El Modelo de Referencia de

Aseguramiento y Seguridad de la
Información (RMIAS)

M. Sc. Ing. Luis Augusto Zuñe Bispo

Escuela de Ingeniería de Sistemas y Computación
04

www.usat.edu.pe
www.usat.edu.pe
 ¿Qué es el RMIAS?
Es un modelo de Referencia para establecer o revisar las Políticas
de Seguridad de la Información en una Organización.
RMIAS, supera las limitaciones de los modelos conceptuales e
InfoSec e IA y para abordar las tendencias recientes en la evolución
de las IAS. Refleja el alcance diverso del dominio y los intentos de
transmitir una comprensión de las IAS como un complejo problema
de gestión y organización que requiere abordar de manera integral
y sistemática.
InfoSec = Seguridad de la Información
IA = Aseguramiento de la Información

www.usat.edu.pe
 Seguridad de la Información

La Seguridad de la Información es un área multidisciplinaria de

estudio y actividad profesional que se ocupa del desarrollo e
implementación de contramedidas de seguridad de todos los tipos
disponibles (técnicos, organizativos, humanos y legales) para
mantener la información en todas sus ubicaciones (perímetro de la
organización) y, en consecuencia, mantener libre de amenazas a
los sistemas de información, donde la información es creada,
procesada, almacenada, transmitida y destruida.

www.usat.edu.pe
 Aseguramiento de la Información

El Aseguramiento de la Información es un área multidisciplinar

de estudio y actividad profesional, cuyo objetivo es proteger los
negocios mediante la reducción de los riesgos asociados a los
sistemas de información y de la información, mediante una gestión
integral y sistemática de las contramedidas de seguridad,
impulsada por el análisis de riesgos y la rentabilidad.

www.usat.edu.pe
Cubo de Mac Cumber

El Cubo de Mac Cumber,

permite hacer una
combinación de los diferentes
factores a tener en cuenta
cuando deseamos ya sea
asegurar o analizar los
posibles riesgos en cualquier
organización.

www.usat.edu.pe
Cubo de Mac Cumber

El cubo de Mac Cumber, evoluciono

con otros elementos como
responsabilidad, y mas adelante
autentificación, disponibilidad y no
repudio.

www.usat.edu.pe
 Dimensiones RMIAS

El modelos incorpora cuatro dimensiones:

I. Ciclo de Vida del Sistema de Información Seguridad,
II. Taxonomía de la Información,
III. Metas de Seguridad, y
IV. Objetivos de Seguridad.

www.usat.edu.pe
www.usat.edu.pe
Ciclo de vida de los Sistemas de Seguridad
(III) (IV)
Implementación Administración (V)
Contramedidas y Monitoreo de Expiración de los
de Seguridad Sistema de Seguridad
Seguridad

(I) Ingeniería de
(II) Diseño de
Requerimientos
Seguridad
de Seguridad

www.usat.edu.pe
Taxonomía de la Información
Sensitividad Ubicación

Taxonomía
de la
Información

Formato Estado

Creación Destrucción
Papel

Electrónico Procesamiento Trasmisión

Oral Almacenamiento

www.usat.edu.pe
Contramedidas de Seguridad
Procedimientos Autorización

Estrategias Gobierno Autenticación

Criptografía
Auditoría Política ...

Organizacionales Tecnológicas

Contramedidas
de Seguridad

Entrenamiento
Legales
Humano

Cultura ... ...

Acuerdos
Educación
Etica
Motivación Leyes Acuerdos
Entrenamiento

www.usat.edu.pe
 Lista de los Objetivos de Seguridad
Componentes Sistema
de Información

Información
Objetivo de

Hardware
Definición

Personas

Software
Procesos

Redes
Seguridad
Responsabilidad La capacidad de un sistema para mantener a los usuarios responsables de sus X
acciones (por ejemplo, el mal uso de la información)
Auditabilidad La capacidad de un sistema para llevar a cabo la vigilancia persistente, no Anulable
X
de todas las acciones realizadas por los seres humanos o máquinas en el sistema de
Autenticidad/Confiabilidad La capacidad de un sistema para verificar la identidad y establecer la confianza en un X X X X X X
tercero y en la información que proporciona
Disponibilidad Un sistema debe garantizar que todos los componentes del sistema están disponibles
X X X X X X
y en funcionamiento cuando sean requeridos por los usuarios autorizados
Confidencialidad Un sistema debe garantizar a los usuarios que sólo las personas autorizadas tengan X
acceso a un determinado tipo información.
Integridad Un sistema debe garantizar la integridad, exactitud y ausencia de modificaciones no X X X X X X
autorizadas en todos sus componentes
No repudio La capacidad de un sistema para probar (con validez legal) ocurrencia / no ocurrencia
X X
de un evento o la participación / no participación de una fiesta en un evento
Privacidad Un sistema debe obedecer a las leyes de privacidad y debe permitir a las personas a
X X
controlar, cuando sea posible, sus datos personales (facilidad de participación)

www.usat.edu.pe
Ejemplo de Establecimiento de Políticas sobre Documentos

www.usat.edu.pe
PRD Protocol "Privacy Document Rating"

www.usat.edu.pe
• Cherdantseva, Y., & Hilton, J. (2013, September). A reference model of information
assurance & security. In Availability, reliability and security (ares), 2013 eighth
international conference on (pp. 546-555). IEEE.
• Maconachy, W. V., Schou, C. D., Ragsdale, D., & Welch, D. (2001, June). A model for
information assurance: An integrated approach. In Proceedings of the 2001 IEEE
Workshop on Information Assurance and Security (Vol. 310). United States Military
Academy, West Point. IEEE.

www.usat.edu.pe
M. Sc. Ing. Luis Augusto Zuñe Bispo
lzune@usat.edu.pe

http://www.facebook.com/usat.peru

https://twitter.com/usatenlinea

https://www.youtube.com/user/tvusat

https://plus.google.com/+usateduperu

www.usat.edu.pe