gestion de la seguridad tema2
TRANSCRIPT
El profesional de la seguridad de la
información
[2.1] ¿Cómo estudiar este tema?
[2.2] Introducción
[2.3] La seguridad de la información como profesión
[2.4] Las certificaciones (ISC)2
[2.5] El estándar ISO 27001
[2.6] Buenas prácticas de seguridad en la gestión de servicios
de TI
[2.7] Modelos de madurez para la seguridad de la
información
[2.8] Otras certificaciones, estándares y recursos
profesionales
T
EM
A
Gestión de la seguridad
TEMA 2 – Esquema
Esquema
La
seg
uri
da
d d
e la
in
form
aci
ón
prof
esió
n
es u
na
def
inid
a en
cert
ific
acio
nes
ejem
plo
CIS
SP
impl
ica
Sis
tem
a d
e ge
stió
n d
e la
seg
uri
dad
de
la in
form
ació
n
def
inid
o en
guía
s
ejem
plo
ITIL
def
inid
o en
mod
elos
ejem
plo
O-I
SM
3
cert
ific
able
po
r
está
nd
ares ej
empl
o
ISO
270
01
Gestión de la seguridad
TEMA 2 – Ideas clave
Ideas clave
2.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee el caso de estudio, además de las Ideas clave que
encontrarás a continuación.
El objetivo fundamental de este tema es el de conocer los principales estándares,
asociaciones y certificaciones relacionadas con la profesión de la seguridad
de la información. Este conocimiento es esencial para comprender los
conocimientos que son necesarios para convertirse en un profesional en el área.
Más concretamente, los objetivos de este tema son los siguientes:
Entender y saber explicar el rol del profesional de la seguridad de la información en
referencia al reconocimiento de la profesión por los clientes, el entorno académico y
los conocimientos comúnmente requeridos.
Comprender y saber explicar el rol del hacker ético dentro del contexto de la
seguridad de la información.
Conocer las fundamentales certificaciones en el área de la seguridad de la
información y entender el proceso de certificación.
Conocer el marco del estándar ISO 27001 y saber aplicar los conceptos de la norma
en situaciones prácticas.
Conocer modelos de buenas prácticas de gestión y de madurez en el área de la
Seguridad de la Información y saber diferenciarlos entre sí y con relación a los
estándares de certificación.
2.2. Introducción
Este tema trata de introducirte en el mundo profesional de la seguridad de la
información. Como tal, lo que se pretende es que el estudiante obtenga una visión
general de algunas de las asociaciones, certificaciones y estándares más importantes en
el área. En la unidad se introducen algunas de ellas, pero debes complementarlas con
lecturas y búsquedas de información adicionales para tener una visión completa de qué
implica llegar a ser un profesional de la seguridad de la información.
Gestión de la seguridad
TEMA 2 – Ideas clave
Después de una lectura rápida de la unidad, es especialmente importante por su
relevancia como estándar dedicar tiempo a entender y conocer en detalle el estándar
ISO 27000 en lo relativo a su marco conceptual y terminología. Los aspectos de
auditoría no se tratan en esta unidad, ya que son objeto de otra asignatura.
2.3. La seguridad de la información como profesión
Una profesión puede caracterizarse por el desarrollo de los siguientes cinco criterios:
La creación de un cuerpo organizado de conocimientos.1
El reconocimiento por parte de los clientes de la autoridad de la profesión.2
La aprobación de la comunidad de la autoridad de la profesión.3
Un código de ética.4
Una cultura profesional apoyada por, actividades académicas y profesionales.5
Si miramos a la seguridad de la información, aunque no existe una carrera de Grado
específica para la misma, sí se ha desarrollado claramente como disciplina
independiente.
Aunque no hay una asociación profesional de clara aceptación general, el cuerpo de
conocimiento (body of knowledge, BOK) del consorcio (ISC)2 es un ejemplo de
recopilación de requisitos en el área que puede considerarse como definitorio de qué
debe saber un profesional de la seguridad de la información. También el (ISC)2 incluye
en sus requisitos un código ético al que los certificados por la organización deben
adherirse.
El reconocimiento de la profesión por la comunidad y los clientes parece más que
evidente por la existencia de consultoras y empresas especializadas. Y desde el punto de
vista académico, existen conferencias académicas especializadas. También hay
conferencias y eventos profesionales no específicos del ámbito académico.
Gestión de la seguridad
TEMA 2 – Ideas clave
Desde el punto de vista académico, un ejemplo de evento especializado sería la
conferencia ACM Conference on Computer and Communications Security (CCS)
(http://www.sigsac.org/ccs.html) que se celebra desde 1993, organizada por el Grupo de
Interés SIGSAC (Security, Audit and Control) de ACM.
Además de las conferencias, existen numerosas revistas especializadas:
IEEE Security and Privacy es un magacín técnico del IEEE.
Como tal, los artículos publicados son breves. A pesar de
quedar sometidos a evaluación por pares (peer review), los
artículos según la política editorial «en general no son
adecuados para su publicación los artículos que cubren un
área técnica muy particular». Para estos artículos que no
encajan, se nos sugieren otras revistas de IEEE más
orientadas a la investigación.
Comentario
Un ejemplo de esas revistas es IEEE Transactions on
Secure and Dependable Systems:
http://www.computer.org/portal/web/tdsc/
¿El hacker como profesional?
Existe mucha confusión sobre el término hacker y la connotación peyorativa que a
veces se le ha asignado. Sin entrar en discusiones terminológicas, es importante
resaltar que actualmente existe un concepto de «hacking ético» que implica el
análisis de vulnerabilidades de sistemas mediante acciones ofensivas, pero
excluyendo los motivos maliciosos o espurios. Por ello, el hacker ético actúa en
coordinación con las empresas, que utilizan sus servicios para mejorar su seguridad.
Gestión de la seguridad
TEMA 2 – Ideas clave
El hacker ético es un profesional con unas capacidades muy concretas que
normalmente realiza «penetration testing» de manera controlada y previo contrato o
acuerdo con la empresa. La perspectiva de hacking ético tiene como elemento
interesante el situar la seguridad desde el contexto del atacante.
Los eventos relacionados con el hacking son diferentes de las conferencias académicas.
Ejemplos de estos eventos son:
El evento DefCon: https://www.defcon.org/
HackerHalted: http://www.hackerhalted.com/
En estos eventos se diseminan las técnicas y vulnerabildades de seguridad que se
encuentran en la práctica, las cuales pueden utilizarse de manera maliciosa o ética,
aunque realmente las técnicas son las mismas, es la intención o el uso las que las
diferencia.
2.4. Las certificaciones (ISC)2
El Consorcio internacional de Certificación de Seguridad de Sistemas de
Información o (ISC)2 (International Information Systems Security Certification
Consortium: https://www.isc2.org/), fundado en 1989, es una organización sin
ánimo de lucro con sede en Florida, dedicada fundamentalmente a la formación y
certificación en seguridad de la información.
Las certificaciones (ISC)2 incluyen:
Certified Information Systems Security Professional (CISSP), que incluye:
o Information Systems Security Architecture Professional (CISSP-ISSAP)
o Information Systems Security Engineering Professional (CISSP-ISSEP)
o Information Systems Security Management Professional (CISSP-ISSMP)
Certified Secure Software Lifecycle Professional (CSSLP)
Certification and Accreditation Professional (CAP)
Systems Security Certified Practitioner (SSCP)
Gestión de la seguridad
TEMA 2 – Ideas clave
Probablemente la más conocida y extendida de todas ellas es el CISSP, que es una
certificación profesional generalista muy amplia.
El CISSP
La certificación CISSP es una de las más valoradas por su reconocimiento
internacional. Un CISSP está certificado como profesional para “definir la arquitectura,
diseño, gestión y controles de los sistemas empresariales”. Los certificados, además de
contar con un valor añadido para su contratación, forman parte de la comunidad de
(ISC)2, donde pueden actualizarse y tener oportunidades adicionales para interactuar
con sus colegas.
El CISSP se estructura en diez dominios que conforman el Common Body of Knowledge
(CBK):
Seguridad de la información y gestión de riesgos (Information Security and Risk
Management)
Sistemas y metodología de control de acceso (Access Control Systems and
Methodology)
Criptografía (Cryptography)
Seguridad física (Physical Security)
Arquitectura y diseño de seguridad (Security Architecture and Design)
Legislación, eegulaciones, cumplimiento de las mismas e investigación (Legal,
Regulations, Compliance, and Investigation)
Seguridad de red y telecomunicaciones (Telecommunications and Network Security)
Planes de continuidad del negocio y de recuperación frente a desastres (Business
Continuity and Disaster Recovery Planning)
Seguridad en el desarrollo de aplicaciones (Application Development Security)
Seguridad de operaciones (Operations Security)
Para la certificación CISSP se deben cumplir los siguientes requisitos:
Aprobar el examen CISSP: Consta de 250 preguntas de selección simple y 6
horas de duración.
Demostrar experiencia mínima de 5 años en al menos dos de los diez dominios
del CBK.
Adherirse al Código Ético de la ISC2.
Gestión de la seguridad
TEMA 2 – Ideas clave
Para mantener la certificación CISSP, se debe realizar una cierta cantidad de
actividades cuya finalidad es asegurar que el profesional se ha mantenido
activo en el área de la seguridad en el tiempo. Cada una de estas actividades recibe
cierta cantidad de créditos (CPE) de los cuales el profesional debe reunir 120 cada 3
años.
La certificación CAP
La certificación CAP (Certified Authorization Professional) se dirige a certificar los
conocimientos, las habilidades y las capacidades que necesitan los
profesionales que evalúan riesgos y establecen parámetros de seguridad para
contrarrestar los riesgos potenciales. Se ha preparado con la colaboración de la Oficina
de Seguridad de la Información del Departamento de Estado de los EE.UU.
Esta certificación se centra en los siguientes dominios:
Entender la autorización de seguridad de sistemas de información1
Categorizar Los sistemas de información2
Establecer la línea de base de control de seguridad3
Aplicar controles de seguridad4
Evaluar los controles de seguridad5
Autorizar sistemas de información6
Monitorizar los controles de seguridad7
Como se puede ver, es una certificación asociada a los procesos de
autorización y certificación, no tan amplia como el CISSP.
2.5. El estándar ISO 27001
El estándar UNE-ISO/IEC 27001:2007 «Sistemas de Gestión de la Seguridad de
la Información (SGSI). Requisitos» es el primero de la serie de estándares ISO
27000. Es la norma principal de la familia, ya que establece los requisitos para la
gestión del SGSI y su auditoría.
Gestión de la seguridad
TEMA 2 – Ideas clave
Antecedentes del estándar ISO 27001: ISO/IEC BS7799
El Estándar Británico ISO-IEC BS7799-IT es un código aceptado
internacionalmente en la práctica de la seguridad de la información. El estándar aplica
un método de cuatro fases para implementar una solución de sistemas de
administración de seguridad de la información. La norma ISO 27001 puede
considerarse como la última revisión de la norma BS 7799:2002 Parte 2, de la
que ya había en el mundo previamente alrededor de 2.000 certificados.
La familia ISO 27000
La siguiente figura resume las normas de seguridad de la familia 27000. Por
ejemplo, la norma ISO 27002 detalla los requisitos de la norma 27001, proporcionando
una guía de buenas prácticas que describe los objetivos de control y controles en cuanto
a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
No obstante, ISO 27002 no se considera una norma de certificación como 27001, sino
una especificación de apoyo o buenas prácticas.
ISO 27001 a 27010Normas de seguridad
Requerimientos del SGSI
Buenas prácticas en seguridad
Gestión del riesgo en el SGSI
Métricas y mediciones del SGSI
Guía de implementación del SGSI
Numeración reservada a diferentes temas de la seguridad de la información
27001
27002
27003
27004
27005
27006a
17010
Gestión de la seguridad
TEMA 2 – Ideas clave
Por ejemplo, en la ISO 27002 se incluye el siguiente control: «Medios físicos en
tránsito: Los medios que contienen información debieran ser protegidos contra accesos
no-autorizados, mal uso o corrupción durante el transporte más allá de los límites
físicos de una organización.». Lógicamente, este control solo deberá diseñarse en caso
de que se dé el citado tránsito.
Introducción a la norma 27001
La norma ISO 27001 describe los requisitos de un Sistema de Gestión de la
Seguridad de la Información (SGSI). Proporciona un marco común para la
elaboración de las normas de seguridad de cualquier tipo de organización,
estableciendo un método de gestión eficaz de la seguridad. Esta norma es la base del
proceso de auditoría y certificación de los sistemas de seguridad de información
de las organizaciones.
El establecimiento del SGSI se realiza seleccionando una serie de controles
elegidos en función de su importancia en la gestión del sistema de seguridad.
La siguiente tabla resume la estructura de la norma y sus principales contenidos.
Capítulo Título Contenidos
1 Alcance Establece el alcance y ámbito de aplicación
de la norma.
2 Referencias Detalla otras normas relacionadas
3 Términos y definiciones Proporciona las definiciones de la
terminología básica.
4 Sistema de Gestión de la
Seguridad de la Información
Requisitos del SGSI, descritos en cuanto a
las fases de su ciclo de vida y a la
documentación necesaria.
5 Responsabilidad de la dirección Establece los requisitos de compromiso de
la dirección y de asignación de recursos.
6 Auditorías internas del SGSI Descripción del proceso de la auditoría
interna.
7 Revisión por la dirección del SGSI Procedimientos de revisión directiva.
8 Mejora del SGSI El SGSI como proceso de mejora.
En todos los procesos de un sistema de gestión de seguridad de la información,
se utiliza el modelo PDCA (Planear-Hacer-Chequear-Actuar).
Gestión de la seguridad
TEMA 2 – Ideas clave
Partes interesadas
Requisitos y expectativas de la seguridad de la información
Partes interesadas
Seguridad de la información gestionada
Establecer el SGSI
Implantar y ejecutar el
SGSI
Seguimiento y revisión del SGSI
Mantener y mejorar el
SGSI
El proceso de planificación comienza con el diseño inicial del SGSI, incluyendo la
evaluación de riesgos inicial y cómo se tratarán. Una vez se han diseñado los diferentes
mecanismos de gestión (políticas, procedimientos, etc.) se ponen en marcha
implantando y «ejecutando» el SGSI.
En la fase de seguimiento y revisión será cuando se evalúe la marcha del mismo.
Dependiendo del nivel de madurez del SGSI en esta fase de verificación se incluirán
auditorías (internas o externas). Finalmente, a la luz de la evaluación realizada, se
propondrán las mejoras al SGSI que pasarán a una nueva fase de diseño.
Requisitos generales
La adopción de un sistema de gestión de seguridad de la información es una decisión
estratégica y se diseña e implanta de forma diferente en cada organización. Una
organización debe definir el alcance y los límites del sistema de gestión de
seguridad de la información de acuerdo con las características de la organización,
su ubicación, activos y tecnología.
Se deben establecer los objetivos de la política del sistema de gestión de seguridad de la
información, identificando los posibles riesgos o amenazas que se podrían producir.
Gestión de la seguridad
TEMA 2 – Ideas clave
En una organización pequeña, puede que el alcance del SGSI sea toda la organización.
No obstante, en organizaciones grandes no tiene por qué ser así. Por ejemplo, puede
que el alcance en una empresa de venta por Internet abarque la parte de comercio
electrónico pero no el aprovisionamiento (si este se realiza de manera tradicional, sin
conexión a Internet). En cualquier caso, al determinar el alcance es preciso indicar las
localizaciones físicas afectadas (oficinas, departamentos), las funciones que quedan
incluidas, y también los elementos tecnológicos cubiertos. Estos últimos se pueden definir
por ejemplo mediante un diagrama de red.
Ejemplo
Requisitos de documentación
La documentación del sistema de gestión de seguridad de la información deberá
incluir la política, alcance y objetivos del SGSI, así como los diferentes
procedimientos y controles de seguridad del sistema.
La documentación será más o menos amplia dependiendo de la organización y de las
diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los
requerimientos de seguridad variarán en función de estas circunstancias.
La dirección debe aprobar un documento de política de seguridad de la
información, que deberá publicar y comunicar a todos los empleados y entidades
externas relevantes.
Se deben aprobar los documentos previamente a su distribución, revisando y
actualizando los documentos según las necesidades requeridas, y siempre que se
garantice que los documentos están periódicamente actualizados.
Gestión de la seguridad
TEMA 2 – Ideas clave
Jerarquía de la documentación
Manual de seguridad
Política, alcance, evaluación de
riesgos, declaración de aplicabilidad
ProcesosQuién, qué, cuándo, dónde
Detalla cómo se realizan las actividades
Proporciona la evidencia objetiva del cumplimiento de los requerimientos del SGSI
Procedimientos
Instrucciones
Registros
Compromiso de la dirección
La Norma ISO 27001 especifica la obligación de suministrar evidencias del
compromiso planteado, tanto en el desarrollo como en la implantación y mejora del
sistema, en los siguientes aspectos:
En el proceso de comunicación interna al personal de la organización de la
gestión de la seguridad de la información en la empresa.
En el establecimiento de la política y los objetivos del sistema de gestión de
seguridad de la información de la empresa.
En la revisión periódica del desempeño del sistema de gestión.
En el aseguramiento de la disponibilidad de los recursos necesarios para la
plena efectividad del sistema.
Responsabilidades
Las responsabilidades y sus correspondientes autoridades deben estar
perfectamente definidas en cualquier organización o empresa.
Gestión de la seguridad
TEMA 2 – Ideas clave
La Norma ISO requiere que la alta dirección asegure que se cumplan estos
requisitos y que las responsabilidades sean comunicadas dentro de la organización,
valorando el tamaño, complejidad y cultura de la organización.
Se puede nombrar un representante de la dirección que tendrá la responsabilidad de:
Asegurar que los procesos del sistema de gestión de seguridad de la información se
implanten y funcionen.
Informar a la alta dirección sobre el desempeño del sistema y de cualquier
oportunidad de mejora.
Revisión por la dirección
La dirección debe desarrollar una actividad de revisión que implique la
verificación de la eficacia y efectividad del sistema de gestión de seguridad de la
información para asegurar su plena validez.
El proceso de revisión por la dirección no debería ser un planteamiento realizado
solamente para satisfacer los requisitos de la norma o de los auditores, sino que debería
ser una parte integral de los procesos de gestión de la organización.
2.6. Buenas prácticas de seguridad en la gestión de servicios de TI
La gestión de los servicios de Tecnología de la Información (TI) ha evolucionado
desde una organización ad hoc centrada en la visión técnica de los recursos de TI a una
visión integradora que considera los aspectos humanos, sociales y
tecnológicos que intervienen en un servicio de TI.
Servicio a uno o más clientes, por un proveedor de servicios de TI. Un
servicio de TI se basa en el uso de tecnologías de la información y apoya el
cliente en sus procesos de negocio. Un servicio de TI se compone de una
combinación de personas, procesos y tecnología, y deben definirse en un
acuerdo de nivel de servicio.
Servicio de TI
Gestión de la seguridad
TEMA 2 – Ideas clave
La definición indica varios elementos fundamentales en la gestión de los servicios:
En primer lugar, hace referencia al apoyo al cliente en sus tareas. Esta es la
consideración central, y es especialmente importante dado que un fallo en un
servicio de TI en muchas ocasiones implica que hay usuarios que no pueden hacer su
trabajo.
En segundo lugar, un servicio tiene tres componentes: personas, procesos y
tecnología, y estos tres elementos deben tenerse en cuenta en la definición, diseño
y evaluación de cada servicio.
Por último, la definición hace referencia a los Acuerdos de Nivel de Servicio
(Service Level Agreement, SLA), que pueden entenderse como los «contratos» entre
los usuarios y proveedores del servicio, dando un carácter de predictibilidad a los
servicios, y permitiendo una evaluación del servicio no ambigua, dado que los
niveles de calidad son explícitos en los acuerdos. Más adelante veremos algunos
detalles sobre la forma de estos acuerdos.
Los acuerdos de nivel de servicio (service-level agreement, SLA) son acuerdos
formales sobre la división de la responsabilidad de los medios de computación entre
el Departamento de Sistemas de Información (DSI) y los usuarios finales.
Estos acuerdos pueden considerarse contratos, y deben abarcar todos los recursos
fundamentales de las tecnologías de la información: hardware, software, personal,
datos, redes y procedimientos.
De hecho, los SLA no son específicos de las relaciones de los DSI, sino que se utilizan para
todo tipo de relaciones de provisión de servicios. Se definen de manera general como
«protocolo plasmado normalmente en un documento de carácter legal por el que una
compañía que presta un servicio a otra se compromete a prestar el mismo bajo unas
determinadas condiciones y con unas prestaciones mínimas». Se utilizan también con
profusión en contratos de outsourcing.
Comentario
La fundamental ventaja de un SLA es que las responsabilidades quedan claramente
definidas, y los procesos para el funcionamiento diario también están determinados de
manera precisa.
Gestión de la seguridad
TEMA 2 – Ideas clave
Ejemplo de SLA: Garantía de disponibilidad de red
Se define como tiempo en que el servidor tiene disponible la conectividad a Internet en el
puerto de red asignado. La disponibilidad del servicio se calcula según la siguiente
fórmula:
D = (T - Td) / T, donde
• D es el tiempo de disponibilidad del servicio
• T es el tiempo total mensual.
• Td es el tiempo con pérdida total de conectividad. Este tiempo de pérdida, será igual al
que trascurre desde la apertura de la incidencia, hasta el cierre de dicha incidencia.
En caso de pérdida de disponibilidad real de este nivel de servicio, se aplicarán las
penalizaciones de la siguiente tabla, de acuerdo a las condiciones de penalización
generales del contrato.
Penalizaciones:
99% > D >= 98% Nivel A
98% > D >= 96% Nivel B
96% > D >= 90% Nivel C
D < 90% Nivel D
Cálculo del tiempo de caída:
El cálculo de esta magnitud se establecerá desde que se ha dado noticia al DSI del
problema. El tiempo de la incidencia finaliza cuando el DSI comprueba que dicho servicio
se ha restaurado completamente.
No se considera tiempo de caída aquel debido a problemas derivados de un mal uso de la
red, o una mala configuración de la red por parte del cliente.
Ejemplo
Las buenas prácticas en los servicios de TI: ITIL
La práctica de la gestión de los servicios de TI maduró progresivamente durante los
años ochenta. El gobierno británico, guidado por la necesidad de una gestión más
efectiva de esos servicios, comenzó a recopilar las formas en las que las organizaciones
con más éxito gestionaban sus servicios. Esto llevó a la primera versión de la IT
Infrastructure Library (ITIL) al final de los ochenta, que no era otra cosa que un
conjunto de libros documentando los hallazgos de los estudios mencionados.
Gestión de la seguridad
TEMA 2 – Ideas clave
El Information Technology Service Management Forum (itSMF) es el único grupo de
usuarios internacionalmente reconocido e independiente dedicado a la gestión de
servicios TI, que surgió como un foro para que los usuarios de ITIL pudiesen
intercambiar experiencias y aprender colectivamente. Es propiedad de sus miembros y
son ellos quienes lo operan. El itSMF tiene gran influencia y contribuye a la industria
de las mejores prácticas y a los estándares a nivel mundial.
La primera filial del itSMF se fundó en el Reino Unido en 1991. El itSMF holandés
(itSMF Holanda) fue la siguiente, establecida en noviembre de 1993. Ahora existen
filiales itSMF en países como Sudáfrica, Bélgica, Alemania, Austria, Suiza, Canadá,
Estados Unidos, Francia y Australia, que cooperan con itSMF Internacional.
OGC (The Office of Government Commerce) es la Oficina independiente del Tesoro en
el Reino Unido. El objetivo de la OGC es definir estándares y proporcionar las mejores
prácticas para el mercado del RU. La OGC es la dueña de ITIL® y el desarrollo de
ITIL® v3 ha sido auspiciado por la OGC.
La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el
proveedor acreditado en los siguientes años. Él definirá el estándar de los
exámenes, la provisión de los exámenes, y entrenadores capacitados, materiales de
capacitación y proveedores de capacitación de ITIL® v3.
El principio fundamental de ITIL es el de recoger todas las prácticas que «funcionan».
Esta aproximación se resume en unas características clave que pueden resumirse en las
siguientes:
ITIL no es propietario. Las prácticas de ITIL no son específicas de ningún tipo de
tecnología o de sector. Además, ITIL es propiedad del gobierno británico, no estando
por lo tanto en manos de ningún proveedor concreto.
ITIL no es prescriptivo. ITIL recoge prácticas maduras, probadas de
aplicabilidad general. Por su carácter genérico, no establece ningún tipo de
obligatoriedad o uso concreto de tecnologías o técnicas.
ITIL consiste en las mejores prácticas. ITIL recoge las mejores prácticas a
nivel global, por lo tanto, es el resultado de la experiencia acumulada.
Gestión de la seguridad
TEMA 2 – Ideas clave
ITIL consiste en buenas prácticas. No todas las prácticas en ITIL pueden
considerarse como las «mejores». Esto es una consecuencia del carácter evolutivo de
la práctica. Lo que hoy es «lo mejor» mañana pasará simplemente a ser bueno o
común, dado que se habrán descubierto formas mejores de hacer lo mismo, o bien el
entorno habrá cambiado.
ITIL abarca prácticas de soporte y de entrega del servicio. La siguiente figura las
esquematiza.
Gestión de servicios TI
Soporte de servicios Entrega del servicio
• Service Desk
• Gestión de incidentes
• Gestión de problemas
• Gestión de configuración
• Gestión del cambio
• Gestión de entregas
• Gestión de los niveles de servicio.
• Gestión financiera.
• Gestión de la disponibilidad.
• Gestión de la capacidad
Las prácticas que ITIL recoge tienen unas características comunes cuando se
observa su tipo y cómo las aplican las mejores organizaciones de servicio. Esas
características pueden resumirse en los siguientes puntos:
Son predictivos en lugar de reactivos. Es decir, se basan en estudiar los
patrones de uso de los clientes o usuarios.
Son consistentes y medibles. Las mejores prácticas son estables y proporcionan
predictibilidad a los servicios de TI.
Son adaptables. Por último, las prácticas deben permitir su optimización y mejora
continua.
Tomemos como ejemplo la práctica de la «Gestión de la capacidad». Podemos definirla
cómo la práctica encargada de «asegurar que la infraestructura de TI se proporciona
cuando se necesita, en el volumen necesario y con el precio adecuado, garantizando su
uso eficiente».
Gestión de la seguridad
TEMA 2 – Ideas clave
Siguiendo el esquema anterior, como toda práctica ITIL, debe ser:
Predictiva. Esto se refleja, por ejemplo, en considerar que un factor crítico de éxito
en esta práctica es «proporcionar previsiones de demanda de TI precisas».
Consistente. Esto se refleja, por ejemplo, en la necesidad de implementar:
«políticas, procesos y procedimientos de gestión de la capacidad».
Medible. Esto se refleja en los indicadores recomendados para la evaluación del
servicio. Para esta práctica, entre los KPI (key performance indicators) tenemos por
ejemplo:
o Dólares en capacidad de TI no utilizada.
o Número de incidentes/violaciones de SLA debidos a la capacidad.
Adaptable. Entre las actividades encontramos: «Implementar cambios
relacionados con la capacidad».
Es importante entender que las recomendaciones y directrices relativas a cada práctica
tienen en cuenta las cuatro características que acabamos de comentar.
El proceso de gestión de la seguridad en ITIL
El proceso de gestión de la seguridad en ITIL se basa en la norma ISO 27001 que ya
hemos visto. Para diseñar los procesos, las entradas son los requisitos que se formulan
por parte de los clientes. Estos requisitos se traducen en servicios de seguridad y de
calidad de seguridad que debe ser proporcionada en la sección de seguridad de los
acuerdos de nivel de servicio. El proceso de gestión de la seguridad en ITIL es complejo
y abarca un buen número de diferentes actividades. La siguiente tabla resume algunas
de ellas.
Subproceso Objetivo
Diseño de controles de
seguridad
Diseñar las medidas técnicas y organizativas necesarias para
asegurar la disponibilidad, integridad y confidencialidad de los
recursos y servicios de información.
Pruebas de seguridad Asegurar que los mecanismos de seguridad están sujetos a
pruebas regulares.
Gestión de incidentes de
seguridad
Detectar y combatir los ataques y las intrusiones, y minimizar el
daño de las brechas de seguridad.
Revisión de la seguridad
Revisar si las medidas y procedimientos de seguridad son
coherentes con las percepciones de riesgo del negocio, y si esas
medidas y procedimientos se revisan y evalúan regularmente.
Gestión de la seguridad
TEMA 2 – Ideas clave
Respecto a los indicadores, la siguiente tabla describe indicadores típicos para este
proceso.
KPI Descripción
Número de medidas de prevención
implementadas
Número de medidas de prevención implementadas en
respuesta a amenazas a la seguridad implementadas.
Duración de la implementación
Tiempo transcurrido desde la identificación de una
amenaza hasta la implementación de una
contramedida adecuada.
Número de incidentes de seguridad
importantes Número de incidentes, clasificados por severidad.
Número de caídas del nivel de
servicio relacionadas con la
seguridad
Número de incidentes que han causado no
disponibilidad del servicio limitada o interrupción
Número de test de seguridad Número de test de seguridad (y de procesos de
formación) llevados a cabo.
Número de problemas identificados
durante los test
Número de problemas identificados en el transcurso de
los test de seguridad
Es interesante detenerse a pensar cómo los KPI que se acaban de mencionar se
relacionan con los modelos económicos de la seguridad. Las medidas de
prevención son pre-incidente, así como los test, si bien el número de incidentes es post-
incidente. La orientación al servicio hace que uno de los KPI tenga que ver con el
concepto de disponibilidad de manera directa.
2.7. Modelos de madurez para la seguridad de la información
Un modelo de madurez sirve para situar y evaluar el grado de desarrollo de
una gestión sistemática, predecible y optimizable. Estos modelos se han
popularizado en el contexto del desarrollo de software, pero poco a poco han sido
adaptados a otros dominios, incluyendo el de la seguridad de la información.
En lo que sigue introducimos uno de esos modelos, el CMMI, quizá el más conocido y
extendido en la actualidad. Es importante tener en cuenta que las ideas del CMMI se
han aplicado recientemente a los servicios (Forrester, Buteau and Shrum, 2009).
Gestión de la seguridad
TEMA 2 – Ideas clave
Posteriormente describimos un modelo de madurez específico de la seguridad de la
información.
El modelo de madurez CMMI
El modelo CMMI, acrónimo del inglés Capability Madurity Model Integration, es una
evolución de un modelo anterior denominado CMM inicialmente desarrollado por el
Instituto de Ingeniería del Software (SEI) de la Universidad Carnegie Mellon.
El SEI llevó a cabo el encargo de desarrollar un modelo de calidad que sirviera como
base para establecer un sistema de capacitación de las compañías que suministraban
software al gobierno de los Estados Unidos. Dicho modelo fue definido como:
«Un enfoque para la mejora de procesos que proporciona a una organización los
elementos esenciales para llevar a cabo sus procesos de manera efectiva. Puede utilizarse
para guiar la mejora de procesos en un proyecto, en un departamento, o en una
organización completa. CMMI ayuda a integrar funciones de la organización
tradicionalmente separadas, a establecer prioridades y objetivos en la mejora de procesos,
proporciona guías para los procesos de calidad y sirve como punto de referencia para la
evaluación de los procesos actuales».
Nótese que CMMI no es un proceso de desarrollo de software, sino más bien una guía
que describe las características que hacen efectivo a un proceso. Las ideas
que aporta pueden ser, por tanto, utilizadas como un conjunto de buenas prácticas,
como un marco para la organización y priorización de actividades, o como una forma de
alinear los objetivos de la organización con los objetivos del proceso en estudio.
CMMI se interesa por la mejora de los procedimientos y métodos (procesos) que las
personas de una organización llevan a cabo con ayuda de tecnología y otras
herramientas, ya que, si los procesos no están correctamente definidos, son maduros y
ampliamente conocidos, ni las más cualificadas personas serán capaces de rendir a su
mejor nivel aún disponiendo de las mejores herramientas.
Gestión de la seguridad
TEMA 2 – Ideas clave
El modelo O-ISM3
El Open Group desarrollado un modelo de madurez denominado Open Group Security
Management Maturity Model (O-ISM3), que permite el diseño de sistemas de
gestión de la seguridad alineados con la misión de la organización
empresarial y el cumplimiento de las necesidades.
Puedes encontrar más información sobre el Open Group y el modelo O-ISM3 en las
siguientes direcciones web:
http://www.opengroup.org/
https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicati
onid=12238
La nueva norma permite a las organizaciones a priorizar y optimizar las
inversiones en seguridad de la información, así como permitir la mejora
continua de los sistemas que utilizan métricas bien definidas.
El modelo se basa en la consideración de tres elementos fundamentales en la seguridad
de la información que ya se han tratado en la asignatura:
Gestión de riesgos
Controles de seguridad.
Gestión de la seguridad, mediante un sistema de políticas y herramientas que las
implementan.
Por otro lado, el estándar se basa en las siguientes definiciones:
Proceso. Los procesos tienen capacidades que se realizan mediante prácticas de
gestión.
Capacidad. Las métricas de un proceso revelan las capacidades del mismo.
Madurez (grado de). Ciertos conjuntos de procesos seleccionados según ciertas
capacidades permiten clasificar a la organización en un nivel de madurez.
Gestión de la seguridad
TEMA 2 – Ideas clave
La siguiente tabla resume la relación entre procesos, capacidades y niveles de
capacidad o madurez.
Capability Level Initial Managed Defined Controlled Optimized
Management Practices Enabled
Audit. Certify
Test Monitor Planning Benefits Realization
Assessment Optimization
Documentation * * * * * * *
Met
ric
Typ
e
Activity * * * * * *
Scope * * * * * *
Unavailability 1 * * * * * *
Effectiveness * * * * * *
Load * * * * *
Quality * *
Efficiency *
2.8. Otras certificaciones, estándares y recursos profesionales
En esta sección se amplían los estándares, certificaciones y recursos tratados en los
anteriores apartados con otras adicionales para completar la visión general del contexto
de la profesión.
La certificación ICSM de ISACA
La Information Systems Audit and Control Association (ISACA, Asociación de
Auditoría y Control de Sistemas de Información), es una asociación internacional
fundada en 1967 que promueve y organiza el desarrollo de metodologías y
certificaciones para las actividades auditoría y control en sistemas de
información. Entre sus productos más conocidos está el framework COBIT de control
de sistemas de información o las certificaciones de auditoría.
ISACA ofrece también el Certified Information Security Manager (CISM, o Gestor
Certificado en Seguridad de la Información), dirigido específicamente al área de gestión
en el contexto de la seguridad.
Gestión de la seguridad
TEMA 2 – Ideas clave
Los dominios que cubre ICSM son los siguientes:
Gobierno de seguridad de la información.
Gestión de riesgos de información y cumplimiento.
Desarrollo y gestión del programa de seguridad de la información.
Gestión de incidentes de seguridad de la información.
El proceso de certificación tiene bastantes puntos en común con el de CISSP,
concretamente los pasos son los siguientes:
Aprobar el examen CISM.
Adherirse al Código de Ética Profesional de ISACA.
Estar de acuerdo en cumplir con la Política de Educación Continua.
Acreditar experiencia laboral en el ámbito de la seguridad de la información.
Presentar una solicitud de certificación CISM.
Gestión de la seguridad
TEMA 2 – Lo + recomendado
Lo + recomendado
No dejes de leer…
Norma UNE/ISO 27001
La norma ISO 27001 establece los requisitos para la certificación de los SGSI. Como tal,
es muy importante conocer sus contenidos y definiciones.
Hacking ético
En este libro gratuito, el autor expone las principales técnicas y
fuentes de información para el denominado hacking ético, que
no es otra cosa que la intrusión proactiva en los sistemas sin
intención maliciosa y mediando el consentimiento. El libro es
gratuito.
El libro está disponible en el aula virtual o en la siguiente dirección web:
http://www.hackingetico.com/
Gestión de la seguridad
TEMA 2 – Lo + recomendado
The CISSP Prep Guide — Gold Edition
Hay numerosos libros para la preparación del examen CISSP
(además de la propia guía del ISC2). Estas guías habitualmente
se estructuran de acuerdo a los dominios de la certificación e
incluyen preguntas de test similares a las del examen con
diferentes niveles de dificultad.
El libro está parcialmente disponible en el aula virtual o en la siguiente dirección web:
http://www.amazon.com/gp/reader/047126802X/ref=sib_dp_pop_fc?ie=UTF8&p=S001#reader-link
No dejes de ver…
Vídeos introductorios a ISO 27001
Esta serie de vídeos introduce los
conceptos de ISO 27001 contados por
expertos en el área. Es una serie de
vídeos cortos introductorios
especialmente recomendados
mientras se está estudiando la
norma.
El vídeo completo está disponible en el aula virtual o en la siguiente dirección web:
https://www.youtube.com/watch?v=V7T4WVWvAA8
Gestión de la seguridad
TEMA 2 – + Información
+ Información
A fondo
ITIL e ISO/IEC 27001
El artículo propone una correspondencia de ITIL con ISO 27001. Aunque la
correspondencia es solo una propuesta no oficial, es interesante para entender mejor la
complementariedad de las dos especificaciones.
El artículo está disponible en el aula virtual o en la siguiente dirección web:
http://www.indjst.org/archive/Feb-12/Feb-12-web/30-feb%2012%20sheikhpour.html
Webgrafía
Web informativa de la familia de estándares ISO 27000
Esta web ofrece información general de la familia de estándares.
http://www.27000.org/index.htm
Gestión de la seguridad
TEMA 2 – + Información
Web de la organización (ISC)2
ISC2 es la organización dedicada a la certificación de los profesionales de la seguridad
que soporta la certificación CISSP. En su Web se pueden encontrar los detalles de las
diferentes certificaciones, enlaces a los materiales oficiales de preparación de los
exámenes y también algunos recursos introductorios a los diferentes dominios de las
certificaciones.
https://www.isc2.org/
Bibliografía
Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de
seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.
Tipton, H. F. and Micki K. (2004). Information Security Management Handbook.
Florida: Auerbach Publications.
VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach
Publications.
Gestión de la seguridad
TEMA 2 – Actividades
Actividades
Trabajo: Estudio de la norma ISO 27001
Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de
seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.
Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la
información según ISO 27001 y responde a las preguntas que se os plantearán a través
del aula virtual.
El texto está disponible en el aula virtual.
Análisis comparativo ITIL/ISO 27000/OISM3
Para profundizar más en la complementariedad de la guía de buenas prácticas ITIL, la
norma ISO 27001 y el modelo de madurez OISM3, es necesario entender
conceptualmente:
1. Las diferencias en su ámbito y aplicabilidad, es decir «para qué sirve cada una».
2. Su audiencia, es decir «a quién están destinadas».
3. Su marco conceptual, por ejemplo, qué se entiende en cada una por política o
proceso y si son conceptos completamente equivalentes o no.
4. Cómo pueden hacerse correspondencias entre sus diferentes elementos,
dependiendo del análisis realizado en el punto anterior.
Para fijar bien los conceptos, haz un diagrama y/o tablas para especificar las
correspondencias y diferencias.
Gestión de la seguridad
TEMA 2 – Test
Test
1. Indica cuáles de las siguientes afirmaciones son correctas.
A. Las certificaciones como el CISSP determinan el acceso al ejercicio de la
profesión dentro del área de la seguridad de la información.
B. La profesión de la seguridad de la información cuenta con cuerpos de
conocimientos definidos y una cultura profesional como otras profesiones
diferenciadas.
C. El código ético del profesional de la información es el definido en las normas
de auditoría ISO 27001.
D. Ninguna de las anteriores.
2. Indica cuáles de las siguientes afirmaciones son correctas.
A. Las revistas académicas del área de la seguridad de la información son el
principal medio de formación básica para los profesionales de la seguridad de
la información.
B. Se llama hacker ético a cualquier profesional de la seguridad de la
información.
C. Un hacker ético puede realizar acciones de penetration testing contra una
empresa siempre que no perciba beneficios económicos por ello.
D. Ninguna de las anteriores.
3. Indica cuáles de las áreas o conocimientos están incluidas de forma explícita en la
certificación CISSP:
A. La seguridad física de los sistemas.
B. La regulación sobre la protección de datos.
C. El desarrollo de software seguro.
D. La psicología de los delincuentes informáticos.
Gestión de la seguridad
TEMA 2 – Test
4. Indica cuáles de las siguientes afirmaciones son ciertas sobre las certificaciones de
seguridad de la información.
A. La certificación CAP tiene un contenido técnico equivalente a la certificación
CISSP.
B. Las certificaciones son títulos como las titulaciones, que se obtienen y no
necesitan renovarse.
C. La certificación CISSP sólo puede obtenerse cuando se tiene experiencia
profesional en el área.
D. Ninguna de las anteriores.
5. Indica cuáles de las siguientes afirmaciones son ciertas sobre el estándar 27001.
A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de
Gestión de la Seguridad de la Información.
B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los
Sistemas de Gestión de la Seguridad de la Información.
C. ISO 27001 considera como uno de los elementos fundamentales el
compromiso de la dirección, requisito imprescindible para el establecimiento
de un Sistema de Gestión de la Seguridad de la Información.
D. Ninguna de las anteriores.
6. Indica cuáles de las siguientes afirmaciones son ciertas.
A. ISO 27001 se basa en un modelo de mejora continua donde la fase de
planificación implica el diseño de mecanismos de gestión del Sistema de
Gestión de la Seguridad de la Información.
B. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la
Información debe estar motivada por decisiones tácticas referentes a la mejora
de los costes asociados con la seguridad.
C. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información
debe comprender a toda la organización, para garantizar que no existe
ninguna posibilidad de intrusión en ninguno de sus niveles.
D. Ninguna de las anteriores.
Gestión de la seguridad
TEMA 2 – Test
7. Indica cuáles de las siguientes afirmaciones son ciertas.
A. Según ISO 27001, los registros son evidencia objetiva sobre el cumplimiento
de los requisitos del Sistema de Gestión de la Seguridad de la Información.
B. Según ISO 27001, la revisión de la dirección es el paso previo a la visita de los
auditores, que se realiza con el objeto de ser una comprobación para evitar no
conformidades.
C. La política de seguridad de la información es el documento que debe
comunicarse a toda la empresa y a partir del cual se deriva el resto de los
requisitos del sistema.
D. Ninguna de las anteriores.
8. Indica cuáles de las siguientes afirmaciones son ciertas:
A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de
calidad de los servicios en diferentes dimensiones.
B. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un
sistema de seguridad si quiere ser compatible con ITIL.
C. ITIL describe como buena práctica la prueba de los mecanismos de seguridad
diseñados dentro del SGSI.
D. Ninguna de las anteriores.
9. Indica cuáles de las siguientes afirmaciones son ciertas:
A. El modelo OISM3 tiene como objeto proporcionar las especificaciones para un
SGSI que sea certificable.
B. El concepto de madurez en OISM3 hace referencia al grado de capacidad del
staff de la empresa que se dedica a la seguridad de la información.
C. En un nivel de madurez controlado, se evalúa de manera continua desde la
gestión la calidad y efectividad de los diferentes aspectos de la seguridad.
D. Ninguna de las anteriores.
10. Indica cuáles de las siguientes afirmaciones son ciertas:
A. El modelo OISM3 e ITIL son dos opciones alternativas para la gestión de la
seguridad.
B. El concepto de KPI en ITIL tiene en común con el de métrica en OISM3 el que
hacen referencia a la medición de los diferentes procesos.
C. Tanto OISM3 como ITIL se basan en modelos de mejora continua, por lo que
tienen una base común con ISO 27001.
D. Ninguna de las anteriores.