TEMA 2: El ciclo de la

Seguridad
SEGURIDAD
Grado de Ingeniera Informtica en
Sistemas de Informacin

Eloy R. Sanz Tapia

1

ndice
Introduccin
Anlisis de Riesgos
Gestin de Riesgos
Implantacin de controles
Procesos de seguridad
Mtricas y evaluacin
Realimentacin y mejora continua
Sistemas de gestin de seguridad de la
informacin

Introduccin
Medidas de seguridad
o salvaguardas o controles (controlan el riesgo)
preferiremos este ltimo nombre
de ndole tcnica
lgicas: cortafuegos, antivirus...
fsicas: puertas con control de acceso, extintores,
alarmas...

de

ndole organizativa: poltica y normas, formacin y

concienciacin...
Hay muchsimos controles. Elegir unos u otros
depender, entre otras cosas, de los riesgos a los que
est expuesto el sistema a asegurar y de cunto se
quieran (o puedan) reducir estos riesgos

Introduccin
No basta con implantar controles. Se debera

justificar por qu se adoptan,

verificar que se implantan y se mantienen,
verificar si sirven realmente para algo y
mejorarlos

Es decir, una vez implantados, hay que

gestionarlos: mantenerlos, evaluarlos,
mejorarlos, mantenerlos, evaluarlos...
Veremos a continuacin este ciclo de la
seguridad

Introduccin
Una de las muchas representaciones del ciclo
de la seguridad:
Anlisis de
Riesgos

Mejora continua

Mtricas y
evaluacin

Gestin de
Riesgos
Implantacin
de controles

Procesos de
seguridad

Anlisis y gestin de riesgos

El Ciclo comienza realizando un Anlisis de
riesgos, seguido por una Gestin de riesgos
[cao-ar] [enjuto-ar]
Anlisis de riesgos:

Estudiar el sistema para descubrir a qu riesgos (=

mermas en los aspectos de la seguridad) est
sometido o expuesto. Este es el riesgo intrnseco.
Estudiar los controles actualmente en funcionamiento
y evaluar cmo modifican el riesgo intrnseco para
convertirlo en el riesgo actual.

Anlisis y gestin de riesgos

Gestin de riesgos
Trazar un plan para gestionar los riesgos actuales,
aplicando nuevos controles o mejorando los existentes
Esos controles minimizarn el riesgo, hasta un nivel
aceptable...
... pero no cero! Esto es imposible o
econmicamente imposible
Todo control debe estar sujeto a un anlisis costebeneficio: cunto cuesta frente a cunto riesgo elimina

Anlisis y gestin de riesgos

Tenemos entonces tres escenarios de riesgos:

Potencial, o intrnseco, o inherente o crudo: lo que

habra sin controles
Actual: lo que hay con los controles actuales
Deseado: lo que queremos obtener tras implantar los
nuevos controles
Inf.

Deseado

Actual

Intrnseco

Anlisis de riesgos
Terminologa

Anlisis de riesgos

El sistema de informacin consta de una serie

de activos
Estos activos tienen propietarios que les
asignan un valor (en funcin de su criticidad e
importancia)

Anlisis de riesgos
En funcin de su naturaleza cada activo est
sometido a diferentes amenazas:

el hardware, por ejemplo, est sometido a amenazas

fsicas (fuego, averas, humedad, vandalismo...)
el software, sin embargo, est sometido a fallos de
diseo, mala configuracin, explotacin de
vulnerabilidades...
el personal a coaccin, enfermedad, fallos humanos,
extorsin, ingeniera social...

Esas amenazas pueden tener origen en el

entorno o en personas (y en este caso pueden
ser accidentales o intencionadas)

Anlisis de riesgos

Activos: elementos del sistema de informacin

que son de importancia para la organizacin y,
por tanto, han de ser protegidos (en uno o
varios de los aspectos de seguridad vistos
anteriormente)
Hardware / Software / Informacin / Personal / Procesos de
negocio / Prestigio

Anlisis de riesgos
Valoracin:
en un anlisis de riesgos cuantitativo, cada activo tiene
un valor econmico.
No es el valor de compra. Es la estimacin de prdida
econmica si la seguridad del activo se deteriora
completamente (en el aspecto que sea).
Difcil asignar ese valor, sobre todo en mbitos como la
Administracin Pblica
En un anlisis de riesgos cualitativo se hace una
estimacin por niveles de la importancia del activo

Anlisis de riesgos
Mapa de riesgos

Anlisis de riesgos
Para cada amenaza a la que est expuesto un
activo con valor V se estima
(A) Degradacin: porcentaje de V que se pierde si la
amenaza se materializa. En A.R. complejos se puede
calcular para cada aspecto. Ej.: si el servidor se quema,
la degradacin es 100%.
Esta degradacin, al aplicarse sobre el valor del activo, causa
un impacto. Es una prdida (econmica si es un A.R.
cuantitativo) causada por la ocurrencia de un incidente. El
impacto ser mayor cuanto mayor sea el valor del activo.

Anlisis de riesgos
Para cada amenaza a la que est expuesto un
activo con valor V se estima
(B) Frecuencia con la que se pueden producir las
materializaciones de la amenaza. Normalmente,
ocurrencias/ao. Suele haber valores escalonados
Esta frecuencia, multiplicada por el impacto de una ocurrencia,
permite estimar la...
ALE: annual loss expectancy, esperanza de prdida anual

... pero eso es hilar demasiado fino...

Lo que se estima es el riesgo (cantidad econmica en A.R.
cuantitativo o nivel de riesgo en A.R. cualitativo)

Anlisis de riesgos

Al final:
Riesgo total: sumatorio para cada amenaza posible
sobre cada activo del sistema
Mapa de riesgos: detalle de los riesgos en forma de
tabla, para cada activo

Anlisis de riesgos
Ejemplo: (A.R. cuant. / A.R. cualit.)

Servidor web: valor (100.000 / Muy alto)

Amenaza 1: Denegacin de Servicio
Degradacin (en disponibilidad): 75%
Impacto: 75.000 / Muy Alto
Frecuencia (se trata de un servidor pblico y muy
conocido): 10 (= aprox. una al mes) / alta
Riesgo asociado a la amenaza 1: 750.000/ao / Muy
alto-una barbaridad

Amenaza 2: ...

...

Otro

activo:

Amenaza 1:...

Anlisis de riesgos

Una vez tenemos el riesgo intrnseco del

sistema, se estudian los controles en vigor para
obtener el escenario actual.
Si ese riesgo es aceptable, fin del proceso.
En caso contrario, se pasa a la fase de gestin
de riesgos para gestionarlo.

Gestin de riesgos
Gestin de riesgos

Gestin de riesgos

Los riesgos no se eliminan. Se gestionan

Gestin implica algo ms dinmico y continuo: los
riesgos no son estticos, al igual que el sistema de
informacin no lo es.
La gestin implica planificacin, ejecucin,
comprobaciones y mejora cclicamente.

Gestin de riesgos
Para gestionar los riesgos se implantan
controles o salvaguardas (o tambin medidas de
seguridad)
Pueden ser tcnicos (lgicos: cortafuegos, antivirus,
VPNs...; o fsicos: sistemas de alimentacin
ininterrumpida, circuitos cerrados de televisin...)
U organizativos (poltica de seguridad, formacin,
procedimientos formales...)

Gestin de riesgos
Para reducir el riesgo se puede...

Prevenir: reducir la frecuencia de materializacin de

las amenazas. Ej.: sistemas de prevencin de
intrusiones (IPS)
Ocurre menos veces, pero cuando ocurre causa el
mismo dao
Mitigar: reducir el impacto de las amenazas. Ej.:
sistemas de copia de seguridad
Ocurre con igual frecuencia, pero causa menos
dao
Transferir: contratar seguros, externalizar
determinadas operaciones...

Gestin de riesgos
La cuarta opcin, ya que todo el riesgo debe
gestionarse, es
Aceptar el riesgo. La alta direccin deber conocerlo y
aprobarlo. Se convierte en riesgo residual

El tratamiento debe equilibrar coste / beneficio

Metodologas [met-ar]:

MAGERIT v2 [magerit]
CRAMM
Octave

Implantacin de controles
Como parte de la gestin de riesgos se
seleccionan controles a implantar (o mejoras
para los ya implantados).
Cmo seleccionarlos?

Guas de buenas prcticas: estndares o normas que

definen a alto nivel los controles ms comunes
ISO 27002 (antiguo ISO17799) -- Carcter
internacional. Acompaa a la norma ISO 27001,
que veremos luego
NIST-800 53: National Institute of Standards and
Technology (EEUU) -- Serie 800: seguridad -Norma 53: Recommended Security Controls for
Federal Information Systems [nist53]

Implantacin de controles

Cmo seleccionarlos?

Obligacin legal o regulatoria: Reglamento de

desarrollo de la LOPD, Ley de Servicios de la
Sociedad de la Informacin, Ley de Firma
Electrnica, Esquema Nacional de Seguridad [ens],
Payment Card Industry -- Data Security Standard...

Implantacin de controles

Tipos de controles (segn la fase en la que

ayuda)
Prevencin / Deteccin / Evaluacin / Contencin
(restringir la expansin o el dao) / Investigacin
(deteccin de la causa del incidente) / Erradicacin /
Recuperacin / Anlisis forense (investigacin a
posteriori)

Implantacin de controles
ISO 27002: dominios, objetivos de control,
controles
11 dominios: Poltica / Organizacin / Gestin Activos /
Personal / Seguridad fsica / Comunicac. y operaciones
/ Control de accesos / Desarrollo, adquisicin y mto. /
Gestin de incidentes / Continuidad / Conformidad legal
En cada dominio hay objetivos de control (metas
deseables)
Para obtener estas metas se proponen controles
[ctl27002]

Procesos de seguridad

No basta con implantar controles (ya sean

medidas tcnicas u organizativas). Eso es algo
esttico.
Hay que envolverlos en procesos de seguridad
que permitan manejarlos.

Procesos de seguridad
Ejemplo: Proceso de gestin de reglas del
cortafuegos
Objetivo
Responsable(s): por nombre o por puesto
Entrada: solicitudes de acceso
Salida: aceptacin/denegacin
Procedimiento: cmo hacerlo. Incluira la evaluacin de si se
acepta o no la solicitud, la ejecucin tcnica de la
modificacin...
Registros: cmo queda constancia de lo que se hizo
Informes: cmo se obtienen estadsticas y medidas

Mtricas y evaluacin

De los procesos hay que sacar registros y, de

estos y de otras fuentes, mediciones (mtricas)
Estas mtricas son nmeros con poco
significado (n de virus detectados, n de
parches de Windows aplicados, n de equipos
Windows, n de reglas de cortafuegos
cambiadas, n de vulnerabilidades detectadas...)

Mtricas y evaluacin
Lo importante es agruparlas en indicadores con
ms sentido (ej: parches/equipos, reglas/n
usuarios), guardar histricos y definir objetivos
(ej: vulnerabilidades/equipo < 3)
Peridicamente se evalan los indicadores
frente a los objetivos.
Todo esto se le puede dar a la Direccin en
bonito en un cuadro de mandos (dashboard)

Mejora continua
A raz de las revisiones peridicas de los
indicadores se plantean (y planean e implantan)
acciones correctivas para mejorar la eficacia de
los controles implantados.
Como un sistema de informacin es algo
dinmico, el anlisis de riesgos y, realmente,
todos los pasos de este ciclo de vida, deben ser
revisados peridicamente.

Gestin de la seguridad

Repetir el ciclo de vida de la Seguridad en el

marco de un sistema de gestin [sgsi]

Alcance: dnde se aplica el sistema de gestin?

Aplicar el ciclo
Documentarlo todo / registrarlo todo
Opcional: solicitar certificacin

Gestin de la seguridad
Norma ISO 27001 [wp27001] [cao-27000]
(Information technology - Security techniques Information security management systems Requirements): estndar certificable que define
un Sistema de Gestin de Seguridad de la
Informacin (SGSI o ISMS).
En Espaa, tambin la 71502 (en recesin)
Certificacin: auditora + evaluacin + sello
Introduccin [27000]

Referencias
[wp27001]
http://es.wikipedia.org/wiki/ISO/IEC_27001
[cao-27000] http://sgsiiso27001.blogspot.com/search/label/serie
%20iso%2027000
[enjuto-ar]
http://secugest.blogspot.com/search/label/Gestio
n%20de%20Riesgos

Referencias

[cao] http://sgsi-iso27001.blogspot.com/
[magerit]
http://administracionelectronica.gob.es/ctt/verPe
stanaGeneral.htm?idIniciativa=184
[nist53]
http://nvlpubs.nist.gov/nistpubs/SpecialPublicatio
ns/NIST.SP.800-53r4.pdf

Referencias

[ctl27002]
http://www.iso27000.es/download/ControlesISO
27002-2005.pdf
[ens]
http://www.boe.es/boe/dias/2010/01/29/pdfs/BO
E-A-2010-1330.pdf

Referencias
Lecturas
[sgsi]
http://www.iso27000.es/download/doc_sgsi_all.pdf
[met-ar]
http://secugest.blogspot.com/2008/11/metodologias-deanalisis-de-riesgos.html
[cao-ar] http://sgsi-iso27001.blogspot.com/2008/10/laimportancia-del-anlisis-del-riesgo.html
[27000] ISO/IEC 27000:2009:
http://standards.iso.org/ittf/PubliclyAvailableStandards/c
056891_ISO_IEC_27000_2012%28E%29.zip