METRICA V3 Seguridad PDF

Seguridad 1
Interfaz de Seguridad
NDICE
DESCRIPCIN Y OBJETIVOS ............................................................................................... 4
PLANIFICACIN DE SISTEMAS DE INFORMACIN.............................................................. 5

ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA SEGURIDAD REQUERIDA EN EL
PROCESO PLANIFICACIN DE SISTEMAS DE INFORMACIN.......................................... 6
Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Planificacin de
Sistemas de Informacin.................................................................................................. 6
Tarea PSI-SEG 1.2: Organizacin y Planificacin .............................................................. 7
ACTIVIDAD PSI-SEG 2: EVALUACIN DEL RIESGO PARA LA ARQUITECTURA
TECNOLGICA .................................................................................................................. 8
Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de las Alternativas de Arquitectura
Tecnolgica..................................................................................................................... 8
Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo de las Alternativas de Arquitectura
Tecnolgica..................................................................................................................... 9
ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA SEGURIDAD EN EL PLAN DE ACCIN. 10
Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el Plan de Accin ......................... 10
ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE PLANIFICACIN DE SISTEMAS DE INFORMACIN ............................. 11
Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Planificacin de Sistemas de Informacin ...................................................... 11
ESTUDIO DE VIABILIDAD DEL SISTEMA............................................................................ 12
ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO
ESTUDIO DE VIABILIDAD DEL SISTEMA.......................................................................... 13
Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Estudio de Viabilidad
del Sistema ................................................................................................................... 13
ACTIVIDAD EVS-SEG 2: SELECCIN DEL EQUIPO DE SEGURIDAD ............................... 14
Tarea EVS-SEG 2.1: Seleccin del Equipo de Seguridad ................................................. 14
ACTIVIDAD EVS-SEG 3: RECOMENDACIONES ADICIONALES DE SEGURIDAD PARA EL
SISTEMA DE INFORMACIN............................................................................................ 15
Tarea EVS-SEG 3.1: Elaboracin de Recomendaciones de Seguridad ............................. 15
ACTIVIDAD EVS-SEG 4: EVALUACIN DE LA SEGURIDAD DE LAS ALTERNATIVAS DE
SOLUCIN....................................................................................................................... 16
Tarea EVS-SEG 4.1: Valoracin y Evaluacin de la Seguridad de las Alternativas de
Solucin ........................................................................................................................ 16
ACTIVIDAD EVS-SEG 5: EVALUACIN DETALLADA DE LA SEGURIDAD DE LA SOLUCIN
PROPUESTA .................................................................................................................... 17
Tarea EVS-SEG 5.1: Descripcin Detallada de la Seguridad de la Solucin Propuesta...... 17
ACTIVIDAD EVS-SEG 6: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE ESTUDIO DE VIABILIDAD DEL SISTEMA.............................................. 18
Tarea EVS-SEG 6.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Estudio de Viabilidad del Sistema.................................................................. 18
ANLISIS DEL SISTEMA DE INFORMACIN ...................................................................... 20
Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3

2 Seguridad
ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE

ANLISIS DEL SISTEMA DE INFORMACIN.................................................................... 21
Tarea ASI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Anlisis del
Sistema de Informacin.................................................................................................. 21
ACTIVIDAD ASI-SEG 2: DESCRIPCIN DE LAS FUNCIONES Y MECANISMOS DE
SEGURIDAD..................................................................................................................... 22
Tarea ASI-SEG 2.1: Estudio de las Funciones y Mecanismos de Seguridad a Implantar .... 22
ACTIVIDAD ASI-SEG 3: DEFINICIN DE LOS CRITERIOS DE ACEPTACIN DE LA
SEGURIDAD..................................................................................................................... 23
Tarea ASI-SEG 3.1: Actualizacin del Plan de Pruebas.................................................... 23
ACTIVIDAD ASI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE ANLISIS DEL SISTEMA DE INFORMACIN ........................................ 24
Tarea ASI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados Durante el
Proceso de Anlisis del Sistema de Informacin.............................................................. 24
DISEO DEL SISTEMA DE INFORMACIN......................................................................... 26
ACTIVIDAD DSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE
DISEO DEL SISTEMA DE INFORMACIN ...................................................................... 27
Tarea DSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Diseo del
ACTIVIDAD DSI-SEG 2: ESPECIFICACIN DE REQUISITOS DE SEGURIDAD DEL
ENTORNO TECNOLGICO .............................................................................................. 28
Tarea DSI-SEG 2.1: Anlisis de los Riesgos del Entorno Tecnolgico............................... 28
ACTIVIDAD DSI-SEG 3: REQUISITOS DE SEGURIDAD DEL ENTORNO DE
CONSTRUCCIN............................................................................................................. 29
Tarea DSI-SEG 3.1: Identificacin de los Requisitos de Seguridad del Entorno de
Construccin ................................................................................................................. 29
ACTIVIDAD DSI-SEG 4: DISEO DE PRUEBAS DE SEGURIDAD...................................... 30
Tarea DSI-SEG 4.1: Diseo de las Pruebas de Seguridad................................................ 30
ACTIVIDAD DSI-SEG 5: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE DISEO DEL SISTEMA DE INFORMACIN.......................................... 31
Tarea DSI-SEG 5.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Diseo del Sistema de Informacin ............................................................... 31
CONSTRUCCIN DEL SISTEMA DE INFORMACIN........................................................... 33
ACTIVIDAD CSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE
CONSTRUCCIN DEL SISTEMA DE INFORMACIN........................................................ 34
Tarea CSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Construccin del
ACTIVIDAD CSI-SEG 2: EVALUACIN DE LOS RESULTADOS DE PRUEBAS DE
SEGURIDAD..................................................................................................................... 35
Tarea CSI-SEG 2.1: Estudio de los Resultados de Pruebas de Seguridad......................... 35
ACTIVIDAD CSI-SEG 3: ELABORACIN DEL PLAN DE FORMACIN DE SEGURIDAD..... 35
Tarea CSI-SEG 3.1: Elaboracin del Plan de Formacin de Seguridad ............................. 36
ACTIVIDAD CSI-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE CONSTRUCCIN DEL SISTEMA DE INFORMACIN............................ 37
Tarea CSI-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Construccin del Sistema de Informacin ...................................................... 37
IMPLANTACIN Y ACEPTACIN DEL SISTEMA................................................................. 39
ACTIVIDAD IAS-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE
IMPLANTACIN Y ACEPTACIN DEL SISTEMA............................................................... 40
Tarea IAS-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso de Implantacin y
Aceptacin del Sistema.................................................................................................. 40
ACTIVIDAD IAS-SEG 2: REVISIN DE MEDIDAS DE SEGURIDAD DEL ENTORNO DE
OPERACIN .................................................................................................................... 41
Tarea IAS-SEG 2.1: Revisin de Medidas de Seguridad del Entorno de Operacin............ 41
Metodologa MTRICA Versin 3 Ministerio de Administraciones Pblicas

Seguridad 3
ACTIVIDAD IAS-SEG 3: EVALUACIN DE RESULTADOS DE PRUEBAS DE SEGURIDAD

DE IMPLANTACIN DEL SISTEMA................................................................................... 42
Tarea IAS-SEG 3.1: Estudio de los Resultados de Pruebas de Seguridad de Implantacin
del Sistema ................................................................................................................... 42
ACTIVIDAD IAS-SEG 4: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE IMPLANTACIN Y ACEPTACIN DEL SISTEMA .................................. 43
Tarea IAS-SEG 4.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso Implantacin y Aceptacin del Sistema .............................................................. 43
ACTIVIDAD IAS-SEG 5: REVISIN DE MEDIDAS DE SEGURIDAD EN EL ENTORNO DE
PRODUCCIN.................................................................................................................. 44
Tarea IAS-SEG 5.1: Revisin de Medidas de Seguridad en el Entorno de Produccin........ 44
MANTENIMIENTO DE SISTEMAS DE INFORMACIN.......................................................... 45
ACTIVIDAD MSI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO
MANTENIMIENTO DE SISTEMAS DE INFORMACIN....................................................... 46
Tarea MSI-SEG 1.1: Estudio de la Seguridad Requerida en el Proceso Mantenimiento de
Sistemas de Informacin................................................................................................ 46
ACTIVIDAD MSI-SEG 2: ESPECIFICACIN E IDENTIFICACIN DE LAS FUNCIONES Y
MECANISMOS DE SEGURIDAD ....................................................................................... 47
Tarea MSI-SEG 2.1: Estudio de la Peticin...................................................................... 47
Tarea MSI-SEG 2.2: Anlisis de las Funciones y Mecanismos de Seguridad Afectados o
Nuevos ......................................................................................................................... 48
ACTIVIDAD MSI-SEG 3: CATALOGACIN DE LOS PRODUCTOS GENERADOS DURANTE
EL PROCESO DE MANTENIMIENTO DE SISTEMAS DE INFORMACIN........................... 49
Tarea MSI-SEG 3.1: Clasificacin y Catalogacin de los Productos Generados durante el
Proceso de Mantenimiento de Sistemas de Informacin................................................... 49

4 Seguridad
DESCRIPCIN Y OBJETIVOS
El objetivo de la interfaz de seguridad de MTRICA Versin 3 es incorporar en los
sistemas de informacin mecanismos de seguridad adicionales a los que se proponen
en la propia metodologa, asegurando el desarrollo de cualquier tipo de sistema a lo
largo de los procesos que se realicen para su obtencin.
La seguridad del sistema de informacin ya se considera en MTRICA Versin 3

como requisito funcional (ASI 2.1), es decir previamente al desarrollo del mismo. La
interfaz de Seguridad hace posible incorporar durante la fase de desarrollo las funciones
y mecanismos que refuerzan la seguridad del nuevo sistema y del propio proceso de
desarrollo, asegurando su consistencia y seguridad.
El anlisis de los riesgos constituye una pieza fundamental en el diseo y

desarrollo de sistemas de informacin seguros. Si bien los riesgos que afectan a un
sistema de informacin son de distinta ndole: naturales (inundaciones, incendios, etc.) o
lgicos (fallos propios, ataques externos, virus, etc.) son estos ltimos los contemplados
en la interfaz de Seguridad de MTRICA Versin 3.
De lo anterior se desprende que existen dentro de la interfaz dos tipos de

actividades diferenciadas:
Actividades relacionadas con la seguridad intrnseca del sistema de informacin
(representadas en la parte inferior del grfico).
Actividades que velan por la seguridad del propio proceso de desarrollo del
sistema de informacin (representadas en la parte superior del grfico).
Si en la organizacin ya existe un plan de seguridad o una metodologa de anlisis

y gestin de riesgos como por ejemplo MAGERIT, para cada sistema de informacin
debern analizarse las necesidades de seguridad del sistema respecto al mtodo
vigente, y determinar las diferencias si las hubiera, as como aquellas necesidades
concretas que no se encuentren recogidas, estableciendo as el plan de seguridad del
sistema de informacin. Si no existe un plan de seguridad en la organizacin habr que
desarrollarlo desde el principio. El plan recoger adems las medidas de seguridad
activas o preventivas y reactivas, en respuesta a situaciones en que se produce un fallo
reduciendo su efecto, relacionadas con la seguridad del sistema de informacin y del
proceso de desarrollo.
Las valoraciones sobre la seguridad deben ser realizadas en funcin de las

caractersticas del sistema: complejidad, tamao, incertidumbre, participantes, etc. por
los responsables de la seguridad del sistema de informacin, quienes se apoyarn para
sus decisiones en su conocimiento y experiencia en la materia sin perder de vista
adems que, al ser finitos los recursos, no pueden asegurarse todos los aspectos del
desarrollo de los sistemas de informacin, por lo que habr que aceptar un determinado
nivel de riesgo concentrndose en los aspectos ms comprometidos o amenazados,
que sern diferentes segn las circunstancias.

Seguridad 5
PLANIFICACIN DE SISTEMAS DE
INFORMACIN
En la actualidad, la mayora de las organizaciones suelen disponer, en mayor o
menor grado, de una poltica de seguridad. Esta poltica constituir el punto de partida
de la interfaz de seguridad, completndola o adaptndola en aquellos aspectos que as
lo requieran. Si la organizacin no dispone de ella ser necesario realizar un esfuerzo
suplementario dirigido a la identificacin de los objetivos de seguridad ya que su
determinacin no es una tarea trivial.
La seguridad influir en las decisiones adoptadas en el proceso de Planificacin

de Sistemas de Informacin al igual que otros aspectos tales como la calidad, ya que
debe ser un parmetro ms a contemplar en el anlisis y evaluacin de soluciones.
En la siguiente figura aparecen las actividades de la interfaz de seguridad a lo

largo del proceso Planificacin de Sistemas de Informacin (PSI).
PSI-SEG 1 PSI-SEG 4
PSI 1 PSI 2 PSI 3 PSI 7 PSI 8 PSI 9

Inicio del Plan Definicin y Estudio de Definicin de la Definicin del Revisin y
del Sistemas de Organizacin del Informacin Arquitectura Plan de Accin Aprobacin
Informacin PSI Relevante Tecnolgica
PSI 4 PSI 6
Identificacin de Diseo del
Requisitos Modelo de
Sistema de
Informacin
PSI 5
Estudio de los
Sistemas de
Informacin
Actuales
PSI-SEG 2 PSI-SEG 3

6 Seguridad
ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA

SEGURIDAD REQUERIDA EN EL PROCESO
PLANIFICACIN DE SISTEMAS DE INFORMACIN
Durante esta actividad, y para el proceso de Planificacin de Sistemas de
Informacin, se especifica:
La poltica de seguridad de la organizacin, si existe.
La determinacin global de objetivos de seguridad.
La organizacin necesaria para la seguridad.
Tarea Productos Tcnicas y Prcticas Participantes

PSI- Estudio de la Seguridad Requerida Sesiones de Trabajo Responsable de
SEG 1.1 Seguridad en el Proceso Seguridad
Requerida en el Planificacin de
Proceso Sistemas de Sistemas
Planificacin de de Informacin:
Sistemas de o Seguridad para la
Informacin Ejecucin de
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios
PSI-SEG Organizacin y Plan de Seguridad de Revisin Responsable de
1.2 Planificacin Sistemas de Sesiones de Trabajo Seguridad
Informacin Comit de
o Poltica de Seguridad Direccin
de la Organizacin
o Organizacin y
Planificacin
Necesaria para la
Seguridad
o Anlisis y
Conclusiones
Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso Planificacin de Sistemas de Informacin
El Responsable de Seguridad debe estudiar si es necesario supervisar la
seguridad (niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los
productos generados en las actividades del proceso Planificacin de Sistemas de
Informacin. Como fruto de dicho estudio se establecer el control de la seguridad en
las actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada
Descripcin General del PSI (PSI 1.3)
Poltica de Seguridad de la Organizacin (externo)
Riesgo Aceptable (Comit de Seguimiento)

Seguridad 7
De salida
Seguridad Requerida en el Proceso Planificacin de Sistemas de Informacin:
o Seguridad para la Ejecucin de Actividades
o Seguridad para la Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Responsable de Seguridad
Tarea PSI-SEG 1.2: Organizacin y Planificacin

El responsable de seguridad determina la organizacin y planificacin necesaria
para la seguridad del proceso con objetivos, fases y posibles condicionantes. Deben
adaptarse los objetivos globales de seguridad de la organizacin relacionndolos con
los recursos necesarios, y determinando as el equipo de seguridad necesario para el
proceso de Planificacin de Sistemas de Informacin.
Productos
De entrada
Poltica de Seguridad de la Organizacin (externo)
Seguridad Requerida en el Proceso PSI (PSI-SEG 1.1)
De salida
Plan de Seguridad de los Sistemas de Informacin:
o Poltica de Seguridad de la Organizacin
o Organizacin y Planificacin Necesaria para la Seguridad
o Anlisis y Conclusiones
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Comit de Direccin

8 Seguridad
ACTIVIDAD PSI-SEG 2: EVALUACIN DEL

RIESGO PARA LA ARQUITECTURA
TECNOLGICA
Se evalan las caractersticas (vulnerabilidades, riesgos y costes de los
mecanismos de seguridad a implantar) para la arquitectura tecnolgica establecida en
cada una de las alternativas de solucin. Dicha evaluacin se entrega al Comit de
Seguimiento para su aprobacin.

PSI- Estudio y Seguridad de las Revisin Equipo de
SEG 2.1 Evaluacin del Alternativas de Sesiones de Trabajo Seguridad
Riesgo de las Arquitectura Responsable de
Alternativas de Tecnolgica: Seguridad
Arquitectura o Caractersticas
Tecnolgica detalladas de
seguridad para cada
Alternativa
o Anlisis y Gestin del
Riesgo de cada
Alternativa
PSI- Revisin de la Seguridad de las Revisin Comit de
SEG 2.2 Evaluacin del Alternativas de Sesiones de Trabajo Seguimiento
Riesgo de las Arquitectura Responsable de
Alternativas de Tecnolgica: Seguridad
Arquitectura o Anlisis y Gestin del
Tecnolgica Riesgo de la
Arquitectura
Tecnolgica
o Nivel de Riesgo
Aceptable
Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de

las Alternativas de Arquitectura Tecnolgica
El equipo de seguridad estudia las alternativas de arquitectura tecnolgica,
analizando para cada una el nivel de seguridad, las vulnerabilidades, los riesgos y la
posible gestin de los mismos. Para ello, dicho equipo realizar los siguientes pasos:
Determinacin de los principales recursos (entornos, redes, comunicaciones, etc) de
cada una de las alternativas de arquitectura tecnolgica.
Identificacin de las amenazas relevantes para cada uno de los recursos anteriores.
Determinacin del riesgo efectivo e intrnseco de cada alternativa.
Seleccin de los mecanismos de salvaguarda oportunos que minimicen los riesgos.
Para la realizacin de esta tarea se puede tomar como referencia MAGERIT,
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
Productos
De entrada
Plan de Seguridad de los Sistemas de Informacin (PSI-SEG 1.2)
Alternativas de Arquitectura Tecnolgica (PSI 7.1)

Seguridad 9
De salida
Seguridad de las Alternativas de Arquitectura Tecnolgica:
o Caractersticas detalladas de seguridad para cada Alternativa
o Anlisis y Gestin del Riesgo de cada Alternativa
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo

de las Alternativas de Arquitectura Tecnolgica
Una vez se dispone de la alternativa de la arquitectura tecnolgica seleccionada
(PSI 7.2) y del estudio de seguridad de las alternativas obtenido en la tarea anterior, el
Comit de Seguimiento y el Responsable de Seguridad realizan un examen del mismo
para aceptarlo o rechazarlo.
Productos
De entrada
Arquitectura Tecnolgica (PSI 7.2)
Seguridad de las Alternativas de Arquitectura Tecnolgica (PSI-SEG 2.1)
De salida
Seguridad de las Alternativas de Arquitectura Tecnolgica:
o Anlisis y Gestin del Riesgo de la Arquitectura Tecnolgica
o Nivel de Riesgo Aceptable
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Comit de Seguimiento

10 Seguridad
ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA

SEGURIDAD EN EL PLAN DE ACCIN
Una vez definida la arquitectura tecnolgica en el Plan de Sistemas de
Informacin se determina la poltica de seguridad a llevar a cabo en el Plan de Accin
en funcin de los riesgos aceptados. El objetivo de esta actividad es detallar la forma en
que se efectuar la puesta en marcha de los servicios y mecanismos de salvaguarda
durante el Plan de Accin, as como la infraestructura y los recursos necesarios para
llevarlo a cabo.

PSI- Determinacin de la Seguridad para el Plan Revisin Comit de
SEG 3.1 Seguridad en el de Accin Sesiones de Trabajo Seguimiento
Plan de Accin Responsable de
Seguridad
Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el

Plan de Accin
Se estudia el Plan de Accin establecido en el Plan de Sistemas de Informacin
(PSI 8.1) con el objetivo de programar los recursos lgicos y fsicos necesarios para la
activacin de los servicios y mecanismos de salvaguarda que se determinaron para la
arquitectura tecnolgica escogida.
Productos
De entrada
Plan de Accin (PSI 8.1)
De salida
Seguridad para el Plan de Accin
Prcticas
Revisin
Sesiones de Trabajo
Participantes

Seguridad 11
ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS

PRODUCTOS GENERADOS DURANTE EL
PROCESO DE PLANIFICACIN DE SISTEMAS DE
INFORMACIN

PSI- Clasificacin y Catalogacin de los Revisin Responsable de
SEG 4.1 Catalogacin de los Productos Generados Catalogacin Seguridad
Productos en el Proceso PSI:
Generados durante o Determinacin de
el Proceso de Niveles de Seguridad
Planificacin de o Listado de Productos
Sistemas de Generados
Informacin o Niveles de Seguridad
de los Productos
o Soporte de
Almacenamiento
Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los

Productos Generados durante el Proceso de
Planificacin de Sistemas de Informacin
El responsable de seguridad estudia los productos generados durante el proceso
de Planificacin de Sistemas de Informacin y determinan el nivel de seguridad de cada
uno de ellos con respecto a la autenticacin, confidencialidad, integridad y
disponibilidad. En funcin del nivel de seguridad se establece la catalogacin y archivo
de los productos, teniendo en cuenta a este respecto las particularidades del soporte de
almacenamiento elegido y del sistema de gestin de configuracin vigente en la
organizacin (Vase la Interfaz de Gestin de Configuracin).
Productos
De entrada
Productos generados durante el proceso Planificacin de Sistemas de Informacin
De salida
Catalogacin de los Productos Generados en el Proceso Planificacin de Sistemas
de Informacin:
o Determinacin de Niveles de Seguridad
o Listado de Productos Generados
o Niveles de Seguridad de los Productos
o Soporte de Almacenamiento
Prcticas
Revisin
Catalogacin
Participantes

12 Seguridad
ESTUDIO DE VIABILIDAD DEL SISTEMA

La primera actividad de la interfaz de Seguridad que debe abordarse en el
proceso de Estudio de Viabilidad del Sistema es el estudio de la seguridad requerida en
este proceso, seleccionando a continuacin a los miembros del Equipo de Seguridad
para los procesos de Estudio de Viabilidad, Anlisis, Diseo, Construccin e
Implantacin del Sistema de Informacin. Se trata de una tarea de vital importancia para
las siguientes actividades de seguridad, tanto las relativas a la Seguridad del Sistema
de Informacin, como para las concernientes a la Seguridad del Proceso de Desarrollo.
Es importante que tanto el Responsable de Seguridad como el Equipo de Seguridad se
basen en la poltica de seguridad de la organizacin y en la Seguridad para el Plan de
Accin (PSI-SEG 3.1). Si no se ha realizado el proceso Planificacin de Sistemas de
Informacin y las actividades de la interfaz de seguridad correspondientes al mismo, se
partir de la poltica de seguridad de la organizacin y del nivel de riesgo aceptable.
En el siguiente grfico se muestra la relacin entre las actividades del Estudio de

Viabilidad del Sistema (EVS) y las de la interfaz de Seguridad.
EVS-SEG 1 EVS-SEG 6
EVS-SEG 2
EVS 1 EVS 4
EVS 2 EVS 5 EVS 6
Establecimiento Estudio de
Estudio de la Valoracin de Seleccin de la
del Alcance del Alternativas de
Situacin Actual las Alternativas Solucin
Sistema Solucin
EVS 3
Definicin de
Requisitos del
Sistema
EVS-SEG 3 EVS-SEG 4 EVS-SEG 5

Seguridad 13
ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA

ESTUDIO DE VIABILIDAD DEL SISTEMA

EVS- Estudio de la Seguridad Requerida Sesiones de Trabajo Responsable de
SEG 1.1 Seguridad en el Proceso Estudio Seguridad
Requerida en el de Viabilidad del Jefe de Proyecto
Proceso Estudio de Sistema:
Viabilidad del o Seguridad para
Sistema Ejecucin de
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso Estudio de Viabilidad del Sistema
El Responsable de Seguridad analiza la necesidad de supervisar la seguridad
(niveles de autenticacin, confidencialidad, integridad y disponibilidad) de los productos
intermedios de alguna de las actividades del proceso Estudio de Viabilidad del Sistema.
Para ello se basa en las particularidades del sistema de informacin y en la manera en
que el proceso es llevado a cabo. Como fruto de dicho estudio, y teniendo en cuenta las
caractersticas del proceso, se establecer el control de la seguridad en las actividades
tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada
Catlogo de objetivos del EVS (EVS 1.1)
Plan de trabajo (EVS 1.3)
Seguridad para el Plan de Accin (PSI-SEG 3.1)
De salida
Seguridad Requerida en el Proceso Estudio de Viabilidad del Sistema:
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Jefe de Proyecto

14 Seguridad
ACTIVIDAD EVS-SEG 2: SELECCIN DEL EQUIPO

DE SEGURIDAD

EVS- Seleccin del Equipo de Seguridad Revisin Comit de
SEG 2.1 Equipo de o Perfil de Seleccin Sesiones de Trabajo Seguimiento
Seguridad o Funciones y Responsable de
Responsabilidades Seguridad
Tarea EVS-SEG 2.1: Seleccin del Equipo de Seguridad

La naturaleza de las funciones a desempear y la criticidad y confidencialidad de
la informacin y productos a los que tendr acceso el personal de seguridad hacen
necesario que tanto el Comit de Seguimiento como el Responsable de Seguridad
seleccionen cuidadosamente a los miembros del equipo de seguridad para el proceso
de desarrollo completo.
Deben realizarse las sesiones de trabajo necesarias para especificar las labores
que deben desempear y con qu grado de responsabilidad.
Productos
De entrada
De salida
Equipo de Seguridad:
o Perfil de Seleccin
o Funciones y Responsabilidades
Prcticas
Revisin
Sesiones de Trabajo
Participantes

Seguridad 15
ACTIVIDAD EVS-SEG 3: RECOMENDACIONES

ADICIONALES DE SEGURIDAD PARA EL
SISTEMA DE INFORMACIN
El Equipo de Seguridad establece las recomendaciones de seguridad del sistema
en funcin del umbral del riesgo aceptado o asumible. Para ello, se estudian las
amenazas y vulnerabilidades que en funcin del Catlogo de Requisitos del Sistema
(EVS 3.3) se prevean, as como el impacto previsible de su materializacin.

EVS- Elaboracin de Recomendaciones de Sesiones de Trabajo Responsable de
SEG 3.1 Recomendaciones Seguridad: Catalogacin Seguridad
de Seguridad o Normativas y Equipo de
Legislacin Seguridad
o Catlogo de
Recomendaciones
de Seguridad
Tarea EVS-SEG 3.1: Elaboracin de Recomendaciones

de Seguridad
El Equipo de Seguridad estudia la legislacin, normas y procedimientos referentes
a la seguridad que son aplicables al sistema de informacin y que completan la poltica
de seguridad de la organizacin, elaborando las recomendaciones de seguridad para
dicho sistema.
Productos
De entrada
Legislacin, Normas y Procedimientos de Seguridad (Externo)
Catlogo de Normas (EVS 3.1)
Catlogo de Requisitos (EVS 3.3)
De salida
Recomendaciones de Seguridad:
o Normativas y Legislacin
o Catlogo de Recomendaciones de Seguridad
Prcticas
Sesiones de Trabajo
Catalogacin
Participantes
Equipo de Seguridad

16 Seguridad
ACTIVIDAD EVS-SEG 4: EVALUACIN DE LA

SEGURIDAD DE LAS ALTERNATIVAS DE
SOLUCIN
Se revisan las caractersticas de seguridad (amenazas, vulnerabilidades, riesgos y
costes de los mecanismos de seguridad a implantar) de cada una de las alternativas de
solucin, identificando la alternativa ms adecuada de acuerdo con los requisitos de
seguridad del sistema identificados en MTRICA Versin 3 y las recomendaciones
adicionales de seguridad establecidas en EVS-SEG 3.1.

EVS- Valoracin y Seguridad de las Revisin Equipo de
SEG 4.1 Evaluacin de la Alternativas de Sesiones de Trabajo Seguridad
Seguridad de las Solucin: Responsable de
Alternativas de o Caractersticas Seguridad
Solucin Detalladas para cada
Alternativa
o Resultado del
Anlisis y Gestin del
Riesgo
Tarea EVS-SEG 4.1: Valoracin y Evaluacin de la

Seguridad de las Alternativas de Solucin
El Equipo de Seguridad estudia la informacin sobre las alternativas de solucin.
Debe analizar el nivel de seguridad, las vulnerabilidades, los riesgos y la gestin de los
mismos para cada una de las alternativas de solucin. Para ello dicho equipo sigue los
pasos enumerados a continuacin:
Determinacin de los principales recursos del sistema de informacin (entorno,
aplicaciones, informacin, funcionalidades de la organizacin, personal, etc.) que
intervienen en cada una de las alternativas de solucin.
Identificacin de las amenazas relevantes para cada uno de los recursos anteriores.
Determinacin del riesgo efectivo e intrnseco de cada una de las alternativas de
solucin.
Productos
De entrada
Recomendaciones de Seguridad (EVS-SEG 3.1)
Alternativas de Solucin a Estudiar (EVS 4.2)
Valoracin de Alternativas (EVS 5.2)
Plan de Trabajo de cada Alternativa (EVS 5.3)
De salida
Seguridad de las Alternativas de Solucin:
o Caractersticas Detalladas para cada Alternativa
o Resultado del Anlisis y Gestin del Riesgo

Seguridad 17
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Equipo de Seguridad
ACTIVIDAD EVS-SEG 5: EVALUACIN

DETALLADA DE LA SEGURIDAD DE LA
SOLUCIN PROPUESTA
El objetivo de esta actividad es describir en detalle la seguridad de la solucin
escogida, identificando las posibles debilidades y mejoras.

EVS- Descripcin Seguridad de la Catalogacin Responsable de
SEG 5.1 Detallada de la Solucin Propuesta: Seguridad
Seguridad de la o Caractersticas Equipo de
Solucin Propuesta Detalladas de Seguridad
Seguridad de la
Solucin
o Recomendacin
Final de Mejoras de
Seguridad
Tarea EVS-SEG 5.1: Descripcin Detallada de la

Seguridad de la Solucin Propuesta
El estudio de la seguridad de la solucin propuesta debe llevarse a cabo partiendo
del estudio de seguridad de las alternativas de solucin realizado en EVS-SEG 4,
amplindolo y profundizando en el mismo para la alternativa seleccionada. Para ello se
siguen las etapas citadas a continuacin:
Determinacin de los principales recursos del sistema de informacin (entorno,
aplicaciones, informacin, funcionalidades de la organizacin, personal, etc.) que
intervienen en la solucin propuesta.
Identificacin y estudio de las amenazas relevantes para cada uno de los recursos
anteriores. Se analiza la posibilidad de que dichas amenazas se materialicen sobre
cada recurso (vulnerabilidad del recurso) y su impacto en el sistema.
Determinacin del riesgo efectivo e intrnseco de la solucin propuesta.
Incorporacin, si es necesario, de nuevos mecanismos a este respecto.
Partiendo de una especificacin de las principales caractersticas de la solucin y

mediante modelos de inferencia, se detectan las vulnerabilidades, riesgos y las

18 Seguridad
posibilidades de gestin que pueda hacerse de dichos riesgos. Tras esa labor el Equipo
de Seguridad realiza una evaluacin de la seguridad de la solucin propuesta.
Productos
De entrada
Solucin Propuesta (EVS 6.2)
Seguridad de las Alternativas de Solucin (EVS-SEG 4.1)
De salida
Seguridad de la Solucin Propuesta:
o Caractersticas Detalladas de Seguridad de la Solucin
o Recomendacin Final de Mejoras de Seguridad
Prcticas
Catalogacin
Participantes
Equipo de Seguridad
ACTIVIDAD EVS-SEG 6: CATALOGACIN DE LOS

PROCESO DE ESTUDIO DE VIABILIDAD DEL
SISTEMA

EVS- Clasificacin y Catalogacin de los Revisin Responsable de
Productos en el Proceso Estudio Jefe de Proyecto
Generados durante de Viabilidad del Comit de
el Proceso de Sistema: Seguimiento
Estudio de o Determinacin de
Viabilidad del Niveles de Seguridad
Sistema o Listado de Productos
Generados
o Niveles de Seguridad
de los Productos
o Soporte de
Almacenamiento
Tarea EVS-SEG 6.1: Clasificacin y Catalogacin de los

Productos Generados durante el Proceso de Estudio de
Viabilidad del Sistema
El Responsable de Seguridad, el Jefe de Proyecto y el Comit de Seguimiento
estudian los productos generados durante el proceso de Estudio de Viabilidad del

Seguridad 19
Sistema y determinan el nivel de seguridad de cada uno de ellos con respecto a la

autenticacin, confidencialidad, integridad y disponibilidad. En funcin del nivel de
seguridad se establece la catalogacin y archivo de los productos, teniendo en cuenta a
este respecto las particularidades del soporte de almacenamiento elegido y del sistema
de gestin de configuracin vigente en la organizacin.
Productos
De entrada
Productos generados durante el proceso Estudio de Viabilidad del Sistema.
De salida
Catalogacin de los Productos Generados en el Proceso Estudio de Viabilidad del
Sistema:
Prcticas
Revisin
Catalogacin
Participantes
Jefe de Proyecto

20 Seguridad
ANLISIS DEL SISTEMA DE INFORMACIN

En las actividades de la interfaz de seguridad que se realizan durante el proceso
de Anlisis del Sistema de Informacin se hace referencia a lo que se denomina
funciones de seguridad y mecanismos de seguridad. El entendimiento de ambos
conceptos es fundamental para comprender su papel dentro del trabajo de desarrollo de
un sistema de informacin:
Una funcin de seguridad se define como un servicio que garantiza la seguridad del
sistema de informacin.
Un mecanismo de seguridad se define como la lgica o el algoritmo que
implementa una funcin de seguridad, ya sea en Hardware o en Software.
Las funciones y mecanismos adicionales de seguridad definidos en las actividades

de interfaz se implementarn en el sistema a travs de MTRICA Versin 3, al igual que
los dems requisitos de seguridad.
En el siguiente grfico se muestra la relacin entre las actividades del proceso de

Anlisis del Sistema de Informacin (ASI) y las de la interfaz de Seguridad.
ASI-SEG 1 ASI-SEG 4
ASI 1 ASI 2
Definicin del Sistema Establecimiento de
Requisitos
ASI 3
Slo en
Identificacin de
Orientacin a
Subsistemas de Anlisis
Objetos
ASI 4 Slo en
Anlisis de Casos de Estructurado
Uso
Actividades
ASI 5 comunes
Anlisis de Clases
ASI 6
Elaboracin del
Modelo de Datos ASI 11
ASI 9 ASI 10 Presentacin y
Anlisis de Especificacin del Aprobacin Anlisis
Consistencia Plan de Pruebas Sistema de
ASI 7 Informacin
Elaboracin del
Modelo de Datos
ASI 8
Definicin de
Interfaces de Usuario
ASI-SEG 2 ASI-SEG 3

Seguridad 21
ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA

SEGURIDAD REQUERIDA EN EL PROCESO DE
ANLISIS DEL SISTEMA DE INFORMACIN

ASI- Estudio de la Seguridad Requerida Sesiones de Trabajo Equipo de
SEG 1.1 Seguridad en el Proceso Anlisis Seguridad
Requerida en el del Sistema de Responsable de
Proceso de Anlisis Informacin: Seguridad
del Sistema de o Seguridad para Jefe de Proyecto
Actividades
o Seguridad para
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tarea ASI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso de Anlisis del Sistema de Informacin
El Equipo de Seguridad estudia la necesidad de supervisar la seguridad (niveles
de autenticacin, confidencialidad, integridad y disponibilidad) de los productos
generados en alguna de las actividades del proceso de Anlisis del Sistema de
Informacin. Para ello se parte de la planificacin del proceso obtenida mediante la
interfaz de Gestin de Proyectos (GPI 2) y de las particularidades del sistema de
informacin. Como fruto de dicho estudio, y teniendo en cuenta las caractersticas del
proceso, se establecer el control de la seguridad en las actividades tanto a nivel de
ejecucin como de los productos obtenidos.
Productos
De entrada
Catlogo de Requisitos (ASI 1.1)
Planificacin detallada (GPI 2)
De salida
Seguridad Requerida en el Proceso Anlisis del Sistema de Informacin:
o Seguridad para Ejecucin de Actividades
o Seguridad para Clasificacin y Catalogacin de los Productos
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Jefe de Proyecto

22 Seguridad
ACTIVIDAD ASI-SEG 2: DESCRIPCIN DE LAS

FUNCIONES Y MECANISMOS DE SEGURIDAD
El objetivo de esta actividad es describir las funciones adicionales de seguridad
prestando especial atencin a las de tipo organizativo que deben ser incorporadas al
catlogo de requisitos del sistema. Igualmente deben determinarse los mecanismos de
seguridad que permiten la consecucin de tales funciones.

ASI- Estudio de las Funciones y Catalogacin Responsable de
SEG 2.1 Funciones y Mecanismos de Seguridad
Mecanismos de Seguridad: Equipo de
Seguridad a o Estudio de Riesgos Seguridad
Implantar o Especificacin de
Funciones de
Seguridad
o Mecanismos de
Seguridad
Tarea ASI-SEG 2.1: Estudio de las Funciones y

Mecanismos de Seguridad a Implantar
Se estudian los aspectos complementarios a los contemplados en MTRICA
Versin 3 en cuanto a funciones y mecanismos de seguridad a implantar.
La seleccin de las funciones de seguridad a implementar se hace en funcin de

la gestin de los riesgos escogida, de forma que los riesgos se minimicen, eliminen o
controlen. El Equipo de Seguridad ha de determinar el tipo de funciones de seguridad a
implantar (de prevencin, de deteccin o de correccin) y la naturaleza de las mismas
(tcnica, fsica, organizativa, etc.). Se presta especial atencin a los aspectos de
seguridad organizativa, ya que son tanto o ms importantes que los relativos a la
seguridad fsica y tcnica.
Para la determinacin de tales funciones pueden utilizarse las tcnicas que posea
al efecto la metodologa de anlisis y gestin de riesgos seleccionada, por ejemplo
MAGERIT. As mismo se establecen los mecanismos de seguridad que implementan
esas funciones.
Las funciones y mecanismos adicionales de seguridad definidos en esta actividad

se implementarn en el sistema a travs de MTRICA Versin 3, al igual que los dems
requisitos de seguridad.
Productos
De entrada
Seguridad de la Solucin Propuesta (EVS-SEG 5.1)
Catlogo de Requisitos (ASI 2.1)
De salida
Funciones y Mecanismos de Seguridad:
o Estudio de Riesgos
o Especificacin de Funciones de Seguridad

Seguridad 23
o Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
Equipo de Seguridad
ACTIVIDAD ASI-SEG 3: DEFINICIN DE LOS

CRITERIOS DE ACEPTACIN DE LA SEGURIDAD
El Equipo de Seguridad debe determinar los criterios de aceptacin de la
seguridad para el sistema de informacin.

ASI- Actualizacin del Plan de Pruebas Revisin Responsable de
SEG 3.1 Plan de Pruebas o Criterios de Sesiones de Trabajo Seguridad
Seguridad Equipo de
Seguridad
Jefe de Proyecto
Tarea ASI-SEG 3.1: Actualizacin del Plan de Pruebas

Partiendo del plan de pruebas del Sistema de Informacin, se incluirn en las
pruebas los funciones y mecanismos adicionales de seguridad. El Equipo de Seguridad
debe comprobar la eficiencia del sistema de informacin para la eliminacin, control o
reduccin de las amenazas mediante los mecanismos de seguridad.
Productos
De entrada
Plan de Pruebas (ASI 10.3)
Funciones y Mecanismos de Seguridad (ASI-SEG 2.1)
De salida
Plan de Pruebas:
o Criterios de Seguridad
Prcticas
Revisin
Sesiones de Trabajo
Participantes
Equipo de Seguridad del Proyecto
Jefe de Proyecto

24 Seguridad
ACTIVIDAD ASI-SEG 4: CATALOGACIN DE LOS

PROCESO DE ANLISIS DEL SISTEMA DE
INFORMACIN

ASI- Clasificacin y Catalogacin de los Revisin Responsable de
Productos en el Proceso Anlisis Jefe de Proyecto
Generados durante del Sistema de Comit de
el Proceso de Informacin: Seguimiento
Anlisis del Sistema o Determinacin de
de Informacin Niveles de Seguridad
o Listado de Productos
Generados
de los Productos
o Soporte de
Almacenamiento
Tarea ASI-SEG 4.1: Clasificacin y Catalogacin de los

Productos Generados Durante el Proceso de Anlisis
del Sistema de Informacin
estudian los productos generados durante el proceso de Anlisis del Sistema de
Informacin y determinan el nivel de seguridad de cada uno de ellos con respecto a la
autenticacin, confidencialidad, integridad y disponibilidad.
En funcin del nivel de seguridad se establece la catalogacin y archivo de los

productos, teniendo en cuenta a este respecto las particularidades del soporte de
almacenamiento elegido y del sistema de gestin de configuracin vigente en la
organizacin.
Productos
De entrada
Productos generados durante el proceso Anlisis del Sistema de Informacin
De salida
Catalogacin de los Productos generados en el proceso Anlisis del Sistema de
Informacin:
Prcticas
Revisin
Catalogacin

Seguridad 25
Participantes
Jefe de Proyecto

26 Seguridad
DISEO DEL SISTEMA DE INFORMACIN

Durante este proceso cobran especial relevancia las actividades que tienden a
velar por la seguridad del sistema de informacin, disendose las funciones de
seguridad que controlarn, minimizarn o eliminarn los riesgos intrnsecos al sistema
de informacin. Es tambin importante para la seguridad la determinacin del entorno
tecnolgico, ya que sobre l se debern incorporar las funciones y mecanismos de
seguridad.
En el siguiente grfico se aprecia la relacin entre las actividades del proceso

Diseo del Sistema de Informacin (DSI) y las de la interfaz de Seguridad.
DSI-SEG 1 DSI-SEG 5
DSI 1
Definicin de la Arquitectura del
Sistema
DSI 2
Diseo de la
Arquitectura de
Soporte DSI 8
Generacin de
Especificaciones
DSI 3 de Construccin
Diseo de
Casos de Uso
Reales DSI 7 DSI 9 DSI 12
Verificacin y Diseo de Aprobacin del
Aceptacin de la Migracin y Diseo Sistema
Arquitectura del Carga Inicial de de Informacin
DSI 4 Sistema Datos
Diseo de
Clases
DSI 10
Especificacin
Tcnica del Plan
DSI 5 de Pruebas Actividad
Diseo de la
comn
Arquitectura de
Mdulos del
Sistema DSI 11
Establecimiento
De Requisitos de Actividad slo
Implantacin Orientado a
DSI 6 Objetos
Diseo Fsico de
Datos
Actividad slo
Estructurado
DSI-SEG 2 DSI-SEG 3 DSI-SEG 4

Seguridad 27
ACTIVIDAD DSI-SEG 1: ESTUDIO DE LA

DISEO DEL SISTEMA DE INFORMACIN

DSI- Estudio de la Seguridad Requerida Sesiones de Trabajo Equipo de
SEG 1.1 Seguridad en el Proceso Diseo Seguridad
Requerida en el del Sistema de Responsable de
Proceso de Diseo Informacin: Seguridad
del Sistema de o Seguridad para Jefe de Proyecto
Actividades
o Seguridad para
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tarea DSI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso de Diseo del Sistema de Informacin
El Responsable de Seguridad y el Equipo de Seguridad estudian, partiendo de las
particularidades del sistema de informacin, si es necesario supervisar la seguridad
(niveles de autenticacin, confidencialidad, integridad y disponibilidad de los productos
intermedios) de alguna de las actividades del proceso Diseo del Sistema de
Informacin previstas en la planificacin del proceso obtenida mediante la interfaz de
Gestin de Proyectos (GPI 2). Como fruto de dicho estudio, y teniendo en cuenta las
caractersticas del proceso, se establecer el control de la seguridad en las actividades
tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada
De salida
Seguridad Requerida en el Proceso Diseo del Sistema de Informacin:
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Jefe de Proyecto

28 Seguridad
ACTIVIDAD DSI-SEG 2: ESPECIFICACIN DE

REQUISITOS DE SEGURIDAD DEL ENTORNO
TECNOLGICO
Es una realidad que el entorno tecnolgico acta de manera significativa en la
seguridad del sistema de informacin. En algunos casos aporta mayor seguridad al
sistema; en otros, por el contrario, provoca un dficit de seguridad que habr de ser
superado. Esta actividad estudia en qu modo y en qu medida el entorno tecnolgico
previsto influye en la seguridad.

DSI- Anlisis de los Requisitos de Equipo de
SEG 2.1 Riesgos del Entorno Seguridad del Entorno Seguridad
Tecnolgico Tecnolgico Responsable de
Seguridad
Tarea DSI-SEG 2.1: Anlisis de los Riesgos del Entorno

Tecnolgico
El Equipo de Seguridad estudia los riesgos que plantea la conjuncin del entorno
tecnolgico previsto y el sistema de informacin. Las tcnicas para la deteccin de
riesgos sirven de apoyo para la identificacin de los mismos en el entorno tecnolgico
del sistema.
Productos
De entrada
Diseo de la Arquitectura del Sistema (DSI 1.5)
Entorno Tecnolgico del Sistema (DSI 1.6)
De salida
Requisitos de Seguridad del Entorno Tecnolgico
Participantes
Equipo de Seguridad

Seguridad 29
ACTIVIDAD DSI-SEG 3: REQUISITOS DE

SEGURIDAD DEL ENTORNO DE CONSTRUCCIN
El Equipo de Seguridad establece los requisitos de seguridad que debe cumplir el
entorno de construccin del Sistema de Informacin (ubicacin, gestin de los datos,
comunicaciones, control de acceso, etc.).

DSI- Identificacin de los Requisitos de Sesiones de Trabajo Equipo de
SEG 3.1 Requisitos de Seguridad del Entorno Seguridad
Seguridad del de Construccin
Entorno de
Construccin
Tarea DSI-SEG 3.1: Identificacin de los Requisitos de

Seguridad del Entorno de Construccin
El Equipo de Seguridad estudia las condiciones que debe cumplir el entorno de
Construccin del Sistema de Informacin en materia de seguridad. Para ello se lleva a
cabo un anlisis de la seguridad del entorno de construccin, determinando los riesgos
intrnsecos y los mecanismos de salvaguarda.
Productos
De entrada
Especificaciones de Construccin del Sistema de Informacin (DSI 8.4)
Requisitos de Seguridad del Entorno Tecnolgico (DSI-SEG 2.1)
De salida
Requisitos de Seguridad del Entorno de Construccin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad

30 Seguridad
ACTIVIDAD DSI-SEG 4: DISEO DE PRUEBAS DE

SEGURIDAD
A partir del plan de pruebas del sistema y teniendo en cuenta las funciones y
mecanismos de seguridad as como los requisitos de seguridad del entorno, el Equipo
de Seguridad ha de acometer el diseo de las pruebas de seguridad.

DSI-
Diseo de las Diseo de Pruebas de Pruebas del Sistema Equipo de
SEG 4.1 Pruebas de Seguridad del Sistema Pruebas de Seguridad
Seguridad y Aceptacin Aceptacin Responsable de
Seguridad
Tarea DSI-SEG 4.1: Diseo de las Pruebas de Seguridad

El Equipo de Seguridad debe realizar el diseo especfico de las pruebas de
seguridad del sistema y establecer la manera en que se comprobar la seguridad del
mismo.
Productos
De entrada
Plan de Pruebas (ASI-SEG 4.1)
Procedimientos de Seguridad y Control de acceso (DSI 1.7)
Plan de Pruebas (DSI 10.1)
De salida
Diseo de Pruebas de Seguridad del Sistema y Aceptacin
Prcticas
Pruebas del Sistema
Pruebas de Aceptacin
Participantes
Equipo de Seguridad

Seguridad 31
ACTIVIDAD DSI-SEG 5: CATALOGACIN DE LOS

PROCESO DE DISEO DEL SISTEMA DE
INFORMACIN

DSI- Clasificacin y Clasificacin y Revisin Responsable de
SEG 5.1 Catalogacin de los Catalogacin de los Catalogacin Seguridad
Productos Productos Generados Jefe de Proyecto
Generados durante en el Proceso Diseo Comit de
el Proceso de del Sistema de Seguimiento
Diseo del Sistema Informacin:
de Informacin o Determinacin de
Niveles de Seguridad
o Listado de productos
generados
de los Productos
o Soporte de
Almacenamiento
Tarea DSI-SEG 5.1: Clasificacin y Catalogacin de los

Productos Generados durante el Proceso de Diseo del
Sistema de Informacin
estudian los productos generados durante el proceso de Diseo del Sistema de
autenticacin, confidencialidad, integridad y disponibilidad (ACID). En funcin del nivel
de seguridad se establece la catalogacin y archivo de los productos, teniendo en
cuenta a este respecto las particularidades del soporte de almacenamiento elegido y del
sistema de gestin de configuracin vigente en la organizacin.
Productos
De entrada
Productos generados durante el proceso Diseo del Sistema de Informacin
De salida
Catalogacin de los Productos Generados en el Proceso Diseo del Sistema de
Informacin:
Prcticas
Revisin
Catalogacin

32 Seguridad
Participantes
Jefe de Proyecto

Seguridad 33
CONSTRUCCIN DEL SISTEMA DE

INFORMACIN
Dada la gran cantidad de productos generados en este proceso y segn las
caractersticas del proyecto, el entorno de construccin debe ser sometido a controles
de seguridad que eviten filtraciones indeseables de datos relativos al sistema de
informacin. Adems se verifica el resultado de las pruebas de las funciones y
mecanismos adicionales de seguridad.
Se completa la Definicin de la Formacin a Usuarios Finales (CSI 7) con un plan

de formacin especfico en seguridad dirigido a los distintos usuarios del sistema y en el
que se contemplan diferentes niveles y perfiles.

Construccin del Sistema de Informacin (CSI) y las de la interfaz de Seguridad.
CSI -SEG 1 CSI -SEG 4
CSI 2
Generacin del
Cdigo de los
componentes y
Procedimientos
CSI 1 CSI 3 CSI 5 CSI 9

Preparacin del Ejecucin de las Ejecucin de las Aprobacin del
Entorno de Pruebas Unitarias Pruebas del Sistema de
Generacin y Sistema Informacin
Construccin
CSI 4
Ejecucin de las
Pruebas de
Integracin
CSI 6
Elaboracin de los Manuales de
Usuario
CSI 7
Definicin de la Formacin de
Usuarios Finales
CSI 8
Construccin Componentes y
Procedimientos de Migracin y
Carga Inicial de Datos
CSI-SEG 2 CSI-SEG 3

34 Seguridad
ACTIVIDAD CSI-SEG 1: ESTUDIO DE LA

CONSTRUCCIN DEL SISTEMA DE
INFORMACIN

CSI- Estudio de la Seguridad Requerida Sesiones de Trabajo Equipo de
Requerida en el Construccin del Responsable de
Proceso de Sistema de Seguridad
Construccin del Informacin: Jefe de Proyecto
Sistema de o Seguridad para la
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tarea CSI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso de Construccin del Sistema de
Informacin
El Equipo de Seguridad analiza si es necesario supervisar la seguridad (niveles de
autenticacin, confidencialidad, integridad y disponibilidad de los productos intermedios)
de alguna de las actividades pertenecientes al proceso de Construccin del Sistema de
Informacin previstas en la planificacin del proceso obtenida mediante la interfaz de
Gestin de Proyectos (GPI 2). Para ello parte de las particularidades del sistema de
informacin. Como producto de este estudio, el Equipo de Seguridad elabora un informe
con las principales caractersticas del proceso y el control de la seguridad de sus
actividades, tanto a nivel de ejecucin como de los productos intermedios.
Productos
De entrada
De salida
Seguridad Requerida en el Proceso Construccin del Sistema de Informacin:
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad

Seguridad 35
Jefe de Proyecto
ACTIVIDAD CSI-SEG 2: EVALUACIN DE LOS

RESULTADOS DE PRUEBAS DE SEGURIDAD

CSI- Estudio de los Resultados de las Sesiones de Trabajo Equipo de
SEG 2.1 Resultados de Pruebas de Seguridad Seguridad
Pruebas de de Integracin y de
Seguridad Sistema
Tarea CSI-SEG 2.1: Estudio de los Resultados de

Pruebas de Seguridad
El Equipo de Seguridad estudia los resultados obtenidos en las pruebas de
seguridad unitarias, de integracin y del Sistema de Informacin, y comprueba que no
ha habido problemas debidos a las funciones y mecanismos adicionales de seguridad
incorporados al sistema.
Productos
De entrada
Diseo de Pruebas de Seguridad de Sistema y Aceptacin (DSI-SEG 4.1)
Resultado de las Pruebas Unitarias (CSI 3.2)
Resultado de las Pruebas de Integracin (CSI 4.2)
Resultado de las Pruebas del Sistema (CSI 5.2)
De salida
Resultados de las Pruebas de Seguridad de Integracin y de Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad
ACTIVIDAD CSI-SEG 3: ELABORACIN DEL PLAN

DE FORMACIN DE SEGURIDAD
Para garantizar que los usuarios son conscientes de las amenazas y riesgos en el
mbito de la seguridad del Sistema de Informacin, se desarrolla un plan de formacin.
Con ello se intenta reducir el riesgo que provoca respecto a la seguridad el factor

36 Seguridad
humano, por accin o negligencia, ya que por muchas medidas que existan, si las
personas no las aplican todo es intil.

CSI- Elaboracin del Plan Plan de Formacin de Sesiones de Trabajo Equipo de
SEG 3.1 de Formacin de Seguridad Planificacin Seguridad
Seguridad Responsable de
Seguridad
Tarea CSI-SEG 3.1: Elaboracin del Plan de Formacin

de Seguridad
En esta tarea se definen las pautas que deben seguir los grupos de usuarios en
materia de seguridad. Para ello el Equipo de Seguridad define planes de formacin
especficos, contemplando distintos niveles y perfiles, para los grupos de usuarios
finales y usuarios de operacin del sistema de informacin. El Responsable de
Seguridad establece, tambin de forma particular, la manera en que debe acometerse la
formacin de los grupos de usuarios.
Productos
De entrada
Funciones y Mecanismos de Seguridad (DSI-SEG 3.1)
Recomendaciones de Seguridad (EVS-SEG 3.1)
Especificacin de la Formacin a Usuarios Finales (CSI 7.1)
De salida
Plan de Formacin de Seguridad
Tcnicas
Planificacin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad

Seguridad 37
ACTIVIDAD CSI-SEG 4: CATALOGACIN DE LOS

PROCESO DE CONSTRUCCIN DEL SISTEMA DE
INFORMACIN

CSI- Clasificacin y Catalogacin de los Revisin Responsable de
Productos en el Proceso Jefe de Proyecto
Generados durante Construccin del Comit de
el Proceso de Sistema de Seguimiento
Construccin del Informacin:
Sistema de o Determinacin de
Informacin Niveles de Seguridad
Generados
de los Productos
o Soporte de
Almacenamiento
Tarea CSI-SEG 4.1: Clasificacin y Catalogacin de los

Construccin del Sistema de Informacin
estudian los productos generados durante el proceso de Construccin del Sistema de
Productos
De entrada
Productos generados durante el proceso Construccin del Sistema de Informacin
De salida
Catalogacin de los Productos Generados en el Proceso Construccin del Sistema
de Informacin:
Prcticas
Revisin
Catalogacin

38 Seguridad
Participantes
Jefe de Proyecto

Seguridad 39
IMPLANTACIN Y ACEPTACIN DEL

SISTEMA
En este proceso se define de forma detallada la seguridad para la implantacin del
sistema una vez construido, especificando tanto las actividades relacionadas con la
seguridad intrnseca del propio sistema, como las que velan por la seguridad del
proceso. El equipo de seguridad tiene como objetivo reforzar los procedimientos de
seguridad y control de accesos previstos en MTRICA Versin 3 en el proceso de
Implantacin y Aceptacin del Sistema (IAS 3).
Tiene especial importancia el asegurar que se cubren los requisitos de seguridad,

a travs de las pruebas de implantacin, comprobando las funciones y mecanismos
adicionales. Dichos requisitos se debern tener en cuenta al establecer el acuerdo de
nivel de servicio para el sistema antes de su puesta en produccin.

Implantacin y Aceptacin del Sistema (IAS) y las de la interfaz de seguridad.
IAS-SEG 1 IAS-SEG 4
IAS 1 IAS 2 IAS 3 IAS 5 IAS 6 IAS 9 IAS 10

Establecimiento Formacin Incorporacin Pruebas de Pruebas de Presentacin y Paso a
del Plan de necesaria para del Sistema a Implantacin del Aceptacin del Aprobacin del Produccin
Implantacin la Implantacin Entorno de Sistema Sistema Sistema
Operacin
IAS 4
Carga de datos
al Entorno de
Operacin
IAS 7
Preparacin del Mantenimiento
IAS 8
Establecimiento del Acuerdo de Nivel de Servicio
IAS-SEG 2 IAS-SEG 3 IAS-SEG 5

40 Seguridad
ACTIVIDAD IAS-SEG 1: ESTUDIO DE LA

IMPLANTACIN Y ACEPTACIN DEL SISTEMA

IAS- Estudio de la Seguridad Requerida Sesiones de Trabajo Equipo de
Requerida en el Implantacin y Responsable de
Proceso de Aceptacin del Seguridad
Implantacin y Sistema de Jefe de Proyecto
Aceptacin del Informacin:
Sistema o Seguridad para la
Ejecucin de
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios
Tarea IAS-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso de Implantacin y Aceptacin del Sistema
El Equipo de Seguridad analiza la necesidad de supervisar la seguridad (niveles
de autenticacin, confidencialidad, integridad y disponibilidad de los productos
intermedios) de alguna de las actividades pertenecientes al proceso de Implantacin y
Aceptacin del Sistema. Para ello parte de las particularidades del sistema. Como fruto
de dicho estudio, y teniendo en cuenta las caractersticas del proceso, se establecer el
control de la seguridad en las actividades tanto a nivel de ejecucin como de los
productos obtenidos.
Productos
De entrada
Plan de Implantacin (IAS 1.1)
De salida
Seguridad Requerida en el Proceso Implantacin y Aceptacin del Sistema de
Informacin:
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad
Jefe de Proyecto

Seguridad 41
ACTIVIDAD IAS-SEG 2: REVISIN DE MEDIDAS

DE SEGURIDAD DEL ENTORNO DE OPERACIN

IAS- Revisin de Medidas de Seguridad Sesiones de Trabajo Equipo de
SEG 2.1 Medidas de del Entorno de Seguridad
Seguridad del Operacin Responsable de
Entorno de Seguridad
Operacin
Tarea IAS-SEG 2.1: Revisin de Medidas de Seguridad

del Entorno de Operacin
En la preparacin de la instalacin (IAS 3.1) se comprueba la disponibilidad de la
infraestructura necesaria para configurar el entorno. El objetivo de esta tarea es que el
Equipo de Seguridad refuerce las acciones que relativas a procedimientos de seguridad
y control de accesos se realizan en IAS 3.1, verificando, basndose en las
particularidades del sistema, que se cubren las medidas de seguridad necesarias que
hacen referencia al entorno de operacin sobre el que se implantar el sistema y a la
carga inicial de datos.
Productos
De entrada
De salida
Medidas de Seguridad del Entorno de Operacin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad

42 Seguridad
ACTIVIDAD IAS-SEG 3: EVALUACIN DE

RESULTADOS DE PRUEBAS DE SEGURIDAD DE
IMPLANTACIN DEL SISTEMA

IAS- Estudio de los Resultados de las Pruebas de Equipo de
SEG 3.1 Resultados de Pruebas de Seguridad Implantacin Seguridad
Pruebas de de Implantacin del
Seguridad de Sistema
Implantacin del
Sistema
Tarea IAS-SEG 3.1: Estudio de los Resultados de

Pruebas de Seguridad de Implantacin del Sistema
El Equipo de Seguridad estudia los resultados obtenidos en las pruebas de
seguridad del sistema, una vez implantado en el entorno de operacin, y comprueba
que las funciones y mecanismos adicionales incorporados no han originado problemas.
Productos
De entrada
Resultado de las Pruebas de Implantacin (IAS 5.2)
Diseo de Pruebas de Seguridad del Sistema y Aceptacin (DSI-SEG 4.1)
De salida
Resultados de las Pruebas de Seguridad de Implantacin del Sistema
Prcticas
Sesiones de trabajo
Participantes
Equipo de Seguridad

Seguridad 43
ACTIVIDAD IAS-SEG 4: CATALOGACIN DE LOS

PROCESO DE IMPLANTACIN Y ACEPTACIN
DEL SISTEMA

IAS- Clasificacin y Catalogacin de los Revisin Responsable de
Generados durante Implantacin y Comit de
el Proceso Aceptacin del Seguimiento
Implantacin y Sistema:
Aceptacin del o Determinacin de
Sistema Niveles de Seguridad
Generados
de los Productos
o Soporte de
Almacenamiento
Tarea IAS-SEG 4.1: Clasificacin y Catalogacin de los

Productos Generados durante el Proceso Implantacin y
Aceptacin del Sistema
estudian los productos generados durante el proceso de Implantacin y Aceptacin del
Sistema y determinan el nivel de seguridad de cada uno de ellos con respecto a la
Productos
De entrada
Productos generados durante el proceso Implantacin y Aceptacin del Sistema
De salida
Catalogacin de los Productos Generados en el Proceso Implantacin y Aceptacin
del Sistema:
Prcticas
Revisin
Catalogacin

44 Seguridad
Participantes
Jefe de Proyecto
ACTIVIDAD IAS-SEG 5: REVISIN DE MEDIDAS

DE SEGURIDAD EN EL ENTORNO DE
PRODUCCIN

IAS- Revisin de Revisin de Medidas Sesiones de Trabajo Equipo de
SEG 5.1 Medidas de de Seguridad del Seguridad
Seguridad en el Entorno de Produccin Responsable de
Entorno de Seguridad
Produccin
Tarea IAS-SEG 5.1: Revisin de Medidas de Seguridad

en el Entorno de Produccin
Si el entorno donde se han realizado las pruebas de implantacin del sistema no
coincide con el entorno de produccin, el Equipo de Seguridad debe asegurar de nuevo
que se cubren las medidas de seguridad esenciales que hacen referencia al entorno de
operacin sobre el que se va a implantar el sistema de forma definitiva y a la carga de
datos necesaria para su correcto funcionamiento.
Deber tenerse en cuenta el control y registro de incidentes, tanto provocados

como por fallos propios, as como la respuesta dada a los mismos, que a veces puede
suponer volver a etapas previas para resolver el problema.
Productos
De entrada
Requisitos de Seguridad del Entorno Tecnolgico Previsto (DSI-SEG 2.1)
De salida
Revisin de Medidas de Seguridad del Entorno de Produccin
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad

Seguridad 45
MANTENIMIENTO DE SISTEMAS DE
INFORMACIN
El hecho de contemplar cuestiones de seguridad en el proceso de Mantenimiento
de Sistemas de Informacin es til en la toma de decisiones ante una posible peticin
de una nueva funcionalidad o la modificacin de una existente, ya que la seguridad
debe ser un parmetro ms a contemplar en el anlisis y evaluacin de soluciones.
En la siguiente figura aparecen las actividades de la interfaz de seguridad a lo

largo del proceso Mantenimiento de Sistemas de Informacin (MSI).
MSI-SEG 1 MSI-SEG 3
MSI 4
MSI 3
MSI 1 MSI 2 Seguimiento y
Preparacin de la
Registro de Anlisis de Evaluacin de los
Implementacin
la Peticin la Peticin Cambios hasta la
de la Modificacin
Aceptacin
MSI-SEG 2

46 Seguridad
ACTIVIDAD MSI-SEG 1: ESTUDIO DE LA

MANTENIMIENTO DE SISTEMAS DE
INFORMACIN

MSI- Estudio de la Seguridad Requerida Sesiones de Trabajo Responsable de
Requerida en el Mantenimiento de Equipo de
Proceso Sistemas de Sistemas Seguridad
Mantenimiento de de Informacin: Responsable de
Sistemas de o Seguridad para la Mantenimiento
Actividades
o Seguridad para la
Clasificacin y
Catalogacin de los
Productos
Intermedios .
Tarea MSI-SEG 1.1: Estudio de la Seguridad Requerida

en el Proceso Mantenimiento de Sistemas de
Informacin
El Responsable de Seguridad, junto con el Equipo de Seguridad, debe estudiar si
es necesario supervisar la seguridad (niveles de autenticacin, confidencialidad,
integridad y disponibilidad) de los productos generados en las actividades del proceso
Mantenimiento de Sistemas de Informacin. Como fruto de dicho estudio, y teniendo en
cuenta las caractersticas del proceso, se establecer el control de la seguridad en las
actividades tanto a nivel de ejecucin como de los productos obtenidos.
Productos
De entrada
Plan de Mantenimiento (IAS 7.2)
De salida
Seguridad Requerida en el Proceso Mantenimiento de Sistemas de Informacin:
Intermedios
Prcticas
Sesiones de Trabajo
Participantes
Equipo de Seguridad

Seguridad 47
Responsable de Mantenimiento
ACTIVIDAD MSI-SEG 2: ESPECIFICACIN E

IDENTIFICACIN DE LAS FUNCIONES Y
MECANISMOS DE SEGURIDAD
Se estudia si la peticin est relacionada con la seguridad del sistema, en cuyo
caso se especifican las funciones de seguridad que deben ser incorporadas en el
Mantenimiento del sistema, indicando los mecanismos de seguridad que permiten la
consecucin de tales funciones.

MSI- Estudio de la Recomendaciones de Catalogacin Responsable de
SEG 2.1 Peticin Seguridad Seguridad
Equipo de
Seguridad
MSI- Anlisis de las Funciones y Catalogacin Responsable de
SEG 2.2 Funciones y Mecanismos de Seguridad
Mecanismos de Seguridad: Equipo de
Seguridad o Estudio de Riesgos Seguridad
Afectados o Nuevos o Especificacin de
Funciones de
Seguridad
o Mecanismos de
Seguridad
Tarea MSI-SEG 2.1: Estudio de la Peticin

Ante una solicitud de cambio, habr que estudiar si el motivo de la peticin es,
directa o indirectamente, un fallo interno en materia de seguridad o un ataque externo y
adoptar en su caso las medidas oportunas para paliarlo.
Las peticiones de cambio originadas por problemas de seguridad deben tenerse

en cuenta en proyectos futuros, que desde un principio se beneficiarn de las
experiencias anteriores habidas en la organizacin.
Productos
De entrada
Propuesta de Solucin (MSI 2.2)
Catlogo de Peticiones (MSI 2.2)
De salida
Recomendaciones de Seguridad
Prcticas
Catalogacin

48 Seguridad
Participantes
Equipo de Seguridad
Tarea MSI-SEG 2.2: Anlisis de las Funciones y

Mecanismos de Seguridad Afectados o Nuevos
Se tendr en cuenta la seleccin de las funciones de seguridad realizada en el
proceso de Anlisis del Sistema, a partir del cual se ver si es necesario la implantacin
de alguna funcin adicional o, en su caso, la modificacin de alguna existente. Las
posibles nuevas funciones a implementar se hace en funcin de la gestin de los
riesgos escogida, de forma que los riesgos se minimicen, eliminen o controlen. El
Equipo de Seguridad ha de determinar el tipo de funciones de seguridad a implantar (de
prevencin, de deteccin o de correccin) y la naturaleza de las mismas (tcnica, fsica,
organizativa, etc.). Para la determinacin de tales funciones podrn utilizarse las
tcnicas propuestas en la metodologa de anlisis y gestin de riesgos que se emplee.
Se establecen los mecanismos de seguridad que implementan esas funciones.
Productos
De entrada
Recomendaciones de Seguridad (MSI-SEG 2.1)
Propuesta de Solucin (MSI 2.2)
Catlogo de Peticiones (MSI 2.2)
De salida
Funciones y Mecanismos de Seguridad:
o Estudio de Riesgos
o Especificacin de Funciones de Seguridad
o Mecanismos de Seguridad
Prcticas
Catalogacin
Participantes
Equipo de Seguridad

Seguridad 49
ACTIVIDAD MSI-SEG 3: CATALOGACIN DE LOS

PROCESO DE MANTENIMIENTO DE SISTEMAS
DE INFORMACIN

MSI- Clasificacin y Catalogacin de los Revisin Responsable de
Generados durante Mantenimiento de
el Proceso de Sistemas de
Mantenimiento de Informacin:
Sistemas de o Determinacin de
Informacin Niveles de Seguridad
Generados
de los Productos
o Soporte de
Almacenamiento
Tarea MSI-SEG 3.1: Clasificacin y Catalogacin de los

Mantenimiento de Sistemas de Informacin
El Responsable de Seguridad y el Jefe de Proyecto estudian los productos
generados durante el proceso de Mantenimiento del Sistema de Informacin y
determinan el nivel de seguridad de cada uno de ellos con respecto a la autenticacin,
confidencialidad, integridad y disponibilidad. En funcin del nivel de seguridad se
establece la catalogacin y archivo de los productos, teniendo en cuenta a este respecto
las particularidades del soporte de almacenamiento elegido y del sistema de gestin de
configuracin vigente en la organizacin.
Productos
De entrada
Productos generados durante el proceso Mantenimiento de Sistemas de Informacin
De salida
Catalogacin de los Productos Generados en el Proceso Mantenimiento de
Sistemas de Informacin:
Prcticas
Revisin
Catalogacin

50 Seguridad
Participantes
Jefe de Proyecto

METRICA V3 Seguridad PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

METRICA V3 Seguridad PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Seguridad 1

DESCRIPCIN Y OBJETIVOS ............................................................................................... 4

PLANIFICACIN DE SISTEMAS DE INFORMACIN.............................................................. 5

Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3

ACTIVIDAD ASI-SEG 1: ESTUDIO DE LA SEGURIDAD REQUERIDA EN EL PROCESO DE

Metodologa MTRICA Versin 3 Ministerio de Administraciones Pblicas

ACTIVIDAD IAS-SEG 3: EVALUACIN DE RESULTADOS DE PRUEBAS DE SEGURIDAD

Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3

La seguridad del sistema de informacin ya se considera en MTRICA Versin 3

El anlisis de los riesgos constituye una pieza fundamental en el diseo y

De lo anterior se desprende que existen dentro de la interfaz dos tipos de

Si en la organizacin ya existe un plan de seguridad o una metodologa de anlisis

Las valoraciones sobre la seguridad deben ser realizadas en funcin de las

Metodologa MTRICA Versin 3 Ministerio de Administraciones Pblicas

La seguridad influir en las decisiones adoptadas en el proceso de Planificacin

En la siguiente figura aparecen las actividades de la interfaz de seguridad a lo

PSI 1 PSI 2 PSI 3 PSI 7 PSI 8 PSI 9

Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3

ACTIVIDAD PSI-SEG 1: PLANIFICACIN DE LA

Tarea Productos Tcnicas y Prcticas Participantes

Tarea PSI-SEG 1.1: Estudio de la Seguridad Requerida

Metodologa MTRICA Versin 3 Ministerio de Administraciones Pblicas

Tarea PSI-SEG 1.2: Organizacin y Planificacin

Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3

ACTIVIDAD PSI-SEG 2: EVALUACIN DEL

Tarea Productos Tcnicas y Prcticas Participantes

Tarea PSI-SEG 2.1: Estudio y Evaluacin del Riesgo de

Metodologa MTRICA Versin 3 Ministerio de Administraciones Pblicas

Tarea PSI-SEG 2.2: Revisin de la Evaluacin del Riesgo

Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3

ACTIVIDAD PSI-SEG 3: DETERMINACIN DE LA

Tarea Productos Tcnicas y Prcticas Participantes

Tarea PSI-SEG 3.1: Determinacin de la Seguridad en el

Metodologa MTRICA Versin 3 Ministerio de Administraciones Pblicas

ACTIVIDAD PSI-SEG 4: CATALOGACIN DE LOS

Tarea Productos Tcnicas y Prcticas Participantes

Tarea PSI-SEG 4.1: Clasificacin y Catalogacin de los

Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3

ESTUDIO DE VIABILIDAD DEL SISTEMA

En el siguiente grfico se muestra la relacin entre las actividades del Estudio de

EVS-SEG 3 EVS-SEG 4 EVS-SEG 5

Metodologa MTRICA Versin 3 Ministerio de Administraciones Pblicas

ACTIVIDAD EVS-SEG 1: ESTUDIO DE LA

Tarea Productos Tcnicas y Prcticas Participantes

Tarea EVS-SEG 1.1: Estudio de la Seguridad Requerida

Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3

ACTIVIDAD EVS-SEG 2: SELECCIN DEL EQUIPO

Tarea Productos Tcnicas y Prcticas Participantes

Tarea EVS-SEG 2.1: Seleccin del Equipo de Seguridad

Metodologa MTRICA Versin 3 Ministerio de Administraciones Pblicas

ACTIVIDAD EVS-SEG 3: RECOMENDACIONES

Tarea Productos Tcnicas y Prcticas Participantes

Tarea EVS-SEG 3.1: Elaboracin de Recomendaciones

Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3

ACTIVIDAD EVS-SEG 4: EVALUACIN DE LA

Tarea Productos Tcnicas y Prcticas Participantes

Tarea EVS-SEG 4.1: Valoracin y Evaluacin de la

Metodologa MTRICA Versin 3 Ministerio de Administraciones Pblicas

ACTIVIDAD EVS-SEG 5: EVALUACIN

Tarea Productos Tcnicas y Prcticas Participantes

Tarea EVS-SEG 5.1: Descripcin Detallada de la

Partiendo de una especificacin de las principales caractersticas de la solucin y

Ministerio de Administraciones Pblicas Metodologa MTRICA Versin 3