TÍTULO

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN BASE

A ISO 27001

TITLE

DESIGNING A MANAGEMENT SYSTEM INFORMATION SECURITY BASED ON ISO 27001

ING. ANIBAL RUBEN MANTILLA GUERRA, MSc.

Quito, Ecuador

RESUMEN

En este trabajo, se presenta el Diseño de un Sistema de Gestión de Seguridad de la Información,

tomando como referencia de calidad, a la norma ISO 27001. En la sección 1 se estudian

conceptos fundamentales que deben conocerse antes de abordar el proceso de diseño, estos

refieren a: Seguridad Informática, Sistema de Gestión de Seguridad de la Información, ISO 27001.

La sección 2, presenta la Metodología para el Diseño del Sistema de Gestión de Seguridad de la

Información con ISO 27001; y por su especial trasncerdencia para la Organización, se estudia de

forma separa y detallada, la Metodología para la Gestión de la Continuidad de la Operaciones.

Una vez que se ha diseñado un Sistema de Gestión de Seguridad de la Información en base a la

norma ISO 27001, se procede a validarlo mediante la aplicación a un caso de estudio, los

resultados de dicha aplicación son presentados en al sección 3. El caso de estudio escogido es

una Cooperativa de Ahorro y Crédito, misma que no se identifica por razones de seguridad.

ABSTRACT

In this paper, it present the design of a Management System of Information Security, quality with

reference to ISO 27001. In Section 1 it study fundamental concepts that should be known before

boarding the design process, these relate to: Information Security Management System of

Information Security, ISO 27001. Section 2 presents the methodology for Design Management

System Information Security with ISO 27001 and its special trasncerdencia for the Organization, is

studied and detailed separates, the Methodology for Management Continuity operations. Once

designed a Management System Information Security based on ISO 27001, proceed to validate it

by applying to a case study, the results of this application are presented in the section 3. The case

study chosen is a Savings and Credit Cooperative, it is not identified for security reasons.

1

PALABRAS CLAVES

SEGURIDAD INFORMATICA, SISTEMA DE GESTION, ISO 27001

KEYWORDS

INFORMATION SECURITY, MANAGEMENT SYSTEM, ISO 27001

INTRODUCCIÓN

Manifestar que la seguridad de la información en última instancia busca la integridad,

confiabilidad, disponibilidad, y no repidio de la misma, es puntual y preciso, sin embargo una

expresión de esta naturaleza, no permitiría posiblemente alcanzar la profundad y extensión que

requiere este tema. Resulta por tanto más adecuado, indicar algunos de los efectos que la falta de

la seguridad informática pueden causar, por ejemplo, catástrofes aereas, colapso de sistemas de

semaforización, incapacidad para operar sistemas de manufactura computarizados, millones de

personas afectadas por ataques a Sistemas Financieros, incapacidad de estados para poder

defenderse de ataques militares, ciudades sin energía eléctrica. Estos son ejemplos de siniestros

con alto nivel de severidad en el impacto del ataque, debido entre otros, a la falta de seguridad en

la información. Pudiera pensarse en escenarios de catástrofe con un nivel severidad menor, como

por ejemplo la pérdida de una memeria flash, o quizá la pérdida de una computadora; sin

embargo, dependiendo de la información contenida en ellas, y de la forma en que ayudan a

soportar los procesos vitales de una organización, cualquiera de estas dos pérdidas pudiera

resultar enorme catástrofe para la organización.

El riesgo al que está expuesta una organización, depende de la probabilidad de que las amenazas

exploten sus vulnerabilidades y debilidades. En un tiempo en que el gobierno electrónico, el

comercio electrónico, y muchísimas otras actividades de la civilización actual, dependen del uso

Tecnologías de la Información y Comunicación, resulta de extremo riesgo operar sin Sistemas de

Gestión de Seguridad de la Información, pues atacantes organizados con equipos de alta

tecnonolgia y elevado conocimiento podrían hacer de las suyas. Pero no se debe pensar que solo

ese tipo de atacantes pueden constituir una amenaza, también lo son los empleados de una

organización que no manejan adecuadamente la información o que salieron resentidos de la

misma y buscan ahcer daño. También hay la probablidad de fallos eléctricos, terremotos,

incendios, erupciones volcánicas, vandalismo, entre otros.

La norma ISO 27001, estándar certificable, plantea el marco de referencia para poder establecer

un Sistema de Gestión de Seguridad de la Información basado en procesos, y con el enfoque de

de calidad basado en la planificación, ejecución, monitoreo y corrección, a través de la mejora

continua. La Subsecretaría de Tecnologías de Información, presenta a la Norma NTE INEN

2

ISO/IEC 27001, com,o estándar aprobado y vigente desde el 2010 para la Seguridad de la

Información. Al momento de realizar la introducción de este artículo, se encuentran certificadas

con ISO 27001, alrededor de todo el mundo, un total de 7940 organizaciones, de las cuales

apenas 2 son ecuatorianas. Se espera que con un acercamiento a los Sistemas de Gestión de

Seguridad de la Información, y a la ISO 27001, el lector de este artículo pueda desarrollar sus

actividades con mayor seguridad, y coadyuvar de esta manera, al desarrollo de la Patria.

1. MARCO CONCEPTUAL

1.1 SEGURIDAD INFORMÁTICA

La seguridad informática en una organización, es el conjunto de mecanismos implantados que

garantizan la confidencialidad, integridad, no repudio, y disponibilidad de la información y los

recursos relacionados con ella.

La seguridad del sistema informático depende de varios factores, entre ellos, se pueden

mencionar los siguientes:

- Recursos para la seguridad informática.

- Conocimientos y capacidades de los responsables del sistema informático

- Mentalización y formación de todos los usuarios del sistema.

- Instalación, configuración y mantenimiento del los equipos.

- Soporte técnico de los fabricantes de hardware y software

Los factores que pueden afectar a la seguridad informática, se clasifican en: Técnico, Humano,

Organizativo, Legal.

Las consecuencias de la falta de seguridad informática que afronta una organización, dependen

de la naturaleza de la misma, sus actividades y su volumen de sus operaciones; sin embargo,

deben considerarse consecuencias comunes a todas las organizaciones, entre ellas:

- Conflictos sociales y laborales con la consiguiente disminución del rendimiento laboral

- Cese de transacciones, retraso en entregas, interrupciones en procesos productivos

- Incumplimiento de contratos, pérdida de oportunidades de negocio, deterioro de la imagen

- Extorsiones y secuestros

- Daños a la salud y pérdida de vidas humanas

3

El riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad, la cual

no es sino, cualquier debilidad asociada a los activos de información, mientras que la amenaza es

cualquier evento accidental o intencionado que pueda ocasionar algún daño en el sistema

informático.

En consecuencia, un activo de información se encuentra en riesgo, cuando una amenaza

explota una vulnerabilidad.

Entre otras amenazas a la seguridad informática, pude considerarse la acción de hackers,

crackers, ex empleados y personal interno de una organización. Las motivaciones de los

atacantes pueden ser tan variadas que pueden responder a circunstancias económicas,

ideológicas, sicológicas (como por ejemplo búsqueda de autorrealización, reconocimiento social,

diversión), una combinación de las anteriores, o quizá alguna diferente. Sin embargo, es posible

establecer los tipos de ataque más comunes, estos se listan a continuación:

- Detección de vulnerabilidades de los sistemas

- Robos de información mediante la interceptación de mensajes

- Modificación del contenido y secuencia de los mensajes

- Suplantación de identidad

- Modificación del tráfico y de las tablas de enrutamiento

- Conexión no autorizada a equipos y servidores

- Introducción de malware

- Fraudes, engaños y extorsiones

- Denegación de servicio

Dentro del ámbito de la seguridad informática, el factor humano es el elemento más débil, por ello

es necesario analizar su rol con los sistemas y redes informáticas de la organización. El principio

básico es que todas las soluciones informáticas implantadas por la organización (firewall,

antivirus, servidores Proxy, planes, políticas), pueden resultar inútiles ante el desconocimiento, la

falta de información, desinterés o ánimo de causar daño por parte de algún empleado. Muchos

empleados con acceso a Internet en la organización, tienden a hacer un mal uso del mismo,

pudiendo incluso perjudicar a la organización.

Es común, que en las organizaciones se establezcan procesos, normativas y controles, que

intentan ser soluciones tecnológicas y de gestión, para enfrentar los problemas de seguridad

informática; pero en muy pocos casos se realiza esta actividad siguiente un enfoque sistémico en

la organización. En la siguiente tabla se presentan las acciones tecnológicas y de gestión más

usualmente implementadas.

4

TABLA 1 Acciones típicamente utilizadas para resolver problemas de seguridad

ACCIONES TECNOLOGICAS Y DE GESTION PARA ENFRENTAR LOS PROBLEMAS DE SEGURIDAD INFORMATICA

Limitación de los servicios a Internet Antivirus

Posibilidad de revisión del correo electrónico

del empleado

Servidores de autenticación

Acceso al ordenador de un trabajador, sus

archivos y sus carpetas

Gestores de contraseñas

Bloqueo de direcciones webCentros de respaldo de datos

Asignación de permisos de acceso en

función del perfil del usuarioImplantación de sistemas biométricos

Seguridad frente a egreso e ingreso de los

empleaos a la organización

Firma electrónica

Adquisición de productos Protocolos criptográficos

Relación con proveedores Servidores Proxy

Seguridad física de las instalaciones Cortafuegos (firewall)

Auditoria de la gestión de la seguridad Zona desmilitarizada

Protección de equipos e instalaciones Sistemas redes señuelos

Control de equipos que pueden salir de la

organización

Vigilancia de la red

Copias de seguridad Sistemas de detección de intrusos

Identificación y autenticación de usuarios Control de emisión electromagnética

Seguridad en el desarrollo, implantación y

mantenimiento de aplicaciones informáticasAnalizadores de registro de actividad

1.2 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Muchas organizaciones creen tener sistemas eficientes y eficaces para proteger y asegurar la

información, poseen controles y medios para aplicar estos controles, sin embargo los aplican solo

cuando aparecen problemas de seguridad; de manera que actúan solo de forma reactiva, no

proactiva, y aún más sin tener un enfoque claro y bien estructurado de un sistema para gestionar

la seguridad de la información. Para toda organización, es fundamental contar con un sistema de

gestión de seguridad de la información, que actúe tanto en forma proactiva como reactiva, y que

además al momento de aplicarlo no resulte caduco. Para poder ejecutar procesos de seguridad de

5

la información, es necesario saber qué debe ser protegido, de qué debe ser protegido, y cómo

debe ser protegido.

Un sistema en el que se pueden integrar los factores humano, legal, tecnológico, y

organizacional, con todos los requerimientos y objetivos institucionales, recibe el nombre de

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, conocido por sus siglas como

SGSI. Este sistema es parte del sistema de gestión global de la empresa, basado en un enfoque

del riesgo de la organización, que tiene por finalidad establecer, implementar, operar, monitorear,

revisar, mantener y mejorar la seguridad de la información.

El sistema de gestión de seguridad de la información incluye a la estructura de la organización, las

políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos,

1.3 NORMA ISO 27001

La Norma ISO 27001, es un estándar desarrollado como modelo para el establecimiento,

implementación, operación, monitorización, revisión, mantenimiento y mejora de un SGSI para

cualquier tipo de organización. Permite diseñar e implantar un SGSI, se encuentra influenciado

por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados, el tamaño,

los sistemas de soporte y la estructura de la organización. Su origen es británico, fue en 1995 el

BS 7799-1: 1995, hasta que, en el año 2005, la Organización Internacional para la Normalización

(ISO) la oficializó como norma. Esta norma puede ser aplicada a todo tipo de organizaciones,

tanto por su tamaño como por su actividad.

Dada la importancia que tiene un SGSI para las empresas, en Ginebra, donde se encuentra la

sede de ISO, se ha establecido la necesidad de hacer las revisiones a las normas, cada cinco

años, para decidir las posibles modificaciones. Así, se ha creado la familia ISO 27000, en la que

se encuentra la norma ISO 27001:2005, estándar certificable, el código de buenas prácticas IS0

27002:2007, la guía para implantación ISO 27003:2008, entre otras.

Esta norma (ISO 27001), actúa bajo el enfoque de procesos. La aplicación de un sistema de

procesos, dentro de la organización, junto con la identificación y las interacciones de estos

procesos, así como su gestión, puede denominarse “como enfoque basado en procesos”.

El enfoque basado en procesos para la gestión de la seguridad de la información presentado en

esta norma, enfatiza a los usuarios, la importancia de:

A) Comprender los requisitos de seguridad de la información de una organización y la necesidad

de establecer la política y objetivos para la seguridad de la información.

B) Implementar y operar controles para dirigir los riesgos de seguridad de la información de una

6

organización en el contexto de los riesgos globales del negocio de la organización

C) Realizar seguimiento y revisar el desempeño y la eficacia del SGSI; y

D) Mejorar el sistema de forma continua en base a mediciones objetivas.

Esta Norma adopta el modelo "Planificar, Hacer, Verificar, Actuar" (PHVA), el cual se aplica para

estructurar todos los procesos del SGSI, y tiene por objeto: establecer, gestionar y documentar el

SGSI, responsabilizando a la Dirección, incluso en el monitoreo, auditoria y mejoramiento

continuo.

Los objetivos de control y sus controles respectivos (anexo A - normativo de la norma ISO 27001)

enfocan la Seguridad de la Información a través de 11 áreas fundamentales para toda

organización. Estas áreas fundamentales de control se muestran en la siguiente figura, que

además incluye a los objetivos finales de la seguridad de la información, que son: la disponibilidad,

la confidencialidad, la integridad, y el no repudio.

FIGURA 1 Enfoque de los controles de la norma ISO 27001 1

1 Fuente: www.nexusasesores.com7

2. METODOLOGIA PARA EL DISEÑO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION CON ISO 27001

2.1 METODOLOGIA PARA EL ESTABLECIMIENTO Y GESTION DEL SGSI

Para llegar a establecer y gestionar el SGSI, se debe ejecutar un proceso metodológico, cuyos

subprocesos se listan a continuación:

A) Definir el alcance y los límites del SGSI

B) Definir la política para el SGSI

C) Definir el enfoque para la evaluación del riesgo

D) Identificar, analizar y evaluar los riesgos

E) Identificar y evaluar las opciones para el tratamiento del riesgo, incluyendo al riesgo

residual

F) Seleccionar los objetivos de control para el tratamiento del riesgo

G) Obtener la aprobación de los riesgos residuales por la dirección

H) Obtener la autorización de la dirección para implementar y operar el SGSI

I) Preparar una declaración de aplicabilidad

En atención especial al literal (D), dada la importancia y la sensibilidad del subproceso de

identificación, análisis y evaluación de los riesgos, es necesario ejecutar una secuencia de

actividades que permitan alcanzar un resultado objetivo y confiable. La siguiente lista presenta

estas actividades:

- Identificación de activos de información

- Tasación de activos de información

- Identificación de amenazas y posibilidades de ocurrencia

- Identificación de vulnerabilidades y posibilidades de ser explotadas por las amenazas

- Estimación de la exposición al riesgo de los activos de información

- Priorización de las amenazas por su exposición al riesgo

Al momento de tratar el riesgo, se debe considerar que solo hay 4 posibilidades para tratarlo,

estas son: Reducirlo, Aceptarlo, Transferirlo, Evitarlo. Se debe tomar en consideración, que

sea cual fuere la decisión para tratar el riesgo, siempre existirá el riesgo residual, que es aquel

que queda, después de implantar el plan de tratamiento. Este riesgo puede ser crítico y difícil de

calcularlo.

8

2.2 METODOLOGIA PARA LA GESTION DE LA CONTINUIDAD DE LAS OPERACIONES

Al analizar los hechos ocurridos el 11 de septiembre del 2001 con la torres gemelas, fue posible

establecer que muchas organizaciones desaparecieron para siempre, otras reanudaron sus

operaciones con muchas dificultades al cabo de varios días, semanas y meses más tarde. Varias

de ellas nunca se recuperaron plenamente, y sin embargo, otras operaron con casi total

normalidad al cabo de varias horas y días. Esta rotunda diferencia, se debió no solo a que varias

organizaciones contaban con un Sistema de Gestión de Seguridad de la Información, sino que

disponían además, de un Plan para la Continuidad de las Operaciones.

Las organizaciones pueden contar con alta tecnología, sistemas de gestión ante problemas de

seguridad informática, personal altamente capacitado, pero si no están preparadas para afrontar

eventos que ponga en riesgo la continuidad de sus operaciones, simplemente pueden

desaparecer ante siniestros. El Plan de Continuidad de las Operaciones debe ser considerado en

cinco fases secuenciales distribuidas en actividades como se muestra en la siguiente figura:

FIGURA 2 Fases para el Plan de Continuidad de Operaciones2

Por la trascendencia que tiene el Plan para la Continuidad de la Operaciones, a continuación se

describen y detallan, cada una de las cinco Fases en que debe desarrollarse el Plan.

2.2.1 FASE I: GESTIONAR EL RIESGO

2 Fuente: Gestión del riesgo en el Business Continuity Planning, Alexander, P:hD

9

Analizar el impacto al negocio

FASE IIentregables Riesgo y Controles Amenazas, exposicio-

nes, niveles de riesgo y controles.

Gestionar el Riesgo

FASE I

entregablesImpacto al NegocioProcesos críticos, operacionales y

financierosRequerimientos de

recuperación

entregablesFASE III Estrategia de ContinuidadRecursos críticos,

opciones, servicios y métodos de recuperación

Desarrollar un Plan de

Continuidad del Negocio

FASE IV Plan de Continuidad del Negocio

Documentado Ensayar el Plan de Continuidad de

Negocio

FASE V

entregablesPlan de Continuidad

del NegocioValidado

Desarrollar el plan de reanudación de

operaciones

Las actividades de la gestión del riesgo evalúan las amenazas de un desastre, pormenorizan las

vulnerabilidades existentes, los potenciales impactos de un desastre, identifican e implementan los

controles necesarios para prevenir o reducir los riesgos de un desastre y terminan identificando

escenarios de amenazas para aquellos procesos considerados esenciales en el BIA.

Un programa de PCN no sólo debe atender la recuperación de las instalaciones frente a un

desastre, sino también contemplar las acciones preventivas a que haya lugar. Para este propósito,

en todo programa de PCN, se debe efectuar con regularidad un cálculo del riesgo que no sólo

contemple la identificación de amenazas significativas que afecten las operaciones de la empresa,

las vulnerabilidades y el grado de exposición al riesgo, sino que igualmente es necesario

identificar los controles a instaurar para minimizar el daño del impacto de un posible desastre en la

empresa. La metodología para la gestión del riesgo en un PCN, consta de varios pasos, los cuales

se muestran a continuación:

- Identificar las Amenazas

- Identificar las Vulnerabilidades

- Revisar los Controles Actuales y Mitigar el Riesgo

- Calcular el Nivel de Exposición al Riesgo

- Determinar los Escenarios de Amenazas

2.2.2 FASE II: ANALIZAR EL IMPACTO AL NEGOCIO (BIA)

Consiste en identificar aquellos procesos relacionados con apoyar la misión de la empresa, y

analizar con muchos detalles los impactos en la gestión comercial del negocio, si esos procesos

fuesen interrumpidos como resultado de un desastre. Es necesario analizar los impactos

financieros y operacionales de un desastre en la organización, sus áreas y procesos. A

continuación se presentan los pasos secuenciales a seguir en un proceso metodológico:

- Evaluar los impactos financieros

- Evaluar los impactos operacionales

- Identificar los procesos críticos

- Establecer los tiempos de recuperación

- Identificar los requerimientos de recursos

- Generar un informe del BIA

2.2.3 FASE III: DESARROLLAR ESTRATEGÍAS PARA EL PLAN DE CONTINUIDAD

10

Aquí se evalúan los requerimientos y se identifican las opciones para la recuperación de procesos

críticos y sus recursos, en el escenario en que fuesen interrumpidos por un desastre.

Por cada escenario de amenazas se elaboran estrategias que contemplen los escenarios de

amenazas identificados.

El propósito de esta fase del proceso del PCN es desarrollar estrategias de continuidad del

negocio, que satisfagan los requerimientos de recuperación identificados en la etapa del BIA, y en

los escenarios de amenazas.

El diseño de una estrategia de continuidad consiste de cuatro etapas secuenciales, estas son:

- Identificación de requerimientos de la recuperación.

- Identificación de opciones de la recuperación.

- Evaluación de disponibilidad del tiempo.

- Fase D: Evaluación de los costos.

2.2.4 FASE IV: DESARROLLAR EL PLAN DE REANUDACIÓN DE OPERACIONES

Basado en las fases previas, se establece los procedimientos y lineamientos concretos para la

recuperación y el restablecimiento de los recursos dañados, y los procesos cuyo desempeño se

ha interrumpido.

El objetivo del plan de reanudación de operaciones es la recuperación de procesos críticos en un

determinado tiempo.

Un plan de reanudación de operaciones son una serie de actividades documentadas, que

pudiesen requerir desempeñaran los grupos de continuidad del negocio, como respuesta a la

aparición de un escenario de amenazas. El plan de reanudación de operaciones lleva a cabo las

estrategias de continuidad.

Se debe tener equipos de trabajo para la reanudación de las operaciones, la estructura del equipo

es fundamental para ejecutar el plan, siendo los criterios más lógicos para su efecto, los

siguientes:

- Tamaño de la organización,

- Ubicación de las instalaciones y unidades operativas,

- Estructura organizacional,

- Cultura organizacional,

- Escenarios potenciales de amenazas,

- Estrategias de continuidad,

11

- Complejidad de los planes de continuidad del negocio,

- Conocimiento especializado requerido.

2.2.5 FASE V: ENSAYAR EL PLAN DE CONTINUIDAD DE OPERACIONES

En esta fase se efectúa el ensayo del plan, con miras a poder determinar su grado de precisión y

actualización. El valor de esta fase es ensayar el plan de reanudación de operaciones para que

pueda considerarse aceptable.

La fase del ensayo tiene dos objetivos fundamentales:

- Verificar si el plan de reanudación de operaciones es adecuado y confiable para la

recuperación del negocio dentro de un tiempo prudencial.

- Identificar debilidades y brechas que pudiesen existir en el plan de reanudación de

operaciones.

3. APLICACIÓN DEL DISEÑO A UN CASO DE ESTUDIO

Para poder determinar y posteriormente analizar la situación de la seguridad de la información en

la organización del caso de estudio de manera objetiva, fue necesario medir el nivel de seguridad

existente, tomando como marco de referencia a los 11 objetivos de control de la ISO 27001. A la

medida alcanzada en cada uno de los 11 aspectos evaluados se ha denomina Grado de

Cumplimiento.

Una vez que se procesó toda la información a la que se tuvo acceso, en la Cooperativa de Ahorro

y Crédito, fue posible realizar un diagnóstico cuyos resultados se presentan en la Tabla 3.1. Estos

resultados se presentan de forma gráfica para facilitar su interpretación.

En cada gráfico de pastel, el área de color azul muestra el grado de cumplimiento en referencia al

SGSI diseñado; mientras que el área blanca indica la brecha existente con el grado de

cumplimiento deseado.

Todos los indicadores están interrelacionaos entre sí, ya que obedecen al enfoque sistémico y por

procesos, se determinan desde perspectivas diferentes pero complementarias. Como puede verse

en forma gráfica, la Política de Seguridad de la Información que es la base fundamental para un

Sistema de Gestión de Seguridad de la Información, debe recibir especial atención, pues el nivel

alcanzado es mínimo, al igual que indicadores como los de Gestión de Incidentes de seguridad,

Gestión para la Continuidad del negocio, y el Cumplimiento normativo.

12

Cobertura alcanzada en Gestión de la Seguridad de la Información por la CAC

Medida de la brecha existente con relación al SGSI diseñado para CAC

TABLA 2 Indicadores de la situación actual de la CAC

13

Una vez que se han determinado los riesgos y su implicación a la seguridad de la información de

la Cooperativa del Caso de estudio, se debió buscar la manera de tratar el riesgo. Para que esto

suceda, fue necesario que todos los elementos de la organización, es decir, personas, equipos,

instalaciones, procesos, tareas, documentos, y más componentes de la misma, se alinearan a

directrices claras y bien documentadas, para enfocar la actividad de la seguridad de la información

de manera efectiva.

TABLA 3 Actividades a desarrollar en los diferentes ámbitos del SGSI

AREA ORGANIZACIONAL AREA PERSONAL

- Definir políticas de seguridad

- Clasificar la información

- Incorporar un departamento de

seguridad informática

- Registrar e inventariar los accesos a

los sistemas informáticos

- Adaptar contratos con proveedores

- Elaborar un manual de seguridad

- Contratar seguros

- Gestionar incidentes de seguridad

- Desarrollar Plan de Contingencias

contra incendios

- Concientizar a los funcionarios y empleados

de la cooperativa

- Capacitar al personal en uso seguro de los

servicios de internet

AREA TECNOLOGICA

- Adaptar los sistemas de comunicación

- Adaptar la arquitectura de red

- Estandarizar y actualizar el software

AREA LEGAL

- Cumplir la normativa legal interna

- Cumplir la normativa legal externa

4. DISCUSION

14

La ISO 27001 constituye por analogía con la ISO 9001, el estándar de calidad para la seguridad

de la información. Si bien es cierto que en la aplicación del proceso de diseño a la Cooparativa de

ahorro y crédito del caso de estudio, se encontró que en dicha Cooperativa hay falencias y

debilidades en cuanto a la seguridad de la información, también es cierto que alcanzar los niveles

requeridos por la ISO 27001 para certificación son realmente elevados, y que se necesita del

compromiso de la genrencia, inversión, arduo trabajo bien organizado, documentado, y

objetivamente alineado con las necesidades organizacionales. Un proceso de diseño e

implementación de un Sistema de Gestió de Seguridad de la Información, inadecuadamente

desarrollado no solo que no mejora a la Organización, sino que le causa muchos problemas, que

incluso pudieran llegar a poner en riesgo su existencia. El manejo seguro de la información en

base a un estándar de calidad como Iso 27001, pudiera evitar que esta Coopetativa, y muchas

otras Instituciones Financieras, afronten problemas que conduzcan a cierres, salvatajes e

intervenciones, que afecten a millones de ecuatorianos, como ya ha sucedido en el Sistema

Financiero Nacional, produciendo pérdidas económicas, dolor y sufrimiento.

5. CONCLUSIONES

- La función de la Seguridad de la Información en cualquier tipo de organización, debe ser

considerada como un factor básico empresarial fundamental, de la misma trascendencia que

los aspectos comercial, financiero, administrativo.

- La seguridad de la información es un aspecto, que debe ser parte de la cultura organizacional;

cursos, seminarios, y talleres no bastan, hay que interiorizar en las personas de la

organización, la necesidad y beneficios de dicha cultura, así como los riesgos de no tenerla.

- El Sistema de Gestión de Seguridad de la Información debe ser permanentemente revisado,

mejorado y actualizado, para que brinde la máxima utilidad que la organización espera.

- Una eficiente Gestión de la Seguridad de la Información, debe considerar los aspectos:

organizacional, personal, tecnológico y legal, en base a un enfoque sistémico, en el que cada

uno de sus componentes esta interrelacionado con los demás, en su operación y

funcionamiento; y cada uno de ellos como todo el sistema, obedece al principio fundamental

causa – efecto.

BIBLIOGRAFÍA

15

Abad, Alfredo,(2001). Redes de Área Local. España: McGraw Hill.

Gómez, Alvaro, (2007). Enciclopedia de la seguridad informática.España : Alfaomega.

Hill, Brian, (2002).Manual de referencia CISCO. España: McGraw Hill.

O’ Brien, James, (2003). Sistemas de Información Gerencial. Colombia: McGraw Hill.

Laudon ,Kenneth,(2006). Sistemas de Información Gerencial. México: Prentice Hall.

Ley de cooperativas ecuatorianas,(2008). Ecuador: Autor

Ochoa, José, (2004). 101 claves de Tecnologías de Información para Directivos.

España: Prentice Hall.

Piattini, Mario, (2008). Auditoria de Tecnologías y Sistemas de Información.

México: Alfaomega.

Pressman,Roger,(2005). Ingeniería del Software. México:McGraw Hill.

Render, (2004). Administración de Operaciones. México: Prentice Hall.

Robbins, Stephen, (2002). Fundamentos de Administración. México: Prentice Hall.

Tanembaum, Andrew,(2003). Redes de Computadoras. México:Prentice Hall.

INEN,(2013). Norma ISO 27001, Parte1, Parte 2.Ecuador: Autor

ACERCA DEL AUTOR

Aníbal Rubén Mantilla Guerra, obtuvo su Título de Ingeniero en Electrónica y

Control en la Facultad de Ingeniería Eléctrica, y el Grado de Máster en Gestión

de las Comunicacones y Tecnologías de la Información, MSc. en la Facultad

de Ingeniernería de Sistemas , los dos, en la Escuela Politécnica Nacional. Ha

ejercido su profesión, y también la catedrática universitaria. Ha desarrollado su

actividad en la Factultad de Ingeniería en Ciencias Aplicadas de la

Universidad Técnica del Norte; en la Facultad de Ingeniería en Geología,

Minas, Petróleos y Ambieltal, de Universidad Central del Ecuador; actualmente Profesor a Tiempo

Completo de la Carrera de Ingeniería Mecatrónica en la Facultad de Ciencias de la Ingeniería de

la Universidad Tecnológica Equinoccial. Participó en actividades de Investigación en el Proyecto

CONUEP 90-02, de la Facultad de Ingeniería Mecánica de la Escuela Politécnica Nacional.

16