a corto, medio o
largo plazo, capacidad de obtener trato prioritario, etc.
◦ Relaciones con los clientes o usuarios, tales como capacidad de retención, capacidad de incrementar la
oferta, capacidad de diferenciarse frente a la competencia, ...
◦ Relaciones con otras organizaciones, tales como capacidad de alcanzar acuerdos estratégicos, alianzas,
etc.
◦ Nuevas oportunidades de negocio, tales como formas de recuperar la inversión en seguridad
◦ Acceso a sellos o calificaciones reconocidas de seguridad
Proceso de gestión de riesgos
Todas las consideraciones anteriores desembocan en una calificación de cada riesgo
significativo, determinándose si ...
◦ Es crítico en el sentido de que requiere atención urgente
◦ Es grave en el sentido de que requiere atención
◦ Es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento
◦ Es asumible en el sentido de que no se van a tomar acciones para atajarlo
La opción 4, aceptación del riesgo, siempre es arriesgada y hay que tomarla con prudencia y
justificación. Las razones que pueden llevar a esta aceptación son:
◦ Cuando el impacto residual es asumible
◦ Cuando el riesgo residual es asumible
◦ Cuando el coste de las salvaguardas oportunas es desproporcionado en comparación al im-pacto y
riesgo residuales
La calificación de los riesgos tendrá consecuencias en las tareas subsiguientes, siendo un factor
básico para establecer la prioridad relativa de las diferentes actuaciones.
Decisiones de tratamiento de los riesgos
Fases del
análisis de
riesgo
Fase 1. Definir el alcance
Hacer el análisis de riesgos cubra la totalidad del alcance del
PDS.
Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a terceros ocasionados por
fugas de información.
Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el caso práctico
que hemos expuesto, podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no es estrictamente
necesario.
Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado
alto y por tanto, la organización puede optar por asumir.
Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los
servicios en la nube en caso de que la línea principal haya caído.
NORMA TECNICA PERUANA
NTP-ISO/IEC 27001-2014
SEGURIDAD DE LA
INFORMACION
Conceptos Fundamentales
Para sus actividades diarias, operaciones de su trabajo, para cumplir con sus
funciones, el cual puede equivocarse o no, o hacer el bien o el mal.
Información a proteger
• El CV,
• Las cuentas bancarias,
• La compra de una empresa,
• Estados de cuenta,
• Las imágenes de una
• Deuda tributaria,
cámara,
• Resultados de análisis
• Los sueldos,
clínicos,
• Correos,
• Configuración de un equipo
• Grabación de un teléfono,
de red,
• Logs de auditoría,
• Códigos de un sistema,
• Contratos,
• Tipo de cambio,
• Examen de admisión,
• La propuesta técnica y
• Identificación,
económica,
• Resultados electorales,
• Estado financiero,
• La comunicación telefónica,
…
¿Qué es Seguridad de la Información?
La información es un recurso que, como el resto de los activos, tiene valor para
una organización y por consiguiente debe ser debidamente protegida.
La seguridad de la información protege ésta de una amplia gama de amenazas,
a fin de garantizar la continuidad del negocio, minimizar el daño al mismo y
maximizar el retorno sobre las inversiones y las oportunidades.
La información puede existir en muchas formas.
◦ Puede estar impresa o escrita en papel,
◦ Almacenada electrónicamente,
◦ Transmitida por un medio electrónico,
◦ Presentada en imágenes,
◦ o expuesta en una conversación.
Cualquiera sea la forma que adquiere la información, o los medios por los
cuales se distribuye o almacena, siempre debe ser protegida en forma
adecuada.
¿Seguridad de la Información ?
La seguridad de la información se caracteriza aquí como la preservación de:
Integridad
Asegurando que la información y sus métodos de
proceso son exactos y completos
Errores de incendios
Software 17%
9%
Caidas Electricas
10%
Agentes
Atmosfericos
Terremotos
14%
10%
VARIOS Incidentes de
seguridad
30% de INCIDENTES DE SEGURIDAD EXTERNOS
incidentes
externos
VIRUS
70 % de
incidentes
internos
ERRORES DE USUARIOS
Riesgos en materia de Seguridad actualmente
Su Información Crítica puede estar fácilmente en peligro.
◦ Ordenadores/ Sistemas informáticos amenazados (hackers, spyware, spam, etc.)
◦ Potenciales aplicaciones informáticas instaladas que no están autorizadas.
◦ Posible uso inapropiado del email y de la Web por los empleados.
◦ Proveedores de Servicios Informáticos que no han tomado las acciones oportunas para
proteger la información de su organización.
◦ Catástrofes y contingencias imprevistas.
◦ Pérdida – sustracción – robo de la información crítica de la organización en cualquier tipo
de soporte.
◦ Etc …
Activos
ISO 27002:2013 Clausula 8.1
Activos relacionados con las instalaciones de procesamiento de
información, y la información deben ser identificados y un
inventario de los activos deberá estar redactado y mantenido.
activo
Hardware, Software,
Información Procesos Redes, Personal, Sitio,
Servicios
Partes interesadas
ISO 27001:2013 Clausula 4.2
Entendiendo las necesidades y expectativas de las partes interesadas
◦ Las partes interesadas que son relevantes para el sistema de gestión de seguridad de la
información, y
◦ Los requisitos de estas partes interesadas pertinentes a la seguridad de la información.
Los servicios de
La información de esos
Mis contribuyentes limpieza publica,
Los procesos que procesos debe ser
requieren que les infraestructura urbana,
soportan esos servicios confiable, integra y
brinde buenos servicios parques y jardines y
deben ser mejorados disponible para las
en el municipio. seguridad ciudadana
tomas de decisiones
tiene que ser de calidad
¿Riesgos?
ISO 27001:2013 Clausula 6.1.2 Evaluación de los riesgos de la seguridad de la
información.
◦ Identifica los riesgos de seguridad de la información:
◦ Aplicar el proceso de evaluación de riesgos de seguridad de información para identificar los riesgos
asociados a la pérdida de la confidencialidad, integridad y disponibilidad de la información en el
ámbito del sistema de gestión de la seguridad de información, y
◦ Identificar a los propietarios de los riesgos;
Liderazgo
ISO 27001:2013 Clausula 5.3 Roles de organización, responsabilidades y
autoridades
La alta dirección debe asegurarse de que las responsabilidades y autoridades
para las funciones pertinentes a la seguridad de información se asignen y se
comuniquen.
Vulnerabilidades Comunes
◦ Inadecuado o falta de compromiso de la dirección.
◦ Personal no capacitado y/o concientizado.
◦ Falta o Inadecuada asignación de responsabilidades.
◦ Ausencia de políticas/ procedimientos.
◦ Ausencia de controles
◦ Físicos / Lógicos
◦ Disuasivos / Preventivos / Detectivos / Correctivos
◦ Ausencia de reportes de incidentes y vulnerabilidades.
◦ Inadecuado seguimiento y monitoreo de los controles.
Normas Internacionalmente reconocidas
Normas aplicables
Entre los distintos organismos relacionados comercial y/o institucionalmente
con los temas de Seguridad de la Información, podemos encontrar los
siguientes:
◦ ISACA: COBIT
◦ British Standards Institute: BSI
◦ International Standards Organization: Normas ISO
◦ Departamento de Defensa de USA: Orange Book / Common Criteria
◦ ITSEC - Information Technology Security Evaluation Criteria: White Book
◦ Sarbanes Oxley Act, HIPAA
¿Cómo establecer los requisitos?
Es esencial que la Organización identifique sus requisitos de seguridad.
Existen tres fuentes principales.
La PRIMER FUENTE procede de la valoración de los riesgos de la
Organización. Con ella:
- Se identifican las amenazas a los activos,
- Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia.
- Se estima su posible impacto.
¿Cómo establecer los requisitos?
La SEGUNDA FUENTE es el conjunto de requisitos legales, estatutarios,
regulatorios y contractuales que debe satisfacer:
- La Organización,
- Sus socios comerciales,
- Los contratistas
- Los proveedores de servicios.
La TERCERA FUENTE está formada por los principios, objetivos y requisitos
que la Organización ha desarrollado para apoyar sus operaciones.
La norma
ISO/IEC 27001
Que es la ISO
Es una federación mundial de organismos nacionales de normalización alrededor de 160 países,
trabajan a nivel de Comités Técnicos, tienen al menos 19,000 estándares publicados desde 1947
(creación), 1951 (publicación).
Trabaja en función a 8 principios de gestión:
◦ 1.Orientación al cliente.
◦ 2.Liderazgo.
◦ 3.Participación del personal.
◦ 4.Enfoque de procesos.
◦ 5.Enfoque de sistemas de gestión.
◦ 6.Mejora Continua.
◦ 7.Enfoque de mejora continua.
◦ 8.Relación mutuamente beneficiosa con el proveedor
Que es la Norma ISO 27001
Es un Sistema de Gestión que comprende:
◦ Política de Seguridad
◦ Estructura Organizativa
◦ Procedimientos
◦ Recursos
Disponer de un referente en la relación entre organizaciones que permite exigir mutuamente niveles
concretos y adecuados de seguridad, para interrelacionar sistemas de clientes, control de stock,
facturación, pedidos, productos…
Definición de la norma ISO 27001
Qué NO es la Norma ISO 27001
◦ No es una norma destinada a proteger exclusivamente al departamento
de informática
31010
27x Extended Range 27009 Applicability
Risk assessment
techniques 27001 Inter-sector and
+ 27010
Inter organizational
Certification industry vertical
Conformity Assessment –
27011 Telecommunications
Vocabulary and general principals
17000 27013 27001+20000-1
A.14 Gestión de la continuidad del negocio A.14 Adquisición de sistemas, desarrollo y mantenimiento
Establecer el Implementar y
SGSI operar el SGSI
Actuar Verificar
Mantener y Monitorear y
mejorar el SGSI revisar el SGSI
• Medición de Resultados.
• Adoptar acciones correctivas • Análisis de tendencias.
• Adoptar acciones preventivas • Revisiones del SGSI por parte de la
• Tratamiento de no conformidades dirección
• Realizar auditorias internas del SGSI
Establecer el SGSI (Plan)
Establecer la política de seguridad, objetivos, metas, procesos y procedimientos
relevantes para manejar riesgos y mejorar la seguridad de la información para generar
resultados de acuerdo con una política y objetivos marco de la organización.
Objetivo: Política:
Criterio(s):
Que en la empresa no “Toda persona que
Lo que indica la ley, es
trabajen personas sobre cumpla 65 años deberá
decir 65 años
la edad a jubilar jubilarse”
Establecer el SGSI (Plan)
Identificar y evaluar opciones para tratar el riesgo
◦ Mitigar, eliminar, transferir, aceptar
MANUAL DE
SEGURIDAD
Describe el sistema de gestión de la seguridad
PROCEDIMIENTOS
DOCUMENTADOS Describe los procesos y las actividades
EXIGIDOS POR LA
NORMA
• Evaluación de riesgos
3 • Tratamiento de riesgos
• Selección de controles y declaración de aplicabilidad
• Auditoria interna
6 • Revisión del sistema
7 • Auditoria de Certificación.
Documentación del SGSI
La política de seguridad y los objetivos del SGSI.
El alcance del SGSI.
El proceso de evaluación de riesgos y sus resultados.
El proceso de tratamiento de riesgos y sus resultados.
La declaración de aplicabilidad.
Los procedimientos que la organización haya determinado que es
necesario mantener documentados.
Política de seguridad
La política de seguridad recogerá las líneas generales de actuación en
un documento que estará firmado por la dirección, en el que
manifiesta su compromiso de velar por la confidencialidad,
integridad, y disponibilidad de los activos de información.
Evaluación de riesgos
Elaboración del inventario de activos
◦ ¿Qué información es necesaria para prestar el servicio?
◦ ¿Con qué aplicaciones se está gestionando esa información?
◦ ¿Dónde se almacenan la información y las aplicaciones?
◦ ¿Se han subcontratado servicios o productos de los que dependan?
◦ ¿Por qué medios se transmite la información?
◦ ¿De qué personas depende el servicio?
Cálculo de impacto
Niveles de impacto
Evaluación de riesgos
Calcular el riesgo
◦ Con los valores obtenidos para cada activo hay que calcular el riesgo para cada amenaza, que
será una función del impacto que produciría sobre el activo en caso de materializarse y de la
probabilidad de materialización
Cálculo de riesgo
Niveles de riesgo
Identificar a los propietarios de los riesgos y tratamiento
de los riesgos
Una vez obtenidos todos los valores de riesgo hay que decidir cómo se va
a tratar cada uno de ellos; si se van a asumir, a transferir, a eliminar o a
mitigar. Esta decisión corresponde al propietario o propietarios del riesgo,
que deben ser previamente identificados y que en base a un criterio
determinarán el máximo riesgo asumible.
Identificar a los propietarios de los riesgos y tratamiento
de los riesgos
La información documentada del análisis de riesgos recogerá.
◦ Todas las valoraciones realizadas.
◦ Los valores de riesgo intrínseco.
◦ La identificación del propietario o propietarios del riesgo.
◦ Cuál es el riesgo asumible.
◦ Las decisiones tomadas respecto a cada uno de los riesgos.
Determinar las medidas de seguridad
◦ Definir una clasificación de la información. De manera que se conozca qué nivel
de seguridad se debe aplicar.
◦ Controles de acceso a la información. No todo el mundo tiene por qué acceder a
ella.
◦ Copias de seguridad. Para garantizar la disponibilidad de la información.
◦ Procedimientos de intercambio de información. Cómo se van a hacer llegar de
manera segura garantizando su integridad y confidencialidad.
Determinar las medidas de seguridad
Es conveniente revisar uno por uno los controles y considerar.
◦ Si está ya implementado.
◦ Si ayudaría a reducir los riesgos identificados.
◦ Si el coste de implementarlo es aceptable.
◦ Si el coste de la operación y el mantenimiento del control serán aceptables.
Determinar las medidas de seguridad
Las decisiones sobre la selección de controles deberán quedar
documentadas en el documento de aplicabilidad, que debe contener, para
cada control, la siguiente información.
◦ Si está aplicado.
◦ Si se va a aplicar.
◦ Si no se va a aplicar.
◦ Razonamiento explicando la decisión.
Evaluar los riesgos residuales
Tras seleccionar los controles a implantar y considerando los que ya
estaban implantados en cierta medida en la entidad, se debe proceder a
repetir el proceso de análisis de riesgos, aplicando la misma metodología,
pero en este caso considerando la seguridad implantada cuando se valore
la degradación y la frecuencia de las amenazas.
Plan de tratamiento del riesgo
Es necesario recoger todas estas actividades en un plan de tratamiento de
riesgos, estableciendo la trazabilidad entre las medidas a implantar y los
riesgos que cada una de ellas pretende mitigar.
Es conveniente comenzar con acciones de formación que permitan difundir entre todo
el personal las novedades que incorpora en la organización el SGSI, su importancia y los
objetivos perseguidos.
Fuente AENOR
NORMA TECNICA PERUANA
NTP-ISO/IEC 27002-2017
NTP-ISO/IEC 27002-2017
◦ Define las buenas prácticas para la gestión de la seguridad.
◦ Los controles de la norma ISO 27002 tienen la misma denominación que los indicados en el Anexo A de
la ISO 27001, la diferencia se presenta en el nivel de detalle.
NTP-ISO/IEC 27002-2017
◦ La ISO 27002 explica un control en forma extensa, en contraste con la ISO 27001 que sólo define una
oración a cada uno.
◦ No es posible obtener la certificación ISO 27002 porque no es una norma de gestión, la certificación en
ISO 27001 sí es posible.
◦ La ISO 27002 define cómo ejecutar un sistema y la ISO 27001 define el sistema de gestión de seguridad
de la información (SGSI).
Dominios NTP-ISO/IEC 27002-2017
5. Políticas de seguridad de la información 12. Seguridad de las operaciones
6. Organización de la seguridad de la 13. Seguridad de las comunicaciones
información
14. Adquisición, desarrollo y mantenimiento
7. Seguridad de los recursos humanos de sistemas
8. Gestión de activos 15. Relaciones con los proveedores
9. Control de acceso 16. Gestión de incidentes de seguridad de la
información
10. Criptografía
17. Aspectos de seguridad de la información
11. Seguridad física y del entorno en la gestión de continuidad del negocio
18. Cumplimiento
Dominios NTP-ISO/IEC 27002-2017
5. Políticas de seguridad de la información.
5.1 Dirección de la gerencia para la seguridad de la información
9. Control de acceso.
9.1 Requisitos de la empresa para el control de acceso
9.2 Gestión de acceso de usuario
9.3 Responsabilidades de los usuarios
9.4 Control de acceso al sistema y aplicación
10. Criptografía.
10.1 Controles criptográficos
Dominios NTP-ISO/IEC 27002-2017
11. Seguridad física y del entorno.
11.1 Áreas seguras
11.2 Equipos
18. Cumplimiento.
18.1 Cumplimiento con requisitos legales y contractuales
18.2 Revisiones de seguridad de la información
13. Seguridad de las comunicaciones.
13.1 Gestión de seguridad de la red
◦ Objetivo: Asegurar la protección de la información en las redes y sus instalaciones de
procesamiento de información de apoyo.
◦ Guía de implementación: La capacidad del proveedor del servicio de red para gestionar los
servicios acordados de una manera segura debería ser determinada y regularmente
monitoreada y el derecho a auditar debería ser acordado.
Las medidas de seguridad necesarias para los servicios particulares, tales como
características de seguridad, niveles de servicio y los requisitos de gestión, deberían estar
identificadas. La organización debería asegurarse que los proveedores de los servicios de red
implementan estas medidas.
13. Seguridad de las comunicaciones.
◦ Información adicional: Los servicios de red incluyen la provisión de conexiones, servicios de
red privada y redes con valor agregado y soluciones de seguridad de redes gestionadas como
los firewalls y sistemas de detección de intrusiones. Estos servicios pueden ir desde un simple
ancho de banda no gestionado hasta complejas ofertas con valor agregado.