resumen magerit v3 libro1 método es nipo

7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO

1/58

U N I V E R S I D A D N A C I O N A L D E L

S A N T A

FA C U LTA D D E I N G E N I E R I A

E A P : S I S T E M A S E I N F O R M AT I C A

A U D I T O R I A D E S I S T E M A S

Tema: Metodologa de Anlisis yGestin de Riesgos de los

Sistemas de Informacin.

Docente: Ing. Camilo Ernesto Suare

Re!aa

Ciclo: "

Integrantes:

C#$e %tiniano Mel&uisedec 'ernnde I(ana&ue Mara )olanda

Marcelo Gme *uis Ricardo

*(e +orres ,e$in Marino

Sil$a -uertas Consuelo Isa!el

trilla Camones /a$ier

Nuevo Chimbote, Setiembre del 2015


2/58

Magerit 3.0 Proyectos de anlisis de riesgos

Ministerio de Hacienda y Administraciones Pblicas

METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS D ELOS SISTEMAS DE INFORMACION

-MAGERIT-

1. INTRODUCCION:

El uso de tecnologas de la informacin y comunicaciones !"#$ su%one unos beneficiose&identes %ara los ciudadanos' %ero tambi(n da lugar a ciertos riesgos )ue deben gestionarse%rudentemente con medidas de seguridad )ue sustenten la confian*a de los usuarios de losser&icios.

+.+ ,-E /,"E12

a gestin de los riesgos es una %iedra angular en las guas de buen gobierno 4"53670089 %blico o %ri&ado9 donde se considera un %rinci%io fundamental )ue lasdecisiones de gobierno se fundamenten en el conocimiento de los riesgos )ueim%lican2

+.:.+; Pro%uesta

Recopilacin de los beneficios, costos, riesgos, oportunidades, y otros factores que

deben tenerse en cuenta en las decisiones que se tomen.

#ubriendo riesgos en general y riesgos !"# en %articular2

Esta norma establece los principios para el uso eficaz, eficiente y aceptable de las

tecnolo-gas de la informacin. Garantizando que sus organizaciones siguen estos

principios ayuda-r a los directores a equilibrar riesgos y oportunidades derivados deluso de las !.

+.; #o es9 sim%lemente9im%rescindi?ble %ara %oder gestionarlos."# Evaluacin del riesgo. $os participantes deben llevar a cabo evaluaciones de riesgo.

%rtculo ". Gestin de la seguridad basada en los riesgos.&. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad ydeber mantenerse permanentemente actualizado.

'. $a gestin de riesgos permitir el mantenimiento de un entorno controlado,

minimizando los riesgos (asta niveles aceptables.+.@ MA/E1"!2

Magerit res%onde a lo )ue se denomina Proceso de /estin de los 1iesgosBMA/E1"! im%lementa el Proceso de /estin de 1iesgos dentro de un marco detraba>o %ara )ue los rganos de gobierno tomen decisiones teniendo en cuenta losriesgos deri&ados del uso de tecnologas de la informacin


3/58



+.7 "!1C-##" A AA"5"5 CE /E5!" CE 1"E5/525eguridad es la ca%acidad de las redes o de los sistemas de informacin %ara resistir9con un de?terminado ni&el de confian*a9 los accidentes o acciones ilcitas omalintencionadas )ue com%ro metan la dis%onibilidad9 autenticidad9 integridad yconfidencialidad de los datos almacenados o transmitidos y de los ser&icios )ue dicDasredes y sistemas ofrecen o Dacen accesibles

+.: AA"5"5 !1A!AM"E! CE 5 1"E5/5 E 5- #!EF!2El anlisis de riesgos %ermite determinar cmo es9 cunto &ale y cmo de %rotegido seencuentra el sistema. En coordinacin con los ob>eti&os9 estrategia y %oltica de largani*acin9 las acti&idades de tratamiento de los riesgos %ermiten elaborar un %lande seguridad )ue9 im%lantado y o%erado9 satisfaga los ob>eti&os %ro%uestos con el ni&el

de riesgo )ue ace%ta la Cireccin. Al con>unto de estas acti&idades se le denominaProceso de /estin de 1iesgos.

+.:.+ ##"E#"A#"


4/58



+.G 1/A"=A#" CE A5 /-"A5Esta &ersin 3 de Magerit se Da estructurado en dos libros y una gua de t(cnicas2I ibro " J M(todoI ibro "" J #atlogo de elementosI /ua de !(cnicas J 1eco%ilacin de t(cnicas de diferente ti%o )ue %ueden ser deutilidad %ara la a%licacin del m(todo.

+.G.+ MC CE EMPE25iem%re se eK%lican informalmente las acti&idades a reali*ar9 y en ciertos casos seformali*an co?mo tareas )ue %ermiten una %lanificacin y seguimiento

+.G.; #A!A/ CE EEME!55e %ro%one un catlogo9 abierto a am%liaciones9 )ue marca unas %autas encuanto a2

L ti%os de acti&osL dimensiones de &aloracin de los acti&osL criterios de &aloracin de los acti&osL amena*as t%icas sobre los sistemas de informacinL sal&aguardas a considerar %ara %roteger sistemas de informacin

+.6 EA-A#"9 #E1!"


5/58



+.N O#-AC P1#ECE AA"=A1 /E5!"A1 5 1"E/52En %articular en cual)uier entorno donde se %racti)ue la tramitacin electrnica debienes y ser&icios9 sea en conteKto %blico o %ri&ado.2. VISION DE CONJUNTO:

". AA"5"5 CE 1"E5/52

3. METODO DE ANALISISI DE RIESGOS

3.+ ##EP!5 PA5 A PA52


6/58



El anlisis de riesgos es una a%roKimacin metdica %ara determinar el riesgo siguiendo unos%a?sos %autados2 +. determinar los acti&os rele&antes %ara la rgani*acin9 su interrelacin ysu &alor9 en el sen?tido de )u( %er>uicio coste$ su%ondra su degradacin ;. determinar a )u(amena*as estn eK%uestos a)uellos acti&os 3. determinar )u( sal&aguardas Day dis%uestas ycun eficaces son frente al riesgo @. estimar el im%acto9 definido como el dao sobre el acti&oderi&ado de la materiali*acin de la amena*a 7. estimar el riesgo9 definido como el im%acto%onderado con la tasa de ocurrencia o eK%ecta?ti&a de materiali*acin$ de la amena*a

3.1.2. Paso 2: Amea!as

El siguiente %aso consiste en determinar las amena*as )ue %ueden afectar a cada acti&o. as

amena*as son cosas )ue ocurrenB. 9 de todo lo )ue %uede ocurrir9 interesa lo )ue %uede %asarle a

nuestros acti&os y causar un dao.

Identificacin de las amenazas

El ca%tulo 7 del Q#atlogo de ElementosQ %resenta una relacin de amena*as t%icas.

De o"#$e a%&"a' terremotos9 inundaciones9Retc$ De' e%o"o ()e o"#$e #)&s%"#a'* contaminacin9 fallos el(ctricos9 ...$ De+e,%os )e 'as a'#,a,#oes Ca&sa)as o" 'as e"soas )e +o"ma a,,#)e%a' Ca&sa)as o" 'as e"soas )e +o"ma )e'#e"a)a

Valoracin de las amenazas

Hay )ue &alorar su influencia en el &alor del acti&o9 en dos sentidos2

)e$"a)a,#/: cun %er>udicado resultara el 4&alor del8 acti&o "oa#'#)a): cun %robable o im%robable es )ue se materialice la amena*a

3.1.3. De%e"m#a,#/ )e' #ma,%o o%e,#a'


7/58



5e denomina im%acto a la medida del dao sobre el acti&o deri&ado de la materiali*acin de una

amena*a. #onociendo el &alor de los acti&os en &arias dimensiones$ y la degradacin )ue causan

las amena*as9 es directo deri&ar el im%acto )ue estas tendran sobre el sistema.

Impacto acumulado

Es el calculado sobre un acti&o teniendo en cuenta2

5u &alor acumulado el %ro%io mas el acumulado de los acti&os )ue de%enden de (l$ as amena*as a )ue est eK%uesto

El im%acto acumulado9 al calcularse sobre los acti&os )ue so%ortan el %eso del sistema de

informacin9 %ermite determinar las sal&aguardas de )ue Day )ue dotar a los medios de traba>o2 %ro?

teccin de los e)ui%os9 co%ias de res%aldo9 etc.

Impacto repercutido

Es el calculado sobre un acti&o teniendo en cuenta su &alor %ro%io las amena*as a )ue estn eK%uestos los acti&os de los )ue de%ende

El im%acto re%ercutido se calcula %ara cada acti&o9 %or cada amena*a y en cada dimensin de

&aloracin9 siendo una funcin del &alor %ro%io y de la degradacin causada.

Agregacin de valores de impacto

Estos im%actos singulares %ueden agregarse ba>o ciertas condiciones2

Puede agregarse el im%acto re%ercutido sobre diferentes acti&os9

%uede agregarse el im%acto acumulado sobre acti&os )ue no sean de%endientes entre s9 y no

Dereden &alor de un acti&o su%erior comn9

no debe agregarse el im%acto acumulado sobre acti&os )ue no sean inde%endientes9 %ues

ello su%ondra sobre %onderar el im%acto al incluir &arias &eces el &alor acumulado de acti?&os

su%eriores9

%uede agregarse el im%acto de diferentes amena*as sobre un mismo acti&o9 aun)ue con?

&iene considerar en )u( medida las diferentes amena*as son inde%endientes y %ueden ser

concurrentes9 %uede agregarse el im%acto de una amena*a en diferentes dimensiones.


8/58



3.1.0. De%e"m#a,#/ )e' "#es$o o%e,#a'

5e denomina riesgo a la medida del dao %robable sobre un sistema. #onociendo el im%acto de las

amena*as sobre los acti&os9 es directo deri&ar el riesgo sin ms )ue tener en cuenta la %roba?bilidad

de ocurrencia.

*ona + J riesgos muy %robables y de muy alto im%acto

*ona ; J fran>a amarilla2 cubre un am%lio rango desde situaciones im%robables y de im%acto

medio9 Dasta situaciones muy %robables %ero de im%acto ba>o o muy ba>o

*ona 3 J riesgos im%robables y de ba>o im%acto

*ona @ J riesgos im%robables %ero de muy alto im%acto

Riesgo acumulado

Es el calculado sobre un acti&o teniendo en cuenta2

El im%acto acumulado sobre un acti&o debido a una amena*a y

a %robabilidad de la amena*a

El riesgo acumulado se calcula %ara cada acti&o9 %or cada amena*a y en cada dimensin de &alo?

racin9 siendo una funcin del &alor acumulado9 la degradacin causada y la %robabilidad de la

amena*a.

Riesgo repercutido

Es el calculado sobre un acti&o teniendo en cuenta

L El im%acto re%ercutido sobre un acti&o debido a una amena*a y


9/58



L a %robabilidad de la amena*a

El riesgo re%ercutido se calcula %ara cada acti&o9 %or cada amena*a y en cada dimensin de &alo?

racin9 siendo una funcin del &alor %ro%io9 la degradacin causada y la %robabilidad de la ame?na*a.

Agregacin de riesgos

Estos riesgos singulares %ueden agregarse ba>o ciertas condiciones2

L %uede agregarse el riesgo re%ercutido sobre diferentes acti&os9

L %uede agregarse el im%acto acumulado sobre acti&os )ue no sean de%endientes entre s9 y no

Dereden &alor de un acti&o su%erior comn9

L Sno debe agregarse el riesgo acumulado sobre acti&os )ue no sean inde%endientes9 %ues

ello su%ondra sobre %onderar el riesgo al incluir &arias &eces el &alor acumulado de acti&os

su?%eriores.

3.1.. Paso 3: Sa'a$&a")as

5e definen las sal&aguardas o contra medidas como a)uellos %rocedimientos o mecanismos

tecnolgicos )ue reducen el riesgo. Hay amena*as )ue se con>urar sim%lemente organi*ndose

adecuadamente9 otras re)uieres elementos t(cnicos %rogramas o e)ui%os$9 otras seguridades fsicas

y9 %or ltimo9 est la %oltica de %ersonal.

Seleccin de salvaguardas

En esta criba se deben tener en cuenta los siguientes as%ectos2

+. ti%o de acti&os a %roteger9 %ues cada ti%o se %rotege de una forma es%ecfica

;. dimensin o dimensiones de seguridad )ue re)uieren %roteccin

3. amena*as de las )ue necesitamos %rotegernos

@. si eKisten sal&aguardas alternati&as

#omo resultado de estas consideraciones dis%ondremos de una )e,'a"a,#/ )e a'#,a#'#)a)4 o

relacin de sal&aguardas )ue deben ser anali*adas como com%onentes nuestro sistema de %ro?

teccin.

Efecto de las salvaguardas

as sal&aguardas entran en el clculo del riesgo de dos formas2

L 1educiendo la %robabilidad de las amena*as.L imitando el dao causado.


10/58



Tipo de proteccin

Esta a%roKimacin a &eces resulta un %oco sim%lificadora9 %ues es Dabitual Dablar de diferentes ti%os

de %roteccin %restados %or las sal&aguardas2

L 4P18 %re&encinL 4C18 disuasinL 4E8 eliminacin

L 4"M8 minimi*acin del im%acto T limitacin del im%actoL 4#18 correccinL 41#8 recu%eracinL 4M8 monitori*acinL 4C#8 deteccinL 4AU8 concienciacinL 4AC8 administracin

Eficacia de la proteccin

as sal&aguardas se caracteri*an9 adems de %or su eKistencia9 %or su eficacia frente al riesgo )ue

%retenden con>urar. a sal&aguarda ideal es +00V efica*9 eficacia )ue combina ; factores2


11/58



Vulnerabilidades

5e denomina &ulnerabilidad a toda debilidad )ue %uede ser a%ro&ecDada %or una amena*a9 o ms

detalladamente a las debilidades de los acti&os o de sus medidas de %roteccin )ue facilitan el (Kito

de una amena*a %otencial.

3.1.5. Paso 0: #ma,%o "es#)&a'

El clculo del im%acto residual es sencillo. #omo no Dan cambiado los acti&os9 ni sus de%endencias9

sino solamente la magnitud de la degradacin9 se re%iten los clculos de im%acto con este nue&o

ni&el de degradacin.

3.1.6. Paso : "#es$o "es#)&a'

El clculo del riesgo residual es sencillo. #omo no Dan cambiado los acti&os9 ni sus de%endencias9

sino solamente la magnitud de la degradacin y la %robabilidad de las amena*as9 se re%iten los

clculos de riesgo usando el im%acto residual y la %robabilidad residual de ocurrencia.3.2. Fo"ma'#!a,#/ )e 'as a,%##)a)es

Este con>unto de acti&idades tiene los siguientes ob>eti&os2

L e&antar un modelo del &alor del sistema9 identificando y &alorando los acti&os rele&antes.L e&antar un ma%a de riesgos del sistema9 identificando y &alorando las amena*as sobre

a)uellos acti&os.L e&antar un conocimiento de la situacin actual de sal&aguardas.L E&aluar el im%acto %osible sobre el sistema en estudio9 tanto el im%acto %otencial sin sal&a?

guardas$9 como el im%acto residual incluyendo el efecto de las sal&aguardas des%legadas

%ara %roteger el sistema$.L E&aluar el riesgo del sistema en estudio9 tanto el riesgo %otencial sin sal&aguardas$9 como el

riesgo residual incluyendo el efecto de las sal&aguardas des%legadas %ara %roteger el

sistema$.

El anlisis de los riesgos se lle&a a cabo %or medio de las siguientes tareas2


12/58



3.2.1. Ta"ea

MAR.1:

Ca"a,%e"#!a,#/

)e 'os a,%#os

E sta acti&idad

consta de tres sub?

tareas2

L MA1.++2

"dentificacin de los acti&osL MA1.+;2 Ce%endencias entre acti&osL MA1.+32 aloracin de los acti&os

El ob>eti&o de estas tareas es reconocer los acti&os )ue com%onen el sistema9 definir lasde%endencias entre ellos9 y determinar )ue %arte del &alor del sistema se so%orta en cada acti&o.

Podemos resumirlo en la eK%resin concete a ti mismoB.

3.2.2. Ta"ea MAR.2: Ca"a,%e"#!a,#/ )e 'as amea!as

Esta acti&idad consta de dos sub?tareas2

L MA1.;+2 "dentificacin de las amena*asL MA1.;;2 aloracin de las amena*as

El ob>eti&o de estas tareas es caracteri*ar el entorno al )ue se enfrenta el sistema9 )u( %uede %asar9

)u( consecuencias se deri&aran y cmo de %robable es )ue %ase. Podemos resumirlo en la

eK%resin conoce a tu enemigoB.

3.2.3. Ta"ea MAR.3: Ca"a,%e"#!a,#/ )e 'as sa'a$&a")as

Esta acti&idad consta de dos sub?tareas2

L MA1.3+2 "dentificacin de las sal&aguardas %ertinentesL MA1.3;2 aloracin de las sal&aguardas

El ob>eti&o de estas tareas es doble2 saber )u( necesitamos %ara %roteger el sistema y saber si

tenemos un sistema de %roteccin a la altura de nuestras necesidades.

3.2.0. Ta"ea MAR.0: Es%#ma,#/ )e' es%a)o )e "#es$o

En esta tarea se combinan los descubrimientos de las tareas anteriores MA1.+9 MA1.; y MA1.3$

%ara deri&ar estimaciones del estado de riesgo de la rgani*acin.

Esta acti&idad consta de tres tareas2

L MA1.@+2 Estimacin del im%actoL MA1.@;2 Estimacin del riesgo


13/58



El ob>eti&o de estas tareas es dis%oner de una estimacin fundada de lo )ue %uede ocurrir im%acto$

y de lo )ue %robablemente ocurra riesgo$.

3.3. Do,&me%a,#/

Documentacin intermedia

L Cocumentacin auKiliar2 %lanos9 organigramas9 re)uisitos9 es%ecificaciones9 anlisis funcio?

nales9 cuadernos de carga9 manuales de usuario9 manuales de eK%lotacin9 diagramas de

flu>o de informacin y de %rocesos9 modelos de datos9 etc.

Documentacin final

L Modelo de &alor

L Ma%a de riesgos

L Ceclaracin de a%licabilidadL "nforme de insuficiencias o &ulnerabilidades

L Estado de riesgo

3.0. L#s%a )e ,o%"o'

0. P"o,eso )e $es%#/ )e "#es$os

A la &ista de los im%actos y riesgos a )ue est eK%uesto el sistema9 Day )ue tomar una serie de

decisiones condicionadas %or di&ersos factores2

L la gra&edad del im%acto yTo del riesgo

L las obligaciones a las )ue %or ley est( sometida la rgani*acin

L las obligaciones a las )ue %or reglamentos sectoriales est( sometida la rgani*acinL las obligaciones a las )ue %or contrato est( sometida la rgani*acin


14/58



Centro del margen de maniobra )ue %ermita este marco9 %ueden a%arecer consideraciones

adicionales sobre la ca%acidad de la rgani*acin %ara ace%tar ciertos im%actos de naturale*a

intan?gible+: tales como2

L relaciones con los clientes o usuarios9 tales como ca%acidad de retencin9 ca%acidad de

incrementar la oferta9 ca%acidad de diferenciarse frente a la com%etencia9 ...

L relaciones con otras organi*aciones9 tales como ca%acidad de alcan*ar acuerdos

estrat(gicos9 alian*as9 etc.

0.1. Co,e%osEl anlisis de riesgos determina im%actos y riesgos. os im%actos recogen daos absolutos9 inde?%endientemente de )ue sea ms o menos %robable )ue se d( la circunstancia. En cambio9 el ries?go%ondera la %robabilidad de )ue ocurra. El im%acto refle>a el dao %osible lo %eor )ue %uede ocurrir$9mientras )ue el riesgo refle>a el dao %robable lo )ue %robablemente ocurra$.A %artir de a)u9 las decisiones son de los rganos de gobierno de la rgani*acin )ue actuarn en ;%asos2 L %aso +2 e&aluacin L %aso ;2 tratamiento.a siguiente figura resume las %osibles decisiones )ue se %ueden tomar tras Daber estudiado losriesgos. a ca>a Westudio de los riesgosX %retende combinar el anlisis con la e&aluacin.

0.1.1. Ea'&a,#/: #%e""e%a,#/ )e 'os a'o"es )e #ma,%o 7 "#es$o "es#)&a'es.5i el &alor residual es igual al &alor %otencial9 las sal&aguardas eKistentes no &alen %ara nada9t%icamente no %or)ue no Daya nada DecDo9 sino %or)ue Day elementos fundamentales sin Dacer.0.1.2. A,e%a,#/ )e' "#es$o a Cireccin de la rgani*acin sometida al anlisis de riesgos debedeterminar el ni&el de im%acto y riesgo ace%table. Ms %ro%iamente dicDo9 debe ace%tar lares%onsabilidad de las insuficiencias. Esta decisin no es t(cnica. Puede ser una decisin %oltica ogerencial o %uede &enir determinada %or ley o %or com%romisos contractuales con %ro&eedores ousuarios.0.1.3. T"a%am#e%o a Cireccin %uede decidir a%licar algn tratamiento al sistema de seguridaddes%legado %ara %roteger el sistema de informacin.Hay dos grandes o%ciones2


15/58



1educir el riesgo residual ace%tar un menor riesgo$. Am%liar el riesgo residual ace%tar un mayor riesgo$

Para tomar una u otra decisin Day )ue enmarcar los riesgos so%ortados %or el sistema deinformacin dentro de un conteKto ms am%lio )ue cubre un am%lio es%ectro de consideraciones delas )ue %odemos a%untar algunas sin %retender ser eKDausti&os2 #um%limiento de obligaciones' sean legales9 regulacin %blica o sectorial9 com%romisos

internos9 misin de la rgani*acin9 res%onsabilidad cor%orati&a9 etc. Posibles beneficios deri&ados de una acti&idad )ue en s entraa riesgos #ondicionantes t(cnicos9 econmicos9 culturales9 %olticos9 etc. E)uilibrio con otros ti%os de riesgos2 comerciales9 financieros9 regulatorios9 medioambientales9

laborales.0.1.0. Es%&)#o ,&a%#%a%#o )e ,os%es 8 ee+#,#osEs de sentido comn )ue no se %uede in&ertir en sal&aguardas ms all del &alor )ue )ueremos%roteger.A%arecen en la %rctica grficos como el siguiente )ue %onen uno frente al otro el coste de la in?seguridad lo )ue costara no estar %rotegidos$ y el coste de las sal&aguardas.

En la %rctica9 cuando Day )ue%rotegerse de un riesgo )ue se considera significati&o9 a%arecen &arios escenarios Di%ot(ticos2 E9: sino se Dace nada

E1: si se a%lica un cierto con>unto de sal&aguardasE2: si se a%lica otro con>unto de sal&aguardas as Nescenarios con diferentes combinaciones de sal&aguardas.

? recurrente$ coste anual de mantenimiento de las sal&aguardasY recurrente$ me>ora en la %roducti&idad;;

Y recurrente$ me>oras en la ca%acidad de la rgani*acin %ara %restar nue&os ser&icios9conseguir me>ores condiciones de los %ro&eedores9 entrar en asociacin con otras organi*aciones9etc.

El escenario E0 es muy sim%le2 todos los aos se afronta un gasto marcado %or el riesgo9 )ue seacumula ao tras ao.


16/58



En E0 se sabe lo )ue cada ao se estima )ue$ se %ierdeL El escenario E+ a%arece como mala idea9 %ues su%one un gasto aadido el %rimer ao' %ero estegasto no se recu%era en aos &enideros.L o as el escenario E; )ue9 su%oniendo un mayor desembolso inicial9 em%ie*a a ser rentable a%artir del cuarto ao.L Ms atracti&o an es el escenario E3 en el )ue a costa de un mayor desembolso inicial9 se em%ie*aa aDorrar al tercer ao9 e incluso se llega a obtener beneficios o%erati&os a %artir del )uinto ao. 5e%uede decir )ue en escenario E3 se Da DecDo una buena in&ersin.

0.1.. Es%&)#o ,&a'#%a%#o )e ,os%es 8 ee+#,#osEntre los as%ectos intangibles se suelen contem%lar2

As%ectos re%utacionales o de imagen. As%ectos de com%etencia2 com%aracin con otras organi*aciones de mismo mbito de

acti&idad #um%limiento normati&o9 )ue %uede ser obligatorio o &oluntario #a%acidad de o%erar Producti&idad

0.1.5. Es%&)#o m#%o )e ,os%es 8 ee+#,#osEn anlisis de riesgos meramente cualitati&os9 la decisin la marca el balance de costes ybeneficios intangibles9 si bien siem%re Day )ue Dacer un clculo de lo )ue cuesta la solucin ycerciorarse de )ue el gasto es asumible.

0.1.6. O,#oes )e %"a%am#e%o )e' "#es$o: e'#m#a,#/

Ms &iable es %rescindir de otros com%onentes no esenciales9 )ue estn %resentes sim%le yllanamente %ara im%lementar la misin9 %ero no son %arte constituyente de la misma. Esta o%cin%uede tomar diferentes formas2

Eliminar cierto ti%o de acti&os9 em%lean otros en su lugar. Por e>em%lo2 cambiar de sistemao%erati&o9 de fabricante de e)ui%os.

1eordenar la ar)uitectura del sistema. Por e>em%lo2 segregar redes9 e)ui%os %ara atender anecesidades concretas9 ale>ando lo ms &alioso de lo ms eK%uesto9

0.1.;. O,#oes )e %"a%am#e%o )e' "#es$o: m#%#$a,#/


17/58



a mitigacin del riesgo se refiere a una de dos o%ciones2

1educir la degradacin causada %or una amena*a a &eces se usa la eK%resin Wacotar elim%actoX$

1educir la %robabilidad de )ue una amena*a de materiali*a.

0.1.eti&os de la rgani*acin.

D#"e,,#/ e>e,&%#aEn este e%grafe se incluyen a)uellos rganos colegiados o uni%ersonales )ue toman deci?siones )ue concretan cmo alcan*ar los ob>eti&os de negocio marcados %or los rganos degobierno.

D#"e,,#/ oe"a,#oa'En este e%grafe se incluyen a)uellos rganos colegiados o uni%ersonales )ue toman deci?siones %rcticas %ara materiali*ar las indicaciones dadas %or los rganos e>ecuti&os.

Es?&ema Na,#oa' )e Se$&"#)a)En el Es)uema acional de 5eguridad de identifican ciertos roles )ue %ueden &erse in&olucrados enel %roceso de gestin de riesgos2Resosa'e )e 'a #+o"ma,#/


18/58



Resosa'e )e' se"#,#oResosa'e )e 'a se$&"#)a)Resosa'e )e' s#s%emaA)m##s%"a)o"es 7 oe"a)o"es

Ma%"#! RACI

0.2.2. Co%e%oHay )ue identificar las obligaciones legales9 reglamentarias y contractuales. Por e>em%lo9 suele Daberobligaciones asociadas a2 !ratamiento de datos de carcter %ersonal. !ratamiento de informacin clasificada. !ratamiento de informacin y %roductos sometidos a derecDos de %ro%iedad intelectual. Prestacin de ser&icios %blicos. %eracin de infraestructuras crticas.

0.2.3. C"#%e"#osMlti%les as%ectos relacionados con los riesgos son ob>eto de estimaciones. #on&iene )ue las

estimaciones sean lo ms ob>eti&as )ue sea %osible o. al menos9 )ue sean re%etibles9 eK%licables ycom%arables.0.2.0. Ea'&a,#/ )e 'os "#es$os 5e sigue la metodologa descrita en el ca%tulo anterior. a %rimera&e* )ue se e>ecuta esta acti&idad %uede ser con&eniente lan*ar un %royecto es%ecfico de anlisis deriesgos.0.2.. De,#s#/ )e %"a%am#e%o Hay mlti%les formas de reducir el riesgo2 Eliminar el riesgo eliminando sus causas2 informacin tratada9 ser&icios %restados9

ar)uitectura del sistema. 1educir o limitar el im%acto

0.2.5. Com,a,#/ 7 ,os&'%a Antes de tomar ninguna decisin relati&a al tratamiento de unriesgo Day )ue entender %ara )u( se usa el sistema y cmo se usa.

0.2.6. Se$m#e%o 7 "e#s#/ El anlisis de los riesgos es un e>ercicio formal9 basado en mlti%lesestimaciones y &aloraciones )ue %ueden no com%adecerse con la realidad.

0.3. Do,&me%a,#/ )e' "o,eso

Documentacin interna

+ Cefinicin de roles9 funciones y es)uemas de re%orte; #riterios de &aloracin de la informacin3 #riterios de &aloracin de los ser&icios@ #riterios de e&aluacin de los escenarios de im%acto y riesgo

Documentacin para otros

+ Plan de 5eguridad

0.0. I)#,a)o"es )e ,o%"o' )e' "o,eso )e $es%#/ )e "#es$os


19/58



. P"o7e,%os )e a@'#s#s )e "#es$osEn esta seccin se %resentan las consideraciones )ue se deben tener en cuenta %ara )ue este%royecto llegue a buen t(rmino.PA1.+ J Acti&idades %reliminaresPA1.; J Elaboracin del anlisis de riesgosPA1.3 J #omunicacin de resultados

.1. Ro'es 7 +&,#oes

Com#% )e Se$m#e%o

Est constituido %or los res%onsables de las unidades afectadas %or el %royecto

E?o )e "o7e,%o


20/58



Tarea PAR.! Estudio de oportunidad

5e fundamenta la o%ortunidad de la reali*acin9 aDora9 del %royecto de anlisis de riesgos9enmarcndolo en el desarrollo de las dems acti&idades de la rgani*acin.

El resultado de esta acti&idad es el informe denominado %reliminarB.

Tarea PAR."! Determinacin del alcance del pro#ecto

5e definen los ob>eti&os finales del %royecto9 su dominio y sus lmites.El resultado de esta acti&idad es un %erfil de %royecto de anlisis de riesgos.

Tarea PAR.$! Planificacin del pro#ecto

El resultado de esta acti&idad est constituido %or2

-n %lan de traba>o %ara el %royecto

Procedimientos de traba>o

Tarea PAR.%! &anzamiento del pro#ectoEl resultado de esta acti&idad est constituido %or2

os cuestionarios %ara las entre&istas

El catlogo de ti%os de acti&os

a relacin de dimensiones de seguridad

os criterios de &aloracin

.2.2. Ta"ea PAR.12: De%e"m#a,#/ )e' a',a,e )e' "o7e,%o-n %royecto de anlisis de riesgos %uede %erseguir ob>eti&os a muy corto %la*o tales como elaseguramiento de cierto sistema o un cierto %roceso de negocio9 o %uede %retender ob>eti&os msam%lios como fuera el anlisis global de la seguridad de la rgani*acin.Para incor%orar las restricciones al anlisis y ges?tin de riesgos9 estas se agru%an %or distintosconce%tos9 t%icamente2

1estricciones %olticas o gerenciales 1estricciones estrat(gicas 1estricciones geogrficas 1estricciones tem%orales 1estricciones estructurales 1estricciones funcionales 1estricciones legales 1estricciones relacionadas con el %ersonal 1estricciones metodolgicas 1estricciones culturales 1estricciones %resu%uestarias

A',a,e

Para )ue el alcance )uede determinado debemos concretar2 Los a,%#os ese,#a'es2 informacin )ue se mane>a y ser&icios )ue se %restan Los &%os )e #%e",am#o de interconeKin con otros sistemas9 aclarando )u(

informacin se intercambia y )u( ser&icios se %restan mutuamente Los "oee)o"es e%e"os en los )ue se a%oya nuestro sistema de informacin


21/58



PAR! Pro#ecto de an'lisis de riesgosPAR.! Actividades preliminares

PAR."! Determinacin del alcance del pro#ecto

P"o)&,%os )e e%"a)a

1eco%ilacin de la documentacin %ertinente de la rgani*acin

P"o)&,%os )e sa'#)a

Es%ecificacin detallada de los ob>eti&os del %royecto

1elacin de restricciones generales

1elacin de unidades de la rgani*acin )ue se &ern afectadas como %arte del %royecto

ista de roles rele&antes en la unidades incluidas en el alcance del %royecto

los acti&os esenciales

los %untos de interconeKin con otros sistemas

T,#,as "@,%#,as 7 a&%as

Entre&istas &er Q/ua de !(cnicasQ$

1euniones

)&*&*+.&+ rainstorming

)&*&*+.'+ tructured or semi-structured intervies

Pa"%#,#a%es

El comit( de seguimiento

-n %royecto de anlisis de riesgos %uede %erseguir ob>eti&os a muy corto %la*o tales como el ase?guramiento de cierto sistema o un cierto %roceso de negocio9 o %uede %retender ob>eti&os msam%lios como fuera el anlisis global de la seguridad de la rgani*acin. En todo caso9 Day )uedeterminarlo.

Es%ecialmente a la Dora de tomar acciones correctoras9 Day )ue tener en cuenta )ue no todo &a?leB9 sino )ue el %royecto se encontrar con una serie de restricciones9 no necesariamente t(cni?cas9 )ue establecen un marco al )ue atenerse. Para incor%orar las restricciones al anlisis y ges?tin de riesgos9 estas se agru%an %or distintos conce%tos9 t%icamente2

1estricciones %olticas o gerenciales

!%icas de organi*aciones gubernamentales o fuertemente relacionadas con organismosgubernamentales9 bien como %ro&eedores o como suministradores de ser&icios.

1estricciones estrat(gicas

Ceri&adas de la e&olucin %re&ista de la estructura u ob>eti&os de la rgani*acin.

1estricciones geogrficas

Ceri&adas de la ubicacin fsica de la rgani*acin o de su de%endencia de medios fsicos de comunicaciones. "slas9 em%la*amientos fuera de las fronteras9 etc.

1estricciones tem%oralesZue toman en consideracin situaciones coyunturales2 conflicti&idad laboral9 crisis interna? cional9 cambio de la %ro%iedad9 reingeniera de %rocesos9 etc.


22/58




23/58

1estricciones estructurales

!omando en consideracin la organi*acin interna2 %rocedimientos de toma de decisiones9de%endencia de casas matrices internacionales9 etc.

1estricciones funcionales

Zue tienen en cuenta los ob>eti&os de la rgani*acin.

1estricciones legales

eyes9 reglamentos9 regulaciones sectoriales9 contratos eKternos e internos9 etc.

1estricciones relacionadas con el %ersonal

Perfiles laborales9 com%romisos contractuales9 com%romisos sindicales9 carreras %rofesiona?les9 etc.

1estricciones metodolgicas

Ceri&adas de la naturale*a de la organi*acin y sus Dbitos o Dabilidades de traba>o )ue%ueden im%oner una cierta forma de Dacer las cosas.

1estricciones culturales

a culturaB o forma interna de traba>ar %uede ser incom%atible con ciertas sal&aguardas te?ricamente ideales.

1estricciones %resu%uestarias

a cantidad de dinero es im%ortante' %ero tambi(n la forma de %lanificar el gasto y de e>ecu?tar el %resu%uesto

A',a,eEsta tarea identifica las unidades ob>eto del %royecto y es%ecifica las caractersticas generales dedicDas unidades en cuanto a res%onsables9 ser&icios %ro%orcionados y ubicaciones geogrficas.!ambi(n identifica las %rinci%ales relaciones de las unidades ob>eto del %royecto con otras entida?des9 %or e>em%lo el intercambio de informacin en di&ersos so%ortes9 el acceso a medios inform?ticos comunes9 etc.

Para )ue el alcance )uede determinado debemos concretar2

'os a,%#os ese,#a'es2 informacin )ue se mane>a y ser&icios )ue se %restan

'os &%os )e #%e",am#o de interconeKin con otros sistemas9 aclarando )u( informacinse intercambia y )u( ser&icios se %restan mutuamente

'os "oee)o"es e%e"os en los )ue se a%oya nuestro sistema de informacin


24/58


25/58

Ta"ea PAR.13: P'a#+#,a,#/ )e' "o7e,%o

Pro#ecto de an'lisis de riesgosPAR.! Actividades preliminares

PAR.$! Planificacin del pro#ecto

O>e%#os

Cefinir los gru%os de interlocutores2 usuarios afectados en cada unidad

Planificar las entre&istas de recogida de informacin

Ceterminar el &olumen de recursos necesarios %ara la e>ecucin del %royecto2Dumanos9 tem%orales y financieros

Elaborar el calendario concreto de reali*acin de las distintas eta%as9 acti&idades ytareasdel %royecto

Establecer un calendario de seguimiento )ue defina las fecDas tentati&as de reuniones

del

comit( de direccin9 el %lan de entregas de los %roductos del %royecto9 las %osibles

P"o)&,%os )e e%"a)a

1esultados de la acti&idad A+.;9 Ceterminacin del alcance del %royecto

P"o)&,%os )e sa'#)a

1elacin de %artici%antes en los gru%os de interlocutores

Plan de entre&istas

"nforme de recursos necesarios

T,#,as "@,%#,as 7 a&%as

Planificacin de %royectos

Pa"%#,#a%es

El director de %royecto

El comit( de seguimiento

El %lan de entre&istas debe detallar a )u( %ersona se &a a entre&istar9 cundo y con )u( ob>eti&o.Este %lan %ermite determinar la carga )ue el %royecto &a a su%oner %ara las unidades afectadas9bien del dominio9 bien del entorno.

Ta"ea PAR.10: La!am#e%o )e' "o7e,%o

Esta acti&idad com%leta las tareas %re%aratorias del lan*amiento del %royecto2 em%e*ando %or se?leccionar y ada%tar los cuestionarios )ue se utili*arn en la recogida de datos y %or reali*ar lacam%aa informati&a de sensibili*acin a los im%licados.


26/58

Ministerio de Hacienda y Administraciones Pblicas %gina G0 de +;G$

Pro#ecto de an'lisis de riesgos

PAR.! Actividades preliminaresPAR.%! &anzamiento del pro#ecto

O>e%#os

Cis%oner de los elementos de traba>o %ara acometer el %royecto

P"o)&,%os )e e%"a)a

Marco de traba>o establecido en el Proceso de /estin de 1iesgos2 criterios yrelacionescon las %artes afectadas

P"o)&,%os )e sa'#)a

#uestionarios ada%tados

Ceterminar el catlogo de ti%os de acti&os

Ceterminar las dimensiones de &aloracin de acti&os

Ceterminar los ni&eles de &aloracin de acti&os9 incluyendo una gua unificada decriterios%ara asignar un cierto ni&el a un cierto acti&o

Ceterminar los ni&eles de &aloracin de las amena*as2 frecuencia y degradacin

Asignar los recursos necesarios Dumanos9 de organi*acin9 t(cnicos9 etc.$ %ara lareali*a? cin del %royecto

"nformar a las unidades afectadasT,#,as "@,%#,as 7 a&%as

#uestionarios &er Q#atlogo de ElementosQ$

Pa"%#,#a%es

El director del %royecto

El e)ui%o de %royecto

a tarea ada%ta los cuestionarios a utili*ar en la recogida de informacin en el %roceso P+ en fun?cin de los ob>eti&os del %royecto9 del dominio y de los temas a %rofundi*ar con los usuarios.

os cuestionarios se ada%tan con el ob>eti&o de identificar correctamente los elementos de traba>o2acti&os9 amena*as9 &ulnerabilidades9 im%actos9 sal&aguardas eKistentes9 restricciones generales9etc. en %re&isin de las necesidades de las acti&idades A;.+ caracteri*acin de los acti&os$9 A;.;caracteri*acin de las amena*as$ y A;.3 caracteri*acin de las sal&aguardas$.

PAR.2 B E'ao"a,#/ )e' a@'#s#s )e "#es$os5e siguen los %asos del m(todo descrito en el ca%tulo F anterior.

a mayor %arte de las tareas re)uerirn dos o tres entre&istas con los interlocutores a%ro%iados2


27/58

Ministerio de Hacienda y Administraciones Pblicas %gina G+ de +;G$

una %rimera entre&ista %ara eK%oner las necesidades y recabar los datos

una segunda entre&ista %ara &alidar )ue los datos son com%letos y se Dan entendido correc?tamente

segn las circunstancias %uede ser necesaria alguna entre&ista adicional si la &alidacin le?&anta mucDas ineKactitudes o dudas

El todas estas tareas debe %rocurarse mane>ar documentacin escrita sometida a un %roceso for?mal de gestin' es decir9 a%robada y con unos %rocedimientos de re&isin continua. a informacinde carcter &erbal o informal debe limitarse a facilitar la com%rensin9 no a transmitir elementossustanciales )ue no estn documentados en %arte alguna.

PAR.3 B Com,a,#/ )e "es&'%a)osa salida de la fase de anlisis es la entrada de la fase de tratamiento. Para la tomar decisionesde tratamiento es necesario conocer tanto los indicadores residuales como los indicadores %oten?ciales de im%acto y riesgo. %ara cada escenario de riesgo es necesario dis%oner de informacinsuficiente %ara %oder entender en )u( consiste el riesgo9 as como su dinmica y los ra*onamien?tos o la base de las estimaciones em%leadas %ara deri&ar resultados. o basta conocer el &alor

final del indicador9 sino )ue Day )ue %oder anali*ar el %or )u( de ese &alor.

Co%"o' )e' "o7e,%o

#%os )e ,o%"o'

#%o )e ,o%"o' 1.1:

a Cireccin %roceder a la a%robacin o no de la reali*acin del %royecto de anlisis deriesgos9 basndose en el estudio de o%ortunidad reali*ado %or el %romotor.

#%o )e ,o%"o' 1.2:

El comit( de seguimiento del %royecto &alidar el informe de QPlanificacin del Proyecto deAnlisis de 1iesgosQ )ue contendr una sntesis de los %roductos obtenidos en las acti&ida?des reali*adas en el %roceso P+.

Do,&me%a,#/ "es&'%a%e

Documentacin intermedia

1esultados de las entre&istas.

Cocumentacin de otras fuentes2 estadsticas9 obser&aciones de eK%ertos y obser&acionesde los analistas.

Cocumentacin auKiliar2 %lanos9 organigramas9 re)uisitos9 es%ecificaciones9 anlisis funcio?nales9 cuadernos de carga9 manuales de usuario9 manuales de eK%lotacin9 diagramas deflu>o de informacin y de %rocesos9 modelos de datos9 etc.

Anlisis de los resultados9 con la deteccin de las reas crticas cla&es.

"nformacin eKistente utili*able %or el %royecto %or e>em%lo in&entario de acti&os$

1esultados de %osibles a%licaciones de m(todos de anlisis y gestin de riesgos reali*adasanteriormente %or e>em%lo catalogacin9 agru%acin y &aloracin de acti&os9 amena*as9&ulnerabilidades9 im%actos9 riesgo9 mecanismos de sal&aguarda9 etc.$.


28/58

Documentacin final

Modelo de &alor2 identificacin de acti&os >unto con sus de%endencias y &aloracin %ro%ia y acumulada

Ma%a de amena*as >unto con sus consecuencias y %robabilidad de ocurrencia.

Cocumento de a%licabilidad de las sal&aguardas.

"nforme de &aloracin de la efecti&idad de las sal&aguardas %resentes.

"nforme de insuficiencias o debilidades del sistema de sal&aguardas.

"ndicadores de im%acto y riesgo9 %otenciales y residuales.


29/58


30/58

PS Plan !e Seg"ri!a!0S.1 2 Identi3cacin de (royectos de seguridad 0S.4 2 0lan de e5ecucin

0S.6 2 E5ecucin

Magerit 3.0 Plan de seguridad

:. P'a )e se$&"#)a)Esta seccin trata de cmo lle&ar a cabo %lanes de seguridad9 entendiendo %or tales %royectos %ara materiali*ar las decisiones ado%tadas %ara el tratamiento de los riesgos.

Estos %lanes reciben diferentes nombres en diferentes conteKtos y circunstancias2

%lan de me>ora de la seguridad

%lan director de seguridad

%lan estrat(gico de seguridad

%lan de adecuacin en concreto es el nombre )ue se usa en el E5$ 5e

identifican 3 tareas2

Ta"ea PS.1: I)e%#+#,a,#/ )e "o7e,%os )e se$&"#)a)5e traducen las decisiones de tratamiento de los riesgos en acciones concretas.

PS! Plan de seguridad

PS.! Identificacin de pro#ectos de seguridad

O>e%#os

Elaborar un con>unto armnico de %rogramas de seguridad

P"o)&,%os )e e%"a)a

1esultados de las acti&idades de anlisis y tratamiento de riesgos

#onocimientos de t(cnicas y %roductos de seguridad

P"o)&,%os )e sa'#)a

1elacin de %rogramas de seguridadT,#,as "@,%#,as 7 a&%as

Planificacin de %royectos

Pa"%#,#a%es

El e)ui%o de %royecto

Es%ecialistas en seguridad


31/58

Ta"ea PS.2: P'a#+#,a,#/ )e 'os "o7e,%os )e se$&"#)a)

PS! Plan de seguridadPS."! Plan de

O>e%#os

rdenar tem%oralmente los %rogramas de seguridadP"o)&,%os )e e%"a)a

1esultados de las acti&idades de anlisis y tratamiento de riesgos

1esultados de la tarea P5.+ Programas de seguridadP"o)&,%os )e sa'#)a

#ronograma de e>ecucin del %lan

P'a )e Se$&"#)a)T,#,as "@,%#,as 7 a&%as

Anlisis de riesgos &er M(todo de Anlisis de 1iesgosB$ Planificacin de %royectos

Pa"%#,#a%es

Ce%artamento de desarrollo

Ce%artamento de com%ras

Hay )ue ordenar en el tiem%o los %royectos de seguridad teniendo en cuenta los siguientes facto?res2

la criticidad9 gra&edad o con&eniencia de los im%actos yTo riesgos )ue se afrontan9 teniendomKima %rioridad los %rogramas )ue afronten situaciones crticas

el coste del %rograma

la dis%onibilidad del %ersonal %ro%io %ara res%onsabili*arse de la direccin y9 en su caso9e>ecucin$ de las tareas %rogramadas

otros factores como %uede ser la elaboracin del %resu%uesto anual de la rgani*acin9 lasrelaciones con otras organi*aciones9 la e&olucin del marco legal9 reglamentario o contrac?tual9 etc.

!%icamente un %lan de seguridad se %lanifica en tres ni&eles de detalle2

P'a )#"e,%o" (&o*.

A menudo denominado %lan de actuacinB9 traba>a sobre un %eriodo largo t%icamente en?

tre 3 y 7 aos$9 estableciendo las directrices de actuacin.

P'a a&a' (&a se"#e )e 'aes a&a'es*.

!raba>a sobre un %eriodo corto t%icamente entre + y ; aos$9 estableciendo la %lanificacin de los %rogramas de seguridad.

P'a )e "o7e,%o (& ,o>&%o )e "o7e,%os ,o s& 'a#+#,a,#/*.

!raba>a en el corto %la*o t%icamente menos de + ao$9 estableciendo el %lan detallado de e>ecucin de cada %rograma de seguridad.


32/58

Ta"ea PS.3: E>e,&,#/ )e' 'a

PS! Plan de seguridadPS.$! E(ecucin

O>e%#os

Alcan*ar los ob>eti&os %re&istos en el %lan de seguridad %ara cada %royecto %lanificadoP"o)&,%os )e e%"a)a

1esultados de las acti&idades P5.+ %royectos de seguridad$ y P5.; %lanificacin$

Proyecto de seguridad )ue nos ocu%a

P"o)&,%os )e sa'#)a

5al&aguardas im%lantadas

ormas de uso y %rocedimientos de o%eracin

5istema de indicadores de eficacia y eficiencia del desem%eo de los ob>eti&os de

seguri?

dad %erseguidos

Modelo de &alor actuali*ado

Ma%a de riesgos actuali*ado

T,#,as "@,%#,as 7 a&%as

Anlisis de riesgos &er M(todo de Anlisis de 1iesgosB$

Planificacin de %royectosPa"%#,#a%es

El e)ui%o de %royecto2 e&olucin del anlisis de riesgos Personal es%eciali*ado en la sal&aguarda en cuestin

L#s%a )e ,o%"o' )e 'os 'aes )e se$&"#)a)

a,%##)a) %a"e

5e Dan definido los %royectos constituyentes P5.

5e Dan definido las interde%endencias entre %royectos necesidades de )ue uno

a&an?

ce %ara )ue %rogrese otro$

P5.

+

5e Dan asignado recursos

dis%onibles %ara los %royectos en curso

re&istos ara los ro ectos ue se uirn en el futuro

P5.;

5e Dan definido roles y res%onsabilidades P5.

5e Da establecido un calendario de e>ecucin P5.

5e Dan definido indicadores de %rogreso P5.

5e Dan %re&isto necesidades de concienciacin y formacin P5.

5e Dan %re&isto necesidades de documentacin2normati&a de seguridad y

rocedimientos o erati&os de se uridad

P5.+


33/58

Magerit 3.0 Cesarrollo de sistemas de informacin

G. Desa""o''o )e s#s%emas )e #+o"ma,#/as a%licaciones /softare# constituyen un ti%o de acti&os frecuente y nuclear %ara el tratamientode la informacin en general y %ara la %restacin de ser&icios basados en a)uella informacin

El Es)uema acional de 5eguridad recoge el riesgo como %ie*a fundamental de la seguridad delos sistemas en &arios de sus %rinci%ios bsicos2

A"%,&'o . La se$&"#)a) ,omo & "o,eso #%e$"a'.

+. a seguridad se entender como un %roceso integral constituido %or todos los elementost(cnicos9 Dumanos9 materiales y organi*ati&os9 relacionados con el sistema. a a%licacindel Es)uema acional de 5eguridad estar %residida %or este %rinci%io9 )ue eKcluyecual)uier actuacin %untual o tratamiento coyuntural.

;. 5e %restar la mKima atencin a la concienciacin de las %ersonas )ue inter&ienen en el%roceso y a sus res%onsables >err)uicos9 %ara )ue9 ni la ignorancia9 ni la falta de organi?*acin y coordinacin9 ni instrucciones inadecuadas9 sean fuentes de riesgo %ara la segu?

ridad.A"%,&'o 5. Ges%#/ )e 'a se$&"#)a) asa)a e 'os "#es$os.

+. El anlisis y gestin de riesgos ser %arte esencial del %roceso de seguridad y debermantenerse %ermanentemente actuali*ado.

;. a gestin de riesgos %ermitir el mantenimiento de un entorno controlado9 minimi*andolos riesgos Dasta ni&eles ace%tables. a reduccin de estos ni&eles se reali*ar medianteel des%liegue de medidas de seguridad9 )ue establecer un e)uilibrio entre la naturale*ade los datos y los tratamientos9 los riesgos a los )ue est(n eK%uestos y las medidas deseguridad.

A"%,&'o


34/58

N&eos se"#,#os 78o )a%os.

1e)uiere el desarrollo de un nue&o sistema o la modificacin de un sistema ya o%erati&o.Puede im%licar la desa%aricin de %artes actualmente o%erati&as.

a iniciati&a la lle&a el res%onsable de desarrollo9 actuando el res%onsable de seguridadcomo subsidiario.

Eo'&,#/ %e,o'/$#,a. as tecnologas !"# se encuentran en e&olucin continua9 %udiendo%resentarse cambios en las t(cnicas de desarrollo de sistemas9 en los lengua>es o las %lata?formas de desarrollo9 en las %lataformas de eK%lotacin9 en los ser&icios de eK%lotacin9 enlos ser&icios de comunicaciones9 etc.

1e)uiere el desarrollo de un nue&o sistema o la modificacin de un sistema ya o%erati&o.Puede im%licar la desa%aricin de %artes actualmente o%erati&as.

a iniciati&a la lle&a el res%onsable de desarrollo9 actuando el res%onsable de seguridadcomo subsidiario.

Mo)#+#,a,#/ )e 'a ,a'#+#,a,#/ )e se$&"#)a) )e se"#,#os o )a%os.

!%icamente re)uiere la modificacin de un sistema ya o%erati&o. 1aramente im%lica el

desarrollo de un nue&o sistema o la desa%aricin de %artes actualmente o%erati&as. a iniciati&a la lle&a el res%onsable de seguridad9 actuando el res%onsable de sistemas

como subsidiario.

Cos#)e"a,#/ )e &eas amea!as. a e&olucin de las tecnologas y los ser&icios de co?municaciones %ueden Dabilitar nue&as amena*as o con&ertir amena*as )ue eran des%recia?bles en el %asado en amena*as rele&antes en el futuro.

!%icamente re)uiere la modificacin del sistema9 bien en sus com%onentes o9 ms fre?cuentemente9 en sus condiciones de eK%lotacin. 1aramente im%lica el desarrollo de unnue&o sistema o la desa%aricin de %artes actualmente o%erati&as.

a iniciati&a la lle&a el res%onsable de seguridad9 actuando el res%onsable de sistemas

como subsidiario.Mo)#+#,a,#/ )e 'os ,"# %e"#os )e ,a'#+#,a,#/ )e "#es$os. Puede &enir inducido %or criterios

de calidad o%erati&a9 %or no&edades en la legislacin a%licable9 en la reglamentacin secto?rial o %or acuerdos o contratos con terceros.

!%icamente re)uiere la modificacin del sistema. 1aramente im%lica el desarrollo de unnue&o sistema o la desa%aricin de %artes actualmente o%erati&as.

a iniciati&a la lle&a el res%onsable de seguridad9 actuando el res%onsable de sistemascomo subsidiario.

SSI B Se$&"#)a) )e' s#s%ema )e #+o"ma,#/!oda la eKistencia de un sistema de informacin %uede &erse como eta%as de concrecin crecien?te9 desde una %ers%ecti&a muy global durante los %rocesos de %lanificacin Dasta una &isin endetalle durante el desarrollo y eK%lotacin. o obstante9 este ciclo de &ida no es lineal9 sino )uefrecuentemente Dabr )ue tantear o%ciones alternati&as y re&isar decisiones tomadas.


35/58

es(eci3cacin

ad&uisicin 7estndar8desarrollo su!contratadodesarrollo (ro(io

mantenimiento

C#,'o )e #)a )e 'as a'#,a,#oes

!%icamente9 una a%licacin sigue un ciclo de &ida a tra&(s de &arias fases2

ace%taci

des%liegu

o%eraci

!lustracin &". 0iclo de vida de las aplicaciones

Ese,#+#,a,#/. En esta fase se determinan los re)uisitos )ue debe satisfacer la a%licacin yse elabora un %lan %ara las siguientes fases.

A)?s#,#/ o )esa""o''o. Para traducir una es%ecificacin en una realidad9 se %uede ad)uirirun %roducto9 o se %uede desarrollar9 bien en casa9 bien %or subcontratacin eKterna.

A,e%a,#/. !anto si es una a%licacin nue&a como si es modificacin de una a%licacin ante?rior9 nunca una a%licacin debe entrar en o%eracin sin Daber sido formalmente ace%tada.

Des'#e$&e. #onsistente en instalar el cdigo en el sistema y configurarlo %ara )ue entre eno%eracin.

Oe"a,#/. a a%licacin se usa %or %arte de los usuarios9 siendo atendidos los incidentes %or%arte de usuarios yTo los o%eradores.

Ma%e#m#e%o. ,ien %or)ue a%arecen nue&os re)uisitos9 bien %or)ue se Da detectado un fa?llo9 la a%licacin %uede re)uerir un mantenimiento )ue obligue a regresar a cual)uiera de laseta%as anteriores9 en ltima instancia a la es%ecificacin bsica.

MTRICA e"s#/ 3a metodologa M[!1"#A ersin 3 ofrece a las rgani*aciones un instrumento %ara la sistemati?


36/58

*acin de las acti&idades )ue dan so%orte al ciclo de &ida del softare. M[!1"#A &ersin 3 identi?fica los siguientes elementos2


37/58

(lani3cacin 0SI gestin de con3guracin

aseguramiento de la calidaddesarrollo

E9SASI :SI CSI IAS

gestin de (royectos

mantenimiento MSIseguridad

Ministerio de Hacienda y Administraciones Pblicas %gina 60 de +;G$

!lustracin &1. 23trica ) - %ctividades

M(trica 3

es%ecificacin P5" J Planificacin del sistema de

informacinE5 J Estudio de &iabilidad del

sistema

ad)uisicin odesarrollo

C5" J Ciseo del sistema de informacin.

#5" J #onstruccin del sistema de informacin

ace%tacin "A5 J "m%lantacin y ace%tacin del sistema

des%liegue

o%eracin

mantenimiento M5" J Mantenimiento del sistema deinformacin

abla 1. 0iclo de vida y actividades en 23trica )

Co%e%o

5e debe determinar el conteKto general2

%oltica de seguridad y normas

re)uisitos de cum%limiento normati&o obligaciones contractuales

roles y funciones

criterios de &aloracin de informacin y ser&icios

criterios de &aloracin de riesgos

criterios de ace%tacin de riesgos

Fase )e ese,#+#,a,#/: a)?s#,#/ )e )a%os

5e debe reco%ilar informacin sobre la informacin esencial y sus re)uisitos de seguridad

planificacin

PSI

desarrollo

EVS ASI DSI CSI IAS

EVS ASI DSI CSI IASEVS ASI DSI CSI IAS


38/58


los ser&icios esenciales y sus re)uisitos de seguridad

el conteKto en el )ue se &a a desarrollar y eK%lotar el sistema

Fase )e )#seo: es%&)#o )e o,#oes

a toma de decisiones de tratamiento de los riesgos %uede recomendar sal&aguardas e&aluando

su efecto en los indicadores de im%acto y riesgo. as decisiones )ue se ado%ten de%endern delos criterios establecidos en la %oltica de seguridad de la rgani*acin y de otras consideracioneses%ecficas de cada caso.

An'lisis # tratamiento de los riesgos

a seguridad re)uerida %ara la informacin )ue se mane>a y los ser&icios )ue se %restan )uedfi>ada en la fase de es%ecificacin y no se %uede modificar aDora.

Soo"%e a' )esa""o''o: &%os ,"%#,os

Curante el desarrollo Day )ue incor%orar las sal&aguardas a%robadas en la fase de diseo9 ascomo controles )ue %ermitan monitori*ar su eficacia. Estos re)uisitos de monitori*acin se suelenconcretar en los siguientes as%ectos2

registros de acti&idad

mecanismos %ara %rocesar estos registros e informar de la efecti&idad del sistema de %rotec?cin

dis%aro de alarmas cuando los DecDo e&idencian un %roblema de seguridad


39/58

A,e%a,#/ 7 &es%a e ma",Ha: &%os ,"%#,os

#uando el sistema se %rueba antes de %onerlo en funcionamiento9 debe re&isarse )ue todos losregistros de acti&idad funcionan correctamente9 as como los sistemas de %rocesamiento y dealarma incor%orados al sistema.

!ambi(n debe com%robarse )ue el sistema res%onde al diseo %re&isto9 concretamente )ue lassal&aguardas estn des%legadas9 )ue su des%liegue es efecti&o y )ue no eKisten formas de cir?cun&alarlas u ob&iarlas2 es decir )ue el sistema no %ermite %uertas traseras fuera de control.

5istemas$ de identificacin y autenticacin2

todo acceso al sistema re)uiere )ue el usuario se identifi)ue y se autenti)ue segn lo %re&is?to9 blo)ueando cual)uier otra forma de acceso

los mecanismos de identificacin y autenticacin estn %rotegidos %ara e&itar )ue un atacan?te %ueda acceder a informacin o mecanismos )ue %ongan en %eligro su efecti&idad

5istemas$ de control de acceso2

todo acceso a la informacin y a los ser&icios &erifica %re&iamente )ue el usuario tiene las au?

tori*aciones %ertinentes5er&icios eKternali*ados2 cuando %arte de la o%eracin del sistema est delegada en un tercero2

Day )ue re&isar los contratos de %restacin del ser&icio

Day )ue re&isar la com%letitud de los %rocedimientos de re%orte y gestin de incidencias

5i el sistema no refle>a el modelo cuyos riesgos Dan sido anali*ados9 ser recDa*ado sin %asar a%roduccin.

Hay )ue &erificar )ue la documentacin de seguridad es clara y %recisa. Esto incluye normati&a9%rocedimientos o%eracionales9 material de concienciacin y de formacin.

5in %oder ser eKDausti&os9 las siguientes lneas muestran %ruebas de ace%tacin )ue con&iene

reali*ar2 datos de %rueba

si no son reales9 deben ser realistas

si no se %uede e&itar )ue sean reales9 Day )ue controlar co%ias y acceso

%ruebas funcionales de los ser&icios de seguridad$

simulacin de ata)ues2 &erificando )ue se detectan y re%ortan

%ruebas en carga2 &erificando )ue no se ob&ian las medidas de %roteccin

intrusin controlada (ac4ing (tico$

ins%eccin de ser&icios T ins%eccin de cdigo

fugas de informacin2 canales encubiertos9 a tra&(s de los registros9 etc.

%uertas traseras de acceso

escalado de %ri&ilegios

%roblemas de desbordamiento de registros /buffer overflo#


40/58

Oe"a,#/: a@'#s#s 7 $es%#/ )#@m#,os

Curante la &ida o%erati&a del sistema %odemos encontrarnos con cambios en el escenario )ue in?&alidan el anlisis de riesgos reali*ado anteriormente. En entornos formales9 el sistema re)uiereuna re?acreditacin %ara seguir o%erando ba>o las nue&as condiciones.

)uevas amenazas

Vulnerabilidades sobrevenidas

Por e>em%lo9 defectos re%ortados %or los fabricantes.

Incidentes de seguridad

os incidentes de seguridad %ueden indicarnos un fallo en nuestra identificacin de amena*as oen su &aloracin9 obligando a re&isar el anlisis.

*ambios en la utilizacin del sistemaA &eces un sistema ya o%eracional no se utili*a como estaba %re&isto2

nue&a informacin con diferentes re)uisitos de seguridad

nue&os ser&icios con diferentes re)uisitos de seguridad

nue&os %rocedimientos o%erati&es

C#,'os )e ma%e#m#e%o: a@'#s#s ma"$#a'

#uando se %ro%one una modificacin del sistema9 los nue&os elementos deben lle&ar a un nue&oanlisis de riesgos9 regresando a los ciclos iterati&os de %ro%uestas y soluciones de la fase de di?

seo.

Te"m#a,#/

#uando un sistema de informacin se retira del ser&icio9 Day )ue reali*ar una serie de tareas deseguridad %ro%orcionadas al riesgo al )ue estn sometidos los com%onentes del sistema a retirar.


41/58

Do,&me%a,#/ )e se$&"#)a)

a documentacin de seguridad e&oluciona con el ciclo de &ida del sistema2

fase documentacin de seguridad

conteKto se re&isa la %oltica de seguridadse re&isa la normati&a de

es%ecificacin se am%lia la normati&a de seguridad

diseo se %re%ara el ndice de %rocedimientos o%eracionales de

desarrollo se elaboran los %rocedimientos o%eracionales de seguridad

ace%tacin y

%uesta en

se &alidan los %rocedimientos o%eracionales de seguridad

o%eracin se actuali*an los %rocedimientos o%eracionales de seguridad

mantenimiento se actuali*an los %rocedimientos o%eracionales de seguridadabla 5. 6ocumentacin de seguridad a lo largo del ciclo de vida de las aplicaciones

SPD B Se$&"#)a) )e' "o,eso )e )esa""o''oo )ue se comenta en esta seccin afecta a todas y cada uno de los %rocesos y sub%rocesos deM(trica2 P5"9 E59 A5"9 C5"9 #5"9 "A5 y M5".

a interfa* de seguridad de M(trica identifica Dasta @ tareas )ue se re%iten en cada %roceso. A)use tratan de forma com%acta2

Activos a considerar

En cada %roceso se re)uiere un anlisis de riesgos es%ecfico )ue contem%le2

los datos )ue se mane>an

el entorno softare de desarrollo

el entorno (ardare de desarrollo2 e)ui%os centrales9 %uestos de traba>o9 e)ui%os de arcDi?&o9 etc.

el entorno de comunicaciones de desarrollo

las instalaciones

el %ersonal in&olucrado2 desarrolladores9 %ersonal de mantenimiento y usuarios de %ruebas$


42/58

Actividades

5e siguen los siguientes %asos

+. el e)ui%o de desarrollo eK%one a tra&(s del >efe de %royecto los elementos in&olucrados

;. el e)ui%o de anlisis de riesgos recibe a tra&(s del director de seguridad la informacin delos acti&os in&olucrados

3. el e)ui%o de anlisis de riesgos reali*a el anlisis

@. el e)ui%o de anlisis de riesgos eK%one a tra&(s de su director el estado de riesgo9 %ro%o?niendo una serie de medidas a tomar

7. el e)ui%o de desarrollo elabora un informe del coste )ue su%ondran las medidas recomen?dadas9 incluyendo costes de desarrollo y des&iaciones en los %la*os de entrega

:. la direccin califica el riesgo y decide las sal&aguardas a im%lantar oyendo el informe con?>unto de anlisis de riesgos y coste de las soluciones %ro%uestas

G. el e)ui%o de anlisis de riesgos elabora los informes corres%ondientes a las solucionesado%tadas

6. el e)ui%o de seguridad elabora la normati&a de seguridad %ertinente

N. la direccin a%rueba el %lan %ara e>ecutar el %roceso con la seguridad re)uerida

Resultados del an'lisis # gestin de riesgos

En todos los casos

sal&aguardas recomendadas

normas y %rocedimientos de tratamiento de la informacin

Re+e"e,#as 5eguridad de las !ecnologas de la "nformacin. a construccin de la confian*a %ara una

sociedad conectadaB9 E. o 5u%erior de "nformtica y %ara el "m%ulso de la Administracin Electrnica9;000.


43/58

Magerit 3.0 #onse>os %rcticos

6. Cose>os "@,%#,os!odo el %lanteamiento anterior %uede )uedar un %oco abstracto y no %ermitir al analista %rogresarcon sol&encia a tra&(s de los %asos indicados si confundiera lo im%ortante con lo esencial. Por ello

se Da considerado con&eniente incluir algunos comentarios )ue %uedan ser&ir de gua %ara a&an?*ar.

5e recomienda tambi(n la consulta del Q#atlogo de ElementosQ )ue reco%ila ti%os de acti&os9 di?mensiones de &aloracin9 guas de &aloracin9 catlogos de amena*as y de sal&aguardas.

A',a,e 7 "o+&)#)a)Magerit cubre un es%ectro muy am%lio de intereses de sus usuarios. En el %lanteamiento de estasguas se Da seguido un criterio de mKimosB9 refle>ando todo ti%o de acti&os9 todo ti%o de as%ec?tos de seguridad' en definiti&a9 todo ti%o de situaciones. En la %rctica9 el usuario %uede encon?trarse ante situaciones donde el anlisis es ms restringido. 5iguen algunos casos %rcticos fre?

cuentes2 slo se re)uiere un estudio de los ficDeros afectos a la legislacin de datos de carcter

%ersonal

slo se re)uiere un estudio de las garantas de confidencialidad de la informacin

slo se re)uiere un estudio de la seguridad de las comunicaciones

slo se re)uiere un estudio de la seguridad %erimetral

slo se re)uiere un estudio de la dis%onibilidad de los ser&icios t%icamente %or)ue sebusca el desarrollo de un %lan de contingencia$

se busca una Domologacin o acreditacin del sistema o de un %roducto

se busca lan*ar un %royecto de m(tricas de seguridad9 debiendo identificar )u( %untos

interesa controlar y con )u( grado de %eriodicidad y detalle

etc.


44/58

Pa"a #)e%#+#,a" a,%#os#on&iene re%etir )ue slo interesan los recursos de los sistemas de informacin)ue tienen un &a? lor %ara la rgani*acin9 bien en s mismos9 bien %or)ue sobresus Dombros descansan acti&os de &alor.

&os intangibles

#iertos elementos de &alor de las organi*aciones son de naturale*a intangible2

credibilidad o buena imagen

conocimiento acumulado

inde%endencia de criterio o actuacin

intimidad de las %ersonas

integridad fsica de las %ersonas

Identificacin de activos

Zui*s la me>or a%roKimacin %ara identificar los acti&os sea %reguntar directamente2

OZu( acti&os son esenciales %ara )ue usted consiga sus ob>eti&os\

OHay ms acti&os )ue tenga )ue %roteger %or obligacin legal\

OHay acti&os relacionados con los anteriores\

o esencial es siem%re la informacin )ue se mane>a y los ser&icios )ue se%restan. A &eces nos interesa singulari*ar la diferente informacin y los diferentesser&icios9 mientras )ue otras &eces %odemos agru%ar &arias informaciones o

&arios ser&icios )ue son e)ui&alentes a efectos de re)ui?

sitos de seguridad."ncluso es frecuente Dacer %a)uetes de ] informacin Y ser&icios ^ )ue la Ci?reccin entiende como un uno.

o siem%re es e&idente )u( es un acti&o en singular.

Errores t+picos

a 4seguridad de la8 informacin de%ende de la a%licacin )ue la mane>a. En t(rminos

de ser&icio9 se %uede decir )ue la a%licacin no &ale %ara nada sin datos.A tra&(s de la a%licacin %uede accederse a la informacin9 con&irti(ndose laa%licacin en la &a de ata)ue.Cado )ue datos y a%licaciones suelen aunar esfuer*os %ara la %restacin de unser&icio9 el &alor del ser&icio se transmite tanto a los datos como a las a%licacionesinter&inientes.


45/58

a informacin es un bien esencial9 siendo los datos una concrecin !"# de lainformacin9 a informacin )ue mane>a un sistema o bien se %one %or encima de losser&icios9 o bien se agru%a.

+. informacin _ ser&icios _ e)ui%amiento incluyendo datos9 a%licaciones9e)ui%os9 R$;.] informacin Y ser&icios ^ _ e)ui%amiento incluyendo datos9 a%licaciones9e)ui%os9 R$

os errores comentados a &eces %asan desa%ercibidos mientras el sistema es muyreducido slo Day un ser&icio9 una a%licacin y un e)ui%o$.

,Est'n bien modeladas las dependencias-

Antes de dar %or bueno un modelo de de%endencias Day )ue tra*ar %ara cada acti&otodos los acti&os de los )ue de%ende directa o indirectamente. se debe res%onder%ositi&amente a las %reguntas de siOEstn todos los )ue son\ Es decir9 si se Dan identificado todos los acti&os en los )ue%ue?de ser atacado indirectamente el acti&o &alorado.O5on todos los )ue estn\ Es decir9 si realmente el acti&o &alorado %uede ser atacadoen todos esos acti&os de los )ue de%ende

#omo la relacin de de%endencia %ro%aga el &alor acumulado9 encontrar un acti&o sin&alor acu?mulado es sntoma de )ue las de%endencias estn mal modeladas o9sim%lemente9 )ue el acti&o es irrele&ante.

.%. Para valorar activos

5iem%re con&iene &alorar la informacin )ue constituye la ra*n de ser del sistema deinformacin.

5i se Dan modelado ser&icios esenciales %restados a usuarios eKternos al dominio deanlisis$9 con&iene &alorarlos igualmente.En otras %alabras2 %ara saber si las de%endencias estn bien establecidas9 estudie el&alor acumulado.os acti&os ms sencillos de &alorar son a)uellos )ue se ad)uieren en un comercio. 5i

se a&era9 Day )ue %oner otro. Esto cuesta dinero y tiem%o o sea9 ms dinero$. 5eDabla de un coste de re?%osicin. 5al&o notorias eKce%ciones9 frecuentemente ocurre


46/58

)ue el coste de los acti&os fsicos es des%reciable frente a otros costes9 %udiendoob&iarse.

./. Para identificar amenazas

5e %uede %artir de la eK%eriencia %asada9 %ro%ia o de organi*aciones similares. o )ueDa ocurrido %uede re%etirse y9 en cual)uier caso9 sera im%resentable no tenerlo encuenta.

#om%lementariamente9 un catlogo de amena*as como el incluido en el Q#atlogo deElementosQ ayuda a locali*ar lo )ue con&iene considerar en funcin del ti%o de acti&o yde las dimensiones en las )ue tiene un &alor %ro%io o acumulado.

.0. Para valorar amenazas

5iem%re )ue sea %osible con&iene %artir de datos estndar. En el caso de desastresnaturales o accidentes industriales9 se %uede dis%oner de series Districas9 gen(ricaso del lugar en el )ue se ubican los e)ui%os de nuestro sistema de informacin ba>oestudio. Probablemente tambi(n se dis%onga de un Distorial )ue informe de lo )ue esfrecuente y de lo )ue no %asa nuncaB.

Ms com%licado es calificar los errores Dumanos' %ero la eK%eriencia %ermite ira)uilatando &alo?res realistas.

lo ms com%le>o es calificar los ata)ues deliberados %ues de%enden de la suerte9buena o mala. Hay mucDos moti&os )ue agudi*an el %eligro de una amena*a2

.1. Para seleccionar salvaguardas

Probablemente la nica forma es tirar de catlogo. -se un sistema$ eK%erto )ue leayude a &er )u( solucin es adecuada %ara cada combinacin de

L !i%o de acti&oL Amena*a a la )ue est eK%uestoL Cimensin de &alor )ue es moti&o de %reocu%acinL i&el de riesgo

A menudo encontrar mucDas soluciones %ara un %roblema9 con diferentes calidades.En estos casos debe elegir una solucin %ro%orcionada a los ni&eles de im%acto yriesgo calculados.

.. Apro2imaciones sucesivas

5e em%ie*a %or un anlisis somero9 de alto ni&el9 identificando r%idamente lo mscrtico2 acti&os de gran &alor9 &ulnerabilidades manifiestas o9 sim%lemente9recomendaciones de libro de teKto %or)ue no Day nada ms %rudente )ue a%render encabe*a a>ena9 a%ro&ecDando la eK%eriencia de los dems.

... Proteccin b'sica!

Es frecuente or Dablar de medidas bsicas de %roteccin /baseline# )ue

deberan im%lantarse en todos los sistemas9 sal&o )ue se demuestre )ue no son%ertinentes a algn caso %articular.


47/58

Para a%licar un tratamiento bsico se re)uiere un catlogo de sal&aguardas.EKisten numerosas fuentes9 entre las )ue cabe destacar2

L ormas internacionales9 %or e>em%lo 4"5 ;G00;8L ormas sectorialesL ormas cor%orati&as9 es%ecialmente frecuentes en %e)ueas delegaciones

de grandes organi*acionesas &enta>as de %rotegerse %or catlogo son2L es muy r%idoL cuesta menos esfuer*o )ue %onerse a anali*ar y decidir

L 5e logra un ni&el Domog(neo con otras organi*aciones %arecidas

A)#,e 1. G'osa"#o

Ciferentes autores u organi*aciones definen los mismos t(rminos de diferentes formasy maneras.

A1.1. T"m#os e esao'

A,e%a,#/ )e' "#e$o : Cecisin informada a fa&or de tomar un riesgo

A,"e)#%a,#/: Accin de facultar a un sistema o red de informacin %ara )ue%rocese da?tos sensibles9 determinando el grado en el )ue el diseo y lamateriali*acin de dicDo sistema cum%le los re)uerimientos de seguridadt(cnica %reestablecidos.

A,%#o: Comoe%e o funcionalidad de un sistema de informacinsusce%tible de ser atacado deliberada o accidentalmente con consecuencias


48/58

%ara la organi*acin. "ncluye2 informacin9 datos9 ser&icios9 a%licacionessoft are$9 e)ui%os Dard`are$9 comunicaciones9 recursos administrati&os9recursos fsicos y recursos Dumanos.

Amea!a : #ausa %otencial de un incidente )ue %uede causar daos a unsistema de informacin o a una organi*acin

A,e%a,#/ )e' "#es$o :Cecisin informada a fa&or de tomar un riesgo

A@'#s#s )e #ma,%o: Estudio de las consecuencias )ue tendra una %aradade F tiem%o sobre la rgani*acin .

A%a?&e : "ntento de destruir9 eK%oner9 alterar o inDabilitar un sistema deinformacin o la informacin )ue el sistema mane>a9 o &iolar alguna %oltica desegu?ridad de alguna otra manera.

A&)#%o"#a )e se$&"#)a) : Estudio y eKamen inde%endiente del Distorial yacti&idades de un sistema de informacin9 con la finalidad de com%robar laidoneidad de los controles del sistema9 asegurar su conformidad con la

estructura de seguridad y %rocedimientos o%erati&os establecidos9 a fin dedetectar brecDas en la seguridad y recomendar cambios en los %rocedimientos9controles y es?tructuras de seguridad.

A&%e%#,#)a) Pro%iedad o caracterstica consistente en )ue una entidad es)uien dice ser o bien )ue garanti*a la fuente de la )ue %roceden los datos.

Co+#)e,#a'#)a): Pro%iedad o caracterstica consistente en )ue lainformacin ni se %one a dis?%osicin ni se re&ela a indi&iduos9 entidades o%rocesos no autori*ados .

A,e%a,#/ )e "#es$o:Cecisin informada a fa&or de tomar un riesgo.

De,'a"a,#/ )e a'#,a#'#)a) :Cocumento formal en el )ue9 %ara un con>untode sal&aguardas9 se indica sin son de a%licacin en el sistema de informacinba>o estudio o si9 %or el contrario9 carecen de sentido

De$"a)a,#/: P(rdida de &alor de un acti&o como consecuencia de lamateriali*acin de una amena*a.

D#mes#/ )e se$&"#)a): -n as%ecto9 diferenciado de otros %osiblesas%ectos9 res%ecto del )ue se %uede medir el &alor de un acti&o en elsentidodel %er>uicio )ue causara su %(rdida de &alor

D#so##'#)a) :Aseguramiento de )ue los usuarios autori*ados tienen acceso

cuando lo re)uieran a la informacin y sus acti&os asociados

Ima,%o "es#)&a' : "m%acto remanente en el sistema tras la im%lantacin delas sal&aguardas determinadas en el %lan de seguridad de la informacin

I,#)e%e )e se$&"#)a): 5uceso ines%erado o no deseado$ conconsecuencias en detrimento de la seguridad del sistema de informacin.

Maa )e "#es$o: I+o"me:1elacin de las amena*as a )ue estn eK%uestoslos acti&os.


49/58

Mo)e'o )e a'o": "nforme2 #aracteri*acin del &alor )ue re%resentan losacti&os %ara la rgani*acin as como de las de%endencias entre los diferentesacti&os.

P'a )e se$&"#)a): Co>&%o de %royectos de seguridad )ue %ermiten

materiali*ar las decisiones de gestin de riesgos.

P"oa#'#)a): Probabilidad /li4eli(ood# J Posibilidad de )ue un DecDo se%rodu*ca.

P"o7e,%o )e se$&"#)a):Agru%acin de tareas orientadas a tratar el riesgo delsistema.

R#es$o A,&m&'a)o:Ccese del calculado tomando en consideracin el &alor%ro%io de un acti&o y el &alor de los acti&os )ue de%ende de (l

R#es$os o%e,#a'es.os riesgos del sistema de informacin en la Di%tesisde )ue no Dubieran sal&aguardas %resentes.

R#es$o Res#)&a'2 1iesgo remanente en el sistema des%u(s del tratamientodel riesgo.

Se$&"#)a) )e 'a #+o"ma,#/ : #onfian*aen )ue los sistemas de informacinestn libres y eKentos de todo %eligro o dao inace%tables

S#s%ema )e #+o"ma,#/ 2 os ordenadores y redes de comunicacioneselectrnicas9 as como los datos electrnicos almacenados9 %rocesados9recu%erados o transmitidos %or los mismos %ara su o%eracin9 uso9 %roteccin

y mantenimiento .

T"a!a#'#)a): Aseguramiento de )ue en todo momento se %odr determinar)ui(n Di*o )u( y en )u( momento .

Va'o": Ce un acti&o. Es una estimacin del coste inducido %or la materiali*acinde una amena*a.

Va'o" a,&m&'a)o: #onsidera tanto el &alor %ro%io de un acti&o como el &alorde los acti&os )ue de%enden de (l.

V&'e"a#'#)a): Cefecto o debilidad en el diseo9 im%lementacin u o%eracinde un sistema )ue Dabilita o facilita la materiali*acin de una amena*a.

A1.2. T"m#os a$'osa>oes :,re&e diccionario ingl(s?es%aol de t(rminos Dabituales en anlisis y gestin deriesgos2

A,"/#mosALE Annual oss EK%ectancyARO Annual 1ate of ccurrence

IA ,usiness "m%act AnalysisGRC /o&ernance9 1is Management9 and


50/58


51/58

5e a%unta cierta normati&a legal9 nacional e internacional9 rele&ante al caso delanlisis y gestin de riesgos9 bien %or eKigirlo9 bien %or sustentarlo9 bien %or ser deutilidad en el Proceso de /estin de 1iesgos.

5e Dan incluido algunas referencias a acuerdos de carcter %oltico o de otranaturale*a a los cuales con&iene tambi(n %restar atencin. Por e>em%lo9 las /uas dela #CE.

A3.1. Se$&"#)a) e e' @m#%o )e 'a A)m##s%"a,#/ e'e,%"/#,aA3.2. P"o%e,,#/ )e )a%os )e ,a"@,%e" e"soa'A3.3. F#"ma e'e,%"/#,aA3.0. I+o"ma,#/ ,'as#+#,a)aA3.. Se$&"#)a) )e 'as "e)es 7 )e 'a #+o"ma,#/

A)#,e 0. Ma",o )e ea'&a,#/ 7 ,e"%#+#,a,#/a com%le>idad de los sistemas de informacin conlle&a un gran esfuer*o %aradeterminar la calidad de las medidas de seguridad de )ue se Da dotado y la confian*a)ue merecen. Es frecuente la a%aricin de terceras %artes )ue de forma inde%endienteemiten >uicios sobre dicDos as%ectos9 >uicios )ue se emiten tras una e&aluacinrigurosa y )ue se %lasman en un documento reconocido.En este ca%tulo se re%asan someramente dos marcos en los )ue se Da formali*ado el%roceso de e&aluacin y certificacin o registro$2L En los sistemas de gestin de la seguridad de la informacinL En los %roductos de seguridad

A0.1. S#s%emas )e $es%#/ )e 'a se$&"#)a) )e 'a #+o"ma,#/ (SGSI*5e define sistema de gestinB %ara gestionar sus %rocesos o acti&idades9 de forma

)ue los %roductos )ue fabrica o los ser&icios )ue %resta satisfagan los ob>eti&os )ue la%ro%ia organi*acinL satisfacer la calidad demandada %or los clientesL cum%lir con las obligaciones legales9 regulatorias y contractuales

os sistemas de gestin deben a>ustarse al llamado ciclo de Cenning PC#A$9 Dabitualen sistemas de gestin de la calidad2

A0.1.1. La ,e"%#+#,a,#/

#ertificar un sistema de gestin de la seguridad consiste en )ue alguien9 eKterno a la

rgani*acin y acreditado %ara la tarea9 afirma )ue Da auditado el sistema y lo


52/58

considera a>ustado a la norma corres%ondiente. En el caso )ue nos ocu%a9 la normaes la -E?"5T"E# ;G00+2;00G.

El )ue certifica com%romete en ello su %alabra %or escrito$. #on todas las cautelas dealcance y tiem%o )ue se consideren o%ortunas y se reco>an eK%lcitamente$. sabiendo )ue lo )ue se ase?gura Doy9 Day )ue re&isarlo a medio %la*o %ues todoe&oluciona.Para obtener un certificado Day )ue seguir una serie de formalismos. 5in entrar eneKcesi&o detalle nos centraremos en )u( e&ala el e)ui%o )ue en&a el organismo decertificacin a >u*gar a la rgani*acin.

Antes de )ue &enga el e)ui%o e&aluador9 Day )ue tener una foto del estado de riesgode la rgani*acin. Es decir9 )ue Day )ue Dacer un anlisis de riesgos identificandoacti&os9 &alorndolos9 identificando y &alorando las amena*as significati&as. En este%roceso se determina )u( sal&aguardas re)uiere el sistema y con )u( calidad.

El e)ui%o e&aluador ins%ecciona el sistema de informacin )ue se desea certificar

contrastndolo con una referencia reconocida )ue %ermita ob>eti&ar la e&aluacin a finde e&itar cual)uier ti%o de arbitrariedad o sub>eti&idad y %ermitir la utili*acin uni&ersalde las certificaciones emitidas. 5e utili*a un es)uema de certificacinB en el caso )uenos ocu%a9 la norma -E?"5T"E# ;G00+2;00G$.

A0.1.2. La a,"e)#%a,#/ )e 'a e%#)a) ,e"%#+#,a)o"aa credibilidad del certificado es la confian*a )ue mere*ca el certificador. O#mo seconstruye esta confian*a\

-n com%onente esencial es la credibilidad del es)uema de certificacin. -n segundocom%onente es la credibilidad de la organi*acin )ue emite los certificados. Esta

organi*acin es res%onsable de la com%etencia del e)ui%o e&aluador y de la e>ecucindel %roceso de e&aluacin. Para certificar )ue estas res%onsabilidades se cum%len se%rocede al llamado %roceso de acreditacinB donde una nue&a organi*acin e&ala ale&aluador.

A0.1.3. Te"m#o'o$a5e recogen a continuacin los t(rminos usados en las acti&idades de certificacin desistemas de informacin9 tal y como se entienden en este conteKto.

A,"e)#%a,#/: #uando un rganismo autori*ado reconoce formalmente )ueuna organi*acin es com%etente %ara la reali*acin de una determinadaacti&idad de e&aluacin de la conformidad.

A&)#%o"a: er e&aluacinB. Ce"%#+#,a,#/: El ob>eti&o es declarar %blicamente )ue un %roducto9 %roceso

o ser&icio es conforme con re)uisitos establecidosB.Do,&me%o )e ,e"%#+#,a,#/ (o "e$#s%"o*: Cocumento )ue afirma )ue el5/5"$ de una organi*acin es conforme a la normati&a de referencia ada%tadaa la singularidad de la organi*acin certificada.

Do,&me%o )e se'e,,#/ )e ,o%"o'es:Cescribe los ob>eti&os de control y loscontroles rele&antes y a%licables al 5/5"$ de la organi*acin. [ste documentodebe estar basado en los resultados y conclusiones del %roceso de anlisis ygestin de riesgos.

Es?&ema )e ,e"%#+#,a,#/: Marco t(cnico y administrati&o )ue establece lareferencia de traba>o


53/58

Ea'&a,#/: #on>unto de acti&idades )ue %ermiten determinar si laorgani*acin satisface los criterios a%licables dentro del es)uema decertificacin.

O"$a#smo )e ,e"%#+#,a,#/ (o "e$#s%"o*:certifica o registra$ la satisfaccin%or la organi*acin de los re)uisitos establecidos en el es)uema de

certificacin.O"$a#smos )e ea'&a,#/ )e 'a ,o+o"m#)a): 5on los encargados dee&aluar y reali*ar una declaracin ob>eti&a de )ue los ser&icios y %roductoscum%len unos re)uisitos es%ecficos.

S#s%ema )e $es%#/: recursos )ue utili*a una organi*acin %ara alcan*ar5/5"$

S#s%ema )e $es%#/ )e 'a se$&"#)a) )e 'a #+o"ma,#/: basado en losriesgos %ara el negocio9 establece9 im%lementa9 o%era9 monitori*a9 re&isa9mantiene y me>ora la seguridad de la informacin.Po'%#,a )e se$&"#)a): #on>unto de normas reguladoras9 reglas dentro de unaorgani*acin.

A0.2. C"#%e"#os ,om&es )e ea'&a,#/ (CC*

El ob>eti&o es es%ecificar sin ambigedad )u( se necesita %or %arte del com%rador y)u( se ofrece %or %arte del &endedor9 de forma )ue no Daya malentendidos sino unes)uema trans%arente de e&aluacin9 garanti*ando la ob>eti&idad de las ad)uisiciones.

os ## %ermiten2 definir las funciones de seguridad de los %roductos y sistemas en tecnologas

de la informacin$ y determinar los criterios %ara e&aluar la calidad de dicDas funciones.

Es esencial la %osibilidad )ue los ## abren %ara )ue la e&aluacin sea ob>eti&a y%ueda reali*arse %or una tercera %arte ni %or el %ro&eedor9 ni %or el usuario$ de forma)ue la eleccin de sal&a?guardas adecuadas se &ea notablemente sim%lificada %aralas organi*aciones )ue necesitan mitigar sus riesgos.

a e&aluacin de un sistema es la base %ara su certificacin. Para certificar esnecesario dis%oner de

+. unos criterios9 )ue definen el significado de los elementos )ue se &an a e&aluar;. una metodologa9 )ue mar)ue cmo se lle&a a cabo la e&aluacin

3. un es)uema de certificacin3G )ue fi>e el marco administrati&o y regulatorio ba>o el)ue se reali*a la certificacin


54/58

Cado )ue la calidad de la seguridad re)uerida de un sistema no es siem%re la misma9sino )ue de%ende de %ara )u( se )uiera em%lear9 ## establece una escala de ni&elesde aseguramiento362

EA02 sin garantas

EAL1: %robado funcionalmente

EAL2: %robado estructuralmente

EAL3: %robado y cDe)ueado metdicamente

EAL0: diseado9 %robado y re&isado metdicamente

EAL: diseado y %robado semiformalmente

EAL5: diseado9 %robado y &erificado semiformalmente

EAL6: diseado9 %robado y &erificado formalmente

A0.2.1. ee+#,#a"#os

os ## se dirigen a una am%lia audiencia de %otenciales beneficiarios de laformali*acin de los conce%tos y elementos de e&aluacin2 los consumidores usuariosde %roductos de seguridad$9 los desarrolladores y los e&aluadores. -n lengua>e comnentre todos ellos se traduce en &enta>as a%reciables2

Para los consumidores Para los desarrolladores Para los e&aluadores Para todo el mundo

#uando un anlisis de riesgos eK%one la relacin de sal&aguardas adecuadas9 estas%ueden &enir eK%resadas en terminologa ##9 lo )ue %ermite engar*ar con las&enta>as citadas9 con&irti(ndose en una es%ecificacin normali*ada.

A0.2.2. Re?s#%os )e se$&"#)a)


55/58

Cado un sistema se %ueden determinar9 a tra&(s de un anlisis de riesgos9 )u(sal&aguardas se re)uieren y con )u( calidad.

A0.2.3. C"ea,#/ )e e"+#'es )e "o%e,,#/ a generacin de un PP o un 5! esbsicamente un %roceso de anlisis de riesgos donde el analista9 Dabiendo

determinado el dominio del anlisis el !E en terminologa de ##$9 identificaamena*as y determina9 a tra&(s de los indicadores de im%acto y riesgo9 lassal&aguardas )ue se re)uieren. En la terminologa de ##9 las sal&aguardas re)ueridasse d

resumen magerit v3 libro1 método es nipo

Documents

Libro1 (Autoguardado)

ANÁLISIS DE MAGERIT Y PILAR - uvadoc.uva.es

El libro1 (1)

Libro1 diagnostico

Tema6 libro1 opt

libro1 schopenhauer

Ejemplo y Resumen Magerit

AQTC - Libro1

ingles libro1

CORO MAGERIT (MADRID)

Magerit III - Libro_i_metodo

Seguiremos Siendo Amigos Libro1

Libro1..jueves 18

Libro1 TIEMPOS INGLES

Libro1 excel datos costera

libro1 - Fundación FIEL › libros › libro1.pdf · 2019-03-19 · Title: libro1.pdf Author: usuariomac Created Date: 7/23/2015 2:53:35 PM

Informatica 1-libro1

Libro1 EJERCICIOS

resumen magerit

Auditoria y Centro de Computo magerit

Seguiremos siendo-amigos libro1

Ejercicio en Clases Libro1

Libro1 (2)

Libro1 Evelyn

Libro1.xlsx matttt

Catalogo Magerit

Día del libro1

Libro1 Iepa Mayo

Libro1 (1)

Libro1 tutorial

2008 LIBRO1 cap5 - Red Sudamericana...Title 2008 LIBRO1 cap5 Author Adriana Cardoso Subject 2008 LIBRO1 cap5 Created Date 4/18/2008 10:43:37 AM

Libro1 expgalileo

Libro1 david guzmán

Libro1 - copia.xlsx

Libro1 diferencias de medias.xlsx