Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SEGURIDAD DE LA INFORMACION.
Un estándar o una norma es una publicación que
recoge el trabajo en común de distintos fabricantes,
usuarios, organizaciones, departamentos de gobierno
y consumidores y que contiene las especificaciones
técnicas y mejores prácticas en la experiencia
profesional con el objeto de ser utilizada como
regulación, guía o definición para las necesidades
demandadas por la sociedad y tecnología
• Gestión de la Seguridad
• 1995-1998 2000 2002 2003 2005 2006 2007……
• BS 7799- P1 ISO/IEC 17799 UNE 17799:2002
• BS 7799- P2 --------------------------- UNE 71502 ISO 27000….
• 2005 familia ISO 27000 (1-2-3-4-5-6)
• 27000(n), 27001(s), 27002 (17799-1)
• Seguridad de Sistemas
• 1991 1998 1999 2002-3
• Cramm x.0 Magerit x. Octave x.0 NIST SP 800-37
• NIST SP 800-53
• NIST SP 800-53A
• Modelos de Madurez
• 1995 2000 - 2001 2002 2003
• SSE-CMM v2 ISO/IEC 21827 SSE – CMM v.3
• CobiT 4ª Edición NIST SP 800-55
La norma ISO/IEC 15408
• Este estándar establece una base técnica
comprensible, común y flexible que:
– Describe los requisitos de seguridad de productos de
las TI:
- Perfil de Protección y Declaración de Seguridad (Parte 1).
- Catálogo de Requisitos Funcionales de Seguridad (Parte 2).
• Las distintas guías están recogidas en una larga lista de publicaciones identificadas bajo
la denominación de la Serie 800 y disponibles para su libre descarga
ANÁLISIS Y GESTIÓN DE RIESGOS. METODOLOGÍAS
• Conocer el riesgo al que están sometidos los distintos Sistemas de Información con que
trabajan las organizaciones, es imprescindible para poder gestionarlos. Es por ello que
han aparecido multitud de guías informales, aproximaciones metódicas y herramientas
de soporte todas las cuales buscan objetivar el análisis para saber cuán seguros (o
inseguros) están y no llamarse a engaño.
Se trata de una guía de consulta. Según el lector avance por las tareas del proyecto, se le
recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una
introducción, así como proporcionar referencias para que el lector profundice en las
técnicas presentadas.
CRAMM
• CCTA Risk Analysis Management Methodology, también conocida como CRAMM, es
una metodología desarrollada en 1985 por la Agencia Central de Computación y
Telecomunicaciones del Gobierno del Reino Unido, que utiliza técnicas cualitativas para
el análisis y gestión de riesgos. La desventaja frente a MAGERIT es que CRAMM no
incorpora la medida de la eficacia de las salvaguardas.
• Cramm puede definirse como una Metodología:
Para el análisis y gestión de riesgos.
Que aplica sus conceptos de una manera formal, disciplinada y estructurada.
Orientada a proteger la confidencialidad, integridad y disponibilidad de un
sistema y de sus activos.
Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y
cualitativas, y por ésto se considera mixta.
• CRAMM se desarrolla en tres etapas distintas, a las que se asocian una serie de
cuestionarios, objetivos y guías
CRAMM
• Cramm contiene una variedad de herramientas para ayudar a evaluar los
resultados de una evaluación de riesgos, incluyendo:
La determinación de la prioridad relativa de los controles
Grabación de los costos estimados de la aplicación de los controles
Cambios de modelación para la evaluación del riesgo, usando "Qué pasaría
si"
Volver de seguimiento a través de la evaluación de riesgos para demostrar
la justificación de controles específicos.
• Supone por tanto, una ampliación del apartado 4.3 de la norma ISO 27001, en el que se
presenta el análisis de riesgos como la piedra angular de un SGSI, y supone una
excelente ayuda para todo aquél que quiera profundizar en el desarrollo práctico de un
proceso de gestión de riesgos de seguridad de la información.
CONTROL INTERNO
• En una primera aproximación, el Control Interno intenta asegurar que las TI estén
alineadas con los objetivos de negocio, que sus recursos sean usados eficiente y
responsablemente, que sus riesgos estén administrados de forma apropiada, que los
estados financieros publicados sean confiables (Sox) y que exista un cumplimiento de
las leyes a las que está sujeta la organización.
• De entre las guías más destacadas y específicas para el Control Interno, destacamos las
relativas a Cobit 4.1, COSO y SOx (Sarbanes-Oxley). Veámoslas.
COBIT V4.1
• COBIT, Control Objectives for Information and Related Technologies (Objetivos de
Control para Tecnología de Información) ayuda a las organizaciones a reducir riesgos en
el manejo de las TI e incrementar el valor derivado de su uso. Las actualizaciones en
COBIT 4.1 incluye avances en la medición del desempeño; mejores objetivos de control;
y una excelente alineación entre objetivos de negocio y de TI.
• Su objetivo principal es identificar los factores que causan informes financieros fraudulentos
y hacer recomendaciones para reducir su incidencia.
• El modelo de control interno que COSO define controles internos, normas y criterios contra
los cuales las organizaciones pueden evaluar sus sistemas de control.
• COSO se puede combinar con CobiT como modelo de control para procesos y gestión TI. COSO
identifica cinco componentes de control interno, que deberán estar integrados para alcanzar
los objetivos de reporte financiero y su divulgación. A la vez, existe una relación estrecha con
CoBIT, puesto que ésta proporciona una guía detallada similar pero para TI.
CONTINUIDAD DE NEGOCIO
• Al igual que en Control Interno, el aspecto de la Continuidad de Negocio también es un
área intrínsecamente relacionada con la seguridad de la información
• En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer,
implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de
gestión de continuidad de negocio documentado en el contexto de la gestión global de
riesgos de una organización. En base a esta norma pueden ser certificados los sistemas
de gestión de continuidad de negocio.
CONTINUIDAD DE NEGOCIO. BS 25777
• Igualmente la BSI publicó en 2006 un documento llamado PAS 77 (PAS = Publicly
Available Specification), que es un código de buenas prácticas que establece un marco y
da unas directrices generales para crear un plan de continuidad de servicios de
tecnologías de la información. Desarrollado por BSI en conjunto con Adam Continuity,
Dell Corporation, Unisys y SunGard, está orientado para organizaciones de todo tipo.