PDF de programación - Modelo de Evaluación de Madurez para la Gestión de la Seguridad de la Información Integrada en los Procesos de Negocio

Universidad de Buenos Aires

Facultades de Ciencias Económicas,

Ciencias Exactas y Naturales e Ingeniería








Maestría en Seguridad Informática




Tesis




Modelo de Evaluación de Madurez para la Gestión
de la Seguridad de la Información Integrada en

los Procesos de Negocio









Autor

Marcia L. Maggiore



Director de Tesis

Dr. Raúl Saroka




Año 2014

Cohorte 2009



Declaración Jurada de origen de los contenidos



Por medio de la presente, el autor manifiesta conocer y aceptar el

Reglamento de Tesis vigente y que se hace responsable que la totalidad de

los contenidos del presente documento son originales y de su creación

exclusiva, o bien pertenecen a terceros u otras fuentes, que han sido

adecuadamente referenciados y cuya inclusión no infringe la legislación

Nacional e Internacional de Propiedad Intelectual



















































FIRMADO

Marcia Liliana Maggiore

DNI 6.223.111

i



Resumen



En virtud del avance tecnológico y la criticidad de la información que

procesan las organizaciones, éstas afrontan la problemática de evaluar si la

gestión de la seguridad de la información que llevan adelante es efectiva y

forma parte de un proceso de mejora continua.

Una manera de realizar dicha evaluación es utilizando un modelo de

madurez que establezca las metas a lograr para avanzar a través de los

diferentes niveles que conforman la escala de valoración.

Ahora bien, los estándares vigentes establecen la necesidad de

diseñar un plan de seguridad de la información para proteger a ésta de su

divulgación o modificación no autorizada, así como para

lograr su

disponibilidad permanente; el cual se obtendrá como resultado de la gestión

de los riesgos asociados. Es decir que, para realizar la evaluación

mencionada en el primer párrafo, será necesario contar con un modelo de

madurez que no sólo permita evaluar los procesos involucrados en la gestión

de la seguridad de la información, sino también aquellos asociados a la

gestión de los riesgos vinculados al tratamiento de la información en todas

sus fases, ya que de ello depende un adecuado plan de seguridad de la

información, así como los asociados a la implementación del plan/programa

de seguridad.

El presente trabajo entonces, encarará la selección de un modelo de

madurez para la evaluación de la gestión de riesgos, de la gestión de

seguridad de la información y del plan/programa de seguridad de la
información, integrados en el negocio1. Esta selección y la aplicación del

modelo en cuestión se basarán en las premisas establecidas por las

asociaciones profesionales, autores y estándares internacionales respecto

del Sistema de Gestión de Seguridad de la Información, la gestión del riesgo,

la integración de las tecnologías de información y las comunicaciones (TIC)

en los procesos de negocio, así como la gestión de calidad.



1 El término negocio se usa aquí en un sentido amplio haciendo referencia tanto a

actividades comerciales, industriales como de gobierno.

ii



Palabras Clave



Gestión de riesgos, gestión de seguridad de la información, modelo

de madurez, mejora continua, objetivo de control, implementación de

controles, formalización de buenas prácticas, integración de procesos de
tecnología de la información, procesos de negocio.



iii





Índice

INTRODUCCIÓN ........................................................................................... 1

CAPÍTULO I - UNA BREVE RESEÑA HISTÓRICA ...................................... 5

CAPÍTULO II – LA INTEGRACIÓN COMO PARTE DE LA NUEVA VISIÓN 7

CAPÍTULO III – DEL PLAN DE SEGURIDAD HACIA EL PLAN DE

TRATAMIENTO DE RIESGOS .................................................................... 14

CAPÍTULO IV – ¿CUÁL DEBIERA SER EL ENFOQUE DE LOS RIESGOS

DE SEGURIDAD DE LA INFORMACIÓN? ................................................. 21

CAPÍTULO V – MECANISMOS/HERRAMIENTAS UTILIZADOS EN LA

EVALUACIÓN DE UN SISTEMA DE GESTIÓN ......................................... 29

SERIE DE ESTÁNDARES ISO 9000 ........................................................................ 30
MODELO DE CAPACIDAD Y MADUREZ ................................................................... 30
ESTÁNDAR ISO/IEC 15504 .................................................................................. 32
ESTÁNDAR ISO/IEC 21827:2008 ......................................................................... 34
ESTÁNDAR ISO/IEC 27001 .................................................................................. 34
RELACIÓN ENTRE LOS ESTÁNDARES ISO/IEC 27001, ISO 9001 Y EL MODELO CMMI
.......................................................................................................................... 35

CAPÍTULO VI – ¿QUÉ ES EL “MODELO DE MADUREZ” Y POR QUÉ

USARLO?.................................................................................................... 37

CAPITULO VII - PERO…. ¿QUÉ DEBEMOS EVALUAR? Y ¿CON QUÉ

HERRAMIENTA? ........................................................................................ 44

CAPITULO VIII – Y AHORA... ¿CÓMO LO IMPLEMENTAMOS? .............. 53

CONCLUSIONES ........................................................................................ 69

ANEXO I – CONCEPTOS COMPLEMENTARIOS ...................................... 74

ANEXO II – ALGUNOS MODELOS ............................................................ 79

MODELO DE MADUREZ Y CAPACIDAD O CAPABILITY MATURITY MODEL (CMM) ...... 79
SYSTEMS SECURITY ENGINEERING CAPABILITY MATURITY MODEL (SSE-CMM)..... 80
INFORMATION SECURITY MANAGEMENT MATURITY MODEL (ISM3) ........................ 81

ANEXO III – BREVE DESCRIPCIÓN DE LOS CMMI, SUS COMPONENTES

Y CARACTERÍSTICAS ............................................................................... 82

SOBRE LOS MODELOS DE CAPACIDAD Y MADUREZ ................................................. 82

iv



COMPRENDIENDO LOS NIVELES ............................................................................ 83
ENTENDIENDO EL MODELO DE CAPACIDAD ............................................................ 84
ENTENDIENDO EL MODELO DE MADUREZ ............................................................... 85
DESCRIPCIÓN DE NIVELES POR MODELO ............................................................... 86
RESUMEN DE METAS Y PRÁCTICAS GENÉRICAS ..................................................... 90
RESUMEN DE METAS Y PRÁCTICAS ESPECÍFICAS POR ÁREA DE PROCESO. .............. 91

ANEXO IV – PROCESOS A GESTIONAR .................................................. 98

FUNCIONES, ESTRUCTURA ORGANIZACIONAL, PUESTOS DE TRABAJO, PERFILES –
CICLO DE VIDA ..................................................................................................... 98
RECURSOS HUMANOS – CICLO DE VIDA ............................................................... 99
CAPACITACIÓN ...................................................................................................100
PATRIMONIO, INVENTARIO, RESPONSABILIDADES – CICLO DE VIDA ........................101
UTILIZACIÓN DE LA INFORMACIÓN EN LOS PROCESOS ORGANIZACIONALES - TÁCTICOS
(DISEÑO Y DESARROLLO DE PRODUCTOS, GENERACIÓN DE
Y OPERATIVOS
SATISFACCIÓN DE DEMANDA, GESTIÓN DEL CAMBIO INTERNO Y EXTERNO, GESTIÓN DE
LAS COMUNICACIONES INTERNAS Y EXTERNAS) – CICLO DE VIDA DE LA INFORMACIÓN
.........................................................................................................................102
ACCESOS DE TERCEROS (ASPECTOS FÍSICOS Y LÓGICOS) .....................................104
GESTIÓN DE AUTORIZACIÓN ................................................................................104
GESTIÓN DE SEGURIDAD FÍSICA ...........................................................................104
GESTIÓN LEGAL .................................................................................................105
FUNCIONES MÁS CLASIFICACIÓN .........................................................................105
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE APLICACIONES ........................105
GESTIÓN DE INFRAESTRUCTURA EDILICIA ............................................................106
GESTIÓN DE HARDWARE Y SOFTWARE .................................................................106
GESTIÓN DEL CAMBIO (URGENCIAS - ACTIVIDADES AD-HOC)..................................106
NECESIDAD DE ESTABLECER PROCESOS DE INVESTIGACIÓN .................................106

BIBLIOGRAFÍA GENERAL ....................................................................... 108


ISM3 CONSORTIUM, INFORMATION SECURITY MANAGEMENT MATURITY MODEL
(ISM3), ACTUALMENTE ES IMPULSADO POR EL OPEN GROUP, RAZÓN POR LA CUAL SU
SIGLA ES O-ISM3, 2011 .....................................................................................108

CMMI® FOR ACQUISITION, VERSION 1.3 ......................................................108

CMMI® FOR DEVELOPMENT, VERSION 1.3 ...................................................108

SYSTEMS SECURITY ENGINEERING CAPABILITY MATURITY MODEL (SSE-CMM)
108


BIBLIOGRAFÍA ESPECÍFICA ................................................................... 108





v



Prólogo



Si bien la presentación de este trabajo culmina un esfuerzo personal

importante, creo que no hubiera sido posible sin la formación, los

conocimientos y la experiencia aportada, abierta y desinteresadament