TEMA 7: DEFINICIÓN Y METODOLOGÍAS DE LOS SISTEMAS DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
1. INTRODUCCIÓN
El análisis y gestión de riesgos de la seguridad de la información, es la actividad clave de todo Sistema de Gestión de Seguridad de la
Información (SGSI), motivados x la necesidad de la organización. Para realizar este proceso, la ISO/IEC 27 005 describe este proceso. El
negocio y su continuidad son los motivadores de toda esta preocupación x la seguridad, ya que la información está íntimamente ligado a
los servicios que una empresas proporciona, y son fundamentales para su actividad cotidiana y base para la toma de decisiones.
2. LOS ACTIVOS EN EL ANÁLISIS DE RIE SGOS
A nivel de una empresa definimos activo como un bien/derecho con valor económico. A veces es necesario evaluar que un activo que, sin
tener un efecto económico tangible, puede ser importante para la organización, como en el caso de la imagen/prestigio.
Según la Organización Internacional de Estándares (ISO) en 2004, definió un activo de forma básica como cualquier bien que tiene valor
para la organización, con el fin de tener una base para la gestión de la seguridad para el estándar 13 335, que fue dando forma al
proceso de la ISO 27001 de 2007. En 2008 surgió la norma española UNE 71 504, que define un activo como un componente o funcionalidad
de un sistema de información susceptible de ser atacado de forma deliberada o accidental.
Clasificación de activos para hacer un buen análisis de riesgos:
- Activos ligados a la información: los relacionados con los datos en formato digital, es decir, las bases de datos, copias de
seguridad, claves se acceso a los sistemas
- Activos físicos:
• Elementos físicos: infraestructuras de Tecnologías de Información (TI), edificios, oficinas, habitaciones, armarios…
• Activos tangibles: como correos electrónicos, faxes, libros de contabilidad en formato electrónico…
• Activos hardware TI: ordenadores personales, estaciones de trabajo, portátiles, tablets, teléfonos móviles, routers,
switches…
• Otros dispositivos: necesarios para el funcionamiento y soporte de los activos físicos, como los sistema SAI (Sistema
de Alimentación Ininterrumpida), control de temperatura, sistema de aire acondicionado, sistema de alarmas…
- Activos intangibles: patentes, conocimientos, relaciones, networking…
- Activos de servicios TI: servicios xa la funcionalidad de la empresa: servicios de autentificación, sistema de SSO (Single Sing On),
servicios de red, acceso controlado a Internet…
- Activos humanos: se distingue el personal interno (empleados) y el personal externo (proveedores, visitas…).
3. PRINCIPIOS DEL ANÁLISIS DE RIE SGOS
En este apartado debemos tener claro el significado de los conceptos y principios que dan forma al análisis de riesgos. Para ello, veremos
cómo se define el riesgo, cómo es su análisis y qué debemos entender para abordar su tratamiento.
Definición de Riesgo (examen): Se define el riesgo como la estimación del grado de exposición de una amenaza materializada sobre uno
o más activos, causando daños o perjuicios a la organización.
Definición de análisis de riesgos: Se define el análisis de riesgos como el proceso sistemático para estimar la magnitud de los riesgos a
que está expuesta una organización, con el objeto de conocer la situación actual y ayudar a la toma de decisiones.
Definición de tratamiento de riesgos: Se define el tratamiento de riesgos como aquel proceso destinado a modificar el riesgo analizado.
Hay múltiples formas de tratar un riesgo, cómo evitar las circunstancias que lo provocan, reducir las posibilidades de que ocurra, acotar
sus consecuencias, compartirlo con otra organización como lo es típicamente contratar un servicio o un seguro de cobertura, o, en última
instancia, aceptando lo que pudiera ocurrir y previendo recursos para actuar contingentemente cuando sea necesario. En este último
caso, nótese que una opción legítima es aceptar el riesgo.
Como ya se ha repetido a lo largo de este módulo en la asignatura de Informática aplicada a la Criminología, es frecuente oír que la
seguridad absoluta no existe; en efecto, siempre hay que aceptar un riesgo que, eso sí, debe ser conocido y sometido al umbral de
calidad que se requiere del servicio. Es más, a veces aceptamos riesgos operacionales para acometer actividades que pueden
reportarnos un beneficio que supera al riesgo, o que tenemos la obligación de afrontar. Es por ello que a veces se emplean definiciones
más amplias de riesgo en el sentido de incluir el efecto de la incertidumbre sobre la consecución de los objetivos. Esto nos lleva a
considerar los riesgos inherentes a la organización y los riesgos residuales que no pueden ser tratados, es decir, que permanecen tras la
gestión de reducción, mitigación o eliminación del riesgo evaluado.
, En este contexto, una amenaza viene a hacer referencia a la presentación de algo malo o dañino de forma relativamente inminente,
relacionado con un activo y el peligro de que le suceda algo que lo menoscabe. En el tema siguiente profundizaremos algo más sobre las
amenazas y la importancia que supone la colaboración internacional de las mismas en el ciberespacio. Definición de plan de seguridad
Se entiende por plan de seguridad al conjunto de objetivos, estrategia y política de seguridad de la información junto con las actividades
de tratamiento de los riesgos. Estas actividades serán las que la organización y su alta dirección han considerado aceptables, evaluando
como se vio en el tema 4 el valor del activo, el gasto en seguridad y el impacto que supone el daño de los activos.
Dicho de otra manera, el análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegido se encuentra el sistema. En
coordinación con los objetivos, estrategia y política de la organización, las actividades de tratamiento de los riesgos permiten elaborar un
plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la dirección de la
organización.
El análisis de riesgos es la herramienta fundamental para un plan de seguridad de la información, ya que pone de relieve los activos, sus
amenazas y los controles de seguridad o salvaguardas que se necesitan.
4. GESTIÓN DE LOS RIESGO S ( EXAMEN)
Como hemos ido recordando, las tareas de análisis y tratamiento de los riesgos no son un fin en sí mismas, sino que se encajan en la
actividad continua de gestión de la seguridad.
Al conjunto de las actividades que hemos mencionado para estudiar los activos, analizarlos desde el prisma de los riesgos de seguridad y
la evaluación de los tratamientos más adecuados, se le denomina Proceso de Gestión de Riesgos.
La implantación de las medidas de seguridad requiere una organización gestionada y la participación informada de todo el personal que
trabaja con el sistema de información. Es este personal el responsable de la operación diaria, de la reacción ante incidencias y de la
monitorización en general del sistema para determinar si satisface con eficacia y eficiencia los objetivos propuestos.
Este esquema de trabajo debe ser repetible, pues los sistemas de información rara vez son inmutables; más bien se encuentran
sometidos a evolución continua tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica
en la que se aprende de la experiencia y se adapta al nuevo contexto. Con esto se completa el proceso cíclico que hemos mencionado,
mediante el ciclo PDCA o circulo de Deming.
Aunque parezca insistente, debe quedar claro que el análisis y gestión de riesgos es la piedra angular para controlar todas las
actividades de la organización con fundamento. Como modelo del sistema en términos de activos, amenazas y salvaguardas, la fase de
tratamiento estructura las acciones que se deben acometer por la empresa.
Los sistemas de gestión de la seguridad de la información (SGSI) que siguen la norma ISO 27001 formalizan claramente estas cuatro
etapas cíclicas. El análisis de riesgos es parte de las actividades de planificación, donde se toman decisiones de tratamiento. Estas
decisiones se materializan en la etapa de implantación, donde conviene desplegar elementos que permitan la monitorización de las
medidas adoptadas para poder evaluar la efectividad de las mismas y actuar en consecuencia, dentro de un círculo de excelencia o
mejora continua, denominado ciclo o círculo PDCA o de Deming (en honor al científico estadounidense William Edwards Deming que a lo
largo del siglo XX lo desarrolló).
Esto viene a indicarnos que las tareas de análisis y tratamiento de los riesgos no son un fin en sí mismas, sino que se encajan en la
actividad continua de gestión de la seguridad. El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegido se
encuentra el sistema. En coordinación con los objetivos, estrategia y política de la organización, las actividades de tratamiento de los
riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que
acepta la dirección de la organización. Como hemos dicho, al conjunto de estas actividades se le denomina Proceso de Gestión de
Riesgos y la implantación de las medidas de seguridad requiere una organización gestionada, así como la participación informada de
todo el personal que trabaja con el sistema de información. Es este personal el responsable de la operación diaria, de la reacción ante
incidencias y de la monitorización en general del sistema para determinar si satisface con eficacia y eficiencia los objetivos propuestos.
Por eso decimos que este esquema de trabajo debe ser repetible pues los sistemas de información también van cambiando con el
tiempo, puede haber nuevos activos, nuevas amenazas, lo que exige una revisión periódica en la que se aprende de la experiencia y se
adapta al nuevo contexto.
SEGURIDAD DE LA INFORMACIÓN
1. INTRODUCCIÓN
El análisis y gestión de riesgos de la seguridad de la información, es la actividad clave de todo Sistema de Gestión de Seguridad de la
Información (SGSI), motivados x la necesidad de la organización. Para realizar este proceso, la ISO/IEC 27 005 describe este proceso. El
negocio y su continuidad son los motivadores de toda esta preocupación x la seguridad, ya que la información está íntimamente ligado a
los servicios que una empresas proporciona, y son fundamentales para su actividad cotidiana y base para la toma de decisiones.
2. LOS ACTIVOS EN EL ANÁLISIS DE RIE SGOS
A nivel de una empresa definimos activo como un bien/derecho con valor económico. A veces es necesario evaluar que un activo que, sin
tener un efecto económico tangible, puede ser importante para la organización, como en el caso de la imagen/prestigio.
Según la Organización Internacional de Estándares (ISO) en 2004, definió un activo de forma básica como cualquier bien que tiene valor
para la organización, con el fin de tener una base para la gestión de la seguridad para el estándar 13 335, que fue dando forma al
proceso de la ISO 27001 de 2007. En 2008 surgió la norma española UNE 71 504, que define un activo como un componente o funcionalidad
de un sistema de información susceptible de ser atacado de forma deliberada o accidental.
Clasificación de activos para hacer un buen análisis de riesgos:
- Activos ligados a la información: los relacionados con los datos en formato digital, es decir, las bases de datos, copias de
seguridad, claves se acceso a los sistemas
- Activos físicos:
• Elementos físicos: infraestructuras de Tecnologías de Información (TI), edificios, oficinas, habitaciones, armarios…
• Activos tangibles: como correos electrónicos, faxes, libros de contabilidad en formato electrónico…
• Activos hardware TI: ordenadores personales, estaciones de trabajo, portátiles, tablets, teléfonos móviles, routers,
switches…
• Otros dispositivos: necesarios para el funcionamiento y soporte de los activos físicos, como los sistema SAI (Sistema
de Alimentación Ininterrumpida), control de temperatura, sistema de aire acondicionado, sistema de alarmas…
- Activos intangibles: patentes, conocimientos, relaciones, networking…
- Activos de servicios TI: servicios xa la funcionalidad de la empresa: servicios de autentificación, sistema de SSO (Single Sing On),
servicios de red, acceso controlado a Internet…
- Activos humanos: se distingue el personal interno (empleados) y el personal externo (proveedores, visitas…).
3. PRINCIPIOS DEL ANÁLISIS DE RIE SGOS
En este apartado debemos tener claro el significado de los conceptos y principios que dan forma al análisis de riesgos. Para ello, veremos
cómo se define el riesgo, cómo es su análisis y qué debemos entender para abordar su tratamiento.
Definición de Riesgo (examen): Se define el riesgo como la estimación del grado de exposición de una amenaza materializada sobre uno
o más activos, causando daños o perjuicios a la organización.
Definición de análisis de riesgos: Se define el análisis de riesgos como el proceso sistemático para estimar la magnitud de los riesgos a
que está expuesta una organización, con el objeto de conocer la situación actual y ayudar a la toma de decisiones.
Definición de tratamiento de riesgos: Se define el tratamiento de riesgos como aquel proceso destinado a modificar el riesgo analizado.
Hay múltiples formas de tratar un riesgo, cómo evitar las circunstancias que lo provocan, reducir las posibilidades de que ocurra, acotar
sus consecuencias, compartirlo con otra organización como lo es típicamente contratar un servicio o un seguro de cobertura, o, en última
instancia, aceptando lo que pudiera ocurrir y previendo recursos para actuar contingentemente cuando sea necesario. En este último
caso, nótese que una opción legítima es aceptar el riesgo.
Como ya se ha repetido a lo largo de este módulo en la asignatura de Informática aplicada a la Criminología, es frecuente oír que la
seguridad absoluta no existe; en efecto, siempre hay que aceptar un riesgo que, eso sí, debe ser conocido y sometido al umbral de
calidad que se requiere del servicio. Es más, a veces aceptamos riesgos operacionales para acometer actividades que pueden
reportarnos un beneficio que supera al riesgo, o que tenemos la obligación de afrontar. Es por ello que a veces se emplean definiciones
más amplias de riesgo en el sentido de incluir el efecto de la incertidumbre sobre la consecución de los objetivos. Esto nos lleva a
considerar los riesgos inherentes a la organización y los riesgos residuales que no pueden ser tratados, es decir, que permanecen tras la
gestión de reducción, mitigación o eliminación del riesgo evaluado.
, En este contexto, una amenaza viene a hacer referencia a la presentación de algo malo o dañino de forma relativamente inminente,
relacionado con un activo y el peligro de que le suceda algo que lo menoscabe. En el tema siguiente profundizaremos algo más sobre las
amenazas y la importancia que supone la colaboración internacional de las mismas en el ciberespacio. Definición de plan de seguridad
Se entiende por plan de seguridad al conjunto de objetivos, estrategia y política de seguridad de la información junto con las actividades
de tratamiento de los riesgos. Estas actividades serán las que la organización y su alta dirección han considerado aceptables, evaluando
como se vio en el tema 4 el valor del activo, el gasto en seguridad y el impacto que supone el daño de los activos.
Dicho de otra manera, el análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegido se encuentra el sistema. En
coordinación con los objetivos, estrategia y política de la organización, las actividades de tratamiento de los riesgos permiten elaborar un
plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la dirección de la
organización.
El análisis de riesgos es la herramienta fundamental para un plan de seguridad de la información, ya que pone de relieve los activos, sus
amenazas y los controles de seguridad o salvaguardas que se necesitan.
4. GESTIÓN DE LOS RIESGO S ( EXAMEN)
Como hemos ido recordando, las tareas de análisis y tratamiento de los riesgos no son un fin en sí mismas, sino que se encajan en la
actividad continua de gestión de la seguridad.
Al conjunto de las actividades que hemos mencionado para estudiar los activos, analizarlos desde el prisma de los riesgos de seguridad y
la evaluación de los tratamientos más adecuados, se le denomina Proceso de Gestión de Riesgos.
La implantación de las medidas de seguridad requiere una organización gestionada y la participación informada de todo el personal que
trabaja con el sistema de información. Es este personal el responsable de la operación diaria, de la reacción ante incidencias y de la
monitorización en general del sistema para determinar si satisface con eficacia y eficiencia los objetivos propuestos.
Este esquema de trabajo debe ser repetible, pues los sistemas de información rara vez son inmutables; más bien se encuentran
sometidos a evolución continua tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica
en la que se aprende de la experiencia y se adapta al nuevo contexto. Con esto se completa el proceso cíclico que hemos mencionado,
mediante el ciclo PDCA o circulo de Deming.
Aunque parezca insistente, debe quedar claro que el análisis y gestión de riesgos es la piedra angular para controlar todas las
actividades de la organización con fundamento. Como modelo del sistema en términos de activos, amenazas y salvaguardas, la fase de
tratamiento estructura las acciones que se deben acometer por la empresa.
Los sistemas de gestión de la seguridad de la información (SGSI) que siguen la norma ISO 27001 formalizan claramente estas cuatro
etapas cíclicas. El análisis de riesgos es parte de las actividades de planificación, donde se toman decisiones de tratamiento. Estas
decisiones se materializan en la etapa de implantación, donde conviene desplegar elementos que permitan la monitorización de las
medidas adoptadas para poder evaluar la efectividad de las mismas y actuar en consecuencia, dentro de un círculo de excelencia o
mejora continua, denominado ciclo o círculo PDCA o de Deming (en honor al científico estadounidense William Edwards Deming que a lo
largo del siglo XX lo desarrolló).
Esto viene a indicarnos que las tareas de análisis y tratamiento de los riesgos no son un fin en sí mismas, sino que se encajan en la
actividad continua de gestión de la seguridad. El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegido se
encuentra el sistema. En coordinación con los objetivos, estrategia y política de la organización, las actividades de tratamiento de los
riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que
acepta la dirección de la organización. Como hemos dicho, al conjunto de estas actividades se le denomina Proceso de Gestión de
Riesgos y la implantación de las medidas de seguridad requiere una organización gestionada, así como la participación informada de
todo el personal que trabaja con el sistema de información. Es este personal el responsable de la operación diaria, de la reacción ante
incidencias y de la monitorización en general del sistema para determinar si satisface con eficacia y eficiencia los objetivos propuestos.
Por eso decimos que este esquema de trabajo debe ser repetible pues los sistemas de información también van cambiando con el
tiempo, puede haber nuevos activos, nuevas amenazas, lo que exige una revisión periódica en la que se aprende de la experiencia y se
adapta al nuevo contexto.
