Gestion de la seguridad tema2

El profesional de la seguridad de la

información

[2.1] ¿Cómo estudiar este tema?

[2.2] Introducción

[2.3] La seguridad de la información como profesión

[2.4] Las certificaciones (ISC)2

[2.5] El estándar ISO 27001

[2.6] Buenas prácticas de seguridad en la gestión de servicios

de TI

[2.7] Modelos de madurez para la seguridad de la

información

[2.8] Otras certificaciones, estándares y recursos

profesionales

T

EM

A

Gestión de la seguridad

TEMA 2 – Esquema

Esquema

La

seg

uri

da

d d

e la

in

form

aci

ón

prof

esió

n

es u

na

def

inid

a en

cert

ific

acio

nes

ejem

plo

CIS

SP

impl

ica

Sis

tem

a d

e ge

stió

n d

e la

seg

uri

dad

de

la in

form

ació

n

def

inid

o en

guía

s

ejem

plo

ITIL

def

inid

o en

mod

elos

ejem

plo

O-I

SM

3

cert

ific

able

po

r

está

nd

ares ej

empl

o

ISO

270

01


TEMA 2 – Ideas clave

Ideas clave

2.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee el caso de estudio, además de las Ideas clave que

encontrarás a continuación.

El objetivo fundamental de este tema es el de conocer los principales estándares,

asociaciones y certificaciones relacionadas con la profesión de la seguridad

de la información. Este conocimiento es esencial para comprender los

conocimientos que son necesarios para convertirse en un profesional en el área.

Más concretamente, los objetivos de este tema son los siguientes:

Entender y saber explicar el rol del profesional de la seguridad de la información en

referencia al reconocimiento de la profesión por los clientes, el entorno académico y

los conocimientos comúnmente requeridos.

Comprender y saber explicar el rol del hacker ético dentro del contexto de la

seguridad de la información.

Conocer las fundamentales certificaciones en el área de la seguridad de la

información y entender el proceso de certificación.

Conocer el marco del estándar ISO 27001 y saber aplicar los conceptos de la norma

en situaciones prácticas.

Conocer modelos de buenas prácticas de gestión y de madurez en el área de la

Seguridad de la Información y saber diferenciarlos entre sí y con relación a los

estándares de certificación.

2.2. Introducción

Este tema trata de introducirte en el mundo profesional de la seguridad de la

información. Como tal, lo que se pretende es que el estudiante obtenga una visión

general de algunas de las asociaciones, certificaciones y estándares más importantes en

el área. En la unidad se introducen algunas de ellas, pero debes complementarlas con

lecturas y búsquedas de información adicionales para tener una visión completa de qué

implica llegar a ser un profesional de la seguridad de la información.



Después de una lectura rápida de la unidad, es especialmente importante por su

relevancia como estándar dedicar tiempo a entender y conocer en detalle el estándar

ISO 27000 en lo relativo a su marco conceptual y terminología. Los aspectos de

auditoría no se tratan en esta unidad, ya que son objeto de otra asignatura.

2.3. La seguridad de la información como profesión

Una profesión puede caracterizarse por el desarrollo de los siguientes cinco criterios:

La creación de un cuerpo organizado de conocimientos.1

El reconocimiento por parte de los clientes de la autoridad de la profesión.2

La aprobación de la comunidad de la autoridad de la profesión.3

Un código de ética.4

Una cultura profesional apoyada por, actividades académicas y profesionales.5

Si miramos a la seguridad de la información, aunque no existe una carrera de Grado

específica para la misma, sí se ha desarrollado claramente como disciplina

independiente.

Aunque no hay una asociación profesional de clara aceptación general, el cuerpo de

conocimiento (body of knowledge, BOK) del consorcio (ISC)2 es un ejemplo de

recopilación de requisitos en el área que puede considerarse como definitorio de qué

debe saber un profesional de la seguridad de la información. También el (ISC)2 incluye

en sus requisitos un código ético al que los certificados por la organización deben

adherirse.

El reconocimiento de la profesión por la comunidad y los clientes parece más que

evidente por la existencia de consultoras y empresas especializadas. Y desde el punto de

vista académico, existen conferencias académicas especializadas. También hay

conferencias y eventos profesionales no específicos del ámbito académico.



Desde el punto de vista académico, un ejemplo de evento especializado sería la

conferencia ACM Conference on Computer and Communications Security (CCS)

(http://www.sigsac.org/ccs.html) que se celebra desde 1993, organizada por el Grupo de

Interés SIGSAC (Security, Audit and Control) de ACM.

Además de las conferencias, existen numerosas revistas especializadas:

IEEE Security and Privacy es un magacín técnico del IEEE.

Como tal, los artículos publicados son breves. A pesar de

quedar sometidos a evaluación por pares (peer review), los

artículos según la política editorial «en general no son

adecuados para su publicación los artículos que cubren un

área técnica muy particular». Para estos artículos que no

encajan, se nos sugieren otras revistas de IEEE más

orientadas a la investigación.

Comentario

Un ejemplo de esas revistas es IEEE Transactions on

Secure and Dependable Systems:

http://www.computer.org/portal/web/tdsc/

¿El hacker como profesional?

Existe mucha confusión sobre el término hacker y la connotación peyorativa que a

veces se le ha asignado. Sin entrar en discusiones terminológicas, es importante

resaltar que actualmente existe un concepto de «hacking ético» que implica el

análisis de vulnerabilidades de sistemas mediante acciones ofensivas, pero

excluyendo los motivos maliciosos o espurios. Por ello, el hacker ético actúa en

coordinación con las empresas, que utilizan sus servicios para mejorar su seguridad.



El hacker ético es un profesional con unas capacidades muy concretas que

normalmente realiza «penetration testing» de manera controlada y previo contrato o

acuerdo con la empresa. La perspectiva de hacking ético tiene como elemento

interesante el situar la seguridad desde el contexto del atacante.

Los eventos relacionados con el hacking son diferentes de las conferencias académicas.

Ejemplos de estos eventos son:

El evento DefCon: https://www.defcon.org/

HackerHalted: http://www.hackerhalted.com/

En estos eventos se diseminan las técnicas y vulnerabildades de seguridad que se

encuentran en la práctica, las cuales pueden utilizarse de manera maliciosa o ética,

aunque realmente las técnicas son las mismas, es la intención o el uso las que las

diferencia.

2.4. Las certificaciones (ISC)2

El Consorcio internacional de Certificación de Seguridad de Sistemas de

Información o (ISC)2 (International Information Systems Security Certification

Consortium: https://www.isc2.org/), fundado en 1989, es una organización sin

ánimo de lucro con sede en Florida, dedicada fundamentalmente a la formación y

certificación en seguridad de la información.

Las certificaciones (ISC)2 incluyen:

Certified Information Systems Security Professional (CISSP), que incluye:

o Information Systems Security Architecture Professional (CISSP-ISSAP)

o Information Systems Security Engineering Professional (CISSP-ISSEP)

o Information Systems Security Management Professional (CISSP-ISSMP)

Certified Secure Software Lifecycle Professional (CSSLP)

Certification and Accreditation Professional (CAP)

Systems Security Certified Practitioner (SSCP)



Probablemente la más conocida y extendida de todas ellas es el CISSP, que es una

certificación profesional generalista muy amplia.

El CISSP

La certificación CISSP es una de las más valoradas por su reconocimiento

internacional. Un CISSP está certificado como profesional para “definir la arquitectura,

diseño, gestión y controles de los sistemas empresariales”. Los certificados, además de

contar con un valor añadido para su contratación, forman parte de la comunidad de

(ISC)2, donde pueden actualizarse y tener oportunidades adicionales para interactuar

con sus colegas.

El CISSP se estructura en diez dominios que conforman el Common Body of Knowledge

(CBK):

Seguridad de la información y gestión de riesgos (Information Security and Risk

Management)

Sistemas y metodología de control de acceso (Access Control Systems and

Methodology)

Criptografía (Cryptography)

Seguridad física (Physical Security)

Arquitectura y diseño de seguridad (Security Architecture and Design)

Legislación, eegulaciones, cumplimiento de las mismas e investigación (Legal,

Regulations, Compliance, and Investigation)

Seguridad de red y telecomunicaciones (Telecommunications and Network Security)

Planes de continuidad del negocio y de recuperación frente a desastres (Business

Continuity and Disaster Recovery Planning)

Seguridad en el desarrollo de aplicaciones (Application Development Security)

Seguridad de operaciones (Operations Security)

Para la certificación CISSP se deben cumplir los siguientes requisitos:

Aprobar el examen CISSP: Consta de 250 preguntas de selección simple y 6

horas de duración.

Demostrar experiencia mínima de 5 años en al menos dos de los diez dominios

del CBK.

Adherirse al Código Ético de la ISC2.



Para mantener la certificación CISSP, se debe realizar una cierta cantidad de

actividades cuya finalidad es asegurar que el profesional se ha mantenido

activo en el área de la seguridad en el tiempo. Cada una de estas actividades recibe

cierta cantidad de créditos (CPE) de los cuales el profesional debe reunir 120 cada 3

años.

La certificación CAP

La certificación CAP (Certified Authorization Professional) se dirige a certificar los

conocimientos, las habilidades y las capacidades que necesitan los

profesionales que evalúan riesgos y establecen parámetros de seguridad para

contrarrestar los riesgos potenciales. Se ha preparado con la colaboración de la Oficina

de Seguridad de la Información del Departamento de Estado de los EE.UU.

Esta certificación se centra en los siguientes dominios:

Entender la autorización de seguridad de sistemas de información1

Categorizar Los sistemas de información2

Establecer la línea de base de control de seguridad3

Aplicar controles de seguridad4

Evaluar los controles de seguridad5

Autorizar sistemas de información6

Monitorizar los controles de seguridad7

Como se puede ver, es una certificación asociada a los procesos de

autorización y certificación, no tan amplia como el CISSP.

2.5. El estándar ISO 27001

El estándar UNE-ISO/IEC 27001:2007 «Sistemas de Gestión de la Seguridad de

la Información (SGSI). Requisitos» es el primero de la serie de estándares ISO

27000. Es la norma principal de la familia, ya que establece los requisitos para la

gestión del SGSI y su auditoría.



Antecedentes del estándar ISO 27001: ISO/IEC BS7799

El Estándar Británico ISO-IEC BS7799-IT es un código aceptado

internacionalmente en la práctica de la seguridad de la información. El estándar aplica

un método de cuatro fases para implementar una solución de sistemas de

administración de seguridad de la información. La norma ISO 27001 puede

considerarse como la última revisión de la norma BS 7799:2002 Parte 2, de la

que ya había en el mundo previamente alrededor de 2.000 certificados.

La familia ISO 27000

La siguiente figura resume las normas de seguridad de la familia 27000. Por

ejemplo, la norma ISO 27002 detalla los requisitos de la norma 27001, proporcionando

una guía de buenas prácticas que describe los objetivos de control y controles en cuanto

a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.

No obstante, ISO 27002 no se considera una norma de certificación como 27001, sino

una especificación de apoyo o buenas prácticas.

ISO 27001 a 27010Normas de seguridad

Requerimientos del SGSI

Buenas prácticas en seguridad

Gestión del riesgo en el SGSI

Métricas y mediciones del SGSI

Guía de implementación del SGSI

Numeración reservada a diferentes temas de la seguridad de la información

27001

27002

27003

27004

27005

27006a

17010



Por ejemplo, en la ISO 27002 se incluye el siguiente control: «Medios físicos en

tránsito: Los medios que contienen información debieran ser protegidos contra accesos

no-autorizados, mal uso o corrupción durante el transporte más allá de los límites

físicos de una organización.». Lógicamente, este control solo deberá diseñarse en caso

de que se dé el citado tránsito.

Introducción a la norma 27001

La norma ISO 27001 describe los requisitos de un Sistema de Gestión de la

Seguridad de la Información (SGSI). Proporciona un marco común para la

elaboración de las normas de seguridad de cualquier tipo de organización,

estableciendo un método de gestión eficaz de la seguridad. Esta norma es la base del

proceso de auditoría y certificación de los sistemas de seguridad de información

de las organizaciones.

El establecimiento del SGSI se realiza seleccionando una serie de controles

elegidos en función de su importancia en la gestión del sistema de seguridad.

La siguiente tabla resume la estructura de la norma y sus principales contenidos.

Capítulo Título Contenidos

1 Alcance Establece el alcance y ámbito de aplicación

de la norma.

2 Referencias Detalla otras normas relacionadas

3 Términos y definiciones Proporciona las definiciones de la

terminología básica.

4 Sistema de Gestión de la

Seguridad de la Información

Requisitos del SGSI, descritos en cuanto a

las fases de su ciclo de vida y a la

documentación necesaria.

5 Responsabilidad de la dirección Establece los requisitos de compromiso de

la dirección y de asignación de recursos.

6 Auditorías internas del SGSI Descripción del proceso de la auditoría

interna.

7 Revisión por la dirección del SGSI Procedimientos de revisión directiva.

8 Mejora del SGSI El SGSI como proceso de mejora.

En todos los procesos de un sistema de gestión de seguridad de la información,

se utiliza el modelo PDCA (Planear-Hacer-Chequear-Actuar).



Partes interesadas

Requisitos y expectativas de la seguridad de la información

Partes interesadas

Seguridad de la información gestionada

Establecer el SGSI

Implantar y ejecutar el

SGSI

Seguimiento y revisión del SGSI

Mantener y mejorar el

SGSI

El proceso de planificación comienza con el diseño inicial del SGSI, incluyendo la

evaluación de riesgos inicial y cómo se tratarán. Una vez se han diseñado los diferentes

mecanismos de gestión (políticas, procedimientos, etc.) se ponen en marcha

implantando y «ejecutando» el SGSI.

En la fase de seguimiento y revisión será cuando se evalúe la marcha del mismo.

Dependiendo del nivel de madurez del SGSI en esta fase de verificación se incluirán

auditorías (internas o externas). Finalmente, a la luz de la evaluación realizada, se

propondrán las mejoras al SGSI que pasarán a una nueva fase de diseño.

Requisitos generales

La adopción de un sistema de gestión de seguridad de la información es una decisión

estratégica y se diseña e implanta de forma diferente en cada organización. Una

organización debe definir el alcance y los límites del sistema de gestión de

seguridad de la información de acuerdo con las características de la organización,

su ubicación, activos y tecnología.

Se deben establecer los objetivos de la política del sistema de gestión de seguridad de la

información, identificando los posibles riesgos o amenazas que se podrían producir.



En una organización pequeña, puede que el alcance del SGSI sea toda la organización.

No obstante, en organizaciones grandes no tiene por qué ser así. Por ejemplo, puede

que el alcance en una empresa de venta por Internet abarque la parte de comercio

electrónico pero no el aprovisionamiento (si este se realiza de manera tradicional, sin

conexión a Internet). En cualquier caso, al determinar el alcance es preciso indicar las

localizaciones físicas afectadas (oficinas, departamentos), las funciones que quedan

incluidas, y también los elementos tecnológicos cubiertos. Estos últimos se pueden definir

por ejemplo mediante un diagrama de red.

Ejemplo

Requisitos de documentación

La documentación del sistema de gestión de seguridad de la información deberá

incluir la política, alcance y objetivos del SGSI, así como los diferentes

procedimientos y controles de seguridad del sistema.

La documentación será más o menos amplia dependiendo de la organización y de las

diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los

requerimientos de seguridad variarán en función de estas circunstancias.

La dirección debe aprobar un documento de política de seguridad de la

información, que deberá publicar y comunicar a todos los empleados y entidades

externas relevantes.

Se deben aprobar los documentos previamente a su distribución, revisando y

actualizando los documentos según las necesidades requeridas, y siempre que se

garantice que los documentos están periódicamente actualizados.



Jerarquía de la documentación

Manual de seguridad

Política, alcance, evaluación de

riesgos, declaración de aplicabilidad

ProcesosQuién, qué, cuándo, dónde

Detalla cómo se realizan las actividades

Proporciona la evidencia objetiva del cumplimiento de los requerimientos del SGSI

Procedimientos

Instrucciones

Registros

Compromiso de la dirección

La Norma ISO 27001 especifica la obligación de suministrar evidencias del

compromiso planteado, tanto en el desarrollo como en la implantación y mejora del

sistema, en los siguientes aspectos:

En el proceso de comunicación interna al personal de la organización de la

gestión de la seguridad de la información en la empresa.

En el establecimiento de la política y los objetivos del sistema de gestión de

seguridad de la información de la empresa.

En la revisión periódica del desempeño del sistema de gestión.

En el aseguramiento de la disponibilidad de los recursos necesarios para la

plena efectividad del sistema.

Responsabilidades

Las responsabilidades y sus correspondientes autoridades deben estar

perfectamente definidas en cualquier organización o empresa.



La Norma ISO requiere que la alta dirección asegure que se cumplan estos

requisitos y que las responsabilidades sean comunicadas dentro de la organización,

valorando el tamaño, complejidad y cultura de la organización.

Se puede nombrar un representante de la dirección que tendrá la responsabilidad de:

Asegurar que los procesos del sistema de gestión de seguridad de la información se

implanten y funcionen.

Informar a la alta dirección sobre el desempeño del sistema y de cualquier

oportunidad de mejora.

Revisión por la dirección

La dirección debe desarrollar una actividad de revisión que implique la

verificación de la eficacia y efectividad del sistema de gestión de seguridad de la

información para asegurar su plena validez.

El proceso de revisión por la dirección no debería ser un planteamiento realizado

solamente para satisfacer los requisitos de la norma o de los auditores, sino que debería

ser una parte integral de los procesos de gestión de la organización.

2.6. Buenas prácticas de seguridad en la gestión de servicios de TI

La gestión de los servicios de Tecnología de la Información (TI) ha evolucionado

desde una organización ad hoc centrada en la visión técnica de los recursos de TI a una

visión integradora que considera los aspectos humanos, sociales y

tecnológicos que intervienen en un servicio de TI.

Servicio a uno o más clientes, por un proveedor de servicios de TI. Un

servicio de TI se basa en el uso de tecnologías de la información y apoya el

cliente en sus procesos de negocio. Un servicio de TI se compone de una

combinación de personas, procesos y tecnología, y deben definirse en un

acuerdo de nivel de servicio.

Servicio de TI



La definición indica varios elementos fundamentales en la gestión de los servicios:

En primer lugar, hace referencia al apoyo al cliente en sus tareas. Esta es la

consideración central, y es especialmente importante dado que un fallo en un

servicio de TI en muchas ocasiones implica que hay usuarios que no pueden hacer su

trabajo.

En segundo lugar, un servicio tiene tres componentes: personas, procesos y

tecnología, y estos tres elementos deben tenerse en cuenta en la definición, diseño

y evaluación de cada servicio.

Por último, la definición hace referencia a los Acuerdos de Nivel de Servicio

(Service Level Agreement, SLA), que pueden entenderse como los «contratos» entre

los usuarios y proveedores del servicio, dando un carácter de predictibilidad a los

servicios, y permitiendo una evaluación del servicio no ambigua, dado que los

niveles de calidad son explícitos en los acuerdos. Más adelante veremos algunos

detalles sobre la forma de estos acuerdos.

Los acuerdos de nivel de servicio (service-level agreement, SLA) son acuerdos

formales sobre la división de la responsabilidad de los medios de computación entre

el Departamento de Sistemas de Información (DSI) y los usuarios finales.

Estos acuerdos pueden considerarse contratos, y deben abarcar todos los recursos

fundamentales de las tecnologías de la información: hardware, software, personal,

datos, redes y procedimientos.

De hecho, los SLA no son específicos de las relaciones de los DSI, sino que se utilizan para

todo tipo de relaciones de provisión de servicios. Se definen de manera general como

«protocolo plasmado normalmente en un documento de carácter legal por el que una

compañía que presta un servicio a otra se compromete a prestar el mismo bajo unas

determinadas condiciones y con unas prestaciones mínimas». Se utilizan también con

profusión en contratos de outsourcing.

Comentario

La fundamental ventaja de un SLA es que las responsabilidades quedan claramente

definidas, y los procesos para el funcionamiento diario también están determinados de

manera precisa.



Ejemplo de SLA: Garantía de disponibilidad de red

Se define como tiempo en que el servidor tiene disponible la conectividad a Internet en el

puerto de red asignado. La disponibilidad del servicio se calcula según la siguiente

fórmula:

D = (T - Td) / T, donde

• D es el tiempo de disponibilidad del servicio

• T es el tiempo total mensual.

• Td es el tiempo con pérdida total de conectividad. Este tiempo de pérdida, será igual al

que trascurre desde la apertura de la incidencia, hasta el cierre de dicha incidencia.

En caso de pérdida de disponibilidad real de este nivel de servicio, se aplicarán las

penalizaciones de la siguiente tabla, de acuerdo a las condiciones de penalización

generales del contrato.

Penalizaciones:

99% > D >= 98% Nivel A

98% > D >= 96% Nivel B

96% > D >= 90% Nivel C

D < 90% Nivel D

Cálculo del tiempo de caída:

El cálculo de esta magnitud se establecerá desde que se ha dado noticia al DSI del

problema. El tiempo de la incidencia finaliza cuando el DSI comprueba que dicho servicio

se ha restaurado completamente.

No se considera tiempo de caída aquel debido a problemas derivados de un mal uso de la

red, o una mala configuración de la red por parte del cliente.

Ejemplo

Las buenas prácticas en los servicios de TI: ITIL

La práctica de la gestión de los servicios de TI maduró progresivamente durante los

años ochenta. El gobierno británico, guidado por la necesidad de una gestión más

efectiva de esos servicios, comenzó a recopilar las formas en las que las organizaciones

con más éxito gestionaban sus servicios. Esto llevó a la primera versión de la IT

Infrastructure Library (ITIL) al final de los ochenta, que no era otra cosa que un

conjunto de libros documentando los hallazgos de los estudios mencionados.



El Information Technology Service Management Forum (itSMF) es el único grupo de

usuarios internacionalmente reconocido e independiente dedicado a la gestión de

servicios TI, que surgió como un foro para que los usuarios de ITIL pudiesen

intercambiar experiencias y aprender colectivamente. Es propiedad de sus miembros y

son ellos quienes lo operan. El itSMF tiene gran influencia y contribuye a la industria

de las mejores prácticas y a los estándares a nivel mundial.

La primera filial del itSMF se fundó en el Reino Unido en 1991. El itSMF holandés

(itSMF Holanda) fue la siguiente, establecida en noviembre de 1993. Ahora existen

filiales itSMF en países como Sudáfrica, Bélgica, Alemania, Austria, Suiza, Canadá,

Estados Unidos, Francia y Australia, que cooperan con itSMF Internacional.

OGC (The Office of Government Commerce) es la Oficina independiente del Tesoro en

el Reino Unido. El objetivo de la OGC es definir estándares y proporcionar las mejores

prácticas para el mercado del RU. La OGC es la dueña de ITIL® y el desarrollo de

ITIL® v3 ha sido auspiciado por la OGC.

La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el

proveedor acreditado en los siguientes años. Él definirá el estándar de los

exámenes, la provisión de los exámenes, y entrenadores capacitados, materiales de

capacitación y proveedores de capacitación de ITIL® v3.

El principio fundamental de ITIL es el de recoger todas las prácticas que «funcionan».

Esta aproximación se resume en unas características clave que pueden resumirse en las

siguientes:

ITIL no es propietario. Las prácticas de ITIL no son específicas de ningún tipo de

tecnología o de sector. Además, ITIL es propiedad del gobierno británico, no estando

por lo tanto en manos de ningún proveedor concreto.

ITIL no es prescriptivo. ITIL recoge prácticas maduras, probadas de

aplicabilidad general. Por su carácter genérico, no establece ningún tipo de

obligatoriedad o uso concreto de tecnologías o técnicas.

ITIL consiste en las mejores prácticas. ITIL recoge las mejores prácticas a

nivel global, por lo tanto, es el resultado de la experiencia acumulada.



ITIL consiste en buenas prácticas. No todas las prácticas en ITIL pueden

considerarse como las «mejores». Esto es una consecuencia del carácter evolutivo de

la práctica. Lo que hoy es «lo mejor» mañana pasará simplemente a ser bueno o

común, dado que se habrán descubierto formas mejores de hacer lo mismo, o bien el

entorno habrá cambiado.

ITIL abarca prácticas de soporte y de entrega del servicio. La siguiente figura las

esquematiza.

Gestión de servicios TI

Soporte de servicios Entrega del servicio

• Service Desk

• Gestión de incidentes

• Gestión de problemas

• Gestión de configuración

• Gestión del cambio

• Gestión de entregas

• Gestión de los niveles de servicio.

• Gestión financiera.

• Gestión de la disponibilidad.

• Gestión de la capacidad

Las prácticas que ITIL recoge tienen unas características comunes cuando se

observa su tipo y cómo las aplican las mejores organizaciones de servicio. Esas

características pueden resumirse en los siguientes puntos:

Son predictivos en lugar de reactivos. Es decir, se basan en estudiar los

patrones de uso de los clientes o usuarios.

Son consistentes y medibles. Las mejores prácticas son estables y proporcionan

predictibilidad a los servicios de TI.

Son adaptables. Por último, las prácticas deben permitir su optimización y mejora

continua.

Tomemos como ejemplo la práctica de la «Gestión de la capacidad». Podemos definirla

cómo la práctica encargada de «asegurar que la infraestructura de TI se proporciona

cuando se necesita, en el volumen necesario y con el precio adecuado, garantizando su

uso eficiente».



Siguiendo el esquema anterior, como toda práctica ITIL, debe ser:

Predictiva. Esto se refleja, por ejemplo, en considerar que un factor crítico de éxito

en esta práctica es «proporcionar previsiones de demanda de TI precisas».

Consistente. Esto se refleja, por ejemplo, en la necesidad de implementar:

«políticas, procesos y procedimientos de gestión de la capacidad».

Medible. Esto se refleja en los indicadores recomendados para la evaluación del

servicio. Para esta práctica, entre los KPI (key performance indicators) tenemos por

ejemplo:

o Dólares en capacidad de TI no utilizada.

o Número de incidentes/violaciones de SLA debidos a la capacidad.

Adaptable. Entre las actividades encontramos: «Implementar cambios

relacionados con la capacidad».

Es importante entender que las recomendaciones y directrices relativas a cada práctica

tienen en cuenta las cuatro características que acabamos de comentar.

El proceso de gestión de la seguridad en ITIL

El proceso de gestión de la seguridad en ITIL se basa en la norma ISO 27001 que ya

hemos visto. Para diseñar los procesos, las entradas son los requisitos que se formulan

por parte de los clientes. Estos requisitos se traducen en servicios de seguridad y de

calidad de seguridad que debe ser proporcionada en la sección de seguridad de los

acuerdos de nivel de servicio. El proceso de gestión de la seguridad en ITIL es complejo

y abarca un buen número de diferentes actividades. La siguiente tabla resume algunas

de ellas.

Subproceso Objetivo

Diseño de controles de

seguridad

Diseñar las medidas técnicas y organizativas necesarias para

asegurar la disponibilidad, integridad y confidencialidad de los

recursos y servicios de información.

Pruebas de seguridad Asegurar que los mecanismos de seguridad están sujetos a

pruebas regulares.

Gestión de incidentes de

seguridad

Detectar y combatir los ataques y las intrusiones, y minimizar el

daño de las brechas de seguridad.

Revisión de la seguridad

Revisar si las medidas y procedimientos de seguridad son

coherentes con las percepciones de riesgo del negocio, y si esas

medidas y procedimientos se revisan y evalúan regularmente.



Respecto a los indicadores, la siguiente tabla describe indicadores típicos para este

proceso.

KPI Descripción

Número de medidas de prevención

implementadas

Número de medidas de prevención implementadas en

respuesta a amenazas a la seguridad implementadas.

Duración de la implementación

Tiempo transcurrido desde la identificación de una

amenaza hasta la implementación de una

contramedida adecuada.

Número de incidentes de seguridad

importantes Número de incidentes, clasificados por severidad.

Número de caídas del nivel de

servicio relacionadas con la

seguridad

Número de incidentes que han causado no

disponibilidad del servicio limitada o interrupción

Número de test de seguridad Número de test de seguridad (y de procesos de

formación) llevados a cabo.

Número de problemas identificados

durante los test

Número de problemas identificados en el transcurso de

los test de seguridad

Es interesante detenerse a pensar cómo los KPI que se acaban de mencionar se

relacionan con los modelos económicos de la seguridad. Las medidas de

prevención son pre-incidente, así como los test, si bien el número de incidentes es post-

incidente. La orientación al servicio hace que uno de los KPI tenga que ver con el

concepto de disponibilidad de manera directa.

2.7. Modelos de madurez para la seguridad de la información

Un modelo de madurez sirve para situar y evaluar el grado de desarrollo de

una gestión sistemática, predecible y optimizable. Estos modelos se han

popularizado en el contexto del desarrollo de software, pero poco a poco han sido

adaptados a otros dominios, incluyendo el de la seguridad de la información.

En lo que sigue introducimos uno de esos modelos, el CMMI, quizá el más conocido y

extendido en la actualidad. Es importante tener en cuenta que las ideas del CMMI se

han aplicado recientemente a los servicios (Forrester, Buteau and Shrum, 2009).



Posteriormente describimos un modelo de madurez específico de la seguridad de la

información.

El modelo de madurez CMMI

El modelo CMMI, acrónimo del inglés Capability Madurity Model Integration, es una

evolución de un modelo anterior denominado CMM inicialmente desarrollado por el

Instituto de Ingeniería del Software (SEI) de la Universidad Carnegie Mellon.

El SEI llevó a cabo el encargo de desarrollar un modelo de calidad que sirviera como

base para establecer un sistema de capacitación de las compañías que suministraban

software al gobierno de los Estados Unidos. Dicho modelo fue definido como:

«Un enfoque para la mejora de procesos que proporciona a una organización los

elementos esenciales para llevar a cabo sus procesos de manera efectiva. Puede utilizarse

para guiar la mejora de procesos en un proyecto, en un departamento, o en una

organización completa. CMMI ayuda a integrar funciones de la organización

tradicionalmente separadas, a establecer prioridades y objetivos en la mejora de procesos,

proporciona guías para los procesos de calidad y sirve como punto de referencia para la

evaluación de los procesos actuales».

Nótese que CMMI no es un proceso de desarrollo de software, sino más bien una guía

que describe las características que hacen efectivo a un proceso. Las ideas

que aporta pueden ser, por tanto, utilizadas como un conjunto de buenas prácticas,

como un marco para la organización y priorización de actividades, o como una forma de

alinear los objetivos de la organización con los objetivos del proceso en estudio.

CMMI se interesa por la mejora de los procedimientos y métodos (procesos) que las

personas de una organización llevan a cabo con ayuda de tecnología y otras

herramientas, ya que, si los procesos no están correctamente definidos, son maduros y

ampliamente conocidos, ni las más cualificadas personas serán capaces de rendir a su

mejor nivel aún disponiendo de las mejores herramientas.



El modelo O-ISM3

El Open Group desarrollado un modelo de madurez denominado Open Group Security

Management Maturity Model (O-ISM3), que permite el diseño de sistemas de

gestión de la seguridad alineados con la misión de la organización

empresarial y el cumplimiento de las necesidades.

Puedes encontrar más información sobre el Open Group y el modelo O-ISM3 en las

siguientes direcciones web:

http://www.opengroup.org/

https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicati

onid=12238

La nueva norma permite a las organizaciones a priorizar y optimizar las

inversiones en seguridad de la información, así como permitir la mejora

continua de los sistemas que utilizan métricas bien definidas.

El modelo se basa en la consideración de tres elementos fundamentales en la seguridad

de la información que ya se han tratado en la asignatura:

Gestión de riesgos

Controles de seguridad.

Gestión de la seguridad, mediante un sistema de políticas y herramientas que las

implementan.

Por otro lado, el estándar se basa en las siguientes definiciones:

Proceso. Los procesos tienen capacidades que se realizan mediante prácticas de

gestión.

Capacidad. Las métricas de un proceso revelan las capacidades del mismo.

Madurez (grado de). Ciertos conjuntos de procesos seleccionados según ciertas

capacidades permiten clasificar a la organización en un nivel de madurez.



La siguiente tabla resume la relación entre procesos, capacidades y niveles de

capacidad o madurez.

Capability Level Initial Managed Defined Controlled Optimized

Management Practices Enabled

Audit. Certify

Test Monitor Planning Benefits Realization

Assessment Optimization

Documentation * * * * * * *

Met

ric

Typ

e

Activity * * * * * *

Scope * * * * * *

Unavailability 1 * * * * * *

Effectiveness * * * * * *

Load * * * * *

Quality * *

Efficiency *

2.8. Otras certificaciones, estándares y recursos profesionales

En esta sección se amplían los estándares, certificaciones y recursos tratados en los

anteriores apartados con otras adicionales para completar la visión general del contexto

de la profesión.

La certificación ICSM de ISACA

La Information Systems Audit and Control Association (ISACA, Asociación de

Auditoría y Control de Sistemas de Información), es una asociación internacional

fundada en 1967 que promueve y organiza el desarrollo de metodologías y

certificaciones para las actividades auditoría y control en sistemas de

información. Entre sus productos más conocidos está el framework COBIT de control

de sistemas de información o las certificaciones de auditoría.

ISACA ofrece también el Certified Information Security Manager (CISM, o Gestor

Certificado en Seguridad de la Información), dirigido específicamente al área de gestión

en el contexto de la seguridad.



Los dominios que cubre ICSM son los siguientes:

Gobierno de seguridad de la información.

Gestión de riesgos de información y cumplimiento.

Desarrollo y gestión del programa de seguridad de la información.

Gestión de incidentes de seguridad de la información.

El proceso de certificación tiene bastantes puntos en común con el de CISSP,

concretamente los pasos son los siguientes:

Aprobar el examen CISM.

Adherirse al Código de Ética Profesional de ISACA.

Estar de acuerdo en cumplir con la Política de Educación Continua.

Acreditar experiencia laboral en el ámbito de la seguridad de la información.

Presentar una solicitud de certificación CISM.


TEMA 2 – Lo + recomendado

Lo + recomendado

No dejes de leer…

Norma UNE/ISO 27001

La norma ISO 27001 establece los requisitos para la certificación de los SGSI. Como tal,

es muy importante conocer sus contenidos y definiciones.

Hacking ético

En este libro gratuito, el autor expone las principales técnicas y

fuentes de información para el denominado hacking ético, que

no es otra cosa que la intrusión proactiva en los sistemas sin

intención maliciosa y mediando el consentimiento. El libro es

gratuito.

El libro está disponible en el aula virtual o en la siguiente dirección web:

http://www.hackingetico.com/


TEMA 2 – Lo + recomendado

The CISSP Prep Guide — Gold Edition

Hay numerosos libros para la preparación del examen CISSP

(además de la propia guía del ISC2). Estas guías habitualmente

se estructuran de acuerdo a los dominios de la certificación e

incluyen preguntas de test similares a las del examen con

diferentes niveles de dificultad.

El libro está parcialmente disponible en el aula virtual o en la siguiente dirección web:

http://www.amazon.com/gp/reader/047126802X/ref=sib_dp_pop_fc?ie=UTF8&p=S001#reader-link

No dejes de ver…

Vídeos introductorios a ISO 27001

Esta serie de vídeos introduce los

conceptos de ISO 27001 contados por

expertos en el área. Es una serie de

vídeos cortos introductorios

especialmente recomendados

mientras se está estudiando la

norma.

El vídeo completo está disponible en el aula virtual o en la siguiente dirección web:

https://www.youtube.com/watch?v=V7T4WVWvAA8


TEMA 2 – + Información

+ Información

A fondo

ITIL e ISO/IEC 27001

El artículo propone una correspondencia de ITIL con ISO 27001. Aunque la

correspondencia es solo una propuesta no oficial, es interesante para entender mejor la

complementariedad de las dos especificaciones.

El artículo está disponible en el aula virtual o en la siguiente dirección web:

http://www.indjst.org/archive/Feb-12/Feb-12-web/30-feb%2012%20sheikhpour.html

Webgrafía

Web informativa de la familia de estándares ISO 27000

Esta web ofrece información general de la familia de estándares.

http://www.27000.org/index.htm


TEMA 2 – + Información

Web de la organización (ISC)2

ISC2 es la organización dedicada a la certificación de los profesionales de la seguridad

que soporta la certificación CISSP. En su Web se pueden encontrar los detalles de las

diferentes certificaciones, enlaces a los materiales oficiales de preparación de los

exámenes y también algunos recursos introductorios a los diferentes dominios de las

certificaciones.

https://www.isc2.org/

Bibliografía

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de

seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Tipton, H. F. and Micki K. (2004). Information Security Management Handbook.

Florida: Auerbach Publications.

VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach

Publications.


TEMA 2 – Actividades

Actividades

Trabajo: Estudio de la norma ISO 27001

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de

seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la

información según ISO 27001 y responde a las preguntas que se os plantearán a través

del aula virtual.

El texto está disponible en el aula virtual.

Análisis comparativo ITIL/ISO 27000/OISM3

Para profundizar más en la complementariedad de la guía de buenas prácticas ITIL, la

norma ISO 27001 y el modelo de madurez OISM3, es necesario entender

conceptualmente:

1. Las diferencias en su ámbito y aplicabilidad, es decir «para qué sirve cada una».

2. Su audiencia, es decir «a quién están destinadas».

3. Su marco conceptual, por ejemplo, qué se entiende en cada una por política o

proceso y si son conceptos completamente equivalentes o no.

4. Cómo pueden hacerse correspondencias entre sus diferentes elementos,

dependiendo del análisis realizado en el punto anterior.

Para fijar bien los conceptos, haz un diagrama y/o tablas para especificar las

correspondencias y diferencias.


TEMA 2 – Test

Test

1. Indica cuáles de las siguientes afirmaciones son correctas.

A. Las certificaciones como el CISSP determinan el acceso al ejercicio de la

profesión dentro del área de la seguridad de la información.

B. La profesión de la seguridad de la información cuenta con cuerpos de

conocimientos definidos y una cultura profesional como otras profesiones

diferenciadas.

C. El código ético del profesional de la información es el definido en las normas

de auditoría ISO 27001.

D. Ninguna de las anteriores.

2. Indica cuáles de las siguientes afirmaciones son correctas.

A. Las revistas académicas del área de la seguridad de la información son el

principal medio de formación básica para los profesionales de la seguridad de

la información.

B. Se llama hacker ético a cualquier profesional de la seguridad de la

información.

C. Un hacker ético puede realizar acciones de penetration testing contra una

empresa siempre que no perciba beneficios económicos por ello.


3. Indica cuáles de las áreas o conocimientos están incluidas de forma explícita en la

certificación CISSP:

A. La seguridad física de los sistemas.

B. La regulación sobre la protección de datos.

C. El desarrollo de software seguro.

D. La psicología de los delincuentes informáticos.


TEMA 2 – Test

4. Indica cuáles de las siguientes afirmaciones son ciertas sobre las certificaciones de

seguridad de la información.

A. La certificación CAP tiene un contenido técnico equivalente a la certificación

CISSP.

B. Las certificaciones son títulos como las titulaciones, que se obtienen y no

necesitan renovarse.

C. La certificación CISSP sólo puede obtenerse cuando se tiene experiencia

profesional en el área.


5. Indica cuáles de las siguientes afirmaciones son ciertas sobre el estándar 27001.

A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de

Gestión de la Seguridad de la Información.

B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los

Sistemas de Gestión de la Seguridad de la Información.

C. ISO 27001 considera como uno de los elementos fundamentales el

compromiso de la dirección, requisito imprescindible para el establecimiento

de un Sistema de Gestión de la Seguridad de la Información.


6. Indica cuáles de las siguientes afirmaciones son ciertas.

A. ISO 27001 se basa en un modelo de mejora continua donde la fase de

planificación implica el diseño de mecanismos de gestión del Sistema de

Gestión de la Seguridad de la Información.

B. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la

Información debe estar motivada por decisiones tácticas referentes a la mejora

de los costes asociados con la seguridad.

C. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información

debe comprender a toda la organización, para garantizar que no existe

ninguna posibilidad de intrusión en ninguno de sus niveles.



TEMA 2 – Test

7. Indica cuáles de las siguientes afirmaciones son ciertas.

A. Según ISO 27001, los registros son evidencia objetiva sobre el cumplimiento

de los requisitos del Sistema de Gestión de la Seguridad de la Información.

B. Según ISO 27001, la revisión de la dirección es el paso previo a la visita de los

auditores, que se realiza con el objeto de ser una comprobación para evitar no

conformidades.

C. La política de seguridad de la información es el documento que debe

comunicarse a toda la empresa y a partir del cual se deriva el resto de los

requisitos del sistema.


8. Indica cuáles de las siguientes afirmaciones son ciertas:

A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de

calidad de los servicios en diferentes dimensiones.

B. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un

sistema de seguridad si quiere ser compatible con ITIL.

C. ITIL describe como buena práctica la prueba de los mecanismos de seguridad

diseñados dentro del SGSI.



A. El modelo OISM3 tiene como objeto proporcionar las especificaciones para un

SGSI que sea certificable.

B. El concepto de madurez en OISM3 hace referencia al grado de capacidad del

staff de la empresa que se dedica a la seguridad de la información.

C. En un nivel de madurez controlado, se evalúa de manera continua desde la

gestión la calidad y efectividad de los diferentes aspectos de la seguridad.



A. El modelo OISM3 e ITIL son dos opciones alternativas para la gestión de la

seguridad.

B. El concepto de KPI en ITIL tiene en común con el de métrica en OISM3 el que

hacen referencia a la medición de los diferentes procesos.

C. Tanto OISM3 como ITIL se basan en modelos de mejora continua, por lo que

tienen una base común con ISO 27001.


Gestion de la seguridad tema2

Engineering

Transcript of Gestion de la seguridad tema2