Este documento describe las fases e implementación y control de un modelo de gestión de seguridad de la información. Incluye cinco fases principales: 1) inicio del proyecto, 2) definición del sistema de gestión, 3) gestión del riesgo, 4) formación y concienciación, y 5) mejora continua y control. Cada fase contiene varios pasos detallados para establecer y mantener un sistema de gestión de seguridad de la información efectivo.
1. IMPLANTACIÓN Y CONTROL DE UN MODELO DE GESTIÓN
José Manuel Ballester Fernández IEEE, MBA, CISA, CISM
Director Red Seguridad
Madrid 22 de Febrero 2006
3. REFLEXIÓN INICIAL
EL QUE NO APLIQUE NUEVOS REMEDIOS, DEBE ESPERAR NUEVOS MALES
PORQUE EL TIEMPO ES EL MÁXIMO INNOVADOR
Francis Bacon (1561-1626)
Madrid 22 de Febrero 2006
4. FASES DE IMPLANTACIÓN Y CONTROL
1 - INICIO DE PROYECTO
2 - DEFINICIÓN DEL SISTEMA DE GESTIÓN
3 – GESTIÓN DEL RIESGO
4 - FORMACIÓN Y CONCIENCIACIÓN
5 - MEJORA CONTINUA Y CONTROL
Madrid 22 de Febrero 2006
5. 1 - INICIO DEL PROYECTO
1.1 - APOYO DE LA DIRECCIÓN
1.2 - EQUIPO DE PLANIFICACIÓN DEL PROYECTO
Madrid 22 de Febrero 2006
6. 1.2- EQUIPO DE PLANIFICACIÓN DEL PROYECTO
Madrid 22 de Febrero 2006
7. 2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
META / OBJETIVO COMO PASO INICIAL, SE DEBE TOMAR UNA CLARA DECISIÓN RESPECTO A LAS NORMAS
ALCANCE ¿QUÉ UNIDADES OPERATIVAS Y ACTIVIDADES ESTARÁN CUBIERTAS POR EL ENTORNO DE SEGURIDAD DE LA
INFORMACIÓN? LA RESPUESTA OFRECE UNA CLARA REPRESENTACIÓN DE LAS ACTIVIDADES MÁS
IMPORTANTES DE LA ORGANIZACIÓN.
LÍMITES / LIMITACIONES
LOS LÍMITES DEL ALCANCE DEL SE DEFINEN DE ACUERDO A:
•LAS CARACTERÍSTICAS ESPECÍFICAS DE LA ORGANIZACIÓN
(TAMAÑO, CAMPO DE ACCIÓN, ETC.).
•UBICACIÓN DE LA ORGANIZACIÓN.
•ACTIVOS (INVENTARIO DE TODOS LOS DATOS CRÍTICOS).
•TECNOLOGÍA.
INTERFACES LA ORGANIZACIÓN DEBE TENER EN CUENTA LAS RELACIONES CON OTROS SISTEMAS, OTRAS
ORGANIZACIONES Y PROVEEDORES EXTERNOS.
DEPENDENCIAS ESTOS REQUISITOS PUEDEN SER DE NATURALEZA LEGAL Y/O DE NEGOCIO.
EXCLUSIONES Y JUSTIFICACIÓN
DE ÉSTAS DEBEN ESTAR IDENTIFICADOS Y LAS RAZONES PARA SU EXCLUSIÓN CLARAMENTE JUSTIFICADAS.
CONTEXTO ESTRATÉGICO LAS MEDIDAS DE SEGURIDAD PLANIFICADAS DEBEN TENER EN CUENTA LA POSICIÓN ACTUAL Y FUTURA DE
LA ORGANIZACIÓN PARA ALCANZAR LAS METAS FIJADAS POR LA DIRECCIÓN GENERAL. LA ADQUISICIÓN DE
UNA NUEVA COMPAÑÍA, LA FUSIÓN DE INFRAESTRUCTURAS EXISTENTES O LA DECISIÓN DE CONTRATAR
SISTEMAS DE INFORMACIÓN A UN TERCERO, SON EJEMPLOS DE ESTOS OBJETIVOS.
CONTEXTO ORGANIZATIVO EL ENTORNO ORGANIZATIVO AFECTA A LAS MEDIDAS IMPLANTADAS PARA CONSEGUIR LOS OBJETIVOS DE
CONTROL FIJADOS POR LA DIRECCIÓN. POR EJEMPLO, LAS PROPUESTAS RELATIVAS AL ACCESO REMOTO A
SERVIDORES DE LA COMPAÑÍA PARA EL TELETRABAJO REQUIEREN MEDIDAS DE SEGURIDAD ESPECÍFICAS.
Madrid 22 de Febrero 2006
8. 2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
META / OBJETIVO COMO PASO INICIAL, SE DEBE TOMAR UNA CLARA DECISIÓN
RESPECTO A LAS NORMAS Y ESTANDARES
Madrid 22 de Febrero 2006
9. 2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
ALCANCE ¿QUÉ UNIDADES OPERATIVAS Y ACTIVIDADES ESTARÁN CUBIERTAS
POR EL ENTORNO QUE QUEREMOS IMPLANTAR? LA RESPUESTA
OFRECE UNA REPRESENTACIÓN DE LAS ACTIVIDADES MÁS
IMPORTANTES DE LA ORGANIZACIÓN.
Madrid 22 de Febrero 2006
10. 2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
LÍMITES / LIMITACIONES LOS LÍMITES DEL ALCANCE DEL SE DEFINEN DE ACUERDO A:
• LAS CARACTERÍSTICAS ESPECÍFICAS DE LA ORGANIZACIÓN.
• UBICACIÓN DE LA ORGANIZACIÓN.
• ACTIVOS (INVENTARIO DE TODOS LOS DATOS CRÍTICOS
• TECNOLOGÍA.
Madrid 22 de Febrero 2006
11. 2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
INTERFACES LA ORGANIZACIÓN DEBE TENER EN CUENTA LAS RELACIONES CON
OTROS SISTEMAS, OTRAS ORGANIZACIONES Y PROVEEDORES
EXTERNOS.
Madrid 22 de Febrero 2006
12. 2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
DEPENDENCIAS ESTOS REQUISITOS PUEDEN SER DE NATURALEZA LEGAL Y/O DE NEGOCIO.
Madrid 22 de Febrero 2006
13. 2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
EXCLUSIONES Y
JUSTIFICACIÓN DE DEBEN ESTAR IDENTIFICADOS Y LAS RAZONES PARA SU EXCLUSIÓN
ÉSTAS CLARAMENTE JUSTIFICADAS.
Madrid 22 de Febrero 2006
14. 2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
CONTEXTO LAS MEDIDAS PLANIFICADAS DEBEN TENER EN CUENTA LA POSICIÓN
ESTRATÉGICO ACTUAL Y FUTURA DE LA ORGANIZACIÓN PARA ALCANZAR LAS
METAS FIJADAS POR LA DIRECCIÓN GENERAL. LA ADQUISICIÓN DE
UNA NUEVA COMPAÑÍA, LA FUSIÓN DE INFRAESTRUCTURAS
EXISTENTES O LA DECISIÓN DE CONTRATAR SISTEMAS DE
INFORMACIÓN A UN TERCERO, SON EJEMPLOS DE ESTOS
OBJETIVOS.
Madrid 22 de Febrero 2006
15. 2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
CONTEXTO EL ENTORNO ORGANIZATIVO AFECTA A LAS MEDIDAS IMPLANTADAS
ORGANIZATIVO PARA CONSEGUIR LOS OBJETIVOS DE CONTROL FIJADOS POR LA
DIRECCIÓN. POR EJEMPLO, LAS PROPUESTAS RELATIVAS AL ACCESO
REMOTO A SERVIDORES DE LA COMPAÑÍA PARA EL TELETRABAJO
REQUIEREN MEDIDAS DE SEGURIDAD ESPECÍFICAS.
Madrid 22 de Febrero 2006
16. 3 - GESTIÓN DEL RIESGO
A) ANÁLISIS DE RIESGOS
A.1) ESTRATÉGICO
A.2) TÁCTICO
B) TRATAMIENTO DE RIESGOS
B.1) OPCIONES PARA TRATAMIENTO DE RIESGOS
B.2) IMPLEMENTACIÓN DE CONTROLES
Madrid 22 de Febrero 2006
17. 3.A – ANÁLISIS DEL RIESGO
3.A.1) ESTRATÉGICA
- ENTENDIMIENTO DEL NEGOCIO
- PROCESOS DE NEGOCIO
- ORGANIGRAMA
- RESPONSABLES, ANTE QUIEN REPORTAN LOS ANÁLISIS
- FRECUENCIA DE REVISIÓN
- DIAGNÓSTICO PREVIO DEL GRADO DE CUMPLIMIENTO
- CLASIFICACIÓN DE ACTIVOS
- SISTEMA DE VALORACIÓN
Madrid 22 de Febrero 2006
18. 3.A – ANÁLISIS DEL RIESGO
3.A.2) TÁCTICA
- INVENTARIO DE ACTIVOS
- AGRUPAMIENTO DE ACTIVOS
- SELECCIÓN Y VALORACIÓN DE AMENAZAS POR ACTIVO
- SELECCIÓN Y VALORACIÓN DE VULNERABILIDADES POR AMENAZA
- SELECCIÓN Y VALORACIÓN DE LA PROBABILIDAD DE OCURRENCIA
- CÁLCULO DEL RIESGO
Madrid 22 de Febrero 2006
19. 3.B - TRATAMIENTO DE RIESGOS
3.B.1) OPCIONES PARA TRATAMIENTO DE RIESGOS
- SELECCIÓN DE LOS CONTROLES
- SELECCIÓN DEL NIVEL DE RIESGO ACEPTABLE (RIESGO RESIDUAL)
- PLAN PARA TRATAMIENTO DEL RIESGO
Madrid 22 de Febrero 2006
20. 3.B - TRATAMIENTO DE RIESGOS
3.B.2) IMPLEMENTACIÓN DE CONTROLES
- ADMINISTRATIVOS
- TÉCNICOS O LÓGICOS
- FÍSICOS
Madrid 22 de Febrero 2006
21. 3.B.2 – IMPLEMENTACIÓN DE CONTROLES
CONTROLES COMPONENTES MEDIDAS*
POLÍTICAS, NORMAS, PROCEDIMIENTOS,
GUÍAS DE ACCIÓN, PROCEDIMIENTOS DE
•POLÍTICAS Y PROCEDIMIENTOS. SELECCIÓN DEL PERSONAL,
•SUPERVISIÓN DEL PERSONAL. PROCEDIMIENTOS DE FINALIZACIÓN DE
ADMINISTRATIVOS
•CONCIENCIACIÓN Y FORMACIÓN. CONTRATOS, CLASIFICACIÓN Y ETIQUETADO
•PRUEBAS. DE ACTIVOS, PROGRAMA DE
CONCIENCIACIÓN EN MATERIA DE
SEGURIDAD.
CONTROLES DE ACCESO LÓGICO, CIFRADO,
•ACCESOS AL SISTEMA.
PROGRAMAS ANTIVIRUS, TARJETAS
•ACCESOS A LAS REDES.
INTELIGENTES, PROCEDIMIENTO DE
TÉCNICOS O LÓGICOS •PROTOCOLOS DE CIFRADO.
RELLAMADA, CORTAFUEGOS, ROUTERS,
•ÁREAS DE CONTROL.
SISTEMAS DE DETECCIÓN DE INTRUSIÓN
•AUDITORIA Y VERIFICACIÓN.
(IDS).
PUERTAS, CANDADOS, SISTEMAS DE
•SEPARACIÓN DE REDES.
VIGILANCIA, CONTROLES DEL ENTORNO,
•PERÍMETROS DE SEGURIDAD.
DETECCIÓN DE INTRUSIÓN O MOVIMIENTO,
•AISLAMIENTO DE LAS ÁREAS DE
FÍSICOS ALARMAS, TARJETAS DE IDENTIFICACIÓN,
PRODUCCIÓN.
MEDIDAS BIOMÉTRICAS.
•ORDENADORES DE RESPALDO.
•CABLEADO.
Madrid 22 de Febrero 2006
22. 4 – FORMACIÓN Y CONCIENCIACIÓN
SENSIBLIZACIÓN FORMACIÓN CONCIENCIACIÓN
ATRIBUTO « QUÉ » « CÓMO » « POR QUÉ »
NIVEL INFORMACIÓN CONOCIMIENTO ENTENDIMIENTO
OBJETIVO IDENTIFICAR Y RECONOCER DESARROLLAR LAS ENTENDER POR QUÉ ES
EL OBJETIVO DE LA HABILIDADES PARA IMPORTANTE LA
SEGURIDAD RESOLVER LOS PROBLEMAS SEGURIDAD
DE SEGURIDAD
MÉTODO DE MEDIOS INSTRUCCIONES PRÁCTICAS INSTRUCCIONES TEÓRICAS
APRENDIZAJE -BOLETÍN -DOCUMENTO IMPRESO -DEBATES
-VIDEOS -CASOS EJEMPLO Y CASOS -SEMINARIOS
-PÓSTERS PRÁCTICOS -DOCUMENTOS ESCRITOS
-DOCUMENTO IMPRESO -CONSEJOS Y SOBRE EL TEMA
-CURSOS RECOMENDACIONES -CURSOS
-SEMINARIOS
VERIFICACIONES -COMPRENSIÓN -RESOLUCIÓN DE PROBLEMAS EXAMEN ESCRITO, ENSAYO,
-ENTREVISTAS (APLICAR CUANDO YA SE TRABAJO ESCRITO
-ESTUDIO DE CASOS HAYA APRENDIDO) (INTERPRETACIÓN DE LO
-ACTIVIDADES DE REFUERZO QUE SE HA APRENDIDO)
TIEMPO A CORTO PLAZO A MEDIO PLAZO A LARGO PLAZO
REQUERIDO
Madrid 22 de Febrero 2006
23. 4 – FORMACIÓN Y CONCIENCIACIÓN
DESPUÉS DEL PROGRAMA DE CONCIENCIACIÓN:
• EVALUAR EL NIVEL DE SATISFACCIÓN RESPECTO A LA FORMACIÓN
• EVALUAR EL NIVEL DE LA FORMACIÓN (EVOLUCIÓN)
• ASEGURAR LA TRANSFERENCIA DE CONOCIMIENTO
• ACTUALIZAR SIEMPRE QUE HAYA CAMBIOS Y NUEVOS ELEMENTOS
Madrid 22 de Febrero 2006
24. 5 – MEJORA CONTINUA Y CONTROL
Madrid 22 de Febrero 2006
25. 5 – MEJORA CONTINUA Y CONTROL
A) SEGUIMIENTO Y MEJORA CONTINUA
B) REVISIÓN DE LA GESTIÓN
C) AUDITORIA DEL CONTROL INTERNO
D) MEJORA DE GESTIÓN
Madrid 22 de Febrero 2006
26. 5.A – SEGUIMIENTO
5.A.1) LLEVAR A CABO PROCEDIMIENTOS Y OTROS CONTROLES DE SEGUIMIENTO PARA:
• DETECTAR LOS ERRORES EN LOS RESULTADOS LO ANTES POSIBLE,
• IDENTIFICAR LAS INCIDENCIAS LO ANTES POSIBLE,
• CAPACITAR A LA DIRECCIÓN PARA DETERMINAR SI LAS ACTIVIDADES IMPLEMENTADAS O
DELEGADAS SE ESTÁN LLEVANDO A CABO COMO SE ESPERA,
• DETERMINAR LAS ACCIONES A REALIZAR PARA SOLUCIONAR LAS INCIDENCIAS EN
FUNCIÓN DE LAS PRIORIDADES DEL NEGOCIO
Madrid 22 de Febrero 2006
27. 5.A – SEGUIMIENTO
5.A.2) REALIZAR REVISIONES REGULARES DE LA EFICIENCIA (INCLUYENDO POLÍTICA,
OBJETIVOS Y CONTROLES ) TENIENDO EN CUENTA LOS RESULTADOS DE LAS
AUDITORIAS, INCIDENCIAS, SUGERENCIAS E INFORMACIÓN RECOGIDA DE TODAS
LAS PARTES IMPLICADAS
Madrid 22 de Febrero 2006
28. 5.A – SEGUIMIENTO
5.A.3) REVISAR LOS NIVELES DE ACEPTACIÓN DE RIESGOS Y LOS RIESGOS RESIDUALES,
CONSIDERANDO LOS CAMBIOS EN:
• LA ORGANIZACIÓN.
• LA TECNOLOGÍA.
• LOS OBJETIVOS Y PROCESOS DEL NEGOCIO.
• LAS AMENAZAS IDENTIFICADAS.
• LOS SUCESOS EXTERNOS, COMO CAMBIOS EN LA LEGISLACIÓN
Madrid 22 de Febrero 2006
30. 5.A – SEGUIMIENTO
5.A.5) LLEVAR A CABO UNA REVISIÓN DE LA GESTIÓN DE UNA MANERA PERIÓDICA
(AL MENOS UNA VEZ AL AÑO) PARA GARANTIZAR QUE EL ALCANCE CONTINUA SIENDO
ADECUADO Y QUE LAS MEJORAS EN LOS PROCESOS SE HAN IDENTIFICADO.
FOMENTAR UNA CORRECTA DOCUMENTACIÓN DE LAS REVISIONES DE LA GESTIÓN
Madrid 22 de Febrero 2006
31. 5.A – SEGUIMIENTO
5.A.6) REGISTRAR LAS ACCIONES Y SITUACIONES QUE PUEDEN REPRESENTAR UN IMPACTO
EN LA EFICIENCIA O EL RENDIMIENTO
Madrid 22 de Febrero 2006
32. 5.A) – MEJORA CONTINUA
• IMPLEMENTAR LAS MEJORAS IDENTIFICADAS.
• LLEVAR A CABO LAS ACCIONES CORRECTIVAS Y PREVENTIVAS ADECUADAS.
• APLICAR LAS LECCIONES APRENDIDAS DE LAS EXPERIENCIAS PROPIAS O DE OTRAS ORGANIZACIONES.
• DOCUMENTAR LAS MEJORAS.
• COMUNICAR LOS RESULTADOS Y LAS ACCIONES Y LLEGAR A ACUERDOS CON TODAS LAS PARTES IMPLICADAS.
• GARANTIZAR QUE LAS MEJORAS CONSIGUEN LOS OBJETIVOS PROPUESTOS.
Madrid 22 de Febrero 2006
33. 5.B) – REVISIÓN DE LA GESTIÓN
REVISIÓN DE LAS ENTRADAS
LA ENTRADA PARA LA REVISIÓN DE LA GESTIÓN DEBERÁ INCLUIR INFORMACIÓN SOBRE:
• RESULTADOS DE LAS AUDITORIAS Y REVISIONES.
• FEEDBACK DE LAS PARTES INTERESADAS.
• TÉCNICAS, PRODUCTOS O PROCEDIMIENTOS QUE PODRÍAN UTILIZARSE EN LA
ORGANIZACIÓN PARA MEJORAR LA PLANIFICACIÓN Y EFICACIA.
• ESTADO DE LAS ACCIONES PREVENTIVAS Y CORRECTIVAS.
• VULNERABILIDADES O AMENAZAS NO TRATADAS EN LOS PLANES DE GESTIÓN DEL
RIESGO PREVIOS.
• ACCIONES DE SEGUIMIENTO INDICADAS EN REVISIONES PREVIAS.
• CAMBIOS QUE PODRÍAN AFECTAR.
• RECOMENDACIONES PARA LA MEJORA.
Madrid 22 de Febrero 2006
34. 5.B) – REVISIÓN DE LA GESTIÓN
REVISIÓN DE LA SALIDA
EL RESULTADO DE LA REVISIÓN DE LA GESTIÓN DEBERÁ INCLUIR TODAS LAS DECISIONES Y
ACCIONES RELATIVAS A LO SIGUIENTE:
1) MEJORA DE LA EFECTIVIDAD.
2) MODIFICACIONES DE LOS PROCEDIMIENTOS QUE AFECTEN A LA GESTIÓN CUANDO ESTOS
SEAN NECESARIOS PARA PODER RESPONDER ANTE SUCESOS, TANTO INTERNOS COMO
EXTERNOS.
SE INCLUIRÁN LOS CAMBIOS EN:
• REQUISITOS, DE NEGOCIO.
• REQUISITOS DE SEGURIDAD.
• PROCESOS DE NEGOCIO QUE AFECTEN A LOS REQUISITOS DE NEGOCIO EXISTENTES.
• ENTORNOS LEGALES O NORMATIVOS.
• NIVELES DE RIESGO Y/O NIVELES DE ACEPTABILIDAD DE ÉSTOS.
3) NECESIDADES RELATIVAS A LOS RECURSOS.
Madrid 22 de Febrero 2006
35. 5.C – AUDITORIA DEL CONTROL INTERNO
• CUMPLEN LOS REQUERIMIENTOS DE ESTA NORMA Y LA LEGISLACIÓN
Y NORMATIVA APLICABLE.
• CUMPLEN LOS REQUISITOS IDENTIFICADOS.
• ESTÁN IMPLEMENTADOS Y SON MANTENIDOS EFICIENTEMENTE.
• FUNCIONA DE LA MANERA ESPERADA.
Madrid 22 de Febrero 2006
36. 5.D – MEJORA DE GESTIÓN
ACCIÓN CORRECTIVA
• IDENTIFICAR LAS DEFICIENCIAS DE LA IMPLEMENTACIÓN Y O LA OPERATIVIDAD.
• IDENTIFICAR LAS CAUSAS DE LAS DEFICIENCIAS.
• EVALUAR LA NECESIDAD DE ACCIONES PARA GARANTIZAR QUE LAS DEFICIENCIAS NO
SON RECURRENTES.
• IDENTIFICAR E IMPLEMENTAR LAS ACCIONES CORRECTIVAS NECESARIAS.
• REGISTRAR LOS RESULTADOS DE LAS ACCIONES REALIZADAS .
• REVISAR LAS ACCIONES CORRECTIVAS LLEVADAS A CABO.
Madrid 22 de Febrero 2006
37. 5.D – MEJORA DE GESTIÓN
ACCIÓN PREVENTIVA
• IDENTIFICAR LAS POTENCIALES DEFICIENCIAS Y SUS CAUSAS.
• DETERMINAR E IMPLEMENTAR LAS ACCIONES PREVENTIVAS NECESARIAS.
• REGISTRAR LOS RESULTADOS DE LAS ACCIONES REALIZADAS.
• REVISAR LAS ACCIONES PREVENTIVAS REALIZADAS.
• IDENTIFICAR LOS CAMBIOS EN LOS RIESGOS Y GARANTIZAR QUE SE TIENEN EN CUENTA
Madrid 22 de Febrero 2006
38. 5.D – MEJORA DE GESTIÓN
CONTROL DE REGISTROS
SE ESTABLECERÁN Y MANTENDRÁN LOS REGISTROS PARA
PROPORCIONAR EVIDENCIA DEL CUMPLIMIENTO DE LOS REQUISITOS
Y LA EFICIENCIA OPERATIVA.
Madrid 22 de Febrero 2006
39. REFLEXIÓN FINAL
LAS IDEAS NO DURAN MUCHO. HAY QUE HACER ALGO CON ELLAS
Santiago Ramón y Cajal (1854-1934)
(1854-1934)
Madrid 22 de Febrero 2006
40. MUCHAS GRACIAS
mballester@borrmart.es
Madrid 22 de Febrero 2006
41. Creative Commons
Attribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
Attribution. You must give the original author
credit.
No Derivative Works. You may not alter, transform, or
build upon this work.
For any reuse or distribution, you must make clear to others the license terms
of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs
License. To view a copy of this license, visit
http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.