El profesional de la seguridad de la

informacin
[2.1] Cmo estudiar este tema?
[2.2] Introduccin
[2.3] La seguridad de la informacin como profesin
[2.4] Las certificaciones (ISC)2
[2.5] El estndar ISO 27001
[2.6] Buenas prcticas de seguridad en la gestin de servicios
de TI
[2.7] Modelos de madurez para la seguridad de la
informacin
[2.8] Otras certificaciones, estndares y recursos

TEMA

profesionales

TEMA 2 Esquema

CISSP

ejemplo

certificaciones

definida en

profesin

es una

ITIL

guas
ejemplo

definido en

O-ISM3

ejemplo

modelos

definido en

certificable
por

ISO 27001

ejemplo

estndares

Sistema de gestin de la seguridad de la informacin

implica

La seguridad de la informacin

Gestin de la seguridad

Esquema

Gestin de la seguridad

Ideas clave
2.1. Cmo estudiar este tema?
Para estudiar este tema lee el caso de estudio, adems de las Ideas clave que
encontrars a continuacin.
El objetivo fundamental de este tema es el de conocer los principales estndares,
asociaciones y certificaciones relacionadas con la profesin de la seguridad
de la informacin. Este conocimiento es esencial para comprender los
conocimientos que son necesarios para convertirse en un profesional en el rea.
Ms concretamente, los objetivos de este tema son los siguientes:
Entender y saber explicar el rol del profesional de la seguridad de la informacin en
referencia al reconocimiento de la profesin por los clientes, el entorno acadmico y
los conocimientos comnmente requeridos.
Comprender y saber explicar el rol del hacker tico dentro del contexto de la
seguridad de la informacin.
Conocer las fundamentales certificaciones en el rea de la seguridad de la
informacin y entender el proceso de certificacin.
Conocer el marco del estndar ISO 27001 y saber aplicar los conceptos de la norma
en situaciones prcticas.
Conocer modelos de buenas prcticas de gestin y de madurez en el rea de la
Seguridad de la Informacin y saber diferenciarlos entre s y con relacin a los
estndares de certificacin.

2.2. Introduccin
Este tema trata de introducirte en el mundo profesional de la seguridad de la
informacin. Como tal, lo que se pretende es que el estudiante obtenga una visin
general de algunas de las asociaciones, certificaciones y estndares ms importantes en
el rea. En la unidad se introducen algunas de ellas, pero debes complementarlas con
lecturas y bsquedas de informacin adicionales para tener una visin completa de qu
implica llegar a ser un profesional de la seguridad de la informacin.

TEMA 2 Ideas clave

Gestin de la seguridad

Despus de una lectura rpida de la unidad, es especialmente importante por su

relevancia como estndar dedicar tiempo a entender y conocer en detalle el estndar
ISO 27000 en lo relativo a su marco conceptual y terminologa. Los aspectos de
auditora no se tratan en esta unidad, ya que son objeto de otra asignatura.

2.3. La seguridad de la informacin como profesin

Una profesin puede caracterizarse por el desarrollo de los siguientes cinco criterios:

La creacin de un cuerpo organizado de conocimientos.

El reconocimiento por parte de los clientes de la autoridad de la profesin.

La aprobacin de la comunidad de la autoridad de la profesin.

Un cdigo de tica.

Una cultura profesional apoyada por, actividades acadmicas y profesionales.

Si miramos a la seguridad de la informacin, aunque no existe una carrera de Grado

especfica para la misma, s se ha desarrollado claramente como disciplina
independiente.
Aunque no hay una asociacin profesional de clara aceptacin general, el cuerpo de
conocimiento (body of knowledge, BOK) del consorcio (ISC)2 es un ejemplo de
recopilacin de requisitos en el rea que puede considerarse como definitorio de qu
debe saber un profesional de la seguridad de la informacin. Tambin el (ISC)2 incluye
en sus requisitos un cdigo tico al que los certificados por la organizacin deben
adherirse.
El reconocimiento de la profesin por la comunidad y los clientes parece ms que
evidente por la existencia de consultoras y empresas especializadas. Y desde el punto de
vista acadmico, existen conferencias acadmicas especializadas. Tambin hay
conferencias y eventos profesionales no especficos del mbito acadmico.

TEMA 2 Ideas clave

Gestin de la seguridad

Comentario
Desde el punto de vista acadmico, un ejemplo de evento especializado sera la
conferencia

ACM Conference on Computer and Communications Security (CCS)

(http://www.sigsac.org/ccs.html) que se celebra desde 1993, organizada por el Grupo de

Inters SIGSAC (Security, Audit and Control) de ACM.

Adems de las conferencias, existen numerosas revistas especializadas:

IEEE Security and Privacy es un magacn tcnico del IEEE.

Como tal, los artculos publicados son breves. A pesar de
quedar sometidos a evaluacin por pares (peer review), los
artculos segn la poltica editorial

en general no son

adecuados para su publicacin los artculos que cubren un

rea tcnica muy particular. Para estos artculos que no
encajan, se nos sugieren otras revistas

de IEEE ms

orientadas a la investigacin.

Un ejemplo de esas revistas es IEEE Transactions on

Secure and Dependable Systems:
http://www.computer.org/portal/web/tdsc/

El hacker como profesional?

Existe mucha confusin sobre el trmino hacker y la connotacin peyorativa que a
veces se le ha asignado. Sin entrar en discusiones terminolgicas, es importante
resaltar que actualmente existe un concepto de hacking tico que implica el
anlisis de vulnerabilidades de sistemas mediante acciones ofensivas, pero
excluyendo los motivos maliciosos o espurios. Por ello, el hacker tico acta en
coordinacin con las empresas, que utilizan sus servicios para mejorar su seguridad.

TEMA 2 Ideas clave

Gestin de la seguridad

El hacker tico es un profesional con unas capacidades muy concretas que

normalmente realiza penetration testing de manera controlada y previo contrato o
acuerdo con la empresa. La perspectiva de hacking tico tiene como elemento
interesante el situar la seguridad desde el contexto del atacante.
Los eventos relacionados con el hacking son diferentes de las conferencias acadmicas.
Ejemplos de estos eventos son:
El evento DefCon: https://www.defcon.org/
HackerHalted: http://www.hackerhalted.com/
En estos eventos se diseminan las tcnicas y vulnerabildades de seguridad que se
encuentran en la prctica, las cuales pueden utilizarse de manera maliciosa o tica,
aunque realmente las tcnicas son las mismas, es la intencin o el uso las que las
diferencia.

2.4. Las certificaciones (ISC)2

El Consorcio internacional de Certificacin de Seguridad de Sistemas de
Informacin o (ISC)2 (International Information Systems Security Certification
Consortium: https://www.isc2.org/), fundado en 1989, es una organizacin sin
nimo de lucro con sede en Florida, dedicada fundamentalmente a la formacin y
certificacin en seguridad de la informacin.
Las certificaciones (ISC)2 incluyen:
Certified Information Systems Security Professional (CISSP), que incluye:
o Information Systems Security Architecture Professional (CISSP-ISSAP)
o Information Systems Security Engineering Professional (CISSP-ISSEP)
o Information Systems Security Management Professional (CISSP-ISSMP)
Certified Secure Software Lifecycle Professional (CSSLP)
Certification and Accreditation Professional (CAP)
Systems Security Certified Practitioner (SSCP)

TEMA 2 Ideas clave

Gestin de la seguridad

Probablemente la ms conocida y extendida de todas ellas es el CISSP, que es una

certificacin profesional generalista muy amplia.
El CISSP
La certificacin CISSP es una de las ms valoradas por su reconocimiento
internacional. Un CISSP est certificado como profesional para definir la arquitectura,
diseo, gestin y controles de los sistemas empresariales. Los certificados, adems de
contar con un valor aadido para su contratacin, forman parte de la comunidad de
(ISC)2, donde pueden actualizarse y tener oportunidades adicionales para interactuar
con sus colegas.
El CISSP se estructura en diez dominios que conforman el Common Body of Knowledge
(CBK):
Seguridad de la informacin y gestin de riesgos (Information Security and Risk
Management)
Sistemas y metodologa de control de acceso (Access Control Systems and
Methodology)
Criptografa (Cryptography)
Seguridad fsica (Physical Security)
Arquitectura y diseo de seguridad (Security Architecture and Design)
Legislacin, eegulaciones, cumplimiento de las mismas e investigacin (Legal,
Regulations, Compliance, and Investigation)
Seguridad de red y telecomunicaciones (Telecommunications and Network Security)
Planes de continuidad del negocio y de recuperacin frente a desastres (Business
Continuity and Disaster Recovery Planning)
Seguridad en el desarrollo de aplicaciones (Application Development Security)
Seguridad de operaciones (Operations Security)
Para la certificacin CISSP se deben cumplir los siguientes requisitos:
Aprobar el examen CISSP: Consta de 250 preguntas de seleccin simple y 6
horas de duracin.
Demostrar experiencia mnima de 5 aos en al menos dos de los diez dominios
del CBK.
Adherirse al Cdigo tico de la ISC2.

TEMA 2 Ideas clave

Gestin de la seguridad

Para mantener la certificacin CISSP, se debe realizar una cierta cantidad de

actividades cuya finalidad es asegurar que el profesional se ha mantenido
activo en el rea de la seguridad en el tiempo. Cada una de estas actividades recibe
cierta cantidad de crditos (CPE) de los cuales el profesional debe reunir 120 cada 3
aos.
La certificacin CAP
La certificacin CAP (Certified Authorization Professional) se dirige a certificar los
conocimientos, las habilidades y las capacidades que necesitan los
profesionales que evalan riesgos y establecen parmetros de seguridad para
contrarrestar los riesgos potenciales. Se ha preparado con la colaboracin de la Oficina
de Seguridad de la Informacin del Departamento de Estado de los EE.UU.
Esta certificacin se centra en los siguientes dominios:

Entender la autorizacin de seguridad de sistemas de informacin

Categorizar Los sistemas de informacin

Establecer la lnea de base de control de seguridad

Aplicar controles de seguridad

Evaluar los controles de seguridad

Autorizar sistemas de informacin

Monitorizar los controles de seguridad

Como se puede ver, es una certificacin asociada a los procesos de

autorizacin y certificacin, no tan amplia como el CISSP.

2.5. El estndar ISO 27001

El estndar UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de
la Informacin (SGSI). Requisitos es el primero de la serie de estndares ISO
27000. Es la norma principal de la familia, ya que establece los requisitos para la
gestin del SGSI y su auditora.

TEMA 2 Ideas clave

Gestin de la seguridad

Antecedentes del estndar ISO 27001: ISO/IEC BS7799

El

Estndar

Britnico

ISO-IEC

BS7799-IT

es

un

cdigo

aceptado

internacionalmente en la prctica de la seguridad de la informacin. El estndar aplica

un mtodo de cuatro fases para implementar una solucin de sistemas de
administracin de seguridad de la informacin. La norma ISO 27001 puede
considerarse como la ltima revisin de la norma BS 7799:2002 Parte 2, de la
que ya haba en el mundo previamente alrededor de 2.000 certificados.
La familia ISO 27000
La siguiente figura resume las normas de seguridad de la familia 27000. Por
ejemplo, la norma ISO 27002 detalla los requisitos de la norma 27001, proporcionando
una gua de buenas prcticas que describe los objetivos de control y controles en cuanto
a seguridad de la informacin con 11 dominios, 39 objetivos de control y 133 controles.
No obstante, ISO 27002 no se considera una norma de certificacin como 27001, sino
una especificacin de apoyo o buenas prcticas.

ISO 27001 a 27010

Normas de seguridad
27001

Requerimientos del SGSI

27002

Buenas prcticas en seguridad

27003

Gestin del riesgo en el SGSI

27004

Mtricas y mediciones del SGSI

27005

Gua de implementacin del SGSI

27006
a
17010

Numeracin reservada a diferentes temas de la seguridad de la informacin

TEMA 2 Ideas clave

Gestin de la seguridad

Por ejemplo, en la ISO 27002 se incluye el siguiente control: Medios fsicos en

trnsito: Los medios que contienen informacin debieran ser protegidos contra accesos
no-autorizados, mal uso o corrupcin durante el transporte ms all de los lmites
fsicos de una organizacin.. Lgicamente, este control solo deber disearse en caso
de que se d el citado trnsito.
Introduccin a la norma 27001
La norma ISO 27001 describe los requisitos de un Sistema de Gestin de la
Seguridad de la Informacin (SGSI). Proporciona un marco comn para la
elaboracin de las normas de seguridad de cualquier tipo de organizacin,
estableciendo un mtodo de gestin eficaz de la seguridad. Esta norma es la base del
proceso de auditora y certificacin de los sistemas de seguridad de informacin
de las organizaciones.
El establecimiento del SGSI se realiza seleccionando una serie de controles
elegidos en funcin de su importancia en la gestin del sistema de seguridad.
La siguiente tabla resume la estructura de la norma y sus principales contenidos.

Captulo

Ttulo

Contenidos

Alcance

Establece el alcance y mbito de aplicacin

de la norma.

Referencias

Detalla otras normas relacionadas

Trminos y definiciones

Proporciona las definiciones de la

terminologa bsica.

Sistema de Gestin de la
Seguridad de la Informacin

Requisitos del SGSI, descritos en cuanto a

las fases de su ciclo de vida y a la
documentacin necesaria.

Responsabilidad de la direccin

Establece los requisitos de compromiso de

la direccin y de asignacin de recursos.

Auditoras internas del SGSI

Descripcin del proceso de la auditora

interna.

Revisin por la direccin del SGSI

Procedimientos de revisin directiva.

Mejora del SGSI

El SGSI como proceso de mejora.

En todos los procesos de un sistema de gestin de seguridad de la informacin,

se utiliza el modelo PDCA (Planear-Hacer-Chequear-Actuar).

TEMA 2 Ideas clave

Gestin de la seguridad

Establecer el
SGSI
Partes
interesadas

Partes
interesadas

Requisitos y
e xpe ctativas de
la se guridad de
la informacin

Mantener y
mejorar el
SGSI

Implantar y
ejecutar el
SGSI

Seguridad de la
informacin
ge stionada

Seguimiento
y revisin
del SGSI

El proceso de planificacin comienza con el diseo inicial del SGSI, incluyendo la

evaluacin de riesgos inicial y cmo se tratarn. Una vez se han diseado los diferentes
mecanismos de gestin (polticas, procedimientos, etc.) se ponen en marcha
implantando y ejecutando el SGSI.
En la fase de seguimiento y revisin ser cuando se evale la marcha del mismo.
Dependiendo del nivel de madurez del SGSI en esta fase de verificacin se incluirn
auditoras (internas o externas). Finalmente, a la luz de la evaluacin realizada, se
propondrn las mejoras al SGSI que pasarn a una nueva fase de diseo.
Requisitos generales
La adopcin de un sistema de gestin de seguridad de la informacin es una decisin
estratgica y se disea e implanta de forma diferente en cada organizacin. Una
organizacin debe definir el alcance y los lmites del sistema de gestin de
seguridad de la informacin de acuerdo con las caractersticas de la organizacin,
su ubicacin, activos y tecnologa.
Se deben establecer los objetivos de la poltica del sistema de gestin de seguridad de la
informacin, identificando los posibles riesgos o amenazas que se podran producir.

TEMA 2 Ideas clave

Gestin de la seguridad

Ejemplo
En una organizacin pequea, puede que el alcance del SGSI sea toda la organizacin.
No obstante, en organizaciones grandes no tiene por qu ser as. Por ejemplo, puede
que el alcance en una empresa de venta por Internet abarque la parte de comercio
electrnico pero no el aprovisionamiento (si este se realiza de manera tradicional, sin
conexin a Internet). En cualquier caso, al determinar el alcance es preciso indicar las
localizaciones fsicas afectadas (oficinas, departamentos), las funciones que quedan
incluidas, y tambin los elementos tecnolgicos cubiertos. Estos ltimos se pueden definir
por ejemplo mediante un diagrama de red.

Requisitos de documentacin
La documentacin del sistema de gestin de seguridad de la informacin deber
incluir la poltica, alcance y objetivos del SGSI, as como los diferentes
procedimientos y controles de seguridad del sistema.
La documentacin ser ms o menos amplia dependiendo de la organizacin y de las
diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los
requerimientos de seguridad variarn en funcin de estas circunstancias.
La direccin debe aprobar un documento de poltica de seguridad de la
informacin, que deber publicar y comunicar a todos los empleados y entidades
externas relevantes.
Se deben aprobar los documentos previamente a su distribucin, revisando y
actualizando los documentos segn las necesidades requeridas, y siempre que se
garantice que los documentos estn peridicamente actualizados.

TEMA 2 Ideas clave

Gestin de la seguridad

Jerarqua de la documentacin

Poltica, alcance,
evaluacin de
rie sgos,
declaracin de
aplicabilidad

Manual de se guridad

Procesos
Quin, qu , cundo, dnde

Proce dimientos

Detalla cmo se re alizan las actividade s

Instrucciones

Proporciona la evidencia objetiva del

cumplimiento de los requerimientos del SGSI

Registros

Compromiso de la direccin
La Norma ISO 27001 especifica la obligacin de suministrar evidencias del
compromiso planteado, tanto en el desarrollo como en la implantacin y mejora del
sistema, en los siguientes aspectos:
En el proceso de comunicacin interna al personal de la organizacin de la
gestin de la seguridad de la informacin en la empresa.
En el establecimiento de la poltica y los objetivos del sistema de gestin de
seguridad de la informacin de la empresa.
En la revisin peridica del desempeo del sistema de gestin.
En el aseguramiento de la disponibilidad de los recursos necesarios para la
plena efectividad del sistema.
Responsabilidades
Las

responsabilidades

sus

correspondientes

autoridades

perfectamente definidas en cualquier organizacin o empresa.

TEMA 2 Ideas clave

deben

estar

Gestin de la seguridad

La Norma ISO requiere que la alta direccin asegure que se cumplan estos
requisitos y que las responsabilidades sean comunicadas dentro de la organizacin,
valorando el tamao, complejidad y cultura de la organizacin.
Se puede nombrar un representante de la direccin que tendr la responsabilidad de:
Asegurar que los procesos del sistema de gestin de seguridad de la informacin se
implanten y funcionen.
Informar a la alta direccin sobre el desempeo del sistema y de cualquier
oportunidad de mejora.
Revisin por la direccin
La direccin debe desarrollar una actividad de revisin que implique la
verificacin de la eficacia y efectividad del sistema de gestin de seguridad de la
informacin para asegurar su plena validez.
El proceso de revisin por la direccin no debera ser un planteamiento realizado
solamente para satisfacer los requisitos de la norma o de los auditores, sino que debera
ser una parte integral de los procesos de gestin de la organizacin.

2.6. Buenas prcticas de seguridad en la gestin de servicios de TI

La gestin de los servicios de Tecnologa de la Informacin (TI) ha evolucionado
desde una organizacin ad hoc centrada en la visin tcnica de los recursos de TI a una
visin

integradora

que

considera

los

aspectos

humanos,

sociales

tecnolgicos que intervienen en un servicio de TI.

Servicio de TI
Servicio a uno o ms clientes, por un proveedor de servicios de TI. Un
servicio de TI se basa en el uso de tecnologas de la informacin y apoya el
cliente en sus procesos de negocio. Un servicio de TI se compone de una
combinacin de personas, procesos y tecnologa, y deben definirse en un
acuerdo de nivel de servicio.

TEMA 2 Ideas clave

Gestin de la seguridad

La definicin indica varios elementos fundamentales en la gestin de los servicios:

En primer lugar, hace referencia al apoyo al cliente en sus tareas. Esta es la
consideracin central, y es especialmente importante dado que un fallo en un
servicio de TI en muchas ocasiones implica que hay usuarios que no pueden hacer su
trabajo.
En segundo lugar, un servicio tiene tres componentes: personas, procesos y
tecnologa, y estos tres elementos deben tenerse en cuenta en la definicin, diseo
y evaluacin de cada servicio.
Por ltimo, la definicin hace referencia a los Acuerdos de Nivel de Servicio
(Service Level Agreement, SLA), que pueden entenderse como los contratos entre
los usuarios y proveedores del servicio, dando un carcter de predictibilidad a los
servicios, y permitiendo una evaluacin del servicio no ambigua, dado que los
niveles de calidad son explcitos en los acuerdos. Ms adelante veremos algunos
detalles sobre la forma de estos acuerdos.
Los acuerdos de nivel de servicio (service-level agreement, SLA) son acuerdos
formales sobre la divisin de la responsabilidad de los medios de computacin entre
el Departamento de Sistemas de Informacin (DSI) y los usuarios finales.
Estos acuerdos pueden considerarse contratos, y deben abarcar todos los recursos
fundamentales de las tecnologas de la informacin: hardware, software, personal,
datos, redes y procedimientos.

Comentario
De hecho, los SLA no son especficos de las relaciones de los DSI, sino que se utilizan para
todo tipo de relaciones de provisin de servicios. Se definen de manera general como
protocolo plasmado normalmente en un documento de carcter legal por el que una
compaa que presta un servicio a otra se compromete a prestar el mismo bajo unas
determinadas condiciones y con unas prestaciones mnimas. Se utilizan tambin con
profusin en contratos de outsourcing.

La fundamental ventaja de un SLA es que las responsabilidades quedan claramente

definidas, y los procesos para el funcionamiento diario tambin estn determinados de
manera precisa.

TEMA 2 Ideas clave

Gestin de la seguridad

Ejemplo
Ejemplo de SLA: Garanta de disponibilidad de red
Se define como tiempo en que el servidor tiene disponible la conectividad a Internet en el
puerto de red asignado. La disponibilidad del servicio se calcula segn la siguiente
frmula:
D = (T - Td) / T, donde
D es el tiempo de disponibilidad del servicio
T es el tiempo total mensual.
Td es el tiempo con prdida total de conectividad. Este tiempo de prdida, ser igual al
que trascurre desde la apertura de la incidencia, hasta el cierre de dicha incidencia.
En caso de prdida de disponibilidad real de este nivel de servicio, se aplicarn las
penalizaciones de la siguiente tabla, de acuerdo a las condiciones de penalizacin
generales del contrato.
Penalizaciones:
99% > D >= 98%

Nivel A

98% > D >= 96%

Nivel B

96% > D >= 90%

Nivel C

D < 90%

Nivel D

Clculo del tiempo de cada:

El clculo de esta magnitud se establecer desde que se ha dado noticia al DSI del
problema. El tiempo de la incidencia finaliza cuando el DSI comprueba que dicho servicio
se ha restaurado completamente.
No se considera tiempo de cada aquel debido a problemas derivados de un mal uso de la
red, o una mala configuracin de la red por parte del cliente.

Las buenas prcticas en los servicios de TI: ITIL

La prctica de la gestin de los servicios de TI madur progresivamente durante los
aos ochenta. El gobierno britnico, guidado por la necesidad de una gestin ms
efectiva de esos servicios, comenz a recopilar las formas en las que las organizaciones
con ms xito gestionaban sus servicios. Esto llev a la primera versin de la IT
Infrastructure Library (ITIL) al final de los ochenta, que no era otra cosa que un
conjunto de libros documentando los hallazgos de los estudios mencionados.

TEMA 2 Ideas clave

Gestin de la seguridad

El Information Technology Service Management Forum (itSMF) es el nico grupo de

usuarios internacionalmente reconocido e independiente dedicado a la gestin de
servicios TI, que surgi como un foro para que los usuarios de ITIL pudiesen
intercambiar experiencias y aprender colectivamente. Es propiedad de sus miembros y
son ellos quienes lo operan. El itSMF tiene gran influencia y contribuye a la industria
de las mejores prcticas y a los estndares a nivel mundial.
La primera filial del itSMF se fund en el Reino Unido en 1991. El itSMF holands
(itSMF Holanda) fue la siguiente, establecida en noviembre de 1993. Ahora existen
filiales itSMF en pases como Sudfrica, Blgica, Alemania, Austria, Suiza, Canad,
Estados Unidos, Francia y Australia, que cooperan con itSMF Internacional.
OGC (The Office of Government Commerce) es la Oficina independiente del Tesoro en
el Reino Unido. El objetivo de la OGC es definir estndares y proporcionar las mejores
prcticas para el mercado del RU. La OGC es la duea de ITIL y el desarrollo de
ITIL v3 ha sido auspiciado por la OGC.
La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el
proveedor acreditado en los siguientes aos. l definir el estndar de los
exmenes, la provisin de los exmenes, y entrenadores capacitados, materiales de
capacitacin y proveedores de capacitacin de ITIL v3.
El principio fundamental de ITIL es el de recoger todas las prcticas que funcionan.
Esta aproximacin se resume en unas caractersticas clave que pueden resumirse en las
siguientes:
ITIL no es propietario. Las prcticas de ITIL no son especficas de ningn tipo de
tecnologa o de sector. Adems, ITIL es propiedad del gobierno britnico, no estando
por lo tanto en manos de ningn proveedor concreto.
ITIL no es prescriptivo. ITIL recoge prcticas maduras, probadas de
aplicabilidad general. Por su carcter genrico, no establece ningn tipo de
obligatoriedad o uso concreto de tecnologas o tcnicas.
ITIL consiste en las mejores prcticas. ITIL recoge las mejores prcticas a
nivel global, por lo tanto, es el resultado de la experiencia acumulada.

TEMA 2 Ideas clave

Gestin de la seguridad

ITIL consiste en buenas prcticas. No todas las prcticas en ITIL pueden

considerarse como las mejores. Esto es una consecuencia del carcter evolutivo de
la prctica. Lo que hoy es lo mejor maana pasar simplemente a ser bueno o
comn, dado que se habrn descubierto formas mejores de hacer lo mismo, o bien el
entorno habr cambiado.
ITIL abarca prcticas de soporte y de entrega del servicio. La siguiente figura las
esquematiza.

Gestin de servicios TI

Soporte de servicios

Entrega del servicio

Service Desk
Gestin de incidentes

Gestin de los niveles de servicio.

Gestin de problemas

Gestin financiera.

Gestin de configuracin

Gestin de la disponibilidad.

Gestin del cambio

Gestin de la capacidad

Gestin de entregas

Las prcticas que ITIL recoge tienen unas caractersticas comunes cuando se
observa su tipo y cmo las aplican las mejores organizaciones de servicio. Esas
caractersticas pueden resumirse en los siguientes puntos:
Son predictivos en lugar de reactivos. Es decir, se basan en estudiar los
patrones de uso de los clientes o usuarios.
Son consistentes y medibles. Las mejores prcticas son estables y proporcionan
predictibilidad a los servicios de TI.
Son adaptables. Por ltimo, las prcticas deben permitir su optimizacin y mejora
continua.
Tomemos como ejemplo la prctica de la Gestin de la capacidad. Podemos definirla
cmo la prctica encargada de asegurar que la infraestructura de TI se proporciona
cuando se necesita, en el volumen necesario y con el precio adecuado, garantizando su
uso eficiente.

TEMA 2 Ideas clave

Gestin de la seguridad

Siguiendo el esquema anterior, como toda prctica ITIL, debe ser:

Predictiva. Esto se refleja, por ejemplo, en considerar que un factor crtico de xito
en esta prctica es proporcionar previsiones de demanda de TI precisas.
Consistente. Esto se refleja, por ejemplo, en la necesidad de implementar:
polticas, procesos y procedimientos de gestin de la capacidad.
Medible. Esto se refleja en los indicadores recomendados para la evaluacin del
servicio. Para esta prctica, entre los KPI (key performance indicators) tenemos por
ejemplo:
o Dlares en capacidad de TI no utilizada.
o Nmero de incidentes/violaciones de SLA debidos a la capacidad.
Adaptable.

Entre

las

actividades

encontramos:

Implementar

cambios

relacionados con la capacidad.

Es importante entender que las recomendaciones y directrices relativas a cada prctica
tienen en cuenta las cuatro caractersticas que acabamos de comentar.
El proceso de gestin de la seguridad en ITIL
El proceso de gestin de la seguridad en ITIL se basa en la norma ISO 27001 que ya
hemos visto. Para disear los procesos, las entradas son los requisitos que se formulan
por parte de los clientes. Estos requisitos se traducen en servicios de seguridad y de
calidad de seguridad que debe ser proporcionada en la seccin de seguridad de los
acuerdos de nivel de servicio. El proceso de gestin de la seguridad en ITIL es complejo
y abarca un buen nmero de diferentes actividades. La siguiente tabla resume algunas
de ellas.

Subproceso

Objetivo

Diseo de controles de
seguridad

Disear las medidas tcnicas y organizativas necesarias para

asegurar la disponibilidad, integridad y confidencialidad de los
recursos y servicios de informacin.

Pruebas de seguridad

Asegurar que los mecanismos de seguridad estn sujetos a

pruebas regulares.

Gestin de incidentes de
seguridad

Detectar y combatir los ataques y las intrusiones, y minimizar el

dao de las brechas de seguridad.

Revisin de la seguridad

Revisar si las medidas y procedimientos de seguridad son

coherentes con las percepciones de riesgo del negocio, y si esas
medidas y procedimientos se revisan y evalan regularmente.

TEMA 2 Ideas clave

Gestin de la seguridad

Respecto a los indicadores, la siguiente tabla describe indicadores tpicos para este
proceso.

KPI

Descripcin

Nmero de medidas de prevencin

implementadas

Nmero de medidas de prevencin implementadas en

respuesta a amenazas a la seguridad implementadas.

Duracin de la implementacin

Tiempo transcurrido desde la identificacin de una

amenaza hasta la implementacin de una
contramedida adecuada.

Nmero de incidentes de seguridad

importantes

Nmero de incidentes, clasificados por severidad.

Nmero de cadas del nivel de

servicio relacionadas con la
seguridad

Nmero de incidentes que han causado no

disponibilidad del servicio limitada o interrupcin

Nmero de test de seguridad

Nmero de test de seguridad (y de procesos de

formacin) llevados a cabo.

Nmero de problemas identificados

durante los test

Nmero de problemas identificados en el transcurso de

los test de seguridad

Es interesante detenerse a pensar cmo los KPI que se acaban de mencionar se

relacionan con los modelos econmicos de la seguridad. Las medidas de
prevencin son pre-incidente, as como los test, si bien el nmero de incidentes es postincidente. La orientacin al servicio hace que uno de los KPI tenga que ver con el
concepto de disponibilidad de manera directa.

2.7. Modelos de madurez para la seguridad de la informacin

Un modelo de madurez sirve para situar y evaluar el grado de desarrollo de
una gestin sistemtica, predecible y optimizable. Estos modelos se han
popularizado en el contexto del desarrollo de software, pero poco a poco han sido
adaptados a otros dominios, incluyendo el de la seguridad de la informacin.
En lo que sigue introducimos uno de esos modelos, el CMMI, quiz el ms conocido y
extendido en la actualidad. Es importante tener en cuenta que las ideas del CMMI se
han aplicado recientemente a los servicios (Forrester, Buteau and Shrum, 2009).

TEMA 2 Ideas clave

Gestin de la seguridad

Posteriormente describimos un modelo de madurez especfico de la seguridad de la

informacin.
El modelo de madurez CMMI
El modelo CMMI, acrnimo del ingls Capability Madurity Model Integration, es una
evolucin de un modelo anterior denominado CMM inicialmente desarrollado por el
Instituto de Ingeniera del Software (SEI) de la Universidad Carnegie Mellon.
El SEI llev a cabo el encargo de desarrollar un modelo de calidad que sirviera como
base para establecer un sistema de capacitacin de las compaas que suministraban
software al gobierno de los Estados Unidos. Dicho modelo fue definido como:
Un enfoque para la mejora de procesos que proporciona a una organizacin los
elementos esenciales para llevar a cabo sus procesos de manera efectiva. Puede utilizarse
para guiar la mejora de procesos en un proyecto, en un departamento, o en una
organizacin completa. CMMI ayuda a integrar funciones de la organizacin
tradicionalmente separadas, a establecer prioridades y objetivos en la mejora de procesos,
proporciona guas para los procesos de calidad y sirve como punto de referencia para la
evaluacin de los procesos actuales.

Ntese que CMMI no es un proceso de desarrollo de software, sino ms bien una gua
que describe las caractersticas que hacen efectivo a un proceso. Las ideas
que aporta pueden ser, por tanto, utilizadas como un conjunto de buenas prcticas,
como un marco para la organizacin y priorizacin de actividades, o como una forma de
alinear los objetivos de la organizacin con los objetivos del proceso en estudio.
CMMI se interesa por la mejora de los procedimientos y mtodos (procesos) que las
personas de una organizacin llevan a cabo con ayuda de tecnologa y otras
herramientas, ya que, si los procesos no estn correctamente definidos, son maduros y
ampliamente conocidos, ni las ms cualificadas personas sern capaces de rendir a su
mejor nivel an disponiendo de las mejores herramientas.

TEMA 2 Ideas clave

Gestin de la seguridad

El modelo O-ISM3
El Open Group desarrollado un modelo de madurez denominado Open Group Security
Management Maturity Model (O-ISM3), que permite el diseo de sistemas de
gestin de la seguridad alineados con la misin de la organizacin
empresarial y el cumplimiento de las necesidades.
Puedes encontrar ms informacin sobre el Open Group y el modelo O-ISM3 en las
siguientes direcciones web:
http://www.opengroup.org/
https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicati
onid=12238
La nueva norma permite a las organizaciones a priorizar y optimizar las
inversiones en seguridad de la informacin, as como permitir la mejora
continua de los sistemas que utilizan mtricas bien definidas.
El modelo se basa en la consideracin de tres elementos fundamentales en la seguridad
de la informacin que ya se han tratado en la asignatura:
Gestin de riesgos
Controles de seguridad.
Gestin de la seguridad, mediante un sistema de polticas y herramientas que las
implementan.
Por otro lado, el estndar se basa en las siguientes definiciones:
Proceso. Los procesos tienen capacidades que se realizan mediante prcticas de
gestin.
Capacidad. Las mtricas de un proceso revelan las capacidades del mismo.
Madurez (grado de). Ciertos conjuntos de procesos seleccionados segn ciertas
capacidades permiten clasificar a la organizacin en un nivel de madurez.

TEMA 2 Ideas clave

Gestin de la seguridad

La siguiente tabla resume la relacin entre procesos, capacidades y niveles de

capacidad o madurez.

Capability Level

Initial

Managed

Defined

Management
Practices Enabled

Audit.
Certify

Test

Monitor

Metric Type

Documentation

Controlled

Optimized

Planning

Benefits
Realization

Assessment

Optimization

Activity

Scope

Unavailability 1

Effectiveness

Load

Quality
Efficiency

2.8. Otras certificaciones, estndares y recursos profesionales

En esta seccin se amplan los estndares, certificaciones y recursos tratados en los
anteriores apartados con otras adicionales para completar la visin general del contexto
de la profesin.
La certificacin ICSM de ISACA
La Information Systems Audit and Control Association (ISACA, Asociacin de
Auditora y Control de Sistemas de Informacin), es una asociacin internacional
fundada en 1967 que promueve y organiza el desarrollo de metodologas y
certificaciones para las actividades auditora y control en sistemas de
informacin. Entre sus productos ms conocidos est el framework COBIT de control
de sistemas de informacin o las certificaciones de auditora.
ISACA ofrece tambin el Certified Information Security Manager (CISM, o Gestor
Certificado en Seguridad de la Informacin), dirigido especficamente al rea de gestin
en el contexto de la seguridad.

TEMA 2 Ideas clave

Gestin de la seguridad

Los dominios que cubre ICSM son los siguientes:

Gobierno de seguridad de la informacin.
Gestin de riesgos de informacin y cumplimiento.
Desarrollo y gestin del programa de seguridad de la informacin.
Gestin de incidentes de seguridad de la informacin.
El proceso de certificacin tiene bastantes puntos en comn con el de CISSP,
concretamente los pasos son los siguientes:
Aprobar el examen CISM.
Adherirse al Cdigo de tica Profesional de ISACA.
Estar de acuerdo en cumplir con la Poltica de Educacin Continua.
Acreditar experiencia laboral en el mbito de la seguridad de la informacin.
Presentar una solicitud de certificacin CISM.

TEMA 2 Ideas clave

Gestin de la seguridad

Lo + recomendado
No dejes de leer
Norma UNE/ISO 27001
La norma ISO 27001 establece los requisitos para la certificacin de los SGSI. Como tal,
es muy importante conocer sus contenidos y definiciones.

Hacking tico
En este libro gratuito, el autor expone las principales tcnicas y
fuentes de informacin para el denominado hacking tico, que
no es otra cosa que la intrusin proactiva en los sistemas sin
intencin maliciosa y mediando el consentimiento. El libro es
gratuito.

El libro est disponible en el aula virtual o en la siguiente direccin web:

http://www.hackingetico.com/

TEMA 2 Lo + recomendado

Gestin de la seguridad

The CISSP Prep Guide Gold Edition

Hay numerosos libros para la preparacin del examen CISSP
(adems de la propia gua del ISC2). Estas guas habitualmente
se estructuran de acuerdo a los dominios de la certificacin e
incluyen preguntas de test similares a las del examen con
diferentes niveles de dificultad.

El libro est parcialmente disponible en el aula virtual o en la siguiente direccin web:

http://www.amazon.com/gp/reader/047126802X/ref=sib_dp_pop_fc?ie=UTF8&p=S001#reader-link

No dejes de ver
Vdeos introductorios a ISO 27001
Esta serie de vdeos introduce los
conceptos de ISO 27001 contados por
expertos en el rea. Es una serie de
vdeos

cortos

especialmente
mientras

se

introductorios
recomendados

est

estudiando

la

norma.

El vdeo completo est disponible en el aula virtual o en la siguiente direccin web:

https://www.youtube.com/watch?v=V7T4WVWvAA8

TEMA 2 Lo + recomendado

Gestin de la seguridad

+ Informacin
A fondo
ITIL e ISO/IEC 27001
El artculo propone una correspondencia de ITIL con ISO 27001. Aunque la
correspondencia es solo una propuesta no oficial, es interesante para entender mejor la
complementariedad de las dos especificaciones.
El artculo est disponible en el aula virtual o en la siguiente direccin web:
http://www.indjst.org/archive/Feb-12/Feb-12-web/30-feb%2012%20sheikhpour.html

Webgrafa
Web informativa de la familia de estndares ISO 27000
Esta web ofrece informacin general de la familia de estndares.

http://www.27000.org/index.htm

TEMA 2 + Informacin

Gestin de la seguridad

Web de la organizacin (ISC)2

ISC2 es la organizacin dedicada a la certificacin de los profesionales de la seguridad
que soporta la certificacin CISSP. En su Web se pueden encontrar los detalles de las
diferentes certificaciones, enlaces a los materiales oficiales de preparacin de los
exmenes y tambin algunos recursos introductorios a los diferentes dominios de las
certificaciones.

https://www.isc2.org/

Bibliografa
Merino Bada, C. y Caizares Sales, R. (2011). Implantacin de un sistema de gestin de
seguridad de la informacin segn ISO 27001. Madrid: Fundacin Confemetal.
Tipton, H. F. and Micki K. (2004). Information Security Management Handbook.
Florida: Auerbach Publications.
VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach
Publications.

TEMA 2 + Informacin

Gestin de la seguridad

Actividades
Trabajo: Estudio de la norma ISO 27001
Merino Bada, C. y Caizares Sales, R. (2011). Implantacin de un sistema de gestin de
seguridad de la informacin segn ISO 27001. Madrid: Fundacin Confemetal.
Lee las pginas del libro Implantacin de un sistema de gestin de seguridad de la
informacin segn ISO 27001 y responde a las preguntas que se os plantearn a travs
del aula virtual.
El texto est disponible en el aula virtual.

Anlisis comparativo ITIL/ISO 27000/OISM3

Para profundizar ms en la complementariedad de la gua de buenas prcticas ITIL, la
norma ISO 27001 y el modelo de madurez OISM3, es necesario entender
conceptualmente:
1. Las diferencias en su mbito y aplicabilidad, es decir para qu sirve cada una.
2. Su audiencia, es decir a quin estn destinadas.
3. Su marco conceptual, por ejemplo, qu se entiende en cada una por poltica o
proceso y si son conceptos completamente equivalentes o no.
4. Cmo

pueden

hacerse

correspondencias

entre

sus

diferentes

elementos,

dependiendo del anlisis realizado en el punto anterior.

Para fijar bien los conceptos, haz un diagrama y/o tablas para especificar las
correspondencias y diferencias.

TEMA 2 Actividades

Gestin de la seguridad

Test
1. Indica cules de las siguientes afirmaciones son correctas.
A. Las certificaciones como el CISSP determinan el acceso al ejercicio de la
profesin dentro del rea de la seguridad de la informacin.
B. La profesin de la seguridad de la informacin cuenta con cuerpos de
conocimientos definidos y una cultura profesional como otras profesiones
diferenciadas.
C. El cdigo tico del profesional de la informacin es el definido en las normas
de auditora ISO 27001.
D. Ninguna de las anteriores.
2. Indica cules de las siguientes afirmaciones son correctas.
A. Las revistas acadmicas del rea de la seguridad de la informacin son el
principal medio de formacin bsica para los profesionales de la seguridad de
la informacin.
B. Se llama hacker tico a cualquier profesional de la seguridad de la
informacin.
C. Un hacker tico puede realizar acciones de penetration testing contra una
empresa siempre que no perciba beneficios econmicos por ello.
D. Ninguna de las anteriores.
3. Indica cules de las reas o conocimientos estn incluidas de forma explcita en la
certificacin CISSP:
A. La seguridad fsica de los sistemas.
B. La regulacin sobre la proteccin de datos.
C. El desarrollo de software seguro.
D. La psicologa de los delincuentes informticos.

TEMA 2 Test

Gestin de la seguridad

4. Indica cules de las siguientes afirmaciones son ciertas sobre las certificaciones de
seguridad de la informacin.
A. La certificacin CAP tiene un contenido tcnico equivalente a la certificacin
CISSP.
B. Las certificaciones son ttulos como las titulaciones, que se obtienen y no
necesitan renovarse.
C. La certificacin CISSP slo puede obtenerse cuando se tiene experiencia
profesional en el rea.
D. Ninguna de las anteriores.
5. Indica cules de las siguientes afirmaciones son ciertas sobre el estndar 27001.
A. ISO 27001 define en detalle el proceso de gestin del riesgo de un Sistema de
Gestin de la Seguridad de la Informacin.
B. ISO 27001 define la base y los conceptos para la auditora y certificacin de los
Sistemas de Gestin de la Seguridad de la Informacin.
C. ISO 27001 considera como uno de los elementos fundamentales el
compromiso de la direccin, requisito imprescindible para el establecimiento
de un Sistema de Gestin de la Seguridad de la Informacin.
D. Ninguna de las anteriores.
6. Indica cules de las siguientes afirmaciones son ciertas.
A. ISO 27001 se basa en un modelo de mejora continua donde la fase de
planificacin implica el diseo de mecanismos de gestin del Sistema de
Gestin de la Seguridad de la Informacin.
B. Segn ISO 27001, la adopcin de un Sistema de Gestin de la Seguridad de la
Informacin debe estar motivada por decisiones tcticas referentes a la mejora
de los costes asociados con la seguridad.
C. Segn ISO 27001, el Sistema de Gestin de la Seguridad de la Informacin
debe comprender a toda la organizacin, para garantizar que no existe
ninguna posibilidad de intrusin en ninguno de sus niveles.
D. Ninguna de las anteriores.

TEMA 2 Test

Gestin de la seguridad

7. Indica cules de las siguientes afirmaciones son ciertas.

A. Segn ISO 27001, los registros son evidencia objetiva sobre el cumplimiento
de los requisitos del Sistema de Gestin de la Seguridad de la Informacin.
B. Segn ISO 27001, la revisin de la direccin es el paso previo a la visita de los
auditores, que se realiza con el objeto de ser una comprobacin para evitar no
conformidades.
C. La poltica de seguridad de la informacin es el documento que debe
comunicarse a toda la empresa y a partir del cual se deriva el resto de los
requisitos del sistema.
D. Ninguna de las anteriores.
8. Indica cules de las siguientes afirmaciones son ciertas:
A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de
calidad de los servicios en diferentes dimensiones.
B. El proceso de gestin de la seguridad de ITIL prescribe los requisitos de un
sistema de seguridad si quiere ser compatible con ITIL.
C. ITIL describe como buena prctica la prueba de los mecanismos de seguridad
diseados dentro del SGSI.
D. Ninguna de las anteriores.
9. Indica cules de las siguientes afirmaciones son ciertas:
A. El modelo OISM3 tiene como objeto proporcionar las especificaciones para un
SGSI que sea certificable.
B. El concepto de madurez en OISM3 hace referencia al grado de capacidad del
staff de la empresa que se dedica a la seguridad de la informacin.
C. En un nivel de madurez controlado, se evala de manera continua desde la
gestin la calidad y efectividad de los diferentes aspectos de la seguridad.
D. Ninguna de las anteriores.
10. Indica cules de las siguientes afirmaciones son ciertas:
A. El modelo OISM3 e ITIL son dos opciones alternativas para la gestin de la
seguridad.
B. El concepto de KPI en ITIL tiene en comn con el de mtrica en OISM3 el que
hacen referencia a la medicin de los diferentes procesos.
C. Tanto OISM3 como ITIL se basan en modelos de mejora continua, por lo que
tienen una base comn con ISO 27001.
D. Ninguna de las anteriores.

TEMA 2 Test