tarea 3 sgsi modelo de maduracion

5/16/2018 Tarea 3 SGSI Modelo de Maduracion - slidepdf.com

http://slidepdf.com/reader/full/tarea-3-sgsi-modelo-de-maduracion 1/13

INDICESistema de Gestión de Seguridad (SGSI) ....................................................................................................................2

¿Qué es un SGSI? ....................................................................................................................................................2

¿Para qué sirve un SGSI? ........................................................................................................................................3

¿Qué incluye un SGSI? ............................................................................................................................................4

Documentos de Nivel 1 ......................................................................................................................................4




Control de la documentación .............................................................................................................................5

Cómo se implementa un SGSI? ..............................................................................................................................6

Plan: Establecer el SGSI ......................................................................................................................................6

Identificar los riesgos: .........................................................................................................................................7

Analizar y evaluar los riesgos:.............................................................................................................................7

Do: Implementar y utilizar el SGSI ......................................................................................................................8

Check: Monitorizar y revisar el SGSI ...................................................................................................................8

Act: Mantener y mejorar el SGSI ........................................................................................................................9

MODELO DE MADUREZ ........................................................................................................................................... 10

¿PARA QUE SIRVE EL MODELO DE MADUREZ? ................................................................................................... 10

Algunos Modelos ................................................................................................................................................. 11

COBIT MATURITY MODEL .................................................................................................................................... 11

Nivel 0 (Inexistente): ....................................................................................................................................... 11

Nivel 1 (Inicial): ................................................................................................................................................ 11

Nivel 2 (Repetible): .......................................................................................................................................... 11

Nivel 3 (Definido): ............................................................................................................................................ 12

Nivel 4 (Gestionado): ....................................................................................................................................... 12

Nivel 5 (Optimizado): ....................................................................................................................................... 12

Bibliografía ............................................................................................................................................................... 13



Página 2

Sistema de Gestión de Seguridad (SGSI)

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto centralsobre el que se construye ISO 27001.

La gestión de la seguridad de la información debe realizarse mediante un procesosistemático, documentado y conocido por toda la organización.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el casode disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de laseguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de lainformación sean conocidos, asumidos, gestionados y minimizados por la organización deuna forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a loscambios que se produzcan en los riesgos, el entorno y las tecnologías.

¿Qué es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de laSeguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas deInformation Security Management System.

Se entiende por información todo aquel conjunto de datos organizados en poder deuna entidad que posean valor para la misma, independientemente de la forma en que seguarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenadaelectrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida enconversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o dela fecha de elaboración.

La seguridad de la información, según ISO 27001,consiste en la preservación de su confidencialidad,integridad y disponibilidad, así como de lossistemas implicados en su tratamiento, dentro deuna organización. Así pues, estos tres términosconstituyen la base sobre la que se cimienta todo eledificio de la seguridad de la información:

Confidencialidad: la información no se pone a

disposición ni se revela a individuos, entidades oprocesos no autorizados.

Integridad: mantenimiento de la exactitud ycompletitud de la información y sus métodos deproceso.



Página 3

Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de lamisma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.Para garantizar que la seguridad de la información es gestionada correctamente, se debehacer uso de un proceso sistemático, documentado y conocido por toda la organización,desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

¿Para qué sirve un SGSI?

La información, junto a los procesos y sistemas que hacen uso de ella, son activosmuy importantes de una organización. La confidencialidad, integridad y disponibilidad deinformación sensible pueden llegar a ser esenciales para mantener los niveles decompetitividad, rentabilidad, conformidad legal e imagen empresarial necesarios paralograr los objetivos de la organización y asegurar beneficios económicos.

Las organizaciones y sus sistemas de información están expuestos a un númerocada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidadesexistentes, pueden someter a activos críticos de información a diversas formas de fraude,espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques dedenegación de servicio son algunos ejemplos comunes y conocidos, pero también sedeben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria oinvoluntariamente desde dentro de la propia organización o aquellos provocadosaccidentalmente por catástrofes naturales y fallos técnicos.

El nivel de seguridad alcanzado pormedios técnicos es limitado einsuficiente por sí mismo. En lagestión efectiva de la seguridad debe

tomar parte activa toda laorganización, con la gerencia al frente,tomando en consideración también aclientes y proveedores de bienes yservicios. El modelo de gestión de laseguridad debe contemplar unosprocedimientos adecuados y laplanificación e implantación decontroles de seguridad basados en unaevaluación de riesgos y en unamedición de la eficacia de los mismos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estaspolíticas y procedimientos en relación a los objetivos de negocio de la organización, conobjeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propiaorganización ha decidido asumir.Con un SGSI, la organización conoce los riesgos a los que está sometida su información ylos asume, minimiza, transfiere o controla mediante una sistemática definida,documentada y conocida por todos, que se revisa y mejora constantemente.



Página 4

¿Qué incluye un SGSI?

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostradográficamente la documentación del sistema como una pirámide de cuatro niveles. Esposible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información

basado en ISO 27001 de la siguiente forma:

Documentos de Nivel 1

Manual de seguridad: por analogíacon el manual de calidad, aunque eltérmino se usa también en otrosámbitos. Sería el documento queinspira y dirige todo el sistema, elque expone y determina lasintenciones, alcance, objetivos,

responsabilidades, políticas ydirectrices principales, etc., delSGSI.


Procedimientos: documentos en el nivel operativo, que aseguran que se realicen deforma eficaz la planificación, operación y control de los procesos de seguridad de lainformación.


Instrucciones, checklists y formularios: documentos que describen cómo se realizanlas tareas y las actividades específicas relacionadas con la seguridad de la información.


Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de losrequisitos del SGSI; están asociados a documentos de los otros tres niveles como outputque demuestra que se ha cumplido lo indicado en los mismos.De manera específica, ISO 27001 indica que un SGSI debe estar formado por lossiguientes documentos (en cualquier formato o tipo de medio):

Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendouna identificación clara de las dependencias, relaciones y límites que existen entre el

alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en losque el ámbito de influencia del SGSI considere un subconjunto de la organizacióncomo delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).

Política y objetivos de seguridad: documento de contenido genérico que establece elcompromiso de la dirección y el enfoque de la organización en la gestión de la seguridadde la información.



Página 5

Procedimientos y mecanismos de control que soportan al SGSI: aquellosprocedimientos que regulan el propio funcionamiento del SGSI.

Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo serealizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia eimpactos en relación a los activos de información contenidos dentro del alcanceseleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles deriesgo aceptables.

Informe de evaluación de riesgos: estudio resultante de aplicar la metodología deevaluación anteriormente mencionada a los activos de información de la organización.

Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección,los recursos, las responsabilidades y las prioridades para gestionar los riesgos deseguridad de la información, en función de las conclusiones obtenidas de la evaluación deriesgos, de los objetivos de control identificados, de los recursos disponibles, etc.

Procedimientos documentados: todos los necesarios para asegurar la planificación,operación y control de los procesos de seguridad de la información, así como para lamedida de la eficacia de los controles implantados.

Registros: documentos que proporcionan evidencias de la conformidad con los requisitosy del funcionamiento eficaz del SGSI.

Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas);documento que contiene los objetivos de control y los controles contemplados por elSGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos,

justificando inclusiones y exclusiones.

Control de la documentación

Para los documentos generados se debe establecer, documentar, implantar y mantener unprocedimiento que defina las acciones de gestión necesarias para:

- Aprobar documentos apropiados antes de su emisión.- Revisar y actualizar documentos cuando sea necesario y renovar su validez.- Garantizar que los cambios y el estado actual de revisión de los documentos están

identificados.- Garantizar que las versiones relevantes de documentos vigentes están disponibles

en los lugares de empleo.- Garantizar que los documentos se mantienen legibles y fácilmente identificables.- Garantizar que los documentos permanecen disponibles para aquellas personas que

los necesiten y que son transmitidos, almacenados y finalmente destruidos acordecon los procedimientos aplicables según su clasificación.

- Garantizar que los documentos procedentes del exterior están identificados.- Garantizar que la distribución de documentos está controlada.- Prevenir la utilización de documentos obsoletos.



Página 6

- Aplicar la identificación apropiada a documentos que son retenidos con algúnpropósito.

Cómo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestión de la Seguridad de laInformación en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los

sistemas de gestión de la calidad.

Plan (planificar): establecer el SGSI.Do (hacer): implementar y utilizar el SGSI.

Check (verificar): monitorizar y revisar el SGSI.Act (actuar): mantener y mejorar el SGSI.

Plan: Establecer el SGSI

Definir el alcance del SGSI en términos del negocio, la organización, su localización,activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.Definir una política de seguridad que:

- incluya el marco general y los objetivos de seguridad de la información de laorganización;

- considere requerimientos legales o contractuales relativos a la seguridad de lainformación;

- esté alineada con el contexto estratégico de gestión de riesgos de la organizaciónen el que se establecerá y mantendrá el SGSI;

- establezca los criterios con los que se va a evaluar el riesgo;- esté aprobada por la dirección.

Definir una metodología de evaluación del riesgo apropiada para el SGSI y losrequerimientos del negocio, además de establecer los criterios de aceptación del riesgo yespecificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los



Página 7

resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definiruna propia).

Identificar los riesgos:

- identificar los activos que están dentro del alcance del SGSI y a sus responsablesdirectos, denominados propietarios;

- identificar las amenazas en relación a los activos;- identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas;- identificar los impactos en la confidencialidad, integridad y disponibilidad de los

activos.

Analizar y evaluar los riesgos:

- evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida deconfidencialidad, integridad o disponibilidad de un activo de información;

- evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en

relación a las amenazas, vulnerabilidades, impactos en los activos y los controlesque ya estén implementados;

- estimar los niveles de riesgo;- determinar, según los criterios de aceptación de riesgo previamente establecidos, si

el riesgo es aceptable o necesita ser tratado.- Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:- aplicar controles adecuados;- aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios

establecidos para la aceptación de los riesgos;- evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;- transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de

outsourcing.

http://www.iso27000.es/herramientas.html#section7b





Página 8

Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para eltratamiento del riesgo que cumplan con los requerimientos identificados en el proceso deevaluación del riesgo.

Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y usodel SGSI.Definir una declaración de aplicabilidad que incluya:

- objetivos de control y controles seleccionados y los motivos para su elección;- objetivos de control y controles que actualmente ya están implantados;- objetivos de control y controles del Anexo A excluidos y los motivos para su

exclusión; este es un mecanismo que permite, además, detectar posibles omisionesinvoluntarias.

En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO 17799)proporciona una completa guía de implantación que contiene 133 controles, según 39objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO

27001, en su segunda cláusula, en términos de “documento indispensable para laaplicación de este documento” y deja abierta la posibilidad de incluir controles adicionalesen el caso de que la guía no contemplase todas las necesidades particulares.

Do: Implementar y utilizar el SGSI

- Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,responsabilidades y prioridades en la gestión de los riesgos de seguridad de lainformación.

- Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos decontrol identificados, incluyendo la asignación de recursos, responsabilidades y

prioridades.- Implementar los controles anteriormente seleccionados que lleven a los objetivosde control.

- Definir un sistema de métricas que permita obtener resultados reproducibles ycomparables para medir la eficacia de los controles o grupos de controles.

- Procurar programas de formación y concienciación en relación a la seguridad de lainformación a todo el personal.

- Gestionar las operaciones del SGSI.- Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la

seguridad de la información.- Implantar procedimientos y controles que permitan una rápida detección y

respuesta a los incidentes de seguridad.

Check: Monitorizar y revisar el SGSI

La organización deberá:- Ejecutar procedimientos de monitorización y revisión para:- detectar a tiempo los errores en los resultados generados por el procesamiento de

la información;

http://www.iso27000.es/download/ControlesISO27002-2005.pdf





Página 9

- identificar brechas e incidentes de seguridad;- ayudar a la dirección a determinar si las actividades desarrolladas por las personas

y dispositivos tecnológicos para garantizar la seguridad de la información sedesarrollan en relación a lo previsto;

- detectar y prevenir eventos e incidentes de seguridad mediante el uso deindicadores;

- determinar si las acciones realizadas para resolver brechas de seguridad fueronefectivas.

- - Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la

política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes,resultados de las mediciones de eficacia, sugerencias y observaciones de todas laspartes implicadas.

- Medir la efectividad de los controles para verificar que se cumple con los requisitosde seguridad.

- Revisar regularmente en intervalos planificados las evaluaciones de riesgo, losriesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios

que hayan podido producirse en la organización, la tecnología, los objetivos yprocesos de negocio, las amenazas identificadas, la efectividad de los controlesimplementados y el entorno exterior -requerimientos legales, obligacionescontractuales, etc.-.

- Realizar periódicamente auditorías internas del SGSI en intervalos planificados.- Revisar el SGSI por parte de la dirección periódicamente para garantizar que el

alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSIson evidentes.

- Actualizar los planes de seguridad en función de las conclusiones y nuevoshallazgos encontrados durante las actividades de monitorización y revisión.

- Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el

rendimiento del SGSI.- Act: Mantener y mejorar el SGSI

La organización deberá regularmente:- Implantar en el SGSI las mejoras identificadas.- Realizar las acciones preventivas y correctivas adecuadas en relación a la clausula 8

de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otrasorganizaciones.

- Comunicar las acciones y mejoras a todas las partes interesadas con el nivel dedetalle adecuado y acordar, si es pertinente, la forma de proceder.

- Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.- PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de

nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase encuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej.,puede haber actividades de implantación que ya se lleven a cabo cuando otras deplanificación aún no han finalizado; o que se monitoricen controles que aún noestán implantados en su totalidad.



Página 10

MODELO DE MADUREZ

Es un conjunto estructurado de elementos que describen el nivel de madurez de un

ente en un aspecto determinado.

- Establece un orden claro, discreto y absoluto, definiendo niveles o etapas de

madurez .

- Establece de manera explícita la evolución de la organización.

¿PARA QUE SIRVE EL MODELO DE MADUREZ?

- Medir: ¿dónde estoy hoy?

o Autoanálisis

Madurez

Capacidado Benchmarking sectorial

o Benchmarking nacional / regional / global

- Definir: ¿dónde debo estar?

o Oportunidades de mejora

o Alineación con las estrategias organizacionales

- Permite planificar los pasos siguientes

- Permite gestionar la evolución

o Corregir el rumbo si es necesario

o Mediciones constantes



Página 11

Algunos Modelos

- SSE – CMM:

o Modelo de capacidad y Madurez en la ingeniería de Seguridad de Sistemas.

o Es un modelo derivado del CMM

o Describe las características esenciales de los procesos que deben existir enuna organización para asegurar una buena seguridad de sistemas.

o Cuenta con 5 niveles de madurez progresiva:

Existente, repetible, persona designada, Documentado, Revisado yActualizado.

o Mide usando cuatro niveles:

Inicial

En Desarrollo

Establecido

Gestionado

- NIST – CSEAT (National Institute Of Standards and Technology – ComputerSecurity Expert Assit Team):

o 5 niveles de madurez progresiva

Políticas, procedimientos, Implantación, Prueba, Integración

- CITI – ISEM

- CERT – CSO

- COBIT Maturity Model

- ISM3 (Information Security Management Maturity Model)

COBIT MATURITY MODEL

Cobit = Control Objetives for Information and related Technologies

Nivel 0 (Inexistente):

Se carece de un proceso, la empresa no ha reconocido la necesidad, es igual

a nivel inexistente.

Nivel 1 (Inicial):

Existe evidencia que la empresa ha reconocido la necesidad del “PROCESO”

de seguridad.

No existe un proceso estandarizado.

Existe un enfoque ad-hoc que se aplica de manera individual.

Nivel 2 (Repetible):

El proceso se encuentra suficientemente desarrollado y distintas personas

ejecutan más o menos los mismos procedimientos.

No existe comunicación formal de los procedimientos y la responsabilidad es

individual.



Página 12

Conocimiento depende de los individuos y por lo mismo el margen de error es

alto.

Nivel 3 (Definido):

El proceso ya esta estandarizado, documentado y difundido a través de

entrenamiento. Se deja a voluntad de los individuos la aplicación de procedimientos.

Los procesos no son sofisticados.

Nivel 4 (Gestionado):

Es posible medir y monitorear la aplicación de los procedimientos.

Es posible tomar acciones correctivas.

Los procesos se están mejorando continuamente.

Se tiene herramientas automatizadas que son usadas de manera limitada o

fragmentada.

Nivel 5 (Optimizado):

El proceso ha sido de las mejores prácticas.

Se basa en resultados de mejoramiento continuo y modelos más duros de

otras organizaciones.

Las TIC’s están integradas para automatizar los flujos de trabajo.

Herramientas que mejoran la calidad y efectividad.

Alta capacidad de adaptación de la empresa.



Página 13

Bibliografía

http://www.dsi.uclm.es/asignaturas/42551/trabajosAnteriores/Trabajo_CMM_y_RUP_04.p

df

http://www.youblisher.com/p/151242-Modelo-de-madurez-COBIT/

http://www.iso27000.es/sgsi.html

http://www.dsi.uclm.es/asignaturas/42551/trabajosAnteriores/Trabajo_CMM_y_RUP_04.pdf











tarea 3 sgsi modelo de maduracion

Documents