Professional Documents
Culture Documents
informacin
[2.1] Cmo estudiar este tema?
[2.2] Introduccin
[2.3] La seguridad de la informacin como profesin
[2.4] Las certificaciones (ISC)2
[2.5] El estndar ISO 27001
[2.6] Buenas prcticas de seguridad en la gestin de servicios
de TI
[2.7] Modelos de madurez para la seguridad de la
informacin
[2.8] Otras certificaciones, estndares y recursos
TEMA
profesionales
TEMA 2 Esquema
CISSP
ejemplo
certificaciones
definida en
profesin
es una
ITIL
guas
ejemplo
definido en
O-ISM3
ejemplo
modelos
definido en
certificable
por
ISO 27001
ejemplo
estndares
implica
La seguridad de la informacin
Gestin de la seguridad
Esquema
Gestin de la seguridad
Ideas clave
2.1. Cmo estudiar este tema?
Para estudiar este tema lee el caso de estudio, adems de las Ideas clave que
encontrars a continuacin.
El objetivo fundamental de este tema es el de conocer los principales estndares,
asociaciones y certificaciones relacionadas con la profesin de la seguridad
de la informacin. Este conocimiento es esencial para comprender los
conocimientos que son necesarios para convertirse en un profesional en el rea.
Ms concretamente, los objetivos de este tema son los siguientes:
Entender y saber explicar el rol del profesional de la seguridad de la informacin en
referencia al reconocimiento de la profesin por los clientes, el entorno acadmico y
los conocimientos comnmente requeridos.
Comprender y saber explicar el rol del hacker tico dentro del contexto de la
seguridad de la informacin.
Conocer las fundamentales certificaciones en el rea de la seguridad de la
informacin y entender el proceso de certificacin.
Conocer el marco del estndar ISO 27001 y saber aplicar los conceptos de la norma
en situaciones prcticas.
Conocer modelos de buenas prcticas de gestin y de madurez en el rea de la
Seguridad de la Informacin y saber diferenciarlos entre s y con relacin a los
estndares de certificacin.
2.2. Introduccin
Este tema trata de introducirte en el mundo profesional de la seguridad de la
informacin. Como tal, lo que se pretende es que el estudiante obtenga una visin
general de algunas de las asociaciones, certificaciones y estndares ms importantes en
el rea. En la unidad se introducen algunas de ellas, pero debes complementarlas con
lecturas y bsquedas de informacin adicionales para tener una visin completa de qu
implica llegar a ser un profesional de la seguridad de la informacin.
Gestin de la seguridad
Un cdigo de tica.
Gestin de la seguridad
Comentario
Desde el punto de vista acadmico, un ejemplo de evento especializado sera la
conferencia
en general no son
de IEEE ms
orientadas a la investigacin.
Gestin de la seguridad
Gestin de la seguridad
Gestin de la seguridad
Gestin de la seguridad
Estndar
Britnico
ISO-IEC
BS7799-IT
es
un
cdigo
aceptado
27002
27003
27004
27005
27006
a
17010
Gestin de la seguridad
Captulo
Ttulo
Contenidos
Alcance
Referencias
Trminos y definiciones
Sistema de Gestin de la
Seguridad de la Informacin
Responsabilidad de la direccin
Gestin de la seguridad
Establecer el
SGSI
Partes
interesadas
Partes
interesadas
Requisitos y
e xpe ctativas de
la se guridad de
la informacin
Mantener y
mejorar el
SGSI
Implantar y
ejecutar el
SGSI
Seguridad de la
informacin
ge stionada
Seguimiento
y revisin
del SGSI
Gestin de la seguridad
Ejemplo
En una organizacin pequea, puede que el alcance del SGSI sea toda la organizacin.
No obstante, en organizaciones grandes no tiene por qu ser as. Por ejemplo, puede
que el alcance en una empresa de venta por Internet abarque la parte de comercio
electrnico pero no el aprovisionamiento (si este se realiza de manera tradicional, sin
conexin a Internet). En cualquier caso, al determinar el alcance es preciso indicar las
localizaciones fsicas afectadas (oficinas, departamentos), las funciones que quedan
incluidas, y tambin los elementos tecnolgicos cubiertos. Estos ltimos se pueden definir
por ejemplo mediante un diagrama de red.
Requisitos de documentacin
La documentacin del sistema de gestin de seguridad de la informacin deber
incluir la poltica, alcance y objetivos del SGSI, as como los diferentes
procedimientos y controles de seguridad del sistema.
La documentacin ser ms o menos amplia dependiendo de la organizacin y de las
diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los
requerimientos de seguridad variarn en funcin de estas circunstancias.
La direccin debe aprobar un documento de poltica de seguridad de la
informacin, que deber publicar y comunicar a todos los empleados y entidades
externas relevantes.
Se deben aprobar los documentos previamente a su distribucin, revisando y
actualizando los documentos segn las necesidades requeridas, y siempre que se
garantice que los documentos estn peridicamente actualizados.
Gestin de la seguridad
Jerarqua de la documentacin
Poltica, alcance,
evaluacin de
rie sgos,
declaracin de
aplicabilidad
Manual de se guridad
Procesos
Quin, qu , cundo, dnde
Proce dimientos
Instrucciones
Registros
Compromiso de la direccin
La Norma ISO 27001 especifica la obligacin de suministrar evidencias del
compromiso planteado, tanto en el desarrollo como en la implantacin y mejora del
sistema, en los siguientes aspectos:
En el proceso de comunicacin interna al personal de la organizacin de la
gestin de la seguridad de la informacin en la empresa.
En el establecimiento de la poltica y los objetivos del sistema de gestin de
seguridad de la informacin de la empresa.
En la revisin peridica del desempeo del sistema de gestin.
En el aseguramiento de la disponibilidad de los recursos necesarios para la
plena efectividad del sistema.
Responsabilidades
Las
responsabilidades
sus
correspondientes
autoridades
deben
estar
Gestin de la seguridad
La Norma ISO requiere que la alta direccin asegure que se cumplan estos
requisitos y que las responsabilidades sean comunicadas dentro de la organizacin,
valorando el tamao, complejidad y cultura de la organizacin.
Se puede nombrar un representante de la direccin que tendr la responsabilidad de:
Asegurar que los procesos del sistema de gestin de seguridad de la informacin se
implanten y funcionen.
Informar a la alta direccin sobre el desempeo del sistema y de cualquier
oportunidad de mejora.
Revisin por la direccin
La direccin debe desarrollar una actividad de revisin que implique la
verificacin de la eficacia y efectividad del sistema de gestin de seguridad de la
informacin para asegurar su plena validez.
El proceso de revisin por la direccin no debera ser un planteamiento realizado
solamente para satisfacer los requisitos de la norma o de los auditores, sino que debera
ser una parte integral de los procesos de gestin de la organizacin.
integradora
que
considera
los
aspectos
humanos,
sociales
Servicio de TI
Servicio a uno o ms clientes, por un proveedor de servicios de TI. Un
servicio de TI se basa en el uso de tecnologas de la informacin y apoya el
cliente en sus procesos de negocio. Un servicio de TI se compone de una
combinacin de personas, procesos y tecnologa, y deben definirse en un
acuerdo de nivel de servicio.
Gestin de la seguridad
Comentario
De hecho, los SLA no son especficos de las relaciones de los DSI, sino que se utilizan para
todo tipo de relaciones de provisin de servicios. Se definen de manera general como
protocolo plasmado normalmente en un documento de carcter legal por el que una
compaa que presta un servicio a otra se compromete a prestar el mismo bajo unas
determinadas condiciones y con unas prestaciones mnimas. Se utilizan tambin con
profusin en contratos de outsourcing.
Gestin de la seguridad
Ejemplo
Ejemplo de SLA: Garanta de disponibilidad de red
Se define como tiempo en que el servidor tiene disponible la conectividad a Internet en el
puerto de red asignado. La disponibilidad del servicio se calcula segn la siguiente
frmula:
D = (T - Td) / T, donde
D es el tiempo de disponibilidad del servicio
T es el tiempo total mensual.
Td es el tiempo con prdida total de conectividad. Este tiempo de prdida, ser igual al
que trascurre desde la apertura de la incidencia, hasta el cierre de dicha incidencia.
En caso de prdida de disponibilidad real de este nivel de servicio, se aplicarn las
penalizaciones de la siguiente tabla, de acuerdo a las condiciones de penalizacin
generales del contrato.
Penalizaciones:
99% > D >= 98%
Nivel A
Nivel B
Nivel C
D < 90%
Nivel D
Gestin de la seguridad
Gestin de la seguridad
Gestin de servicios TI
Soporte de servicios
Service Desk
Gestin de incidentes
Gestin de problemas
Gestin financiera.
Gestin de configuracin
Gestin de la disponibilidad.
Gestin de la capacidad
Gestin de entregas
Las prcticas que ITIL recoge tienen unas caractersticas comunes cuando se
observa su tipo y cmo las aplican las mejores organizaciones de servicio. Esas
caractersticas pueden resumirse en los siguientes puntos:
Son predictivos en lugar de reactivos. Es decir, se basan en estudiar los
patrones de uso de los clientes o usuarios.
Son consistentes y medibles. Las mejores prcticas son estables y proporcionan
predictibilidad a los servicios de TI.
Son adaptables. Por ltimo, las prcticas deben permitir su optimizacin y mejora
continua.
Tomemos como ejemplo la prctica de la Gestin de la capacidad. Podemos definirla
cmo la prctica encargada de asegurar que la infraestructura de TI se proporciona
cuando se necesita, en el volumen necesario y con el precio adecuado, garantizando su
uso eficiente.
Gestin de la seguridad
Entre
las
actividades
encontramos:
Implementar
cambios
Subproceso
Objetivo
Diseo de controles de
seguridad
Pruebas de seguridad
Gestin de incidentes de
seguridad
Revisin de la seguridad
Gestin de la seguridad
Respecto a los indicadores, la siguiente tabla describe indicadores tpicos para este
proceso.
KPI
Descripcin
Duracin de la implementacin
Gestin de la seguridad
Ntese que CMMI no es un proceso de desarrollo de software, sino ms bien una gua
que describe las caractersticas que hacen efectivo a un proceso. Las ideas
que aporta pueden ser, por tanto, utilizadas como un conjunto de buenas prcticas,
como un marco para la organizacin y priorizacin de actividades, o como una forma de
alinear los objetivos de la organizacin con los objetivos del proceso en estudio.
CMMI se interesa por la mejora de los procedimientos y mtodos (procesos) que las
personas de una organizacin llevan a cabo con ayuda de tecnologa y otras
herramientas, ya que, si los procesos no estn correctamente definidos, son maduros y
ampliamente conocidos, ni las ms cualificadas personas sern capaces de rendir a su
mejor nivel an disponiendo de las mejores herramientas.
Gestin de la seguridad
El modelo O-ISM3
El Open Group desarrollado un modelo de madurez denominado Open Group Security
Management Maturity Model (O-ISM3), que permite el diseo de sistemas de
gestin de la seguridad alineados con la misin de la organizacin
empresarial y el cumplimiento de las necesidades.
Puedes encontrar ms informacin sobre el Open Group y el modelo O-ISM3 en las
siguientes direcciones web:
http://www.opengroup.org/
https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicati
onid=12238
La nueva norma permite a las organizaciones a priorizar y optimizar las
inversiones en seguridad de la informacin, as como permitir la mejora
continua de los sistemas que utilizan mtricas bien definidas.
El modelo se basa en la consideracin de tres elementos fundamentales en la seguridad
de la informacin que ya se han tratado en la asignatura:
Gestin de riesgos
Controles de seguridad.
Gestin de la seguridad, mediante un sistema de polticas y herramientas que las
implementan.
Por otro lado, el estndar se basa en las siguientes definiciones:
Proceso. Los procesos tienen capacidades que se realizan mediante prcticas de
gestin.
Capacidad. Las mtricas de un proceso revelan las capacidades del mismo.
Madurez (grado de). Ciertos conjuntos de procesos seleccionados segn ciertas
capacidades permiten clasificar a la organizacin en un nivel de madurez.
Gestin de la seguridad
Capability Level
Initial
Managed
Defined
Management
Practices Enabled
Audit.
Certify
Test
Monitor
Metric Type
Documentation
Controlled
Optimized
Planning
Benefits
Realization
Assessment
Optimization
Activity
Scope
Unavailability 1
Effectiveness
Load
Quality
Efficiency
Gestin de la seguridad
Gestin de la seguridad
Lo + recomendado
No dejes de leer
Norma UNE/ISO 27001
La norma ISO 27001 establece los requisitos para la certificacin de los SGSI. Como tal,
es muy importante conocer sus contenidos y definiciones.
Hacking tico
En este libro gratuito, el autor expone las principales tcnicas y
fuentes de informacin para el denominado hacking tico, que
no es otra cosa que la intrusin proactiva en los sistemas sin
intencin maliciosa y mediando el consentimiento. El libro es
gratuito.
TEMA 2 Lo + recomendado
Gestin de la seguridad
No dejes de ver
Vdeos introductorios a ISO 27001
Esta serie de vdeos introduce los
conceptos de ISO 27001 contados por
expertos en el rea. Es una serie de
vdeos
cortos
especialmente
mientras
se
introductorios
recomendados
est
estudiando
la
norma.
TEMA 2 Lo + recomendado
Gestin de la seguridad
+ Informacin
A fondo
ITIL e ISO/IEC 27001
El artculo propone una correspondencia de ITIL con ISO 27001. Aunque la
correspondencia es solo una propuesta no oficial, es interesante para entender mejor la
complementariedad de las dos especificaciones.
El artculo est disponible en el aula virtual o en la siguiente direccin web:
http://www.indjst.org/archive/Feb-12/Feb-12-web/30-feb%2012%20sheikhpour.html
Webgrafa
Web informativa de la familia de estndares ISO 27000
Esta web ofrece informacin general de la familia de estndares.
http://www.27000.org/index.htm
TEMA 2 + Informacin
Gestin de la seguridad
https://www.isc2.org/
Bibliografa
Merino Bada, C. y Caizares Sales, R. (2011). Implantacin de un sistema de gestin de
seguridad de la informacin segn ISO 27001. Madrid: Fundacin Confemetal.
Tipton, H. F. and Micki K. (2004). Information Security Management Handbook.
Florida: Auerbach Publications.
VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach
Publications.
TEMA 2 + Informacin
Gestin de la seguridad
Actividades
Trabajo: Estudio de la norma ISO 27001
Merino Bada, C. y Caizares Sales, R. (2011). Implantacin de un sistema de gestin de
seguridad de la informacin segn ISO 27001. Madrid: Fundacin Confemetal.
Lee las pginas del libro Implantacin de un sistema de gestin de seguridad de la
informacin segn ISO 27001 y responde a las preguntas que se os plantearn a travs
del aula virtual.
El texto est disponible en el aula virtual.
pueden
hacerse
correspondencias
entre
sus
diferentes
elementos,
TEMA 2 Actividades
Gestin de la seguridad
Test
1. Indica cules de las siguientes afirmaciones son correctas.
A. Las certificaciones como el CISSP determinan el acceso al ejercicio de la
profesin dentro del rea de la seguridad de la informacin.
B. La profesin de la seguridad de la informacin cuenta con cuerpos de
conocimientos definidos y una cultura profesional como otras profesiones
diferenciadas.
C. El cdigo tico del profesional de la informacin es el definido en las normas
de auditora ISO 27001.
D. Ninguna de las anteriores.
2. Indica cules de las siguientes afirmaciones son correctas.
A. Las revistas acadmicas del rea de la seguridad de la informacin son el
principal medio de formacin bsica para los profesionales de la seguridad de
la informacin.
B. Se llama hacker tico a cualquier profesional de la seguridad de la
informacin.
C. Un hacker tico puede realizar acciones de penetration testing contra una
empresa siempre que no perciba beneficios econmicos por ello.
D. Ninguna de las anteriores.
3. Indica cules de las reas o conocimientos estn incluidas de forma explcita en la
certificacin CISSP:
A. La seguridad fsica de los sistemas.
B. La regulacin sobre la proteccin de datos.
C. El desarrollo de software seguro.
D. La psicologa de los delincuentes informticos.
TEMA 2 Test
Gestin de la seguridad
4. Indica cules de las siguientes afirmaciones son ciertas sobre las certificaciones de
seguridad de la informacin.
A. La certificacin CAP tiene un contenido tcnico equivalente a la certificacin
CISSP.
B. Las certificaciones son ttulos como las titulaciones, que se obtienen y no
necesitan renovarse.
C. La certificacin CISSP slo puede obtenerse cuando se tiene experiencia
profesional en el rea.
D. Ninguna de las anteriores.
5. Indica cules de las siguientes afirmaciones son ciertas sobre el estndar 27001.
A. ISO 27001 define en detalle el proceso de gestin del riesgo de un Sistema de
Gestin de la Seguridad de la Informacin.
B. ISO 27001 define la base y los conceptos para la auditora y certificacin de los
Sistemas de Gestin de la Seguridad de la Informacin.
C. ISO 27001 considera como uno de los elementos fundamentales el
compromiso de la direccin, requisito imprescindible para el establecimiento
de un Sistema de Gestin de la Seguridad de la Informacin.
D. Ninguna de las anteriores.
6. Indica cules de las siguientes afirmaciones son ciertas.
A. ISO 27001 se basa en un modelo de mejora continua donde la fase de
planificacin implica el diseo de mecanismos de gestin del Sistema de
Gestin de la Seguridad de la Informacin.
B. Segn ISO 27001, la adopcin de un Sistema de Gestin de la Seguridad de la
Informacin debe estar motivada por decisiones tcticas referentes a la mejora
de los costes asociados con la seguridad.
C. Segn ISO 27001, el Sistema de Gestin de la Seguridad de la Informacin
debe comprender a toda la organizacin, para garantizar que no existe
ninguna posibilidad de intrusin en ninguno de sus niveles.
D. Ninguna de las anteriores.
TEMA 2 Test
Gestin de la seguridad
TEMA 2 Test