2. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
OBJETIVOS ESPECIFICOS
Las complicaciones por los cibercimenes
Conocimiento de las fases de la seguridad de la información.
3. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN.
2.4.1. Marco normativo. Esquema Nacional de Seguridad y directiva NIS: Directiva (UE) 2016/1148 relativa a
las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de
información en la Unión. Ámbito de aplicación, objetivos, elementos principales, principios básicos y
requisitos mínimos.
2.4.2. Ciberseguridad y gobierno de la seguridad de la información. Generalidades, Misión, gobierno efectivo
de la Seguridad de la Información (SI). Conceptos de SI. Alcance. Métricas del gobierno de la SI. Estado de la
SI. Estrategia de SI.
2.4.3. Puesta en práctica de la seguridad de la información. Seguridad desde el diseño y por defecto. El ciclo
de vida de los Sistemas de Información. Integración de la seguridad y la privacidad en el ciclo de vida. El
control de calidad de los SI.
4. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.1. MARCO NORMATIVO
Desde el 2010 se ha incluido el Esquema Nacional de Seguridad (ENS) en el ordenamiento jurídico español, este es
un molde que se aplica en el Sector Público para la protección de información y los servicios prestados, es un
mecanismo de certificación de sistemas de información.
El ENS tiene como primera referencia la derogada Ley 11/2007 y se mantiene aun en el Real Decreto 3/2010 donde
se desarrolló lo esperado sobre la seguridad de la información en el Art. 156 de la Ley 40/2015, de Régimen Jurídico
del Sector Público (LRJSP), que dice:
«El ENS tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos …, y está
constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la
información tratada. Será aplicado por las Administraciones públicas para asegurar el acceso, integridad,
disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y
servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias».
5. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.1. MARCO NORMATIVO
Para la realización del ENS han colaborado todas las administraciones públicas. Su administración esta delegada al
Ministerio de Hacienda y Función Pública y al Centro Criptológico Nacional (CNN), esta entidad esta adscrita al
Centro Nacional de Inteligencia, del Ministerio de la Presidencia.
Las medidas que se deban implantar en caso de tratamientos de datos de carácter personas están incluidas en
Esquema Nacional de Seguridad para evitar su perdida, alteración o acceso no autorizad, adaptando los criterios de
determinación de rasgos a lo establecido por el RGPD.
Directiva NIS: Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de
seguridad de las redes y sistemas de información en la Unión. Esta Directiva ya se encuentra en vigor, publicada
en el Diario Oficial de la Unió Europea el 19 de julio de 2016.
6. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.1. MARCO NORMATIVO
Las redes sociales y sistema de información tienen un papel importante en la sociedad por ello su fiabilidad y
seguridad es esencial para actividades económicas y sociales, y en particular para el funcionamiento del mercado
interior.
Según Jean-Claude Juncker, En 2016 ocasionaron más de 4.000 ataques al día con programas de secuestro de
archivos o incidentes de ciberseguridad en el 80% de las empresas europeas. (http://europa.eu/rapid/press-).
“un planteamiento global en la Unión que integre requisitos mínimos comunes en materia de
desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos
comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios
digitales.”
Esto se les debe de aplicar a los operadores de servicios esenciales como proveedores de
servicios digitales, excepto a las empresas que obrecen redes públicas de comunicaciones o
prestan servicios de comunicación electrónica disponible para el público, ni a los prestadores de
servicios de confianza definidos en el Reglamento (UE) n.º 910/2014 que ya cuentan con
normas específicas.
OBJETIVO
ÁMBITO DE
APLICACIÓN
7. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.1. MARCO NORMATIVO
Identificación de los operadores de servicios esenciales
La Directiva establece la necesidad de crear una lista de operadores de servicios esenciales.
Medidas establecidas por la Directiva
a) Obligar a todos los Estados miembros adoptar una estrategia nacional de seguridad de las redes y sistemas de
información.
b) Crear un Grupo de cooperación que apoye y facilite la cooperación estratégica y el intercambio de información
entre los Estados miembros para desarrollar la confianza y seguridad de ellos.
c) Crear una red de equipos para respuestas de incidencia de seguridad informática, con el objetivo de contribuir
al desarrollo de seguridad y confianza entre los Estados miembros y desarrollar una cooperación operativa
rápida y eficaz.
d) Poner requisitos en notificación y materia de seguridad por los operadores de servicios esenciales y para los
proveedores de servicios digitales.
8. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.1. MARCO NORMATIVO
Cuando la conformidad con lo dispuesto en la legislación nacional que resulte de aplicación,
notifiquen incidentes de seguridad, las autoridades públicas competentes, equipos de respuesta a
emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT),
proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y
servicios de seguridad, podrán tratar los datos de carácter personal contenidos en las notificaciones,
durante el tiempo necesario, además de hacer un análisis y un uso de las medidas de seguridad
adecuadas y proporcionadas al nivel de riesgo determinado.
Notificación obligatoria de incidentes.
Están obligados a comunicar los incidentes que hayan sufrido todos los operadores de servicios
esenciales, la notificación deberá de ser lo antes posible a la autoridad competente o al CIRT («red de
CSIRT», por sus siglas en inglés de «computer security incident response teams»). Estos dos últimos
informaron al resto de Estados.
9. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.1. MARCO NORMATIVO
Sanciones.
«Los Estados miembros establecerán el régimen de sanciones aplicables en caso de incumplimiento de las
disposiciones nacionales aprobadas al amparo de la presente Directiva y adoptarán todas las medidas
necesarias para garantizar su aplicación. Tales sanciones serán efectivas, proporcionadas y disuasorias.»
El cibercrimen es una realidad y los responsables del tratamiento de los datos debe asumir la debida sensibilidad
respecto a los datos que se le han sido confiados.
Los ciberdelicuentes, usan ataques donde les permita ganar dinero fácil y de forma
asegurada.
Los ataque mas efectivos y con mayor perjuicio, han sido ocasionados por
falta de formación, personal interno, denegación de servicios y ataques
basados en la Web, esta responsabilidad recae directamente en las
organizaciones.
10. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.1. MARCO NORMATIVO
Sanciones.
En 2016, destaco el ataquemos que hizo caer durasen horas Spotify y Twitter, una filtración de datos de Yahoo que
afectó a mil millones de usuarios, la divulgación de datos personales de usuarios del portal web Ashley Madison, y el
hacking de correos electrónicos de las elecciones presidenciales de EE.UU.
En 2017, hubo más de 150 millones de ataques, esto afecto sobretodo a las empresas, ocasiono una perdida
económica de alrededor de tres billones de dólares en el mundo.
Malware. Este tipo de ataques ha creció hasta un 40% en el segundo
trimestre del año 2017.
Ransomware, (troyano). WannaCry, que ha afectado a más de 150
países, causando pérdidas que alcanzan los cuatro mil millones de
dólares, como los posteriores Petya/GoldenEye.
DDoS (ataque de denegación de servicio). Este tipo de ataques han
sido realizados por redes de bots. Ordenadores zombies que actúan
como robots informáticos que se ejecutan de manera autónoma y
automática.
11. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.1. MARCO NORMATIVO
Sanciones.
España se sitúa en el número 16 de los países con más ataques, el país que recibe más ataques es EEUU.
Después de una perdida importante de archivos, las compañías únicamente recuperan un 40% de su
funcionamiento y tres de cuatro compañías recuperan sus archivos.
Por ello es esencial garantizar a integridad, confidencialidad, autenticidad
y capacidad de recuperarla.
12. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.1. MARCO NORMATIVO
Sanciones.
En la Sociedad de la Información, se asocian intimaste las disciplinas informática y jurídica, denominado
<<Jurismática>>. Esta es una disciplina que trabaja sobre la Seguridad de la Información en el mundo digital,
encargándose de la protección de información (a nivel jurídico)
Atiende a las bases y principios del RGPD;
13. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.2. CIBERSEGURIDAD Y GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN
Disciplina que protege los activos de información en sistemas interconectados.
La norma ISO 27001 define activo de información como los conocimientos o datos que tienen valor para una
organización,
La cibereguridad se centra en la seguridad técnica, defiende y protege el hardware, redes, software, infraestructura
tecnológica o servicios de ataques y accesos indebidos. Sobre todo cuando se incluyen actividades de seguridad
relacionadas con la información que manejan las personas, seguridad física, cumplimiento o concientización nos
referimos a seguridad de la información.
Hay que diferencia entre:
● La seguridad de la información : busca proteger la información de riesgos que puedan afectarla, en sus
diferentes formas y estados.
● La ciberseguridad: se enfoca principalmente en la información en formato digital y los sistemas interconectados
que la procesan, almacenan o transmiten, por lo que tiene un mayor acercamiento con la seguridad informática.
14. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.2. CIBERSEGURIDAD Y GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN
Misión, y gobierno efectivo de la Seguridad de la Información (SI)
La seguridad de la información se consigue con un sistema de gestión y un gobierno efectivo. El gobierno es una
parte integrante y transparente del gobierno global de las organizaciones, cuyo fin es tener continuidad en sus
negocios.
Según Julia Allen, autora de la Guía de CERT (Computer Emergency Response Team), en su tratado “The cert guide to
system and network security practices”:
“Gobernar para la seguridad de u na empresa significa ver una seguridad adecuada como un requerimiento no
negociable de permanecer en el negocio. Para lograr una capacidad sustentable, las organizaciones deben hacer
que la seguridad de la empresa sea responsabilidad de los niveles directrices”
.
15. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.2. CIBERSEGURIDAD Y GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN
El cumplimiento de las condiciones variables del entorno (legalidad, adaptación dinámica y puntual), la protección
adecuada de los objetivos de negocio para asegurar un máximo aprovechamiento y beneficio de las nuevas
oportunidades de negocio tiene que tener en cuenta un SGSI, ya que es una herramienta útil y ayuda a la gestión de
la organización.
Concepto de Seguridad de la Información.
Se espera que el gerente de seguridad de la información tenga asimilado varios conceptos básicos, para que pueda
llevar a cabo la implantación de un gobierno efectivo y que observe de manera conjunta las funciones que se
requiere.
• Confidencialidad: proteger la información dentro de los ámbitos de conocimientos definidos y autorizados.
• Integridad: conservar la información tal cual, es decir, que no se modifique sin autorización.
• Disponibilidad: Accesibilidad y utilización de la información y de los sistemas de tratamiento de la misma por
parte de los individuos, entidades o procesos autorizados cuando lo requieran.
16. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.2. CIBERSEGURIDAD Y GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN
Además de manejar:
El gerente de seguridad de la información debe conocer las tecnologías de seguridad:
Auditabilidad – Autorización – Identificación – Autenticación - No repudio - Gestión de riesgos –
Exposiciones – Amenazas –Vulnerabilidades – Impacto – Criticidad – Sensibilidad – Controles –
Contramedidas – Políticas – Estándares – Procedimientos - Clasificación de ataques, etc.
Firewalls
Administración de cuentas de usuarios
Sistema antivirus
Herramientas anti spam
Sistemas de identificación (biometría, tarjetas
de proximidad y otros)
Encriptación
Accesos remotos seguros
Firma digital
Redes privadas virtuales
Análisis forense
Tecnologías de monitoreo
17. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.2. CIBERSEGURIDAD Y GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN
Se tienen que proteger los activos de información, que aunque parezca simple, se tiene que tener cuidado con dos
factores:
1. Los activos de información deben darse a conocer con un nivel alto de precisión, y esto no ocurre normalmente
en las organizaciones.
2. Se debe conocer el significado de proteger un activo de información, es más complejo determinar que activos
necesitan protección, cuánta y contra qué.
No se puede garantizar un plena protección, ni teniendo un presupuesto, pero aun así no se deja de trabajar para
conseguir la máxima protección. Pero la gestión de seguridad garantiza que los riesgos de la seguridad de la
información sean conocidos, gestionados, minimazados y asumidos por la organización de manera documentada
estructurada, sistemática, repetíble, eficiente y adaptativa a los cambios tanto ya sean de entorno o tecnológico.
Para conseguir la máxima seguridad deben participar todos los integrantes de la organización, desde la gerencia
hasta los clientes y proveedores de bienes y servicios.
18. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.2. CIBERSEGURIDAD Y GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN
Métricas del gobierno de la SI.
Los siguientes estándares internacionales son las mejores prácticas en materia de seguridad de la información.
ISO/IEC 27001
Elaborada para constituir un sistema o modelo para la implementación, operación, seguimiento,
revisión, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la
información.
ISO/IEC 27002 Gestión de la seguridad de la información; complementa y amplía de la anterior, aportando los
requisitos para la implantación de aquélla.
ISO/IEC 27004
Guías para el desarrollo y uso de medidas y mediciones, con el objetivo de evaluar la efectividad de
un sistema de gestión de seguridad de la información.
ISO/IEC 27005
Directrices para la gestión de riesgos de la Seguridad de la Información en una organización en
apoyo a la aplicación de los requisitos planteados en la ISO/ IEC 2700
19. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.2. CIBERSEGURIDAD Y GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN
Estado de la SI .
El gobierno SI realiza evaluaciones periódicas para gestionar los activos de información correctamente. Realizando
periódicamente análisis de riesgo y revisar políticas.
Se debe de saber que la seguridad de los activos de información entra en el ciclo de vida de los sistemas, desde el
control, la protección y la prevención de estos, garantizando la continuidad de la organización en el negocio.
Estrategia de SI
Kenneth Andrews en su obra “El concepto de estrategia corporativa” (Andrews, 1997) define de esta manera la
estrategia de SI:
“La estrategia corporativa es el patrón de decisiones en una compañía que determina y revela sus objetivos,
propósitos y metas, genera sus políticas y planes para alcanzar sus objetivos, define su alcance en materia de
Seguridad de la Información, el tipo de organización con que va a estructurarse y la naturaleza de contribución
que aportará a la organización toda.”
20. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.2. CIBERSEGURIDAD Y GOBIERNO DE LA SEGURIDAD DE LA
INFORMACIÓN
Los objetivo para definir una estrategia son:
Alineación estratégica a la organización.
Eficaz administración de riesgos.
Entrega de valor.
Administración de recursos.
Medición del desempeño.
Mejora continua.
21. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.3. PUESTA EN PRÁCTICA DE LA SEGURIDAD DE LA INFROMACIÓN
Situación
Actual
Gestión
Documenta
l SGSI
Gestión de
Riesgos
Proyectos
Seguridad
PTR
Auditoria y
Seguimiento del
SGSI
Entregables del
Proyecto
22. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.3. PUESTA EN PRÁCTICA DE LA SEGURIDAD DE LA INFROMACIÓN
Fase 1: Análisis Situación actual
• Contextualización, detección de riesgos y vulnerabilidad.
• Definir los objetivos del Plan Director de Seguridad. Selección de una metodología reconocida (P.e. ISO/IEC
27001+ISO/IEC 27002).
• Análisis diferencial de la empresa.
Fase 2: Sistema de Gestión Documental:
• Elaboración de la Política de Seguridad.
• Declaración de aplicabilidad y Documentación del SGSI
Fase 3: Análisis de riesgos:
• Elaborar una metodología de análisis de riesgos: identificación y valoración de activos, amenazas,
vulnerabilidad, cálculo del riesgo, nivel de riesgo aceptable y riesgo residual.
23. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.3. PUESTA EN PRÁCTICA DE LA SEGURIDAD DE LA INFROMACIÓN
Fase 4: Propuesta de Proyectos
•Evaluar de proyectos llevados a cabo la Organización.
•Formando parte de los objetivos planteados en el Plan Director, con la cuantificación económica y
temporal.
Fase 5: Auditoría de Cumplimiento en base a la metodología seleccionada (norma).
• Evaluación de controles, madurez y nivel de cumplimiento de la organización.
• La auditoría realizada es como una auditoria interna de seguimiento al SGSI (durante tres mes,
implantando mas o menos el 50% de los controles de seguridad).
24. MÓDULO II. RESPONSABILIDAD ACTIVA.
UNIDAD DIDÁCTICA 2.4. SEGURIDAD DE LA INFROMACIÓN
2.4.3. PUESTA EN PRÁCTICA DE LA SEGURIDAD DE LA INFROMACIÓN
Fase 6 Presentación de Resultados y entrega de Informes.
ISAGXXX, entrega en el proyecto de implementación del SGSI:
• Informe Análisis Diferencial
• Modelo del SGSI mediante el esquema Documental ISO/IEC 27001
• Informes de Gestión de Riesgos (Gestión de Activos, Análisis y evaluación de riesgos, anexos).
• Plan de Tratamiento de riesgos (Iniciativas de Seguridad, Planeación de proyectos de seguridad
de la información, roadmap de proyectos específicos, PESI, anexos).
• Procedimientos, instructivos, guías del SGSI.
• Auditoría de Cumplimiento
• Presentación de resultados del proyecto SGSI. (Presentación, resumen ejecutivo, conclusiones y
lecciones aprendidas del proyecto).