IT GRUNDSCHUTZ

Page 1 of 6

ndice
Introduccin.

Pg. 2

Mtodo.

Pg. 2

Anlisis de la estructura TI.

Determinacin
proteccin.

de

los

Pg. 3
requisitos

de
Pg. 3

Modelado.

Pg. 4

Control de seguridad bsica.

Pg. 4

Anlisis de seguridad complementario.

Pg. 4

Consolidacin de las acciones.

Pg. 5

Bibliografa

Pg. 5

Page 2 of 6

Introduccin
Tanto las organizaciones privadas como las pblicas entienden que, actualmente, la
informacin es su activo ms importante y es preciso tomar los recaudos necesarios para
protegerla. As lo entendieron en Alemania, quienes desarrollaron el Manual ITGrundschutz, el cual desde 2005 es llamado Catlogos IT-Grundschutz.
IT Grundschutz , que traducido al espaol es Proteccin de lnea de base IT o
Proteccin inicial IT, es un compendio de medidas de seguridad estndar para proteger
los objetos tpicos de las Tecnologas de la Informacin (IT, por sus siglas en ingls), ya
sean aplicaciones, sistemas, instalaciones, redes, etc. El Manual de proteccin de Base de
TI fue reestructurado y ampliado en 2006 por la Oficina Federal Alemana para la seguridad
de la Informacin (BSI), con la Metodologa TI y los catlogos de proteccin inicial TI. La
BSI estableci cuatro estndares, los cuales son:

100-1, contiene la informacin acerca de la estructura del Sistema Gestor de la

Seguridad Informtica (SGSI).
100-2, contiene el procedimiento de proteccin de lnea de base IT.
100-3, contiene la metodologa a emplear para realizar un anlisis de riesgo para
los requisitos de alta y muy alta proteccin.
100-4, contiene la gestin de emergencias, la cual incluye las claves para una
adecuada gestin de la continuidad del negocio (BCM, por sus siglas en ingls).

Estas normas son compatibles con las normas ISO 27001, las cuales son un estndar para la
seguridad de la informacin.
Esta metodologa proporciona un mtodo sencillo y las herramientas necesarias para
alcanzar un mayor nivel de seguridad. Tambin conforma la base para el anlisis de riesgos.
La proteccin de lnea de base no es inicialmente un anlisis detallado de los riesgos,
sino que parte de riesgos generales. Por ello se ignoran la clasificacin segn la extensin
del dao y la probabilidad de ocurrencia.
Mtodo
Los siguientes pasos indican el mtodo de proteccin bsico durante el anlisis
estructural y el anlisis de la proteccin de las necesidades:

Definicin de los activos de TI.

Implementacin de un anlisis estructural de TI.
Determinacin de requisitos a proteger.
Modelado.
Implementacin de un control de seguridad bsico.
Page 3 of 6

Realizar un anlisis de seguridad complementario.

Consolidacin de las acciones.
Aplicacin de medidas de proteccin bsicas de TI.

La preparacin consiste en los siguientes pasos:

Anlisis de la estructura TI.

Revisin de los requisitos de proteccin.
Seleccin de las medidas.
Ejecucin de la comparacin del valor nominal y real.

Anlisis de la estructura TI
Una red de tecnologas de la informacin (red TI) incluye la totalidad de
infraestructuras, los componentes organizacionales, humanos y tcnicos que se utilizan
para realizar una tarea en particular en el procesamiento de la informacin. Una red TI
puede servir como una expresin de toda la organizacin TI de una institucin o como
estructuras individuales de la estructura organizacional. Para la creacin de un
concepto de seguridad TI, y, en particular, para la aplicacin del Manual de Proteccin
Bsica de TI, es necesario analizar y documentar la estructura tecnolgica.
Como punto de partida para el anlisis puede utilizarse un mapa de la topologa de
red, debido a la fuerte interconexin de red que presentan los sistemas en la actualidad.
Se deben considerar los siguientes aspectos:
o
o
o
o
o

La infraestructura existente.
Los requisitos de organizacin y de dotacin de personal para la red TI.
Los sistemas TI conectados y no conectados empleados en la red TI.
Los enlaces de comunicacin entre los sistemas TI internos y externos.
Las aplicaciones TI que se ejecutan en la red TI.

Determinacin de los requisitos de proteccin

El propsito de determinar los requisitos de proteccin es investigar cul es la
proteccin suficiente y apropiada tanto para la informacin, como para la tecnologa de
la informacin en uso. En este sentido, se considera el dao esperado para cada
aplicacin y para la informacin procesada, que puede resultar de una violacin de la
confidencialidad, integridad o disponibilidad. Es importante una evaluacin realista de
los posibles daos y perjuicios. Se distinguen tres categoras de necesidades de
proteccin normal, alto y muy alto. Para la confidencialidad se utiliza Pblico,
Interno y Secreto.
Page 4 of 6

Los requisitos de proteccin para un servidor dependen de las aplicaciones que se

ejecutan en l. Varias aplicaciones TI pueden ejecutarse en un sistema informtico, por
lo que el nivel de proteccin queda determinado por la aplicacin que requiera el
mayor nivel (principio del mximo).
Puede ocurrir que varias aplicaciones que se ejecutan en un servidor tengan baja
necesidad de proteccin, pero en conjunto tienen un nivel de proteccin ms elevado
(efecto acumulativo).
El caso contrario es que una aplicacin con alto nivel de proteccin pueda ser
dividida en varias partes con un nivel de proteccin menor (efecto distribucin).
Modelado
Hoy en da los sistemas de informacin, tanto de las agencias gubernamentales
como de las empresas, estn altamente interconectados. Por lo tanto, es apropiado
considerar un nico sistema de informacin y no sistemas individuales en el mbito de
un anlisis de seguridad TI. Para realizar esta tarea, podemos dividir lgicamente todo
el sistema o la red informtica en partes y analizar cada una por separado.
Para aplicar los Catlogos de Proteccin Bsica en una red TI, es requisito necesario
tener una documentacin detallada de su estructura. La cual puede ser obtenida a travs
del anlisis de la estructura TI descrito anteriormente. Por ltimo, en la etapa de
modelado se deben asignar los componentes de los Catlogos de Proteccin Bsica a
los componentes de la red TI en cuestin.
Control de seguridad bsica
El control de seguridad bsica es una herramienta organizacional, que permite tener
una visin general del nivel actual de seguridad informtica. Como resultado de las
entrevistas y el statu quo de una red TI existente, obtenemos un catlogo donde se
registra para cada medida el estado de aplicacin, el cual puede ser: prescindible,
si, a veces o no.
Este control proporciona informacin sobre las medidas que todava faltan
(comparacin nominal vs real), por lo que se puede deducir lo que queda por hacer
para lograr una proteccin bsica de seguridad. Aunque no todas las medidas sugeridas
por esta comprobacin deben aplicarse necesariamente.
Anlisis de seguridad complementario
Se realiza un anlisis de riesgos complementario en los sistemas TI que requieran un
nivel alto/muy alto de proteccin.

Page 5 of 6

Consolidacin de las acciones

Consiste en la implementacin de las medidas modeladas.

Bibliografa
-

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
[visitado: 28/09/2013]
https://de.wikipedia.org/wiki/IT-Grundschutz [visitado: 28/09/2013]
https://es.wikipedia.org/wiki/ISO/IEC_27001 [visitado: 28/09/2013]
http://segweb.blogspot.com.ar/2012/04/it-grundschutz.html [visitado: 29/09/2013]

Page 6 of 6