Back

Resumen de Temas y Conceptos Clave sobre Sistemas de Gestión de Seguridad de la Información (SGSI)

Este documento resume los temas y conceptos más importantes extraídos de la clase, haciendo énfasis en la seguridad de la información y los Sistemas de Gestión de Seguridad de la Información (SGSI).

  • Seguridad de la información: La preservación de la información desde el punto de vista de su confidencialidad, integridad y disponibilidad.
    • Confidencialidad: La información no se divulga a personas no autorizadas.
    • Integridad: La información es exacta y completa.
    • Disponibilidad: La información es accesible y utilizable por las entidades autorizadas.
  • Principios de la seguridad: La seguridad de la información es un proceso integral, dinámico, gobernado y gestionado.
    • Integral: Abarca controles técnicos, organizativos y de seguridad física.
    • Dinámico: Se adapta a los cambios del contexto interno y externo.
    • Gobernado y Gestionado: Define estrategias, objetivos, acciones y responsabilidades para su cumplimiento.
  • Problemas: Falta de concienciación y formación del personal, falta de involucramiento de la dirección, seguridad vista como un gasto, ausencia de políticas y procedimientos, desconocimiento de los activos de información.
  • Ventajas: Adecuación a la legislación, implantación de un SGSI, auditorías internas y externas, garantía para proveedores y clientes, servicios confiables, respuesta ante contingencias, competitividad, imagen y reputación de marca.
  • Incidencia: Interrupción o reducción en la calidad de un servicio que aún no ha tenido impacto en el servicio.
  • Incidente de seguridad de la información: Evento que ha causado un impacto negativo en la seguridad de la información.
  • Activos: Elementos de valor para la organización, tangibles (personas, hardware, software) o intangibles (información, reputación).
  • Proceso de negocio: Serie de tareas realizadas para lograr un objetivo de la organización.
  • Amenaza: Causa potencial de un incidente no deseado que puede resultar en daños.
  • Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una amenaza.
  • Riesgo: Efecto de la incertidumbre en los objetivos de seguridad, probabilidad de que las amenazas exploten las vulnerabilidades.
  • Tipos de Amenazas: Desastres naturales, de origen industrial, errores y fallos no intencionados, ataques intencionados.
  • Controles de Seguridad: Medidas que detectan, detienen o reducen el impacto de una amenaza. Tipos: preventivos, de protección, detectivos, correctivos.
  • Metodologías de Análisis de Riesgos: MAGERIT, OCTAVE, CRAMM, NIST.
  • Análisis de Riesgos Cuantitativo vs Cualitativo: Cuantitativo usa valores numéricos, cualitativo usa descriptores (bajo, medio, alto).
  • Gestión de Riesgos: Actividades para dirigir y controlar una organización con respecto al riesgo.
  • Tratamiento del Riesgo: ¿Que podemos hacer con un riesgo? aceptarlo, transferirlo, mitigarlo, eliminarlo.
  • Riesgo Intrínsico (RI): Riesgo sin controles implementados.
  • Riesgo Efectivo (RE): Riesgo con controles implementados.
  • Identificación de procesos clave: Procesos de negocio y servicios clave.
  • Identificación de activos: Tangibles e intangibles.
  • Valoración de activos: Confidencialidad, integridad, disponibilidad (cuantitativa o cualitativa).
  • Identificación de amenazas: Internas/externas, naturales/industriales, deliberadas/no deliberadas.
  • Valoración de amenazas: Probabilidad de ocurrencia.
  • Valoración de impacto: Consecuencias de la materialización de la amenaza.
  • Cálculo del riesgo: Probabilidad de amenaza x Impacto.
  • Tratamiento del riesgo: Selección e implementación de medidas de seguridad, declaración de aplicabilidad (SOA), medición de eficacia.

Las políticas de seguridad establecen las intenciones y la visión de la organización en relación a la seguridad de la información. Son la base para un SGSI.

Son las intenciones y la visión de la organización expresadas formalmente por la alta dirección en relación con la seguridad de la información. Deben ser escritas, aprobadas, publicadas, comunicadas y revisadas.

  • Definición de la seguridad de la información.
  • Principios de la seguridad de la información (confidencialidad, integridad, disponibilidad).
  • Objetivos de la seguridad de la información.
  • Responsabilidades para el tratamiento de desviaciones y excepciones.
  • Asignación de responsabilidades generales y específicas en la gestión de la seguridad de la información.

La política debe ser revisada periódicamente y siempre que haya cambios significativos para asegurar su adecuación y eficacia.

Conjunto de documentos que establecen las normas, procedimientos y directrices para la gestión de la seguridad de la información.

Se compone de diferentes niveles de abstracción:

  • Nivel más alto: Directrices generales (¿Qué?)
  • Nivel intermedio: Normas y procedimientos (¿Cómo?)
  • Nivel más bajo: Procedimientos técnicos detallados (¿Cómo técnico?)

Aborda temas como clasificación de la información, control de acceso, seguridad física, uso adecuado de activos, copias de seguridad, protección contra malware, gestión de vulnerabilidades, seguridad de las comunicaciones, privacidad, etc.

Portada, índice, introducción, objetivo, vocabulario, contexto, alcance, cuerpo principal, responsabilidad por incumplimiento, revisión, registro de versiones.

Proceso para obtener evidencias y evaluar objetivamente el cumplimiento de los criterios de seguridad establecidos.

Se verifica que cada documento del cuerpo normativo esté escrito, aprobado, publicado, comunicado, revisado, implantado y sea eficaz.

  • Seguridad Informática vs Seguridad de la Información: La seguridad informática se centra en las tecnologías, mientras que la seguridad de la información abarca todos los activos de información.
  • Metodología: El SGSI se basa en una metodología cíclica de planificación, implementación, revisión y mejora.
  • Beneficios: Reduce riesgos, protege la información, mejora la imagen, cumple con la legislación.

Las organizaciones dependen cada vez más de la tecnología y deben asegurar la continuidad del negocio.

Normativas: RGPD, LOPD, ISO 27001, ENS, etc.

ISO 27001: Estándar internacional para los SGSI. Metodología MAGERIT: Metodología española para el análisis y gestión de riesgos.

Fases: Definición del alcance, análisis de riesgos, diseño e implantación de controles, revisión y mejora.

COBIT: Marco de gobierno y gestión de las tecnologías de la información.

Plan de Continuidad del Negocio (PCN): Estrategia para mantener la operatividad ante incidentes graves.

Certificación ISO 27001: Demuestra el cumplimiento del estándar y la madurez del SGSI. Fases: Solicitud, auditoría documental, auditoría in situ, emisión del certificado.