Descripcion-Procesos-de-Seguridad-Informatica

Vista previa del material en texto

BREVE DESCRIPCIÓN DE LOS 
PROCESOS ADMINISTRACIÓN 
DE LA SEGURIDAD (ASI) Y 
OPERACIÓN DE CONTROLES 
DE SEGURIDAD (OPEC) DEL 
MAAGTIC-SI
Ricardo Calderón Cruz
Abril 2016
OBJETIVO DE LA REUNIÓN 
Describir los procesos ASI y OPEC del MAAGTIC-SI, con la finalidad 
de dar a conocer como pueden fortalecer la identificación de 
infraestructura critica, administración de riesgos, el sistema de 
gestión de la información y el funcionamiento de equipos de 
respuesta a incidentes.
AGENDA
1. Introducción
2. Modelo actual de procesos del MAAGTIC-SI
3. Algunos conceptos básicos
4. Descripción del proceso ASI
5. Descripción del Proceso OPEC
6. Relación entre los procesos ASI y OPEC
7. Interacción entre los procesos ASI y OPEC
8. Elementos básicos del SGSI
9. Resumen
INTRODUCCIÓN
Como respuesta al problema cada vez mayor de amenazas en el ciberespacio, el 
Consejo de Seguridad Nacional estableció el Grupo Técnico Intersecretarial 
Especializado en Seguridad de la Información (GTECSI), con el objetivo de 
coordinar los trabajos para el desarrollo de una política general de seguridad 
de la información. Estos trabajos dieron como resultado diversos lineamientos 
generales que el Ejecutivo Federal, acordó incorporar en el Manual 
Administrativo de Aplicación General en materia de Tecnologías de Información y 
Comunicaciones (MAAGTICSI). 
En consecuencia, el 29 de noviembre de 2011 se publicó en el Diario Oficial de 
la Federación (DOF) el "Acuerdo por el que se establecen las disposiciones 
administrativas en materia de tecnologías de la información y comunicaciones, y 
se expide el Manual Administrativo de Aplicación General en esa materia y en la 
de Seguridad de la Información" (MAAGTICSI). 
INTRODUCCIÓN
Los principales productos de los procesos ASÍ y OPEC son el Modelo de
Gobierno de la Seguridad de la Información (MGSI) de la institución y del
Sistema de Gestión de la Seguridad de la Información (SGSI).
ASI
OPEC
MGSI 
y SGSI
INTRODUCCIÓN
El modelo de gobierno para la Seguridad de la Información esta basado en:
Ley de seguridad nacional
Estrategia Digital Nacional
Acuerdos en materia de TIC
MAAGTICSI
Información de la institución
Estrategia de seguridad de la información
Políticas de la Seguridad de la información
MODELO ACTUAL DE PROCESOS 
DEL MAAGTIC-SI
CONCEPTOS BÁSICOS
El Sistema de Gestión de la Seguridad de la Información SGSI
Es una herramienta de gestión que permite conocer, gestionar y minimizar los posibles 
riesgos que atenten contra la seguridad de la información en la empresa.
Activos de información
Son software, sistemas de información, bienes informáticos, soluciones tecnológicas, sus 
componentes, las bases de datos o archivos electrónicos y la información contenida en 
éstos.
Para identificar los activos de información hay que tener en cuenta que estos pueden 
proceder de distintas fuentes de información dentro de la empresa y que pueden 
encontrarse en diferentes soportes, como papel o medios digitales. Además es 
necesario considerar el ciclo de vida de la información ya que, lo que puede ser 
critico para el negocio puede dejar de tener importancia con el tiempo.
CONCEPTOS BÁSICOS
Gestión de Riesgo
La gestión de los riesgos va a permitir preservar la confidencialidad, integridad 
y disponibilidad de la información en el interior y al exterior de la empresa ante 
nuestros clientes y ante distintas partes interesadas en el negocio.
Controles de seguridad
Medios para manejar el riesgo. Estas acciones van a proteger a la institución 
frente a amenazas y riesgos que puedan poner en peligro la continuidad de los 
niveles de competitividad, rentabilidad y conformidad legal necesarios para 
alcanzar los objetivos de negocio. De esta manera, se conseguirá mantener el 
riesgo para nuestra información por debajo del nivel definido por la propia 
institución
CONCEPTOS BÁSICOS
ISO/IEC 27000
Con el fin de proporcionar un marco de gestión de la seguridad de la 
información utilizable por cualquier tipo de organización se creó una familia de 
estándares con el nombre de ISO/IEC 27000. 
Estas normas van a permitir disminuir de forma significativa el impacto de los 
riesgos sin necesidad de realizar grandes inversiones en software y sin contar con 
una gran estructura de personal. 
PROCESO DE ADMINISTRACIÓN 
DE LA SEGURIDAD (ASI)
Objetivo general
Establecer y vigilar los mecanismos que permitan la administración 
de la seguridad de la información de la Institución, así como disminuir 
el impacto de eventos adversos, que potencialmente podrían afectar 
el logro de los objetivos de la Institución o constituir una amenaza 
para la Seguridad Nacional.
Para cumplir con el objetivo, se deberán considerar las siguientes 
actividades:
PROCESO DE ADMINISTRACIÓN 
DE LA SEGURIDAD (ASI)
Designar al RSII Elaborar el 
Catalogo de IC
Diseñar la 
estrategia de SI
Establecer el ETIC Establecer la 
directriz de 
admón. de riesgos
Definir los 
controles para 
proteger la 
activos críticos de 
TIC
Constatar que las 
actualizaciones de 
seguridad se 
apliquen en toda 
la Institución.
Integrar el ETAR
Informar al CISEN 
de su designación
Establecer 
mecanismos de 
protección de la 
IC
Definir el SGSI y 
programa de 
implantación
Identificar
procesos críticos 
de la Institución 
Identificar activos 
a proteger
Documentar los 
controles 
determinados
Obtener el 
desempeño del 
SGSI y definir las 
mejoras 
correspondientes
Identificar 
amenazas y 
vulnerabilidades
Establecer el GESI 
y su operación
Vigilar los 
controles de 
seguridad
Capacitar a la
Institución en 
temas de SI
Identificar 
actividades 
criticas de los 
procesos clave
Identificar y 
evaluar escenarios 
de riesgo.
Elaborar el 
documento de 
mejora del SGSI
Constatar la 
implementación 
del SGSI
Elaborar un 
programa de 
evaluación del 
SGSI
Identificar si los 
procesos críticos 
están vinculados 
con la integridad, 
estabilidad y 
permanencia del 
Edo. Mexicano. 
Elaborar análisis 
costo-beneficio de 
los controles
Comunicar las 
mejoras que se 
van a aplicar.
Elaborar la 
directriz rectora 
de respuesta a 
incidentes (ERISC)
Elaborar docto. 
De resultados del
Análisis de Riesgo
Dar seguimiento a 
las acciones de 
mejora del SGSI
Comunicar al OIC 
cumplimientos al 
SGSI
Seleccionar
controles a 
implementar
Elaborar un 
informe de 
seguimiento a las 
acciones de 
mejora.
Elaborar e 
implementar 
Programa AR 
Establecer
modelo de 
gobierno de SI
Operar y 
mantener
modelo de 
gobierno de SI
Diseño del 
SGSI
Identificar 
Infra. Critica y 
Activos clave
Elaborar el 
Análisis de 
Riesgos
Integrar al 
SGSI controles 
mínimos
Mejorar el 
SGSI
PROCESO DE ADMINISTRACIÓN 
DE LA SEGURIDAD (ASI)
Relación de productos
1. Documento de integración y operación del grupo Estratégico de 
Seguridad de la Información. Formato ASI F1.
2. Catálogo de Infraestructuras Críticas. Formato ASI F2.
3. Documento de resultados del Análisis de Riesgos. Formato ASI 
F3.
4. Documento de definición del SGSI. Formato ASI F4.
5. Directriz rectora de respuesta a incidentes. Formato ASI F5.
PROCESO DE ADMINISTRACIÓN 
DE LA SEGURIDAD (ASI)
Indicador del proceso ASI
Nombre: Cumplimiento del Proceso ASI.
Objetivo: Obtener la eficiencia del proceso en base a su cumplimiento.
Descripción: Medir el cumplimiento en la implementación de los controles 
establecidos durante el proceso.
Fórmula:
% de eficiencia = (controles implementados / controles programados 
para su implementación) X 100.
Responsable: El responsable del proceso ASI
Frecuencia de cálculo: Anual.
PROCESO DE OPERACIÓN DE 
CONTROLES Y DEL ERISC (OPEC)
Objetivo General
Implementar y operar los controles de seguridad de la información 
de acuerdo al programa de implementación del SGSI, así como los 
correspondientes a la capacidad de respuesta a incidentes.
Para cumplir con el objetivo,se deberán realizar las siguientes 
actividades:
PROCESO DE OPERACIÓN DE 
CONTROLES Y DEL ERISC (OPEC)
Asignar Resp. de
Implementación de 
controles
Definir reglas de 
operación del 
ERISC
Definir acciones 
de atención a 
incidentes de SI
Ejecutar los 
programas de 
manejo de riesgos 
y de imp. Del 
SGSI
Mantener los 
componentes de 
doms. tecs. Con el 
sw de SI y de 
monitoreo. 
Verificar eficacia
y eficiencia de 
controles 
implementados
Aplicar acciones 
correctivas y 
preventivas a los 
ctrls. de SI
Comunicar esta
asignación a 
involucrados
Elaborar la guía 
técnica de 
atención a 
incidentes
Verificar que los 
resp. de
implementar ctrls. 
apliquen la guía
Dar seguimiento a 
estos programas
Reforzar 
conexiones de 
redes con ctrls. de 
acceso
Evaluar el SGSI Documentar 
resultados de 
acciones de 
mejora
Actualizar Docto. 
Resultado Análisis 
de Riesgo y PI del 
SGSI
Definir mecanismo
de registro de 
incidentes
Integrar los datos 
del incidente al 
repositorio del 
area corresp.
Elaborar informe 
de resultados de 
la imp. del SGSI
Asegurar que 
servidores cuenten 
con sw de 
protección contra 
código malicioso
Registrar intentos 
de violaciones e 
incidentes de SI
Actualizar informe 
de seguimiento a 
las mejoras del 
SGSI
Reportar al RSII 
los incidentes de SI
Checar que ctrls.
de SI se hayan 
imp. de acuerdo 
al diseño del SGSI
Proteger correo 
electrónico contra 
correo no deseado
Documentarlas 
acciones de 
mejora al SGSI
Actualizar 
programa de 
evaluaciones del 
SGSI
Hacer informe de 
desviación de imp
y/o operación de 
controles de SI
Proteger equipos 
de computo
Gestionar
privilegios de 
acceso
Integrar los 
controles de doms.
Tecs al SGSI
Designar Resp. de
Impl. de controles
Establecer los 
elementos de 
operación del 
ERISC
Op. del ERISC 
en la atención 
de incidentes
Implant. los ctrls. 
de mitigación de 
riesgos y del 
SGSI
Implant. los ctrls. 
del SGSI de 
dominios tecs.
de TIC
Revisar la 
operación 
del SGSI
Aplicar al SGSI 
las mejoras 
definidas
PROCESO DE OPERACIÓN DE 
CONTROLES Y DEL ERISC (OPEC)
Relación de productos
Este proceso utiliza para su operación, consulta y actualización 
los productos del Proceso de Administración de la Seguridad de la 
Información (ASI).
PROCESO DE OPERACIÓN DE 
CONTROLES Y DEL ERISC (OPEC)
Indicador del proceso
Nombre: Cumplimiento de la administración de riesgos.
Objetivo: Medir la eficiencia de la gestión del proceso.
Descripción: Medir el cumplimiento en la implementación de los controles para 
la mitigación de riesgos establecidos durante el proceso.
Fórmula: 
% de eficiencia = (controles implementados en operación de acuerdo a su 
definición / controles implementados) X 100.
Responsable: El responsable del proceso.
Frecuencia de cálculo: Anual.
INTERACCIÓN ENTRE LOS 
PROCESOS ASI Y OPEC
ASI-1. Modelo de gobierno de SI
ASI-2. Mantener el modelo de gobierno 
de SI
Opec-2. Establecer el ERISC
ASI-3. Diseñar el SGSI
ASI-4. Identificar la IC
ASI-5. Establecer Directriz de 
Administración de Riesgos
ASI-6. Elaborar Análisis de Riesgos
ASI-7. Diseñar controles mínimos
OPEC-1. Establecer el Grupo de 
Implantación.
OPEC-3. Operar el ERISC
OPEC-4 y OPEC-5. Implantar los 
controles del SGSI.
OPEC-6. Revisar la operación del 
SGSI.
ASI-8. Definir mejoras al SGSI
OPEC-7. Aplicar mejoras al SGSI SGSI
Actuar
Verificar
Ejecutar
Políticas 
de SI
Planear
ELEMENTOS BÁSICOS DEL SGSI
Planeación
-Catalogo de activos 
-Análisis de Riesgos 
- Declaración de Aplicabilidad Ejecución
Seguimiento
Mejora
Control implantado:
- Gestión incidentes de SI
- Registro de usuarios
Control implantado:
Respaldo de información
Indicadores
Acciones de mejora
Políticas de SI 
Estudio de la 
organización
Implementación 
de Controles de 
Seguridad
Evaluación de la 
eficacia de los 
controles
Mantenimiento 
del SSI
…colocando las piezas del rompecabezas juntas…
Para establecer un SGSI en el IIE
1. Establecer el modelo de gobierno de la SI
2. Crear o actualizar las Políticas de SI 
3. Integrar del catalogo de infraestructura critica
4. Administrar el riesgo de los activos de información críticos y/o claves
a) Definir las directrices para el análisis de riesgo
b) Identificación y evaluación de escenarios de riesgo para la 
infraestructura del catalogo (tabla de análisis y determinación de 
riesgos, tabla de evaluación de riesgos)
c) Realizar análisis costo-beneficio de controles de seguridad (tabla de 
análisis costo-beneficio)
d) Realizar el documento de Declaración de Aplicabilidad
e) Realizar el programa de mitigación de riesgos
f) Realizar el programa de contingencia de riesgos
g) Realizar el programa de implantación para el manejo de riesgos
5. Hacer el programa de implantación de controles
6. Conformar el SGSI
7. Evaluar el SGSI
8. Realizar el programa de mejora del SGSI
…en resumen…
…en resumen…
Seguridad Informática
Seguridad Informática
Gracias por su atención