ESTANDARES, NORMAS Y GUIAS EN

SEGURIDAD DE LA INFORMACION.
Un estándar o una norma es una publicación que
recoge el trabajo en común de distintos fabricantes,
usuarios, organizaciones, departamentos de gobierno
y consumidores y que contiene las especificaciones
técnicas y mejores prácticas en la experiencia
profesional con el objeto de ser utilizada como
regulación, guía o definición para las necesidades
demandadas por la sociedad y tecnología

Los estándares ayudan a aumentar la fiabilidad y

efectividad de materiales, productos, procesos o
servicios que utilizan todas las partes interesadas
(productores, vendedores, compradores, usuarios y
reguladores).
• El mayor exponente en cuanto a Organización que
emite oficialmente dichos estándares es el llamado
ISO (International Organization for Standardization).
Creada en 1947, es una federación internacional no
gubernamental con sede en Ginebra (Suiza), cuyos
miembros son los respectivos Institutos de
Normalización de 157 países.

• ISO garantiza un marco de amplia aceptación

mundial a través de los 3000 grupos técnicos y
50.000 expertos que colaboran en el desarrollo de
normas.
• Por citar algunos de los Institutos nacionales de
normalización y que representan a sus respectivos
países dentro de ISO son:
– en España está AENOR (Asociación Española de
Normalización y Certificación) el cual, desde su vertiente
como Normalizador emite normas UNE, y desde su
vertiente como Certificador opera en el mercado como
cualquier otra entidad privada de certificación, sin
exclusividad alguna.
– en Gran Bretaña está BSI (British Standards Institution),
que emite normas BS,
– en Alemania está DIN (Deutsches Institut fuer Normung),
– en EEUU está ANSI (American National Standards
Institute) y el NIST (National Institute of Standards and
Technology),
– en China está SAC (Standardization Administration of
China).
• Dentro de ISO se estableció un comité técnico
denominado JTC1 (Joint Technical Committee),
creado específicamente para las Tecnologías de la
Información. Y dentro se configuró el subcomité
SC27, encargado del desarrollo de proyectos en
técnicas de seguridad, labor que se realiza a
través de cinco grupos de trabajo (WG1, WG2,
WG3, WG4 y WG5).
• España tiene dicha responsabilidad a través de
AENOR, quien crea para ello el subcomité
AEN/CTN 71/SC "Técnicas de Seguridad -
Tecnología de la Información" y sus
correspondientes grupos de trabajo GT1, GT2,
GT3, GT4 y GT5.
 TEMAS DE SEGURIDAD
• Productos de Seguridad
• 1996 1999
• Common Criteria 1.0 ISO 15408
• Common Criteria 2.1

• Gestión de la Seguridad
• 1995-1998 2000 2002 2003 2005 2006 2007……
• BS 7799- P1 ISO/IEC 17799 UNE 17799:2002
• BS 7799- P2 --------------------------- UNE 71502 ISO 27000….
• 2005 familia ISO 27000 (1-2-3-4-5-6)
• 27000(n), 27001(s), 27002 (17799-1)

• Seguridad de Sistemas
• 1991 1998 1999 2002-3
• Cramm x.0 Magerit x. Octave x.0 NIST SP 800-37
• NIST SP 800-53
• NIST SP 800-53A

• Modelos de Madurez
• 1995 2000 - 2001 2002 2003
• SSE-CMM v2 ISO/IEC 21827 SSE – CMM v.3
• CobiT 4ª Edición NIST SP 800-55
 La norma ISO/IEC 15408
• Este estándar establece una base técnica
comprensible, común y flexible que:
– Describe los requisitos de seguridad de productos de
las TI:
- Perfil de Protección y Declaración de Seguridad (Parte 1).
- Catálogo de Requisitos Funcionales de Seguridad (Parte 2).

– Evalúa características de seguridad de productos TI:

- Catálogo de Requisitos de Garantía (Parte 3), incluyendo
siete niveles de Garantía de Evaluación.
• Es un estándar certificable
 La norma ISO/IEC 15408
• Historia :
Existían el CTCPEC( Canadian Trusted Computer
Product Evaluation Criteria ).El TCSEC (Trusted
Computer System Evaluation Criteria ) libro
naranja de EEUU. El ITSEC ( Information
Tecnology Security Evaluation Criteria) libro
blanco europeo.
Esto dio lugar a que ISO los adoptara como ISO
15408.
 La norma ISO/IEC 15408
Parte1.Introducción y modelo general.

Define los principios y conceptos generales de la evaluación de la seguridad en

tecnologías de la información y presenta el modelo general de evaluación. También
establece cómo se pueden realizar especificaciones formales de sistemas o productos
IT atendiendo a los aspectos de seguridad de la información y su tratamiento.

- Protection Profile (PP): un conjunto de requisitos funcionales y de garantías

independientes de implementación dirigidos a identificar un conjunto determinado
de objetivos de seguridad en un determinado dominio. Especifica de forma general
lo que se desea y necesita respecto a la seguridad de un determinado dominio de
seguridad. Ejemplos podrían ser PP sobre firewalls, PP sobre control de acceso, etc.

- Security Target (ST): un conjunto de requisitos funcionales y de garantías usado

como especificaciones de seguridad de un producto o sistema concreto. Especifica
que requisitos de seguridad proporciona o satisface un producto o sistema, ya
basados en su implementación. Ejemplos podrían ser ST para Oracle v.7, ST para
CheckPoint Firewall-1 etc.
 La norma ISO/IEC 15408
Parte 2. Requisitos Funcionales de Seguridad

Este tipo de requisitos definen un comportamiento deseado en

materia de seguridad de un determinado producto o sistema IT
y se agrupa en clases. Contiene las siguientes clases:
FAU- Auditoria
FCO- Comunicaciones
FCS- Soporte criptográfico
FDP- Protección de datos de usuario
FIA- Identificación y autenticación de usuario
FMT- Gestión de la seguridad
FPR- Privacidad
FPT- Protección de las funciones de seguridad del objetivo a
evaluar
FRU- Utilización de recursos
FTA- Acceso al objetivo de evaluación
FTP- Canales seguros
 La norma ISO/IEC 15408
Parte 3. Requisitos de Garantías de Seguridad

Este tipo de requisitos establecen los niveles de confianza que

ofrecen funciones de seguridad del producto o sistema. Trata de
evaluar que garantías proporciona el producto o sistema en base
a los requisitos que se satisfacen a lo largo del ciclo de vida del
producto o sistema. Contiene las siguientes clases:

ACM- Gestión de la configuración

ADO- Operación y entrega
ADV- Desarrollo
AGD- Documentación y guías
ALC- Ciclo de vida
ATE- Prueba
AVA- Evaluación de vulnerabilidades
APE- Evaluación de perfiles de protección (PP)
ASE- Evaluación de objetivos de seguridad (ST)
AMA- Mantenimiento de garantías
 La norma ISO/IEC 15408
Los niveles de confianza en la evaluación van desde EAL1 (el menor) a EAL 7 (el
mayor) y se definen de forma acumulativa
EAL1 (funcionalidad probada): es aplicable donde se requiere tener cierta confianza
de la operación correcta, y donde además, las amenazas a la seguridad no son vistas
como serias. Una evaluación en este nivel debe proporcionar evidencia de que las
funciones del objeto de evaluación son consistentes con su documentación, y que
proporcionan protección útil contra amenazas identificadas.
EAL2 (estructuralmente probado): requiere la cooperación del desarrollador en
términos de la distribución de la información del diseño, y los resultados de las
pruebas y proporciona confianza a través de un análisis de las funciones de seguridad,
usando una especificación funcional y de interfaz, manuales y diseño de alto nivel del
producto para entender el comportamiento de seguridad. Además, en este nivel se
verifica que el desarrollador realizó un análisis de vulnerabilidades a través de la
ejecución de pruebas de caja negra (black-box).
EAL3 (probado y verificado metódicamente): permite a un desarrollador alcanzar una
máxima garantía de ingeniería de seguridad positiva en el estado de diseño sin la
alteración substancial de prácticas de desarrollo válidas existentes. El análisis en este
nivel se apoya en las pruebas de caja gris (grey box), la confirmación selectiva
independiente de los resultados de las pruebas del desarrollador, y la evidencia de
búsqueda de vulnerabilidades obvias del desarrollador. Además, se realizan controles
del entorno de desarrollo y de gestión de configuración del producto.
 La norma ISO/IEC 15408
EAL4 (diseñado, probado y revisado metódicamente): este nivel le
permite a un desarrollador alcanzar máxima garantía de ingeniería de
seguridad positiva basada en buenas prácticas de desarrollo comercial,
las cuales, aunque rigurosas, no requieren del conocimiento
especializado substancial, destreza, ni otros recursos. En este caso, el
análisis se apoya en el diseño de bajo nivel de los módulos del producto
y se realiza búsqueda de vulnerabilidades independiente de las pruebas
realizadas por el desarrollador. Los controles de desarrollo se apoyan en
un modelo de ciclo de vida de desarrollo, identificación de las
herramientas utilizadas y gestión de configuración automatizada.
EAL5 (diseñado y probado semiformalmente): permite a un desarrollador
alcanzar máxima garantía de ingeniería de seguridad positiva mediante
la aplicación moderada de técnicas de ingeniería de seguridad. La
confianza se apoya, en este caso, en un modelo formal y una
presentación semiformal de la especificación funcional y el diseño de
alto nivel. La búsqueda de vulnerabilidades debe asegurar la resistencia
relativa a los ataques de penetración.
 La norma ISO/IEC 15408
EAL6 (diseño verificado y probado semiformalmente ): permite a los
desarrolladores alcanzar una alta garantía en la aplicación de técnicas de
ingeniería de seguridad para un entorno de desarrollo riguroso y donde el objeto
de evaluación es considerado de gran valor para la protección del alto costo o
estimación de esos bienes contra riesgos significativos. Además, es aplicable para
el desarrollo de objetos de evaluación, destinados a salvaguardar la seguridad
informática en situaciones de alto riesgo donde el valor de los bienes protegidos
justifica los costos adicionales. El análisis en este nivel se apoya en un diseño
modular y en una presentación estructurada de la implementación del producto.
La búsqueda de vulnerabilidades debe mostrar una alta resistencia a los ataques
de penetración.
EAL7 (diseño verificado y probado formalmente): es aplicable al desarrollo de
objetos de evaluación de seguridad, para su aplicación en situaciones de muy alto
riesgo o donde el alto valor de los bienes justifica los más altos costos. La
aplicación práctica del nivel EAL7 está limitada actualmente a objetos de
evaluación con seguridad estrechamente enfocada a la funcionalidad, y que es
sensible al análisis formal y extenso. Este EAL representa un incremento
significativo respecto a la garantía de nivel EAL6 a través del requisito de análisis
de gran amplitud, mediante representaciones formales y correspondencia formal y
pruebas de gran amplitud. Además, el evaluador confirmará de forma
independiente y completa los resultados de las pruebas de caja blanca (White-
box) realizadas por el desarrollador.
 Norma ISO 27001
• La norma BS 7799 de BSI aparece por primera vez en
1995.
– BS 7799-1 es una guía de buenas prácticas, para la que no
se establece un esquema de certificación.
– BS 7799-2 que establece los requisitos de un sistema de
gestión de seguridad de la información (SGSI) para ser
certificable por una entidad independiente.
• Las dos partes de BSI fueron revisadas por ISO y dio
lugar a que:
– la primera parte BS 7799-1 se adoptó por ISO, como ISO
17799 y posteriormente fue renombrada como ISO 27002
– la segunda parte BS 7799-2 se adoptó por ISO, como ISO
27001
 Norma ISO 27001
• Es un estándar ISO que proporciona un modelo
para establecer, implementar, utilizar,
monitorizar, revisar, mantener y mejorar un
Sistema de Gestión de Seguridad de la
Información.
• El propósito de un SGSI no es garantizar la
seguridad -que nunca podrá ser absoluta- sino
garantizar que los riesgos de la seguridad de la
información son conocidos, asumidos,
gestionados y minimizados por la organización.
• Es un estándar certificable.
 Norma ISO 27001
• ISO reserva la serie de numeración 27000 para las normas
relacionadas con sistemas de gestión de seguridad de la
información:
– ISO 27000 (términos y definiciones),
– ISO 27001 (es la norma principal de la serie y contiene los requisitos
del SGSI)
– ISO 27002 (objetivos de control y controles. Es código de buenas
prácticas para la gestión de seguridad de la información),
– ISO 27003 (guía de implantación de un SGSI),
– ISO 27004 (métricas y técnicas de medida de la efectividad de un
SGSI),
– ISO 27005 (guía para la gestión del riesgo de seguridad de la
información)
– ISO 27006 (proceso de acreditación de entidades de certificación y el
registro de SGSIs).
 Norma ISO 27001
• En general protege los activos de información de una
organización, independientemente del soporte que se
encuentren (correos electrónicos, informes, escritos
relevantes, páginas web, imágenes, documentos, hojas de
cálculo, faxes, presentaciones, contratos, registros de
clientes, información confidencial de trabajadores y
colaboradores...).
• Un SGSI implica que la organización ha estudiado los
riesgos a los que está sometida toda su información, ha
evaluado qué nivel de riesgo es asumible, ha implantado
controles (no sólo tecnológicos, sino también
organizativos) para aquellos riesgos que superan dicho
nivel, ha documentado las políticas y procedimientos
relacionados y ha entrado en un proceso continuo de
revisión y mejora de todo el sistema.
 Norma ISO 27001
• El SGSI da así la garantía a la empresa de que los
riesgos que afectan a su información son conocidos
y gestionados. No se debe olvidar, por tanto, que no
hay seguridad total sino seguridad gestionada . Y
además siempre hay que recordar que la seguridad
no es un producto sino un proceso continuo de
mejora.

• Es más apropiado hablar en términos de riesgo

asumible en lugar de seguridad total, ya que no sería
lógico que el gasto en seguridad sea mayor que los
impactos potenciales de los riesgos que pretende
evitar.
 Norma ISO 27001.Gestión de riesgo
• Mediante la gestión del riesgo se identifican, evalúan y corrigen a
niveles razonables y asumibles en coste, todos los riesgos en
seguridad que podrían afectar a la información.
• PDCA son las siglas en inglés del conocido como ciclo de Deming:
Plan-Do-Check-Act (Planificar-Hacer-Verificar-Actuar):
 Norma ISO 27001.Certificación
o Solicitud a la entidad de certificación y toma de datos por parte de la misma.
o Respuesta en forma de oferta por parte de la entidad certificadora.
o Designación de auditores, fechas y establecimiento del plan de auditoría.
o Pre-auditoría opcional: aporta información sobre la situación actual y orienta
mejor sobre las posibilidades de superar la auditoría real.
o Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección,
análisis de riesgos, declaración de aplicabilidad y procedimientos clave.
o Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de
los controles de seguridad y verificación de la efectividad del sistema.
o Certificación: acciones correctivas en caso de no conformidades graves, revisión
y emisión de certificado en caso de informe favorable.
o Auditoría de seguimiento: auditoría semestral o anual de mantenimiento.
o Auditoría de re-certificación: cada tres años, una auditoría de certificación
formal completa.
 LA NORMA 27002. LISTA DE CONTROLES
La norma ISO 27002 se estructura en once secciones que proporcionan un conjunto de
133 controles basados en las medidas de seguridad implantadas actualmente en el Reino
Unido y organizaciones internacionales y ahora norma UNE en España .
Estas son :
Política de seguridad.
Objetivo: Proporcionar directivas y soporte para garantizar la seguridad de la información
Aspectos organizativos de la seguridad de la información.
Infraestructura de la organización.
Objetivo: Gestión de la seguridad de la información en la organización.
Seguridad en el acceso de terceras partes
Objetivo: Mantener la seguridad de los recursos accesibles a terceros
Gestión de activos .
Responsabilidad de los activos
Objetivo: Mantener la protección apropiada de los recursos.
Clasificación de la información.
Objetivo: Asegurar que los recursos de información tienen el adecuado nivel de
protección
Seguridad ligada a los recursos humanos.
Antes del empleo , durante el empleo y al finalizar el mismo.
Objetivo : Asegurar el correo funcionamiento del personal
 LA NORMA 27002. LISTA DE CONTROLES
Seguridad física y ambiental.
Áreas seguras.
Objetivo: Prevención de accesos no autorizados, daños e interferencias.
Seguridad del equipamiento.
Objetivo: Prevención de pérdida, daños o recursos comprometidos e interrupción de la actividad
empresarial
Gestión de comunicaciones y operaciones.
Procedimientos operativos y responsabilidades.
Objetivo: Asegurar la operación correcta y segura de ordenadores y aplicaciones de la red. Se
establecerán responsabilidades y procedimientos para la gestión y operación de todos los ordenadores y
redes.
Gestión de la provisión de servicios por terceros.
0bjetivo: Asegurar que los servicios proporcionados por terceros no tengan fallas de seguridad y
supervisar el control de cambios.
Planificación y aceptación del sistema.
Objetivo: Minimizar el riesgo de fallos del sistema. Se deben realizar proyecciones de crecimiento para
determinar requisitos de capacidad que eviten las sobrecargas.
Protección contra código malicioso descargable.
Objetivo: Salvaguardar la integridad del software y los datos.
Copias de seguridad.
Objetivo: Mantener la integridad y disponibilidad de los sistemas.
 LA NORMA 27002. LISTA DE CONTROLES
Gestión de la seguridad de las redes.
Objetivo: Asegurar la salvaguarda de la información en redes y la protección de la
infraestructura que la soporta. Protección de la información sensible que se
transmite a través de redes públicas.
Manipulación de soportes.
Objetivo: Tratar de los soportes extraíbles y asegurar los procedimientos de
manipulación dela información.
Intercambio de información.
Objetivo: Prevenir la pérdida, modificaciones o mal uso de datos.
Servicios de comercio electrónico.
Objetivo: Asegurar el comercio electrónico, las transacciones en línea y la
información puesta a disposición pública.
Supervisión.
Objetivo: Tiene que ver con el registro de fallos y de auditorías ,la supervisión del
uso del sistema y la protección de registros.
 LA NORMA 27002. LISTA DE CONTROLES
Control de acceso al sistema.
Requisitos (actividad empresarial) de acceso al sistema.
Objetivo: Control del acceso a la información.
Gestión de acceso de usuarios.
Objetivo: Prevenir accesos no autorizados a máquinas.
Responsabilidades de los usuarios.
Objetivos: Prevenir el acceso de los usuarios no autorizados.
Control de acceso a la red.
Objetivo: Protección de los servicios de red.
Control de acceso al sistema operativo.
Objetivo: Prevenir el acceso no autorizado a las máquinas.
Control de acceso a las aplicaciones.
Objetivo: Prevenir el acceso no autorizado a la información contenida en los ordenadores.
Ordenadores portatiles y Teletrabajo.
Objetivo: Detectar actividades no autorizadas.
 LA NORMA 27002. LISTA DE CONTROLES
Adquisición , Desarrollo y Mantenimiento de sistemas.
Requisitos de seguridad de los sistemas.
Objetivo: Asegurar que la seguridad se construye como parte del desarrollo del sistema de
información. Los requisitos de seguridad deben ser especificados y acordados de antes del
desarrollo. Las medidas de seguridad son más baratas efectivas si se incorporan a las
aplicaciones en las fases de especificación y diseño.
Tratamiento correcto de las aplicaciones.
Objetivo: Prevenir la pérdida, modificación o mal uso de los datos de usuario en las
aplicaciones.
Controles Criptográficos.
Objetivo : Establecer la política y la gestión de claves.
Seguridad en los archivos del sistema.
Objetivo: Asegurar que tanto los proyectos como las actividades de soporte son dirigidos de
manera segura.
Seguridad en los procesos de desarrollo y soporte.
Objetivo: Mantener la seguridad de la aplicación y los datos.
 LA NORMA 27002. LISTA DE CONTROLES
Gestión de incidentes en la seguridad de la información.
Notificación de incidentes y puntos débiles.
Gestión de incidentes de seguridad y mejoras.
Gestión de la continuidad del negocio.
Aspectos del plan de continuidad de la actividad empresarial.
Objetivo: Disponer de una planificación que prevenga la interrupción de la
actividad empresarial. Protección a las actividades críticas de los efectos
causados por fallos en la seguridad.
Cumplimiento.
Cumplimiento de los requisitos legales.
Objetivos: Evitar brechas en cualquier obligación estatutaria, criminal o civil y
en cualquier requisito de seguridad.
Revisiones de seguridad de los sistemas de información.
Objetivo: Asegurar la conformidad de los sistemas con la política de seguridad
de la empresa y los estándares adoptados.
Auditorías de sistemas.
Objetivo: Minimizar las interferencias a/desde el proceso de auditoría.
 GUIAS DE SEGURIDAD DE NSA, NIST Y DISA

• El NIST (National Institute of Standards and Technology) fundado en 1901, es un

organismo federal de los EEUU, no regulador que forma parte de la Administración
de Tecnología (Technology Administration) del Departamento de Comercio
(Department of Commerce).

• La NSA (National Security Agency) y DISA (Defense Information Systems Agency),

es una agencia del Gobierno de los Estados Unidos, dependiente del
Departamento de Defensa.

• La misión del NIST, de la NSA y DISA consiste en elaborar y promover guías

relacionadas con la seguridad de la información de interés general, cuyos
contendidos contemplan entre otros aspectos, normas sobre patrones de
medición, normas y tecnología con el fin de incrementar la productividad, facilitar
el comercio y mejorar aspectos generales sobre seguridad de la información
nacional.
 GUIAS DE SEGURIDAD DE NSA, NIST Y DISA
• Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que
cubren múltiples aspectos relacionados con la seguridad de la información y que pueden
servir de apoyo a la hora de desarrollar políticas, procedimientos y controles.

• Las distintas guías están recogidas en una larga lista de publicaciones identificadas bajo
la denominación de la Serie 800 y disponibles para su libre descarga
 ANÁLISIS Y GESTIÓN DE RIESGOS. METODOLOGÍAS

• Conocer el riesgo al que están sometidos los distintos Sistemas de Información con que
trabajan las organizaciones, es imprescindible para poder gestionarlos. Es por ello que
han aparecido multitud de guías informales, aproximaciones metódicas y herramientas
de soporte todas las cuales buscan objetivar el análisis para saber cuán seguros (o
inseguros) están y no llamarse a engaño.

• El gran reto de todas estas aproximaciones es la complejidad del problema al que se

enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y
que, si no se es riguroso, las conclusiones serán de poco fiar.

• En general podemos afirmar que cualquier metodología de análisis de riesgos conlleva

de forma implícita una identificación / inventario de activos, una reflexión sobre el
posible catálogo de amenazas que pueden afectar a los mismos, la medición de su
impacto y probabilidad de ocurrencia, así como una recomendación final sobre las
salvaguardas más apropiadas para minimizar el riesgo.
 MAGERIT
• Es la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información,
promovida por el Ministerio de Administraciones Públicas de España. Persigue una
aproximación metódica que no deje lugar a la improvisación, ni dependa de la
arbitrariedad del analista.

• Esta Metodología, cuya última versión es Magerit vX, cuida especialmente la

uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto
de análisis y gestión de riesgos: modelo de valor, mapa de riesgos, evaluación de
salvaguardas, estado de riesgo, informe de insuficiencias, y plan de seguridad.

• Magerit vX se estructura en tres bloques:

Método
Catálogo de Elementos
Guía de Técnicas
 MAGERIT
• Método
Bloque desde el que se describe la metodología a utilizar:

-Pasos y tareas para realizar un proyecto de análisis y gestión de riesgos, como

definir roles, actividades, hitos y documentación para que la realización del
análisis de riesgos esté bajo control en todo momento.

-Indicaciones a la metodología en la que refuerza que hay que tener en cuenta

los riesgos desde el primer momento, tanto los riesgos a que están
expuestos , como los riesgos que las propias aplicaciones introducen en el
sistema.
 MAGERIT
• Catálogo de Elementos
Se ofrece un catálogo en cuanto a: tipos de activos, dimensiones de valoración de los
activos, criterios de valoración de los activos, amenazas típicas sobre los sistemas de
información y salvaguardas a considerar para proteger los sistemas de información.

El planteamiento que persigue es intentar estandarizar el que un analista pueda adscribir

rápidamente las categorías presentadas y a la vez, homogeneizar los resultados de los
análisis, promoviendo una terminología y unos criterios uniformes que permitan
comparar e incluso integrar análisis realizados por diferentes equipos. Por ejemplo:
utiliza una notación XML para publicar regularmente los elementos en un formato
estándar capaz de ser procesado automáticamente por herramientas de análisis y
gestión.
 MAGERIT
• Guía de Técnicas
Aporta luz adicional y guías sobre algunas técnicas que se emplean habitualmente para
llevar a cabo proyectos de análisis y gestión de riesgos: técnicas específicas para el
análisis de riesgos, análisis mediante tablas, análisis algorítmico, árboles de ataque,
técnicas generales, análisis coste-beneficio, diagramas de flujo de datos, diagramas de
procesos, técnicas gráficas, planificación de proyectos, sesiones de trabajo (entrevistas,
reuniones y presentaciones) y valoración Delphi.

Se trata de una guía de consulta. Según el lector avance por las tareas del proyecto, se le
recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una
introducción, así como proporcionar referencias para que el lector profundice en las
técnicas presentadas.
 CRAMM
• CCTA Risk Analysis Management Methodology, también conocida como CRAMM, es
una metodología desarrollada en 1985 por la Agencia Central de Computación y
Telecomunicaciones del Gobierno del Reino Unido, que utiliza técnicas cualitativas para
el análisis y gestión de riesgos. La desventaja frente a MAGERIT es que CRAMM no
incorpora la medida de la eficacia de las salvaguardas.
• Cramm puede definirse como una Metodología:
Para el análisis y gestión de riesgos.
Que aplica sus conceptos de una manera formal, disciplinada y estructurada.
Orientada a proteger la confidencialidad, integridad y disponibilidad de un
sistema y de sus activos.
Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y
cualitativas, y por ésto se considera mixta.

• CRAMM se desarrolla en tres etapas distintas, a las que se asocian una serie de
cuestionarios, objetivos y guías
 CRAMM
• Cramm contiene una variedad de herramientas para ayudar a evaluar los
resultados de una evaluación de riesgos, incluyendo:
La determinación de la prioridad relativa de los controles
Grabación de los costos estimados de la aplicación de los controles
Cambios de modelación para la evaluación del riesgo, usando "Qué pasaría
si"
Volver de seguimiento a través de la evaluación de riesgos para demostrar
la justificación de controles específicos.

Uno de los principales aspectos de Cramm, es el soporte que proporciona la

herramienta informática que la soporta, con una base de datos de:
Más de 400 tipos de Activos.
Más de 25 tipos de Impacto.
38 tipos de Amenaza.
7 Tipos de medida del Riesgo.
Más de 3500 salvaguardas.
 ISO/IEC 27005:2008
• ISO/IEC 27005 es el estándar ISO de la serie 27000 dedicado a la gestión de riesgos de
seguridad de la información. Publicada bajo el título Information technology - Security
techniques - Information security risk management. Esta norma supone una guía para la
gestión de riesgos de seguridad de la información, de acuerdo con los principios ya
definidos en otras normas de la serie 27000.

• Supone por tanto, una ampliación del apartado 4.3 de la norma ISO 27001, en el que se
presenta el análisis de riesgos como la piedra angular de un SGSI, y supone una
excelente ayuda para todo aquél que quiera profundizar en el desarrollo práctico de un
proceso de gestión de riesgos de seguridad de la información.
 CONTROL INTERNO
• En una primera aproximación, el Control Interno intenta asegurar que las TI estén
alineadas con los objetivos de negocio, que sus recursos sean usados eficiente y
responsablemente, que sus riesgos estén administrados de forma apropiada, que los
estados financieros publicados sean confiables (Sox) y que exista un cumplimiento de
las leyes a las que está sujeta la organización.

• Por tanto, no se trata de un marco o estándar específico de la seguridad de la

información pero, por el impacto que está teniendo en muchas empresas y por sus
implicaciones indirectas que tiene en la seguridad de la información, conviene
mencionarlo en esta sección.

• De entre las guías más destacadas y específicas para el Control Interno, destacamos las
relativas a Cobit 4.1, COSO y SOx (Sarbanes-Oxley). Veámoslas.
 COBIT V4.1
• COBIT, Control Objectives for Information and Related Technologies (Objetivos de
Control para Tecnología de Información) ayuda a las organizaciones a reducir riesgos en
el manejo de las TI e incrementar el valor derivado de su uso. Las actualizaciones en
COBIT 4.1 incluye avances en la medición del desempeño; mejores objetivos de control;
y una excelente alineación entre objetivos de negocio y de TI.

• Es una guía práctica para perfeccionar en las organizaciones el gobierno de TI. El

gobierno entendido como que los sistemas de información deben: mantener la
alineación con la estrategia de la organización, entregar valor, administrar y gestionar los
riesgos, administrar los recursos, medir el rendimiento/desempeño.
 COSO
• El Committee Of Sponsoring Organizations, de la Treadway Commission, es una iniciativa del
sector privado estadounidense formada en 1985, patrocinada y financiada por cinco de las
principales asociaciones e institutos profesionales de contabilidad: American Institute of
Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial
Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of
Management Accountants (IMA).

• Su objetivo principal es identificar los factores que causan informes financieros fraudulentos
y hacer recomendaciones para reducir su incidencia.

• El modelo de control interno que COSO define controles internos, normas y criterios contra
los cuales las organizaciones pueden evaluar sus sistemas de control.

• COSO se puede combinar con CobiT como modelo de control para procesos y gestión TI. COSO
identifica cinco componentes de control interno, que deberán estar integrados para alcanzar
los objetivos de reporte financiero y su divulgación. A la vez, existe una relación estrecha con
CoBIT, puesto que ésta proporciona una guía detallada similar pero para TI.
 CONTINUIDAD DE NEGOCIO
• Al igual que en Control Interno, el aspecto de la Continuidad de Negocio también es un
área intrínsecamente relacionada con la seguridad de la información

• El diseño de planes de continuidad de negocio que minimicen la inactividad de la

organización en caso de cualquier tipo de interrupción, velará directamente por la
propiedad de Disponibilidad de la información. Pero no a cualquier precio. Los
conceptos de Integridad, Confidencialidad y Autenticación deben seguir presentes.
• Hay que tener en cuenta las normas :
BS 25999
BS 25777
 CONTINUIDAD DE NEGOCIO .BS 25999
• La BSI (British Standards Institution) publicó en 2006 BS 25999-1, que es un código de
buenas prácticas dedicado a la gestión de la continuidad de negocio.

• BS 25999-1 establece el proceso por el cual una organización puede desarrollar e

implementar la continuidad de negocio, incluyendo una completa lista de controles
basada en las mejores prácticas de BCM (Business Continuity Management). Está
pensada para su uso por cualquier organización grande, mediana o pequeña, tanto del
sector público como privado.

• En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer,
implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de
gestión de continuidad de negocio documentado en el contexto de la gestión global de
riesgos de una organización. En base a esta norma pueden ser certificados los sistemas
de gestión de continuidad de negocio.
 CONTINUIDAD DE NEGOCIO. BS 25777
• Igualmente la BSI publicó en 2006 un documento llamado PAS 77 (PAS = Publicly
Available Specification), que es un código de buenas prácticas que establece un marco y
da unas directrices generales para crear un plan de continuidad de servicios de
tecnologías de la información. Desarrollado por BSI en conjunto con Adam Continuity,
Dell Corporation, Unisys y SunGard, está orientado para organizaciones de todo tipo.

• BS 25777-1, es un código de buenas prácticas sobre cómo abordar la gestión de la

continuidad de servicios TI en una organización.

• A finales de 2009, se publicaría la segunda parte, BS 25777-2, pero no ha sido publicada