Modulo SGSI 233003 Listo

1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

Escuela de Ciencias Básicas, Tecnología e Ingeniería

Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

CODIGO: 233003

233003 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION SGSI

LORENA PATRICIA SUAREZ SIERRA (Director Nacional)

CARLOS ALBERTO AMAYA TARAZONA

Acreditador

BOGOTA, JULIO 2013

2




TABLA DE CONTENIDO

Pag.

INTRODUCCION 7

UNIDAD I GESTION DE INFORMACION 8

INTRODUCCION A LA UNIDAD 1 9

CAPITULO 1: SEGURIDAD INFORMATICA 10

1.1 Lección 1: Pilares de la informática 10

1.2 Lección 2: Realidad de las empresas en seguridad de la información 13

1.3 Lección 3: Normativas de seguridad 17

13.1 ¿Cómo se estructuran las normativas de gestión de la seguridad 17

1.3.2 Origen de las normativas 18

1.3.3 Evolución de las normativas de seguridad de la información 19

1.3.4 Estado de implantación de normativas de seguridad de la información en Colombia.

20

1.3.5 Ciclo PDCA ( Edward Deming) 24

CAPITULO 2: ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

27

2.1 Lección 4: La organización ISO y la familia de normas ISO 27

2.1.1 Criterios de la ISO para desarrollar un estándar 27

2.1.2 Familia de las normas ISO/IEC 27001:2005 28

2.2 Lección 5: La normativa ISO/IEC 27001:2005 y afines 31

2.2.1 Estructura ISO/IEC 27001:2005 31

2.2.2 Integración del SGSI (ISO 27001) a ISO 9001 –- 14000 40

3




2.3 Lección 6: Consideraciones para implantación de un SGSI(norm ISO 27001) en una organización

41

2.3.1 Preguntas orientadoras de las necesidades del SGSI 41

CAPITULO 3: ANALISIS DE RIESGOS 43

3.1 Lección 7: Proceso de Identificación del riesgo 43

3.2 Lección 8: Metodología de análisis de Riesgos Magerit 44

3.2.1 Paso 1: Inventario de activos 44

3.2.2 Paso 2: Valoración de activos 46

3.2.2.1 Dimensiones de seguridad 47

3.2.3 Paso 3: Amenazas (Identificación y valoración) 49

3.2.3.1 Identificación de amenazas 49

3.2.3.2 Valoración de amenazas 51

3.2.3.3 Impacto potencial 53

3.2.3.4 Nivel de riesgo portencial 53

3.2.4 Paso 4: Salvaguardas 54

3.2.5 Paso 5 impacto residual 55

3.2.6 Riesgo Residual 55

3.2.7 Resultados del análisis de riesgos 55

3.3 Leción 9: otras metodologías 55

Autoevaluación Unidad I 57

UNIDAD 2: SISTEMAS DE GESTION DE LA SEGURIDAD INFORMATICA 58

INTRODUCCION A LA UNIDAD 2 59

CAPITULO 4: PLAN DE GESTION DE UN SGSI 60

4.1 Lección 10: ¿Cómo definir el alcance del SGSI? 60

4




4.1.1 Estructura organizacional para el SGSI 61

4.2 Lección 11: Política de seguridad 62

4.3 Lección 12: Análisis de requisitos y diseño del SGSI 63

CAPITULO 5: IMPLANTACION DEL SGSI 66

5.1 Lección 13: Fases para la implantación del SGSI 66

5.1.1 Fase 1: Planificar: Análisis diferencial para definición del alcance y otras actividades de planeación

66

5.1.2 Fase 2: Hacer: Implantar el plan SGSI 67

5.1.3 Fase 3: Varificar: Seguimiento, supervisión y revisión del SGSI 71

5..1.4 Fase 4: Actuar: Mantener y mejorar el sistema 72

5.2 Lección 14: Formación y concientización del personal 72

5.3 Lección 15: Gestión de continuidad de negocio 72

CAPITULO 6: AUDITORIA DEL SGSI 76

6.1 Lección 16: Auditorías internas 76

6.2 lección 17: Metodología para auditoría del SGS 76

6.2.1 metodología NIST-SP-800 77

6.2.2 Metodología OSSTMM 78

6.2.3 OWASP (Open Web application security project) 79

6.2.4 Metodología OISSG 80

6.2.5 Metodología COBIT 81

6.3 Lección 18: Certificación SGSI 83

AUTOEVALUACION DE LA UNIDAD II 86

BIBLIOGRAFIA Y CIBERGRAFIA 87

5




LISTADO DE TABLAS

Pag.

Tabla No. 1 Preocupaciones especificas de la TI por Región 15

Tabla No. 2 Evolución de la organización (British Standard Institute) 18

Tabla No. 3 Evolución de las normas de seguridad de la información apoyados por la BSI

19

Tabla No. 4 Número de certificaciones expedidas en el 2010 a nivel mundial 22

Tabla No. 5 Relación de serie de las normas ISO/IEC 27000 28

Tabla No. 6 Cuadro comparativo entre las normas ISO 9001, 27001 y 14001 40

Tabla No. 7 Relación de activos de seguridad de la información 44

Tabla No. 8 Escala cuantitativa 47

Tabla No. 9 Criterios de valoración de los activos 48

Tabla No. 10 Escala de rango de frecuencia de amenazas 51

Tabla No. 11 Escala de rango porcentual de impactos en los activos para cada dimensión de seguridad

52

Tabla No. 12 Ejemplo de cuadro resumen, valoración de amenazas 52

Tabla No.13 Relación de metodologías y fuentes documentales de profundización

56

Tabla No. 14 Ejemplo tabla resumen análisis diferencial 67

Tabla No. 15 Ejemplo de diseño de indicador 69

Tabla No. 16 Secciones ISO 22301 75

6




LISTADO DE FIGURAS

Pag.

Figura No. 1 Controles de seguridad 12

Figura No. 2 Futuros Riesgos 15

Figura No. 3 Aumento significativo en el número de ataques cibernéticos 16

Figura No. 4 Ciclo PDCA (PHVA) para implantación de SGSI 24

Figura No. 5 . Dominios de seguridad normativa ISO/IEC 27001 31

Figura No. 6 Elementos del análisis de riesgos 43

Figura No. 7 Ejemplo de valoración de activos de acuerdo a las 4 dimensiones de seguridad, herramienta Pilar

48

Figura No. 8 Ejemplo cuadro resumen valoración de amenazas, herramienta Pilar

52

Figura No. 9 Ejemplo valoración de salvaguardias por activo herramienta Pilar 54

Figura No. 10 Estructura general ISO 27003 61

Figura No. 11 Estructura organizativa en forma piramidal 62

Figura No. 12 Ejemplo tabla representativa para declaración de aplicabilidad 71

Figura No. 13 Fotografías antes y después del tsunami en el Japón 73

Figura No. 14 Diagrama sobre el proceso de certificación de una empresa. 84

7




INTRODUCCIÓN

En la actualidad, las empresas utilizan la tecnología de la información y las comunicaciones para ampliar cobertura en sus servicios y competir ante un mercado globalizado, ofreciendo a sus clientes multiples opciones para acceder a su productos y servicios. Adicional a ello, las TIC´s también les ha permitido llevar organizado todos sus procesos administrativos en línea, para poder operar y/o funcionar de manera alineada o distribuida, sus sistemas de información.

Lo anterior conlleva a que de alguna manera, las empresas tiendan a ser más vulnerables o atacadas por cualquier persona que tenga el conocimiento o tal vez por una organización delincuencial que utiliza diferentes herramientas tecnológicas para afectar a sus víctimas y obtener beneficios.

Hoy las empresas han tomado conciencia de la necesidad de implementar sistemas de seguridad informática para proteger su información y evitar el riesgo a un posible ataque. En este sentido, el curso de Sistema de Gestión de la Seguridad de la información pretende mostrar las técnicas y metodologías apropiadas y actuales que se deben utilizar para que las empresas salvaguarden su información; igualmente se utilicen las normas ISO como los estándares internacionales certificados para la implantación de Sistemas de Seguridad de la Información con alta calidad.

De acuerdo a lo anterior las organizaciones además de proteger sus activos físicos, están asegurando sus sistemas de información ya que estos le crean una dependencia considerablemente para el cumplimiento de su misión y visión empresarial y su estado económico. Hoy las empresas acuden a consultores y/o auditores especializados para que les realicen los estudios pertinentes para el análisis del funcionamiento de su empresa, las respectivas políticas de seguridad y certificaciones con el objetivo de obtener un alto nivel de seguridad en su empresa.

El modulo de aprendizaje que acontinuación se presenta, describe dos unidades didácticas que permiten al estudiante adentranse en el conocimiento de todos los aspectos que involucra un sistema de gestión de seguridad de la información, además mirar como las empresas han evolucionado entorno a la necesidad de asegurar su información como uno de los activos mas importantes para el correcto funcionamiento de su organización. En tal sentido, la unidad uno presenta el título gestión de información y la unidad dos se titula Sistema de gestión de la seguridad informática.

8




UNIDAD I

GESTION DE LA INFORMACION

9




INTRODUCCION A LA UNIDAD I

Llevar de manera remota los procesos administrativos así como la comunicación entre sus empleados necesarios para su funcionamiento es otro de los beneficios que la tecnología de la Información y las comunicaciones brinda a las empresas. El mismo servicio en la web que las empresas de hoy presta a sus clientes, los ha afectado a ellos de alguna manera, por cuanto a través de los pagos en línea que han realizado para la compra de servicios, consultas, actualización de datos, entre otros son aprovechados también por los delincuentes para acceder a sus claves o contraseñas, a sus computadoras personales para copia y/o eliminación de su información entre otras. Lo anterior hace que de alguna forma, los clientes se nieguen a realizar transacciones a través de estos medios de comunicación masiva como internet perdiendo las organizaciones posibles clientes potenciales a nivel mundial. En este orden, las empresas deben garantizar a sus clientes una transacción protegida, así como las orientaciones pertinentes para evitar fraudes interinaticos.

1En concordancia con la necesidad de las empresas de asegurar su información además de sus dispositivos computacionales y de comunicación, de manera organizada, sistemática, documentada y conocida, que involucre todos los aspectos físicos, lógicos y humanos de la organización. ISO como organización Internacional de Estándares, ha definido el estándar ISO 27001 para La gestión de la seguridad de la información anunciando : 2“El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías”.

En esta unidad se trabajaran tres capítulos: seguridad informática, estándares de gestión de la seguridad de la información SGSI y Procesos de análisis de riesgos. En el primer capítulo enfoca los pilares de la seguridad informática y un estado del arte sobre la implementación de sistemas de gestión planteada por las empresas de hoy. El segundo capítulo enfatiza los elementos contemplados por el estándar ISO para la implementación de un SGSI. Y el último capítulo enfoca un aspecto importante que permite a las empresas conocer el estado actual en que se encuentras sus activos de información a través del análisis de riesgos.

1 Suárez Sierra. 2013. Recuperado de

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23142/1/Lsuarezsi_TFM_062013.pdf

2 El portal de ISO 27001 en Español. Recuperado de http://www.iso27000.es/sgsi.html.

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23142/1/Lsuarezsi_TFM_062013.pdf

http://www.iso27000.es/sgsi.html

10




CAPITULO 1. SEGURIDAD INFORMATICA

1.1 Lección 1: Pilares de la seguridad Informática

El amplio tema de la seguridad informática abarca todos aquellos mecanismos tanto de prevención como de corrección que utilizan las personas y las empresas pequeñas, medianas y grandes de hoy para proteger uno de sus mayores activos, su información. Siendo este un bien que tiene un valor alto en cualquier organización, es más me atrevo a decir que su precio es incalculable.

Existen múltiples definiciones sobre la seguridad informática orientadas a la norma, a la disciplina, a su característica, etc., pero para lograr que abarque variables importantes se puede afirmar que la seguridad informática es la que permite lograr que todos los sistemas informáticos utilizados en cualquier contexto, se encuentren seguro de cualquier daño o riesgos, ya sea por parte de personas ajenas que en forma voluntaria o involuntaria lo pueda hacer o de cualquier desastre natural. En este sentido, la protección de la información requiere de un conjunto de software o aplicativos diseñados, documentos estándares y metodologías existentes que permitan aplicar las normativas certificables internacionalmente y técnicas apropiadas para llevar un control en la seguridad. Se expresa control en la seguridad, porque se considera un tanto difícil garantizar la seguridad de la información en forma completa o llevada a un 100%, por cuanto intervienen diferentes amenazas a las que las organizaciones y/o personas se encuentran continuamente expuestas.

Lo que se persigue proteger en la información, son los cuatro pilares importantes que conlleva a que la información sea protegida a gran escala. A continuación se especifican en su orden:

Confidencialidad: La información sólo puede ser accedida y utilizada por el personal de la empresa que tiene la autorización para hacerlo. En este sentido se considera que este tipo de información no puede ser revelada a terceros, ni puede ser pública, por lo tanto debe ser protegida y es la que tiende a ser más amenazada por su característica. El profesional considerado por la empresa para manejar un tipo de información confidencial conlleva a una serie de connotaciones de carácter ético, pero en el aspecto de seguridad informática conlleva más a que los datos estén protegidos cuando estos sean transferidos o se encuentren disponibles por sistema de comunicación inseguro como lo es Internet. En este orden se han considerado los mecanismos criptográficos para cifrar la

11




información, en caso de que esta sea interceptada, ya que a pesar de que el atacante tenga la información esta estará cifrada y difícilmente podrá descifrarla. También existen mecanismos de ocultamiento de información, la cual se pueda a través de archivos Teniendo presente que no existen sistemas 100% seguros, cuando el que ataca tienen el conocimiento para buscar el mecanismo de descifrar. Este es uno de los pilares que obliga en gran medida a las empresas a tomar la decisión de proteger su información. Integridad: Se refiere al momento en que la información no ha sido borrada, copiada o modificada, es decir, cuando se conserva tal como fue creada o enviada desde cualquier medio desde su origen hacia su destino. Un ataque a la integridad de la información se puede presentar en archivos planos de bases de datos, información documental, registros de datos, etc. Uno de los mecanismos más utilizados para asegurar la integridad de la información es a través de la firma digital. Casonavas Inés (2009) afirma: “la firma digital permite garantizar la identidad del autor y la integridad de un documento digital a partir del concepto tradicional de la firma manuscrita en papel. Técnicamente es un conjunto de datos único, asociado al documento y al firmante, que no tiene por objetivo la confidencialidad sino asegurar la autoría y que no ha sufrido alteraciones” (p.204).

Disponibilidad: Se refiere a que la información facilitada en cualquier medio digital o software se encuentre disponible para el procesamiento de la información, para el correcto funcionamiento de una organización, así como de sus clientes o personal requerido sin que estos sean interrumpidos. Un claro tipo de ataque a este pilar, se puede presentar cuando se ha realizado la eliminación de un cable o medio de comunicación disponible en el centro o cuarto de telecomunicaciones de la empresa, se ha realizado denegación del servicio a sitios web o aplicativos, funcionamiento anormal del sistema informático o de sitios web disponibles, virus y software malicioso, entre otros. Para este tipo de ataques las medidas y controles de seguridad son los firewall (corta fuegos) como barreras de seguridad lógicas y físicas, lo mismo para evitar los intrusos, la duplicidad de servidores en caso de avería o daño físico del mismo, así como el diseño de planes de continuidad de negocio para mantener la disponibilidad de los servicios prestados por la empresa.

Autenticidad: Este pilar se define aquella información legítima, que al ser interceptada, puede ser copiada de su formato original a pesar de que la información sea idéntica. Un ejemplo comparativo a la autenticidad de algo, se presenta muchas veces en la copia de una pintura original de una obra de arte que ha sido copiada idéntica a la obra original del autor, es decir, que a pesar de que la información es igual, no es auténtica. Este tipo de

12




fraudes de autenticidad, ocurre en el plagio de información, sucede de alguna manera en documentos digitales poseen las empresas que son copiadas por el atacante. Este pilar, es similar al de integridad por lo tanto en algunos documentos de seguridad informática no la contemplan. Sin embargo, para prevención, también se utiliza la firma digital, para proteger la autenticidad.

Ahora bien, antes de que exista un indecente de seguridad que afecte cualquiera de sus pilares, tuvo que haber un riesgo de seguridad que en su momento no fue detectado, esto quiere decir; que el significado de un riesgo es cuando existe una amenaza a la seguridad que no ha llegado a afectar a la organización y un incidente, es cuando se materializa el riesgo. Es por ello, la necesidad de la aplicación de controles de seguridad que protege contra todo aquello que pueda causar un incidente de seguridad. Entre estos controles tenemos los referenciados en la siguiente figura No. 1. Figura No. 1 Controles de seguridad

13




Fuente: Daniel cruz Allende. (2006). Gestión de la Seguridad de la Información. Universidad Oberta de Catalunya – UOC

Partiendo de la base de estos cuatro pilares y los diferentes controles de la seguridad informática, se debe contemplar el diseño de un sistema de Gestión de la seguridad informática que los incluye con mayor detalle y especificación a través de normativas de seguridad. 1.2 Lección 2. Realidad de las empresas en seguridad de la información Antes de que las empresas empezaran a utilizar los sistema de comunicaciones de la tecnología de la información y las comunicaciones como un palanca de ampliación de cobertura y globalización para la prestación de sus servicios, su preocupación se basaba simplemente en la protección de los equipos informáticos encontrados en sus establecimientos públicos, como el de utilizar mecanismo prevención como copias de seguridad, mantenimiento preventivo a los computadores, etc. y mecanismos de protección contra robos mediante instalaciones de alarmas, servicios de vigilancia, entre otros, teniendo en cuenta que la información digital no fluía de manera externa entre los computadores de la organización sino de manera interna, a través de las redes locales y metropolitanas implementadas. Pero el crecimiento de las empresas en sucursales ubicadas en diferentes ciudades y países las han llevado a tratar de proteger su información contra atacantes externos, que tiene como objetivo el hurto de información y dinero a través de los sistemas informáticos, así como la copia, eliminación y modificación de la información que viaja a través de la gran red de redes (Internet). A pesar de conocer las empresas el riesgo que pueden correr al ser atacados, no contemplan la inversión costo-beneficio que les proporcionaría un Sistema de Gestión de la Seguridad (SGSI) implantado; ya que si bien es cierto, que el beneficio no sería precisamente el aumento de sus ingresos, sino el de evitar un ataque que cause la pérdida de sus activos, que pueden ser de menor o mayor escala. Es claro que no se puede determinar cuál o cuáles serían precisamente el ataque que le harían a una empresa, pero con un SGSI si se podría prevenir cualquiera de los posibles existentes.

Enlaces de interés complementarios

Presentación y audio de Los Pilares de la seguridad informática.

http://www.mavixel.com/video/pilares-seguridad.htm

http://www.mavixel.com/video/pilares-seguridad.htm

14




Muchas empresas nacionales o internacionales, han sufrido incidentes de seguridad por fuentes externas principalmente por no tener implementado un SGSI que puede prevenirlos de ataques a sus sistemas informáticos implementado o minimizar en gran medida el impacto en caso de que éste no se haya podido controlar. Lo anterior se debe a que las empresas no perciben el riesgo que corren al sufrir un incidente de seguridad a cualquier información confidencial o a la integridad mismas de sus datos, que sólo se conforman con la implementación de controles mínimos de seguridad (firewall, control de acceso a través de claves de usuario, etc.). La tecnología de la información y las comunicaciones avanza vertiginosamente, debido a que ya no es necesario esperar tanto tiempo para tener a la mano los nuevos adelantos como por ejemplo la utilización masiva de los dispositivos móviles (BlackBerry, Smartphone, IPhone, Ipad, etc.), como dispositivos inteligentes que actúan como teléfonos y una computadora capaz de tener conectividad permanente de acceso a internet. Estas tecnologías son aprovechadas por las empresas para tener intercambio de información con sus clientes para ofrecerle sus productos y servicios, al personal o funcionario para realizar consultas de correos electrónicos, mensajería instantánea, acceso a la internet corporativa, intercambio de mensajes, entre otros. De esta manera el crecimiento de las comunicaciones para la transferencia de información en cualquier formato implica para las empresas y personas el aumento de riesgo a la seguridad de su información; Debido al camino que recorren los datos a través de radiocomunicaciones, los cuales son susceptibles de ser vulnerados por los delincuentes informáticos. Así mismo se incrementa la falta de conciencia del personal a tener las precauciones pertinentes de no acceder a sitios web de la empresa o hacer transferencia de mensajes de carácter confidencial desde estos dispositivos. Adicionalmente, las empresas por su afán de crecimiento no estiman o prevén las consecuencias de un ataque y no se crean políticas de acceso al personal que allí labora o los mecanismos de protección adecuados. Varios estudios demuestran que existen con frecuencias, incidentes ocurridos por errores del uso de los empleados operadores del sistema en forma involuntaria que pueden causar problemas de seguridad. Un claro ejemplo de las vulnerabilidades, amenazas e inversiones de seguridad en las empresas lo demuestra, la investigación realizada por Kaspersky Lab en colaboración con B2B International, una de las agencias de investigación líder a nivel mundial y con la participación de más de 1,300 profesionales de TI en 11 países. El estudio abarca empresas de todos tamaños, desde pequeñas (de 10 a 99 personas) a medianas (100-999 personas), y grandes (más de 1000 personas). Se cubrió una amplia gama de temas relacionados con la seguridad informática, incluyendo los riesgos de negocios en general, las medidas adoptadas para proteger el negocio, y los incidentes que han ocurrido. Dicha investigación se

15




encuentra documentada en: 3karpersky lab. 2011. Del documento en relación es preciso destacar los siguientes figuras No. 2 y 3, donde se encuentran representaciones estadísticas significativas sobre los índices de amenazas y riesgos, las cuales, he traducido al lenguaje español para dar mayor claridad y visualización al estudiante. Adicionalmente se muestra la tabla No. 1 preocupaciones específicas de la tecnología de la información por las regiones. Figura No. 2 Futuros Riesgos

Fuente:karpersky lab. 2011. Riesgos Globales de Seguridad de TI.

Tabla No. 1 Preocupaciones específicas de la TI por Región

Cuestión Total Desarrollo Desarrollado Asia Europa Occidental

la prevención de violaciones de la seguridad TI

1 1 1 1 1

Garantizar que los sistemas sean totalmente positivas para maximizar el retorno sobre la

2 3 3 3 3

3 karpersky lab( 2011).Riesgos Globales de Seguridad de TI. Versión en idioma Español e inglés.

Recuperado de http://www.df.cl/prontus_df/site/artic/20110902/asocfile/20110902172243/2_de_septiembre_informe_riesgos_globales_de_seguridad_de_ti.pdf . Versión en español (http://www.df.cl/prontus_df/site/artic/20110902/asocfile/20110902172243/2_de_septiembre_informe_riesgos_globales_de_seguridad_de_ti.pdf).

10%

12%

15%

15%

15%

16%

18%

18%

22%

37%

46%

Terrorismo

Sabotaje (por los empleados actuales o…

Desastres naturales (inundaciones,…

Inestabilidad política

Fraud

La actividad delictiva (robo de la propiedad,…

Espionaje industrial (de dentro y fuera de la…

Robo de propiedad intelectual

Daños a la marca o la reputación corporativa

La incertidumbre económica (recesión, la…

Cyber amenazas (amenazas electrónicas a la …

Casi la mitad de las empresas ve a las amenazas cibernéticas como uno de los tres principales riesgos e

mergentes.

http://www.df.cl/prontus_df/site/artic/20110902/asocfile/20110902172243/2_de_septiembre_informe_riesgos_globales_de_seguridad_de_ti.pdf




16




inversión (ROL) de él

la comprensión de toda la gama de nuevas tecnologías que están disponibles y cómo utilizarlos

3 2 6 4 3

La toma de decisiones sobre futuras inversiones en TI

4 4 5 2 5

La gestión del cambio en los sistemas de TI y la infraestructura

5 8 2 10 2

Tratar con las limitaciones de costo

6 10 4 5 8

formación de los usuarios en la forma de utilizar los sistemas de IT

7 5 8 8 5

La planificación y la recuperación de un fallo o destrucción de la infraestructura de TI.

7 7 7 8 5

Prevenir el mal uso de los sistemas informáticos de los empleados.

9 6 9 7 9

Tratar con FIABILIDAD del día a día de las Naciones Unidas de los sistemas informáticos

10 8 10 6 10

Cumplir con las regulaciones y normas industriales

11 11 11 11 11


La prevención de las violaciones a la seguridad TI es la mayor preocupación en todos los países independientemente de la situación del mercado. Para otros problemas existen diferencias significativas entre los mercados emergentes y maduros. Por ejemplo, las limitaciones de costos son mucho más importantes en los países desarrollados. Al mismo tiempo, las empresas en los mercados emergentes prestan mayor atención a la capacitación de los usuarios finales en temas específicos de TI. Figura No. 3 Aumento significativo en el número de ataques cibernéticos


17




En el documento de “Riesgos Globales de Seguridad de TI”, se pueden encontrar a continuación de los gráficos que ilustro en este documento, otros gráficos representativos que muestran datos sobre las inversiones anuales de seguridad por parte de las empresas, preparación de las empresas sobre las amenazas de seguridad, entre otras. 1.3 Lección 3. Normativas de Seguridad Existen diferentes normativas de seguridad que las empresas de hoy implantan para la seguridad de la información. Todas estas normativas persiguen los mismos objetivos, ya que están diseñadas para incluir a todas las unidades o departamentos que estructura a la empresa para obtener una seguridad mínima de la información procesada y transferida por el personal que hace parte de ella. En esta lección se trataran en forma general las normativas encargadas de la gestión de la seguridad de la información y en el capítulo 2 de este módulo se enfatizará en la normativa ISO/IEC 1779:2005 y en la ISO/IEC 27001, teniendo en cuenta que son las más actuales certificables internacionalmente utilizadas. 1.3.1 ¿Cómo se estructuran las normativas de gestión de la seguridad? Las normativas de seguridad, tienen la finalidad de presentar los lineamientos necesarios para que las empresas puedan implantar un sistema de gestión de la seguridad de la información (SGSI).

Un Sistema de Gestión de la seguridad de la información se implanta mediante un proceso ordenado que consiste en establecer los mecanismos necesarios de seguridad de manera documentada y conocida por todos los miembros de la empresa. Sin embargo es importante que se tenga claro que la implantación de un SGSI no garantiza la protección en su totalidad ya que su propósito como lo anuncia claramente la ISO en su portal ISO27000.es, “garantizar que los riesgos

Enlaces de interés complementarios: Articulo de incidentes de ataque a las empresas españolas.

Las peores brechas de seguridad del siglo XXI.

153 países firmaron tratado que rige el espectro y las órbitas de satélites en CMR-12

Wi-Fi (Wi-phishing): robo de información vía redes inalámbricas

http://www.idg.es/pcworldtech/Practicamente-todas-las-empresas-espanolas-han-suf/doc114630-actualidad.htm

http://www.idg.es/computerworld/Las-peores-brechas-de-seguridad-del-siglo-XXI-/seccion-actualidad/articulo-205772

http://www.itu.int/net/pressoffice/press_releases/2012/10-es.aspx#.UgvSPmxZhjo

http://blog.segu-info.com.ar/2011/06/wi-fi-wi-phishing-robo-de-informacion.html

18




de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías”.

Las normativas para la creación del SGSI se constituyen en:

Normativas que involucra a las buenas prácticas para la seguridad de la información, en las cuales se encuentran los códigos de buenas prácticas que sirven para que las empresas la utilicen para mejorar la seguridad de su información.

Normativas que involucra las especificaciones de los SGSI, que sería la

documentación que deben tener las empresas que deseen certificarse su SGSI.

1.3.2 Origen de las normativas de seguridad El Instituto británico de estándares (British Standard Institute), fue la primera organización que vio la necesidad de la creación de normativas, con el objetivo de ayudar a las empresas a mejorar sus diferentes actividades de negocio. Fue la precursora de muchas normativas que se han aplicado en otros países e inclusive es un organismo colaborador de ISO. La british Standard Institute (BSI), actualmente es una organización global de servicios a empresas en certificaciones de sistemas de gestión, certificación de producto y normas, además de promocionar formación e información sobre normas y comercio internacional. En el siguiente enlace en su portal en español se puede obtener mayor información con respecto a la seguridad de la información. The British Standards Institution 2013. Seguridad de la Información ISO/IEC 27001. Recuperado de http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/. BSI, es una empresa con más de 100 años de experiencia en 66.000 organizaciones en 150 países desde sus 50 oficinas, la evolución obtenida a lo largo de los años se muestra a continuación en la siguiente tabla No. 2. Tabla No. 2 Evolución de la organización (British Standard Institute) Fecha Alcance

1901 Nacimiento de la British Standard Institute (BSI)

1910 Creación del primer estándar

1926 Inicio del proceso de certificación de productos

1946 Creación de la ISO (Internacional Standard Organization) por parte del miembro de la BSI

1979 Primer estándar para los sistemas de gerencia (BS 5750)

http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/

http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/

19




1992 Elaboración del estándar sobre el medio ambiente

1999 Elaboración del estándar sobre seguridad de la información (BS 7799) Fuente: El Autor

1.3.3 Evolución de las normativas de seguridad de la información De acuerdo a lo explicado anteriormente, las normas de seguridad tienen su origen en lo elaborado por la BSI en el año 1993, lo cual se explica en detalle en la tabla No. 3. Tabla No. 3 Evolución de las normas de seguridad de la información apoyados por la BSI

Fecha Documentos obtenidos y publicación oficial

1993 Primeras reuniones de un grupo multisectorial británica. Redacción del primer borrador del código de prácticas de la seguridad de la información.

1995. Primera publicación oficial del BS 7799:1. Código de buenas prácticas

1998. Publicación oficial del BS 7799:2. Especificaciones de los sistemas de gestión de la seguridad de la información.

2000 Publicación de la primera versión de la normativa ISO/IEC 17799:2000 código de buenas prácticas

2002

Publicación de la nueva versión de la BS 7799:2

Publicación oficial de la UNE-ISO/IEC 17799. Código de buenas prácticas

2004 Publicación oficial de la UNE 71502. Especificaciones de los sistemas de gestión de la seguridad de la información.

2005

Publicación oficial de ISO 17799:2005. Código de buenas prácticas.

Publicación de la ISO 27001. Especificaciones de los sistemas de gestión de la seguridad de la información, basados en la norma BS 7799-2

2006 BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

Fuente: El Autor.

En síntesis, a pesar de las diferentes normativas que existieron a lo largo de esos años, las normativas vigentes de certificación internacional en Sistema de Gestión de Seguridad de la información se encuentran - ISO 27001, certificable bajo los esquemas nacionales de cada país. Adicionalmente se encuentran las normas españolas, UNE-IS/IEC 17799 y la UNE 71502 que son de carácter nacional o local, entre ellas se relacionan las siguientes:

UNE 71504:2008. Metodología de análisis y gestión de riesgos para los sistemas de información.

20




UNE 61286:2005. Tecnologías de la información. Conjunto de caracteres gráficos codificados que se utilizan en la preparación de documentos, los cuales se usan en electrotecnología y en el intercambio de información.

UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la

Seguridad de la Información (SGSI) UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI

UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la

gestión de la seguridad de TI. Parte 2: Gestión y planificación de la seguridad de TI.

UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 3: Técnicas para la gestión de la seguridad de TI.

UNE-ISO/IEC 17799:2002.Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información.

1.3.4 Estado de implantación de normativas de seguridad de la información en Colombia. Actualmente es difícil determinar las empresas que en Colombia están en el proceso de implantación de SGSI, pero si se puede brindar la información específica de aquellas que en la actualidad se encuentran certificadas en la normativa internacional auditable ISO/IEC 27001:2005. De acuerdo a estadísticas del 2010, el Japón es el país que más empresas certificadas obtuvo en ese año y en Colombia se reportaron 8 empresas como UNE que obtuvo la certificación en el año 2009 y durante el 2010 y 2011, se realizaron auditorías de seguimiento para verificar el cumplimiento de las norma y en noviembre del 2012, recibió la 4recertificación ISO 27001 sobre la gestión de la

4 Recertificación UNE ISO 27001 (2012).

http://saladeprensa.une.com.co/index.php?option=com_content&view=article&id=1080:bureau-

Enlaces web de interés

Normas y esquemas de certificación anunciadas por la BSI

Sistemas de gestión de la seguridad de la información UNE-ISO/IEC 27001

El portal de ISO 27001 En español

http://saladeprensa.une.com.co/index.php?option=com_content&view=article&id=1080:bureau-veritas-ratifico-los-certificados-de-gestion-de-une-epm-telecomunicaciones&catid=116:une-epm-telecomunicaciones&Itemid=152

http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/

http://www.aenor.es/aenor/certificacion/seguridad/seguridad_27001.asp



21




seguridad de la información, además de recertificación de su Sistema de Gestión Integral en las normas ISO 9001, NTCGP1000 sobre la gestión de la calidad. La empresa UNE es una ISP que presta diferentes servicios en el campo de las telecomunicaciones tales como: Telefonía, Internet, Televisión, entre otras. INCONTEC (Instituto de Colombiano de Normas Técnicas y certificación), reconocido por el gobierno colombiano mediante el decreto 2269 de 1993. Es quién promueve, desarrolla y guía la aplicación de normas técnicas colombianas y demás documentos normativos. ICONTEC, es representante por Colombia ante los organismos de normalizaciones internacionales y regionales como la ISO, IEC (international Electrotechinical commission), COPANT (comisión Panamericana de Normas Técnicas) entre otras. A su vez esta organización nacional provee el servicio de consultas de contenido de las normas técnicas colombianas e internacionales. Además presenta ante Colombia un compendio de normativas para el SGSI. 5 Como Organismo Nacional de Normalización, son miembro activo de los más importantes organismos internacionales y regionales de normalización, lo que nos permite participar en la definición y el desarrollo de normas internacionales y regionales, para estar a la vanguardia en información y tecnología. 6“ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos

similares—auditar controles en los sistemas computacionales que se estaban haciendo cada vez más críticos para las operaciones de sus respectivas organizaciones—se sentaron a discutir la necesidad de tener una fuente centralizada de información y guías en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor en el campo de gobierno y control de TI. Con más de 110,000 integrantes (miembros de la Asociación y aquellos que no son miembros pero ostentan una o más certificaciones de ISACA) en 180 países, ISACA ayuda a empresas y líderes de TI a maximizar el valor, además de gestionar riesgos relacionados con la información y la tecnología. Fundada en 1969, ISACA, es una organización independiente, sin ánimo de lucro, que representa los intereses de los profesionales relacionados con la seguridad de la información, aseguramiento, gestión de riesgos y gobierno de TI. Estos profesionales confían en ISACA como fuente confiable de conocimiento sobre la información y la tecnología, la comunidad, estándares y certificaciones. La asociación, que tiene 200 capítulos en todo el mundo, promueve el avance y

veritas-ratifico-los-certificados-de-gestion-de-une-epm-telecomunicaciones&catid=116:une-epm-telecomunicaciones&Itemid=152 5 Icontec. http://www.icontec.org.co/index.php?section=18

6 ISACA. Sitio oficial. La historia de ISACA. Recuperado de http://www.isaca.org/About-

ISACA/History/Espanol/Pages/default.aspx



http://www.icontec.org.co/index.php?section=18

http://www.isaca.org/About-ISACA/History/Espanol/Pages/default.aspx

http://www.isaca.org/About-ISACA/History/Espanol/Pages/default.aspx

22




certificación de habilidades y conocimientos críticos para el negocio, a través de certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk and Information Systems Control™ (CRISC™)”. ISACA también desarrolló y continuamente actualiza COBIT®, un marco de referencia que ayuda a empresas de todas las industrias y geografías, a gobernar y gestionar su información y tecnología. Los profesionales, estudiantes y académicos con perfiles en el área de la tecnología de información y seguridad de la información pueden ser miembros de ISACA con el objetivos de acceder a los beneficios que proporciona y a la vez apuntar a las certificaciones que ofrece CISA, CISM, CGEIT,CRISC y COBIT. Tabla No. 4 Número de certificaciones expedidas en el 2010 a nivel mundial

Fuente: International Register of ISMS certificates. http://www.iso27001certificates.com/

A continuación se relaciona el listado actualizado de los 7Organismos de Certificación de SGSI, avalados por la ISO. Organismos de Certificación (CBS)

AFNOR Certification AJA Registrars Ltd APCER BM TRADA Certification Limited BSI

7 International Register of ISMS certificates. http://www.iso27001certificates.com/

http://www.iso27001certificates.com/

http://www.iso27001certificates.com/

23




BSI-J (BSI Japan K.K.) Bureau Veritas Certification Center Teknologisk institutt Sertifisering AS (Norway) CEPREIi Certification Body Certification Europe CIS (Austria) Comgroup GmbH (Germany) CQS (Czech Republic) datenschutz cert GmbH (Germany) Defense Procurement Structure Improvement Foundation System Assessment Center (BSK System Assessment Center) DNV (Det Norske Veritas) DQS GmbH (Germany) DS Certification ENAC (Entidad Nacional de Acreditacion) HKQAA (Hong Kong Quality Assurance Agency) ICMS International Standards Certifications Intertek Systems Certification ISOQAR JACO-IS (Japanese Audit and Certification Organisation) JATE (Japan Approvals Institute for Telecommunications Equipment) JICQA (JIC Quality Assurance Ltd) JMAQA (JMA QA Registration Center) JQA (Japan Quality Assurance Organization) JSA (Japanese Standards Association Management Systems Enhancement Department) JUSE-ISO (Union of Japanese Scientists and Engineers ISO Center) J-VAC (Japan Value-Added Certification Co.,Ltd) KEMA Quality BV KPMG Audit plc KPMG Certification KPMG RJ (KPMG Registrar Co., Ltd.) KPMG SA LGAI Technological Center LRQA (Lloyd's Register Quality Assurance Limited) LTSI SAS (France) Moody MSA (Management System Assessment Center Co., Ltd) National Quality Assurance Nemko (Norway) PJR (Perry Johnson Registrars) PJR-J (Perry Johnson Registrars, Inc. of JAPAN) PricewaterhouseCoopers Certification B.V.

24




PSB Certification (Singapore) QSCert, spol. s.r.o RINA S.p.A. (Italy) SAI Global Limited (Australia) SEMKO-DEKRA Certification AB SFS-Inspecta Certification (Finland) SGS ICS Limited SGS Pakistan (Pvt) Limited SGS Philippines Inc. SIRIM QAS International SQS (Swiss Quality System) STQC IT Certification Services (India) TCIC Ltd TECO (Tohmatsu Evaluation and Certification Organization) TUV NORD CERT GmbH (Germany) TÜV Rheinland Group (Germany) TÜV RJ (TUV Rheinland Japan Ltd.) TÜV SAAR CERT (Germany) TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany) UIMCert (Germany) United Registrar of Systems Limited

1.3.5 Ciclo PDCA (Edward Deming)

Para la implantación de un sistema de Gestión de la seguridad de la información, se requiere del desarrollo de actividades que marquen un orden lógico para llevar organizado todo el proceso. El modelo PDCA (Plan, do, check, act), en su equivalencia en español es Planificar, hacer, verificar y actuar (PHVA), es una estrategia de mejora continua de calidad en cuatro pasos. Este modelo es muy utilizado para implantación de sistemas de gestión, como los sistemas de gestión de la calidad que muchas empresas de hoy lo implantan para la calidad administrativa y de servicios con el objetivo de perfeccionarlos y continuar en un proceso de mejora continua.

Para el caso de la implantación de Sistemas de Gestión de la Seguridad informática, el ciclo PDCA es una estrategia efectiva para la organización y documentación que se requiere en este proceso. La siguiente figura ilustra este modelo basado en los procedim|ientos esenciales para un SGSI. Figura No.3

Figura No. 4 Ciclo PDCA (PHVA) para la implantación de SGSI

25




Fuente: El Autor.

El ciclo PDCA como modelo para implantación de SGSI, permanece en una constante revaluación, por cuanto funciona, bajo la filosofía del mejoramiento continuo; en seguridad sería la revaluación de las medidas de prevención, corrección y evaluación, manteniendo un constante ciclo que por sus características no podría terminar. A continuación se detalla cada uno de los pasos del modelo Deming como metodología apropiada los SGSI.

Planear

En esta etapa se enmarca todo el proceso de análisis de la situación en que actualmente se encuentra la empresa respecto a los mecanismos de seguridad implementados y la normativa ISO/IEC 17799:2005, la cual se pretende implantar para evaluación y certificación. Así mismo en la etapa de planeación se organizan fases relevantes como son:

Establecer el compromiso con los directivos de la empresa para el inicio, proceso y ejecución

http://Cert.inteco.es/formación/SGSI/conceptos_basicos/fases_SGSI

Fase de análisis de información de la organización, En esta fase se comprueba cuáles son los sistemas informáticos de hardware y los sistemas de información que actualmente utiliza la empresa para el cumplimiento de su misión u objeto social.

Fase de evaluación del riesgo; En esta fase se evalúa los riesgos, se tratan y se seleccionan los controles a implementar.

26




Hacer

En esta etapa se implementan todos los controles necesarios de acuerdo a una previa selección en la etapa de planeación, teniendo en cuenta el tipo de empresa. También se formula y se implementa un plan de riesgo

Verificar

Consiste en efectuar el control de todos los procedimientos implementados en el SGSI. En este sentido, se realizan exámenes periódicos para asegurar la eficacia del SGSI implementado, se revisan los niveles de riesgos aceptables y residuales y se realicen periódicamente auditorías internas para el SGSI.

Actuar

Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas, realizar las acciones correctivas y preventivas, mantener comunicación con el personal de la organización relevante.

27




CAPITULO 2. ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

2.1 Lección 4: La organización ISO y la Familia de Normas ISO

La organización Internacional de Estándares ISO, abreviado por sus siglas en inglés, International Organization for Standardization, se origina en la Federación Internacional de Asociaciones Nacionales de Normalización (1926 – 1939). En octubre de 1946, en Londres, se acordó su nombre por representantes de veintiocho países. La ISO, celebró su primera reunión en Junio de 1947 en Zurich, Alemania, su sede se encuentra ubicada en Ginebra, Suiza. 8Su finalidad principal es la de promover el desarrollo de estándares internacionales y actividades relacionadas incluyendo la conformidad de los estatutos para facilitar el intercambio de bienes y servicios en todo el mundo. La ISO creó en 1987 la serie de estandarización ISO 9000 adoptando la mayor parte de los elementos de la norma británica BS 5750 que estudió en la lección 3. Ese mismo año la norma fue adoptada en los Estados Unidos como la serie ANSI/ASQC– Q90 (American Society for Quality Control); y la norma BS 5750 fue revisada con el objetivo de hacerla idéntica a la norma ISO 9000.

Las normas ISO ofrecen soluciones y logra beneficios para casi todos los sectores de diferente actividad como la agricultura, construcción, ingeniería mecánica, fabricación, distribución, transporte, medicina, dispositivos, tecnologías de información y comunicación, el medio ambiente, energía, gestión de calidad, evaluación de la conformidad y los servicios.

2.1.1 Criterios de la ISO para desarrollar un estándar

El desarrollo de nuevas normas por parte de la ISO, se hace de acuerdo a las necesidades generadas por los diferentes sectores empresariales, industriales, o cualquier grupo de interés general, el cual comunica su necesidad de la creación de un nuevo estándar a uno de los miembros nacionales de la ISO. Este miembro plantea el nuevo tema de trabajo de la comisión que corresponde al técnico de la ISO para la elaboración de normas en la materia. Las organizaciones de enlace con los comités también pueden plantear o proponer nuevos elementos de trabajo.

La orientación de la ISO se guía por un Plan Estratégico aprobado para un período de cinco años por los miembros de la ISO. Los miembros de la ISO, los representantes últimos de la ISO para sus propios países, se dividen en tres

8 Sandoval Serrano, René Mauricio. Calidad y desarrollo organizacional a través de la certificación

ISO 9000. Argentina: El Cid Editor | apuntes, 2009. p 12. http://site.ebrary.com/lib/unadsp/Doc?id=10316639&ppg=12. Copyright © 2009. El Cid Editor | apuntes. All rights reserved.

http://site.ebrary.com/lib/unadsp/Doc?id=10316639&ppg=12

28




categorías: los organismos miembros (miembros plenos), los miembros corresponsales y miembros de abonados. Sólo los organismos miembros tienen el derecho a votar.

La ISO está compuesta por 163 miembros que se dividen en tres categorías: Los organismos miembros, los miembros corresponsales, miembros de suscriptor. ILos países miembros se pueden ver relacionados en: ISO members. Recuperado de http://www.iso.org/iso/about/iso_members.htm.

2.1.2 Familia de las normas ISO/IEC 27000:2005

La serie ISO/IEC 27000, es un conjunto de normas de gestión de la seguridad de la información con la IEC (International Electrotechnical Commission), comisión internacional de electrotecnia, tiene algunas similitudes a la familia de las normas de gestión de la calidad ISO 9000. Cada una de las normas de la familia 27000, define y centra todos los aspectos importantes en el contexto de la gestión de la seguridad de la información en cualquier empresa pequeña, mediana o grande, así como públicas y privadas.

A continuación se relacionan en la siguiente tabla No. 5, la temática que define cada norma.

Tabla No. 5 Relación de serie de las normas ISO/IEC 27000

Normas Temática

ISO 27000 Gestión de la seguridad de la información ( Fundamentos y vocabulario)

ISO 27001 Especificaciones para un SGSI

ISO 27002 Código de buenas prácticas

ISO 27003 Guía de implantación de un SGSI

ISO 27004 Sistema de métricas e indicadores

ISO 27005 Guía de análisis y gestión de riesgos

ISO 27006 Especificaciones para Organismos Certificadores de SGSI.

ISO 27007 Guía para auditar un SGSI.

ISO/IEC TR 27008: Guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI

ISO/IEC 27010: Guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores.

Fuente: El Autor

A continuación se presenta un breve resumen de cada una de las normas relacionadas anteriormente para una mayor ilustración. Sin embargo es de aclarar que no son de libre difusión sino que deben ser adquiridas.

http://www.iso.org/iso/about/iso_members.htm

29




Norma ISO 27000: Gestión de la seguridad de la información (Fundamentos y vocabulario)

Esta norma fue publicada el 1 de mayo de 2009 y contemplan en forma introductoria todos los aspectos fundamentales que enfoca un sistema de gestión de seguridad de la información (SGSI), una descripción del ciclo PDCA, al igual que las definiciones de los términos que se emplean en toda la serie 27000.

Norma ISO 27001 Especificaciones para un SGSI

Esta norma fue publicada el 15 de Octubre de 2005, la cual enmarca los requisitos y/o especificaciones del sistema de Gestión de la seguridad de la información. Fue originaria de la BS 7799-2:2002, siendo identificada actualmente como norma ISO 27001:2005. Esta es la norma certificable en la actualidad por los auditores externos de los SGSI de las diferentes empresas. En esta norma se enumera en forma resumida, los objetivos de control y controles, para que sean seleccionadas por las empresas que desean implantar el SGS. Si bien es cierto que no es de carácter obligatorio que se implementen todos los controles de esta norma, la empresa debe justificar ante los auditores la no aplicabilidad de los controles cuando estén en el proceso de evaluación para una certificación.

En Colombia a través del El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) y en otros países como España, Venezuela, Argentina, Chile, México y Uruguay se pueden adquirir las normas en el idioma Español. El original en versión en inglés y la traducción al francés pueden adquirirse en el sitio oficial iso.org. Actualmente, este estándar se encuentra en revisión por el subcomité ISO SC27, para ser publicada en forma prevista su segunda edición en Mayo de 2013.

ISO 27002: código de buenas prácticas

Publicado el 1 de julio de 2007. Esta norma no certificable, es una guía de buenas prácticas que detalla los objetivos de control y controles recomendables en los aspectos de seguridad de la información. En cuanto a seguridad de la información. La ISO 27002, contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Esta norma se encuentra publicada en Español a través de la empresa AENOR y en Colombia NTC-ISO IEC 27002), así mismo se pueden encontrar en Perú, chile, entre otros países latinoamericanos.

ISO 27003: Guía de implantación de un SGSI

Publicado el 1 de Febrero de 2010. Esta norma no es certificable y proporciona una guía que contempla todos los aspectos necesarios para el diseño e implementación de un SGSI de acuerdo a la norma certificable ISO/IEC

http://www.iso.org/iso/store.htm

30




27001:2005. El objetivo de esta norma es describir las especificaciones y diseño en el proceso de la implementación del SGSI. Actualmente esta norma se encuentra traducida sólo en el Instituto Uruguayo de normas técnicas en Uruguay (UNIT-ISO/IEC 27003). El original en inglés a través del sitio oficial iso.org.

ISO 27004: Sistema de métricas e indicadores

Esta norma fue publicada el 15 de diciembre de 2009. Esta norma es una guía que permite determinar la eficacia de la implantación de un SGSI a través del desarrollo y utilización de métricas y técnicas de medida y los controles o grupos de controles implementados según ISO/IEC 27001. Esta norma sólo se encuentra traducida al español en Argentina (IRAM-ISO-IEC 27004) y Uruguay (UNIT-ISO/IEC 27004) y el original en inglés a través del sitio oficial iso.org.

ISO 27004: Sistema de métricas e indicadores

La primera edición fue publicada el 15 de Junio de 2008 y la. La segunda edición fue el 1 de junio de 2011. Esta norma tampoco es certificable, pero proporciona las pautas para la gestión del riesgo en la seguridad de la información sobre los conceptos generales definidos en la norma ISO/IEC 27001. Esta norma está diseñada ayudar a la aplicación exitosa de la seguridad de la información basada en un enfoque de gestión de riesgos.

ISO/IEC 27006: Especificaciones para Organismos Certificadores de SGSI. Esta norma fue publicada en su primera edición el 1 de marzo de 2007 y su segunda edición el 1 de diciembre de 2011. Esta norma específica los requisitos para la acreditación de entidades de auditoría y certificación de SGSI. Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

ISO 27007: Guía para auditar un SGSI.

Esta norma fue publicada el 14 de Noviembre de 2011. Es una guía para la aplicación de auditorías a un SGSI como complemento especificado en ISO 19011, no es una norma certificable. La versión original en el idioma inglés se puede encontrar desde su enlace oficial iso.org.

Existen diferentes series de normas de la ISO /IEC, desarrolladas con el objetivo de perfeccionar las existentes o crear nuevos estándares para el beneficio de todos los sectores organizacionales con proyecciones a su publicación en fechas de este mismo año 2012 y 2013.

http://www.unit.org.uy/

http://www.iso.org/

http://www.iram.com.ar/

http://www.unit.org.uy/

http://www.iso.org/

http://www.iso.org/

31




2.2 Lección 5: La normativa ISO/IEC 27001:2005 y afines

2.2.1 Estructura ISO/IEC 27001:2005

Para la normativa certificable de la ISO/IEC 27001, se estipulan 11 dominios, 44 objetivos y 133 controles de seguridad. Cada dominio estipula un capítulo de la norma especificando en forma detallada los controles a los que pertenece cada dominio y su funcionalidad.

Figura No. 5. Dominios de seguridad normativa ISO/IEC 27001

Fuente: El autor

Cada dominio representado en la figura 4, estipula unos objetivos en el SGSI, los controles de seguridad y la función.

05. Política de seguridad: En este dominio se especifica la forma de creación de un documento de política de seguridad, el cual debe ser elaborado por el equipo de trabajo que la dirección designa para la implementación del SGSI. Dicho documento debe ser revisado y aprobado por la dirección. En el documento de política de seguridad, se debe especificar toda la normativa interna de la institución con el objetivo de que los funcionarios conozcan y cumplan las medidas de seguridad implantadas a través del (SGSI). Así mismo contempla todos los aspectos orientados al acceso a la información, utilización

32




de los activos físicos y lógicos de la organización y el comportamiento que deben tener en caso de que ocurra un incidente de seguridad. La elaboración del documento debe ser con un lenguaje claro y sencillo con el objetivo de que cualquier funcionario de la empresa u organización lo pueda interpretar. La subdivisión de este control es la siguiente:

A.5.1.1 Documento de política de seguridad de la información A.5.1.2 Revisión de la política de seguridad de la información

06. Aspectos organizativos para la seguridad: Aquí se establece los parámetros internos y externos de la organización. Los internos, hacen referencia al compromiso que la dirección asume para la implantación del SGSI, la designación del equipo de personal que incluye el coordinador de seguridad y la asignación de responsabilidades entre otros. Los parámetros externos hacen referencia a los Riesgos relacionados con el acceso a terceros, seguridad con respecto a los clientes y contratación con terceros. Los subdominios o controles se relacionan a continuación.

A.6.1 Interna

A.6.1.1 Compromiso de la Dirección con la seguridad de la información

A.6.1.2 Coordinación de la seguridad de la información

A.6.1.3 Asignación de responsabilidades relativas a la seguridad de la información

A.6.1.4 Proceso de autorización de recursos para el procesado de la información

A.6.1.5 Acuerdos de confidencialidad

A.6.1.6 Contacto con las autoridades

A.6.1.7 Contacto con grupos de especial interés

A.6.1.8 Revisión independiente de la seguridad de la información

A.6.2 Externa (Terceros)

A.6.2.1 Identificación de los riesgos derivados del acceso de terceros

A.6.2.2 Tratamiento de la seguridad en la relación con los clientes

A.6.2.3 Tratamiento de la seguridad en contratos con terceros

07. Gestión de activos: Activo en seguridad de la información es la información que la empresa u organización debe proteger contra las diferentes amenazas a las que puede estar expuesta. La generación, ubicación y salvaguarda de la información depende de otros activos de la empresa, los

33




cuales se dividen en diferentes grupos: Hardware, software o aplicación, red, equipamiento auxiliar, instalación, servicios y de personal.

A.7.1 Responsabilidad sobre los activos

A.7.1.1 Inventario de activos

A.7.1.2 Propiedad de los activos

A.7.1.3 Uso aceptable de los activos

A.7.2 Clasificación de la información

A.7.2.1 Directrices de clasificación

A.7.2.2 Etiquetado y manipulado de la información

08. Seguridad ligada a los recursos humanos: Este dominio hace énfasis en todo el talento humano de la organización y demás personal contratado de manera externa, los cuales deben conocer las responsabilidades que adquieren para proteger la información, garantizar la seguridad y buen uso, así como mantener confidencialidad a la información que tienen acceso con este carácter. Es tarea de la organización hacer todo tipo de verificación jurídica al personal antes de ser contratado y establecer las debidas cláusulas contractuales para el cumplimiento de sus funciones, responsabilidades que tiene sobre los activos que utilizará entre otros. También deberá definir los procedimientos que se deben realizar cuando un empleado tenga cambio de funciones o cambio de cargo o haya salido de la empresa por diferentes motivos.

A.8.1 Antes del empleo

A.8.1.1 Funciones y responsabilidades

A.8.1.2 Investigación de antecedentes

<A.8.1.3 Términos y condiciones de contratación

A.8.2 Durante el empleo

A.8.2.1 Responsabilidades de la Dirección

A.8.2.2 Concienciación, formación y capacitación en seguridad de la información

A.8.2.3 Proceso disciplinario

A.8.3 Cese del empleo o cambio de puesto de trabajo

A.8.3.1 Responsabilidad del cese o cambio

A.8.3.2 Devolución de activos

34




A.8.3.3 Retirada de los de derechos de acceso

09. Seguridad física y del entorno: Abarca toda la seguridad en el sitio físico donde se encuentren ubicados los equipos informáticos y la información de la empresa, al igual que el entorno, es decir, toda el área perimetral la estructura física de la organización. En esta parte se estipula el control de acceso a las oficinas o espacios de la edificación organizacional por el mismo personal de la institución y por personal externo. Protección contra incidentes naturales y/o industriales (inundaciones, fuego, humedad, etc.).

A.9.1 Áreas seguras

A.9.1.1 Perímetro de seguridad física

A.9.1.2 Controles físicos de entrada

A.9.1.3 Seguridad de oficinas, despachos e instalaciones

A.9.1.4 Protección contra las amenazas externas y de origen ambiental

A.9.1.5 Trabajo en Áreas seguras

A.9.1.6 Áreas de acceso público y de carga y descarga

10. Gestión de comunicaciones y operaciones: En este dominio se estipula la documentación entorno a los procedimientos para la operación, administración, configuración del sistema de comunicaciones de la organización. En tal sentido, se debe garantizar la separación de los recursos en desarrollo, prueba y operación de los sistemas de información manejados por la organización. Se debe definir y establecer claramente los acuerdos sobre las provisiones y servicios que sean necesarios contratar por terceros. Se debe gestionar las capacidades de los sistemas para garantizar la protección contra código malicioso, código descargado por clientes, copias de seguridad entre otros. Estipular los controles de seguridad para el intercambio de la información a través de las redes de comunicaciones, garantizar la seguridad en el comercio electrónico en caso de que la empresa lo contemple, revisiones y monitorización del mismo entre otros.

A.10.1 Responsabilidades y procedimientos de operación

A.10.1.1

Documentación de los procedimientos de operación

A.10.1.2

Gestión de cambios

A.10.1.3

Segregación de tareas

A.10.1. Separación de los recursos de desarrollo, prueba y operación

35




4

A.10.2 Gestión de la provisión de servicios por terceros

A.10.2.1

Provisión de servicios

A.10.2.2

Supervisión y revisión de los servicios prestados por terceros

A.10.2.3

Gestión de cambios en los servicios prestados por terceros

A.10.3 Planificación y aceptación del sistema

A.10.3.1

Gestión de capacidades

A.10.3.2

Aceptación del sistema

A.10.4 Protección contra código malicioso y descargable

A.10.4.1

Controles contra el código malicioso

A.10.4.2

Controles contra el código descargado en el cliente

A.10.5 Copias de seguridad

A.10.5.1

Copias de seguridad de la información

A.10.6 Gestión de la seguridad de las redes

A.10.6.1

Controles de red

A.10.6.2

Seguridad de los servicios de red

A.10.7 Manipulación de los soportes

A.10.7.1

Gestión de soportes extraíbles

A.10.7.2

Retirada de soportes

A.10.7.3

Procedimientos de manipulación de la información

A.10.7.4

Seguridad de la documentación del sistema

A.10.8 Intercambio de información

A.10.8.1

Políticas y procedimientos de intercambio de información

A.10.8.2

Acuerdos de intercambio

A.10.8. Soportes físicos en tránsito

36




3

A.10.8.4

Mensajería electrónica

A.10.8.5

Sistemas de información empresariales

A.10.9 Servicios de comercio electrónico

A.10.9.1

Comercio electrónico

A.10.9.2

Transacciones en línea

A.10.9.3

Información puesta a disposición pública

A.10.10 Supervisión

A.10.10.1

Registro de auditorías

A.10.10.2

Supervisión del uso del sistema

A.10.10.3

Protección de la información de los registros

A.10.10.4

Registros de administración y operación

A.10.10.5

Registro de fallos

A.10.10.6

Sincronización del reloj

11. Control de accesos: El acceso a la información, producto de la razón social de la empresa (aplicaciones, infraestructura tecnológica y comunicación, etc.) debe ser protegida a través de controles de acceso físico y lógico en la empresa. En este sentido se enmarca todos los criterios de control de acceso. A continuación se relacionan:

A.11.1 Requisitos de negocio para el control de acceso

A.11.1.1 Política de control de acceso

A.11.2 Gestión de acceso de usuario

A.11.2.1 Registro de usuario

A.11.2.2 Gestión de privilegios

A.11.2.3 Gestión de contraseñas de usuario

A.11.2.4 Revisión de los derechos de acceso de usuario

A.11.3 Responsabilidades de usuario

37




A.11.3.1 Uso de contraseña

A.11.3.2 Equipo de usuario desatendido

A.11.3.3 Política de puesto de trabajo despejado y pantalla limpia

A.11.4 Control de acceso a la red

A.11.4.1 Política de uso de los servicios en red

A.11.4.2 Autenticación de usuario para conexiones externas

A.11.4.3 Identificación de equipos en las redes

A.11.4.4 Diagnóstico remoto y protección de los puertos de configuración

A.11.4.5 Segregación de las redes

A.11.4.6 Control de la conexión a la red

A.11.4.7 Control de encaminamiento (routing) de red

A.11.5 Control de acceso al sistema operativo

A.11.5.1 Procedimientos seguros de inicio de sesión

A.11.5.2 Identificación y autenticación de usuario

A.11.5.3 Sistema de gestión de contraseñas

A.11.5.4 Uso de los recursos del sistema

A.11.5.5 Desconexión automática de sesión

A.11.5.6 Limitación del tiempo de conexión

A.11.6 Control de acceso a las aplicaciones y a la información

A.11.6.1 Restricción del acceso a la información

A.11.6.2 Aislamiento de sistemas sensibles

A.11.7 Ordenadores portátiles y teletrabajo

A.11.7.1 Ordenadores portátiles y comunicaciones móviles

A.11.7.2 Teletrabajo

12. Adquisición, desarrollo y mantenimiento de sistemas de información: En este dominio se especifican todas las pautas para garantizar la adquisición de hardware y software seguro, así como el desarrollo de software a la medida desarrollado por la organización, realizar las pruebas necesarias para ajustar y mejorar las debilidades en seguridad de los Sistemas de información, al mismo tiempo la validación.

A.12.1 Requisitos de seguridad de los sistemas de

38




información

A.12.1.1 Análisis y especificación de los requisitos de seguridad

A.12.2 Tratamiento correcto de las aplicaciones

A.12.2.1 Validación de los datos de entrada

A.12.2.2 Control del procesamiento interno

A.12.2.3 Integridad de los mensajes

A.12.2.4 Validación de los datos de salida

A.12.3 Controles criptográficos

A.12.3.1 Política de uso de los controles criptográficos

A.12.3.2 Gestión de claves

A.12.4 Seguridad de los archivos de sistema

A.12.4.1 Control del software en explotación

A.12.4.2 Protección de los datos de prueba del sistema

A.12.4.3 Control de acceso al código fuente de los programas

A.12.5 Seguridad en los procesos de desarrollo y soporte

A.12.5.1 Procedimientos de control de cambios

A.12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo

A.12.5.3 Restricciones a los cambios en los paquetes de software

A.12.5.4 Fugas de información

A.12.5.5 Externalización del desarrollo de software

A.12.6 Gestión de la vulnerabilidad técnica

A.12.6.1 Control de las vulnerabilidades técnicas

13. Gestión de incidentes de seguridad: En este dominio se plantean los procedimientos sistemáticos que la organización debe seguir, cuando se presente un incidente de seguridad, para aplicar las acciones correctivas, al mismo tiempo que el responsable de monitorear, dirigir y controlar la aplicación de dichos procedimientos.

A.13.1 Notificación de eventos y puntos débiles de la seguridad de la información

A.13.1.1 Notificación de los eventos de seguridad de la información

A.13.1.2 Notificación de puntos débiles de la seguridad

39




A.13.2 Gestión de incidentes de seguridad de la información y mejoras

A.13.2.1 Responsabilidades y procedimientos

A.13.2.2 Aprendizaje de los incidentes de seguridad de la información

A.13.2.3 Recopilación de evidencias

14. Gestión de continuidad del negocio: En este dominio, se contempla los planes que debe seguir la organización para mantener el servicio activo a los clientes, con el objetivo de que sea transparentes para ellos. El plan que se diseñe, debe establecer los puntos críticos de la organización para protegerlos.

A.14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio

A.14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio

A.14.1.2 Continuidad del negocio y evaluación de riesgos

A.14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información

A.14.1.4 Marco de referencia para la planificación de la continuidad del negocio

A.14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad

15. Conformidad legal: El dominio contempla la reglamentación interna y externa de la organización sobre el cumplimiento de políticas establecidas, identificación de la legislación nacional e internacional aplicable a la organización.

A.15.1 Cumplimiento de los requisitos legales

A.15.1.1 Identificación de la legislación aplicable

A.15.1.2 Derechos de propiedad intelectual (DPI)

A.15.1.3 Protección de los documentos de la organización

A.15.1.4 Protección de datos y privacidad de la información personal

A.15.1.5 Prevención del uso indebido de los recursos de tratamiento de la información

A.15.1.6 Regulación de los controles criptográficos

A.15.2 Cumplimiento de las políticas y normas de seguridad y

40




cumplimiento técnico

A.15.2.1 Cumplimiento de las políticas y normas de seguridad

A.15.2.2 Comprobación del cumplimiento técnico

A.15.3 Consideraciones de las auditorías de los sistemas de información

A.15.3.1 Controles de auditoría de los sistemas de información

2.2.2 Integración del SGSI (ISO 27001) a ISO 9001 –- 14000

Los sistemas de gestión son herramientas que permiten a las empresas organizar y controlar de manera sistémica cada uno de los procesos y procedimientos que se requieren en cierta área para el funcionamiento eficaz de la empresa, en los ámbitos de la calidad, la seguridad de la información y el impacto ambiental. En este orden, si las empresas ya han implantado alguno de los sistemas de gestión ISO 90001, y/o 14001 para la empresa es más fácil la implantación de un SGSI por cuanto todos contemplan aspectos similares como la utilización de ciclo PDCA para la implantación en todos los sistemas de gestión de la ISO, lo cual permitiría una integración de los diferentes sistemas de gestión, evidenciándose en el anexo C de la ISO 27001; donde se detalla punto por punto la correspondencia entre esta norma y las demás normas ISO 9001 e ISO 14001. Ver tabla 6. Cuadro comparativo entre las normas ISO 9001, 27001 y 14001.

Tabla No. 6 Cuadro comparativo entre las normas ISO 9001, 27001 y 14001.

9001 (Sistema de gestión de

calidad - SGC)

27001 (Sistema de Gestión de Seguridad

de la información - SGSI)

14001 (Sistema de gestión ambiental SGA)

Compromisos de la

dirección

Aplica como requisito compromiso de dirección

Se aplica en el dominio 06. Aspectos organizativos para la seguridad

Aplica como requisito compromiso de dirección

Políticas Políticas de calidad

Políticas de seguridad en la organización, dominio 05.

Políticas de gestión ambiental

Revisión por dirección

Revisión por dirección

Esquema documental. Revisión por dirección

Revisión por dirección.

Auditoría interna

Procesos de revisión y verificación

Proceso de revisión Interna sobre el SGSI

Proceso de revisión Interna sobre el SGA

41




2.3 Lección 6: Consideraciones para la implantación de un SGSI (Norma ISO 27001) en una organización

2.3.1 Preguntas orientadoras de la necesidad del SGSI

¿Cuándo y porque implantar un SGSI en una organización?

Implantar un SGSI en una empresa no es precisamente cuando se le haya presentado un incidente de seguridad sobre su información, sino, cuando ésta desea tener un crecimiento y posicionamiento ante un mercado exigente y global teniendo en cuenta que para ello, requerirá del uso de la Tecnología de la información y las comunicaciones para lograrlo. En tal sentido, un SGSI, va permitir de forma organizada y sistémica, mantener la seguridad de la información que maneja la empresa con un alto grado de confiabilidad, integridad y disponibilidad. Así como el estar preparados para afrontar un incidente de seguridad que rompa las barreras (medidas de seguridad) de seguridad implantadas y estar en la capacidad de poner en funcionamiento rápidamente la empresa o que es lo mismo evitar que sus clientes lo perciban o se vean

¿Qué aspectos se deben considerar al implantar un SGSI?

La seguridad de la información es un compromiso de todos en una organización. Aunque esto sea claro para muchas empleados de una empresa, para otras no lo es, es por ello que uno de los aspectos relevantes a la hora de implementar un SGSI, es concientizar a las directivas y demás empleados, la importancia y responsabilidad de proteger la información como el activo más preciado que posee y que la perdida de ella podría causar el declive parcial o total de la empresa con una afectación económica, de identidad, de marca y por ende desminución de empleados.

interna sobre el SGC

Recurso Humano

Se contempla involucrar al recurso humano durante y después de la implantación del SGC

Se contempla involucrar al recurso humano durante y después de la implantación del SGSI

Se contempla involucrar al recurso humano durante y después de la implantación del SGA

Certificación ISO 9001:2000 ISO 14001:2004 ISO/IEC 27001:2005

Fuente: El Autor

42




¿Cuánto tiempo se requiere para implantar un SGSI?

Dado que existen organizaciones que tienen por lo menos implementada algunas medidas de seguridad sobre sus activos y éstas a la vez cumple con la normativa ISO/IEC 27001, la implantación del SGSI llevaría alrededor de 6 meses. Pero si la empresa posee medianamente o por lo menos unas técnicas seguras de sus activos, además de la concientización de las directivas, esta podría tardar alrededor de un año.

¿Cuánto puede costar la implantación de un SGSI?

El costo de la implantación de un SGSI, depende de múltiples variables. Una de las variables es cuando la empresa la implementa pero a través de la contratación de terceros o entes externos que realizan todo el proceso. Otra variable es que dentro de la empresa existan empleados que poseen el conocimiento o en su defecto la organización los capacite para que posteriormente realicen la implantación. También se podría incluir como variable las herramientas que se utilicen para la implementación ya que existen actualmente múltiples sistemas de información y/o aplicativos que ayudan a desarrollar todo el proceso de manera más ágil. Para ello la versión de aplicaciones libres como e-pulpo permite su utilización sea de manera gratuita.

Por último se podría considerar, que el costo de la implantación de un SGSI, depende de la magnitud o tamaño de la empresa ya que entre más grande sea, pues los requerimientos serán mayores o simplemente tendría que hacer la implantación por áreas, factores, dependencias o departamentos según sea la estructura organizacional de la empresa.

¿Es necesario certificarme en la ISO/IEC 27001:2005?

El hecho de que la empresa no se certifique no supone perjuicio para ella, pero si desea competir en un mercado globalizado, marcar un posicionamiento en la empresa y ampliar su cobertura es necesario que lo haga. Ya que le permite crear en los clientes la confianza de estar en una empresa con un alto grado de protección de la información que manejan y de la información que mantiene de ellos.

Otra de las necesidades a considerar en que una empresa se certifique es obligarla a estar en mejoramiento continuo para ajustes y revaluación de su SGSI ya que el estándar lo exige para lograr mantener en el tiempo dicha certificación.

43




CAPITULO 3. ANALISIS DE RIESGOS

El análisis de riesgos es uno de los procesos más relevantes y prioritarios para la implantación de SGSI, por ser el procedimiento que permite analizar en forma metódica cada uno de los procesos, actividades y demás labores de la empresa que pueden estar en riesgo, así como determinar las necesidades de seguridad, las posibles vulnerabilidades y las amenazas a las que se encuentra expuesta. En tal sentido, el resultado que se obtiene de todo un proceso de análisis de riesgo es la información sobre el estado actual de la empresa en cuanto a sus niveles, controles de seguridad y los riesgos.

3.1 Lección 7: Proceso de identificación del riesgo

La identificación del riesgo en una empresa se realiza a través de una metodología apropiada. Actualmente, existen varias metodologías para realizar el análisis de riegos y su esencia se fundamenta en tres elementos importantes que son los activos, las amenazas y las vulnerabilidades como variables primordiales que se identifican y se relacionan entre sí, para determinar los riesgos. Ver figura 6. Los activos pueden tener vulnerabilidades que son aprovechadas por las amenazas, las cuales conlleva al riesgo inminente en la empresa. En este orden se describe de manera sucinta cada elemento.

Figura No. 6 Elementos del análisis de riesgos

Fuente: El autor

Activos: Los activos son todos los elementos que requiere una empresa u organización para el desarrollo de sus actividades misionales y las que serán tratadas durante el proceso de analisis de riegos. Los activos pueden ser físicos como servidores, equipos, cableados, entre otros y lògicos como aplicaciones, bases de datos, sitios web, entre otros.

Amenazas: Son todos aquellos hechos que pueden ocurrir en una empresa, perjudicando directamente los activos ya sea en el funcionamiento incorrecto o eliminación del mismo.

Vulnerabilidades: Son todas las debilidades de seguridad en la cual se encuentran los activos que se han identificado en el análisis y son suscetibles de amenazas para su daño o destrucción.

44




Entre las metodologías más utilizadas para realizar el análisis de riesgo a una organización se tienen Magerit, Octave y Mehari, todas cumplen con el mismo objetivo, su diferencia se determina en la forma de presentación de los resultados. Para el caso de estudio de este curso, seleccionaremos la metodología Magerit ya que los resultados del análisis de riesgo se pueden expresar en valores cualitativos y cuantitativos (valores económicos), lo cual facilita la toma de decisiones en materia de seguridad por parte de los directivos, al conocer el impacto económico que se podría presentar si la empresa no invierte en la implantación de un sistema de seguridad de la información y comunicaciones. Las demás metodologías las trabajaremos en el módulo de manera general.

3.2 Lección 8: Metodología MAGERIT

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica de España. Actualizada en 2012 en su versión 3. Esta metodología contempla diferentes actividades enmarcadas a los activos que una organización posee para el tratamiento de la información. A continuación se relacionan cada uno de los pasos que se deben contemplan en un proceso de análisis de riesgos, teniendo en cuenta un orden sistémico que permita concluir el riesgo actual en que se encuentra la empresa.

3.2.1 Paso 1: Inventario de Activos

Como se mencionó anteriormente, los activos son todos los elementos que una organización posee para el tratamiento de la información (hardware, software, recurso humano, etc.). Magerit diferencia los activos agrupándolos en varios tipos de acuerdo a la función que ejercen en el tratamiento de la información. A la hora de realizar el análisis de riesgo el primer paso es identificar los activos que existen en la organización y determinar el tipo. En la tabla No. 7 se relacionan cada tipo de activos.

Tabla No. 7 Relación de activos de seguridad de la información

Tipos de activos Descripción

Activo de información Bases de datos, documentación (manuales de usuario, contratos, normativas, etc.)

Software o aplicación Sistemas de información, herramientas de desarrollo, aplicativos desarrollados y en desarrollo, sistemas operativos, aplicaciones de servidores etc.

Hardware Equipos de oficina (PC, portátiles, servidores, dispositivos móviles, etc.)

Red Dispositivos de conectividad de redes (router, swicth, concentradores, etc.)

45




Equipamiento auxiliar UPS,

Instalación Cableado estructurado, instalaciones eléctricas.

Servicios Conectividad a internet, servicios de mantenimiento, etc.

Personal Personal informático (administradores, webmaster, desarrolladores, etc.), usuarios finales y personal técnico.

Fuente: El Autor.

El levantamiento de la información de los activos y la respectiva clasificación es la primera actividad que se debe realizar en un análisis de riesgos. Esta identificación se debe hacer en conjunto con las personas directamente responsables de manejar en la organización todo el sistema de información y comunicaciones.

Para profundizar en la metodología Magerit, en el siguiente enlace se encuentra los 3 libros que especifican en detalle las actividades que se deben desarrollar en el análisis de riesgos. Específicamente en el libro I, se encuentra todos los aspectos a considerar en la clasificación de los activos formando como especies de árboles o grafos de dependencia que permiten darle un nivel de relevancia a los activos que la organización o empresa posee. En esta clasificación se especifican:

Activos esenciales o información que se maneja

o servicios prestados

Servicios internos o que estructuran ordenadamente el sistema de información

Equipamiento informático o equipos informáticos (hardware) o comunicaciones o soportes de información: discos, cintas, etc.

el entorno: activos que se precisan para garantizar las siguientes capas• equipamiento y suministros: energía, climatización, etc. Mobiliario

los servicios subcontratados a terceros

las instalaciones físicas

El personal o usuarios o operadores y administradores o desarrolladores

46




3.2.2 Paso 2: Valoración de los activos

Cada activo de información tiene una valoración distinta en la empresa, puesto que cada uno cumple una función diferente en la generación, almacenaje o procesamiento de la información. Pero a la hora de valorarlos no sólo debemos tener en cuenta cuanto le costó a la empresa adquirirlo o desarrollarlo, sino que además debemos contemplar el costo por la función que ella desempeña y el costo que genera ponerlo nuevamente en marcha en caso de que éste llegase a dañarse o deteriorarse. Es por ello que se hace necesario tener en cuenta diferentes variables a la hora de darle valor a un activo. En libro I en la metodología Magerit que es la que actualmente estamos estudiando, expone que los activos se deben valorar de acuerdo 5 dimensiones de seguridad (confiabilidad, integridad, disponibilidad, autenticidad y trazabilidad). En el capítulo 1, vimos las 4 primeras dimensiones como pilares de la seguridad, pero no se contempló trazabilidad que la metodología incluye. Por tal razón, define 9trazabilidad (del inglés, accountability), que a efectos técnicos se traducen en mantener la integridad y la confidencialidad de ciertos activos del sistema que pueden ser los servicios de directorio, las claves de firma digital, los registros de actividad, etc.

La metodología Margerit contempla dos tipos de valoraciones, cualitativa y cuantitativa. La primera hace referencia al de calcular un valor a través de una escala cualitativa donde se valora el activo de acuerdo al impacto que puede causar en la empresa su daño o perdida, en consecuencia la escala se refleja en:

Muy Alto (MA)

Alto (A)

Medio (M)

Bajo (b)

Muy bajo (MB)

En el libro III, “guía técnica”, en la página 6, se encuentra en detalle esta valoración. En cuanto a la valoración cuantitativa es necesario también que se realice una escala de valores que permita a la empresa estimar su costo que no sólo es el costo que tuvo inicialmente el activo sino teniendo en cuenta variables de valor inicial, costo de reposición, costo de configuración, costo de uso del activo y valor de perdida de oportunidad. En la guía técnica se explica esta valoración cuantitativa pero no en profundidad, por lo tanto se detalla los términos en que se podría valorar un activo en miles de pesos.

Valor de reposición

9 Metodología de análisis y gestión de riesgos de los sistemas de información . Libro I Método.

Pagina. 25. Ministerio de Hacienda y Administraciones Públicas. España.

47




Valor de configuración o puesta a punto Valor de uso del activo Valor de pérdida de oportunidad

De acuerdo a dicha valoración es preciso que se estime 5 escalas que podríamos asignar a cada activo de acuerdo a la valoración cualitativa dada. En la tabla 8, se relaciona la escala cuantitativa.

Tabla No. 8 Escala cuantitativa

Podemos presentar como ejemplo, la valoración del activo de una organización que podría ser el servidor de aplicaciones, donde su función es la de mantener el proceso de facturación distribuida de los productos en la organización. A Dicho activo, se podría considerar cualitativamente con un valor muy alto en la empresa por cuanto administra información sumamente importante en la empresa para cumplimiento de sus procesos diarios y/o misionales. En consecuencia y de acuerdo a la escala de valores cuantitativos se podría estimar su valor sobre los doscientos a trecientos millones de pesos, por el valor del uso o relevancia del activo, el tipo de información que guarda y genera diariamente, el valor de perdida de oportunidad de clientes por falla en los sistemas, valor que costaría reponer el equipo en restauración de copias de seguridad o adquisición de nuevo servidor, recuperación de información de la cual no se alcanzó a realizar copia antes del incidente de seguridad presentado, entre otros aspectos relevantes.

3.2.2.1 Dimensiones de Seguridad

Como se mencionó anteriormente, las dimensiones de seguridad que contempla la metodología Magerit son: Confiabilidad, integridad, autenticidad, disponibilidad y trazabilidad, el cual se puede profundizar cada una, en el Libro II: Catálogo de Elementos, en el capítulo 3 pagina 15. Para contemplar en la valoración de activos

Valoración cualitativa Escala de valor cuantitativo expresado en millones

Valor cuantitativo

Muy Alto (MA) > $ 200 300.000

Alto (A) 200 <valor> 100 $ 150.000

Medio (M) 100 <valor> 50.000 $ 50.000

Bajo (b) 50.000 <valor> 20.000 $ 20.000

Muy bajo (MB) 20.000 <valor> 10.000 $ 10.000

Fuente: El Autor.

48




cada una de estas dimensiones, es necesario definir unos criterios de valoración que nos permitan ubicar la posición en que se encuentra cada activo frente a cada dimensión. A continuación se relacionan los criterios que se podrían tener en cuenta para valorar los activos con respecto a cada dimensión de seguridad, ver tabla No. 9.

Tabla No. 9 Criterios de valoración de los activos

VALOR CRITERIO

10 Daño muy grave a la organización

7-9 Daño grave a la organización

4-6 Daño importante a la organización

1-3 Daño menor a la organización

0 Irrelevante para la organización Fuente: El Autor.

Con base a los criterios anteriores, se puede hacer una valoración cualitativa de cada activo en relación a las 4 dimensiones de seguridad contempladas en la metodología. En la figura 5, se ilustra un ejemplo de la herramienta Pilar, sobre la forma como se pueden valorar los activos con el nivel de dependencia, presentado en forma de árbol de acuerdo a las 4 dimensiones.

Figura No. 7 Ejemplo de valoración de activos de acuerdo a las 4 dimensiones de seguridad, herramienta Pilar

Fuente: Archivo de ejemplo de la herramienta Pilar.

49




3.2.3 Paso 3: Amenazas (identificación y valoración)

Existen actualmente múltiples amenazas que pueden afectar los activos de una empresa, por ello es importante identificarlas y determinar el nivel de exposición en la que se encuentra cada activo de información en la organización. Se considera una amenaza, a cualquier situación que pueda dañar o deteriorar un activo, impactando directamente cualquiera de las 4 dimensiones de seguridad. La ISO/IEC 13335-1:2004 define que una “amenaza es la causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización”.

3.2.3.1 Identificación de amenazas

Magerit, en el libro II, catálogo de elementos, presenta el catálogo de amenazas posibles que puede tener un activo de información. Las amenazas se clasifican en cuatro grandes grupos: Desastres naturales(N), de origen industrial (I), errores y fallos no intencionados (E), ataques deliberados o intencionados(A). Cada grupo de amenaza se representa por una letra, así mismo cada grupo presenta en forma específica los tipos de amenazas que se pueden presentar. A continuación se presenta el listado codificado de las posibles amenazas que se pueden presentar en cada uno de los grupos mencionados.

[N] Desastres naturales

[N.1] Fuego [N.2] Daños por agua [N.*] Desastres naturales

[I] De origen industrial

[I.1] Fuego [I.2] Daños por agua [I.*] Desastres industriales [I.3] Contaminación mecánica [I.4] Contaminación electromagnética [I.5] Avería de origen físico o lógico [I.6] Corte del suministro eléctrico [I.7] Condiciones inadecuadas de temperatura o humedad [I.8] Fallo de servicios de comunicaciones [I.9] Interrupción de otros servicios o suministros esenciales [I.10] Degradación de los soportes de almacenamiento de la información [I.11] Emanaciones electromagnéticas

[E] Errores y fallos no intencionados

50




[E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorización (log) [E.4] Errores de configuración [E.7] Deficiencias en la organización [E.8] Difusión de software dañino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Fugas de información [E.15] Alteración de la información [E.16] Introducción de falsa información [E.17] Degradación de la información [E.18] Destrucción de la información [E.19] Divulgación de información [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualización de programas (software) [E.23] Errores de mantenimiento / actualización de equipos (hardware) [E.24] Caída del sistema por agotamiento de recursos [E.25] Pérdida de equipos [E.28] Indisponibilidad del personal

[A] Ataques deliberados

[A.4] Manipulación de la configuración [A.5] Suplantación de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.7] Uso no previsto [A.8] Difusión de software dañino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteración de secuencia [A.11] Acceso no autorizado [A.12] Análisis de tráfico [A.13] Repudio [A.14] Interceptación de información (escucha) [A.15] Modificación de información [A.16] Introducción de falsa información [A.17] Corrupción de la información [A.18] Destrucción de la información [A.19] Divulgación de información [A.22] Manipulación de programas [A.24] Denegación de servicio [A.25] Robo de equipos [A.26] Ataque destructivo [A.27] Ocupación enemiga [A.28] Indisponibilidad del personal

51




[A.29] Extorsión [A.30] Ingeniería social (picaresca)

3.2.3.2 Valoración de amenazas

Tomando como base el listado de amenazas propuesto por la metodología Magerit, se procede a realizar la valoración de amenazas a cada uno de los activos, es decir, determinar que amenazas los puede afectar, con qué frecuencia se puede presentar la amenaza y que dimensión de seguridad puede ser afectada. Para valorar las amenazas es necesario que se estime una escala de valores que nos permita determinar el rango de frecuencia en que se puede presentar la amenaza, la cual se realiza mediante estimaciones anuales, mensuales, y semanales, asignando un número de veces. En la tabla 10, se presenta dicho rango.

Tabla No. 10 Escala de rango de frecuencia de amenazas

Vulnerabilidad Rango Valor

Frecuencia muy alta 1 vez al día 100

Frecuencia alta 1 vez cada 1 semanas 70

Frecuencia media 1 vez cada 2 meses 50

Frecuencia baja 1 vez cada 6 meses 10

Frecuencia muy baja 1 vez al año 5 Fuente: El Autor.

Al valorar el nivel o frecuencia de la amenaza de cada activo, es necesario valorar también el impacto que sería en realidad el daño causado al activo en caso de materialización de una amenaza, la valoración se puede realizar de manera porcentual; Así mismo se podría estimar en qué grado el activo es afectado sobre algunas de las dimensiones de seguridad que la metodología Magerit ha considerado como la Autenticidad (A), confiabilidad (C), integridad (I), disponibilidad (D) y la trazabilidad del servicio (T) que indica, el aseguramiento de que en todo momento se podrá determinar quién usó qué y en qué momento.

Para valorar el impacto, en la tabla 11, se presenta el rango de impactos de manera porcentual para posteriormente registrar en una tabla resumen cada activo con el nivel de frecuencia y el impacto en cada una de las dimensiones de seguridad. En la figura 8, se puede ver claramente la tabla resumen que presenta la herramienta Pilar como ejemplo para la valoración de las amenazas que se pueden presentar en cada activo, donde enmarca siete columnas; La primera para relacionar los activos representados en forma de árbol con las posibles amenazas, la segunda para representar el nivel de frecuencia en que se puede presentar la amenaza, la cual se representa denotándose como: Alta (A), media(M), muy alta (MA), baja (B), muy baja (MB) que en nuestro caso, se estima de manera numérica. Y por último las 5 columnas siguientes que representan cada una de las dimensiones de seguridad.

52




Tabla No. 11 Escala de rango porcentual de impactos en los activos para cada dimensión de seguridad.

Fuente: El Autor.

Figura No. 8 Ejemplo cuadro resumen valoración de amenazas, herramienta Pilar

Fuente: Archivo de ejemplo de la herramienta Pilar.

Si no se tiene disponible la herramienta Pilar, podríamos representar en un cuadro resumen el activo con su clasificación desplegándolo también en forma de árbol los activos con sus posibles amenazas. Ver tabla 12.

Tabla 12. Ejemplo de cuadro resumen valoración de amenazas

ACTIVO/AMENAZAS

FRECUENCIA DE

LA AMENAZA

[A] [C] [I] [D] [T]

Hardware

Servidor de datos

[E.1] Errores de los usuarios 10 10% 75% 75%

Impacto Valor cuantitativo

Muy alto 100%

Alto 75%

Medio 50%

Bajo 20%

Muy bajo 5%

53




[E.2] Errores del administrador 50 100% 100% 100%

20% 20%

[E.3] Errores de monitorización (log) 50 75% 75% 50%

[E.4] Errores de configuración 10 75% 75% 75% 75% 75%

[E.18] Destrucción de la información 5 100% 100% 100%

100%

[I.6] Corte de suministro electrónico 70 100% 100% 100%

100%

[I.8] Fallo de servicios de comunicaciones 100 100% 100% 100%

100%

Fuente: Universidad Oberta de Catalunya (UOC). Guía Trafajo Final de Master (TFM) – Plan de Implementación de la ISO/IEC 27001:2005.

3.2.3.3 Impacto potencial

Teniendo como resultado la tabla resumen presentada en el ítem anterior, se puede determinar el impacto potencial que se puede estimar en la empresa en caso de que llegue a materializarse las amenazas consideradas en cada activo.

La definición del impacto que se puede producir en la empresa se resume sobre los activos esenciales, es decir, donde se centra la información que se maneja y los servicios prestados.

Podemos plantear como ejemplo, una empresa que presenta un listado de activos de información, entre ellos, el que centra la información en servidores ftp y el que presta el servicio en el servidor de aplicaciones. En relación a ellos, se presenta un incidente de seguridad que materializa la amenaza de un fallo de servicios de comunicaciones [I.8], logrando que los funcionarios de la empresa no puedan actualizar la información y además no puedan utilizar las aplicaciones. Pues con este hecho, se puede apreciar un impacto sobre la dimensión de disponibilidad, sin incluir las demás dimensiones porque a pesar de que la información se mantuvo intacta en ambos servidores pues no habría disponibilidad de servicio a los clientes, lo que pondría en riesgo el buen nombre y retirada masiva de los mismos, entre otros. El anterior hecho, se convierte en un impacto muy alto, teniendo en cuenta el tiempo que gastaría la empresa en solucionar el daño en su sistema de comunicaciones para volver a la normalidad.

En el libro I (método) de la metodología Magerit, se habla sobre impacto acumulado y el impacto repercutido, el cual pueden mirar en detalle. Sin embargo considero suficiente hacer el análisis del impacto potencial a nivel general para de alguna manera mirar en forma general el estado de la empresa

3.2.3.4 Nivel de riesgo potencial

Al determinar el impacto potencial, se debe determinar el riesgo que asume la empresa al no tener implementados controles de seguridad. En tal sentido, se tiene en cuenta también, que se debe estimar el riesgo por cada activo y en cada dimensión. Para Magerit, se denomina riesgo a la medida del daño probable sobre

54




un sistema, al igual que la tabla resumen mostrada anteriormente así se debe determinar la probabilidad de la ocurrencia de la amenaza para detectar el riesgo.

3.2.4 Paso 4: Salvaguardias

Las amenazas estimadas en cada uno de los activos, el riesgo e impacto presentado son contempladas en caso de que no existan salvaguardias, la cual define Magerit, como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Es así como dentro del proceso de análisis de riesgos se contemplan las salvaguardias. Así como se estimaron las amenazas para cada activo de información en el ítem de amenazas, también se debe estimar las salvaguardias para cada uno. En el libro II, catálogo de elementos se encuentra dieciséis tipos de salvaguardias, sin embargo, para seleccionarnos se debe tener en cuenta aspectos importantes que el libro I contempla, las cuales resumo a continuación:

Tipo de activos a proteger, pues cada tipo se protege de una forma específica

Dimensión o dimensiones de seguridad que requieren protección Amenazas de las que necesitamos protegernos Si existen salvaguardas alternativas

Para mayor profundización en la definición de salvaguardias se recomienda revisar detenidamente el libro I y II de la metodología Magerit. Es de mencionar que la herramienta Pilar, por utilizar la metodología identifica y valora por activos los salvaguardias al igual que por dominios. En la figura 9, se muestra en detalle la forma como se contemplan los salvaguardias. Figura No. 9 Ejemplo valoración de salvaguardias por activo herramienta Pilar

Fuente: Archivo de ejemplo de la herramienta Pilar

55




Si bien es cierto, que las organizaciones actuales poseen seguridad sobre sus activos, estas generalmente la contemplan sobre la protección de las localidades físicas donde se encuentran físicamente sus activos de información y alguna protección lógica a nivel de antivirus o firewall pero no contempla es forma específicas medidas o salvaguardas para cada activo.

3.2.5 Paso 5: Impacto residual

El impacto residual supera el impacto potencial, por cuanto esta vez ya se ha aplicado en cada activo los salvaguardias de seguridad, lo cual minimizaría en cada activo el impacto en caso de que materialicen las amenazas. Por tanto, este impacto deberá estar muy por debajo del impacto potencial.

3.2.6 Paso 5: Riesgo residual

El nivel de riesgo residual, es el riesgo que la institución puede asumir después de aplicar medidas o salvaguardias de seguridad. El nivel de riesgo residual obtenido supera el riesgo potencial, por tanto todo lo que éste por debajo de éste nivel no se considera una amenaza importante para la empresa.

3.2.7 Resultados del análisis de riesgos

Al desarrollar las fases consideradas en el análisis de riesgos se debe presentar a manera de resumen los resultados obtenidos. Dichos resultados pueden ser:

Un análisis detallado de los activos relevantes a nivel de seguridad para la empresa.

Un estudio de las posibles amenazas sobre los sistemas de información, así como cuál sería su impacto en la misma.

Una evaluación del impacto potencial que tendría la materialización de las diferentes amenazas a que están expuestas nuestros activos.

3.3 Lección 9: Otras metodologías (Octave, Nist, Cramm y Mehari) Estas dos metodologías al igual que la Magerit son las utilizadas para realizar análisis de riesgos con el objetivo de determinar el estado actual de la empresa. Como había anunciado en el presente modulo se presentó en detalle el estudio de Magerit por razones expuestas anteriormente. Para profundización en este tema, relaciono a continuación en la siguiente tabla 13, enlaces importantes que le permitirá profundizar en cada una de ellas.

56




Tabla No. 13 Relación de metodologías y fuentes documentales de profundización

Metodología Fuentes documentales

Octave

OCTAVE Method. http://www.cert.org/octave/octavemethod.html

Introducción a octave. http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunoz-IVJNSI.pdf

Nist

Technical Guide to Information Security Testing and Assessment http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf

Seguridad 7 “A” http://seguridades7a.blogspot.com/p/nist-sp-800-30.html

Cramm

Compatibilities. http://www.cramm.com/capabilities/iso27001.htm

Herramienta de evaluación de riesgos cramm. http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM

Mehari Club de la Sécurité de l’Information Français (seguridad de la información Fránces) http://www.clusif.asso.fr/en/clusif/present/

Mehari2010. http://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2010-Introduccion.pdf

Fuente: El autor


Metodologías de análisis. http://upiicsa-ha4cm1.blogspot.com/2012/05/ha4cm1-

gonzalez-jazmin.html

Cobit 5. http://www.isaca.org/cobit/pages/default.aspx

Consideraciones prácticas para una implementación exitosa. http://www.proactivanet.com/UserFiles/File/FERROLIG-TCM-COBIT.pdf

http://www.cert.org/octave/octavemethod.html

http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunoz-IVJNSI.pdf

http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunoz-IVJNSI.pdf

http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf


http://seguridades7a.blogspot.com/p/nist-sp-800-30.html

http://www.cramm.com/capabilities/iso27001.htm

http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM

http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM

http://www.clusif.asso.fr/en/clusif/present/

http://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2010-Introduccion.pdf

http://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2010-Introduccion.pdf

http://upiicsa-ha4cm1.blogspot.com/2012/05/ha4cm1-gonzalez-jazmin.html

http://upiicsa-ha4cm1.blogspot.com/2012/05/ha4cm1-gonzalez-jazmin.html

http://www.isaca.org/cobit/pages/default.aspx

http://www.proactivanet.com/UserFiles/File/FERROLIG-TCM-COBIT.pdf

57




AUTOEVALUACION DE LA UNIDAD I

1. Investigue que nuevas empresas actualmente están certificadas en SGSI

bajo la ISO/IEC 27001.

2. ¿Considerarías el modelo PDCA como único modelo de mejora continua para la implementación de un SGSI?, Sino lo consideras así, investiga que otro modelo de mejora continua se ha definido actualmente que sea semejante al PDCA.

3. Realice un análisis general de cada uno de los pasos que contempla por lo

menos tres metodologías de análisis de riesgos diferente a Magerit, seleccione una de ellas explique las razones por lo cual la escogería.

4. Relaciones 5 beneficios que considere, las empresas obtendrían al

implementar y certificarse en la normativa ISO7IEC 27001:2005.

58




UNIDAD 2

SISTEMAS DE GESTION DE LA SEGURIDAD INFORMATICA

59




INTRODUCCION A LA UNIDAD 2

Partimos de que la seguridad de la información, no sólo se limita a la utilización de medidas o mecanismos de control que protejan los equipos hardware y software de una organización, sino en lograr que todos los elementos que involucran la emisión, transformación, transporte, entre otros de la información en la mano del recurso humano, hagan parte de todo un sistema que requiere de una seguridad que le permita evitar que los cuatro pilares de la información (confidencialidad, integridad, disponibilidad y autenticidad), sean vulnerados.

Siguiendo con el concepto de sistemas, la implementación del SGSI involucra a toda la organización, principalmente enmarca el compromiso de la dirección, ya que a través de ella se imparten las directrices económicas y del personal necesarias para que se puedan realizar con éxito cada una de las etapas de implementación del SGSI.

En la primera unidad, se enmarcó la importancia que tiene la utilización del ciclo PDCA (Edward Deming) en la implementación del SGSI, por tanto, en esta segunda unidad, se aplica el ciclo Deming en el estudio de los capítulos; plan de gestión del SGSI, la implantación del SGSI y la auditoría del SGSI. Teniendo en cuenta que en el primero se planifica, en el segundo se hace o se elabora y en el tercero se verifica.

Por otro lado, como se ha comentado antes, la ISO/IEC 27001:2005, es la normativa que fija las bases para la implementación del SGSI para certificación, sin embargo en esta unidad se estudiará también la ISO 27003 que especifica la guía de implantación de un SGSI para cubrir todos los aspectos necesarios para el diseño e implementación del SGSI.

60




CAPITULO 4: PLAN DE GESTION DE UN SGSI

La ISO 27001, expresa que un Sistema de Gestión de la Seguridad de la información, es un sistema de gestión que comprende la política, estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. Este sistema es la herramienta de que dispone la Dirección de las organizaciones para llevar a cabo las políticas y los objetivos de seguridad (integridad, confidencialidad y disponibilidad, asignación de responsabilidad, autenticación, etc.). Este sistema proporciona mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en concordancia con las políticas de seguridad y planes estratégicos de la organización

4.1 Lección 10: ¿Cómo definir el alcance del SGSI y su estructura organizacional?

La planeación para la implementación de un SGSI, es una etapa ineludible, por tanto, definir el alcance para la implementación del sistema en una organización es uno de los primeros aspecto que se debe considerar. Teniendo en cuenta que existen organizaciones que difieren en tamaño por el número de empleados, volumen de información manejada, número de clientes, volúmenes de activos físicos y lógicos, número de sedes u oficinas, entre otros elementos, se hace necesario determinar qué áreas o dependencias de la organización se desea implantar el SGSI como primera medida y cuales posteriormente. Las primeras áreas que se deben considerar son aquellas que por sus funciones y responsabilidades ayudan en primera instancia a dar cumplimiento a la misión institucional.

Se puede considerar por ejemplo, una empresa comercial de compra y venta de productos para la construcción, los cuales comercializan por internet, y de manera presencial en sus diferentes sedes locales y nacionales. En tal sentido, se puede apreciar, que una empresa de este estilo o tipo puede ser de tamaño mediano o alto, por tanto, el alcance para la implantación del SGSI, se debería determinar en primera instancia con el cubrimiento de las áreas de inventario, facturación, contabilidad y entrega de productos, al ser áreas que le permiten de primera mano dar satisfacción a sus clientes. Sin embargo, es imposible dejar de lado otras áreas de la empresa, aunque no estén incluidas para el cumplimiento de la misión pero entran de manera progresiva en el SGSI.

61




Recordando, las familias de la serie ISO 27001, la norma ISO 27003: 2010 (guía para la implementación de un Sistema de Gestión de Seguridad de la Información), orienta el diseño de la norma ISO / IEC 27001 para la iniciación de un proyecto de implantación de un SGSI. En él se describe el proceso de especificación del SGSI y el diseño desde el inicio hasta la generación de la ejecución de los proyectos que abarquen las actividades de planificación, de preparación, antes de la implementación real. Esta norma estructura como aspecto importante el alcance en su sexto ítem. En la figura 10, se presenta las cláusulas que se definen en esta norma.

Figura No. 10 Estructura general ISO 27003

Fuente: ISO 27003 (SGSI) Ayuda y guía para implementar un SGSI. Ing. Fernando Moreno, CISM, Auditor

27001. 4.1.1 Estructura organizacional en seguridad para el SGSI Definir la Estructura organizacional en seguridad es una de las primeras actividades a considerar en la implantación del SGSI. Cuando realmente la empresa decide implantar un SGSI, debe crear una estructura interna con responsabilidades y funciones para ejecutar todos los procedimientos inherentes a la implantación, ya que si la empresa no concibe la necesidad de definir personal con dedicación exclusiva y con algunos de tiempo parcial, es imposible que se logre un SGSI con la eficacia y efectividad que se requiere. Ahora bien, el personal se puede definir dependiendo del tamaño de la empresa y el alcance definido para la implantación del SGSI. De acuerdo a las dos anteriores variables, se puede determinar el número de profesionales con los perfiles necesarios que harán parte del grupo de seguridad de la información de la institución para ejecutar las respectivas laborares que este tipo de trabajos conlleva.

62




Figura No. 11 Estructura organizativa en forma piramidal

Fuente: Daniel Cruz Allende y Silvia Garre Gui. Sistema de gestión de la seguridad de la información. UOC

La normativa ISO, define el control 06 aspectos organizativos, para la estructuración interna y externa, contemplando el compromiso ineludible de la dirección.

En la figura 11, se representa la estructura que se concibe, con forma piramidal, se hace un acercamiento sobre las responsabilidades que se contempla en cada nivel. Se puede observar que el nivel técnico y operativo se encuentran los usuarios finales que serían aquellos que registran y actualizan información en forma permanente. Sin embargo en un proceso de implementación se debe involucrar al todo el personal, desde los vigilantes, servicios generales, hasta los directivos, teniendo en cuenta que todos entran en un compromiso por la protección de los activos de la empresa sin excluirlos a ellos mismo, por cuanto son considerados también por la ISO, como un importante activo.

4.2 Lección 11: Política de seguridad

En esta lección se describen todos los aspectos a considerar en el desarrollo de

la política de seguridad de la información para una organización, considerando

que la política de seguridad es el primer documento que se debe contemplar, por

cuanto es donde se especifica toda la normativa interna de la institución con el

objetivo de que los funcionarios conozcan y cumplan sobre el sistema de gestión

de la seguridad informática (SGSI) implantado, con este documento, también se

refleja el compromiso planteado por la dirección. Así mismo contempla todos los

aspectos orientados al acceso a la información, utilización de los activos físicos y

lógicos de la organización y el comportamiento que debe hacer en caso de que

ocurra un incidente de seguridad.

63




La política de seguridad que se implemente debe demostrar el compromiso de la dirección.

La política de seguridad implementada debe utilizar un lenguaje coherente y claro que lo pueda comprender desde los funcionarios de servicios generales hasta los directivos de la empresa.

En consecuencia en la normativa NTC-ISO/IEC 27002, en la página 6, se especifica la guía de implementación de la política de seguridad, la cual pueden descargar a través del siguiente enlace o descargar a través del curso virtual.

4.3 Lección 12: Análisis de requisitos y diseño del SGSI

El análisis de requisitos consiste en estudiar los requisitos de seguridad de la información para el proceso SGSI bajo la normativa ISO/IEC 27001 definidos. Los requisitos son aquellas exigencias que la normativa determina para el SGSI y son susceptibles de análisis. En tal sentido, la ISO 27003 es la guía que define el análisis de requisitos para direccionar u orientar la implantación de la normativa certificable, definiendo en la cláusula 7 el análisis de requisitos, con los siguientes ítems:

7.2 Definir los requisitos de seguridad de la información para el proceso SGSI

7.3 Identificar los activos dentro de los límites de alcance del SGSI

Procesos / activos clasificación Activos identificados

7.4 Realizar una evaluación de seguridad de la información

Estado de seguridad resumida de la organización

El diseño del SGSI, abarca todos los aspectos de planeación y trazado de la ruta a seguir para la implantación del SGSI en la organización, bajo la normativa en estudio. En consecuencia la normativa ISO 27003, describe unos aspectos necesarios a considerar en la etapa de diseño en su cláusula 9, los cuales se relacionan a continuación:

9.3 Diseño de las TIC y la seguridad de la información física

Plan de ejecución de los controles relacionados con las TIC y la seguridad física

9.4 Control del diseño del SGSI seguridad de la información Específica

http://66.165.175.217/ncontents/mod/resource/view.php?id=44128

64




9.4.1 Plan de revisiones por la dirección

Lista de insumos para realizar revisión de la gestión Procedimiento de revisión por la dirección incluye la auditoría, supervisión, aspectos de medición

9.4.2 Formación sobre la seguridad de información de diseño y programa de educación

Materiales de capacitación en seguridad de información Formación de capacitación en seguridad de información, incluidas las funciones y responsabilidades Planes de seguridad de la educación sobre la información y la formación Los registros de educación de seguridad de información y resultados de la formación

9.5 Producir el plan del proyecto SGSI definitiva

Plan de ejecución del proyecto SGSI definitiva

Guía para la implementación de un Sistema de Gestión de Seguridad de la Información – ISO 27003, es la ayuda para la implementación del SGSI en las organizaciones, principalmente enfocado en las clausulas 4,5 y 7 de estándar ISO/IEC 27001. 4. Sistema de gestión de la seguridad de la información

4.1 requisitos generales 4.2 establecimiento y gestión del SGSI 4.3 requisitos de documentación

5. Responsabilidad de la dirección

5.1 compromiso de la dirección 5.2 gestión de recursos

7. Revisión del SGSI por la dirección

7.1 generalidades 7.2 información para la revisión 7.3 resultados de la revisión

Definición de Alcance del SGSI y Política SGSI, Análisis de requisitos y Diseño del SGSI (Clausula 6, 7 y

9 – ISO 27003)

La obtención de la aprobación de la

gestión para el inicio de un proyecto

de SGSI (Clausula 5 – ISO 27003)

Realización de Evaluación y Riesgo

Planificación del tratamiento de riesgo

(Clausula 8 – ISO 27003)

65




Para mayor profundización con respecto a los parámetros y consideraciones a profundidad en cada una de las cláusulas de la normativa ISO 27003, pues, es necesario tener a disposición el documento de la normativa, la cual se podría adquirir en su versión en inglés directamente de la organización ISO, mientras Icontec como entidad normativa colombiana, haga la respectiva adaptación y en la versión en español, aunque se puede encontrar en otros países ya traducidos, teniendo en cuenta que es una normativa que tiene un poco más de tres años de su publicación. Sin embargo a pesar de no tener a la mano esta guía, no es una limitante para implantar con éxito el Sistema de Gestión de Seguridad de la Información.

66




CAPITULO 5: IMPLANTACION DEL SGSI

Antes de iniciar la implantación del SGSI en una organización, se tuvo que haber definido la estructura organizativa de seguridad de la información. Así mismo definir el alcance y el compromiso establecido por la dirección. 5.1 Lección 13: Fases para la implantación del SGSI La normativa ISO/IEC 27002, establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en cualquier organización. Sin embargo para llevar un orden lógico y sistémico como se había enunciado anteriormente la normativa ISO/IEC 27001, utiliza el modelo PHVA, aplicado a todos los procesos del SGSI. En consecuencia los pasos a considerar para implantar el Sistema de gestión de la Seguridad de la información se presentan a continuación, teniendo en cuenta el anunciado modelo. 5.1.1 Fase 1: Planificar: Análisis diferencial para definición del alcance y otras actividades de planeación. A pesar de haberse definido el alcance del SGSI, se considera necesario por el equipo de seguridad de la información, definir un alcance más acertado con la realidad o estado actual de la empresa, por tanto se hace necesario que el equipo de trabajo verifique el estado actual, a través de la realización de un análisis diferencial. El análisis diferencial es la identificación previa al proyecto de implantación del SGSI en una empresa, sobre Las medidas de seguridad y verificación de aplicaciones de la normativa implementada en relación a la Seguridad de la Información. Este análisis diferencial se realizará con respecto la ISO/IEC 27001 e ISO/IEC 27002. El análisis diferencial permite conocer de primera mano, el estado general de la empresa entorno a la seguridad de la información permitiendo la definición del alcance. ¿Cómo se realiza el análisis diferencial? El análisis diferencial se realiza estableciendo un chequeo de cada uno de los controles con sus respectivos objetivos de seguridad encontrada en la normativa ISO/IEC 27002. Se puede plantear por ejemplo, una tabla que relacione cada una de las normas y se verifique en la actualidad el estado de la empresa en relación a la implementación de cada control y objetivo. La tabla se puede estructurar con una columna que plantee el control y sus objetivos, el estado actual y las observaciones. En la lección 4, se realizó un preámbulo en forma general de los

67




controles de la ISO/IEC 27001 pero en la normativa 27002, se describe en detalle cada uno de ellos, es decir proporciona la guía de implementación. Por consiguiente es necesario, revisar detenidamente la norma para realizar el análisis diferencial plasmándolo a manera de resumen en la siguiente tabla de ejemplo. Tabla No. 14. Ejemplo tabla resumen análisis diferencial Sección Control Estado Observaciones

A.5 POLÍTICA DE SEGURIDAD

A.5.1 Política de seguridad de la información

Sin implementar

A.5.1.1 Documento de política de seguridad de la información

Parcialmente implementado

Existe un borrador sobre políticas de seguridad.

A.5.1.2 Revisión de la política de seguridad de la información

Sin implementar

A.6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION

A.6.1 Organización interna Sin implementar

A.6.1.1 Compromiso de la Dirección con la seguridad de la información

Sin implementar Existe desconocimiento

Fuente: El Autor

Posterior a la realización del análisis diferencial, se redefinen el alcance del SGSI y se establece el compromiso de la dirección. Así mismo, se define o precisa lo siguiente: Definición de las responsabilidades y funciones que tendrá cada uno de los profesionales que hacen parte del equipo u organización de seguridad de la empresa de las cuales se habla en la fase 2, esquema documental y se considera establecer un documento específico para esta definición. Definición de política de seguridad que se estudió en lección 15 del capítulo 4 y que se profundiza igualmente en la normativa ISO/IEC 2700.

Definición de los objetivos de la seguridad de la información entorno a las características de la empresa.

Definición de la metodología de análisis de riesgos a utilizar

5.1.2 Fase 2: Hacer: Implantar el plan de SGSI

Luego de las definiciones y consideraciones que se enmarca en la fase de planificación, en esta fase se define cuando y donde se implementaran los objetivos de seguridad propuestos, el alcance y el tiempo estimado para implantar

68




el SGSI. Es decir, presentar el tiempo estimado para la implantación que se puede proyectar de 6 meses a un año dependiendo del tamaño y tipo de empresa. Este plan, lo organiza el coordinador o director de seguridad y lo presenta ante el comité de seguridad para su aprobación y puesta en marcha. Dentro de esta fase se considera:

El análisis de riesgos de acuerdo a la metodología seleccionada para posterior implementación de las medidas de seguridad y mitigar los riesgos a la que se encuentra expuesta.

La elaboración de la gestión documental del SGSI, es decir, todos los documentos que define la ISO/IEC 27001 necesarios para certificar el sistema de gestión de seguridad, implantados en la organización. Debido a la importancia que tienen cada uno de los documentos del SGSI, éstos se elaboran de forma independiente.

Gestión de roles y responsabilidades

Tal como se mencionó anteriormente la importancia de una estructura de

seguridad en la organización para la implementación del SGSI, siendo éste un

grupo de profesionales del área con perfiles de gestión, experiencia y técnicos en

el área de la informática y seguridad, son los que se encargará de planear, crear,

mantener, revisar, auditar y mejorar el sistema. Por lo tanto se hace necesario

especificar en este documento los compromisos y responsabilidades que asume

el equipo de trabajo que se estipula como comité de seguridad. En dicho comité

hace parte por lo menos una persona de dirección para tener el respaldo de las

directivas institucionales las decisiones que se requieran tomar.

Gestión de Indicadores: Medir la eficacia de cada una de los controles de

seguridad implantados. Un indicador es la medida de referencia. Todo

indicador constará de ocho componentes básicos referenciados en el siguiente

cuadro.

1. Nombre del indicador. Se debe seleccionar un nombre significativo, no

excesivamente largo, que dé idea de cuál es la medición que se está

realizando.

2. Descripción del indicador. Explicación del objetivo de medida de dicho

indicador.

3. Control de seguridad que respalda. A qué control o controles está dando

cobertura.

69




4. Fórmula de medición. Descripción de la fórmula aplicada para obtener la

medición. Es importante que los parámetros que intervienen sean concretos y

no se presten a ambigüedad.

5. Unidades de medida: las unidades de medida deben estar claramente

especificadas.

6. Frecuencia de medición. Cada cuánto se debe recoger la medición. Es

posible establecer una frecuencia inicial durante un período de tiempo, y una

frecuencia posterior mayor (por ejemplo, quincenal los tres primeros meses, y

mensual a partir del cuarto mes). En cualquier caso, la frecuencia dependerá

de la variabilidad en el tiempo de la medición.

7. Cuando sea posible, valor objetivo y valor umbral, es decir y

respectivamente, cuál es el valor que sería correcto para la compañía y cuál es

el valor por debajo del cual se debiera levantar una alarma.

8. Responsable de la medida. Sobre quién o, preferiblemente, sobre qué cargo

recae la responsabilidad de proporcionar el resultado de la medida

Fuente: Daniel Cruz Allende y Silvia Garre Gui. Sistema de gestión de la seguridad de la información. UOC

En relación al significado de cada componente de un indicador se puede tomar como ejemplo en la tabla 15, el siguiente indicador sobre el control de acceso físico a la organización:

Tabla No. 15 Ejemplo de diseño de indicador

Nombre indicador Medidas de control de acceso físico a áreas seguras

Descripción Medida de eficacia del control de acceso

Control de seguridad

Controles físicos de entrada

Fórmula de medición

Numero de acceso de personal controlado/número de accesos de personal

Unidades de medida

Personas/personas

Frecuencia de medición

Semanal

Valor objetivo 90%

Valor umbral < 75%

Responsable de la medida

Responsable de seguridad física al acceso a la organización a partir de digitalización de imagines y/o huella digitales.

Fuente: El autor

70




Procedimientos de revisión por dirección

La revisión por dirección es uno de los aspectos que contempla la normativa

ISO/IEC 27001:2005 para la revisión anualmente de los aspectos más importantes

que se han presentado con relación al SGSI implantados, revisando los elementos

de entrada y salida de la revisión que establece la norma. De esta manera la

dirección puede verificar y/o monitorear el sistema y establecer compromisos para

realizar las mejoras necesarias.

Procedimientos de auditorías internas

La auditoría es el proceso de revisión de cumplimiento de cada aspecto que

involucra el estándar ISO/IEC 27001:2005 por consiguiente, se considera

necesario elaborar un documento que presente toda la planificación para la

ejecución de las auditorías internas que la organización debe realizar con el

objetivo de verificar el cumplimiento de las condiciones de la normativa y poder

certificarse o mantener la vigencia de certificación obtenida en la implantación del

SGSI de la institución. En este documento se establecen los requisitos que los

auditores internos deben tener, las unidades o dependencias auditar en la

empresa y se establece la forma como se presentará el informe de la auditoría

ante los directivos y empleados de la empresa.

Declaración de aplicabilidad

Declarar la aplicabilidad de los controles es una tarea que visibiliza el alcance del

SGSI, por tanto, es necesario un documento que especifique los controles de

seguridad de acuerdo a la normativa que aplica a la organización en la que se

implanta el SGSI. Para la declaración de aplicabilidad, ésta se puede representar

a través de una tabla que especifique cada uno de los controles aplicables de los

144, como la tabla ejemplo planteada en la figura 15.

71




Figura No. 12. Ejemplo tabla representativa para declaración de aplicabilidad

Fuente: Herramientas Para análisis de Riesgos GlobalSGSI

5.1.3 Fase 3: Verificar: Seguimiento, supervisión y Revisión del SGSI En esta fase es donde se hace todo el proceso de verificación y revisión por parte de la dirección del cumplimiento de los objetivos propuestos, el alcance proyectado, las medidas de seguridad implementadas para mitigar los riesgos. El proceso de seguimiento y monitorización del SGS se hace con base a los resultados que arroja los indicadores de la seguridad de la información propuestos para verificación de la eficacia y efectividad de los controles implementados. La revisión del SGSI por la dirección debe realizarse en forma planificada por lo menos en forma anual. De acuerdo a la normativa ISO/IEC 27001, las entradas para revisión de la dirección deben incluir 9 ítems, los cuales pueden ver en el documento de la norma. Así mismo los resultados de la revisión por la dirección debe incluir cualquier decisión y acción relacionada con la mejora de la eficacia del SGSI, la actualización de la evaluación de los riesgos y el plan de tratamiento de riesgos, entre otras que también se encuentran incluidas en la norma en el ítem 7.3. Para expresar el procedimiento de la revisión por dirección se debe elaborar un documento, el cual se menciona en la fase anterior dentro del esquema documental, teniendo en cuenta las consideraciones de la norma. Las auditorías internas, son otro de los procedimientos que se deben llevar a cabo para a revisión del SGSI implantado, de forma planificada con la finalidad de verificar que los objetivos de control, controles, procesos y procedimientos del

72




SGSI cumplen con los requisitos de la norma ISO/IEC 27001, cumple los requisitos identificados de seguridad de la información, entre otros estipulados en la norma en el ítem 6. 5.1.4 Fase 4: Actuar: Mantener y mejorar el sistema La última fase a considerar en la implantación del SGSI es la de mantener y mejorar el sistema con la implantación de mejoras, acciones correctivas y preventivas en relación a los resultados obtenidos de la revisión por dirección y las auditorías internas. En el numeral 4.2.4 mantenimiento y mejora del SGSI en la norma ISO/IEC 27001, se encuentran los aspectos de mejoras a considerar, por tanto se le recomienda al estudiante leer la normativa. Así como también se expresa las mejoras de seguridad de la información en la normativa ISO/IEC 27002, en el numeral 13.2. 5.2 Lección 14: Formación y Concientización Personal La formación y concientización del personal es contemplada en el objetivo de control A.8.2.2 Concienciación, formación y capacitación en seguridad de la información de la normativa ISO 27001, por tanto, en su documento considera que “todos los empleados de la organización y cuando sea pertinente, los contratistas y los usuarios de terceras partes deben recibir formación adecuada en concientización y actualizaciones regulares sobre las políticas y los procedimientos de la organización, según sea pertinente para sus funciones laborales”. En la normativa ISO 27002, especifica en detalle este control en la cual se sugiere revisar. La formación y concientización de los usuarios es otra de las tareas relevantes durante el proceso de implantación del SGSI, ya que a través del personal de la empresa, se canalizan muchas veces los ataques a la seguridad de la información, implicando una amenaza constante que de hecho, en el análisis de riesgos se identifican como una amenaza las cuales son: Errores de usuarios, errores de administradores, de monitorización, configuración entre otros, incluyendo la ingeniería social. 5.3 Lección 15: Gestión de continuidad del negocio La gestión de continuidad del negocio es el control 14, que estipula la norma ISO 27001 y en la guía práctica la ISO 27002. El objetivo de este control es “Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres, y asegurar su recuperación oportuna”

73




La mayoría de las empresas no tienen implementado un plan de continuidad de negocio que les permita afrontar un incidente de seguridad, sin que se vean afectados sus clientes con la interrupción del servicio o que por el contrario se normalice rápidamente. Es claro que ninguna organización está exenta a una amenaza de seguridad pero si puede estar preparada en caso de que la amenaza se materialice. Sabemos que la naturaleza en cualquier momento puede sorprender a las empresas con un desastre bajo o descomunal, sin embargo un buen plan de contingencia puede evitar su cierre definitivo. Esta gran experiencia se puede apreciar con el tsunami en el Japón, donde claramente se evidencio la materialización de una amenaza, pero también es de admirar como los japonés a un mes ya estaban reanudando operaciones y organizando rápidamente el país del devastador desastre. En las siguientes figuras 13, se visualizan estas impactantes imagenes. Figura No. 13 fotografías antes y después del tsunami en Japón.

Fuente: Fotos. Revista. HOLA. http://www.hola.com/actualidad/2011092654675/japon-despues-tsunami/

http://www.hola.com/actualidad/2011092654675/japon-despues-tsunami/

74




Fuente: http://www.hola.com/actualidad/2011092654675/japon-despues-tsunami/

Es de recordar, que así como los desastres naturales son amenazas devastadoras, existen otras amenazas que se estudiaron en el capitulo 3 de análisis de riesgos, que también pueden devastar operativamente una empresa sin que sus localidades físícas se vean afectadas, como lo pueden ser las amenazas sobre Errores y fallos no intencionados y ataques deliberados que se contempla en la metodologías Magerit.

En la normativa ISO-IEC-27002, se encuentra la guía de implementación para:

Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio.

Continuidad del negocio y evaluación del riesgo

Prueba mantenimiento y reevaluación de los planes de continuidad del

negocio

En el 2012 la ISO publicó la normativa ISO 22301:2012, norma especifica para la gestión de continuidad del negocio. El nombre de la norma es 10“Seguridad de la sociedad- Sistemas de gestión de la continuidad del negocio –requisitos”. . La normativa internacional ISO 22301, incluye unas secciones mostradas en la tabla 13.

10

Se anuncia que la La ISO 22301 ha reemplazado a la norma britanica BS 25999-2 publicada en

el 2007. IS&BCA. Conceptos básicos de la BS 25999-2. Recuperado de http://www.iso27001standard.com/es/que-es-la-norma-BS-25999-2

http://www.hola.com/actualidad/2011092654675/japon-despues-tsunami/

http://www.iso27001standard.com/es/que-es-la-norma-BS-25999-2

75




Tabla No. 16 Secciones ISO 22301

Introducción

0.1 General

0.2 El modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA)

0.3 Componentes de PDCA en esta norma internacional

1 Alcance

2 Referencias normativas

3 Términos y definiciones

4 Contexto de la organización

4.1 Conocimiento de la organización y de su contexto

4.2 Conocimiento de las necesidades y expectativas de las partes interesadas

4.3 Determinación del alcance del sistema de gestión

4.4 Sistema de gestión de la continuidad del negocio

5 Liderazgo

5.1 General

5.2 Compromiso de la dirección

5.3 Política

5.4 Funciones, responsabilidades y autoridades organizativas

6 Planificación

6.1 Acciones para tratar riesgos y oportunidades

6.2 Objetivos de la continuidad del negocio y planes para alcanzarlos

7 Apoyo

7.1 Recursos

7.2 Competencia

7.3 Concienciación

7.4 Comunicación

7.5 Información documentada

8 Funcionamiento

8.1 Planificación operativa y control

8.2 Análisis de impactos en el negocio y evaluación de riesgos

8.3 Estrategia de la continuidad del negocio

8.4 Establecimiento e implementación de procedimientos de continuidad del negocio

8.5 Prueba y verificación

9 Evaluación de desempeño

9.1 Supervisión, medición, análisis y evaluación

9.2 Auditoría interna

9.3 Revisión por parte de la dirección

10 Mejoras

10.1 No conformidades y acciones correctivas

10.2 Mejora continua

Bibliografía

Fuente: http://www.iso27001standard.com/ique-es-iso-22301

Enlaces de interés complementarios

Caso de estudio: “El valor de negocio de ISO17799”.

Conceptos básicos sobre ISO 22301

¿Cómo redactar planes de continuidad del negocio?

ISO 22301 vs. BS 25999-2 – Infografía

Normativa en línea ISO 22301 Continuidad del negocio

http://www.iso27001standard.com/ique-es-iso-22301

http://www.iso27000.es/download/ValorDeNegocioDeISO17799.pdf

http://www.iso27001standard.com/ique-es-iso-22301

http://blog.iso27001standard.com/es/2010/04/08/%c2%bfcomo-redactar-planes-de-continuidad-del-negocio/

http://blog.iso27001standard.com/es/2012/05/22/iso-22301-vs-bs-25999-2-infografia/

http://ebookbrowsee.com/continuidad-negocio-iso-22301-pdf-d421010261

76




CAPITULO 6: AUDITORIA AL SGSI

6.1 Lección 16: Auditorías internas del SGSI

Una auditoría interna es el proceso mendiente el cual la organización evalua el cumplimiento de la implantación del Sistema de Gestión de la Seguridad de la información en una empresa bajo una normativa. Para el caso de estudio, pues la normativa es la ISO/IEC 27001. El numeral 6 de esta normativa anuncia los aspectos y parametros a considerar para la realización de las auditorías internas. En el número 15.3 de la normativa ISO/IEC 27002, se presentan las consideraciones de la auditoría de los sistemas de información que es necesario auditar para verificación de las medidas implementadas en los sistemas de información que la empresa posee y que están incluidos dentro del alcance del SGSI.

Los aspectos a considerar en las auditorías internas son:

Las auditorias internas deben estar bien planificadas (plan auditor) y aprobadas por la dirección

El equipo auditor deben ser profesionales idoneos con experiencia y diferentes a los encargados de la implantación del SGSI en la organización.

Se debe estipular un coordinador del equipo auditor La auditoría se deben orientar hacia la correcta implantación de los 11

controles de seguridad implementados. Toda la organización debe conocer el alcance y la agenda estipulada para

la auditoría interna. Los informes y resultados deberán ser conocidos por todo el personal de la

organización involucrado dentro del alcance del SGSI De acuerdo al informe y/o resultados presentados en la auditoría interna, la

organización debe estipular los planes para mejorar la eficacia del SGSI y realizar el procedimiento documentado de las acciones correctivas y preventivas. En el numeral 8 de la normativa ISO/IEC 27001, se trata la mejora SGSI, incluyendo en los numerales 8.1, el concepto de mejora continua y en el numeral 8.2 y 8.3 los requisitos para el procedimiento documentado de la acción preventiva y correctiva respectivamente.

6.2 Lección 17: Metodologías para auditoría de SGSI

Auditar un SGSI, requiere de una metodología que brinde las orientaciones y/o pasos que permitan la revisión exahustiva de cada una de las medidas de seguridad implementadas de acuerdo a la normativa ISO/IEC 27001.

77




Siguiendo con la familia ISO en el marco de la seguridad informática y la tecnología de la información, la ISO / IEC 27007:2011 (tecnología de la información – Técnicas de seguridad – Directrices para la gestión de los sistemas de seguridad de la información de auditoría), fue desarrollada para brindar orientación sobre la gestión de un sistema de gestión de seguridad de la información (SGSI) programa de auditoría, sobre la realización de las auditorías, y sobre la competencia de los auditores del SGSI, además de las directrices contenidas en la norma ISO 27007:2011. El documento completo de esta norma no se encuentra facilmente en la web por lo que sería necesario adquirirlo a través del mismo sitio oficial de ala ISO, o por entidades gubernmentales autorizadas por la misma ISO.

Otra normativa de la familia ISO, orientada a la auditoría es 11"ISO / IEC TR 27008:2011 es compatible con una rigurosa auditoría de seguridad de la organización y el programa de revisión de los controles de seguridad de la información, para que la organización pueda tener confianza en que los controles han sido adecuadamente implementados y operados y que su seguridad de la información sirve "a un propósito". ISO / IEC 27008 proporciona una guía en la revisión de la implementación y operación de los controles, incluyendo la comprobación del cumplimiento técnico. El documento está dirigido principalmente a los auditores de seguridad de la información para verificar el cumplimiento técnico de los controles de seguridad de la información de una organización según la norma ISO / IEC 27002 y otras normas de control utilizadas por la organización”.

Siguiendo con el proposito de las dos normativas descritas, existen las metodologías para auditar el SGSI dentro del marco técnico. Estas metodologías son creadas por organismos que conformar un equipo de profesionales en el área de la seguridad de la información para brindar métodos y/o estrategias de auditaje. A continuación se relacionan las siguientes metodologías:

6.2.1 Metodología NIST-SP-800

NIST es el Instituto Nacional de Normas y Tecnología con sus siglas en inglés, National Institute of Standards and Technology), es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.

La FISMA (Federal Information Security Management Act) de Estados Unidos, otorgó al NIST, el desarrollo de un conjunto de documentos SP-800 con el objetivo

11

Guía ISO / IEC para aumentar la confianza en los controles de seguridad de la información.

http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/Novedades/Noticias-2011/LD-News-

Source-/Guia-ISO-IEC-para-aumentar-la-confianza-en-los-controles-de-seguridad-de-la-informacion/

http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/Novedades/Noticias-2011/LD-News-Source-/Guia-ISO-IEC-para-aumentar-la-confianza-en-los-controles-de-seguridad-de-la-informacion/

http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/Novedades/Noticias-2011/LD-News-Source-/Guia-ISO-IEC-para-aumentar-la-confianza-en-los-controles-de-seguridad-de-la-informacion/

78




de dar un marco de referencia completo a la gestión de la seguridad de la Información, para que sea aplicado en forma obligatoría por las agencias norteamericanas debido a una ley.

NIST SP 800-53A, es un documento Guía para la Evaluación de la Seguridad de Controles de sistemas de Información Federal y de organizaciones y cumple con el NIST SP 800-53. El objetivo principal que persigue el documento es que especifica la evaluación inicial y los procedimientos de evaluación continua, que son principales para lograr coherencia de las evaluaciones. En el documento 12Guide for Assessing the Security Controls in Federal Information Systems and Organizations de esta metodología, presenta el desarrollo de planes de evaluación de seguridad y la realización de evaluaciones de control de seguridad que se puede tener a la mano a la hora de realizar las auditorias como mecanismo de evaluación. A manera de evaluación técnica y/o práctica, NIST presenta un documento NIST-800-115, que remplaza la NIST-800-42 que proporciona directrices para las organizaciones en la planificación y realización de las pruebas de seguridad de la información y evaluaciones de la seguridad técnica, análisis de los resultados y el desarrollo de la mitigación estrategias. Proporciona recomendaciones prácticas para el diseño, implementación y mantenimiento técnico información relativa a las pruebas de seguridad y los procesos y procedimientos de evaluación, que puede ser utilizado para varios propósitos, tales como la búsqueda de vulnerabilidades en un sistema o red y verificar el cumplimiento de una política o de otro tipo. Esta guía presenta un resumen de los elementos clave de las pruebas de seguridad técnica y la evaluación con énfasis en técnicas específicas, sus beneficios y limitaciones y recomendaciones para su uso.prueba o evaluación del programa, sino más bien un resumen de los elementos clave de las pruebas de seguridad técnica y la evaluación con énfasis en técnicas específicas, sus beneficios y limitaciones y recomendaciones para su uso. Esta norma se puede estudiar en la 13Technical Guide to Information Security Testing and Assessment. 6.2.2 Metodología OSSTMM (open source security testing methodologymanual)

Esta metodología fue elaborada para auditoría de los sistemas de información por ISECOM (Instituto para la Seguridad y Metodologías Abiertas), es una comunidad abierta y una organización sin fines de lucro registrada oficialmente en Cataluña,

12

Guide for Assessing the Security Controls in Federal Information Systems and Organizations http://csrc.nist.gov/publications/nistpubs/800-53A-rev1/sp800-53A-rev1-final.pdf 13

Technical Guide to Information Security Testing and Assessment http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf.

http://csrc.nist.gov/publications/nistpubs/800-53A-rev1/sp800-53A-rev1-final.pdf


79




España. ISECOM cuenta con oficinas en Barcelona, España y en Nueva York, EE.UU.. Financiación para el ISECOM se proporciona a través de asociaciones, suscripciones, certificaciones, licencias, seminarios y dotaciones privadas de investigación. Esta metodología es una metodología abierta de testeo presenta la auditoría en la comprobación de la seguridad de los sistemas frente ataques realizados por una tercera parte externa a la organización. La Metodología Incluye pruebas de seguridad, análisis de seguridad, las métricas de seguridad operativa, el análisis confianza, métricas de confianza operativos, las tácticas esenciales para probar la seguridad de cualquier cosa, incluyendo la vanguardia de la tecnología. Para mayor profundización acerca de esta metodología puede ver en el sitio Open Source Security Testing Methodology Manual (OSSTMM). y a través del manual de descarga. 6.2.3 OWASP (Open Web Application Security Project)

La Fundación OWASP entró en funcionamiento el 01 de diciembre 2001 se estableció como una organización caritativa sin fines de lucro en los Estados Unidos el 21 de abril de 2004, para garantizar la disponibilidad continua y el apoyo a nuestro trabajo en OWASP . OWASP es una organización internacional y la Fundación OWASP OWASP apoya los esfuerzos de todo el mundo.OWASP es una comunidad abierta dedicada a habilitar a las organizaciones para concebir, desarrollar, adquirir, operar y mantener las aplicaciones que se puede confiar. Todas las herramientas de OWASP, documentos, foros y capítulos son gratuitas y abiertas a cualquier persona interesada en la mejora de la seguridad de aplicaciones. Abogamos por resolver la seguridad de las aplicaciones.

Todos los documentos, metodologías y herramientas que el OWASP facilita están orientados a la seguridad de aplicaciones web y no describe técnicas para comprobar la seguridad de otros aspectos en la gestión de la información, como procesos organizativos, continuidad de negocio, seguridad física, etc.

OWASP, fué la primera organizacion en proponer las metodologías para comprobar la seguridad de los sistemas de aplicaciones web con dedicación exclusiva a esta área. Sin embargo en la actualiad ISECOM, publicó también el manual de pruebas de seguridad Web.

Entre los proyectos mas importantes para implementar una auditoría son:

OWASP - Guide to building Secure Web Applications and Web Services (Guía para la construcción de aplicaciones Web y Servicios Web Seguros). OWASP - Testing Guide (Guía de pruebas) OWASP - Top Ten (herramienta para la educación y concienciación, en materia de seguridad, en las aplicaciones web)

http://wayback.archive.org/web/*/http:/www.owasp.org

80




La guía de pruebas, es el proyecto que permite dar las pautas para las pruebas de penetración de aplicaciones Web. 14Clases de pruebas que se deben realizar a los sistemas de aplicaciones Web, incluyendo también la etapa de recopilación de información antes de la aplicación de las pruebas. Entre las clasificaciones se encuentran:

Pruebas de gestión de configuración Pruebas de autenticación Pruebas de gestión de sesiones Pruebas de autorización Prueba de lógica de negocios Pruebas de validación de datos Pruebas de denegación de servicios Pruebas de servicios Web Pruebas de AJAX

.

6.2.4 Metodologías OISSG

OISSG es una organización independiente y sin fines de lucro con la visión de difundir la conciencia de seguridad de información al acoger un ambiente donde los entusiastas de la seguridad de todo el mundo comparten y construyen conocimiento.

La OISSG, desarrolló la metodología “El Marco de Evaluación de Sistemas de

Información de Seguridad (ISSAF)” que trata de integrar las siguientes

herramientas de gestión y las listas de control interno:

Evaluar la información las organizaciones políticas y procesos de seguridad

para informar sobre el cumplimiento de las normas de la industria de TI, y las

leyes aplicables y los requisitos reglamentarios

Identificar y evaluar las dependencias de negocio en los servicios de

infraestructura prestados por TI

Llevar a cabo evaluaciones de vulnerabilidad y pruebas de penetración para

poner de relieve las vulnerabilidades del sistema que podrían resultar en

riesgos potenciales para los activos de información

Especificar modelos de evaluación por dominios de seguridad a:

Encontrar erróneas configuraciones y rectificarlos

La identificación de los riesgos relacionados con las tecnologías y abordarlas

14

Clases de pruebas para aplicaciones Web. https://www.owasp.org/index.php/Web_Application_Penetration_Testing.

https://www.owasp.org/index.php/Web_Application_Penetration_Testing

81




La identificación de los riesgos dentro de las personas o procesos de negocio y

hacer frente a los

Fortalecimiento de los procesos y tecnologías existentes

Proporcionar las mejores prácticas y procedimientos para apoyar las iniciativas

de continuidad del negocio

Beneficios para el negocio de ISSAF

El ISSAF pretende informar ampliamente sobre la aplicación de los

controles existentes para apoyar la IEC / ISO 27001:2005 (BS7799),

Sarbanes Oxley SOX404, COBIT, COSO y SAS70, añadiendo así valor a

los aspectos operativos de los programas de transformación empresarial

relacionadas con TI.

Su valor principal se deriva del hecho de que proporciona un recurso

probado para profesionales de la seguridad, liberando así para arriba de la

inversión proporcional en los recursos comerciales o extensa investigación

interna para hacer frente a sus necesidades de seguridad de la información.

Ha sido diseñado desde cero para convertirse en un amplio conjunto de

conocimientos para las organizaciones que buscan la independencia y la

neutralidad en sus esfuerzos de evaluación de seguridad.

Es el primer marco para proporcionar validación para abajo hacia arriba las

estrategias de seguridad, tales como las pruebas de penetración, así como

los enfoques de arriba hacia abajo, como la estandarización de una lista de

comprobación para las políticas de información. Información tomada del 15sitio oficial del OISSG.

6.2.5 Metodologaía COBIT

COBIT (Control Objectives Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT fue creada por La Asociación de Auditoría y Control de Sistemas de Información (Information Systems Audit and Control Association- ISACA) para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. Se puede afirmar que:

COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.

15

Sitio Oficial OISSG. http://www.oissg.org/issaf.html

http://www.oissg.org/issaf.html

82




COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.

COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

Teniendo en cuenta que ISACA. Es la organización líder en auditoría de las tecnologías de la información por cuanto propone 14 normas que definen los requerimientos obligatorios para la realización de una auditoría y la elaboración de informes de auditoría. Las normas son aplicables a auditores certificados por la ISACA (CISA). El principal objetivo de las normas es brindar las precisiones que el auditor debe seguir. En tal sentido, Las normas construidas por la ISACA para la labor del auditor de IT son:

S1- Estatuto de auditoría S2: Independencia S3: ética y normas

profesionales S4 : Competencia

profesional S5: Planeación S6: Realización de labores

de auditor S7: Reporte

S8: Actividades de seguimiento S9: Irregularidades y acciones

ilegales S10: Gobierno TI S11: Uso del análisis de riesgos en la

planificación de auditoría S12: Materialidad, o importancia

relativa, en las auditorías. S13: Uso del trabajo de otros

auditores S14: Evidencias de auditorías

Para dar mayor claridad de las normas y el cumplimiento por parte de los auditores del estándar ISACA en relación a la auditoría, éste desarrolla una guía o directrices de auditorías, que además sirve para comprobar la implantación de los controles COBIT.


Auditoría y certificación

La entidad de certificación

El auditor

OWASP Testing Guide V3 Tabla de contenidos.

Guía de Aseguramiento de TI (COBIT)

http://www.iso27000.es/certificacion.html#section5b

http://www.iso27000.es/certificacion.html#section5c

http://www.iso27000.es/certificacion.html#section5d

https://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents

http://books.google.com.co/books?id=DGVHaqta6CMC&printsec=frontcover&hl=es&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false

83




¿Cómo utilizar la metodología apropiada para auditar un SGSI? Seleccionar la metodología apropiada no es fácil para un aditor, sino conoce por lo menos dos de las metodologías existentes, por tanto, se considera necesario, que el equipo auditor las estudie y utilice la que considere mas apropiada al alcance de la auditoría proyectada, teniendo en cuenta que cada una plantea diferentes enfoques, aunque el objetivo de auditar la seguridad de la información sea la misma. Lograr por lo menos una de las certificaciones de ISACA como CISM y CISA le permite al profesional de las tecnologías de la información y las comunicaciones, enfrentar de manera eficiente y efectiva la auditoría del SGSI, por cuanto profundiza en conocimiento y experiencia sobre las normas, guías y técnicas apropiadas para planear, diseñar y ejecutar aditorías. 6.3 Lección 18: Certificación del SGSI La certificación del SGSI, es el proceso mediante el cual una empresa u organismos avalados por la ISO, externa a la organización verifica el cumplimiento de las condiciones o normativas de las ISO 27001:2005 certificable. La certificación no es de carácter obligatoria, ya que es la empresa, la que decide solicitar la certificación ante dichos organismos. Existen muchas razones por el cual las empresas deciden certificar su organización entre esas podemos relacionar las siguientes:

Conservar la confianza de sus clientes y aumentarlos Pocisionar el buen nombre de la empresa ante el mercado Aumentar su competitividad Crear disciplina y compromiso de los empleados de la empresa entorno a la

seguridad de la información


Manual de la Metodología Abierta de Testeo de Seguridad (OSSTMM)

Nueva Versión del Marco COBIT Reduce Riesgos de TI y Mejora el Cumplimiento

CobiT: Un marco de referencia para la información y la tecnología

http://www.juntadeandalucia.es/servicios/madeja/contenido/recurso/551

http://www.isaca.org/About-ISACA/Press-room/News-Releases/Spanish/Pages/Nueva-Version-del-Marco-COBIT-Reduce-Riesgos-de-TI-y-Mejora-el-Cumplimiento.aspx

http://www.isaca.org/About-ISACA/Press-room/News-Releases/Spanish/Pages/Nueva-Version-del-Marco-COBIT-Reduce-Riesgos-de-TI-y-Mejora-el-Cumplimiento.aspx

http://www.bitcompany.biz/que-es-cobit/#.Uf7CmZI9_kY

http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Online.aspx

84




¿Cómo es el proceso de certificación? El proceso de certificación se realiza en dos fases equivalente a la revisión del esquema documental y la visita in situ. En la siguiente figura 14, se presenta un diagrama de flujo que representa los pasos de auditaje para la certificación. Figura No. 14 Diagrama sobre el proceso de certificación de una empresa.

Fuente: El autor

Fase 1: “Revisión de la documentación” : En esta parte el auditor revisa todo el

esquema documental exigido por la norma ISO 27001(documento del alcance, la política y los objetivos del SGSI, la descripción de la metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna). Posterior a la revisión el auditor verifica

85




las no conformidades que por su caracteristicas pueden ser graves o leves, lo cua no permitiría pasar a la fase 2, hasta que la inconformidad sea corregida.

Fase 2: Auditoría In situ: Esta fase se realiza, semanas después de la fase 1. En

esta fase se verifica en las localidades de la organización, si realmente está haciendo lo que sus documentos y la ISO 27001 dicen que tiene que hacer. En esta fase, se hace una reunion de apertura donde se presenta el equipo auditor, se presenta el plan de auditoría y la agenda a proseguir durante la visita con el objetivo de que los empleados involucrados dentro del alcance del SGSI, atiendan la revisión realizada por parte de los auditores. ByDejan

Kosutic ByDejan Kosutic (2010) en su artículo ¿Como Obtener la certificación ISO

27001?, afirma que “El auditor verificará si el SGSI verdaderamente se ha materializado en la organización o si sólo se trata de letra muerta.. El auditor lo verificará mediante la observación y entrevistas con sus empleados pero principalmente controlando sus registros. Entre los registros obligatorios se incluyen los de formación, capacitación, habilidades, experiencias y calificaciones (5.2.2), auditoría interna (6), revisión por parte de la gerencia (7.1) y medidas correctivas (8.2) y preventivas (8.3) que abarca evidencias de carácter objetivas y pruebas a los sistemas de información involucrados en el alcance.” Recuperado de

http://blog.iso27001standard.com/es/tag/sgsi/

Informe de la auditoría: Finalmente el informe es resultado obtenido de la auditoría, informando si existe la Conformidad del SGSI con la norma y las no conformidades encontradas.

Obtención de la certificación: Si la organización corrige las no conformidades encontradas dentro los plazos estipulados por el equipo auditor, se procede a la entrega de la certificación con lo siguiente:

Nombre y dirección de la organización certificada. Alcance de la certificación. Fecha de emisión del certificado y período de validez. Versión de la declaración de aplicabilidad.

http://blog.iso27001standard.com/es/tag/sgsi/

86




AUTOEVALUACION UNIDAD II 1. Diseñe un formato que le permita a un auditor de SGSI, tener un instrumento para evaluar el SGSI, bajo la norma ISO/IEC 27001 y 27002.

2. Realice un cuadro comparativo que le permita identificar las similitudes y diferencia de las metodología de auditoría del SGSI

3. Describe cual de las fases del SGSI, consideras mas crítico. Justifica tu respuesta.

4. Si la empresa donde labora, te pide que le informes a manera global y en muy pocas horas, el estado en que se encuentra actualmente en la parte de seguridad de la información ¿que estategía utilizarías?

87




BIBLIOGRAFIA Y CIBERGRAFIA

Casanovas, Inés (2009). Gestión de archivos electrónicos. P 205. Argentina. Alfagrama Ediciones.

Sandoval Serrano, René Mauricio. Calidad y desarrollo organizacional a través de la certificación ISO 9000. Argentina: El Cid Editor | apuntes, 2009. p 12 Daniel cruz Allende. (2006). Gestión de la Seguridad de la Información. Universidad Oberta de Catalunya – UOC. Rafael Estevan de Quesada. (2007). Auditoría técnica y de certificación. Universidad Oberta de Catalunya – UOC.

Universidad Politécnica de Madrid. Red temática de Criptografía y seguridad de la información. CRITORED. Recuperado de http://www.criptored.upm.es/ Instituto Nacional de la Tecnología de la Comunicación de España. Centro de respuestas a incidentes de seguridad TIC. Recuperado de http://cert.inteco.es/cert/INTECOCERT/;jsessionid=8D54CF8208B2AAAA4A8AD638C109B9B0?postAction=getCertHome Organización internacional de estándares- ISO. Sistema de Gestión de la Seguridad de la Información. Portal ISO 27001 en español. Recuperado de http://www.iso27000.es/sgsi.html

Universidad Politécnica de Madrid de España (2010). Information Security enciclopedia - Intypedia. Enciclopedia de la Seguridad de la Información. Recuperado de http://www.intypedia.com/

Jeimy J. Cano, Ph.D, CFE(2008). Seguridad Informática en Colombia. Tendencias 2008. Recuperado de http://www.acis.org.co/fileadmin/Revista_105/investigacion.pdf Congreso de la Republica Colombiana (2009). LEY 1273 DE 2009. Recuperado de

http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html Empresa de servicios virtuales para mypimes “esvem (2010). Lopez Alba, Tabare Parra, duarte. Estado de las mipymes colombianas frente al uso de las tic’s. Recuperado de http://www.gestiopolis.com/administracion-estrategia-2/uso-tecnologias-internet-comunicaciones-tics-en-mipymes-colombianas.pdf

http://www.criptored.upm.es/

http://cert.inteco.es/cert/INTECOCERT/;jsessionid=8D54CF8208B2AAAA4A8AD638C109B9B0?postAction=getCertHome

http://cert.inteco.es/cert/INTECOCERT/;jsessionid=8D54CF8208B2AAAA4A8AD638C109B9B0?postAction=getCertHome


http://www.intypedia.com/

http://www.acis.org.co/fileadmin/Revista_105/investigacion.pdf

http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html

http://www.gestiopolis.com/administracion-estrategia-2/uso-tecnologias-internet-comunicaciones-tics-en-mipymes-colombianas.pdf

http://www.gestiopolis.com/administracion-estrategia-2/uso-tecnologias-internet-comunicaciones-tics-en-mipymes-colombianas.pdf

Modulo SGSI 233003 Listo

Documents

Transcript of Modulo SGSI 233003 Listo