Lidia Prudente Tixteco, Ma. del Carmen Prudente Tixteco, Gabriel Sánchez Pérez,
José de Jesús Vázquez Gómez
IPN
Análisis de Riesgos para pequeñas dependencias
públicas basado en el MAAGTICSI
AGENDA
• Introducción
• MAAGTICSI
• Administración de Seguridad de la Información (ASI)
• Análisis de Riesgos
• Recomendaciones
• Conclusiones
• Referencias
2
INTRODUCCIÓN
3
INTRODUCCIÓN
• La gestión y análisis de riesgos siempre son
necesarios para establecer un Sistema de
Gestión de Seguridad de la Información (SGSI).
• El Manual Administrativo de Aplicación General
en materias de Tecnologías de la Información y
Comunicaciones y de Seguridad de la
Información (MAAGTICSI) proporciona una
metodología para el análisis y gestión de
riesgos.
4
MAAGTICSI
5
ANTECEDENTES
2010 MAAGTIC
2011 MAAGTICSI
2012 MAAGTICSI
2014 MAAGTICSI
6
MARCO RECTOR
(MAAGTICSI, 2014)7
Administración de Servicios (ADS).
Administración de la Configuración (ACNF).
Administración de la Seguridad de la
Información (ASI).
Planeación Estratégica (PE).
Administración de Presupuesto y
las Contrataciones (APCT).
Administración de Proyectos (ADP).
Administración Proveedores (APRO).
Administración de la Operación (AOP).
Operación de Controles de Seguridad
de la Información y del ERISC (OPEC).
GOBERNANZA
ORGANIZACIÓN
ENTREGA
ADMINISTRACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN
Diagrama del Proceso ASI (MAAGTICSI, 2014)
Tareas
ASI 1. Establecer un modelo
de gobierno de seguridad de la
información
ASI 2. Operar y mantener un
gobierno de seguridad de la
información
ASI 3. Diseño del SGSI
ASI 4. Identificar las
infraestructuras críticas y los
activos clave
ASI 5. Elaborar el análisis de
riesgos
ASI 6. Integrar al SGSI los
controles mínimos de
seguridad de la información
ASI 7. Mejorar el SGSI8
ADMINISTRACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN
Diagrama del Proceso ASI (MAAGTICSI, 2014)9
Productos
1. Documento de integración
y operación del grupo
estratégico de seguridad de
la información. Formato ASI F1
2. Catálogo de
infraestructuras críticas. Formato ASI F2
3. Documento de resultados
del análisis de riesgos. Formato ASI F3
4. Documento de definición
del SGSI. Formato ASI F4
5. Directriz rectora de
respuesta a incidentes. Formato ASI F5
ADMINISTRACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN
Diagrama del Proceso ASI (MAAGTICSI, 2014)10
Metodologías y prácticas,
nacionales e internacionales
• NMX-I-27001-NYCE-2009
• NMX-I-086/01-NYCE-2006
• NMX-I-194-NYCE-2009
• Risk IT
• ISO 27001, 27005 y 31000
Influencia en MAAGTICSI
• Risk IT
• ISO 27001, 27005 y 31000
ANÁLISIS DE RIESGOS
11
ANÁLISIS DE RIESGOS
• Identificar, clasificar y priorizar los riesgos paraevaluar su impacto sobre los procesos y losservicios de la Institución, de manera que seobtengan las matrices de análisis de riesgos(MAAGTICSI, 2014).
ASI 5 Elaborar el análisis de riesgos
12
FACTORES CRÍTICOS TAREA ASI 5
1. Establecer la directriz de administración de riesgos
2. Integrar el equipo de trabajo de análisis de
riesgos
3. Identificar los procesos críticos
4. Identificar los activos de información y consultar a los responsables de éstos
5. Identificar las vulnerabilidades
6. Identificar las amenazas 7. Efectuar la identificación y evaluación de escenarios
de riesgo
8. Elaborar el análisis del costo-beneficio de controles
de seguridad
9. Elaborar el “Documento de resultados del análisis
de riesgos”
10. Aprobar el “Documento de resultados del análisis
de riesgos” y enviarlo a los responsables de las
diferentes áreas
11. Seleccionar de entre los controles recomendados
aquéllos a implementar de acuerdo a las capacidades
y recursos
12. Justificar las razones por las cuales existan
controles recomendados no seleccionados
13. Elaborar e integrar el programa de
implementación para el manejo de riesgos
14. Establecer un responsable de la
implementación de cada uno de los riesgos a
manejar
15. Cuidar que el análisis de riesgos se realice o
actualice conforme a los factores críticos de esta
actividad
16. Asegurar que se ejecuten los factores
críticos integralmente y se obtengan los productos
17. Obtener la aprobación del programa de
implementación elaborado
13
RECOMENDACIONES
14
ESCENARIOS DE AMENAZA
1. Realizar una lista de escenarios de amenazatomando en consideración la lista queproporciona el Manual y seleccionando soloaquellos que podrían aplicar al ámbito y tamañode la dependencia.
15
Se aconseja revisar el entorno de la dependencia para seleccionar las
amenazas y agentes de amenazas que la puedan afectar.
ESCENARIOS DE AMENAZA
Agente
s d
e
Am
enaza
Am
enazas
Am
enazasSismo
Inundación
Interrupción energía eléctrica
Chantaje
Extorsión
Robo
Fraude
Motín
Sabotaje
Acceso no autorizado
Ingeniería social
Código malicioso
Suplantación de Identidad
Negación de Servicio
Crackeo de contraseñas
Modificación de Datos
Comunidad
Ex-empleado
Hacker
Material (falla)
Natural
Grupo subversivo
Personal interno descontento
Personal interno inexperto
Proveedor
16
OBJETIVO Y ALCANCE
2. Establecer el objetivo y el alcance del análisis de riesgos en la dependencia.
• Objetivo
• Alcance
17
Se recomienda plantear el objetivo y alcance tomando en cuenta los
procesos y activos de información críticos, y recursos con los que cuenta
para realizar la tarea (humanos, materiales y tiempo).
EVALUACIÓN DE ESCENARIOS DE
RIESGOS
3. Definir el procedimiento para evaluar losescenarios de riesgo.
18
El segundo procedimiento que recomienda el Manual podría resultar más
preciso que el primero, sin embargo, requiere contar con mas recursos o
experiencia para realizarlo.
1. EVALUACIÓN CUALITATIVA
Tabla 1. Probabilidad de ocurrencia
Tabla 2. Nivel de impacto
Valor Probabilidad de ocurrencia de la amenaza Homologación al Manual de Control Interno
0.9 Alta 6-10
0.5 Media 2-5
0.1 Baja 1
Valor Impacto
100 Alto
50 Medio
10 Bajo
19
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
2. FACTORES DE PROBABILIDAD
Valor Probabilidad de existencia del agente amenaza
0.9 Es casi seguro que existe
0.7 Es muy posible que exista
0.5 Es probable que exista
0.3 Es poco probable que exista
0.1 Es casi imposible que exista
Valor Nivel de interés del agente amenaza
0.9 El interés es incontrolable
0.7 Se genera mucho interés
0.5 Se genera regular interés
0.3 Se genera poco interés
0.1 Casi no se genera interés
P = ( e + i + c + v ) / 4
20
Tabla 3. Existencia del agente amenaza para el cálculo de P. (e)
Tabla 4. Niveles de Interés del agente amenaza para el cálculo de P. (i)
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
2. FACTORES DE PROBABILIDAD
Valor Vulnerabilidad del activo de información
0.9 Sin ningún tipo de protección
0.7 Muy poca protección
0.5 Medianamente protegido
0.3 Protección normal
0.1 Protección reforzada
Tabla 6. Vulnerabilidad del Activo de información para el cálculo de P. (v)
Valor Nivel de capacidad del agente amenaza
0.9 Los recursos son superiores
0.7 Cuenta con muchos recursos
0.5 Los recursos son regulares
0.3 Cuenta con muy pocos recursos
0.1 Los recursos son casi nulos
Tabla 5. Capacidad del agente amenaza para el cálculo de P. (c)
P = ( e + i + c + v ) / 4
21
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
2. IMPACTO
Impacto Humano Material Financiero Operativo Imagen
10 Desastroso Muertes
Pérdidas
graves no recuperables
Más de $1,000,000.00
Afectación de procesos críticos
que no pueden restablecerse en
menos de dos días
Difusión a
nivel internacional
8 Gran
impacto Heridos
Pérdidas
graves recuperables
a largo plazo
Entre $100,000.00 y $1,000,000.00
Afectación de
procesos críticos, que pueden
restablecerse en
menos de dos días
Difusión a nivel
nacional
6 Regular impacto
Lesiones que producen una incapacidad
Pérdidas leves no
recuperables
Entre $50,000.00 y $100,000.00
Afectación de varios procesos no críticos
Difusión a nivel local
4 Mínimo
impacto
Lesiones
leves
Pérdidas
leves recuperables
Entre
$10,000.00 y $50,000.00
Afectación de un
proceso no crítico
Difusión dentro de la
dependencia o entidad
2 Insignificante Sin lesiones Sin pérdidas
materiales
Menor de
$10,000.00
Sin afectación de
procesos
Difusión dentro de la
unidad
Tabla 7. Nivel de impacto para el cálculo de R.
22
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
ANÁLISIS Y DETERMINACIÓN DE
RIESGOS
Código Amenaza Activo e i c v P ih im if io ii I R
R-3 1003 004 0.7 0.9 0.9 0.83 2 6 4 10 4 10 8.3
R-18 1018 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8
R-32 1032 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8
R-46 1046 004 0.3 0.9 0.7 0.7 0.65 2 6 4 10 8 10 6.5
R-66 1066 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4
R-79 1079 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4
R-88 1088 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4
R-97 1097 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4
R-151 1151 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8
R-164 1164 004 0.7 0.7 0.9 0.7 0.75 2 6 4 10 4 10 7.5
R-266 1266 004 0.7 0.7 0.9 0.9 0.8 2 2 4 8 4 8 6.4
R-330 1330 004 0.7 0.7 0.9 0.7 0.75 2 2 4 8 4 8 6
R-339 1339 004 0.7 0.7 0.9 0.7 0.75 2 2 4 8 4 8 6
R-371 1371 004 0.7 0.7 0.9 0.7 0.75 2 2 2 8 8 8 6
R-422 1422 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8
R-434 1434 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8
R-467 1467 004 0.7 0.7 0.9 0.7 0.75 2 4 4 8 4 8 6
R-476 1476 004 0.7 0.7 0.9 0.9 0.8 2 4 4 8 4 8 6.4
23
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
ANÁLISIS Y DETERMINACIÓN DE
RIESGOS
Código Amenaza Activo e i c v P ih im if io ii I R
R-3 1003 004 0.7 0.9 0.9 0.83 2 6 4 10 4 10 8.3
R-18 1018 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8
R-32 1032 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8
R-46 1046 004 0.3 0.9 0.7 0.7 0.65 2 6 4 10 8 10 6.5
R-66 1066 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4
R-79 1079 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4
R-88 1088 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4
R-97 1097 004 0.7 0.7 0.9 0.9 0.8 2 2 2 8 4 8 6.4
R-151 1151 004 0.7 0.7 0.9 0.9 0.8 2 6 4 10 4 10 8
R-164 1164 004 0.7 0.7 0.9 0.7 0.75 2 6 4 10 4 10 7.5
R-266 1266 004 0.7 0.7 0.9 0.9 0.8 2 2 4 8 4 8 6.4
R-330 1330 004 0.7 0.7 0.9 0.7 0.75 2 2 4 8 4 8 6
R-339 1339 004 0.7 0.7 0.9 0.7 0.75 2 2 4 8 4 8 6
R-371 1371 004 0.7 0.7 0.9 0.7 0.75 2 2 2 8 8 8 6
R-422 1422 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8
R-434 1434 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8
R-467 1467 004 0.7 0.7 0.9 0.7 0.75 2 4 4 8 4 8 6
R-476 1476 004 0.7 0.7 0.9 0.9 0.8 2 4 4 8 4 8 6.4
Código Amenaza Activo e i c v P ih im if io ii I R
R-422 1422 004 0.7 0.7 0.9 0.9 0.8 2 2 2 10 8 10 8
Nº Amenaza + N º Activo
AmenazaAgente
Amenaza
Negación de
servicio
Personal
interno
descontento
(intencional)
Lista Final de
Activos de
información
004 Servidor
Base de Datos
Existencia
0.7 = Es muy
posible que
exista
Interés
0.7 = Se genera
mucho interés
Capacidad
0.9 = Los
recursos son
superiores
Vulnerabilidad
0.9 = Sin ningún
tipo de
protección
Impacto Humano
2 = Sin Lesiones
Impacto Material
2 = Sin pérdidas
materiales
Impacto
Financiero
2 = Menor de
$10,000.00
Impacto Operativo10 = Afectación de
procesos críticos
que no pueden
restablecerse en
menos de dos días
Impacto de
Imagen
8 = Difusión a
nivel nacional
P = (e+i+c+v)/4
R = P * I
Impacto Mayor
24
(Guía de Identificación y
Evaluación de Escenarios de
Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
MATRIZ DE RIESGOS
4. Se propone obtener un valor promedio deriesgo por cada uno de los activos de informacióny este valor mapearlo en la matriz de riesgos quepropone el MAAGTICSI.
25
Los escenarios de riesgos pueden resultar muchos por la cantidad de
amenazas, agentes de amenazas y activos que estén dentro del alcance
del análisis de riesgos, por lo que puede ser mas factible utilizar otro
criterio de representación.
MATRIZ DE RIESGOS DEL MAAGTICSI
Probabilidad de Ocurrencia
0.9 Casi Seguro 1.8 3.6 6.4 7.2 9
0.7 Alta 1.4 2.8 4.2 5.6 7
0.5 Mediana 1 2 3 4 5
0.3 Baja 0.6 1.2 1.8 2.4 3
0.1 Casi imposible 0.2 0.4 0.6 0.8 1
Insignificante Significativo Grave Crítico Desastroso
2 4 6 8 10
IMPACTO
26
Tabla 8. Matriz de riesgos.
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
MATRIZ DE RIESGOS PROPUESTA
0.9
0.5
0.7
0.1
0.3
2 4 6 8 10
P R
O B
A B
I L
I D
A D
I M P A C T O
Clase A. Requiere
Atención Inmediata.
Clase B. Requiere
tomar acciones
planeadas a corto
plazo.
Clase C. Se
sugieren acciones
planeadas a
mediano plazo y
actividades de
monitoreo continuo.
Clase D. Se sugiere
realizar acciones de
largo plazo y
monitoreo
periódico.
27
RESULTADOS DEL ANÁLISIS DE
RIESGOS
0.9
0.5
0.7
0.1
0.3
2 4 6 8 10
P R
O B
A B
I L
I D
A D
I M P A C T O
Activos
1. Site
2. Infraestructura de
Red
3. Servidor Web
4. Servidor Base de
Datos
5. Página Web
6. Base de Datos
7. Expedientes
8. Personal
8
7
6 5
4
3
21
28
TRATAMIENTO DE RIESGOS
5. Elegir la forma de tratamiento de riesgos paraasociar controles de seguridad, auxiliándose de lamatriz de riesgos propuesta para tomardecisiones.
29
Se recomienda tomar un valor de riesgo mínimo de 6 para establecer
prioridades de atención.
ESTRATEGIAS DE TRATAMIENTO DE
RIESGOS
Evitar Prevenir Mitigar Financiar Asumir
30
EVALUACIÓN DE RIESGOS
Código
EscenarioP I R
Criterio de
Aceptación
¿Requiere
control?Prioridad Estrategia
Controles
Propuestos
R-3 0.83 10 8.3 6 SI 1 MITIGAR
R-18 0.8 10 8 6 SI 2 PREVENIR
R-32 0.8 10 8 6 SI 3 PREVENIR
R-46 0.65 10 6.5 6 SI 42 MITIGAR
R-66 0.8 8 6.4 6 SI 57 MITIGAR
R-79 0.8 8 6.4 6 SI 58 MITIGAR
R-88 0.8 8 6.4 6 SI 59 PREVENIR
R-97 0.8 8 6.4 6 SI 60 PREVENIR
R-151 0.8 10 8 6 SI 4 PREVENIR
R-164 0.75 10 7.5 6 SI 13 PREVENIR
R-266 0.8 8 6.4 6 SI 61 PREVENIR
R-330 0.75 8 6 6 SI 98 MITIGAR
R-339 0.75 8 6 6 SI 99 MITIGAR
R-371 0.75 8 6 6 SI 100 PREVENIR
R-392 0.6 8 4.8 6 NO
R-407 0.5 10 5 6 NO
R-422 0.8 10 8 6 SI 5 MITIGAR
R-434 0.8 10 8 6 SI 6 PREVENIR
R-442 0.5 10 5 6 NO
R-458 0.65 8 5.2 6 NO
R-467 0.75 8 6 6 SI 108 PREVENIR
R-476 0.8 8 6.4 6 SI 62 PREVENIR
004 Servidor
Base de Datos
31
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
EVALUACIÓN DE RIESGOS
Código
EscenarioP I R
Criterio de
Aceptación
¿Requiere
control?Prioridad Estrategia
Controles
Propuestos
R-3 0.83 10 8.3 6 SI 1 MITIGAR
R-18 0.8 10 8 6 SI 2 PREVENIR
R-32 0.8 10 8 6 SI 3 PREVENIR
R-46 0.65 10 6.5 6 SI 42 MITIGAR
R-66 0.8 8 6.4 6 SI 57 MITIGAR
R-79 0.8 8 6.4 6 SI 58 MITIGAR
R-88 0.8 8 6.4 6 SI 59 PREVENIR
R-97 0.8 8 6.4 6 SI 60 PREVENIR
R-151 0.8 10 8 6 SI 4 PREVENIR
R-164 0.75 10 7.5 6 SI 13 PREVENIR
R-266 0.8 8 6.4 6 SI 61 PREVENIR
R-330 0.75 8 6 6 SI 98 MITIGAR
R-339 0.75 8 6 6 SI 99 MITIGAR
R-371 0.75 8 6 6 SI 100 PREVENIR
R-392 0.6 8 4.8 6 NO
R-407 0.5 10 5 6 NO
R-422 0.8 10 8 6 SI 5 MITIGAR
R-434 0.8 10 8 6 SI 6 PREVENIR
R-442 0.5 10 5 6 NO
R-458 0.65 8 5.2 6 NO
R-467 0.75 8 6 6 SI 108 PREVENIR
R-476 0.8 8 6.4 6 SI 62 PREVENIR
Código
EscenarioP I R
Criterio de
Aceptación
¿Requiere
control?Prioridad Estrategia
R-422 0.8 10 8 6 SI 5 MITIGAR
Nº Amenaza + N º
Activo
004 Servidor
Base de Datos
32
(Guía de Identificación y Evaluación de
Escenarios de Riesgo, Formato ASI F3,
MAAGTICSI, 2014)
ANÁLISIS COSTO-BENEFICIO
6. Hacer un análisis costo-beneficio tomando dereferencia la matriz propuesta, ya que ayuda areflejar el estado de los activos de información dela dependencia.
33
No todos los escenarios de riesgo serán posibles atender de inmediato,
un criterio de decisión puede ser si pertenecen a un activo de alto riesgo
o crítico.
RESULTADOS DEL ANÁLISIS DE
RIESGOS
0.9
0.5
0.7
0.1
0.3
2 4 6 8 10
P R
O B
A B
I L
I D
A D
I M P A C T O
Activos
1. Site
2. Infraestructura de
Red
3. Servidor Web
4. Servidor Base de
Datos
5. Página Web
6. Base de Datos
7. Expedientes
8. Personal
8
7
6 5
4
3
21
34
CONTROLES DE SEGURIDAD
7. Determinar los controles de seguridad que seaplicarán a los activos de información máscríticos y en los que puede recaer los procesos oservicios importantes de la dependencia.
35
Se sugiere tomar como base la lista de controles del Anexo del ISO
27001.
CONTROLES APLICABLES
Servidor
Base de
Datos
36
Número de
referencia de
activo
ActivoReferencia de
controlObjetivo Control
004 Servidor Base de Datos A.7.2.2
Capacitación y educación en
la seguridad de la
información
Todos los empleados de la organización y cuando sea
relevante también los contratistas deben recibir el
apropiado conocimiento, capacitación y actualizaciones
regulares de las políticas y procedimientos
organizacionales conforme sean relevantes para su
función laboral.
004 Servidor Base de Datos A.8.1.1 Inventarios de activos
Los activos asociados con información y medios de
procesamiento de información deben ser identificadas y
se debe elaborar y mantener un inventario de todos esos
activos.
004 Servidor Base de Datos A.11.2.3 Seguridad del cableado
El cableado de energía y telecomunicaciones que
transporta datos o soporta información de servicios debe
ser protegida de intercepción, interferencia o daño.
004 Servidor Base de Datos A.11.2.4 Mantenimiento de equipoEl equipo debe ser mantenido correctamente para
permitir su continua disponibilidad e integridad.
004 Servidor Base de Datos A.11.2.5 Eliminación de activosEl equipo, información o software no deben ser sacados
fuera de la propiedad sin previa autorización.
004 Servidor Base de Datos A.11.2.8Equipo de usuario
desatendido
Los usuarios deben asegurar que el equipo desatendido
tiene la proteccion adecuada.
004 Servidor Base de Datos A.12.1.1
Documentación de
procedimientos
operacionales
Los procedimientos operacionales deben ser
documentados y puestos a disposición de todos los
usuarios que los necesiten.
004 Servidor Base de Datos A.12.2.1Controles contra software
malicioso
Controles de detección, prevención y recuperación para
protegerse de software malicioso deben ser
implementados, junto con el conocimiento del usuario.
004 Servidor Base de Datos A.12.3.1 Respaldo de información
Copias de respaldo de la información, software e
imágenes de sistema deben ser tomadas y probadas
regularmente de acuerdo con una política de respaldo
acordada.
004 Servidor Base de Datos A.12.4.1 Registro de eventos
El registro de eventos registra las actividades de
usuarios, excepciones, fallas y eventos de seguridad de
la información deben ser producidos, mantenido y
revisados periódicamente.
004 Servidor Base de Datos A.12.5.1Instalación de software en
sistemas operacionales
Procedimientos deben ser implementados para controlar
la instalación de software en sistemas operacionales.
004 Servidor Base de Datos A.12.6.2Restricción de instalación de
software
Normas que rigen la instalación de software por usuarios
debe ser establecidas e implementadas.
004 Servidor Base de Datos A.14.2.4
Restricciones sobre los
cambios en los paquetes de
software
Modificaciones a los paquetes de software deben ser
desalentadas, limitadas a los cambios necesarios y todos
los cambios deben ser estrictamente controlados.
004 Servidor Base de Datos A.14.2.8Pruebas de seguridad de
sistemas
Las pruebas de funcionalidad de seguridad debe ser
llevadas a cabo durante el desarrollo.
004 Servidor Base de Datos A.14.2.9Pruebas de aceptación del
sistema
Programas de pruebas de aceptación y criterios relativos
deben ser establecidos para nuevos sistemas de
información, actualizaciones o nuevas versiones.
CONTROLES APLICABLES
Servidor
Base de
Datos
37
Número
de
referencia
de activo
ActivoReferencia
de controlObjetivo Control
004Servidor Base de
DatosA.12.1.1
Documentación
de
procedimientos
operacionales
Los procedimientos operacionales
deben ser documentados y puestos
a disposición de todos los usuarios
que los necesiten.
004Servidor Base de
DatosA.12.4.1
Registro de
eventos
El registro de eventos registra las
actividades de usuarios,
excepciones, fallas y eventos de
seguridad de la información deben
ser producidos, mantenido y
revisados periódicamente.
Controles Aplicacbles al Servidor Base de Datos (Lidia Prudente, 2015)
CONCLUSIONES
38
CONCLUSIONES
La metodología de Análisis de Riesgos del Manual
Administrativo de Aplicación General en las
materias de Tecnologías de la Información y
Comunicaciones y de Seguridad de la Información
(MAAGTICSI) puede aplicarse a todo tipo de
dependencia pública sin importar el giro o tamaño
para gestionar la seguridad de la información.
39
40
CONCLUSIONES
Todos los departamentos de una Dependencia
Pública en México, pueden empezar a trabajar en
su Análisis de Riesgos con futuro a la
implementación de un SGSI holístico para proteger
sus procesos y activos de información, ya que
éstos también pueden estar en riesgo y verse
afectados en su seguridad y/u operación; que
puede tener como consecuencia implicaciones
jurídicas o sanciones administrativas y/o penales a
sus responsables.
REFERENCIAS
• Secretaría de la Función Pública. (2014). Manual Administrativo de
Aplicación General en las materias de Tecnologías de la Información y
Comunicaciones y de Seguridad de la Información. Secretaría de la Función
Pública. Diario Oficial de la Federación.
http://www.normateca.gob.mx/NF_Secciones_Otras.php?Subtema=61
• ISO/IEC 27001. (2013). Information technology — Security techniques —
Information security management systems — Requirements. Estándar,
International Organization for Standarization & International Electrotechnical
Commission.
• OEA y Symantec. (2014). Tendencias de Seguridad Cibernética en América
Latina y el Caribe. Organización de Estados Americanos y Symantec,
Seguridad Multidimensional Organización de los Estados Americanos y de
Asuntos Gubernamentales y Políticas Globales de Seguridad Cibernétic
https://www.symantec.com/content/es/mx/enterprise/other_resources/b-
cyber-security-trends-report-lamc.pdf 41
REFERENCIAS
• UNAM-CERT. (2015). Gestión de seguridad de la información basado en el
MAAGTICSI para programas académicos en Instituciones de Educación
Superior. Revista Digital .Seguridad Cultura de prevención para TI Núm. 24,
ISSN: 1251478, 1251477, junio-julio 2015, México, págs. 12-17.
http://revista.seguridad.unam.mx/numero24/gesti-n-de-seguridad-de-la-
informaci-n-basado-en-el-maagticsi-para-programas-acad-micos-en-
• IPN. (2015). Curso de Tópicos Selectos de Gestión de Seguridad de la
Información. Maestría en Ingeniería en Seguridad y Tecnologías de la
Información. Sección de Estudios de Posgrado e Investigación ESIME
Culhuacan. México.
42
Lidia Prudente Tixteco
SEPI – ESIME Culhuacan - IPN
GRACIAS POR SU
ATENCIÓN
43
Top Related