Modulo III, parte 3

MÓDULO III. TÉCNICAS PARA GARANTIZAR EL CUMPLIMIENTO DE
PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 3.3
“GESTIÓN DE LA SEGURIDAD DE TRATAMIENTOS”

UNIDAD DIDÁCTICA 3.3. LA GESTIÓN DE LA SEGURIDAD DE LOS TRATAMIENTOS
OBJETIVOS ESPECIFICOS
 Adquirir conocimientos sobre la implantación de ENS y sus objetivos
 Conocer la gestión de la Seguridad de los Activos y su utilización.
 Obtener información sobre el Sistema de Gestión de Seguridad de la Información (SGSI)
 Identificar las fases de un PCN.

UNIDAD DIDÁCTICA 3.3. LA GESTIÓN DE LA SEGURIDAD DE LOS TRATAMIENTOS.
ESTRUCTURA DIDÁCTICA
3.3.1. Esquema Nacional de Seguridad ISO/IEC 27001:2013 (UNE ISO/IEC 27001:2014: Requisitos de
Sistemas de Gestión de Seguridad de la Información, SGSI)
3.3.2. Gestión de la Seguridad de los Activos. Seguridad lógica y en los procedimientos. Seguridad
aplicada a las TI y a la documentación.
3.3.3. Recuperación de desastres y Continuidad del Negocio. Protección de los activos técnicos y
documentales. Planificación y gestión de la Recuperación del Desastres.

3.3.1. ESQUEMA NACIONAL DE SEGURIDAD ISO/IEC 27001:2013 (UNE ISO/IEC 270001:2014:
REQUISISTOS DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INOFRMACIÓN,SGSI)
El art.332.1. b) del RGSPD, hace referencia a las medidas técnicas y organizativas que debe atender
el RT y ET en materia de seguridad:
Las garantías en materia de seguridad se encuentran de manera explícita en el Esquema Nacional
de Seguridad (ENS) y en la noma ISO/IEC 271001, que acreditan la seguridad en el tratamiento de
protección de datos de acuerdo con el RGPD.
“la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de
los sistemas y servicios de tratamiento”

El Esquema Nacional de Seguridad (ENS).
Donde se establece los objetivos, ámbito de aplicación, elementos, principios y requisitos., que
permiten adaptar la información y servicios en la adopción de medidas de seguridad.
Los objetivos ENS:
• Llevar a cabo medidas para garantizar la confianza mediante el uso de medios electrónicos.
• Gestionar la seguridad continua
• Impulsar la prevención, detección y capacidad de respuesta ante situaciones de amenaza por
medio electrónico.
• Promover el tratamiento homogéneo de la seguridad cuando participen varias entidades para
cooperar en la prestación de servicios de la administración electrónica.

El Esquema Nacional de Seguridad (ENS).
Donde se establece los objetivos, ámbito de aplicación, elementos, principios y requisitos., que
permiten adaptar la información y servicios en la adopción de medidas de seguridad.
Los objetivos ENS:
• Utilizar elementos y lenguajes sencillos para orientar a los participantes en materia de
seguridad de las tecnologías.
• Realizar buenas prácticas en materia de protección de datos.

Las medidas de seguridad del ENS, se dividen en tres tipos:
• Marco Organizativo: formado por un conjunto de medidas, políticas, normativa, procesos de
autorización y pautas en materia de seguridad.
• Marco Operacional: en el que se establecen las medidas para proteger la operación del sistema
, en las que se incluye la planificación, control de acceso, explotación, servicios externos,
seguimiento del servicio y monitorización del sistema.
• Medidas de Protección: protege los activos concretos dependiendo del la naturaleza u origen, el
nivel de seguridad, infraestructuras, gestión del personal equipos de protección y comunicación,
además de la protección de las comunicaciones, soportes informáticos y aplicaciones
informáticas, entre otras.

Las etapas del sistema de información establecido por el ENS, se encuentran en la Ley 630/ 2010:
• “Elaborar y aprobar la Política de Seguridad (art. 11).
• Definir roles y asignar responsabilidades a las personas al Responsable de Seguridad
indicadas en el ENS, (art. 10).
• Categorizar en niveles los sistemas de información (Básica, Media o Alta) (art. 27).
• Analizar y actualizar los riesgos (art. 27).
• Seleccionar las medidas y elaborar la Declaración de Aplicabilidad, cuyas medidas están
señaladas en el Anexo II.
• Auditar la seguridad (art. 34).
• Publicar la Conformidad (art. 41).
• Informar del Estado de la Seguridad (art. 35). “

Las entidades de Certificación del ENS auditan y expiden
las Certificaciones que deben acreditarse por la Entidad
Nacional de Acreditación (ENAC) , como indica Instrucción
Técnica de Seguridad de Conformidad.

De acuerdo a las normativas acerca de los requisitos , encontramos:
• ISO/IEC 27001:2013 (UNE ISO/IEC 27001:2014: Requisitos de Sistemas de Gestión de Seguridad de
la Información, SGSI)
•
• UNE-ISO/IEC 27001:2014 “Tecnología de la Información – Técnicas de seguridad – Sistemas de
Gestión de la Seguridad de la Información (SGSI) – Requisitos”.
Igual a la ISO/IEC 27001:2013 “Information Technology – Security Techniques – Information Security
Management Systems – Requirements”. Reconocida por la asociación IQNE internacionalmente.
• Norma UNE-ISO/IEC 27001 es la Norma UNE-ISO/IEC 27002, cuenta con un capítulo descriptivo en
el que se establece requisitos y buenas prácticas para llevar a cabo medidas de seguridad
adecuadas.

ISO/IEC 27001: 2014
La seguridad de la información es mejorada, ejercitada, y mejorada ,por el Sistema de Gestión
de Seguridad de la Información (SGSI), partiendo de los riesgos con los que cuenta la
organización . La normativa ISO/ IEC 27001: 2014, está conformado por dos parte, la primera
establece 10 puntos , que son:
• Objetivo y campo de aplicación de la norma utilizada en la organización
• Referencias normativas
• Término y definiciones usadas en la normativa ISO/ IEC 27000
• Contexto de la organización sobre las necesidades , influencia y gestión de la seguridad de
la información.

ISO/IEC 27001: 2014
La normativa ISO/ IEC 27001: 2014, está conformado por dos parte, la primera establece 10
puntos , que son:
• Liderazgo, sobre la alta dirección, sistema de gestión, políticas , procesos de la
organización y recursos para llevarlos a cabo.
• Planificación de los objetivos, planes , tratamiento , evaluación y análisis de los riesgos de
seguridad debe permanecer en este punto.
• Soporte, en este punto se aborda la información documentada, los recursos destinados ,
competencia del personal así como su comunicación y sensibilización en materia de
seguridad de información

ISO/IEC 27001: 2014
La normativa ISO/ IEC 27001: 2014, está conformado por dos parte, la primera establece 10
puntos , que son:
• Operación, especifica como planificar y controlar la operación, además de cómo valorar
los riesgos y tratamiento.
• Evaluación de desempeño: es decir, la medición , análisis y evaluación del sistema de
gestión de la información a partir del ciclo PHVA (Planificar, Hacer, Verificar, Actuar).
• Mejora de las medidas correctivas, mejora y tratamiento de las no conformidades.
La segunda parte indica los objetivos de control, a partir de los referentes controles,
establecidos en el anexo A, adaptado a la normativa 2014

14/43
Esquema Nacional de Seguridad & ISO/IEC 27001:2013
AENOR ha publicado el libro que describe los requisitos y concepto para realizar un adecuado
Sistema de Gestión de Seguridad de la Información (SGSI) utilizando como estándar UNE-ISO/IEC
27001, (versión 2014.)
También aporta un Esquema Nacional de Seguridad (ENS), establecido en el Real Decreto 3/2010,
cuyo cumplimiento es obligado en el ámbito de la Administración Electrónica, donde se comparan
que puntos en común existen en la UNE- ISO/IEC 27001 y ENS y cómo cumplir el ENS, por medio de
un SGSI.
Libro titulado “Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación
en el Esquema Nacional de Seguridad”

AENOR ha publicado el libro que describe los requisitos y concepto para realizar un adecuado
Sistema de Gestión de Seguridad de la Información (SGSI) utilizando como estándar UNE-ISO/IEC
27001, (versión 2014.)
También aporta un Esquema Nacional de Seguridad (ENS), establecido en el Real Decreto 3/2010,
cuyo cumplimiento es obligado en el ámbito de la Administración Electrónica, donde se comparan
que puntos en común existen en la UNE- ISO/IEC 27001 y ENS y cómo cumplir el ENS, por medio de
un SGSI.
Libro titulado “Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación
en el Esquema Nacional de Seguridad”

3.3.2. GESTIÓN DE LA SEGURIDAD DE LOS ACTIVOS. SEGURIDAD LÓGICA Y EN LOS
PROCEDIMIENTOS. SEGURIDAD APLICADA A LAS TI Y A LA DOCUMENTACIÓN.)
Para la Gestión de Seguridad de los activos, se recogen en un inventario de activos ,es decir,
deben aparecer identificados y documentados los activos de la organización, en caso de requerir
una situación especial o de desastre.
Los tipos de activos que se pueden encontrar en un inventario son:
• Activos físicos, relativos al mobiliario, infraestructuras ( de seguridad, departamento,
organización), equipos informáticos, departamentos, entre otros bienes tangibles.
• Activos inmateriales: contratos, patentes, servicios, etc.
• Activos intangibles: motivación, reputación, etc
• Activos de información: bases de datos, documentos (electrónicos), registros, etc
• Activos humanos: relacionados con el personal

• Activos humanos:
Un inventario debe de recoger una información mínima
• El contenido no puede ser duplicado sin motivo, pero
debe estar alineado con otros inventarios .
• Los responsables de los activos y clasificación de la
información deben de documentar la información de
cada activo, con el fin de mejorar el valor del activo
dentro de la organización y categorizarle según el nivel
de protección que requiera.
• Contenidos mínimo:
-Tipo de activo
-Formato y localización
-Información de respaldo
-Información de licencia y
valor de negocio

• Propiedad de los activos, está determinada para cada parte de la organización
 Los activos son regulados por el responsables con el fin de:
 Garantizar que la información y los activos están relacionado con las instalaciones de
la organización. Además de supervisar y defender las restricciones en el acceso y las
clasificaciones realizadas.
Por otro lado las responsabilidades son otorgadas a procesos de negocios, actividades
definidas mitigación de riesgos y conjunto definid de datos.
La responsabilidad del activo será del propietario del mismo, pero las tareas rutinarias
serán realizadas por el operador asignado al activo

• Utilización adecuada de los activos
Para que los activos referidos a las instalaciones del procesamiento de la información sean
documentados, identificados y realizados, se debe asignar una regla general para que esto ocurra.
Estas reglas deben ser seguidas por los trabajadores y terceras personas para utilizar
adecuadamente la información y los activos relacionadas con las instalaciones del procesamiento
de la información, esta reglas pueden transmitirse por correo electrónico o vía internet o mediante
guías de uso de aparatos móviles.

• Seguridad lógica y en los procedimientos
La seguridad lógica está relacionado con el concepto de defensa en profundidad, utilizado en el
ámbito industrial, militar y de seguridad de los sistemas de información , basado dicho concepto
como:
Las líneas de defensa son autónomas y disponen de sus propios medios freten a los ataques, que
protegen los bienes . Cada línea de defensa lleva a cabo un papel ( debilitar, retardar, bloquear o
frenar un ataque ), mediante la utilización de unos medios como: adaptar la protección creada por
lo mutros que limitan su acceso restringido y la información sobre cada línea de defensa.

Los principios que aportan mayor seguridad TIC, se establecen a continuación:
• La información es la línea de defensa principal.
• Adaptación de la seguridad en la entidad debido al concepto dinámico de defensa
• Según los requerimientos y posibilidades de la organización la líneas de defensa están
coordinadas y ordenadas.
• El ataque será debilitado si pierde una línea de defensa, pero esta no afectará al resto de líneas
de defensa, sino que será reforzadas o por le contrario se obtendrá mayor información sobre la
amenaza.

Los principios que aportan mayor seguridad TIC, se establecen a continuación:
• Las líneas de defensa registran las amenazas de los ataques recibidos, para obtener mayor
información acerca de ello.
• Para poder reducir los efectos del ataque se mantendrá las medidas de carácter ofensivo.
La seguridad lógica en las TIC , deben de estar asociadas a las líneas de defensa que proporcionen
información a los responsables y especialistas de la Gestión de Seguridad de la Información.
• Implantar la seguridad lógica supone: reforzar la protección del Sistema de Gestión de Seguridad de la
Información y crear un medio de comunicación que facilite la toma de decisiones de altos directivos.

• Seguridad aplicada a las TI y a la documentación
Los documentos deben de establecer, documentar, llevar a cabo y mantener un procedimiento
que defina las acciones de gestión necesarias para:
• Controlar la supervisión y bloqueo.
• Antes de emitir los documentos adecuados, deben de ser aceptados.
• Revisar y actualizar los documentos requeridos.
• Identificar los documentos actualizados, que han sufrido cualquier cambio.
• Garantizar que los documentos vigentes se puede encontrar en lugares de empleo
• Supervisar y verificar que los documentos son legibles y están identificados
• Los documentos deben de ser accesibles para las personas que lo requieran, que serán
comunicados, almacenados y eliminados según el procedimiento en función de su clasificación.

Los documentos deben de establecer, documentar, llevar a cabo y mantener un procedimiento
que defina las acciones de gestión necesarias para:
• Verificar la identificación de los documentos externos.
• Asegurar el control de la distribución de documentos.
• Evitar y prevenir documentos obsoletos.
• Garantizar la integridad y no rechazo.
• Identificar correctamente los documentos retenidos con un fin.

Otros de los conceptos a tener en cuenta en materia de seguridad son:
• Integridad: controlan y verifican que la información transmitida llegue, sin ningún tipo de
interrupción, además de vigilar que los activos no sean modificados sin autorización
• Mecanismo de autorización: es un proceso que indica cuando, cómo y a qué recursos o un
usuario documentos de la organización, puede acceder un usuario en su trabajo . Para ello se
definirán los roles y permisos, que limitarán el acceso a los recursos o documentos. Ya que
dependiendo del activo la autorización requerirá una mayor o menor confidencialidad.

Otros de los conceptos a tener en cuenta en materia de seguridad son:
• Registro: las reglas de Seguridad incumplidas serán almacenadas para su posteriori análisis.
• Mecanismo de separación: referidos a la separación de los activos por niveles unidos a los
mecanismos de autorización.
• Mecanismos de seguridad en las Comunicaciones: que vigilan la información que transcurre
por la red, mediante la utilización de protocolos de seguros.
• Mecanismo de seguridad física: estos mecanismos protegen las instalaciones y elementos que
contengan información o activos utilizados para el tratamiento. Estos mecanismo de seguridad
trascurren desde la protección de acceso restringido a las instalaciones a la protección de los
mismos en caso de catástrofes naturales.

3.3.3.. RECUPERACIÓN DE DESASTRES Y CONTINUIDAD DEL NEGOCIO. PROTECCIÓN DE LOS ACTIVOS
TÉCNICOS Y DOCUMENTALES. PLANIFICACIÓN Y GESTIÓN DE LA RECUPERACIÓN DEL DESASTRES
• Las organizaciones deben de contar con medidas y procesos de prevención y protección en
materia de seguridad frente a situaciones graves que pueden afectarles.
• Por ello se debe proteger los procesos de negocio más importantes por medio de un conjunto
de tareas que permitan recuperarse y dar respuesta tras un incidente grave, lo que permite
reducir los costes financieros y pérdida de información ante estos incidentes.
• Dos de los planes imprescindibles que cumplen con los objetivos de la gestión de seguridad de
la información en protección de la información son: el Plan de Continuidad de Negocio y el
Plan de Recuperación de Desastres.

• Las organizaciones deben de contar con medidas y procesos de prevención y protección en
materia de seguridad frente a situaciones graves que pueden afectarles.
• Por ello se debe proteger los procesos de negocio más importantes por medio de un conjunto
de tareas que permitan recuperarse y dar respuesta tras un incidente grave, lo que permite
reducir los costes financieros y pérdida de información ante estos incidentes.
• Dos de los planes imprescindibles que cumplen con los objetivos de la gestión de seguridad de
la información en protección de la información son: el Plan de Continuidad de Negocio
8Business Continuity Plan) y el Plan de Recuperación de Desastres (Disaster Recovery Plan).

• El Plan de Recuperación de Desastres, es un proceso que engloba los datos, hardware y
software crítico, para que una empresa pueda volver a realizar sus actuaciones tras un desastre
( global o parcial)
• El Plan de continuidad de Negocio, establece un plan logístico que indica a la organización
cómo recuperar y volver a actuar de acuerdo a sus funciones críticas dentro de un tiempo
establecido tras una interrupción no prevista.
Cada organización independientemente de su dimensión llevará a cabo las medidas necesarias y
adecuadas alas necesidades para conseguir su continuidad cuando se origine el desastre.
Por ejemplo: realizar copias de seguridad, o contar con un centro de respaldo alternativo en caso
de referirnos a una empresa relacionada con el ámbito tecnológico.

Tipos de proyectos de continuidad.
Se deben de distinguir tres ámbitos dentro del concepto de Plan de Continuidad de Negocio.
• Plan de continuidad de Negocio: donde se encuentran para cada ámbito: la infraestructura
TIC, RRHH, logística, entre otros, un plan de continuidad específico.
• Plan de Continuidad TIC o Plan de Contingencia TIC, PCIC : forma parte del plan de
continuidad de negocio de la organización en relación al ámbito TIC. Un PCN impulsa los planes
de contingencia y un PCTIC el ámbito tecnológico.
• Plan de Recuperación ante Desastres (PRD): enfocado a un ámbito menos detallado y técnico
que favorece la actuación ante catástrofes.(plan reactivo) .

Fases de un plan de continuidad de negocio establece las siguientes fases:
FASES DE CONTINUIDAD DE NEGOCIO
Fase 0. Alcance
Fase 1. Análisis de la organización
Fase 2. Determinación de la estrategia de continuidad
Fase 3. Respuesta a la contingencia
Fase 4. Prueba, mantenimiento y revisión
Fase 5. Concienciación e implantación

 Fase 0. Alcance: se establece la división del plan , a partir de la selección de las áreas o
departamentos que requieren un mayor urgencia, debido a su complejidad organizativa.
Se recomienda la siguiente división del plan:
• Análisis del negocio
• Clasificación de servidores y análisis cítrico
• Identificación de los procesos y análisis de criticidad, así como los propios activos humanos e
inmateriales con su correspondiente análisis de criticidad.
• Estrategias

 Fase 0. Alcance . Se recomienda la siguiente división del plan:
• Identificación de los procesos y análisis de criticidad, así como los propios activos humanos e
inmateriales con su correspondiente análisis de criticidad.
• Estrategias
• Monitoreo
• Pruebas y ejecución del plan
• Responsables de activación e implantación del plan
• Auditor del plan

 Fase 1. Análisis de la organización: recoge toda la información necesaria para garantizar la
continuidad de la organización . En esta fase se determina los tiempos, necesidades temporales
y procesos críticos que pueden afectar en el negocio.
Para evaluar la organización se llevará a cabo una evaluación de impacto operacional, analizando
los efectos negativos que supone la interrupción de las operaciones del negocio con el fin de poder
llevar a cabo estrategias de recuperación.

 Fase 1. Análisis de la organización:
NIVELES NEGATIVOS
Nivel A, cuando el negocio o la organización no tiene en cuenta la operación,
siendo crítica su realización
Nivel B, la operación no es crítica para el negocia, pero al encontrarse
integrada en este, no se puede prescindir de ella.
Nivel C, la operación no se encuentra integrada en el negocio.

 Fase 1. Análisis de la organización.
Como segunda parte de esta fase, una vez concretado los procesos críticos en el negocio se debe
delimitar los tiempos de recuperación, para poder llevar a cabo las estrategias de continuidad.
TIEMPOS DE RECUPERACIÓN
Según el tiempo objetivo de recuperación, RTO (Recovery Time Objective )
Según el grado de dependencia de los datos, RPO (Recovery Point Objective)
Según el tiempo de recuperación del trabajo, una vez reparado el sistema para recuperar los datos perdidos
Según el período máximo de tiempo de inactividad puede conseguir la organización

 Fase 2. Determinar la estrategia de continuidad: a partir de los datos que sostienen los
procesos críticos se establece si se pueden recuperar los activos en el menor tiempo posible y
con el menor impacto y pérdida para el negocio y los clientes.
Aquellas entidades que no puedan recuperarlo deberán llevar a cabo las estrategias de
recuperación u reactivación de las operaciones, para ello deberán categorizar los incidentes para su
activación:

Categorías Descripción Coste de la interrupción
Crítico Cuando afecta a las operaciones críticas, solo pueden ser
reemplazadas por la misma capacidad. Las aplicaciones críticas no
pueden ser reemplazado de manera manual.
Coste muy alto (24h).
Alto Si afecta operaciones muy importantes para la organización, cuyas
operaciones pueden realizarse mutuamente en un periodo limitado de
tiempo.
Coste menos costoso que en
el sistema crítico, ya que las
funciones se restauran en
un tiempo delimitado
Medio Las operaciones pueden realizarse de manera manual, en un periodo
de tiempo limitado, se requiere una persona adicional para realizarlo,
debido a su complejidad
Coste tolerable
Bajo Las operaciones pueden interrumpirse durante un periodo de tiempo
largo, ya que para la organización, la restauración no requiere de
sacrificio
Coste pequeño o nulo
 Fase 2. Determinar la estrategia de continuidad. Clasificación de los incidentes:

 Fase 3. Respuesta a la contingencia: esta fase engloba las selección e aplicación de las
iniciativas, a partir de las estrategia de recuperación escogidas.
Para la restauración a la contingencia se requiere conocer los recursos económicos y el tiempo de
recuperación para determinar las condiciones mínimas con las que poder actuar y documentarlas
en el Plan de Crisis y en los documentos relacionados con la recuperación de los entornos.
• A tener en cuenta:
Cuando ocurra un incidente se activará el Plan de Continuidad: eliminando o reduciendo la
amenaza y sus efectos, evaluando, organizando y planificando la situación para actuar

 Fase 4. Prueba, mantenimiento y revisión: en esta fase teniendo en cuenta el sistema
tecnológico de la organización se elaborarán los planes de prueba y mantenimiento.
 Fase 5. Concienciación e implantación: en esta fase se acerca al personal de la organización el
Plan de Continuidad de Negocio, la importancia que conlleva y su papel en él
 A modo de resumen las fases del Plan de Continuidad del negocio están recogidos en el
siguiente ejemplo:

Para la Planificación y gestión de la Recuperación del Desastre se establecen los siguientes puntos:
 Definición del plan: donde se establecen roles y responsabilidades de los miembros del Comité
de Seguridad según sus áreas de especialización.
 Establecimiento de prioridades a partir del análisis de riesgo
 Selección de las estrategias de recuperación, donde debe de tenerse en cuenta: el nivel crítico
de la incidencia, el coste que puede generar, la duración de las propuestas, la seguridad y
fiabilidad de las estrategias, y el tiempo en el que pueden permanecer activo el PCN y PNCTIC

Para la Planificación y gestión de la Recuperación del Desastre tiene que probarse antes de
implantarlo en caso de desastres, para mejorar y garantizar la seguridad del mismo. Los puntos que
se establecen en la Planificación y gestión de la Recuperación del Desastre son los siguientes:
 Definición del plan: donde se establecen roles y responsabilidades de los miembros del Comité
de Seguridad según sus áreas de especialización.
 Establecimiento de prioridades a partir del análisis de riesgo
 Selección de las estrategias de recuperación, donde debe de tenerse en cuenta: el nivel crítico
de la incidencia, el coste que puede generar, la duración de las propuestas, la seguridad y
fiabilidad de las estrategias, y el tiempo en el que pueden permanecer activo el PCN y PNCTIC

Modulo III, parte 3

Más contenido relacionado

La actualidad más candente (20)

Similar a Modulo III, parte 3 (20)

Más de ANTONIO GARCÍA HERRÁIZ (20)

Último (20)

Modulo III, parte 3