INDICE

Sistema de Gestin de Seguridad (SGSI) ....................................................................................................................2 Qu es un SGSI? ....................................................................................................................................................2 Para qu sirve un SGSI? ........................................................................................................................................3 Qu incluye un SGSI? ............................................................................................................................................4 Documentos de Nivel 1 ......................................................................................................................................4 Documentos de Nivel 2 ......................................................................................................................................4 Documentos de Nivel 3 ......................................................................................................................................4 Documentos de Nivel 4 ......................................................................................................................................4 Control de la documentacin .............................................................................................................................5 Cmo se implementa un SGSI? ..............................................................................................................................6 Plan: Establecer el SGSI ......................................................................................................................................6 Identificar los riesgos:.........................................................................................................................................7 Analizar y evaluar los riesgos:.............................................................................................................................7 Do: Implementar y utilizar el SGSI ......................................................................................................................8 Check: Monitorizar y revisar el SGSI ...................................................................................................................8 Act: Mantener y mejorar el SGSI ........................................................................................................................9 MODELO DE MADUREZ ........................................................................................................................................... 10 PARA QUE SIRVE EL MODELO DE MADUREZ? ................................................................................................... 10 Algunos Modelos ................................................................................................................................................. 11 COBIT MATURITY MODEL .................................................................................................................................... 11 Nivel 0 (Inexistente): ....................................................................................................................................... 11 Nivel 1 (Inicial): ................................................................................................................................................ 11 Nivel 2 (Repetible): .......................................................................................................................................... 11 Nivel 3 (Definido): ............................................................................................................................................ 12 Nivel 4 (Gestionado): ....................................................................................................................................... 12 Nivel 5 (Optimizado): ....................................................................................................................................... 12 Bibliografa............................................................................................................................................................... 13

Sistema de Gestin de Seguridad (SGSI)

El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central sobre el que se construye ISO 27001. La gestin de la seguridad de la informacin debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la organizacin. Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propsito de un sistema de gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas.

Qu es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls, siglas de Information Security Management System. Se entiende por informacin todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organizacin o de fuentes externas) o de la fecha de elaboracin. La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la informacin: Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso.

Pgina 2

Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

Para qu sirve un SGSI?

La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organizacin. La confidencialidad, integridad y disponibilidad de informacin sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos. Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cada vez ms elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos crticos de informacin a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informticos, el hacking o los ataques de denegacin de servicio son algunos ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organizacin o aquellos provocados accidentalmente por catstrofes naturales y fallos tcnicos. El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por s mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la organizacin, con la gerencia al frente, tomando en consideracin tambin a clientes y proveedores de bienes y servicios. El modelo de gestin de la seguridad debe contemplar unos procedimientos adecuados y la planificacin e implantacin de controles de seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los mismos. El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir. Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Pgina 3

Qu incluye un SGSI?
En el mbito de la gestin de la calidad segn ISO 9001, siempre se ha mostrado grficamente la documentacin del sistema como una pirmide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestin de la Seguridad de la Informacin basado en ISO 27001 de la siguiente forma:

Documentos de Nivel 1
Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI.

Documentos de Nivel 2
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin.

Documentos de Nivel 3
Instrucciones, checklists y formularios: documentos que describen cmo se realizan las tareas y las actividades especficas relacionadas con la seguridad de la informacin.

Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o tareas concretas). Poltica y objetivos de seguridad: documento de contenido genrico que establece el compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin.

Pgina 4

Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI. Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de informacin contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables. Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a los activos de informacin de la organizacin. Plan de tratamiento de riesgos: documento que identifica las acciones de la direccin, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc. Procedimientos documentados: todos los necesarios para asegurar la planificacin, operacin y control de los procesos de seguridad de la informacin, as como para la medida de la eficacia de los controles implantados. Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.

Control de la documentacin
Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestin necesarias para: - Aprobar documentos apropiados antes de su emisin. - Revisar y actualizar documentos cuando sea necesario y renovar su validez. - Garantizar que los cambios y el estado actual de revisin de los documentos estn identificados. - Garantizar que las versiones relevantes de documentos vigentes estn disponibles en los lugares de empleo. - Garantizar que los documentos se mantienen legibles y fcilmente identificables. - Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables segn su clasificacin. - Garantizar que los documentos procedentes del exterior estn identificados. - Garantizar que la distribucin de documentos est controlada. - Prevenir la utilizacin de documentos obsoletos.

Pgina 5

Aplicar la identificacin apropiada a documentos que son retenidos con algn propsito.

Cmo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.

Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI.

Plan: Establecer el SGSI

Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. Definir una poltica de seguridad que: - incluya el marco general y los objetivos de seguridad de la informacin de la organizacin; - considere requerimientos legales o contractuales relativos a la seguridad de la informacin; - est alineada con el contexto estratgico de gestin de riesgos de la organizacin en el que se establecer y mantendr el SGSI; - establezca los criterios con los que se va a evaluar el riesgo; - est aprobada por la direccin. Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los

Pgina 6

resultados obtenidos sean comparables y repetibles (existen numerosas metodologas estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir una propia).

Identificar los riesgos:

identificar los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; identificar las amenazas en relacin a los activos; identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos. evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin; evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; estimar los niveles de riesgo; determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: aplicar controles adecuados; aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos; evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan; transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de outsourcing.

Analizar y evaluar los riesgos:

-

Pgina 7

Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo. Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI. Definir una declaracin de aplicabilidad que incluya: objetivos de control y controles seleccionados y los motivos para su eleccin; objetivos de control y controles que actualmente ya estn implantados; objetivos de control y controles del Anexo A excluidos y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias.

En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO 17799) proporciona una completa gua de implantacin que contiene 133 controles, segn 39 objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO 27001, en su segunda clusula, en trminos de documento indispensable para la aplicacin de este documento y deja abierta la posibilidad de incluir controles adicionales en el caso de que la gua no contemplase todas las necesidades particulares.

Do: Implementar y utilizar el SGSI

Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal. Gestionar las operaciones del SGSI. Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la informacin. Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad.

Check: Monitorizar y revisar el SGSI

La organizacin deber: - Ejecutar procedimientos de monitorizacin y revisin para: - detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin;

Pgina 8

identificar brechas e incidentes de seguridad; ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto; detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores; determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas. Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-. Realizar peridicamente auditoras internas del SGSI en intervalos planificados. Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorizacin y revisin. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.

Act: Mantener y mejorar el SGSI

La organizacin deber regularmente: - Implantar en el SGSI las mejoras identificadas. - Realizar las acciones preventivas y correctivas adecuadas en relacin a la clausula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. - Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. - Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. - PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantacin que ya se lleven a cabo cuando otras de planificacin an no han finalizado; o que se monitoricen controles que an no estn implantados en su totalidad.

Pgina 9

MODELO DE MADUREZ
Es un conjunto estructurado de elementos que describen el nivel de madurez de un ente en un aspecto determinado. Establece un orden claro, discreto y absoluto, definiendo niveles o etapas de madurez. Establece de manera explcita la evolucin de la organizacin.

PARA QUE SIRVE EL MODELO DE MADUREZ?

Medir: dnde estoy hoy? o Autoanlisis Madurez Capacidad o Benchmarking sectorial o Benchmarking nacional / regional / global Definir: dnde debo estar? o Oportunidades de mejora o Alineacin con las estrategias organizacionales Permite planificar los pasos siguientes Permite gestionar la evolucin o Corregir el rumbo si es necesario o Mediciones constantes

Pgina 10

Algunos Modelos
SSE CMM: o Modelo de capacidad y Madurez en la ingeniera de Seguridad de Sistemas. o Es un modelo derivado del CMM o Describe las caractersticas esenciales de los procesos que deben existir en una organizacin para asegurar una buena seguridad de sistemas. o Cuenta con 5 niveles de madurez progresiva: Existente, repetible, persona designada, Documentado, Revisado y Actualizado. o Mide usando cuatro niveles: Inicial En Desarrollo Establecido Gestionado NIST CSEAT (National Institute Of Standards and Technology Computer Security Expert Assit Team): o 5 niveles de madurez progresiva Polticas, procedimientos, Implantacin, Prueba, Integracin CITI ISEM CERT CSO COBIT Maturity Model ISM3 (Information Security Management Maturity Model)

COBIT MATURITY MODEL

Cobit = Control Objetives for Information and related Technologies

Nivel 0 (Inexistente):
Se carece de un proceso, la empresa no ha reconocido la necesidad, es igual a nivel inexistente.

Nivel 1 (Inicial):
Existe evidencia que la empresa ha reconocido la necesidad del PROCESO de seguridad. No existe un proceso estandarizado. Existe un enfoque ad-hoc que se aplica de manera individual.

Nivel 2 (Repetible):
El proceso se encuentra suficientemente desarrollado y distintas personas ejecutan ms o menos los mismos procedimientos. No existe comunicacin formal de los procedimientos y la responsabilidad es individual.

Pgina 11

Conocimiento depende de los individuos y por lo mismo el margen de error es alto.

Nivel 3 (Definido):
El proceso ya esta estandarizado, documentado y difundido a travs de entrenamiento. Se deja a voluntad de los individuos la aplicacin de procedimientos. Los procesos no son sofisticados.

Nivel 4 (Gestionado):
Es posible medir y monitorear la aplicacin de los procedimientos. Es posible tomar acciones correctivas. Los procesos se estn mejorando continuamente. Se tiene herramientas automatizadas que son usadas de manera limitada o fragmentada.

Nivel 5 (Optimizado):
El proceso ha sido de las mejores prcticas. Se basa en resultados de mejoramiento continuo y modelos ms duros de otras organizaciones. Las TICs estn integradas para automatizar los flujos de trabajo. Herramientas que mejoran la calidad y efectividad. Alta capacidad de adaptacin de la empresa.

Pgina 12

Bibliografa
http://www.dsi.uclm.es/asignaturas/42551/trabajosAnteriores/Trabajo_CMM_y_RUP_04.p df http://www.youblisher.com/p/151242-Modelo-de-madurez-COBIT/ http://www.iso27000.es/sgsi.html

Pgina 13