Documente Academic
Documente Profesional
Documente Cultură
Interfaz de Seguridad
NDICE
DESCRIPCIN Y OBJETIVOS
El objetivo de la interfaz de seguridad de MTRICA Versin 3 es incorporar en los
sistemas de informacin mecanismos de seguridad adicionales a los que se proponen
en la propia metodologa, asegurando el desarrollo de cualquier tipo de sistema a lo
largo de los procesos que se realicen para su obtencin.
PLANIFICACIN DE SISTEMAS DE
INFORMACIN
En la actualidad, la mayora de las organizaciones suelen disponer, en mayor o
menor grado, de una poltica de seguridad. Esta poltica constituir el punto de partida
de la interfaz de seguridad, completndola o adaptndola en aquellos aspectos que as
lo requieran. Si la organizacin no dispone de ella ser necesario realizar un esfuerzo
suplementario dirigido a la identificacin de los objetivos de seguridad ya que su
determinacin no es una tarea trivial.
PSI-SEG 1 PSI-SEG 4
PSI 4 PSI 6
Identificacin de Diseo del
Requisitos Modelo de
Sistema de
Informacin
PSI 5
Estudio de los
Sistemas de
Informacin
Actuales
PSI-SEG 2 PSI-SEG 3
Productos
De entrada
Descripcin General del PSI (PSI 1.3)
Poltica de Seguridad de la Organizacin (externo)
Riesgo Aceptable (Comit de Seguimiento)
De salida
Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin:
o Seguridad para la Ejecucin de Actividades
o Seguridad para la Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad
Productos
De entrada
Poltica de Seguridad de la Organizacin (externo)
Seguridad Requerida en el Proceso PSI (PSI-SEG 1.1)
De salida
Plan de Seguridad de los Sistemas de Informacin:
o Poltica de Seguridad de la Organizacin
o Organizacin y Planificacin Necesaria para la Seguridad
o Anlisis y Conclusiones
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Responsable de Seguridad
Comit de Direccin
Productos
De entrada
Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2)
Alternativas de Arquitectura Tecnolgica (PSI 7.1)
De salida
Seguridad de las Alternativas de Arquitectura Tecnolgica:
o Caractersticas detalladas de seguridad para cada Alternativa
o Anlisis y Gestin del Riesgo de cada Alternativa
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Responsable de Seguridad
Productos
De entrada
Arquitectura Tecnolgica (PSI 7.2)
Seguridad de las Alternativas de Arquitectura Tecnolgica (PSI-SEG 2.1)
De salida
Seguridad de las Alternativas de Arquitectura Tecnolgica:
o Anlisis y Gestin del Riesgo de la Arquitectura Tecnolgica
o Nivel de Riesgo Aceptable
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Comit de Seguimiento
Responsable de Seguridad
Productos
De entrada
Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2)
Plan de Accin (PSI 8.1)
De salida
Seguridad para el Plan de Accin
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Comit de Seguimiento
Responsable de Seguridad
Productos
De entrada
Productos generados durante el proceso Planificacin de Sistemas de Informacin
De salida
Catalogacin de los Productos Generados en el Proceso Planificacin de Sistemas
de Informacin:
o Determinacin de Niveles de Seguridad
o Listado de Productos Generados
o Niveles de Seguridad de los Productos
o Soporte de Almacenamiento
Prcticas
Revisin
Catalogacin
Participantes
Responsable de Seguridad
EVS-SEG 1 EVS-SEG 6
EVS-SEG 2
EVS 1 EVS 4
EVS 2 EVS 5 EVS 6
Establecimiento Estudio de
Estudio de la Valoracin de Seleccin de la
del Alcance del Alternativas de
Situacin Actual las Alternativas Solucin
Sistema Solucin
EVS 3
Definicin de
Requisitos del
Sistema
Productos
De entrada
Catlogo de objetivos del EVS (EVS 1.1)
Plan de trabajo (EVS 1.3)
Seguridad para el Plan de Accin (PSI-SEG 3.1)
De salida
Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema:
o Seguridad para la Ejecucin de Actividades
o Seguridad para la Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad
Jefe de Proyecto
Deben realizarse las sesiones de trabajo necesarias para especificar las labores
que deben desempear y con qu grado de responsabilidad.
Productos
De entrada
Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2)
De salida
Equipo de Seguridad:
o Perfil de Seleccin
o Funciones y Responsabilidades
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Comit de Seguimiento
Responsable de Seguridad
Productos
De entrada
Legislacin, Normas y Procedimientos de Seguridad (Externo)
Catlogo de Normas (EVS 3.1)
Catlogo de Requisitos (EVS 3.3)
De salida
Recomendaciones de Seguridad:
o Normativas y Legislacin
o Catlogo de Recomendaciones de Seguridad
Prcticas
Sesiones de Trabajo
Catalogacin
Participantes
Responsable de Seguridad
Equipo de Seguridad
Productos
De entrada
Recomendaciones de Seguridad (EVS-SEG 3.1)
Alternativas de Solucin a Estudiar (EVS 4.2)
Valoracin de Alternativas (EVS 5.2)
Plan de Trabajo de cada Alternativa (EVS 5.3)
De salida
Seguridad de las Alternativas de Solucin:
o Caractersticas Detalladas para cada Alternativa
o Resultado del Anlisis y Gestin del Riesgo
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Responsable de Seguridad
posibilidades de gestin que pueda hacerse de dichos riesgos. Tras esa labor el Equipo
de Seguridad realiza una evaluacin de la seguridad de la solucin propuesta.
Productos
De entrada
Solucin Propuesta (EVS 6.2)
Seguridad de las Alternativas de Solucin (EVS-SEG 4.1)
De salida
Seguridad de la Solucin Propuesta:
o Caractersticas Detalladas de Seguridad de la Solucin
o Recomendacin Final de Mejoras de Seguridad
Prcticas
Catalogacin
Participantes
Responsable de Seguridad
Equipo de Seguridad
Productos
De entrada
Productos generados durante el proceso Estudio de Viabilidad del Sistema.
De salida
Catalogacin de los Productos Generados en el Proceso Estudio de Viabilidad del
Sistema:
o Determinacin de Niveles de Seguridad
o Listado de Productos Generados
o Niveles de Seguridad de los Productos
o Soporte de Almacenamiento
Prcticas
Revisin
Catalogacin
Participantes
Responsable de Seguridad
Jefe de Proyecto
Comit de Seguimiento
ASI-SEG 1 ASI-SEG 4
ASI 1 ASI 2
Definicin del Sistema Establecimiento de
Requisitos
ASI 3
Slo en
Identificacin de
Orientacin a
Subsistemas de Anlisis
Objetos
ASI 4 Slo en
Anlisis de Casos de Estructurado
Uso
Actividades
ASI 5 comunes
Anlisis de Clases
ASI 6
Elaboracin del
Modelo de Datos ASI 11
ASI 9 ASI 10 Presentacin y
Anlisis de Especificacin del Aprobacin Anlisis
Consistencia Plan de Pruebas Sistema de
ASI 7 Informacin
Elaboracin del
Modelo de Datos
ASI 8
Definicin de
Interfaces de Usuario
ASI-SEG 2 ASI-SEG 3
Productos
De entrada
Catlogo de Requisitos (ASI 1.1)
Planificacin detallada (GPI 2)
De salida
Seguridad Requerida en el Proceso Anlisis del Sistema de Informacin:
o Seguridad para Ejecucin de Actividades
o Seguridad para Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Responsable de Seguridad
Jefe de Proyecto
Para la determinacin de tales funciones pueden utilizarse las tcnicas que posea
al efecto la metodologa de anlisis y gestin de riesgos seleccionada, por ejemplo
MAGERIT. As mismo se establecen los mecanismos de seguridad que implementan
esas funciones.
Productos
De entrada
Seguridad de la Solucin Propuesta (EVS-SEG 5.1)
Catlogo de Requisitos (ASI 2.1)
De salida
Funciones y Mecanismos de Seguridad:
o Estudio de Riesgos
o Especificacin de Funciones de Seguridad
o Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
Responsable de Seguridad
Equipo de Seguridad
Productos
De entrada
Plan de Pruebas (ASI 10.3)
Funciones y Mecanismos de Seguridad (ASI-SEG 2.1)
De salida
Plan de Pruebas:
o Criterios de Seguridad
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Responsable de Seguridad
Equipo de Seguridad del Proyecto
Jefe de Proyecto
Productos
De entrada
Productos generados durante el proceso Anlisis del Sistema de Informacin
De salida
Catalogacin de los Productos generados en el proceso Anlisis del Sistema de
Informacin:
o Determinacin de Niveles de Seguridad
o Listado de Productos Generados
o Niveles de Seguridad de los Productos
o Soporte de Almacenamiento
Prcticas
Revisin
Catalogacin
Participantes
Responsable de Seguridad
Jefe de Proyecto
Comit de Seguimiento
DSI-SEG 1 DSI-SEG 5
DSI 1
Definicin de la Arquitectura del
Sistema
DSI 2
Diseo de la
Arquitectura de
Soporte DSI 8
Generacin de
Especificaciones
DSI 3 de Construccin
Diseo de
Casos de Uso
Reales DSI 7 DSI 9 DSI 12
Verificacin y Diseo de Aprobacin del
Aceptacin de la Migracin y Diseo Sistema
Arquitectura del Carga Inicial de de Informacin
DSI 4 Sistema Datos
Diseo de
Clases
DSI 10
Especificacin
Tcnica del Plan
DSI 5 de Pruebas Actividad
Diseo de la
comn
Arquitectura de
Mdulos del
Sistema DSI 11
Establecimiento
De Requisitos de Actividad slo
Implantacin Orientado a
DSI 6 Objetos
Diseo Fsico de
Datos
Actividad slo
Estructurado
DSI-SEG 2 DSI-SEG 3 DSI-SEG 4
Productos
De entrada
Planificacin detallada (GPI 2)
De salida
Seguridad Requerida en el Proceso Diseo del Sistema de Informacin:
o Seguridad para Ejecucin de Actividades
o Seguridad para Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Responsable de Seguridad
Jefe de Proyecto
Productos
De entrada
Diseo de la Arquitectura del Sistema (DSI 1.5)
Entorno Tecnolgico del Sistema (DSI 1.6)
De salida
Requisitos de Seguridad del Entorno Tecnolgico
Participantes
Equipo de Seguridad
Responsable de Seguridad
Productos
De entrada
Especificaciones de Construccin del Sistema de Informacin (DSI 8.4)
Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1)
De salida
Requisitos de Seguridad del Entorno de Construccin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Productos
De entrada
Plan de Pruebas (ASI-SEG 4.1)
Funciones y Mecanismos de Seguridad (ASI-SEG 2.1)
Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1)
Procedimientos de Seguridad y Control de acceso (DSI 1.7)
Plan de Pruebas (DSI 10.1)
De salida
Diseo de Pruebas de Seguridad del Sistema y Aceptacin
Prcticas
Pruebas del Sistema
Pruebas de Aceptacin
Participantes
Equipo de Seguridad
Responsable de Seguridad
Productos
De entrada
Productos generados durante el proceso Diseo del Sistema de Informacin
De salida
Catalogacin de los Productos Generados en el Proceso Diseo del Sistema de
Informacin:
o Determinacin de Niveles de Seguridad
o Listado de Productos Generados
o Niveles de Seguridad de los Productos
o Soporte de Almacenamiento
Prcticas
Revisin
Catalogacin
Participantes
Responsable de Seguridad
Jefe de Proyecto
Comit de Seguimiento
CSI 2
Generacin del
Cdigo de los
componentes y
Procedimientos
CSI 4
Ejecucin de las
Pruebas de
Integracin
CSI 6
Elaboracin de los Manuales de
Usuario
CSI 7
Definicin de la Formacin de
Usuarios Finales
CSI 8
Construccin Componentes y
Procedimientos de Migracin y
Carga Inicial de Datos
CSI-SEG 2 CSI-SEG 3
Productos
De entrada
Planificacin detallada (GPI 2)
De salida
Seguridad Requerida en el Proceso Construccin del Sistema de Informacin:
o Seguridad para Ejecucin de Actividades
o Seguridad para Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Responsable de Seguridad
Jefe de Proyecto
Productos
De entrada
Diseo de Pruebas de Seguridad de Sistema y Aceptacin (DSI-SEG 4.1)
Resultado de las Pruebas Unitarias (CSI 3.2)
Resultado de las Pruebas de Integracin (CSI 4.2)
Resultado de las Pruebas del Sistema (CSI 5.2)
De salida
Resultados de las Pruebas de Seguridad de Integracin y de Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad
humano, por accin o negligencia, ya que por muchas medidas que existan, si las
personas no las aplican todo es intil.
Productos
De entrada
Funciones y Mecanismos de Seguridad (DSI-SEG 3.1)
Recomendaciones de Seguridad (EVS-SEG 3.1)
Especificacin de la Formacin a Usuarios Finales (CSI 7.1)
De salida
Plan de Formacin de Seguridad
Tcnicas
Planificacin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Responsable de Seguridad
Productos
De entrada
Productos generados durante el proceso Construccin del Sistema de Informacin
De salida
Catalogacin de los Productos Generados en el Proceso Construccin del Sistema
de Informacin:
o Determinacin de Niveles de Seguridad
o Listado de Productos Generados
o Niveles de Seguridad de los Productos
o Soporte de Almacenamiento
Prcticas
Revisin
Catalogacin
Participantes
Responsable de Seguridad
Jefe de Proyecto
Comit de Seguimiento
IAS-SEG 1 IAS-SEG 4
IAS 4
Carga de datos
al Entorno de
Operacin
IAS 7
Preparacin del Mantenimiento
IAS 8
Establecimiento del Acuerdo de Nivel de Servicio
Productos
De entrada
Plan de Implantacin (IAS 1.1)
De salida
Seguridad Requerida en el Proceso Implantacin y Aceptacin del Sistema de
Informacin:
o Seguridad para Ejecucin de Actividades
o Seguridad para Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Responsable de Seguridad
Jefe de Proyecto
Productos
De entrada
Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1)
De salida
Medidas de Seguridad del Entorno de Operacin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Responsable de Seguridad
Productos
De entrada
Resultado de las Pruebas de Implantacin (IAS 5.2)
Diseo de Pruebas de Seguridad del Sistema y Aceptacin (DSI-SEG 4.1)
De salida
Resultados de las Pruebas de Seguridad de Implantacin del Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad
Productos
De entrada
Productos generados durante el proceso Implantacin y Aceptacin del Sistema
De salida
Catalogacin de los Productos Generados en el Proceso Implantacin y Aceptacin
del Sistema:
o Determinacin de Niveles de Seguridad
o Listado de Productos Generados
o Niveles de Seguridad de los Productos
o Soporte de Almacenamiento
Prcticas
Revisin
Catalogacin
Participantes
Responsable de Seguridad
Jefe de Proyecto
Comit de Seguimiento
Productos
De entrada
Requisitos de Seguridad del Entorno Tecnolgico Previsto (DSI-SEG 2.1)
De salida
Revisin de Medidas de Seguridad del Entorno de Produccin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Responsable de Seguridad
MANTENIMIENTO DE SISTEMAS DE
INFORMACIN
El hecho de contemplar cuestiones de seguridad en el proceso de Mantenimiento
de Sistemas de Informacin es til en la toma de decisiones ante una posible peticin
de una nueva funcionalidad o la modificacin de una existente, ya que la seguridad
debe ser un parmetro ms a contemplar en el anlisis y evaluacin de soluciones.
MSI-SEG 1 MSI-SEG 3
MSI 4
MSI 3
MSI 1 MSI 2 Seguimiento y
Preparacin de la
Registro de Anlisis de Evaluacin de los
Implementacin
la Peticin la Peticin Cambios hasta la
de la Modificacin
Aceptacin
MSI-SEG 2
Productos
De entrada
Plan de Mantenimiento (IAS 7.2)
De salida
Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Informacin:
o Seguridad para la Ejecucin de Actividades
o Seguridad para la Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad
Equipo de Seguridad
Responsable de Mantenimiento
Productos
De entrada
Propuesta de Solucin (MSI 2.2)
Catlogo de Peticiones (MSI 2.2)
Funciones y Mecanismos de Seguridad (ASI-SEG 2.1)
De salida
Recomendaciones de Seguridad
Prcticas
Catalogacin
Participantes
Responsable de Seguridad
Equipo de Seguridad
Productos
De entrada
Recomendaciones de Seguridad (MSI-SEG 2.1)
Propuesta de Solucin (MSI 2.2)
Catlogo de Peticiones (MSI 2.2)
Funciones y Mecanismos de Seguridad (ASI-SEG 2.1)
De salida
Funciones y Mecanismos de Seguridad:
o Estudio de Riesgos
o Especificacin de Funciones de Seguridad
o Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
Responsable de Seguridad
Equipo de Seguridad
Productos
De entrada
Productos generados durante el proceso Mantenimiento de Sistemas de Informacin
De salida
Catalogacin de los Productos Generados en el Proceso Mantenimiento de
Sistemas de Informacin:
o Determinacin de Niveles de Seguridad
o Listado de Productos Generados
o Niveles de Seguridad de los Productos
o Soporte de Almacenamiento
Prcticas
Revisin
Catalogacin
Participantes
Responsable de Seguridad
Jefe de Proyecto