escuela politÉcnica nacional - repositorio...
TRANSCRIPT
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA DE SISTEMAS
PLAN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN EL
ESTÁNDAR ISO 13335 APLICADO A UN CASO DE ESTUDIO.
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN
SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN
VERÓNICA LUCIA CHAMORRO ALVARADO
DIRECTOR: ING. CARLOS MONTENEGRO
Quito, enero 2013
ii
DECLARACIÓN
Yo, Verónica Lucia Chamorro Alvarado, declaro bajo juramento que el trabajo
aquí descrito es de mi autoría; que no ha sido previamente presentado para
ningún grado o calificación profesional; y, que he consultado las referencias
bibliográficas que se incluyen en este documento.
A través de la presente declaración cedo mis derechos de propiedad intelectual
correspondiente a este trabajo, a la Escuela Politécnica Nacional, según lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
____________________________
Verónica Lucia Chamorro Alvarado
iii
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Verónica Lucia Chamorro
Alvarado, bajo mi supervisión.
_______________________
Ing. Carlos Montenegro
DIRECTOR DE PROYECTO
AGRADECIMIENTOS A ti por todo tu apoyo
VERÓNICA CHAMORRO
DEDICATORIA A mi madre
VERÓNICA CHAMORRO
Contenido
1 SEGURIDAD INFORMÁTICA ................................................................................................................ 1
1.1 ESTÁNDARES DE SEGURIDAD INFORMÁTICA ...................................................................................... 1
1.1.1 SEGURIDAD INFORMÁTICA ........................................................................................................ 1
1.1.1.1 Confidencialidad .............................................................................................................................. 3
1.1.1.2 Integridad ........................................................................................................................................ 4
1.1.1.3 Disponibilidad.................................................................................................................................. 4
1.1.1.4 Autenticidad .................................................................................................................................... 4
1.1.1.5 Valor de la Información ................................................................................................................... 4
1.1.2 AMENAZAS EN LA SEGURIDAD INFORMÁTICA .......................................................................... 5
1.1.2.1 Amenaza.......................................................................................................................................... 5
1.1.2.2 Tipos de amenazas .......................................................................................................................... 6
1.1.2.3 La amenaza informática del futuro ................................................................................................. 7
1.1.3 RIESGOS EN LA SEGURIDAD INFORMÁTICA ............................................................................... 8
1.1.3.1 Riesgo .............................................................................................................................................. 8
1.1.3.2 Riesgo e impacto ............................................................................................................................. 8
1.1.3.3 Tipos de riesgo ................................................................................................................................ 9
1.1.4 PRINCIPALES ESTÁNDARES DE SEGURIDAD INFORMÁTICA ....................................................... 9
1.1.4.1 El Estándar ISO/IEC 17799 ............................................................................................................... 9
1.1.4.2 EL Estándar ISO/IEC 27001:2005 ................................................................................................... 11
1.1.4.3 BS 7799-3:2006 Sistemas de Gestión de Seguridad de la Información - Parte 3: Guías para la
gestión de riesgos de seguridad de la información ............................................................................................ 13
1.2 DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN EL ESTÁNDAR ISO 13335 ...... 14
1.2.1 DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA ........................................ 16
1.2.1.1 Guía para la gestión de la seguridad de las TI según la ISO TR 13335 ........................................... 16
1.2.1.2 Gestión del riesgo de seguridad de la información según la ISO IEC 27005:2008 ......................... 18
1.2.1.3 Seguridad de la administración, operación y uso de redes de sistemas de información, y sus
interconexiones según la ISO/IEC 18028-1 ......................................................................................................... 20
1.2.2 CONCEPTOS Y ASPECTOS FUNDAMENTALES DE UN PLAN DE SEGURIDAD INFORMÁTICA ..... 23
1.2.2.1 Elementos de seguridad ................................................................................................................ 23
1.2.2.2 Objetivos, Estrategias y Políticas de seguridad de la empresa ...................................................... 29
1.2.2.3 Aspectos organizativos de la seguridad informática ..................................................................... 30
1.2.2.4 Gestión de la seguridad informática ............................................................................................. 36
1.2.2.5 Análisis estratégico del riesgo ....................................................................................................... 39
1.2.2.6 Recomendaciones de seguridad TI ................................................................................................ 43
1.2.2.7 Sistema de Políticas de seguridad TI ............................................................................................. 45
1.2.2.8 Plan de seguridad TI ...................................................................................................................... 46
1.2.2.9 Implementación de seguridades ................................................................................................... 47
1.2.2.10 Importancia de la Seguridad del conocimiento ............................................................................. 48
1.2.2.11 Seguimiento .................................................................................................................................. 50
2 PLAN DE SEGURIDAD DE LA INFORMACIÓN ..................................................................................... 55
2.1 CONSIDERACIONES PARA EL DESARROLLO DE UN PLAN DE SEGURIDAD INFORMÁTICO .................. 55
2.2 ELABORACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA .................................................................. 55
2.2.1 INTRODUCCIÓN ....................................................................................................................... 56
2.2.2 ALCANCE DEL PLAN .................................................................................................................. 56
2.2.3 POLÍTICAS DE SEGURIDAD INFORMÁTICA ............................................................................... 56
2.2.4 ENFOQUE PARA LA GESTIÓN DEL RIESGO ............................................................................... 57
2.2.5 PROCESO DE CÁLCULO DE RIESGO .......................................................................................... 57
2.2.5.1 Análisis de Riesgo .......................................................................................................................... 57
2.2.5.2 Evaluación del riesgo ..................................................................................................................... 58
2.2.6 ANÁLISIS DEL RIESGO ............................................................................................................... 58
2.2.6.1 Identificación de activos ................................................................................................................ 58
2.2.6.2 Identificación de requerimientos legales y comerciales ............................................................... 59
2.2.6.3 Tasación de activos ....................................................................................................................... 59
2.2.6.4 Identificación de amenazas y vulnerabilidades ............................................................................. 60
2.2.6.5 Cálculo de las Amenazas y Vulnerabilidades ................................................................................. 63
2.2.6.6 Análisis del Riesgo y su Evaluación ................................................................................................ 64
2.2.6.7 2.2.6.7 Tratamiento del riesgo y el proceso de toma de decisión gerencial ................................ 65
2.2.7 RIESGO RESIDUAL .................................................................................................................... 68
2.2.8 Seleccionar Objetivos de Control y Controles para el Tratamiento de Riesgos ........................ 69
2.2.9 Preparación de la Declaración de Aplicabilidad ...................................................................... 69
2.2.9.1 Plan de Tratamiento del Riesgo..................................................................................................... 71
2.2.9.2 Mantenimiento y Monitoreo del plan de seguridad de la información ........................................ 71
2.2.9.3 Revisión de los Riesgos y Evaluación ............................................................................................. 72
3 VALIDACIÓN DEL PLAN DE SEGURIDAD EN UN CASO DE ESTUDIO ................................................... 73
3.1 DESCRIPCIÓN DEL CASO DE ESTUDIO ................................................................................................ 73
3.1.1 SELECCIÓN ............................................................................................................................... 73
3.1.2 DESCRIPCIÓN DE LA EMPRESA ................................................................................................. 73
3.1.3 MISIÓN ..................................................................................................................................... 74
3.1.4 VISIÓN ...................................................................................................................................... 74
3.1.5 POLÍTICA DE CALIDAD .............................................................................................................. 74
3.1.6 VALORES-PRINCIPIOS ............................................................................................................... 75
3.1.7 ORGANIGRAMA ....................................................................................................................... 76
3.2 APLICACIÓN DEL PLAN ....................................................................................................................... 77
3.2.1 SITUACIÓN PREVIA DE LA SEGURIDAD INFORMÁTICA DEL CASO DE ESTUDIO ....................... 77
3.2.2 ESTABLECIMIENTO DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN AL CASO DE ESTUDIO ... 78
3.2.2.1 Alcance del plan de seguridad de la información .......................................................................... 79
3.2.2.2 Políticas del Plan de seguridad de la información ......................................................................... 79
3.2.2.3 Enfoque para la gestión del riesgo ................................................................................................ 79
3.2.2.4 Aspectos a contemplar al efectuar el análisis del riesgo ............................................................... 80
3.2.2.5 Riesgo Residual ............................................................................................................................. 93
3.2.3 IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN AL CASO DE ESTUDIO ... 96
3.2.3.1 Acuerdo de Confidencialidad ........................................................................................................ 97
3.2.3.2 Políticas de Seguridad Informática .............................................................................................. 100
3.2.3.4 Asignación de Responsabilidades ................................................................................................ 106
3.2.3.5 Uso Aceptable de los Activos de Información ............................................................................. 107
3.2.3.6 Inventario de Activos .................................................................................................................. 110
3.2.3.7 Instructivo para Etiquetado y Manejo de la Información ............................................................ 113
3.2.3.8 Instructivo para Revisión de las Políticas de Seguridad Informática ........................................... 116
3.2.3.9 Registro de Compromiso de la Dirección con la Seguridad Informática ..................................... 117
3.2.3.10 Registro de Contacto con Grupos de Intereses ........................................................................... 118
3.2.3.11 Registro de Contacto con las Autoridades .................................................................................. 119
3.2.3.12 Registro de Revisión Independiente de la Seguridad Informática ............................................... 120
3.2.3.13 Registro de Seguimiento de las Políticas de Seguridad Informática ............................................ 121
3.3 ANÁLISIS DE RESULTADOS DEL CASO DE ESTUDIO .......................................................................... 124
4 CONCLUSIONES Y RECOMENDACIONES ......................................................................................... 129
4.1 CONCLUSIONES ............................................................................................................................... 129
4.2 RECOMENDACIONES ....................................................................................................................... 131
BIBLIOGRAFÍA ......................................................................................................................................... 134
ANEXOS…………………………………………………………………………………………………………………………………………………CD
ANEXO 1 ANALISIS PREVIO DE LA EMPRESA…………………………………………………………………………………………..CD
ÍNDICE DE TABLAS
Tabla 1.1 Riesgo e impacto .................................................................................... 8
Tabla 2.1 Tasación de activos de información ..................................................... 59
Tabla 2.2 Activos de Información y propietarios ................................................... 60
Tabla 2.3 Clasificación de amenazas ................................................................... 61
Tabla 2.4 Escala de Likert .................................................................................... 61
Tabla 2.5 Método para el cálculo del riesgo ......................................................... 64
Tabla 2.6 Escala de riesgo para evaluar significado del riesgo ............................ 65
Tabla 2.7 Ejemplo de declaración de aplicabilidad de un proceso ....................... 70
Tabla 3.1 Datos del caso de estudio .................................................................... 73
Tabla 3.2 Situación previa de la Seguridad de la Información ............................. 78
Tabla 3.3 Activos de Información y Propietarios .................................................. 81
Tabla 3.4 Tasación de activos de información ..................................................... 82
Tabla 3.5 Activos de Información de Sistemas y Soporte .................................... 83
Tabla 3.6 Amenazas y Vulnerabilidades .............................................................. 87
Tabla 3.7 Escala de riesgo y su evaluación ......................................................... 90
Tabla 3.8 Tratamiento del Riesgo ........................................................................ 91
Tabla 3.9 Estrategias de tratamiento del riesgo ................................................... 92
Tabla 3.10 Declaración de aplicabilidad ............................................................... 95
Tabla 3.11 Comparación de la situación previa y actual de la seguridad de la
información. ........................................................................................................ 127
ÍNDICE DE FIGURAS
Ilustración 1.1 Amenazas para la Seguridad Informática ....................................... 6
Ilustración 1.2 Modelo PDCA aplicado a los procesos SGSI ............................... 11
Ilustración 1.3 Modelo de procesos de gestión de riesgos de BS 7799-3 ............ 14
Ilustración 1.4 Modelo de procesos para la gestión de la Seguridad de la
Información........................................................................................................... 17
Ilustración 1.5 Proceso de análisis detallado de riesgos de ISO/IEC 13335 ........ 18
Ilustración 1.6 Proceso de gestión de riesgos de seguridad de la información de
ISO/IEC 27005:2008 ............................................................................................ 20
Ilustración 1.7 Proceso General De Identificación Y Análisis ............................... 22
Ilustración 1.8 Relación entre los elementos de seguridad .................................. 29
Ilustración 2.1 Relación causa-efecto entre elementos del análisis de riesgo ...... 63
Ilustración 2.2 Proceso de toma de decisiones para el tratamiento del riesgo ..... 68
Ilustración 3.1 Organigrama ................................................................................. 76
INTRODUCCIÓN
Aplicar un plan de seguridad informática es muy importante dado que en este se
establecen las directrices principales para la gestión de la seguridad informática.
En el capítulo 1 se describen los estándares de seguridad informática. Además se
indican las directrices del estándar ISO IEC 13335 que serán utilizadas para
realizar el plan de seguridad informática.
En el capítulo 2 se realiza el plan de seguridad informática y las consideraciones
que se deben tomar en cuenta para realizar dicho plan.
En el capítulo 3 se realiza una validación del plan de seguridad de la información
aplicado a un caso de estudio específico, al cual se lo describe, se evalúa y se
analiza los resultados que se obtienen.
En el capítulo 4 se da a conocer las conclusiones y recomendaciones del trabajo
realizado.
RESUMEN
El presente trabajo tiene como objetivo aplicar el estándar ISO 13335 para
proponer un plan de seguridad de la información en un caso de estudio de una
empresa mediana de Desarrollo de Software.
El Plan de Seguridad de la Información es la definición de las políticas de
seguridad informática y su alineación con la misión y visión de la empresa como
se notó en este trabajo ya que las políticas son la parte medular de la seguridad
de la información.
Al obtener los resultados se pudo analizar cuáles son las políticas de seguridad
que requieren más atención para que este plan se pueda implementar
adecuadamente, el caso de estudio seleccionado permitió conocer las fortalezas y
debilidades que existen en cuanto a la seguridad informática así como también
que políticas se deben implementar para mejorar el nivel de seguridad de la
información de las empresas de desarrollo software del Ecuador.
1
1 SEGURIDAD INFORMÁTICA
1.1 ESTÁNDARES DE SEGURIDAD INFORMÁTICA
Actualmente, a consecuencia de los avances tecnológicos que las organizaciones
tienen a su disposición y la cantidad de información que manejan, es necesaria
que toda esta información sea tratada de la forma adecuada considerándola como
uno de los activos de mayor valor para el progreso de la misma.
Dado que el uso de Internet se encuentra en aumento, cada vez más
organizaciones permiten a sus socios y proveedores acceder a sus sistemas de
información. Por lo tanto, es fundamental saber qué recursos de la organización
necesitan protección para así controlar el acceso a los mismos y los permisos de
los usuarios del sistema de información. Los mismos procedimientos se aplican
cuando se permite el acceso a la organización a través de Internet.
Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy
en día, el cual permite a los empleados conectarse a los sistemas de información
casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del
sistema de información fuera de la infraestructura segura de la organización.
La mayoría de las organizaciones de nuestro país no le dan la importancia que
merece a la seguridad informática por lo que están expuestos a grandes riesgos,
tales como pérdida y fuga de información confidencial, documentos adulterados,
entre otras.
“Ser lo que soy, no es nada sin la seguridad” William Shakespeare (1546-1616)
aplicándolo a nuestros días, en las organizaciones se puede afirmar que al igual
que hace cientos de años era importante la seguridad más ahora que vivimos en
un mundo globalizado; para que las organizaciones sean pioneras y competitivas
deben asegurar su información.
1.1.1 SEGURIDAD INFORMÁTICA
Antes de hablar sobre estándares de seguridad informática se debe tener claro
que es y para qué sirve la seguridad informática, cuales sus campos de aplicación
y sus ventajas.
La seguridad informática se define como “el área de la informática que se enfoca
en la protección de la infraestructura computacional y todo lo relacionado con esta
2
(incluyendo la información contenida). Para ello existen una serie de estándares,
protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la información. La seguridad informática
comprende software, bases de datos, metadatos, archivos y todo lo que la
organización valore (activo) y signifique un riesgo si ésta llega a manos de otras
personas. Este tipo de información se conoce como información privilegiada o
confidencial.” [1]
La seguridad informática es una disciplina que se encarga de proteger la
integridad y la privacidad de la información almacenada en un sistema
informático. De todas formas, no existe ninguna técnica que permita asegurar la
inviolabilidad de un sistema.
Un sistema informático puede ser protegido desde un punto de vista lógico (con el
desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por
ejemplo). Por otra parte, las amenazas pueden proceder desde programas
dañinos que se instalan en la computadora del usuario (como un virus) o llegar
por vía remota (los delincuentes que se conectan a Internet e ingresan a los
distintos sistemas). [2]
Entre las herramientas más usuales de la seguridad informática, se encuentran
los programas antivirus, los cortafuegos o firewalls, la encriptación de la
información y el uso de contraseñas (contraseñas). [2]
Un sistema seguro debe ser íntegro (con información modificable sólo por las
personas autorizadas), confidencial (los datos tienen que ser legibles únicamente
para los usuarios autorizados), irrefutable (el usuario no debe poder negar las
acciones que realizó) y tener buena disponibilidad (debe ser estable).
De todas formas, como en la mayoría de los ámbitos de la seguridad, lo esencial
sigue siendo la capacitación de los usuarios. Una persona que conoce cómo
protegerse de las amenazas sabrá utilizar sus recursos de la mejor manera
posible para evitar ataques o accidentes. [2]
En base a las definiciones mencionadas se puede concluir que la Seguridad
Informática se encarga de mantener la integridad, disponibilidad, control y
autenticidad de los recursos informáticos tangibles e intangibles de una empresa
u organización para cumplir sus propósitos, es decir, que no estén dañados o
3
alterados por circunstancias o factores tanto internos como externos. Además
faculta a los usuarios para hacer un correcto uso de los medios a su disposición.
Una vez que se ha definido la Seguridad Informática y notado su importancia para
las organizaciones se debe conocer cuáles son los aspectos a tomar en cuenta en
la Seguridad Informática.
1.1.1.1 CONFIDENCIALIDAD
La confidencialidad ha sido definida por la Organización Internacional de
Estandarización (ISO) en la norma ISO-17799 como: "garantizar que la
información es accesible sólo para aquellos autorizados a tener acceso". Se debe
proteger la información contra lecturas no autorizadas y que pueden ser utilizadas
para inferir otros elementos de información confidencial.
1.1.1.1.1 Confidencialidad en Informática
La confidencialidad se entiende en el ámbito de la seguridad informática, como
la protección de datos y de información intercambiada entre un emisor y uno o
más destinatarios frente a terceros. Esto debe hacerse independientemente de la
seguridad del sistema de comunicación utilizado, de hecho un problema es
garantizar la confidencialidad de la comunicación cuando el sistema es
inherentemente inseguro (como Internet).[3]
En un sistema que garantice la confidencialidad, un tercero que entra en posesión
de la información intercambiada entre el remitente y el destinatario no es capaz de
extraer cualquier contenido inteligible.
Para garantizarla se utilizan mecanismos de cifrado y de ocultación de la
comunicación. Digitalmente se puede mantener la confidencialidad de un
documento con el uso de llaves asimétricas. Los mecanismos de cifrado
garantizan la confidencialidad durante el tiempo necesario para descifrar el
mensaje. Por esta razón, es necesario determinar durante cuánto tiempo el
mensaje debe seguir siendo confidencial. No existe ningún mecanismo de
seguridad absolutamente seguro.
1.1.1.1.2 Información confidencial
Para las organizaciones, la tecnología Web se ha convertido en una forma de
distribuir información con gran sencillez, tanto internamente, a sus propios
4
miembros, como de manera externa, a sus socios en todo el mundo. Esta
información confidencial es un blanco atractivo para sus competidores y
enemigos.
1.1.1.2 INTEGRIDAD
Es necesario proteger la información mediante medios de respaldo,
documentación, transito de red, etc., contra modificaciones sin permiso las cuales
pueden ser producidas por errores de hardware, software y/o personas, de forma
intencional o accidental.
1.1.1.3 DISPONIBILIDAD
Se refiere a la continuidad operativa de la organización, la pérdida de
disponibilidad puede implicar, la pérdida de productividad o de credibilidad de la
organización. El sistema contiene información o proporciona servicios que deben
estar disponibles a tiempo para satisfacer requisitos o evitar pérdidas importantes,
como sistemas esenciales de seguridad y protección de la vida.
1.1.1.4 AUTENTICIDAD
La autenticidad consiste en la confirmación de la identidad de quien hace uso de
los recursos; es decir, la garantía para cada una de las partes son realmente
quien dicen ser. Un control de acceso permite (por ejemplo gracias a una
contraseña codificada) garantizar el acceso a recursos únicamente a los usuarios
autorizados.
1.1.1.5 VALOR DE LA INFORMACIÓN
Considerando la continuidad de la organización, lo mas critico que debería
protegerse son los datos (la información). La información constituye un recurso
que en muchos casos no se valora adecuadamente debido a su intangibilidad.
Toda organización está expuesta a riesgos y peligros que la hacen vulnerable a
sabotajes.
5
1.1.2 AMENAZAS EN LA SEGURIDAD INFORMÁTICA
1.1.2.1 AMENAZA
Se considera amenaza a cualquier evento que pueda provocar daños en los
sistemas de información, produciendo a la empresa pérdidas materiales o
financieras.
Una vez que la programación y el funcionamiento de un dispositivo de
almacenamiento (o transmisión) de la información se consideran seguras, todavía
se debe tener en cuenta amenazas "no informáticas" que pueden afectar a los
datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única
protección posible es la redundancia (en el caso de los datos) y la
descentralización por ejemplo mediante estructura de redes (en el caso de las
comunicaciones).[4]
Estos fenómenos pueden ser causados por:
El usuario: causa del mayor problema ligado a la seguridad de un sistema
informático (porque no le importa, no se da cuenta o a propósito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso
ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el
ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos
programas pueden ser un virus informático, un gusano informático, un troyano,
una bomba lógica o un programa espía o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los cuales
no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer,
entre otras.).
Un siniestro (robo, incendio, inundación): una mala manipulación o una mala
intención derivan a la pérdida del material o de los archivos.
El personal interno de sistemas: Las luchas de poder que llevan a
disociaciones entre los sectores y soluciones incompatibles para la seguridad
informática.
En la Ilustración 1.1 se muestra un resumen de las amenazas de seguridad.
6
Ilustración 1.1 Amenazas para la Seguridad Informática
Fuente: Varios Autores
1.1.2.2 TIPOS DE AMENAZAS
El hecho de conectar una red a un entorno externo nos da la posibilidad de sufrir
un ataque, robo de información o alteración del funcionamiento de la red. Sin
embargo el hecho de que la red no sea conectada a un entorno externo no nos
garantiza la seguridad de la misma. De acuerdo con el Instituto de Seguridad
Informática (CSI) de San Francisco aproximadamente entre 60 y 80 por ciento de
los incidentes de red son causados dentro de la misma. Basado en esto podemos
decir que existen dos tipos de amenazas detalladas a continuación.
1.1.2.2.1 Amenazas internas
Generalmente estas amenazas pueden ser más serias que las externas por varias
razones como son:
§ Los usuarios conocen la red y saben cómo es su funcionamiento.
Amenazas de la Seguridad
Humanas
Maliciosas
Externas
(hakers)
Internas
(Empleados inconformes)
No Maliciosas
Empleados
Ignorantes
Desastres Naturales
Incendios
Inundaciones
Terremotos
7
§ Tienen algún nivel de acceso a la red por las mismas necesidades de su
trabajo.
§ Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.
Esta situación se presenta gracias a los esquemas ineficientes de seguridad con
los que cuentan la mayoría de las organizaciones a nivel mundial, y porque no
existe conocimiento relacionado con la planeación de un esquema de seguridad
eficiente que proteja los recursos informáticos de las actuales amenazas
combinadas.
El resultado es la violación de los sistemas, provocando la pérdida o modificación
de los datos sensibles de la organización, lo que puede representar perdidas para
la empresa de millones de dólares.
1.1.2.2.2 Amenazas externa
Son aquellas amenazas que se originan del exterior de la red. Al no tener
información certera de la red, un atacante tiene que realizar ciertos pasos para
poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La
ventaja que se tiene en este caso es que el administrador de la red puede
prevenir una buena parte de los ataques externos.
1.1.2.3 LA AMENAZA INFORMÁTICA DEL FUTURO
Si en un momento el objetivo de los ataques fue cambiar las plataformas
tecnológicas ahora las tendencias cibercriminales indican que la nueva modalidad
es manipular los significados de la información digital. El área semántica, era
reservada para los humanos, se convirtió ahora en el núcleo de los ataques
debido a la evolución de la Web 2.0 y las redes sociales, factores que llevaron al
nacimiento de la generación 3.0.
Se puede afirmar que “la Web 3.0 otorga contenidos y significados de manera tal
que pueden ser comprendidos por las computadoras, las cuales por medio de
técnicas de inteligencia artificial son capaces de emular y mejorar la obtención de
conocimiento, hasta el momento reservada a las personas”. [1]
8
1.1.3 RIESGOS EN LA SEGURIDAD INFORMÁTICA
1.1.3.1 RIESGO
Riesgo se puede definir como aquella eventualidad que imposibilita el
cumplimiento de un objetivo. El riesgo es una media de las posibilidades del
incumplimiento o exceso del objetivo planeado. Un riesgo conlleva a dos tipos de
consecuencias: Ganancias o Pérdidas. En informática el riesgo solo tiene que ver
con la amenaza que la información puede sufrir, determinando el grado de
exposición y la pérdida de la misma. La ISO (Organización Internacional de
Estándares) define el riesgo informático como: “La posibilidad que una amenaza
se materialice, utilizando vulnerabilidad existente en un activo o grupos de activos,
generándose así pérdidas o daños. [6]
Riesgo = vulnerabilidades * amenazas
Si no hay amenazas no hay riesgo
Si no hay vulnerabilidades no hay riesgo
1.1.3.2 RIESGO E IMPACTO
En la actualidad los riesgos informáticos pueden ser por distintas causas, como
defectos tecnológicos, negligencia por parte de los usuarios, desastres naturales
entre otros, los cuales se muestran en la Tabla 1.1 con los respectivos impactos
que producen en las organizaciones. [6]
Riesgo Impacto
Robo de hardware Alto
Robo de información Alto
Vandalismo Medio
Fallas en los equipos Medio
Virus Informáticos Medio
Equivocaciones Medio
Accesos no autorizados Medio
Fraude Bajo
Fuego Muy Bajo
Terremotos Muy Bajo
Tabla 1.1 Riesgo e impacto Fuente: Varios Autores
9
1.1.3.3 TIPOS DE RIESGO
1.1.3.3.1 Ataques híbridos
Son ataques en los que se mezclan más de una técnica:
DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones,
entre otras. Suelen ser de muy rápida propagación y siempre se basan en alguna
vulnerabilidad de algún sistema. Por ejemplo los gusanos Blaster, Sasser, o
Slammer, Buffer Overflows, escaneado de direcciones, transmisión vía Internet, y
mimetización en los sistemas, se propagaron por todo el planeta en cuestión de
pocas horas gracias a una mezcla de técnicas de “uso de vulnerabilidad”
1.1.3.3.2 Ingeniería social
Son ataques en los que se intenta engañar a algún usuario para hacerle creer
como cierto algo que no lo es. Como el ejemplo que se muestra a continuación:
Buenos días, ¿es la secretaria del Director del Departamento?
Si dígame, ¿que desea?
Soy Pedro, técnico informático del Centro de Apoyo a Usuarios y me han
informado para reparar un virus del ordenador del director pero la clave que me
han indicado para entrar no es correcta, ¿podría ayudarme, por favor? [9]
Otros ataques de este tipo son:
Farming, SPAM, Pishing, a los cajeros automáticos, entre otras.
1.1.4 PRINCIPALES ESTÁNDARES DE SEGURIDAD INFORMÁTICA
Dentro de cada una de las organizaciones que tengan su operatividad basada en
tecnologías de la información, es recomendable implementar buenas prácticas de
seguridad informática, ya que en la mayoría de casos en que no se sigue un
proceso de implementación adecuado, se pueden generar vulnerabilidades que
aumenten la posibilidad de riesgos en la información. Para el efecto, se crean
normas y estándares internacionales de alto nivel para la administración de la
seguridad informática como son: la BS 7799, la ISO 17799 y la ISO/IEC 27001,
entre otras.
1.1.4.1 EL ESTÁNDAR ISO/IEC 17799
ISO/IEC 17799 denominada también como ISO 27002 es un estándar para la
seguridad de la información publicado por primera vez como ISO/IEC 17799:2000
10
por la Organización Internacional de Normalización y la Comisión Electrotécnica
Internacional en el año 2000, con el título de Técnicas de Seguridad: Código de
buenas prácticas para la gestión de seguridad de la información. Tras un periodo
de revisión y actualización de los contenidos del estándar, se publicó en el
año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El
estándar ISO/IEC 17799 tiene su origen en el Estándar Británico BS 7799-1 que
fue publicado por primera vez en 1995.
1.1.4.1.1 Directrices del estándar ISO/IEC 17799
ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la
gestión de la seguridad de la información a todos los interesados y responsables
en iniciar, implantar o mantener sistemas de gestión de la seguridad de la
información. La seguridad de la información se define en el estándar como "la
preservación de la confidencialidad (asegurando que sólo quienes estén
autorizados pueden acceder a la información), integridad (asegurando que la
información y sus métodos de proceso son exactos y completos) y disponibilidad
(asegurando que los usuarios autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran)".
La versión de 2005 del estándar incluye las siguientes once secciones principales:
1. Política de Seguridad de la Información.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada sección, se especifican los objetivos de los distintos controles
para la seguridad de la información. Para cada uno de los controles se indica de
11
la misma forma una guía para su implantación. El número total de controles suma
133 entre todas las secciones aunque cada organización debe considerar
previamente cuántos serán realmente los aplicables según sus propias
necesidades.
1.1.4.2 EL ESTÁNDAR ISO/IEC 27001:2005
El Estándar Internacional ISO/IEC 27001:2005 ha sido preparado para
proporcionar un modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestión de Seguridad de la Información.
Según el Estándar la adopción de un SGSI para una organización debe realizarse
como parte de las decisiones estratégicas, para lo cual es necesario el
compromiso de la gerencia para el establecimiento, implementación, operación,
monitoreo, revisión, mantenimiento y mejoramiento del SGSI. [1]
El Estándar toma el modelo de procesos Planear – Hacer – Chequear – Actuar
(PDCA) que se muestra en la Ilustración 1.2.
Ilustración 1.2 Modelo PDCA aplicado a los procesos SGSI
Fuente: Estàndar ISO/IEC 27000: 2005
También el Estándar utiliza los Lineamientos OECD19 que se aplican a las
políticas para la seguridad de los Sistemas y Redes de Información. Estos
principios son: Conciencia, Responsabilidad, Respuesta, Evaluación del Riesgo,
Diseño e Implementación de la Seguridad, Gestión de la Seguridad y
Reevaluación.
Para la aplicación de este Estándar se necesita a su vez el estándar ISO/IEC
17799:2005 que es el “Código de Práctica para la Gestión de la Seguridad de la
Establecer el SGSI
Implementar y operar el
SGSI
Monitoriar y revisar el
SGSI
Mantener y mejorar el
SGI
Planear
Chequear
Hacer
Act
uar
Partes
Interesadas
Requerimientos
y expectativas
de la seguridad
de la
información
Partes
Interesadas
Seguridad de
la información
manejada
Desarrollar, mantener y
mejorar el ciclo
12
Información”, el cual contiene un conjunto de objetivos de control y controles para
desarrollar estándares de seguridad organizacional y prácticas de seguridad
efectivas.
1.1.4.2.1 Beneficios
El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las
siguientes ventajas a la organización[12]:
§ Demuestra la garantía independiente de los controles internos y cumple los
requisitos de gestión corporativa y de continuidad de la actividad comercial.
§ Demuestra independientemente que se respetan las leyes y normativas
que sean de aplicación. Proporciona una ventaja competitiva al cumplir los
requisitos contractuales y demostrar a los clientes que la seguridad de su
información es primordial.
§ Verifica independientemente que los riesgos de la organización estén
correctamente identificados, evaluados y gestionados al tiempo que
formaliza procesos, procedimientos y documentación de protección de la
información.
§ Demuestra el compromiso de la cúpula directiva de la organización con la
seguridad de la información.
§ El proceso de evaluaciones periódicas ayuda a supervisar continuamente
el rendimiento y la mejora. Nota: las organizaciones que simplemente
cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del
código profesional, ISO/IEC 17799 no logran estas ventajas.
1.1.4.2.2 Implantación
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele
tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en
seguridad de la información y el alcance, entendiendo por alcance el ámbito de la
organización que va a estar sometido al Sistema de Gestión de la Seguridad de la
Información elegido. En general, es recomendable la ayuda de consultores
externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de información y sus procesos de trabajo a las exigencias de las
normativas legales de protección de datos (por ejemplo, en España la conocida
13
LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto
1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de
Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la
información mediante la aplicación de las buenas prácticas de ISO/IEC 27002,
partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
1.1.4.3 BS 7799-3:2006 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN - PARTE 3: GUÍAS PARA LA GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
Se definió para soportar la implantación de Sistemas de Gestión de Seguridad de
la Información basados en el estándar ISO/IEC 27001:2005 [BS7799-3.06]
[IS027001.05].
§ Los principales procesos de análisis de riesgos que define son:
o Identificación de activos.
o Identificación de requerimientos legales y de negocio relevantes
para los activos identificados.
o Valoración de los activos teniendo en cuenta los requerimientos
identificados y el impacto resultante de la pérdida de
confidencialidad, integridad o disponibilidad.
o Identificación de amenazas y vulnerabilidades relevantes para los
activos identificados.
o Valoración de la posibilidad de que ocurran las amenazas y
vulnerabilidades.
§ Evaluación de riesgos:
o Calculo de riesgos
o Evaluación de los riesgos teniendo en cuenta una escala de riesgos.
§ Tratamiento de riesgos y decisiones de la dirección.
o Determinación de la estrategia de gestión de los riesgos:
§ Reducir
§ Aceptar
§ Transferir
§ Evitar
o Evaluación del riesgo residual
14
o Definición del plan de tratamiento de riesgos
§ Actividades de gestión continuo del riesgo:
o Mantenimiento y monitorización.
o Revisiones de la dirección,
o Revisiones y reevaluaciones de riesgos,
o Auditorías.
o Controles de documentación,
o Acciones correctivas y preventivas,
o Reporting y comunicaciones
Los procesos propuestos para la gestión del riesgo definen un ciclo iterativo que
se puede comprobar en la Ilustración 1.3.
Ilustración 1.3 Modelo de procesos de gestión de riesgos de BS 7799-3
Fuente: Norma BS 7799-3:2006
1.2 DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD
INFORMÁTICA EN EL ESTÁNDAR ISO 13335
La ISO (Organización Internacional de Normalización) y el ICE (La Comisión
Electrotécnica Internacional) forman el sistema especializado para el desarrollo de
Mantener y mejorar los controles de
riesgos
Valorar y evacuar los
riesgos
Seleccionar, implementar y
operar controles para tratar los
riesgos
Monitorizar y revisar los riegos
Actividades de gestión
continúa de riesgos
Valoración de riesgos
Tratamiento de riesgos y
decisiones de dirección
15
las Normas Internacionales, a través de comités técnicos establecidos para hacer
frente a determinados campos de la actividad técnica.
Además en circunstancias excepcionales, una comisión técnica podrá proponer la
publicación de un Informe Técnico de uno de los siguientes tipos:
§ Tipo 1, cuando el apoyo necesario no se puede obtener por la publicación
de una norma internacional, a pesar de los varios esfuerzos.
§ Tipo 2, cuando el tema esté todavía en desarrollo técnico requiriendo una
explicación detallada, o cuando por cualquier razón es el futuro, pero no
una posibilidad inmediata de un acuerdo sobre una norma internacional.
§ Tipo 3, cuando la comisión técnica ha recogido datos diferentes de los que
normalmente se publican en un estándar internacional ("estado del arte",
por ejemplo).
Los informes técnicos de los tipos 1 y 2 están sujetos a revisión dentro de tres
años posterior a la publicación, para decidir si se puede transformar en normas
internacionales. Los informes técnicos del tipo 3 no necesariamente tienen que
ser revisados, hasta que los datos que proporcionan son considerados como no
válidos o inútiles.
El propósito del ISO / IEC TR 13335 es proporcionar una guía, no soluciones, en
aspectos de gestión de la seguridad informática. Los individuos dentro de una
organización que son responsables de la seguridad de TI deben ser capaces de
adaptar el material de este informe para satisfacer sus necesidades específicas.
Sus principales objetivos son:
§ Definir y describir los conceptos relacionados con la gestión de la
seguridad informática
§ Identificar las relaciones entre la seguridad de la gestión de las TI y la
gestión de las TI en general
§ Presentar varios modelos que se pueden utilizar para explicar la seguridad
de TI
§ Proporcionar una orientación general sobre la gestión de la seguridad
informática.
El documento se articula en las siguientes cinco partes:
16
ISO / IEC TR 13335 se compone de las siguientes partes, bajo el título de la
tecnología de información general - Directrices para la gestión de la seguridad
informática:
Parte 1: Conceptos y modelos para la seguridad de las Tecnologías de la
Información. (Publicada en 2004) [ISO13335-1.04]
Parte 2: Planificación y gestión de la seguridad de las Tecnologías de la
Información. (Publicada en 1997, ha quedado obsoleta por la publicación de la
última versión de la parte 1) [ISO13335-2.97]
Parte 3: Técnicas para la gestión de la seguridad de las Tecnologías de la
Información. (Publicada en 1998, ha quedado obsoleta por la publicación de la
norma ISO/IEC 27005:2008) [ISO13335-3.98]
Parte 4: Selección de salvaguardas. (Publicada en 2000, ha quedado obsoleta
por la publicación de la norma ISO/IEC 27005:2008) [ISO13335-4.00]
Parte 5: Salvaguardas para conexiones externas. (Publicada en 2001, ha
quedado obsoleta por la publicación de la norma ISO/IEC 18028-1:2006)
[ISO13335-5.01][10]
1.2.1 DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA
1.2.1.1 GUÍA PARA LA GESTIÓN DE LA SEGURIDAD DE LAS TI SEGÚN LA
ISO TR 13335
El modelo de procesos propuesto por el informe técnico ISO/IEC 13335 para la
gestión de la Seguridad de la Información se resume en la Ilustración 1.4.
17
Ilustración 1.4 Modelo de procesos para la gestión de la Seguridad de la Información
Fuente: ISO/IEC 13335
Política, estrategia y objetivos de seguridad de TI
Objetivos y estrategias de seguridad de TI
Política corporativa de Seguridad de TI
Opciones de estrategia corporativa de análisis de riesgos
Enfoque Combinado
Enfoque Detallado
Enfoque Informal
Enfoque de Referencia
Opciones de estrategia corporativa de análisis de riesgos Análisis de riesgos de alto nivel
Selección de salvaguardias
Aceptación de riesgos
Políticas de Seguridad de Sistemas de TI
Plan de seguridad de TI
Enfoque de referencia Análisis de riesgos detallado
Implementación del plan de seguridad TI
Aprobación del Sistema TI
Implementación de Salvaguardas
Concienciación de seguridad
Formación de seguridad
Seguimiento
Monitoreo
Gestión de Incidentes
Revisión de cumplimiento de seguridad
Gestión de cambios
Mantenimiento
18
Los procesos de gestión de seguridad de la información incluyen el proceso de
análisis detallado de riesgos, que se describe en la Ilustración 1.5.
Ilustración 1.5 Proceso de análisis detallado de riesgos de ISO/IEC 13335
Fuente: ISO/IEC 13335
1.2.1.2 GESTIÓN DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN
SEGÚN LA ISO IEC 27005:2008
La norma ISO/IEC 27005:2008 está basada en los informes técnicos ISO/IEC TR
13335-3:1998 [ISO 13335-3.98] e ISO/IEC TR 13335-4:2000 [ISO 13335-4.00]. El
proceso de gestión de riesgos se describe de la siguiente manera:
§ Establecimiento del contexto, en el que se definen los objetivos, el alcance
y la organización, para todo el proceso.
Análisis de riesgos Establecimiento del
alcance de la revisión
Identificación de activos
Valoración de activos
Establecimiento de dependencias
Valoración de
amenazas
Valoración de
vulnerabilidades
Enfoque
combinado Valoración de riesgos
Selección de salvaguardas
Identificación/revisión de restricciones
Aceptación de riesgos
Política de seguridad de sistemas
Plan de seguridad de TI
NO
SI
19
§ Valoración de riesgos, en el que se obtiene toda la información necesaria
para conocer, valorar y priorizar los riesgos. Se divide en tres partes:
1. Identificación de riesgos, que consiste en determinar qué puede
provocar pérdidas a la organización.
2. Estimación de riesgos, que consiste en utilizar métodos cuantitativos
o cualitativos para obtener una cuantificación de los riesgos
identificados, teniendo en cuenta los activos, las amenazas y las
salvaguardas.
3. Evaluación de riesgos, que consiste en comparar los riesgos
estimados con los criterios de evaluación y de aceptación de riesgos
definidos en el establecimiento del contexto.
§ Tratamiento de riesgos, en el que se define la estrategia para abordar cada
uno de los riesgos valorados: reducción, aceptación, evitación o
transferencia.
§ Aceptación de riesgos, en el que se determinan los riesgos que se decide
aceptar, y la justificación correspondiente a cada riesgo aceptado.
§ Comunicación de riesgos, en la que todos los grupos de interés
intercambian información sobre los riesgos.
§ Monitorización y revisión de riesgos, en la que el análisis de riesgos se
actualiza con todos los cambios internos o externos que afectan a la
valoración de los riesgos.
El proceso de gestión de riesgos definido por la norma ISO/IEC 27005:2008
puede resumirse en la Ilustración 1.6.
20
Ilustración 1.6 Proceso de gestión de riesgos de seguridad de la información de ISO/IEC 27005:2008Fuente: ISO/IEC 27005:2008
1.2.1.3 SEGURIDAD DE LA ADMINISTRACIÓN, OPERACIÓN Y USO DE
REDES DE SISTEMAS DE INFORMACIÓN, Y SUS
INTERCONEXIONES SEGÚN LA ISO/IEC 18028-1
El propósito de ISO/IEC 18028 es proporcionar una guía detallada sobre los
aspectos de seguridad de la administración, operación y uso de redes de
sistemas de información, y sus interconexiones. La norma ISO / IEC 18028-1 es la
referencia para definir, orientar y describir los conceptos asociados con la gestión
de la seguridad de redes, incluida la forma de identificar y analizar las
comunicaciones relacionadas con factores que deben tenerse en cuenta para
establecer los requisitos de seguridad de red, con una introducción a las áreas de
Establecimiento del contexto
Identificación de riesgos
Estimación de riesgos
Evaluación de riesgos
Valoración satisfactoria
Tratamiento de riesgos
Tratamiento satisfactorio
Aceptación de riesgos
Valoración de riesgos
Análisis de riesgos
Mo
nito
riza
ción
y r
evi
sión
de
rie
sgo
s
Com
un
icaci
ón
de
rie
sgo
s
21
control posibles y las áreas técnicas específicas (que se aborda en las diferentes
partes de la norma ISO/IEC 18028).
La norma ISO / IEC 18028-1 es relevante para cualquier persona involucrada en
la posesión, explotación o uso de una red, incluyendo a los altos directivos,
además de los gerentes y administradores que tienen responsabilidades
específicas para la seguridad de la información.
El documento ISO/IEC 18028-1 tiene las siguientes referencias de otras normas:
ISO / IEC 18028-2:2005, Tecnologías de la información- Técnicas de seguridad-
La seguridad informática de la red- Parte 2: Arquitectura de seguridad de red.
ISO / IEC 18028-3:2005, Tecnologías de la información- Técnicas de seguridad-
La seguridad informática de la red- Parte 3: Asegurar las comunicaciones entre
redes que utilizan Gateway de seguridad.
ISO / IEC 18028-4:2005, Tecnologías de la información- Técnicas de seguridad-
La seguridad informática de la red- Parte 4: Asegurar el acceso remoto.
ISO / IEC 18028-5:2006, Tecnologías de la información- Técnicas de seguridad-
La seguridad informática de la red- Parte 5: Asegurar las comunicaciones a través
de redes con VPN
ISO / IEC 13335-1:2004, Tecnologías de la información- Técnicas de seguridad-
Gestión de la información y la seguridad de la tecnología de comunicaciones-
Parte 1: Conceptos y modelos de información y tecnología de gestión de
seguridad de las comunicaciones.
ISO / IEC 17799:2005, Tecnología de la información- Técnicas de seguridad-
Código de prácticas para gestión de seguridad de tecnologías de la información.
ISO / IEC 18044:2004,- Técnicas de seguridad- Seguridad de la información de
gestión de incidentes.
ISO / IEC 18043:2006, Tecnología de la información- Técnicas de seguridad-
Selección, despliegue y operaciones de sistemas de detección de intrusos.
La norma tiene un proceso general de identificación y análisis de los factores
relacionados con las comunicaciones que se debe tener en cuenta para
establecer los requisitos de seguridad y control de red. La Ilustración 1.7 muestra
los pasos de este proceso.
22
Ilu
stra
ció
n 1
.7 P
roce
so g
ener
al d
e id
enti
fica
ció
n y
An
ális
is
Fu
ente
: IS
O /
IEC
180
43:2
006
23
En la Ilustración 1.7 las líneas de color negro solido representan el camino
principal del proceso, y la línea de puntos negro indica donde los tipos de riesgo
para la seguridad pueden ser determinados con la ayuda de una evaluación de
riesgos y sus resultados.
1.2.2 CONCEPTOS Y ASPECTOS FUNDAMENTALES DE UN PLAN DE
SEGURIDAD INFORMÁTICA
1.2.2.1 ELEMENTOS DE SEGURIDAD
Las organización debe definir los elementos de seguridad que se apliquen a su
caso, a continuación se describen los elementos de seguridad.
1.2.2.1.1 Principios de Seguridad
Los siguientes principios de alto nivel de seguridad son fundamentales para el
establecimiento de un eficaz programa de Seguridad de TI.
1.2.2.1.2 La gestión del riesgo
Los activos de la empresa deben ser protegidos mediante la adopción de
garantías. Las garantías deben ser seleccionadas y gestionadas sobre la base de
una adecuada metodología de gestión del riesgo, que evalúe a la organización,
los bienes, las amenazas, las vulnerabilidades y el impacto que producen las
amenazas, para atender los riesgos y tomar en cuenta las limitaciones.
1.2.2.1.3 Compromiso
Se debe especificar los beneficios que obtendrá la empresa al comprometerse
con la implementación de seguridad de TI.
1.2.2.1.4 Funciones y responsabilidades
Los roles y responsabilidades para la seguridad de TI deben ser claramente
comunicadas.
1.2.2.1.5 Objetivos, estrategias y políticas
Los riesgos para la seguridad de TI deben ser manejados considerando los
objetivos, estrategias y políticas de la organización.
24
1.2.2.1.6 Activos
En relación con la seguridad de la información, se refiere a cualquier información
o sistema relacionado con el tratamiento de la misma que tenga valor para la
organización. Según [ISO/IEC 13335-1:2004]: Se debe determinar los activos
como cualquier cosa que tiene valor para la organización.
1.2.2.1.7 Bienes
La gestión adecuada de los activos es vital para el éxito de la organización, y es
una de las principales responsabilidad de todos los niveles de gestión. Los activos
de una organización puede ser considerada lo suficientemente valioso como para
justificar un cierto grado de protección. Estos pueden incluir, sin limitarse a:
§ Los activos físicos (por ejemplo, equipos informáticos, instalaciones de
comunicaciones, edificios).
§ Información / datos (por ejemplo, documentos, bases de datos), software.
§ La capacidad de proporcionar un producto o servicio, personas.
§ Bienes intangibles (imagen de la empresa).
Desde una perspectiva de seguridad, no es posible implementar y mantener un
programa de seguridad con éxito si los activos de la organización no se
identifican. El nivel de detalle para esta práctica se debe medir en términos de
tiempo y costo en comparación con el valor de los bienes. El nivel de detalle de
los bienes se determinará sobre la base de los objetivos de seguridad. Los
atributos de los bienes a ser considerados incluyen su valor y / o sensibilidad, y
las garantías que presentan.
1.2.2.1.8 Amenazas
Los activos están sujetos a diversos tipos de amenazas. Una amenaza tiene el
potencial de causar daño a un activo y por lo tanto a una organización. Este daño
puede ocurrir a partir de un ataque a la información, causando destrucción no
autorizada, divulgación, modificación, la corrupción y la falta de disponibilidad o
pérdida.
Una amenaza tiene que explotar una vulnerabilidad existente del activo con el fin
de perjudicar a los activos. Las amenazas pueden ser de origen ambiental o
humano y, en este último caso, puede ser accidental o deliberada. Amenazas
tanto accidental como intencionada deben ser identificadas y su nivel y
25
probabilidad de ocurrencia evaluada. Los datos estadísticos disponibles sobre
muchos tipos de las amenazas ambientales pueden ser obtenidos y utilizados por
una organización, mientras se evalúa las amenazas.
Las amenazas tienen características que definen sus relaciones con los
elementos de seguridad.
Al definir las amenazas se debe tomar en cuenta el entorno y la cultura en la que
se encuentra la empresa.
Las amenazas pueden ser calificados en términos tales como Alta, Media y Baja,
en función del resultado de evaluación de amenazas.
1.2.2.1.9 Vulnerabilidades
Una debilidad de un bien, o grupo de bienes, que puede ser explotado por una o
más amenazas se conoce como una vulnerabilidad. Las vulnerabilidades
asociadas con bienes incluyen debilidades en el diseño físico, organización,
procedimientos, personal, gestión, administración, hardware, software o
información.
Una vulnerabilidad puede existir en ausencia de amenazas correspondiente. Una
vulnerabilidad no es más que una condición o un conjunto de condiciones que
pueden permitir que una amenaza afecte a un activo. Vulnerabilidades que surgen
de diferentes fuentes deben ser consideradas, por ejemplo, los. Intrínsecos o
extrínsecos al activo. Las vulnerabilidades deben ser evaluadas individualmente y
en conjunto para considerar el contexto operacional.
Dentro de un sistema u organización específica, no todas las vulnerabilidades
serán susceptibles a una amenaza.
Vulnerabilidades que tienen un peligro son de interés inmediato. Sin embargo,
como el medio ambiente puede cambiar impredeciblemente, todas las
vulnerabilidades deben ser controladas para identificar a los que se han expuesto
a nuevas o re-emergentes amenazas.
Evaluar las vulnerabilidades es el examen de las debilidades que pueden ser
explotadas por las amenazas identificadas. Esta evaluación debe tener en cuenta
el medio ambiente y las garantías existentes. La medida de una vulnerabilidad de
un sistema particular o bien, es una declaración de la facilidad con la que el
sistema o bien puede resultar perjudicado.
26
Las vulnerabilidades pueden ser calificados en términos tales como Alta, Media y
Baja, en función del resultado de la evaluación de la vulnerabilidad.
1.2.2.1.10 Impacto
El impacto es el resultado de un incidente de seguridad de la información,
causada por una amenaza, que afecta a los bienes. El impacto podría ser la
destrucción de ciertos activos, daños en el sistema de TI, y compromiso de
confidencialidad, integridad, disponibilidad, no repudio, la rendición de cuentas,
autenticidad o fiabilidad. Impacto indirecto incluye posibles pérdidas financieras, y
la pérdida de cuota de mercado o imagen de la empresa. La medición del impacto
permite un equilibrio que se hizo entre los resultados previstos de un incidente y el
costo de las garantías de protección contra el incidente. Se debe tener en cuenta
la probabilidad de ocurrencia de un incidente.
Las mediciones cuantitativas y cualitativas del impacto se pueden lograr de varias
formas, como:
§ Establecer el costo financiero,
§ Asignar una escala empírica de la gravedad, por ejemplo, del 1 al 10, y
§ El uso de adjetivos seleccionados de una lista predefinida, por ejemplo,
Alta, Media y Baja.
1.2.2.1.11 Riesgo
El riesgo es la posibilidad de que una amenaza se aprovecha de las
vulnerabilidades de un activo o grupo de activos y por lo tanto cause daño a la
organización. Amenazas simples o múltiples pueden explotar una o múltiples
vulnerabilidades.
Para describir los riesgos dentro de la empresa se debe plantear escenarios
mediante los cuales se pueda explotar una determinada vulnerabilidad o un grupo
de vulnerabilidades que exponen los bienes de daño mediante una o varias
amenazas, caracterizando al riesgo por una combinación de dos factores, la
probabilidad de que el incidente que se produzca y sus consecuencias
Cualquier cambio en los bienes, las amenazas, vulnerabilidades y garantías
pueden tener efectos significativos sobre los riesgos.
La detección temprana o el conocimiento de los cambios aumentan la oportunidad
para tomar las medidas adecuadas para tratar los riesgos. Opciones para el
27
tratamiento de riesgo incluyen la cobertura de riesgos, reducción de riesgos, el
riesgo transferencia y aceptación de riesgos.
1.2.2.1.12 Seguridades
Las seguridades son prácticas, procedimientos o mecanismos que pueden
proteger contra una amenaza, reducir la vulnerabilidad, limitar el impacto de un
incidente de seguridad de la información, detectar los incidentes y facilitar la
recuperación.
Una selección apropiada de las seguridades es esencial para un plan de
seguridad implementado correctamente.
Una medida de seguridad puede servir para múltiples propósitos, por el contrario,
una función puede requerir varias seguridades. Estas estrategias pueden ser
consideradas para llevar a cabo una o más de las siguientes funciones:
§ la prevención,
§ la disuasión,
§ detección,
§ limitación,
§ corrección,
§ la recuperación,
§ el seguimiento y la
§ concienciación.
Ejemplos de seguridades específicas son:
§ políticas y procedimientos,
§ acceso a los mecanismos de control,
§ software anti-virus,
§ cifrado,
§ firmas digitales,
§ seguimiento y análisis de herramientas,
§ fuentes de alimentación redundantes, y
§ copias de seguridad de información.
1.2.2.1.13 Limitaciones
Se deben describir Las restricciones que son normalmente establecidas o
reconocidas por la administración de la organización y la influencia del entorno en
28
que opera la organización. Algunos ejemplos de restricciones que se deben
considerar son:
§ de organización,
§ de negocios,
§ financieros,
§ medio ambiente,
§ personal,
§ tiempo,
§ legal,
§ técnica, y
§ cultural / social.
Estos factores deben ser considerados en la selección y la aplicación de
seguridades, periódicamente, las limitaciones existentes y nuevas deben ser
revisadas.
1.2.2.1.14 Relación entre los elementos de seguridad
Para describir los elementos de seguridad se debe tomar en cuenta la relación
que existe entre los elementos de seguridad, como por ejemplo la Ilustración 8
que presenta un modelo que muestra cómo los activos pueden ser objeto de un
número de amenazas. Este conjunto de amenazas que cambia constantemente
con el tiempo y sólo es parcialmente conocido. Además, el entorno cambia con el
tiempo y este cambio puede afectar a la naturaleza de las amenazas y la
probabilidad de su ocurrencia.
29
Ilustración 1.8 Relación entre los elementos de seguridad
Fuente: ISO/IEC 13335
El modelo de la ilustración 1.8 representa:
§ un ambiente con restricciones y amenazas que cambian constantemente y
sólo es parcialmente conocido,
§ los bienes de una organización,
§ las vulnerabilidades asociadas a los bienes,
§ garantías para proteger los bienes seleccionados, y
§ riesgos residuales aceptables para la organización.
1.2.2.2 OBJETIVOS, ESTRATEGIAS Y POLÍTICAS DE SEGURIDAD DE LA
EMPRESA
1.2.2.2.1 Objetivos y estrategias de seguridad
Los objetivos, las estrategias y las políticas de seguridad de la organización
deben ser formulados para garantizar la seguridad de TI. Los objetivos son lo que
se quiere lograr, las estrategias son cómo lograr estos objetivos y las políticas son
las reglas que deben observarse en la aplicación de las estrategias. Con el fin de
30
lograr una efectiva seguridad de TI, es necesario alinear los diversos objetivos,
estrategias y políticas para cada nivel de organización y unidad de negocio.
1.2.2.2.2 Jerarquía de las Políticas
Todas las Políticas que se definan o estén definidas deben tener una jerarquía es
decir se las debe presentar de acuerdo a su importancia.
1.2.2.2.3 Elementos de las Políticas de seguridad corporativa de TI
La política de seguridad corporativa debe cubrir al menos los siguientes temas:
§ Requerimientos de seguridad, por ejemplo, en términos de
confidencialidad, integridad, disponibilidad, autenticidad, responsabilidad y
fiabilidad, especialmente en relación con el punto de vista de los
propietarios de los activos,
§ La infraestructura de la organización y asignación de responsabilidades.
§ La integración de la seguridad en el desarrollo del sistema y su adquisición.
§ Directrices y procedimientos,
§ Definición de las clases para la clasificación de la información,
§ Las estrategias de gestión de riesgos,
§ Planes de contingencia,
§ Política de personal, se debe prestar especial atención al personal en
puestos que requieran de confianza, como personal de mantenimiento y los
administradores del sistema informático,
§ Sensibilización y formación,
§ Obligaciones legales y reglamentarias,
§ Subcontratación de gestión, y
§ Manejo de incidentes
1.2.2.3 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD INFORMÁTICA
1.2.2.3.1 Funciones y responsabilidades
La seguridad informática es un tema interdisciplinario y relevante para todos los
proyectos de TI y el sistema y los usuarios de TI en una organización. Una
distribución adecuada y delimitación de responsabilidades debe garantizar que
todas las tareas importantes se realizan de una manera eficiente.
31
Aunque este objetivo se puede lograr a través de diversos esquemas de
organización, depende del tamaño y de la estructura de una organización, para lo
cual se puede utilizar los siguientes medios:
§ Un comité de seguridad de TI que generalmente resuelve los problemas
interdisciplinarios y aprueba las directrices y normas, y
§ Un oficial de seguridad de TI quien actúa como centro de todos los
aspectos de seguridad de TI en una organización.
Tanto el comité de seguridad de las TI como el oficial de seguridad de TI, deben
tener bien definidos los deberes y ser lo suficientemente claros como para
asegurar el compromiso con la política corporativa de seguridad de TI. La
organización facilitará unas líneas claras de comunicación. La responsabilidad y la
autoridad del oficial de seguridad de la empresa de TI y los derechos deben ser
aprobadas por el foro de seguridad de TI. La realización de estas tareas puede
ser complementada con la utilización de consultores externos.
1.2.2.3.2 Comité de seguridad de TI
Ese comité debería involucrar a las personas con las habilidades adecuadas para
identificar las necesidades, la formulación y los fines de las políticas, la
elaboración del programa de seguridad, los logros y dirigir la empresa de TI
responsable de la seguridad. Es posible que sea un comité, o un comité de
seguridad de TI, por separado, si así se decide. El papel del comité es:
§ Asesorar al comité de dirección de TI en relación con la planificación
estratégica de seguridad,
§ Formular una política de seguridad corporativa de TI en apoyo de la
estrategia de TI y obtener la aprobación del comité de dirección de TI.
§ Traducir la política de seguridad corporativa en un programa de seguridad
de TI.
§ Supervisar la aplicación del programa de seguridad de TI.
§ Evaluar la efectividad de la política de seguridad corporativa de TI.
§ Promover el conocimiento de los problemas de seguridad de TI.
§ Asesorar sobre los recursos (personas, dinero, conocimiento, entre otras.)
necesarios para apoyar el proceso de planificación y la ejecución de los
programas de seguridad de TI.
32
Para ser eficaz, el comité debería incluir a miembros con experiencia en
seguridad y los aspectos técnicos de los sistemas de TI, así como a
representantes de los proveedores y usuarios de los sistemas de TI.
Conocimientos y habilidades de todas estas áreas son necesarios para desarrollar
una práctica política de seguridad corporativa.
1.2.2.3.3 Oficial de Seguridad de TI
Ya que la responsabilidad de la seguridad de TI es compartida, existe el riesgo de
que, al final, nadie se sienta responsable en absoluto. Para evitar esto, la
responsabilidad debe ser asignada a un individuo específico. El oficial de
seguridad de TI debe actuar como el centro de todos los aspectos de la seguridad
de TI dentro de la organización. Puede existir una persona idónea que pueda
asumir las responsabilidades adicionales, aunque se recomienda que se designe
a un sustituto que lo remplace, de ser el caso. Es preferible seleccionar una
persona con experiencia en seguridad y en TI.
Las responsabilidades principales del jefe de la unidad son:
§ Supervisión de la aplicación del programa de seguridad de TI.
§ Enlace en la presentación de informes, entre el comité de seguridad de TI y
el oficial de seguridad.
§ Mantener la política de seguridad corporativa y las directrices.
§ La coordinación de las investigaciones de incidentes.
§ La gestión de las organizaciones en todo el programa de conocimiento.
§ Determinar los términos de referencia para los proyectos de TI y los
sistemas de seguridad de los oficiales (y de los relevantes agentes de
seguridad dentro del departamento de TI).
1.2.2.3.4 Usuarios de TI
Los Usuarios son responsables de:
§ utilizar los recursos de TI en conformidad con las políticas de TI, directrices
y procedimientos, y
§ proteger los activos de organizaciones de TIC en conformidad con las
políticas de seguridad de las TIC, las directivas y procedimientos.
33
1.2.2.3.5 Proyecto de Seguridad de los Oficiales de TI y Sistema de Seguridad de los
Oficiales de TI
Los proyectos individuales y los o sistemas deben tener a un responsable de la
seguridad, que generalmente se llama al agente de seguridad de TI. En algunos
casos, esto puede no ser una función de tiempo completo. La gestión funcional de
estos empleados estará a cargo del oficial de seguridad de TI (el departamento
oficial de seguridad de TI). El oficial de seguridad actúa como punto focal para
todos los aspectos de seguridad de un proyecto, un sistema o un grupo de
sistemas. Las principales responsabilidades del puesto son:
§ Enlace en la presentación de informes con el agente de seguridad
corporativa de TI (o, en su caso, con el departamento oficial de seguridad).
§ Emisión y mantenimiento de los proyectos de IT o de la política de
seguridad del sistema.
§ Desarrollo e implementación del plan de seguridad.
§ Efectuar día a día el seguimiento de la aplicación y el uso de las
seguridades de TI.
§ Iniciar y ayudar en las investigaciones de incidentes.
1.2.2.3.6 Compromiso
Es de vital importancia para la eficacia de la seguridad de TI que la gestión en
todos los niveles apoye los esfuerzos realizados por los individuos. El compromiso
de la organización con los objetivos de seguridad de TI incluye:
§ una comprensión de las necesidades globales de la organización
§ una comprensión de la necesidad de seguridad de TI dentro de una
organización
§ una demostración del compromiso con la seguridad de TI,
§ disposición para atender las necesidades de seguridad de TI,
§ la voluntad de asignar recursos para la seguridad de TI, y
§ la conciencia, al más alto nivel, de lo que significa la seguridad y su
contenido en alcance o magnitud
Los objetivos de la seguridad informática deben ser conocidos por toda la
organización. Cada empleado o contratista, debe saber su papel y su
34
responsabilidad frente a la seguridad informática y se encargará de la
consecución de esos objetivos.
1.2.2.3.7 Enfoque coherente
Un enfoque coherente de la seguridad informática se debe aplicar a todas las
actividades de desarrollo, mantenimiento y funcionamiento. La protección debe
garantizarse en todo el ciclo de vida de la información y de los sistemas de TI,
desde la planificación hasta la eliminación.
Una estructura organizativa, como la que se ilustra en la figura 3, se puede apoyar
en un enfoque armonizado para la seguridad de TI en toda la organización. Esto
tiene que ser apoyado por un compromiso con el uso de estándares. Las normas
pueden incluir a sectores internacionales, nacionales y regionales de la industria y
los estándares corporativos o de las normas deben ser seleccionados y aplicados
de acuerdo con las necesidades de seguridad de TI de la organización. Las
normas técnicas deben ser complementadas por las normas y directrices sobre su
aplicación, uso y gestión.
Las ventajas de usar estándares incluyen:
§ Integración de la seguridad,
§ Interoperabilidad,
§ Consistencia,
§ Portabilidad,
§ Las economías de escala, e
§ Interacción entre las organizaciones.
1.2.2.3.8 Integración de Seguridades de TI
Todas las actividades de seguridad de TI son más eficaces si se producen de
manera uniforme en toda la organización y desde el principio del ciclo de vida de
cualquier sistema de TI. El proceso de seguridad de TI es en sí un gran ciclo de
actividades y deben integrarse en todas las fases del ciclo de vida del sistema
TIC.
El ciclo de vida de un sistema de TI puede ser subdividido en cuatro fases
básicas. Cada una de estas fases se relaciona con la seguridad de TI de la
siguiente manera:
35
Planificación: las necesidades de seguridad de las TIC deben ser tratados
durante toda la planificación y la toma de decisiones de las actividades.
Adquisición: los requisitos de seguridad de TI deben integrarse en los procesos
en que los sistemas son diseñados, desarrollados, comprados, actualizados o
construidos de otra manera.
Pruebas: Las pruebas del sistema de TI deben incluir pruebas de los
componentes de seguridad de TI, las características y servicios. Componentes de
seguridad nuevos o modificados deben ser evaluados por separado para
asegurarse de que funcione como está diseñado, y ponerlas a prueba en el
entorno operativo, para asegurar que la integración de las TIC en el sistema no
afecten las propiedades de seguridad o características.
Las pruebas deben ser regulares durante la vida operativa del sistema.
Operaciones: Las seguridad de TI deben integrarse en el entorno operativo.
Como un sistema TI se utiliza para realizar su misión prevista, debe mantenerse,
actualizarse, también se realizarán una serie de mejoras que incluyen la compra
de nuevo hardware componentes o la modificación o la adición de software.
Además, el medio operacional cambia con frecuencia. Estos cambios en el medio
podrían crear nuevas vulnerabilidades del sistema que deben ser analizados y
evaluados, y ya sea mitigado o aceptada.
1.2.2.3.9 Funciones de la Gestión de seguridad de las TIC
El éxito de la gestión de seguridad de las TIC requiere que una serie de
actividades se llevarán a cabo. Estas actividades son las siguientes, que se
llevará a cabo como un proceso cíclico:
§ Planificación:
o determinar los requisitos de seguridad de las TIC de la organización,
o determinar los objetivos estrategias y políticas de seguridad de las
TIC de la organización,
o identificar los roles y responsabilidades dentro de la organización,
o desarrollo del plan de seguridad de las TIC,
o evaluación de riesgos.
o las decisiones de tratamiento del riesgo y la selección de
seguridades, y
36
o planificación de la continuidad
§ Implementación:
o la aplicación de seguridades,
o aprobación de sistemas de TI,
o desarrollar e implementar un programa de concienciación sobre la
seguridad, y
o revisar y supervisar la implementación y operación de las
salvaguardias,
§ Operación y mantenimiento:
o configuración de control y gestión del cambio,
o gestión de la continuidad,
o revisión, auditoría y vigilancia, y cumplimiento de control de
seguridad, y
o seguridad de la información de gestión de incidentes.
1.2.2.3.10 Condiciones culturales y medio ambientales
Se debe tener en cuenta la cultura y el entorno en el que opera la organización,
ya que éstas pueden tener un efecto significativo sobre el enfoque global de la
seguridad. Además, la cultura y el medio ambiente pueden tener un impacto en
aquellos que se encargan de la protección de las partes específicas de la
organización
1.2.2.4 GESTIÓN DE LA SEGURIDAD INFORMÁTICA
1.2.2.4.1 Proceso de Planificación y gestión
La planificación y gestión de la seguridad es el proceso general de establecer y
mantener un programa de seguridad de TI en la empresa. Este proceso debe
adaptarse de acuerdo a la forma de gestión, tamaño empresarial y diseño
organizacional. Las revisiones se las hacen conjuntamente con las actividades y
funciones.
Para definir correctamente la gestión de la seguridad informática se debe tener
claro los objetivos de la empresa y se debe crear una estructura organizacional
que apoye el éxito de los mismos.
37
1.2.2.4.2 Administración de riesgos
La Gestión de Riesgos incluye las siguientes actividades:
1. Determinar una estrategia general de gestión de riesgos adecuada a la
empresa en el contexto de la política de seguridad corporativa de TI
2. Seleccionar las garantías para los sistemas individuales como resultado de
las actividades de análisis de riesgos o de acuerdo a los controles de línea
base
3. Formular políticas de sistema de seguridad TI a partir de las
recomendaciones de seguridad, y si es necesario la actualización de
la política de seguridad corporativa de TI (y por lo tanto, el departamento
de seguridad de TI)
4. Construir planes de seguridad de TI para aplicar las seguridades, basado
en las políticas del sistema de seguridad ya aprobado.
1.2.2.4.3 Implementación
La aplicación de las seguridades necesarias para cada sistema de TI tiene que
ser hecho de acuerdo con el plan de seguridad de TI. La mejora de la
concienciación general de seguridad de TI, aunque muy a menudo descuidado, es
un aspecto importante para la eficacia de las garantías. Se debe dejar en claro
dos tareas, garantizar la aplicación y poner en práctica un programa
de concienciación sobre la seguridad.
1.2.2.4.4 Seguimiento
Las actividades que se deben llevar a cabo durante el seguimiento son:
§ Mantenimiento de las seguridades, para asegurar su funcionamiento
continuo y eficaz
§ Comprobar que las seguridades cumplan con las políticas y planes
aprobados
§ Control de activos, amenazas, vulnerabilidades y seguridades de los
diferentes cambios que se puedan detectar que pueden afectar los riesgos
§ Manejo de incidentes para asegurar la reacción adecuada a los eventos no
deseados
El seguimiento es una tarea continua, que debe incluir la revisión de las
decisiones anteriores.
38
1.2.2.4.5 Integración
La integración de la seguridad informática, todas las actividades de seguridad de
TI son más efectivas si se producen de manera uniforme en toda la organización y
desde el inicio del ciclo de vida de cualquier sistema de TI. El proceso de
seguridad es en sí misma un importante ciclo de actividades y deben integrarse
en todo lo que las fases del ciclo de vida del sistema. Mientras que la seguridad
es más eficaz si se integra en los sistemas de nuevo desde el principio, los
sistemas heredados y las actividades comerciales se benefician de la integración
de la seguridad en cualquier momento.
Un ciclo de vida del sistema de TI se puede subdividir en cuatro fases
básicas. Cada una de estas fases se relaciona con la seguridad informática de la
siguiente manera:
§ Planificación: las necesidades de TI de seguridad deben ser tratados
durante toda la planificación y las actividades de toma de decisiones.
§ Adquisición: los requerimientos de seguridad deben integrarse en los
procesos por los cuales los sistemas se han diseñado, desarrollado,
adquirido, mejorado o construido de otra manera. La integración de los
requisitos de seguridad en las actividades asegura que las características
de seguridad económica están incluidas en los sistemas en el momento
adecuado y no después.
§ Pruebas: Las pruebas de un sistema de TI debe incluir pruebas de los
componentes de seguridad de TI, las características y servicios. Los
componentes de seguridad nuevos o modificados deben ser evaluados por
separado para asegurar que funcione como está diseñado, y ponerlas a
prueba en el entorno operativo, para asegurar que la integración en el
sistema de TI no afecta a las propiedades o características de seguridad.
Las pruebas deben ser regulares durante la vida operativa del sistema.
§ Operaciones: Las seguridades de TI deben integrarse en el entorno
operativo. Como un sistema informático se utiliza para realizar su misión
prevista, por lo general se somete a una serie de mejoras que incluye la
compra de nuevos componentes de hardware o la modificación o la adición
de software. Además, el entorno operativo cambia con frecuencia. Estos
cambios en el medio ambiente puede crear nuevas vulnerabilidades del
39
sistema que deben ser analizados y evaluados, y ya sea mitigado o
aceptado. Igualmente importante es la eliminación segura o la reasignación
de los sistemas.
La seguridad de TI debe ser un proceso continuo de retroalimentación dentro de y
entre las fases del ciclo de vida un sistema informático.
1.2.2.5 ANÁLISIS ESTRATÉGICO DEL RIESGO
Cualquier organización que desee mejorar la seguridad debería poner en marcha
una estrategia para la gestión de riesgos que sea adecuada para su entorno, y
establecer los medios para hacer frente a los riesgos de manera efectiva. Es
necesaria una estrategia que centre sus esfuerzos de seguridad en donde se
precise así como un enfoque de costos y el tiempo requerido.
No es cuestión de recursos o de tiempo efectivo para llevar a cabo revisiones
detalladas en todos los sistemas, ni es eficaz, para hacer frente a graves riesgos.
Por tanto, un enfoque que ofrezca un equilibrio entre estos extremos implica la
realización de exámenes de alto nivel para determinar las necesidades de
seguridad de TI de los sistemas de análisis, a una profundidad consistente con
estas necesidades. Los requerimientos de seguridad de cualquier organización
dependen de su tamaño, del tipo de negocio que está haciendo y de su entorno y
la cultura. El análisis de riesgos corporativos como opción estratégica para ser
seleccionados, debe estar directamente relacionado con estos hechos.
En algunas situaciones, una organización puede decidir no hacer nada o aplazar
la aplicación de las garantías. Esta decisión de la gerencia sólo debe hacerse
después de que la organización ha completado su examen de alto nivel. No
obstante, si se toma una decisión, la administración debe ser plenamente
consciente de los riesgos e impactos adversos de los que pueden ser
responsables, y aún la probabilidad de un incidente no deseado que tenga lugar.
Sin este conocimiento, la organización sin darse cuenta puede estar en violación
de las leyes o reglamentos y puede exponerse a una posible pérdida. La decisión
y la justificación para no hacer algo o para posponer la aplicación de garantías
deben adoptarse sólo después de una seria consideración sobre estos asuntos y
otros posibles de efectos adversos.
40
Basándose en los resultados de los exámenes de alto nivel, las garantías para
mitigar los riesgos se pueden seleccionar con una de las cuatro opciones que se
describen a continuación. Las cláusulas siguientes ofrecen una explicación de las
ventajas y desventajas que proporciona cada opción:
1.2.2.5.1 Enfoque de referencia
La primera opción es seleccionar un conjunto de garantías para lograr un nivel
básico de protección para todos los sistemas. Una variedad de medidas de
seguridad estándar se sugiere en los documentos de referencia y códigos de
prácticas. Después de un examen de las necesidades básicas, estas medidas de
seguridad también se pueden adaptar a otros sistemas tales como las normas
internacionales y nacionales, las normas de la industria del sector o
recomendaciones, o alguna otra empresa con similitudes apropiadas (como los
objetivos de negocio, tamaño, sistemas informáticos y aplicaciones).
Las ventajas de esta opción son:
§ No existen los recursos necesarios para el análisis detallado de riesgos y el
tiempo y esfuerzo dedicado a la selección de garantías se reduce.
Normalmente, no se necesitan considerables recursos para identificar a las
garantías de referencia.
§ Las garantías de referencia, iguales o similares, pueden ser adaptadas
para los sistemas de muchos de ellos sin gran esfuerzo. Si un número
apreciable de sistemas de una organización opera en un entorno común, y
si las necesidades del negocio son comparables, las garantías de base
pueden ofrecer una solución costo-efectiva.
Las desventajas de esta opción son:
§ Si el nivel de referencia es demasiado alto, podría ser demasiado caro o
demasiado restrictivo de seguridad para algunos sistemas, y si el nivel de
referencia es demasiado bajo, podría no haber suficiente seguridad para
algunos sistemas.
§ Puede haber dificultades en la gestión de los cambios de seguridad
pertinentes. Por ejemplo, si se actualiza un sistema, puede ser difícil
determinar si las garantías de línea de base original son todavía
suficientes.
41
1.2.2.5.2 Enfoque informal
La segunda opción es llevar a cabo un análisis informal, pragmático del riesgo
para todos los sistemas. Un enfoque informal no se basa en los métodos
estructurados, pero aprovecha el conocimiento y la experiencia de los individuos.
Si la experiencia en seguridad interna no está disponible, los consultores externos
pueden hacer este análisis.
1.2.2.5.3 La ventaja de esta opción es:
§ No se requieren conocimientos adicionales. Es necesario aprender a
efectuar este análisis informal, y se realiza más rápido que un análisis
detallado de riesgos. Por tanto, este enfoque podría ser rentable y
adecuado para las organizaciones pequeñas.
1.2.2.5.4 Las des ventajas de esta opción es:
§ Sin un enfoque estructurado, la posibilidad de no identificar algunos riesgos
y las áreas de interés, aumenta.
§ Debido a la informalidad de este enfoque, los resultados pueden estar
influidos por las opiniones subjetivas y los prejuicios del evaluador.
§ Hay muy poca justificación para las garantías seleccionadas, por tanto, los
gastos en materia de garantías serían de difícil justificación.
§ Puede ser difícil de manejar los cambios de seguridad pertinentes en el
tiempo sin revisiones repetidas.
1.2.2.5.5 Análisis detallado de riesgos
La tercera opción es realizar un análisis detallado de riesgos para todos los
sistemas. Análisis detallado de riesgos implica la identificación y valoración de
activos y evaluación de los niveles de amenazas a los activos y las
vulnerabilidades de esos activos. Esta entrada se utiliza para evaluar los riesgos.
Al hacer esto, el análisis de riesgo compatible con la identificación, selección y
adopción de garantías, se justifica por los riesgos identificados a los activos y la
reducción de los riesgos a un nivel aceptable, definido por la dirección. El análisis
detallado de riesgos puede ser un proceso que consume muchos recursos y, por
tanto, las necesidades de cuidar el establecimiento de límites y la atención
constante de la gestión.
42
1.2.2.5.6 Las ventajas de esta opción son:
§ Se identifica que un nivel de seguridad es apropiado para las necesidades
de seguridad de cada sistema.
§ La gestión de los cambios de seguridad pertinentes se beneficiará de la
información adicional obtenida a partir de un análisis detallado de riesgos.
1.2.2.5.7 Las desventajas de esta opción son:
§ Se necesita una cantidad considerable de tiempo, esfuerzo y experiencia
para obtener resultados viables.
1.2.2.5.8 Enfoque combinado
La cuarta opción consiste en identificar primero los sistemas que están en alto
riesgo o críticas para las operaciones de negocio, con un riesgo de elevado nivel
de enfoque en el análisis. En base a estos resultados, los sistemas se dividen en
aquellos que requieren un análisis detallado de riesgos para lograr una protección
adecuada y aquellos para los que la protección de línea de base es suficiente.
Esta opción es una combinación de los mejores puntos de las opciones descritas
en el enfoque de referencia y en el análisis detallado de riesgos. Por tanto,
proporciona un buen equilibrio entre la reducción del tiempo y el esfuerzo en la
identificación de las garantías, mientras que se asegura que todos los sistemas
están protegidos adecuadamente.
1.2.2.5.9 Las ventajas de esta opción son:
§ El uso de un método simple de alto nivel para reunir la información
necesaria antes de que se hayan comprometido importantes recursos es
más probable que se acepte el programa de gestión de riesgos.
§ Debe construirse una imagen inmediata estratégica del programa de
seguridad de la organización, que pueda ser usada como una ayuda para
una buena planificación.
§ Los recursos y el dinero pueden ser aplicados en los que serán los
sectores más beneficiosos y en los sistemas que puedan estar en alto
riesgo y deban ser tratados a tiempo.
43
1.2.2.5.10 La desventaja de esta opción es:
§ Si el análisis de un alto nivel de riesgo conduce a resultados erróneos,
algunos sistemas para los cuales se necesita un análisis detallado de
riesgos, puede ser que no haya sido utilizado. Esto es poco probable si los
resultados de los análisis de nivel de riesgo elevado son controlados
adecuadamente, pero en cualquier caso, estos sistemas todavía estarían
cubiertos por las garantías de referencia.
En muchos casos esta opción ofrece el enfoque más rentable y es una opción de
análisis de riesgo muy recomendable para la mayoría de las organizaciones.
1.2.2.6 RECOMENDACIONES DE SEGURIDAD TI
Cualquiera de los enfoques anteriores debe proporcionar una serie de
recomendaciones para reducir los riesgos de seguridad a un nivel aceptable.
Estas recomendaciones han de ser aprobadas por la administración y deben
incluir:
§ Los criterios para determinar los niveles aceptables de riesgo que los
sistemas de IT consideran,
§ La selección de las garantías que reduzcan los riesgos a un nivel
aceptable,
§ Los beneficios relacionados con la aplicación de estas medidas de
seguridad, y la reducción de riesgos alcanzados por las mismas, y
§ La aceptación de los riesgos residuales que queden tras la implementación
de todas estas garantías.
1.2.2.6.1 Selección de seguridades
Hay varios tipos de seguridades: las destinadas a prevenir, reducir, controlar,
detectar o corregir los incidentes no deseados, y las que permiten recuperarse de
ellas. La prevención puede incluir la disuasión de acciones no deseadas y las
actividades que aumenten la conciencia de seguridad. Las principales áreas,
donde las garantías son aplicables y se presentan algunos ejemplos para cada
área:
§ El hardware (copia de seguridad, claves),
§ El software (firma electrónica, registro, herramientas anti-virus),
§ Comunicaciones (firewalls, encriptación de datos),
44
§ Entorno físico (vallas, placas),
§ El personal (la conciencia del personal, procedimientos para la solución de
problemas de los empleados), y Administración (autorización, disposición
de control de licencias de hardware).
Las garantías no son independientes la una de la otra y con frecuencia trabajan
en combinación. El proceso de selección debe considerar la garantía de las
interdependencias. Durante la selección de garantías, se debe comprobar que no
hay brechas restantes. Estas brechas permiten eludir las garantías existentes y no
detienen las amenazas que causan daño accidental.
Para los nuevos sistemas o cuando los cambios importantes se están realizando
a los sistemas existentes, el hecho de garantizar la selección puede incluir una
arquitectura de seguridad. Una arquitectura de seguridad describe cómo los
requisitos de seguridad tienen que ser satisfechos por un sistema informático, que
a su vez, sea parte de la arquitectura general del sistema. La misma se ocupa de
las cautelas técnicas precisas, teniendo en cuenta los aspectos no técnicos.
Todas las garantías requieren una gestión para garantizar un funcionamiento
eficaz y numerosas garantías necesitará el apoyo administrativo para su
mantenimiento. Estos factores deberían tenerse en cuenta durante el proceso de
selección de garantías.
Es importante que las garantías se apliquen eficazmente y sin causar un uso
indebido ni gastos de gestión. Si las garantías están provocando cambios
significativos, su aplicación debe estar vinculada a un programa de concienciación
sobre la seguridad, la gestión de cambios y la configuración de la gestión.
Aceptación de Riesgo
Después de la aplicación de las garantías seleccionadas, siempre habrá un riesgo
residual. Esto se debe a que ningún sistema puede ser absolutamente seguro, y a
que algunos activos se han dejado sin protección intencionalmente (por ejemplo,
debido al bajo riesgo asumido o a los altos costos de la protección recomendada
en relación con el valor estimado del activo a proteger).
El primer paso del proceso de aceptación del riesgo es la revisión de las garantías
seleccionadas para identificar y evaluar todos los riesgos residuales. El siguiente
paso consiste en clasificar los riesgos residuales entre los que se consideran
"aceptables" y los que son "inaceptables" para la organización.
45
Es obvio que no se pueden tolerar los riesgos inaceptables, por lo que las
garantías adicionales que limiten el impacto o las consecuencias de esos riesgos
deben ser considerados. En cada uno de estos casos, se debe hacer una decisión
de negocios. Ya sea que el riesgo o el costo de las garantías sea juzgado
"aceptable", esta situación reduce el riesgo a un nivel aceptable.
1.2.2.7 SISTEMA DE POLÍTICAS DE SEGURIDAD TI
Las políticas desarrolladas por la seguridad del sistema deben estar basadas en
la política de seguridad corporativa y departamental. Estas políticas de seguridad
del sistema comprenden un conjunto de principios y normas para la protección de
los sistemas y servicios. Las políticas deben ser implementadas por la aplicación
de las garantías adecuadas para los sistemas y servicios afín de asegurar que un
nivel adecuado de protección.
Las directivas del sistema de seguridad de TI deben ser aprobadas por la alta
dirección como establecen con carácter obligatorio los principios y normas que
garantizan que los recursos financieros y humanos están comprometidos con su
aplicación y cumplimiento.
Las cuestiones clave a considerar en la determinación de la política de cada
sistema de seguridad de TI son:
§ Definición de lo que se considerada sistema informático y su límite.
§ La definición de los objetivos de negocio que se consiguen con el sistema,
ya que pueden tener un impacto en la política de seguridad para el sistema
y en la selección y aplicación de las garantías.
§ Los impactos potenciales de negocios adversos:
o Falta de disponibilidad, la negación o destrucción de los servicios o
bienes, incluyendo la información,
o La modificación no autorizada de información o software, y
o La divulgación no autorizada de la información, con consecuencias
cuantitativas, como la pérdida de dinero directa o indirectamente, así
como las consecuencias cualitativas, tales como la pérdida de clientela,
pérdida o peligro para la vida, respeto a la privacidad personal, entre
otras.
§ Nivel de inversión en TI.
46
§ Una amenaza importante para el sistema de TI y la información que
maneja,
§ Vulnerabilidades, incluyendo el peligro de las amenazas identificadas y las
debilidades que deja el tema en el sistema de TI.
§ Garantías de seguridad necesarias, que son proporcionales a los riesgos
identificados.
§ Los costos de la seguridad informática, es decir los gastos de la protección
de los activos de TI, el costo de la seguridad informática debe ser
considerado como parte del costo de la propiedad del sistema informático
§ Relación con los principios de selección y para los proveedores de
subcontratación (por ejemplo, centros de cómputo, el apoyo del PC).
La seguridad de TI necesita un enfoque planificado y no debe considerarse
de forma aislada, pues debería figurar en el proceso de planificación
estratégica, lo que garantiza que la seguridad es planeada y diseñada en el
sistema desde el principio. Añadir las garantías más tarde, en la mayoría
de las situaciones, será más costoso y menos práctico.
1.2.2.8 PLAN DE SEGURIDAD TI
Un plan de seguridad es un documento que define las acciones coordinadas para
llevar a cabo una política de seguridad de TI dentro de la organización. Este plan
debe contener las principales acciones que se emprenderán en el corto, mediano
y largo plazos, y los costos asociados, en términos de inversiones: costos de
operación, la carga de trabajo, entre otras., y un calendario de aplicación del
tiempo. Debe, en consecuencia, incluir:
§ Una arquitectura de seguridad global y su diseño,
§ Una breve reseña del sistema de TI para mantener la coherencia con los
objetivos de seguridad de la organización, deberá proteger e impedir que
se produzca un máximo de pérdidas financieras, la vergüenza, el deterioro
de la imagen de la empresa, entre otras.,
§ La identificación de las garantías correspondientes a los riesgos evaluados,
se conserva y debe ser aprobada por la administración,
§ Una evaluación del nivel real de confianza en las garantías que incluye la
determinación de su eficacia.
47
§ una descripción general de la evaluación de los riesgos residuales en el
contexto del sistema dado o de su aplicación,
§ La identificación y definición de acciones prioritarias con sus respectivas
garantías con el fin de aplicarlas.
§ Un plan de trabajo detallado para la aplicación de garantías, incluidos las
prioridades, el presupuesto y los horarios.
§ Las actividades de control de proyectos, que incluyan:
§ La comisión de recursos y asignación de responsabilidades, y
§ La definición de los procedimientos de los informes de progreso
§ La conciencia de seguridad y los requisitos de capacitación para el
personal de TI y los usuarios finales
§ Requisitos para el desarrollo de operativos de seguridad y procedimientos
de administración.
Además, el plan debe incluir los procedimientos que definen las condiciones y
acciones para la validación de cada uno de los puntos anteriores, incluyendo la
modificación del propio plan.
1.2.2.9 IMPLEMENTACIÓN DE SEGURIDADES
Después de haber establecido un plan de seguridad de TI, es necesario ponerlo
en práctica. Por lo general, el sistema oficial de seguridad de TI es responsable
de ello. Se deben tener en cuenta los objetivos durante la implementación de
seguridad. Asimismo, debe asegurarse que:
§ El costo de las garantías permanezca dentro del rango aprobado.
§ Las garantías se ejecuten correctamente como lo exige el plan de
seguridad de TI.
§ Las garantías son operadas y administradas como lo requiere el plan de
seguridad de TI.
La mayoría de las garantías técnicas debe complementarse con los
procedimientos operativos y administrativos, y no se pueden imponer por medios
puramente técnicos. Por tanto, los procedimientos deben ser apoyados y
ejecutados por la línea gerencial.
La concienciación sobre la seguridad y la formación también se consideran una
medida de garantías. Debido a su importancia, la conciencia de seguridad será
48
estudiada más adelante. Mientras que la conciencia de seguridad se aplica a todo
el personal, la formación específica de seguridad es necesaria para:
§ El personal responsable del desarrollo de sistemas de TI
§ El personal responsable de la operación de los sistemas de TI
§ El proyecto de TI y los oficiales de seguridad del sistema
§ El personal responsable de la administración de la seguridad, por
ejemplo, para el control de acceso.
El proceso formal para aprobar la aplicación de las garantías especificadas en el
plan del sistema de seguridad de TI debe tener lugar, cuando la ejecución del plan
de seguridad se ha completado. Cuando se obtenga la aprobación es porque la
autorización está dada por el sistema informático o servicio que se puso en
funcionamiento. El proceso de aprobación, en algunas comunidades, se refiere a
la acreditación del sistema de TI.
Cualquier cambio significativo en un sistema o servicio debe conducir a un nuevo
control, volver a comprobar y luego a la aprobación del sistema o servicio.
1.2.2.10 IMPORTANCIA DE LA SEGURIDAD DEL CONOCIMIENTO
El programa de sensibilización de seguridad debe aplicarse en todos los niveles
de la organización, desde la alta dirección a los usuarios. Sin la aceptación y
participación del personal a nivel de usuario, el programa de concienciación de
seguridad no puede tener éxito. Los usuarios deben entender su importancia para
el éxito del programa.
El programa de sensibilización debe pasar en el conocimiento de la política de
seguridad corporativa y asegurar una comprensión completa de las directrices de
seguridad y las acciones apropiadas. Además, un programa de concienciación de
seguridad debe cubrir los objetivos del plan de seguridad de la empresa. El
programa debe abordar al menos los siguientes temas:
§ Las necesidades básicas de protección de la información.
§ Implicación de los incidentes de seguridad para el usuario, así como la
organización.
§ Los objetivos detrás, y una explicación de la política de seguridad de TI
corporativa y la estrategia de gestión de riesgos, lo que lleva a la
comprensión de los riesgos y medidas preventivas.
49
§ El plan de seguridad de TI para implementar y comprobar las garantías.
§ Clasificación de la información
§ Las responsabilidades de los propietarios de los datos
§ Las responsabilidades, las descripciones de puestos y procedimientos
§ La necesidad de informar e investigar las violaciones de la seguridad o sus
intentos.
§ Las consecuencias de no actuar de una manera autorizada (incluyendo
acciones disciplinarias)
§ Verificar el cumplimiento de la seguridad
§ Gestión de cambios y configuración.
Un efectivo programa de conciencia de la seguridad debe utilizar una amplia
variedad de medios de comunicación, como folletos, manuales, afiches, videos,
boletines informativos, talleres, seminarios y conferencias. Es importante que la
aplicación del programa de sensibilización considere los aspectos sociales,
culturales y psicológicos y que se desarrolle una cultura que reconozca
plenamente la importancia de la seguridad.
La concienciación sobre la seguridad debe preocupar a todos dentro de una
organización y debe influir en el comportamiento, y conducir a una mayor
responsabilidad de sus miembros. Un factor crítico es la gestión consciente de la
necesidad de la seguridad. Es parte del trabajo de los gerentes para garantizar la
concienciación sobre seguridad por parte de su personal. Por tanto, tendrá que
planificarse el presupuesto correspondiente. En el caso de las grandes
organizaciones, la responsabilidad de la conciencia de seguridad se le debe dar al
oficial de seguridad corporativa de TI.
El objetivo de un programa de sensibilización es convencer a las personas
afectadas que los riesgos significativos existen y que la pérdida de información, o
la modificación o divulgación no autorizada, podría tener consecuencias
importantes para la organización y sus empleados.
Es preferible organizar sesiones de sensibilización relacionadas con el entorno de
la organización.
Algunos ejemplos relevantes se deben dar, es decir ejemplos de casos referidos a
la empresa, que sean fáciles de entender y tengan un impacto mayor que los
50
casos denunciados por los medios de comunicación. Estas sesiones también
proporcionan a los empleados mayores oportunidades para interactuar con el
instructor.
El cumplimiento del empleado de las garantías debe ser monitoreado para medir
el impacto de las sesiones de concienciación sobre la seguridad y para evaluar el
contenido de la sesión. Si el resultado no es satisfactorio, el contenido de las
sesiones de concienciación sobre la seguridad debe modificarse, en
consecuencia.
Las sesiones de concienciación sobre la seguridad se deben repetir
periódicamente para actualizar tanto al personal existente cuanto para informar al
personal nuevo. Además, cada nuevo empleado, cada persona recién transferida,
y cada empleado recién ascendido, deben ser instruidos en sus nuevas
responsabilidades. También es aconsejable integrar en otros cursos los aspectos
de seguridad de TI. Se hace hincapié en que la conciencia de seguridad es un
proceso continuo y nunca puede ser considerado como completo.
Dado que el proceso de concienciación de la seguridad es un proceso abierto
permanentemente a su continuidad es necesario establecer un mecanismo de
seguimiento para medir su grado de cumplimiento y de eficacia y así permitir,
incluso los reajustes sustantivos y de procedimiento al programa de
concienciación.
1.2.2.11 SEGUIMIENTO
Todas las seguridades requieren mantenimiento para garantizar su
funcionamiento y seguir funcionando de una manera predecible y adecuada. Este
aspecto de la seguridad es uno de los más importantes, pero por lo general
recibe la menor atención. Muy a menudo, el sistema o servicio que ya existe y de
seguridad, se añade en el último momento y luego se olvida. Hay una tendencia
a ignorar las salvaguardias que se han implementado y lo mejor de los casos, se
presta poca atención al mantenimiento o la mejora de la seguridad. Por otra
parte, la obsolescencia de las salvaguardias deben ser descubiertos por las
acciones planificadas más que tropezó. Además, el cumplimiento de control de
seguridad, el control de la entorno operativo, revisiones de registro de registro y
51
manejo de incidentes también son necesarias para garantizar de seguridad en
curso.
1.2.2.11.1 Mantenimiento
El mantenimiento de las salvaguardias, que incluye la administración, es una
parte esencial de un programa de seguridad de la organización. Es
responsabilidad de todos los niveles de gestión para asegurar que:
§ Los recursos se asignan de la organización para el mantenimiento de las
garantías, Salvaguardias • Periódicamente se re-validada para asegurarse
de que siguen para llevar a cabo según lo previsto,
§ Garantías se actualizan cuando se descubren nuevas necesidades,
§ La responsabilidad para el mantenimiento de las garantías está claramente
establecida,
§ Modificaciones en el hardware y el software y las actualizaciones a un
sistema de TI no cambian el intención de rendimiento de las garantías
existentes, y
§ Avanzar en la tecnología no introduce nuevas amenazas o
vulnerabilidades.
§ Cuando las actividades de mantenimiento se llevan a cabo se ha descrito
anteriormente, las garantías existentes seguir para llevar a cabo según lo
previsto y negativos impactos costosos evitarse.
1.2.2.11.2 Cumplimiento y Seguridad
Comprobación de cumplimiento de la seguridad, también conocida como auditoría
de seguridad o revisión de la seguridad es un muy actividades importantes que
se utilizan para asegurar la conformidad y el cumplimiento del sistema de
seguridad de TI plan.
Para asegurarse de que el nivel adecuado de seguridad de TI sigue siendo
eficaz, es esencial que implemente garantías para cumplir, y seguir ajustándose,
con las garantías especificadas en el proyecto o plan de seguridad del sistema de
TI. Para todos los proyectos de TI y los sistemas de esto debe ser cierto en:
§ Diseño y desarrollo,
§ La vida útil, y
§ La sustitución o eliminación.
52
El cumplimiento de los controles de seguridad puede realizarse utilizando
personal externo o interno (por ejemplo, auditores) y se basan fundamentalmente
en el uso de listas de control en relación con el proyecto de TI o el sistema
política de seguridad.
Comprobación de cumplimiento de la seguridad debe ser planificada e integrada
con otras actividades previstas.
Controles sobre el terreno son especialmente útiles para determinar si el personal
de apoyo operativo y de los usuarios son conformes con los controles de
salvaguardias específicas y los procedimientos.
Los cheques deben hacerse para asegurar que las medidas de seguridad
correctas sean implementadas, se aplica correctamente, se usa correctamente y,
en su caso, la prueba. Donde algunas garantías se encuentran a no ser
conformes de seguridad, un plan de acción correctiva debe ser producido, que se
activa, y los resultados revisados.
1.2.2.11.3 Monitoreo
El monitoreo es una parte crucial del ciclo de seguridad de TI. Si se lleva a cabo
correctamente, se le da al encargado de la gestión una visión clara de:
§ Lo que se ha logrado en comparación con las metas y los plazos
establecidos.
§ Si los logros son satisfactorios y las decisiones específicas se lograron.
Todos los cambios en los activos, las amenazas, vulnerabilidades y salvaguardas
podrían tener un impacto significativo efecto sobre los riesgos y la detección
temprana de los cambios de los permisos de las medidas preventivas a adoptar.
Muchas medidas de producción de los registros de la producción de eventos de
seguridad pertinentes. Estos registros deben, en un mínimo, de forma periódica
visto, y si es posible analizar mediante técnicas estadísticas que permitan la
detección temprana de los cambios de tendencia, y la detección de eventos
adversos recurrentes. El uso de la registros sólo para el análisis posterior al
evento es hacer caso omiso de un mecanismo de salvaguardia potencialmente
muy poderosa.
Incluirá también a los procedimientos para informar al agente de seguridad de TI
relevantes y a la gestión sobre una base regular.
53
1.2.2.11.4 Manejo de Incidentes
Es inevitable que los incidentes de seguridad se producirán. Cada incidente debe
ser investigado a profundidad acorde con el daño causado por el incidente.
Manejo de incidentes proporciona una capacidad de reaccionar a la interrupción
accidental o deliberada de la operación normal del sistema de TI. En
consecuencia, una notificación de incidentes y el plan de investigación deben ser
desarrollados, que es adecuado para el conjunto de los sistemas de TI de la
organización y servicios. Además, se debe considerar al Inter- esquemas de
organización de información para obtener una visión más amplia de la ocurrencia
de los incidentes de seguridad y las amenazas relacionadas, y sus efectos
asociados sobre los activos de TI y operaciones de negocio.
Los objetivos fundamentales durante la investigación de incidentes de seguridad
de TI son:
§ reaccionar a un incidente de una manera sensata y eficaz, y
§ aprender de los incidentes para que los futuros eventos adversos similares
pueden ser excluidos.
Un plan preparado de acciones predefinidas con las decisiones que permiten a
una organización para reaccionar en tiempo razonable para limitar aún más los
daños y en su caso continuar con el negocio reducido con medios auxiliares. Un
plan para el manejo de incidentes debe incluir la exigencia de una relación
cronológica documentación de todos los eventos y acciones, lo que debería
conducir a la identificación de la fuente del incidente. Esta es una condición
previa para alcanzar el segundo objetivo, es decir, para reducir el riesgo futuro la
mejora de las garantías. Un efecto positivo de un incidente es que aumenta la
disponibilidad para invertir en garantías.
Es importante que un análisis de incidentes sea ejecutado y documentado, se
deben incluir las siguientes preguntas:
§ ¿Qué ha sucedido, y en qué momento?
§ ¿El personal de seguir el plan?
§ ¿Fue la información requerida a disposición del personal a tiempo?
§ ¿Cuál sería el personal se propone hacer de manera diferente la próxima
vez?
54
La respuesta a estas preguntas le ayudará a comprender el incidente. Esto a su
vez se debe utilizar para reducir los riesgos mediante la mejora de las
correspondientes políticas de seguridad y planes (por ejemplo, mejorar la
seguridad- guardias, reducir la vulnerabilidad y la adaptación del programa de
sensibilización de seguridad).
55
2 PLAN DE SEGURIDAD DE LA INFORMACIÓN
2.1 CONSIDERACIONES PARA EL DESARROLLO DE UN PLAN
DE SEGURIDAD INFORMÁTICO
El desarrollo del plan de seguridad de la información aplicado en el caso de
estudio está orientado a servir como una guía para las organizaciones
desarrolladoras de software, proporcionándole las directrices necesarias para la
gestión de su seguridad informática, y permitirá conocer como se gestiona
actualmente.
El plan se basará en la Norma ISO/IEC 13305, considerando las cinco partes de
este estándar como las directrices que fundamentaran el desarrollo del plan
tomando en cuenta las versiones actuales de las partes de este estándar y en los
estándares que reemplazaron algunas de estas partes.
El presente plan tratara de ser lo más genérico posible para abarcar a las
pequeñas y medianas organizaciones de desarrollo de software que posean una
infraestructura en Tecnologías de Información con un tráfico de información
considerable, basándose en los problemas o deficiencias reales de nuestro medio
con respecto a la seguridad de la información. El plan se aplicará y validará a una
empresa mediana de desarrollo de software la cual será el caso de estudio
específico.
El presente plan procura servir de ayuda para que las organizaciones de
desarrollo de software puedan realizar un correcto análisis del manejo de la
seguridad de la información y a su vez aportar a la seguridad que debería tener su
infraestructura, de manera que puedan brindar seguridad, continuidad,
confiabilidad y servicio de calidad.
2.2 ELABORACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA
De acuerdo a las consideraciones mencionadas anteriormente se definirá una
introducción, alcance y objetivos, para luego continuar con el desarrollo del plan
de seguridad informática.
56
2.2.1 INTRODUCCIÓN
El acelerado crecimiento que tienen las empresas de desarrollo de software hace
imprescindible el uso de Sistemas Informáticos, y la definición de planes de
Seguridad Informática para salvaguardar su principal bien. Por tal motivo se ven
en la necesidad de usar estándares para definir y aplicar los Planes de Seguridad.
En este caso se plantea el uso de ISO 13335 que abarca procesos y definiciones
de estándares ya conocidos como ISO 17799, ISO 27000 entre otros.
El propósito de desarrollar un plan de seguridad informática es que sirva de guía
para gestionar adecuadamente la información, además da pautas de las
prioridades para manejar los riesgos de seguridad de la información.
El plan de seguridad informática se debe aplicar tomando en cuenta la estructura
organizacional, el tamaño y objetivo de la misma y el tipo de información
manejada por la misma.
Se debe tomar en cuenta que la implementación de un plan de seguridad
informática requiere grandes recursos, por ello las organizaciones que lo
implementen deben estar conscientes sobre sus razones para implementarlo. La
razón debe estar documentada con los costos y los beneficios que esta
implementación supondrá.
2.2.2 ALCANCE DEL PLAN
El alcance del plan dependerá totalmente de la organización a la que se aplique,
puede abarcar a toda la empresa, uno o varios departamentos, un proceso de la
organización o simplemente a un sistema de TI.
Luego de determinar el alcance se debe identificar los activos de información que
serán la parte esencial del plan ya que en base a estos se seleccionaran y
definirán las políticas de seguridad.
2.2.3 POLÍTICAS DE SEGURIDAD INFORMÁTICA
Una vez que se tiene claro el alcance, la empresa define las políticas de
seguridad para empezar la implementación del plan de seguridad de la
información en la empresa.
57
En base al alcance que se haya definido, ya sea el gerente o el jefe del
departamento o el administrador del sistema de TI deben aprobar las políticas, y
asegurarse que estas se hayan difundido a todos los involucrados, se haya
entendido su efecto y se las lleve a cabo.
2.2.4 ENFOQUE PARA LA GESTIÓN DEL RIESGO
Dentro de los 3 tipos de enfoque que se pueden aplicar en base al estándar
13335 que se expusieron en el punto 1.2.2.5 se debe asegurar que el enfoque
seleccionado sea el apropiado para atender los requerimientos de la organización.
Se debe detallar claramente el cálculo del riesgo para que atienda a los
requerimientos de la organización y objetivamente en base al alcance que se
haya definido ya que un enfoque muy genérico podría subestimar aspectos de
riesgos importantes y por otra parte el exceso de detalles podría tornarse en un
exceso de trabajo innecesario.
Se debe plantear un equilibrio entre la confidencialidad, disponibilidad e
integridad, ya que por ejemplo si la información de un computador está protegida
por demasiadas contraseñas difíciles de recordad o la persona que conoce las
contraseñas de la información no se encuentra, se pierde la disponibilidad; en
cambio si esta información no tiene ninguna contraseña o seguridad y es
accesible por cualquier persona, se pierde confidencialidad.
2.2.5 PROCESO DE CÁLCULO DE RIESGO
El proceso del cálculo del riesgo de seguridad informática para la organización
incluye el análisis y la evaluación del riesgo.
2.2.5.1 ANÁLISIS DE RIESGO
Para el análisis del riesgo se deben realizar las siguientes actividades:
§ Identificar los activos
§ Identificar requerimientos legales y comerciales que sean relevantes para
los activos identificados
§ Tasar los activos identificados considerando los requerimientos legales y
comerciales, así como los impactos resultantes de una perdida por
confidencialidad, integridad y disponibilidad
§ Identificar amenazas y vulnerabilidades para cada activo identificado
58
§ Calcular la posibilidad de que las amenazas y vulnerabilidades ocurran
2.2.5.2 EVALUACIÓN DEL RIESGO
Para el análisis del riesgo se deben realizar las siguientes actividades:
§ Calcular el riesgo
§ Identificar el significado de los riesgos. Esta actividad se debe realizar
definiendo criterios y evaluando los riesgos en base a una escala que se
haya definido.
2.2.6 ANÁLISIS DEL RIESGO
2.2.6.1 IDENTIFICACIÓN DE ACTIVOS
Identificar los activos de información de la organización, que están dentro del
alcance definido, será el punto clave para la implementación de un plan de
seguridad de información, ya que en base a estos se definirán las políticas de
seguridad.
Los activos de información son muy amplios por lo cual comprender claramente
que es un activo de información es fundamental para realizar el correcto análisis y
evaluación de los riesgos sobre el mismo.
Según el estándar ISO 27005:2008 los activos de información se clasifican en las
siguientes categorías:
§ Activos de Información (datos, manuales de usuario, entre otros.)
§ Documentos de papel (contratos, acuerdos de confidencialidad, licencias,
entre otras.)
§ Activos de software (aplicaciones, software de sistemas, componentes,
entre otras.)
§ Activos físicos (computadores, medios magnéticos, equipos de hardware,
entre otras.)
§ Personal (clientes, empleados)
§ Imagen de la compañía
§ Servicios (comunicaciones, entre otras.)
El o los encargados de realizar la identificación y tasación de activos deben ser
personas que estén involucradas con los procesos que se encuentran dentro del
alcance definido para la aplicación del plan, así como también los responsables
59
de los activos deben apoyar al momento de realizar la identificación y tasación de
los activos de información
2.2.6.2 IDENTIFICACIÓN DE REQUERIMIENTOS LEGALES Y
COMERCIALES
Al momento de identificar los activos de información se debe analizar los
requerimientos contractuales de los activos para saber si existen requerimientos
legales o comerciales sobre estos activos identificados y de ser el caso se debe
revisar si dichos requerimientos legales involucran a otros activos de información.
2.2.6.3 TASACIÓN DE ACTIVOS
Una práctica comúnmente utilizada al momento de realizar la tasación de activos
es planteando la pregunta “¿Cómo una falla o perdida en un activo especifico
afectan a la confidencialidad, la integridad y la disponibilidad?”, para esto se debe
establecer una escala del 1 al 5, en la cual 1 significa “muy poco” y 5 significa
“muy alto”.
A continuación en la tabla 2.1 se presenta un ejemplo de la tasación de activos de
información.
Activos de
información Confidencialidad Integridad Disponibilidad Promedio
Administrador de
base de datos 2 4 5 4
Archivos de
configuración 4 5 1 3
Base de
información 5 5 5 5
Discos de
instalación 1 1 3 2
Equipo de trabajo 5 5 5 5
Sistema
telefónico 1 1 2 1
Técnico 5 2 5 4
Tabla 2.1 Tasación de activos de información Fuente: Elaborada por la autora
60
Seguido de esto se debe realizar la identificación de los propietarios de cada uno
de los activos identificados como muestra el ejemplo de la tabla 2.2.
Activos de información Propietarios
Administrador de base de datos Software
Archivos de configuración Tecnología
Base de información Software
Discos de instalación Tecnología
Equipo de trabajo Servicios profesionales
Sistema telefónico Administración
Técnico Servicios profesionales
Tabla 2.2 Activos de Información y propietarios Fuente: Elaborada por la autora
Como se mencionó anteriormente es recomendable que el responsable o
propietario del activo de información se encargue de definir en los activos de
información los siguientes elementos:
§ la clasificación de seguridad
§ los derechos de acceso a los activos
§ establecer los sistemas de control
§ las reglas para el uso del activo describiendo:
o acciones permitidas y
o acciones prohibidas en el uso cotidiano
2.2.6.4 IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES
Todos los activos identificados en una organización están propensos a las
amenazas, las amenazas pueden clasificarse de varias formas de acuerdo a su
origen, su naturaleza, entre otras.
2.2.6.4.1 Clasificación de las amenazas
Entre los tipos de clasificación de las amenazas la más recomendable es de
acuerdo a su naturaleza ya que esto facilita la ubicación de la amenaza.
61
Amenaza Ejemplo de amenaza
Amenaza
natural
Inundaciones, tsunamis, maremotos, sismos, tornados,
tormentas, incendios forestales, entre otras.
Amenazas a
instalaciones
Fuego, explosión, perdida de energía, falla mecánica, daño por
agua, entre otras.
Amenazas
humanas
Huelgas, epidemias, problemas de transporte, perdida de
personal clave
Amenazas
tecnológicas
Virus, hacking, perdida de datos fallas de hardware y software,
fallos de red, entre otras.
Amenazas
operacionales
Crisis financiera, perdida de proveedores, falla de productos,
mala publicidad, entre otras.
Amenazas
sociales
Vandalismo, motines, protestas, sabotaje, violencia laboral,
entre otras.
Tabla 2.3 Clasificación de amenazas Fuente: Varios autores
Como se aprecia en la tabla 2.3, las amenazas pueden originarse de fuentes
accidentales o deliberadas, y para que cause daño a los activos de información
tendría que afectar una o más vulnerabilidades.
Una vez identificadas las amenazas, se debe evaluar su posibilidad de ocurrencia.
La medición de ocurrencia debe hacerla un grupo que tenga conocimiento de la
naturaleza de la amenaza y pueda consultar las estadísticas respectivas.
Se recomienda utilizar la Escala de Likert para medir la posibilidad de ocurrencia,
sus significados se muestran en la tabla 2.4.
Valor Significado
1 Muy bajo
2 Bajo
3 Medio
4 Alto
5 Muy alto
Tabla 2.4 Escala de Likert Fuente: Dr. Likert
En este punto, la empresa debe tomar decisiones importantes en relación con el
análisis de las amenazas. La decisión sobre cuáles amenazas se descartan por
62
su baja probabilidad de ocurrencia debe revisarse con detenimiento. Puede ocurrir
que la amenaza con menor probabilidad de ocurrencia tenga las consecuencias
más severas para la empresa.
2.2.6.4.2 Clasificación de las Vulnerabilidades
Las vulnerabilidades son debilidades de seguridad asociadas con los activos de
información de una organización.
“Las vulnerabilidades organizacionales son debilidades en las políticas
organizacionales o prácticas que pueden resultar en acciones no autorizadas”
Las vulnerabilidades NO causan daño, simplemente son condiciones que pueden
hacer que una amenaza afecte a un activo.
Las vulnerabilidades pueden clasificarse como:
§ Seguridad de los recursos humanos (falta de entrenamiento en seguridad,
carencia de toma de conciencia en seguridad, falta de mecanismos de
monitoreo, falta de políticas para el uso correcto de las
telecomunicaciones, no eliminar los accesos al término del contrato de
trabajo, carencia de procedimientos que aseguren la entrega de activos al
término del contrato de trabajo, empleados desmotivados).
§ Control de acceso (segregación inapropiada de redes, falta de política
sobre escritorio y pantalla limpia, falta de protección al equipo de
comunicación móvil, política incorrecta para control de acceso, claves sin
modificarse).
§ Seguridad física y ambiental (control de acceso físico inadecuado a
oficinas, salones y edificios, ubicación en áreas sujetas a inundaciones,
almacenes desprotegidos, carencia de programas para sustituir equipos,
mal cuidado de equipos, susceptibilidad de equipos a variaciones de
voltaje).
§ Gestión de operaciones y comunicación (complicadas interfaces para
usuarios, control de cambio inadecuado, gestión de red inadecuada,
carencia de mecanismos que aseguren el envío y recepción de mensajes,
carencia de tareas segregadas, carencia de control de copiado, falta de
protección en redes públicas de conexión).
63
§ Mantenimiento, desarrollo y adquisición de sistemas de información
(protección inapropiada de llaves criptográficas, políticas incompletas para
el uso de criptografía, carencia de validación de datos procesados,
carencia de ensayos de software, documentación pobre de software, mala
selección de ensayos de datos).
Una vez identificadas las vulnerabilidades, por cada una de ellas, se debe evaluar
la posibilidad de que sean explotadas por la amenaza. Se recomienda utilizar la
escala de Likert para medir la posibilidad de ocurrencia, donde 1 significa “muy
bajo” y 5 significa “muy alto” como se muestra en la tabla 2.4.
Para que un activo pueda ser afectado, es necesario que la vulnerabilidad y la
amenaza se presenten en ese activo. La pregunta fundamental es: ¿Qué
amenaza pudiese explotar cuál de las vulnerabilidades?
Entre las amenazas, existen las vulnerabilidades, los riesgos y los activos de
información, una secuencia de relación de causalidad y probabilidad de
ocurrencia. En la Ilustración 2.1 se muestra la relación causa-efecto entre activos,
riesgo, vulnerabilidad y amenaza.
En algún momento previo al inicio de las actividades del cálculo del riesgo, o
antes de identificar las amenazas y vulnerabilidades, deben identificarse los
controles ya existentes en el sistema para medir su eficacia. Un control ineficaz es
una vulnerabilidad.
Ilustración 2.1 Relación causa-efecto entre elementos del análisis de riesgo
Fuente: ISO 27001: 2005
2.2.6.5 CÁLCULO DE LAS AMENAZAS Y VULNERABILIDADES
Una vez identificadas las amenazas y vulnerabilidades es necesario calcular la
posibilidad de que puedan juntarse y causar un riesgo. El riesgo se define como:
“La probabilidad de que una amenaza pueda explotar una vulnerabilidad en
particular”; este cálculo se realiza en base a la escala de Likert indicada en la
tabla 2.4.
Amenaza Vulnerabilidad Riesgo Activos de
Información
Causa Probabilidad Efecto
64
Es muy conveniente calcular la posibilidad de la presencia de amenazas; para
este fin se deben considerar los siguientes aspectos de las amenazas:
Amenazas deliberadas.- La posibilidad de amenazas deliberadas en la
motivación, conocimiento, capacidad y recursos disponibles para posibles
atacantes y la atracción de los activos para sofisticados atacantes.
Amenazas accidentales.- La posibilidad de amenazas accidentales puede
estimarse utilizando la experiencia y la estadística.
Incidentes del pasado.- Los incidentes ocurridos en el pasado ilustran los
problemas en el actual sistema de protección.
Nuevos desarrollos y tendencias.- Esto incluye informes, novedades y
tendencias obtenidas de diferentes medios, como Internet.
2.2.6.6 ANÁLISIS DEL RIESGO Y SU EVALUACIÓN
El análisis del riesgo ayuda a identificar y calcular los riesgos basados en la
identificación de los activos, y en el cálculo de las amenazas y vulnerabilidades.
Los riesgos se calculan de la combinación de los valores de los activos, que
expresan el impacto de pérdidas por confidencialidad, integridad y disponibilidad y
del cálculo de la posibilidad de que amenazas y vulnerabilidades relacionadas se
junten y causen un incidente. (Tabla 2.5)
Los niveles de riesgo calculados sirven para poder priorizar e identificar los más
problemáticos.
Activo Amenaza Impacto
de la amenaza
Probabilidad de
ocurrencia
Medición del
riesgo Priorización
Software Virus 3 5 15 2
Software Falla de Energía 2 2 4 4
Técnico Accidente 4 2 8 3
Técnico Venta de
información
4 4 16 1
Tabla 2.5 Método para el cálculo del riesgo Fuente: Elaborado por la autora
El método que se utiliza en el presente trabajo consiste en relacionar los factores
del impacto de la amenaza y la probabilidad de ocurrencia de la amenaza. El
primer paso consiste en evaluar el impacto económico de la amenaza; usando
65
una escala predefinida, se recomienda una escala de Likert, donde 1 es muy bajo
y 5 es muy alto como se muestra en la tabla 3.2
El paso siguiente consiste en utilizar la misma escala para medir la posibilidad de
ocurrencia de la amenaza. El tercer paso consiste en calcular la medición del
riesgo, multiplicando los valores obtenidos del impacto económico de la amenaza
y el de la posibilidad de ocurrencia de la amenaza. Finalmente, las amenazas
pueden ser priorizadas en orden, con base en su factor de exposición al riesgo.
2.2.6.6.1 Evaluación del Riesgo
Para realizar la evaluación del riesgo, se debe determinar cuáles son aquellas
amenazas cuyos riesgos son los más relevantes.
Para determinar los más relevantes, se utiliza la escala de Likert (tabla 2.4) y los
siguientes criterios:
§ Impacto económico del riesgo.
§ Tiempo de recuperación de la empresa.
§ Posibilidad real de ocurrencia del riesgo.
§ Posibilidad de interrumpir las actividades de la empresa.
En la Tabla 2.6 se ilustra la forma en que se debe evaluar el significado del riesgo.
Riesgo Criterio para evaluar la importancia del riesgo
Act
ivo
s
Am
en
aza
s
Impacto
económico
del riesgo
Tiempo de
recuperación
de la empresa
Probabilidad
de
ocurrencia
del riesgo
Probabilidad
de interrumpir
actividades de
la empresa
TOTAL
Tabla 2.6 Escala de riesgo para evaluar significado del riesgo Fuente: Elaborado por la autora
2.2.6.7 2.2.6.7 TRATAMIENTO DEL RIESGO Y EL PROCESO DE TOMA DE
DECISIÓN GERENCIAL
Una vez efectuados el análisis y la evaluación del riesgo, se debe decidir las
acciones a tomar con esos activos.
2.2.6.7.1 Proceso de toma de decisiones
Cuando se ha calculado el riesgo, se debe iniciar un proceso de toma de
decisiones para determinar qué va a ocurrir con el riesgo, la decisión está
66
principalmente influenciada por los objetivos de la organización pero por lo
general siempre está ligada con estos dos factores:
§ El posible impacto si el riesgo se pone de manifiesto
§ Que tan frecuente puede suceder
2.2.6.7.2 Estrategias Posibles para el Tratamiento del Riesgo
2.2.6.7.3 Reducción del Riesgo
Si la decisión de reducir el riesgo fue elegida, es importante determinar con
exactitud los controles que permiten cumplir con esta decisión. Los controles
reducen el riesgo de dos maneras:
§ Reduciendo la posibilidad de que la vulnerabilidad sea explotada por la
amenaza.
§ Reduciendo el posible impacto si el riesgo ocurriese, detectando eventos
no deseados, reaccionando y recuperándose de ellos.
No existe un método general para seleccionar objetivos de control y controles.
Este proceso involucra numerosas decisiones y consultas, usualmente
discusiones con distintas partes de la organización y con un determinado número
de personas clave. En fin, la selección de los controles debe producir un resultado
que más se adecúe a la organización en términos de sus requerimientos.
2.2.6.7.4 Objetivamente Aceptar el Riesgo
Algunas veces se presenta el caso en el cual la organización no encuentra
controles para mitigar el riesgo, y en la mayoría de estas ocasiones la
implantación de los controles tiene un costo mayor que las consecuencias del
riesgo. Con este panorama, la decisión de aceptar el riesgo es la más adecuada.
Se debe documentar la aceptación del riesgo y definir el criterio de aceptación. La
gerencia debe aprobar y firmar la decisión de aceptación del riesgo.
2.2.6.7.5 Transferencia del Riesgo
Cuando se presenta la situación en la cual es difícil reducir o controlar el riesgo a
un nivel aceptable se puede transferir el riesgo a una tercera parte.
Se puede utilizar una aseguradora para la transferencia del riesgo, pero se debe
tener mucho cuidado con el riesgo residual. El contrato con las empresas
67
aseguradoras siempre tendrá exclusiones y condiciones que se aplicarán de
acuerdo con la clase de ocurrencia.
Se debe analizar la transferencia del riesgo a la aseguradora para determinar
cuánto del riesgo actual será transferido; en muchas ocasiones, las empresas
aseguradoras no eliminan inmediatamente un suceso.
Si se utiliza la tercerización para que se manejen activos, se debe recordar que la
responsabilidad siempre está en la misma organización y no en la prestadora de
servicios.
2.2.6.7.6 Evitar el Riesgo
Por evitar el riesgo se entiende cualquier acción orientada a cambiar las
actividades, o la manera de desempeñar una actividad comercial en particular.
El riesgo puede evitarse por medio de:
§ No desarrollar ciertas actividades comerciales (la no utilización de Internet)
§ Mover los activos de un área de riesgo
§ Decidir no procesar información crítica.
Se presenta en forma esquemática el proceso de toma de decisiones para elegir
una opción de tratamiento del riesgo (Ilustración 2.2).
68
Ilustración 2.2 Proceso de toma de decisiones para el tratamiento del riesgo Fuente: ISO/IEC 13335
2.2.7 RIESGO RESIDUAL
El riesgo residual es el riesgo permanente que siempre está presente al
implementar las decisiones del tratamiento del riesgo. Puede ser difícil de calcular
pero al menos debe realizarse una evaluación para asegurar que logra la
protección suficiente.
Si es inaceptable tener riesgo residual, deben tomarse decisiones para resolverlo.
Se puede aplicar más controles, establecer arreglos con aseguradoras para lograr
reducir el riesgo a niveles aceptables.
En algunas situaciones, el reducir el riesgo a niveles aceptables puede no ser
posible o representar un costo exageradamente elevado. En este caso, se
aplicaría la estrategia de aceptación del riesgo.
Opción de reducción del
riesgo
Es economicamente factible implantar
los controles?
Los controles permiten reducir
el riesgo a niveles
aceptables
Implantar los controles
Opción de tranferencia del
riesgo
Opción de aceptación del
riesgo
Se puede presindir de los
procesos involucrados en
este activo?
Opción de evitar el riesgo
69
La gerencia debe aprobar los riesgos residuales propuestos, y efectuar
evaluaciones a intervalos planeados, y revisar el nivel de riesgo residual y de
riesgo aceptable identificado.
2.2.8 SELECCIONAR OBJETIVOS DE CONTROL Y CONTROLES PARA EL
TRATAMIENTO DE RIESGOS
Una vez identificados los procesos de tratamiento del riesgo y haberlos evaluado,
se debe decidir qué objetivos de control y controles se van a implementar.
La selección de objetivos de control y controles debe hacerse tomando en cuenta
el criterio establecido para la aceptación del riesgo, así como los requerimientos
legales, reguladores y contractuales.
2.2.9 PREPARACIÓN DE LA DECLARACIÓN DE APLICABILIDAD
La declaración de aplicabilidad es un documento importante del Plan de seguridad
de la información, que debe incluir los objetivos de control y controles que serán
aplicados y los que serán excluidos. La declaración de aplicabilidad da la
oportunidad a la empresa de que asegure que no ha omitido algún control.
70
Objetivos
de control Controles
Aplicabilidad Justificación
SI NO P
olít
ica
de
Se
gurid
ad
de
Info
rma
ción
Documento de Políticas de
Seguridad Informática X
Es necesario
establecer políticas
de seguridad, y
revisarlas
periódicamente.
Se debe revisar
periódicamente
estas políticas
para asegurar que
se mantengan
adecuadas
Revisión de las Políticas de
Seguridad Informática X
Org
an
izaci
ón In
tern
a
Compromiso de la Dirección con
la Seguridad de la Información X
Es necesario tener
controles y
políticas para el
manejo de la
Seguridad de la
Información dentro
de la organización
Coordinación de la Seguridad
Informática X
Asignación de responsabilidades
para la Seguridad Informática X
Proceso de autorización para los
servicios de procesamiento de
información
X
Acuerdos sobre confidencialidad X
Contacto con las autoridades X
Contactos con grupos de interés
especiales X
Revisión independiente de la
Seguridad Informática X
Documento de políticas de
Seguridad Informática X
Tabla 2.7 Ejemplo de declaración de aplicabilidad de un proceso Fuente: Elaborado por la autora
En la Tabla 2.7 se presenta un ejemplo de enunciado de aplicabilidad.
71
2.2.9.1 PLAN DE TRATAMIENTO DEL RIESGO
Una vez establecido el tratamiento del riesgo, se debe identificar y planear las
actividades. Cada actividad de implementación debe ser identificada con claridad
y descomponerse en sub actividades para poder distribuir a las personas.
Las actividades que se consideran fundamentales para formular el plan de
tratamiento del riesgo son:
§ Identificar, con la precisión requerida, los factores limitadores del proyecto
y establecer la estrategia para debilitarlos.
§ Establecer las prioridades del proyecto.
§ Identificar con claridad las fechas de entrega, lo mismo que los hitos del
proyecto.
§ Estimar los requerimientos de recursos y a la vez identificar los recursos.
§ Identificar la ruta crítica del proyecto.
2.2.9.2 MANTENIMIENTO Y MONITOREO DEL PLAN DE SEGURIDAD DE
LA INFORMACIÓN
Todo proyecto debe ser revisado con regularidad, de igual forma ocurre con los
objetivos de control y controles que se implementan. Como se sabe, a medida
que transcurre el tiempo, los servicios o mecanismos se deterioran, por ello, el
monitoreo tiene el propósito de detectar el deterioro e iniciar las acciones
correctivas de lugar.
Como actividades de monitoreo y mantenimiento se tienen:
§ Detectar los eventos de seguridad, y evitar así los incidentes de seguridad,
al utilizar los indicadores.
§ Determinar si las acciones tomadas son efectivas para resolver una
violación de seguridad.
§ Establecer criterios para medir la efectividad de los controles para verificar
que se hayan cumplido los requerimientos de seguridad.
§ Revisar las evaluaciones del riesgo a intervalos planeados, y revisar el
nivel del riesgo residual y el riesgo aceptable identificados.
§ Realizar auditorías internas a intervalos planeados.
§ Realizar revisiones gerenciales del plan para asegurar que el alcance es el
adecuado.
72
2.2.9.3 REVISIÓN DE LOS RIESGOS Y EVALUACIÓN
Se deben revisar los resultados del análisis y la evaluación del riesgo para
visualizar cualquier modificación.
La constante evolución de la empresa y la tecnología hace que surjan nuevos
activos de información o sean alterados los ya existentes.
Las revisiones en la organización, medición de la eficacia de los controles y la
aparición de nuevas amenazas y vulnerabilidades puede afectar el escenario de
los riesgos.
Existen numerosas fuentes que pueden ocasionar la aparición de nuevos riesgos,
cuando se detecta el nuevo riesgo se debe recalcular e identificar las alteraciones
en las opciones de tratamiento del mismo, así como las modificaciones
pertinentes en los objetivos de control y controles determinados y documentados.
73
3 VALIDACIÓN DEL PLAN DE SEGURIDAD EN UN CASO
DE ESTUDIO
3.1 DESCRIPCIÓN DEL CASO DE ESTUDIO
3.1.1 SELECCIÓN
Se ha elegido la empresa IDEBSYSTEMS como caso de estudio para validar el
plan de seguridad de la información ya que en esta Empresa no se lo ha aplicado
anteriormente. Si bien se cuenta con un Jefe de Sistemas con conocimiento en
cuanto al manejo de la gestión de seguridad que fue una de las causas para la
elección de la empresa para tener una retroalimentación hacia la validación del
plan, no se lo ha realizado previamente como un proceso formal de gestión de
seguridad en la empresa, ya que no se le ha prestado la atención necesaria por
enfocarse en los objetivos del negocio.
Datos caso de estudio
Empresa IDEBSYSTEMS CIA. LTDA.
Dirección 10 de Agosto N26-117 y Vicente Aguirre
Facilitador Ing. Jorge Ponce
Tabla 3.1 Datos del caso de estudio Fuente: Elaborado por la autora
3.1.2 DESCRIPCIÓN DE LA EMPRESA
La compañía tiene por objeto y finalidad, el desarrollo, distribución y venta de
sistemas de información. La compañía, además realizará actividades de
comercialización, instalación y configuración de equipos informáticos.
Desde sus inicios, IDEBSYSTEMS ofrece sus servicios analíticos conjuntando
calidad técnica con amabilidad y profesionalismo.
Los campos de actividad profesional son:
§ Aplicaciones Web
§ Intranets
§ Portales Web con Servicio de Host
74
3.1.3 MISIÓN
“Somos un equipo de Profesionales calificados y comprometidos con la
satisfacción total del cliente, utilizando tecnología de vanguardia para los
diferentes sistemas, con precios justos y competitivos, que nos identifican con la
más alta productividad. Nuestro ambiente de trabajo es seguro, productivo y se
caracteriza por el trato de igualdad, labor de equipo, comunicación abierta,
responsabilidad personal, oportunidades de mejoramiento y desarrollo.”
3.1.4 VISIÓN
“IDEBSYSTEMS tiene como objetivo ser la empresa de desarrollo de Software
con mayor presencia y prestigio, reconocido por:
§ Las metas logradas y aquellas en proceso, que habrán de permitir a
IDEBSYSTEMS llegar a ser una empresa de excelencia con calidad total,
correspondiendo a la confianza de sus clientes.
§ Servicio efectivo, con trato amable.
§ Calidad Certificada.
§ Precios justos y competitivos.
§ Satisfacción de las necesidades actuales y futuras de los servicios
requeridos.”
3.1.5 POLÍTICA DE CALIDAD
“Ofrecer un servicio de excelencia a empresas e instituciones, clientes
particulares sustentado en un grupo experimentado y altamente calificado de
profesionales comprometidos a:
§ Satisfacer los requerimientos de nuestros clientes.
§ Asegurarse que IDEBSYSTEMS, disponga de una capacidad tecnológica y
administrativa suficiente y adecuada para responder a las necesidades del
personal y de nuestros usuarios.
§ Establecer y mantener un programa de mejora continua del Sistema de
Gestión de la Calidad Establecido, enfocado al fortalecimiento y
satisfacción de los requerimientos y expectativas de nuestros usuarios.
§ Fomentar el Desarrollo y la capacitación continua del Personal de
IDEBSYSTEMS, el cual permita mejorar y fortalecer la atención brindada a
nuestros usuarios.
75
§ Todo esto dentro de un marco de mejora continua que mantiene la eficacia
del Sistema de Gestión de la Calidad.
§ Nuestro compromiso es mejorar continuamente la eficacia de nuestro
servicio y satisfacer los requerimientos de nuestros clientes con calidad,
profesionalismo y vanguardia, otorgándole un servicio confiable puntual y
oportuno".
3.1.6 VALORES-PRINCIPIOS
§ “Deseo de trabajar
§ Integridad
§ Lealtad
§ Deseo de servir
§ Deseo de auto perfeccionarse
§ Iniciativa
§ Confiabilidad
§ Dedicación
§ Interés por los demás”
76
3.1.
7 O
RG
AN
IGR
AM
A
El O
rga
nig
ram
a d
e I
DE
BS
YS
TE
MS
es
el s
igu
ien
te:
Ilu
stra
ció
n 3
.1 O
rgan
igra
ma
Fu
ente
: ID
EB
SY
ST
EM
S
IDE
BS
YS
TE
MS
Ge
ren
cia
Pre
sid
en
cia
Eje
cutiv
a
Recu
rsos
Hum
an
os
Se
rvic
io a
l C
lien
te
Se
rvic
ios
Pro
fesi
on
ale
s
Sis
tem
as
y S
op
ort
e
Ad
min
istr
ad
or
Coo
rdin
ad
or
Té
cnic
os
Pa
san
tes
So
ftw
are
Ge
ren
te
Coo
rdin
ad
or
de
D
esa
rro
llo
Inge
nie
ros
Pa
san
tes
Coo
rdin
ad
or
de
S
op
ort
e
Inge
nie
ros
Pa
san
tes
Cap
aci
taci
ón
Coo
rdin
ad
or
de
C
ap
aci
taci
ón
Ve
nta
s
Ge
ren
tes
de
P
rod
uct
o
Ad
min
istr
aci
ón
Con
tab
ilida
d
Imp
ort
aci
òn
y
Ve
nta
s
77
3.2 APLICACIÓN DEL PLAN
Previo a la aplicación del Plan de seguridad de la información es necesario
efectuar un análisis de la situación actual de políticas de Seguridad Informática los
resultados de este análisis se presentan en el siguiente punto, para realizar este
análisis se solicito la información al Administrador del área de Soporte y Sistemas
de la empresa IDEBSYSTEMS la cual se muestra completa en el Anexo 1.
3.2.1 SITUACIÓN PREVIA DE LA SEGURIDAD INFORMÁTICA DEL CASO
DE ESTUDIO
El departamento de Sistemas y Soporte de la empresa IDEBSYSTEMS es un
área fundamental dentro de la organización, ya que de ella depende el
funcionamiento correcto de varias de las tecnologías de la información y la
información que se manejan dentro de la organización, razón por la cual se
requiere que la información y la seguridad de la misma sea tratada de una forma
organizada ya que actualmente no existen políticas de seguridad de la
información y todas las actividades se realizan sin seguir ningún lineamiento ni
registro de las mismas.
Para realizar este análisis se evaluaron los siguientes aspectos:
§ Evaluación de la seguridad lógica
§ Evaluación de la seguridad de las comunicaciones
§ Evaluación de seguridad en las aplicaciones
§ Evaluación de seguridad física
§ Administración del cuarto de equipos
Los resultados de las evaluaciones de la seguridad informática de este análisis se
muestran de manera resumida en la tabla 3.2, el análisis de riesgos en la
seguridad de la información que se realizo se encuentra detallado en el (Anexo 1).
Los valores obtenidos en la evaluación realizada están basados en la escala de
Likert (tabla 2.4).
78
Aspectos Evaluados Nivel de Seguridad
Evaluación de la seguridad
lógica
Contraseñas 3
Inactividad 2
Asignación de funciones 4
Evaluación de la seguridad
de las comunicaciones
Topología de red 4
Conexiones externas 4
Configuración lógica de
red 3
Mail 1
Antivirus 1
Firewall 2
Evaluación de seguridad en
las aplicaciones
Control de aplicaciones en
pc’s 2
Evaluación de seguridad
física
Equipamiento 2
Control de acceso a
equipos 2
Dispositivos de soporte 3
Cableado estructurado 4
Administración del cuarto de
equipos
Administración del cuarto
de equipos 1
Capacitación 2
Backup 1
Documentación 1
Tabla 3.2 Situación previa de la Seguridad de la Información Fuente: Elaborado por la autora
3.2.2 ESTABLECIMIENTO DEL PLAN DE SEGURIDAD DE LA
INFORMACIÓN AL CASO DE ESTUDIO
Con el precedente del plan de seguridad de la información al caso de estudio, se
pudo determinar cuáles políticas están siendo aplicadas y cuáles podrían hacer
falta. A continuación se establece el Plan de Seguridad de la Información.
79
3.2.2.1 ALCANCE DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN
El alcance del Plan de seguridad de la información abarcara al departamento de
Sistemas y Soporte de la compañía IDEBSYSTEMS.
3.2.2.2 POLÍTICAS DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN
Las políticas definidas para apoyar la implementación del Plan de Seguridad de la
Información son:
“La tecnología de información y los sistemas de información son de vital
importancia como activos de la compañía IDEBSYSTEMS.
Sin un sistema de información y sus respectivas tecnologías de información,
confiables y seguras, la compañía afectaría su desarrollo de actividades y
operaciones tanto activas como pasivas.
La administración del riesgo operacional y tecnológico es directamente
proporcional a la gestión vía políticas y controles de sus sistemas de información.
Los colaboradores de Sistemas y Soporte asumen una responsabilidad individual
respecto a los criterios de confidencialidad, integridad y disponibilidad de los
sistemas y tecnologías de información, así como del uso de información
privilegiada en la organización. Lo cual refleja un compromiso personal de cada
uno de ellos hacia los clientes externos e internos de la empresa. Estos conceptos
se utilizarán para establecer los criterios para la evaluación del riesgo.
El área de Sistemas y Soporte de la empresa IDEBSYSTEMS debe tener un Plan
de Seguridad de la Información, con la finalidad de mitigar riesgos operativos y de
tecnología de información, fortalecer la cultura de administración de riesgos en
función del desarrollo de valores éticos y morales respecto a la Seguridad de la
Información y fomentar en los colaboradores la responsabilidad del manejo de la
Seguridad de la Información, desde la perspectiva de la confidencialidad, la
integridad y la disponibilidad de la información."
3.2.2.3 ENFOQUE PARA LA GESTIÓN DEL RIESGO
El enfoque estará determinado por documentación en la cual se registrarán los
siguientes aspectos:
§ Los criterios para la aceptación del riesgo de la organización.
§ Identificación de los niveles aceptables del riesgo para la organización.
80
§ Cobertura de los aspectos fundamentales de un plan de seguridad de la
información, de tal manera que incluya todas las directrices de la norma
ISO 13335.
§ La relación costo-beneficio y verificar el buen balance entre el gasto en
recursos contra el deseado grado de protección, y asegurando que los
recursos gastados sean correlacionados con la potencial pérdida y el valor
de los activos protegidos.
3.2.2.4 ASPECTOS A CONTEMPLAR AL EFECTUAR EL ANÁLISIS DEL
RIESGO
Se desarrolla el Análisis y Evaluación del riesgo que comprende:
§ Identificación de Activos
§ Identificación de requerimientos legales y comerciales
§ Tasación de activos
§ Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia
§ Análisis del riesgo y su evaluación
§ Aspectos a contemplar al efectuar la evaluación del riesgo
81
3.2.2.4.1 Identificación de Activos
En la tabla 3.1 se presentan los activos identificados en el área de Software y
Sistemas.
Ítem Activos de Información Propietarios
1 Administrador de Red Sistemas y Soporte, Desarrollo
2 Central Telefónica Administración
3 Conexión a internet Sistemas y Soporte
4 Correo Desarrollo
5 Equipos de trabajo Sistemas y Soporte
6 Help Desk Desarrollo
7 Información de clientes y
proveedores
Sistemas y Soporte, Desarrollo,
Ventas
8 Técnicos Sistemas y Soporte
9 Bases de Datos Desarrollo
10 Repositorio de Software Desarrollo
11 Backups Desarrollo
12 Manuales Desarrollo
13 Desarrollador Desarrollo
14 Vendedor Ventas
15 Contador Administración
16 Asistente Administración
17 Mensajero Administración
Tabla 3.3 Activos de Información y Propietarios Fuente: Elaborado por la autora
3.2.2.4.2 Identificación de Requerimientos Legales y Comerciales Relevantes para los
Activos Identificados
Los equipos que se encuentran en Sistemas y Soporte suelen prestarse a clientes
para que reemplacen sus equipos en caso de fallas. Al momento no existen
contratos vigentes con clientes así que los equipos de Sistemas y Soporte no
deben cumplir ningún cumplimiento legal.
Referente al requerimiento comercial no existe en Sistemas y Soporte equipos
para la venta, estos equipos se encuentran inventariados en otra bodega y ésta
pertenece al departamento de Ventas y Administración.
82
3.2.2.4.3 Tasación de Activos
En la tasación de los activos se califica su confidencialidad, integridad y
disponibilidad siguiendo la escala de Likert que se muestra en la tabla 2.4
aplicando la siguiente pregunta ¿Cómo una pérdida o falla en un determinado
activo afecta la confidencialidad, la integridad y la disponibilidad?
Ítem Activos de Información
Co
nfi
den
cial
idad
Inte
gri
dad
Dis
po
nib
ilid
ad
Total
1 Administrador de Red 5 4 5 5
2 Central Telefónica 2 2 1 2
3 Conexión a internet 2 3 5 3
4 Correo 4 5 5 5
5 Equipos de trabajo 5 5 5 5
6 Help Desk 3 3 3 3
7 Información de clientes y proveedores 5 4 4 4
8 Técnico 5 4 3 4
9 Bases de Datos 5 5 5 5
10 Repositorio de Software 5 5 5 5
11 Backups 5 4 3 4
12 Manuales 1 1 2 1
13 Desarrollador 5 2 4 3
14 Vendedor 4 2 2 3
15 Contador 5 3 4 3
16 Asistente 3 3 4 3
17 Mensajero 2 3 1 2
Tabla 3.4 Tasación de activos de información Fuente: Elaborado por la autora
83
Para el plan solo se tomaran en cuenta los activos de información que pertenecen
a Sistemas y Soporte como se muestra en la tabla 3.3
Ítem Activos de Información Propietarios
1 Administrador de Red Sistemas y Soporte, Desarrollo
3 Conexión a internet Sistemas y Soporte
5 Equipos de trabajo Sistemas y Soporte
7 Información de clientes y
proveedores
Sistemas y Soporte, Desarrollo,
Ventas
8 Técnicos Sistemas y Soporte
Tabla 3.5 Activos de Información de Sistemas y Soporte Fuente: Elaborado por la autora
3.2.2.4.4 Identificación de Amenazas, Vulnerabilidades y la Probabilidad de que la
Amenaza pueda Explotar la Vulnerabilidad
A continuación se desarrolla la identificación de las amenazas y vulnerabilidades
para cada uno de los activos de información que pertenece al área de Sistemas y
Soporte.
§ Administrador de Red
§ Técnico
§ Conexión a Red e Internet
§ Información de Clientes y Proveedores
§ Equipo de Trabajo
En la tabla 3.6 se presentan las Amenazas y Vulnerabilidades encontradas en el
Área de Sistemas y Soporte y la posibilidad de que la amenaza explote la
vulnerabilidad de la empresa IDEBSYSTEMS.
84
Ítem
A
cti
vos
de
Info
rmac
ión
A
men
azas
V
uln
erab
ilid
ades
P
osi
bili
dad
de
qu
e
Vu
lner
e
1
Ad
min
istr
ad
or
de
red
Enf
erm
eda
d o
mu
ert
e
Acc
ide
nte
1
No c
uid
ar
la s
alu
d
1
Cam
bio
de
emp
leo
No t
ene
r bue
n s
ue
ldo
2
Fuga
de
info
rma
ción
No e
xist
e s
iste
ma
de
vig
ilan
cia
2
Acc
eso
sin
rest
ricci
on
es
3
No r
evi
sar
a la
s p
ers
ona
s qu
e e
ntr
an y
sa
len
1
No d
efin
ir d
ebe
res
y re
spo
nsa
bili
da
des
3
No t
ene
r exp
erie
nci
a
2
Dañ
o V
olu
nta
rio
No t
ene
r em
ple
ad
o re
spo
nsa
ble
1
Em
ple
ado
est
resa
do o
irrit
ad
o
1
Rob
o d
e E
quip
os
Arm
ario
s si
n se
guro
s 3
Mu
cha
s lla
ves
sin
Ide
ntifi
car
1
2
Té
cnic
o
Enf
erm
eda
d o
mu
ert
e
Acc
ide
nte
1
N o
cu
ida
r la
sa
lud
1
Cam
bio
de
emp
leo
No t
ene
r b
uen
su
eld
o
2
Fuga
de
info
rma
ción
No e
xist
e s
iste
ma
de
vig
ilan
cia
2
Acc
eso
sin
rest
ricci
on
es
3
No r
evi
sar
a la
s p
ers
ona
s qu
e e
ntr
an y
sa
len
1
85
Ítem
A
cti
vos
de
Info
rmac
ión
A
men
azas
V
uln
erab
ilid
ades
P
osi
bili
dad
de
qu
e
Vu
lner
e
No d
efin
ir d
ebe
res
y re
spo
nsa
bili
da
des
3
No t
ene
r exp
erie
nci
a
2
Dañ
o V
olu
nta
rio
No t
ene
r em
ple
ad
o re
spo
nsa
ble
1
Em
ple
ado
est
resa
do o
irrit
ad
o
1
Rob
o d
e E
quip
os
Arm
ario
s si
n se
guro
s 3
Mu
cha
s lla
ves
sin
Ide
ntifi
car
1
3
Con
exi
ón
a R
ed e
In
tern
et
Viru
s
No t
ene
r in
sta
lad
o u
n a
ntiv
irus
2
No a
ctua
liza
r el a
ntiv
iru
s 4
No e
scan
ea
r lo
s e
quip
os
regu
larm
ente
5
No d
ispon
er
de li
cen
cia
de
ant
i viru
s 1
Falla
s d
e r
ed
Cab
lea
do in
ad
ecu
ado
no
ce
rtifi
cad
o
5
No m
onito
rea
r fr
ecu
en
tem
ente
4
No t
ene
r en
lace
de
bac
kup
2
Falla
s e
n U
PS
2
Hack
ers
Pu
ert
os
no
pro
tegi
do
s e
n e
l Fire
wa
ll 1
Ba
ckd
oors
Ha
bili
tad
os
1
No h
abe
r co
nfig
ura
do
se
gurid
ad
es
en
la r
ed
3
Desa
stre
s In
frae
stru
ctu
ra in
ade
cua
da
1
86
Ítem
A
cti
vos
de
Info
rmac
ión
A
men
azas
V
uln
erab
ilid
ades
P
osi
bili
dad
de
qu
e
Vu
lner
e
na
tura
les
Falla
s d
e
Pro
vee
do
r
No t
ene
r otr
o p
rove
edo
r 1
No t
ene
r un
con
ven
io S
LA
(S
erv
ice L
eve
l
Agr
ee
men
t)
1
4
Info
rma
ción
de
clie
nte
s y
pro
vee
do
res
Viru
s
No t
ene
r in
sta
lad
o u
n a
ntiv
irus
2
No a
ctua
liza
r el a
ntiv
iru
s 4
No e
scan
ea
r lo
s e
quip
os
regu
larm
ente
5
No d
ispon
er
de li
cen
cia
de
ant
iviru
s 1
Dañ
os
Fís
icos
Equ
ipo
s co
n in
form
aci
ón
sie
mp
re
en
cen
did
os
2
Falla
s d
e H
ard
wa
re
1
Fuga
de
info
rma
ción
Tod
os
tien
en a
cce
so a
la in
form
aci
ón
2
Info
rma
ción
exc
lusi
va n
o e
stá
en
crip
tad
a
2
No t
ene
r exp
erie
nci
a
2
5
Equ
ipo
de
tra
bajo
Rob
o d
e E
quip
os
No t
oma
r pre
cau
ción
en
la c
alle
2
Equ
ipo
s si
n s
egu
ro e
n la
Ofic
ina
3
No t
ene
r id
entif
icado
s lo
s e
quip
os
y
ma
nua
les
2
87
Ítem
A
cti
vos
de
Info
rmac
ión
A
men
azas
V
uln
erab
ilid
ades
P
osi
bili
dad
de
qu
e
Vu
lner
e
Tod
os
tien
en a
cce
so a
man
ua
les
de e
quip
os
3
Inve
nta
rlo n
o a
ctu
aliz
ad
o
4
Viru
s
No t
ene
r in
sta
lad
o u
n a
ntiv
irus
2
No a
ctua
liza
r el a
ntiv
iru
s 4
No e
scan
ea
r lo
s e
quip
os
regu
larm
ente
5
No d
ispon
er
de li
cen
cia
de
ant
iviru
s 1
Dañ
os
Fís
icos
Equ
ipo
s vi
ejo
s 3
No d
ar
ma
nte
nim
ient
o p
reve
ntiv
o
3
No e
xist
en
no
rma
s d
e s
egu
rida
d
2
No e
xist
en
suf
icie
nte
s re
pu
est
os
o re
spa
ldo
s 3
No e
xist
e c
ap
aci
taci
ón
en
ca
so d
e a
ccid
ent
e
2
No t
ene
r in
frae
stru
ctu
ra
1
Tab
la 3
.6 A
men
azas
y V
uln
erab
ilid
ades
F
uen
te:
Ela
bo
rad
o p
or
la a
uto
ra
88
3.2.2.4.5 Aspectos a Contemplar al Efectuar la Evaluación del Riesgo
3.2.2.4.6 Evaluación del Riesgo
Para realizar la evaluación del riesgo, se determinan aquellas amenazas cuyos
riesgos son los más relevantes utilizando la escala de Likert y los siguientes
criterios:
§ Impacto económico del riesgo.
§ Tiempo de recuperación de la empresa.
§ Probabilidad real de ocurrencia del riesgo.
§ Probabilidad de interrumpir las actividades de la empresa.
Se ilustra en la tabla 3.7 la forma en que se debe evaluar la importancia del
riesgo.
89
Rie
sgo
C
rite
rio
Par
a E
valu
ar L
a Im
po
rtan
cia
Del
Rie
sgo
Act
ivo
s A
men
aza
s
Impa
cto
Eco
nóm
ico d
el
Rie
sgo
Tie
mpo
de
Recu
pe
raci
ón
de
La
Em
pre
sa
Pro
bab
ilida
d d
e
Ocu
rre
nci
a d
el
Rie
sgo
Pro
bab
ilida
d d
e
Inte
rrum
pir
Act
ivid
ad
es
de
la E
mp
resa
Tot
al
Ad
min
istr
ad
or
de
red
Enf
erm
eda
d
2
2
1
1
6
Cam
bio
de
emp
leo
2
2
2
1
7
Fuga
de
info
rma
ción
4
3
1
1
9
Dañ
o V
olu
nta
rio
2
2
1
2
7
Rob
o d
e E
quip
os
5
4
2
2
13
Té
cnic
o
Enf
erm
eda
d
3
2
1
1
7
Cam
bio
de
emp
lea
do
2
2
2
1
7
Fuga
de
info
rma
ción
4
3
1
1
9
Dañ
o V
olu
nta
rio
2
2
1
1
e
Rob
o d
e E
quip
os
5
4
2
2
13
Con
exi
ón
a
Red
de
Inte
rne
t
Viru
s 2
1
3
2
8
Falla
s d
e r
ed
3
2
3
4
12
Hack
ers
3
3
1
3
1
0
Desa
stre
s na
tura
les
3
4
1
5
13
90
Rie
sgo
C
rite
rio
Par
a E
valu
ar L
a Im
po
rtan
cia
Del
Rie
sgo
Falla
s d
e P
rove
ed
or
2
1
1
4
8
Info
rma
ción
clie
nte
s y
pro
vee
do
res
Viru
s 2
1
3
2
8
Dañ
os
Fís
icos
3
3
1
1
8
Fuga
de
Info
rma
ción
3
5
2
2
1
2
Equ
ipo
de
Tra
bajo
Rob
o d
e E
quip
os
3
2
3
1
8
Dañ
os
Fís
icos
4
3
2
2
11
Viru
s 2
1
3
1
7
T
abla
3.7
Esc
ala
de
ries
go
y s
u e
valu
ació
n
Fu
ente
: E
lab
ora
do
po
r la
au
tora
91
3.2.2.4.7 Tratamiento del Riesgo y el Proceso de Toma de Decisión Gerencial
Para el tratamiento del riesgo se tiene la siguiente tabla 3.8 de evaluación:
Criterio Tratamiento del riesgo
De 4 hasta 7 Aceptar
De 8 hasta 12 Reducir
De 13 en adelante Transferir
No existen niveles para evitar el riesgo evitar
Tabla 3.8 Tratamiento del Riesgo Fuente: Elaborado por la autora
Se realiza el análisis de los controles para determinar cuáles son aplicables.
Cuando se ha calculado el riesgo, se debe iniciar un proceso de toma de
decisiones para determinar qué va a ocurrir con el riesgo, la decisión está
principalmente influenciada por los objetivos de la organización pero por lo
general siempre está ligada con estos dos factores:
§ El posible impacto si el riesgo se pone de manifiesto.
§ Qué tan frecuente puede vulnerar.
92
Activos Amenazas Total Tratamiento del riesgo
Administrador de red
Enfermedad 6 Aceptar
Cambio de empleo 7 Aceptar
Fuga de información 9 Reducir
Daño Voluntario 7 Aceptar
Robo de Equipos 13 Transferir
Técnico
Enfermedad 7 Aceptar
Cambio de empleo 7 Aceptar
Fuga de Información 9 Reducir
Daño Voluntario 6 Aceptar
Robo de Equipos 13 Transferir
Conexión a Red e
Internet
Virus 3 Reducir
Fallas de red 12 Reducir
Hackers 10 Reducir
Desastres naturales 13 Transferir
Fallas de Proveedor 8 Reducir
Información de clientes y
proveedoras
Virus S Reducir
Daños Físicos 3 Reducir
Fuga de información 12 Reducir
Equipo de Trabajo
Robo de Equipos 9 Reducir
Dañados Físicamente 11 Reducir
Virus 7 Aceptar
Tabla 3.9 Estrategias de tratamiento del riesgo Fuente: Elaborado por la autora
Para el tratamiento del riesgo (tabla 3.9) se procederá de la siguiente manera:
El riesgo de los activos que va a ser Aceptado requiere de un registro en el cual la
gerencia demuestre que se acepta el riesgo asociado a estos activos.
Para el riesgo de los activos que va a ser Reducido se aplicará los controles de la
norma ISO/IEC 13335.
Para el riesgo de los activos que va a ser Transferido se contrató un seguro que
protege económicamente a los activos contra los desastres naturales y robos
principalmente.
93
No existen activos con la opción EVITAR, ya que todos son indispensables y no
se puede prescindir de ninguno.
3.2.2.5 RIESGO RESIDUAL
Se dejará un riesgo remanente debido a que para las amenazas identificadas es
evidente que no se pueden eliminar todas las vulnerabilidades.
El riesgo residual es aceptable para las diferentes amenazas identificadas y se
dispone de un registro de aceptación de este riesgo remanente.
3.2.2.1.1 Seleccionar Objetivos de Control y Controles para el Tratamiento de Riesgos
A continuación se determina los controles que pueden ser implementados, una
vez identificados los procesos de tratamiento del riesgo y haberlos evaluado, se
debe decidir qué objetivos de control y controles se van a implementar.
3.2.2.1.2 Preparación de la declaración de aplicabilidad
La declaración de aplicabilidad debe incluir los objetivos de control y controles que
serán aplicados y los que serán excluidos. La declaración de aplicabilidad da la
oportunidad a la empresa de que asegure que no ha omitido algún control.
En la tabla 3.10 se presenta el enunciado de aplicabilidad.
94
Ob
jeti
vos
de
Co
ntr
ol
Co
ntr
ole
s A
plic
abili
dad
Ju
stif
icac
ión
S
í N
O
Po
lític
as
de
Se
gurid
ad
Info
rmá
tica
Docu
me
nto
de
po
lític
as
de
Se
gurid
ad
Info
rmá
tica
X
Es
ne
cesa
rio e
sta
ble
cer
las
po
lític
as
de
segu
rida
d,
y re
visa
rlas
pe
riód
icam
ente
. S
e d
eb
e
revi
sar
pe
riód
icam
ente
est
as
po
lític
as
pa
ra
ase
gura
r qu
e s
e m
an
ten
gan
ad
ecu
ada
s
Revi
sió
n d
e la
s po
lític
as
de
Se
gurid
ad
Info
rmá
tica
X
Org
an
iza
ción
In
tern
a
Com
pro
mis
o d
e la
Dire
cció
n c
on la
Se
gurid
ad
de
la I
nfo
rma
ción
X
Es
ne
cesa
rio te
ne
r co
ntro
les
y p
olít
ica
s p
ara
el
ma
nejo
de
la S
egu
ridad
de
la In
form
aci
ón
den
tro
de
la o
rga
niz
aci
ón
.
Coo
rdin
aci
ón d
e la
Seg
urid
ad
Info
rmá
tica
X
Asi
gna
ción
de
resp
on
sab
ilida
des
pa
ra la
Se
gurid
ad
Info
rmá
tica
X
Pro
ceso
de
au
toriz
aci
ón
pa
ra lo
s
serv
icio
s d
e p
roce
sam
ien
to d
e
info
rma
ción
X
Acu
erd
os
sob
re c
onfid
en
cialid
ad
X
Con
tact
o c
on la
s a
uto
rida
des
X
Con
tact
os
con
gru
po
s d
e in
teré
s
esp
eci
ale
s X
Revi
sió
n in
de
pen
die
nte
de
la
X
95
Ob
jeti
vos
de
Co
ntr
ol
Co
ntr
ole
s A
plic
abili
dad
Ju
stif
icac
ión
S
í N
O
Se
gun
dad
Info
rmá
tica
Se
guim
ient
o d
e la
s P
olít
ica
s d
e
Se
gurid
ad
Info
rmá
tica
X
En
tidad
es
ext
ern
as
Ide
ntifi
caci
ón
de
rie
sgos
rela
cion
ado
s co
n p
art
es e
xte
rna
s
X
No s
e n
ece
sita
n c
ontr
oles
pa
ra m
itiga
r rie
sgo
s
con
en
tidad
es
ext
ern
as.
Se
de
be e
sta
ble
cer
requ
erim
ien
tos
de
segu
rida
d p
orq
ue
ha
y
do
cum
ento
s m
uy
conf
ide
nci
ale
s qu
e s
on
trasl
ad
ado
s p
or
terc
ero
s.
Ab
ord
aje
de
se
gurid
ad c
ua
ndo
se
trata
con
clie
nte
s
X
Ab
ord
aje
de
se
gurid
ad e
n lo
s
acu
erd
os
con
te
rcera
s p
art
es
X
Resp
on
sab
ilidad
Inve
nta
rio d
e A
ctiv
os
X
E
s n
ece
sario
ten
er
cont
role
s p
ara
la p
rote
cció
n
de
sap
rop
iad
a d
e lo
s ac
tivo
s o
rga
niz
aci
on
ale
s.
Pro
pie
tario
de
los
act
ivo
s X
Uso
ace
pta
ble
de
los
activ
os
X
Cla
sific
aci
ón d
e
la in
form
aci
ón
Dire
ctric
es
de
cla
sific
ació
n
X
E
s n
ece
sario
ten
er
cont
role
s p
ara
ase
gura
r qu
e la
info
rma
ción
reci
ba
un
niv
el d
e p
rote
cció
n
ap
rop
iad
o.
Etiq
ue
tado
y m
ane
jo d
e la
info
rma
ción
X
Tab
la 3
.10
Dec
lara
ció
n d
e ap
licab
ilid
ad
Fu
ente
: E
lab
ora
do
po
r la
au
tora
96
3.2.3 IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD DE LA
INFORMACIÓN AL CASO DE ESTUDIO
La implementación del plan de seguridad de la información y sus políticas de
Seguridad Informática realizada en el área de Sistemas y Soporte de la empresa
IDEBSYSTEMS se deriva del análisis del tratamiento del riesgo (en donde se
califican los activos de información y se determina si se acepta, reduce, transfiere
o evita el riesgo) versus el enunciado de aplicabilidad.
Esta implementación genera los siguientes documentos:
§ Acuerdo de Confidencialidad
§ Políticas de Seguridad Informática
§ Asignación de Responsabilidades
§ Uso Aceptable de los Activos de Información
§ Inventario de Activos
§ Instructivo para Etiquetado y Manejo de la Información
§ Instructivo para Revisión de las Políticas de Seguridad Informática
§ Registro de Compromiso de la Dirección con la Seguridad Informática
§ Registro de Contacto con Grupos de Intereses
§ Registro de Contacto con las Autoridades
§ Registro de Revisión Independiente de la Seguridad Informática
§ Registro de seguimiento de las Políticas de Seguridad Informática
97
3.2.3.1 ACUERDO DE CONFIDENCIALIDAD
Titulo: Documento de Acuerdo de Confidencialidad
Serial:
Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por:
Revisado y Aprobado por:
I. INTRODUCCIÓN
A continuación se define el acuerdo de confidencialidad establecido entre
IDEBSYSTEMS y los miembros de Sistemas y Soporte.
II. ACUERDO DE CONFIDENCIALIDAD
Entre los suscritos a saber, por una parte IDEBSYSTEMS una compañía
constituida bajo las leyes del Ecuador con domicilio en Quito, debidamente
representada por su Presidente Ejecutivo y representante legal Señor Jorge
Ponce, mayor de edad y domiciliado(a) en la ciudad de ___________,
identificado(a) como aparece al pie de su respectiva firma; y por la otra,
_____________, también mayor de edad y domiciliado en la ciudad de
__________, identificado(a) como aparece al pie de su firma , quien actúa en
nombre de ______________, se ha acordado celebrar el presente Acuerdo de
Confidencialidad que se regirá por las siguientes cláusulas, previas las siguientes
CONSIDERACIONES
1. Las partes están interesadas en________________________________
2. Debido a la naturaleza del trabajo, se hace necesario que éstas manejen
información confidencial y/o información sujeta a derechos de propiedad
intelectual, antes, durante y en la etapa posterior.
CLÁUSULAS
PRIMERA. OBJETO. El objeto del presente acuerdo es fijar los términos y
condiciones bajo los cuales las partes mantendrán la confidencialidad de los datos
e información intercambiados entre ellas, incluyendo información objeto de
derecho de autor, patentes, técnicas, modelos, invenciones, know-how, procesos,
algoritmos, programas, ejecutables, investigaciones, detalles de diseño,
información financiera, lista de clientes, inversionistas, empleados, relaciones de
98
negocios y contractuales, pronósticos de negocios, planes de mercadeo y
cualquier información revelada sobre terceras personas.
SEGUNDA. CONFIDENCIALIDAD. Las partes acuerdan que cualquier
información intercambiada, facilitada o creada entre ellas en el transcurso de
______________________, será mantenida en estricta confidencialidad. La parte
receptora correspondiente sólo podrá revelar información confidencial a quienes
la necesiten y estén autorizados previamente por la parte de cuya información
confidencial se trata. Se considera también información confidencial: a) Aquella
que como conjunto o por la configuración o estructuración exacta de sus
componentes, no sea generalmente conocida entre los expertos en los campos
correspondientes. b) La que no sea de fácil acceso, y c) Aquella información que
no esté sujeta a medidas de protección razonables, de acuerdo con las
circunstancias del caso, a fin de mantener su carácter confidencial.
TERCERA. EXCEPCIONES. No habrá deber alguno de confidencialidad en los
siguientes casos: a) Cuando la parte receptora tenga evidencia de que conoce
previamente la información recibida; b) Cuando la información recibida sea de
dominio público y, c) Cuando la información deje de ser confidencial por ser
revelada por el propietario.
CUARTA. DURACIÓN. Este acuerdo regirá durante el tiempo que dure
_______________ hasta un término de tres años contados a partir de su fecha.
QUINTA. DERECHOS DE PROPIEDAD. Toda información intercambiada es de
propiedad exclusiva de la parte de donde proceda. En consecuencia, ninguna de
las partes utilizará información de la otra para su propio uso.
SEXTA. MODIFICACIÓN O TERMINACIÓN. Este acuerdo solo podrá ser
modificado o darse por terminado con el consentimiento expreso por escrito de
ambas partes.
SÉPTIMA. VALIDEZ Y PERFECCIONAMIENTO. El presente Acuerdo requiere
para su validez y perfeccionamiento la firma de las partes.
99
Si cualquier disposición de este Acuerdo fuera juzgada por una corte competente
como nula o ilegal, las demás disposiciones continuarán en pleno vigor y efecto.
Todas las obligaciones creadas por este Acuerdo continuarán en vigencia aún
después de cualquier cambio o terminación de la relación profesional existente
entre las partes.
Para constancia, y en señal de aceptación, se firma el presente acuerdo en ___
ejemplares, por las partes que en él han intervenido, en la ciudad de _________ a
los ______ (__) días del mes de _______ de ___________ (200_).
__________________ __________________
Firma Firma
__________________ __________________
Documento de Identidad Documento de Identidad
100
3.2.3.2 POLÍTICAS DE SEGURIDAD INFORMÁTICA
Titulo: Documentación de Políticas de Seguridad Informática
Serial:
Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por:
Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente documento muestra las políticas que serán aplicadas en el área de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. POLÍTICAS
Las políticas que se aplican en el área de Sistemas y Soporte de la empresa
IDEBSYSTEMS se estratifican en tres niveles, para la gerencia, para el
coordinador y para el técnico y administrador de la red, éstas son:
LA GERENCIA DEBE:
1. Aprobar un documento del Plan de Seguridad de la Información, con su
alcance y objetivo, el documento debe estar aprobado por la gerencia,
debidamente registrado e identificado.
2. Establecer un documento con las políticas de seguridad informática para
ser aplicadas en el área de Sistemas y Soporte de la empresa
IDEBSYSTEMS.
3. Revisar el documento de las políticas de seguridad informática mínimo una
vez al año o cuando amerite (cambios tecnológicos, jurídicos, entre otras.).
Se deben crear registros de las revisiones que incluyan datos como fecha
de revisión, novedades encontradas, personas involucradas en la revisión,
entre otros.
4. Aprobar un documento en el cual se demuestre el apoyo para implementar
las políticas, este documento debe ser registrado y etiquetado.
5. Designar una persona encargada de coordinar las actividades de seguridad
informática, (en el documento se hará mención a esta persona solamente
como Coordinador).
6. Aprobar los procesos de autorización para medios de procesamiento de
información desarrollados por el coordinador, los medios pueden ser de la
empresa o ajenos.
101
7. Realizar una auditoría interna mínimo cada seis meses o cuando se
considerase necesario, para verificar el estado del Plan de Seguridad de la
Información. Esta auditoría debe estar a cargo de una persona ajena al
área que tenga relación con la seguridad informática; debe además ser
registrada y documentada.
8. Analizar y aprobar acuerdos de confidencialidad cuando el intercambio de
información con terceras partes así lo amerite. Se deberá guardar el
documento o una copia del acuerdo.
9. Aprobar la documentación creada por el Coordinador: para asignación de
propietarios de activos de información, de responsabilidades y obligaciones
de los miembros del área, para uso aceptable de los activos de
información, las sanciones correspondientes en caso de incumplimiento.
EL COORDINADOR DEBE:
1. Crear un Plan de Seguridad de la Información, con su alcance y objetivo, el
documento debe estar aprobado por la gerencia, debidamente registrado e
identificado.
2. Establecer las tareas y responsabilidades que serán asignadas a sus
subordinados, quienes deberán aceptar el acuerdo de confidencialidad, de
derecho de propiedad intelectual u otro documento que la empresa
considere conveniente. Las tareas y responsabilidades deben ser lo más
explicitas posibles para evitar confusión o malos entendidos entre ambas
partes.
3. Establecer procesos de autorización para medios de procesamiento de
información, los medios pueden ser de la empresa o ajenos. La aceptación
del ingreso de este medio de procesamiento de información debe estar
registrada debidamente.
4. Establecer acuerdo de confidencialidad entre la empresa IDEBSYSTEMS y
los miembros de Sistemas y Soporte. Todos los miembros del área deben
aceptar los acuerdos de confidencialidad establecidos con la empresa.
5. Mantener contacto con foros de seguridad o grupos de interés similares
para estar pendiente de las novedades referente a vulnerabilidades y
amenazas para la seguridad informática. Las noticias más relevantes
deben comunicárseles a todos los miembros del área.
102
6. Apoyar activamente las auditorías internas que realice la gerencia, para
verificar el estado del Plan de Seguridad de la Información.
7. Autorizar acceso a los activos de información para terceras partes, todo
esto por escrito en un documento que resuma el tipo de información
(verificar Instructivo de clasificación de activos de información) a ser
revelada, el tiempo de acceso y el motivo.
8. Realizar un inventario de activos de información cada seis meses o cuando
se considere necesario. En el inventario se deben clasificar todos los
activos de información que le correspondan al área.
9. Crear documentación: para asignación de propietarios de activos de
información, de responsabilidades y obligaciones de los miembros del área;
para uso aceptable de los activos de información, las sanciones
correspondientes en caso de incumplimiento.
10. Establecer criterios para clasificar la información en términos de su valor,
sensibilidad, importancia para el área y desarrollar un instructivo para
etiquetar la información y su adecuada manipulación.
11. Notificar a gerencia cualquier novedad encontrada respecto a seguridad
informática. La notificación puede ser verbal pero se debe registrar en un
mail, de lo contrario se asume que la novedad no fue reportada.
EL ADMINISTRADOR DEBE:
1. Cuando es necesario adquirir un nuevo producto para el área de Sistemas
y Soporte, debe determinar las características del producto (Numero de
parte, Compatibilidad de hardware y Software, Requerimientos de
hardware y software, entre otros).
2. Cuando equipo ajeno al área debe conectarse a la red interna, debe
verificar que exista un antivirus instalado y actualizado, si es necesario se
debe instalar un antivirus trial y correrlo. Todo esto con el consentimiento
del dueño del equipo.
3. Comunicar al dueño del activo ajeno a la empresa que se debe revisar su
medio de información previo a la habilitación del acceso. Si no acepta
entonces se debe comunicar inmediatamente al coordinador y gerencia
para que se niegue el acceso a la información.
4. Ser el responsable de instalar y actualizar el antivirus, revisar infecciones
103
detectadas en la red y tomar acción para eliminar el virus y evitar su
propagación inmediata.
5. Si se presentase un caso en el que fuera necesario otorgar acceso a más
de tres personas ajenas a la empresa, o cuando gerencia lo considere
necesario, debe realizar un documento detallando los riesgos que se
corren y sus posibles soluciones.
6. Elaborar, mantener y actualizar un documento con todas las contraseñas
de los usuarios (Ingreso a dominio; ingreso a BIOS); las contraseñas
excluidas de esta lista serán las contraseñas de cuentas de correo de los
usuarios. Todas las contraseñas deben ser cambiados mínimo cada seis
meses.
7. Elaborar un cronograma de mantenimiento para las PC’s del área, este
mantenimiento lo realizará con el técnico designado.
8. Cuando un elemento procesador de datos esta encendido por el lapso no
mayor a diez minutos, debe activar un protector de pantalla u otra
configuración que proteja los datos en pantalla de tal manera que sea
necesario ingresar una contraseña para ver la información nuevamente.
9. Etiquetar e identificar el cableado en el área de Sistemas y Soporte; y tener
un documento en donde se especifique un diagrama de infraestructura y
puntos de red del área.
10. Instalar Software que permita monitorear el estado de las interfaces de los
equipos de la red y que se generen alarmas en caso de falla de una de
éstas. Las alarmas pueden incluir envío de mail, envío de sms entre otras.
11. Revisar periódicamente los elementos de conmutación como switch y
Access Point para configurar, si es necesario, mayor seguridad en la red o
en otros casos aumentar la confiabilidad de la red creando enlaces
redundantes. Se debe monitorear periódicamente todos los elementos de
red principales, sea automáticamente o físicamente. Se deben configurar
servidores de Logs en los equipos que permitan hacerlo y se debe tener un
histórico con fecha de logs.
12. Obtener backup de los datos de Sistemas y Soporte (clientes, productos,
programas, entre otros), la validación de datos de los cuales se debe
obtener respaldo la debe realizar con el coordinador y con gerencia. El
104
backup puede sacarse en DVD’s, Cd’s o en otro medio que pertenezca a la
empresa. El backup también incluye archivos de configuración de los
equipos de infraestructura con fechas indicadas.
13. En caso de encontrar llaves, debe verificar si pertenecen al área y
clasificarla, en caso de que sea ajena al área debe notificar y entregar al
departamento de administración.
EL TÉCNICO DEBE:
1. El técnico de soporte designado por el coordinador debe mantener
contacto con foros, y otros grupos de interés vinculados con la seguridad
de la información, para estar al tanto de los avances tecnológicos,
amenazas y vulnerabilidades detectadas. Debe publicar al menos una vez
cada 15 días alguna noticia en la cartelera y dar una resumen a los
miembros del área.
2. Apoyar a las actividades del administrador de la red sin que esto afecte sus
obligaciones y responsabilidades o cuando el coordinador así lo disponga.
3. Obtener un respaldo de la configuración de los equipos de infraestructura
al menos una vez cada mes.
4. Revisar las configuraciones de los elementos del FIREWALL y ALLOT
periódicamente, esta revisión puede hacerla el administrador de la red en
conjunto con el coordinador.
5. Revisar el tráfico cursado en la red cada mes o cuando la situación lo
amerite para determinar si existen comportamientos anómalos y
analizarlos.
6. Clasificar la información en términos de su valor, sensibilidad e
importancia. Debe utilizar el instructivo para clasificación de la información
que se encuentra en la documentación de Sistemas y Soporte.
7. Revisar las políticas del Active Directory para otorgar o quitar permisos a
los diferentes usuarios; crear o eliminar usuarios para el dominio interno de
la empresa.
A más de las políticas anteriormente descritas; cada usuario de Sistemas y
Soporte es responsable de respaldar su información, cuando se saquen respaldos
en medios externos, debe proteger su información bajo llave en su estación de
trabajo.
105
Cada usuario de Sistemas y Soporte es responsable de mantener su estación de
trabajo limpia y ordenada.
La responsabilidad de los activos de Sistemas y Soporte es responsabilidad de
todos los miembros del área; por lo cual cada usuario debe cumplir las
obligaciones y responsabilidades, uso adecuado y aceptable de esta forma no se
comprometen los activos del área, caso contrario se aplicaran las respectivas
sanciones.
El administrador de la red y técnicos deben estar conformes con el acuerdo de
confidencialidad contraído con la empresa.
106
3.2.3.4 ASIGNACIÓN DE RESPONSABILIDADES
Titulo: Documento para asignación de responsabilidades
Serial: Fecha Emisión: Fecha Modificación:
Aprobación:
Elaborado por:
Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente documento detalla las responsabilidades que tendrán miembros de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. ASIGNACIÓN DE RESPONSABILIDADES
Las responsabilidades del área quedan distribuidas de la siguiente manera:
Actividades Responsable
Realizar el inventario de activos Ingeniero de Soporte
Realizar un listado de contraseñas Administrador de la red
Coordinar las actividades de seguridad Coordinador
Etiquetar documentos Networking
Realizar notas de entrega y pedido Ingeniero de soporte
Etiquetar cableado Administrador de la red
Depuración de equipos de la red Ingeniero de soporte
Monitoreo y Mantenimiento de equipos Administrador de la red
Asignación de responsabilidades y obligaciones Coordinador
Respaldo de información Networking
Comunicar políticas a Networking Coordinador
107
3.2.3.5 USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN
Titulo: Documento para Uso Aceptable de los Activos de información
Serial: Fecha Emisión: Fecha Modificación:
Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente documento detalla las responsabilidades que tendrán miembros de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. ASIGNACIÓN DE RESPONSABILIDADES
Las responsabilidades del área quedan distribuidas de la siguiente manera:
La empresa IDEBSYSTEMS dispone de activos de información para apoyar a
todos sus empleados en sus actividades diarias, estos activos deben ser
utilizados de manera aceptable. El uso correcto de ello se define en los siguientes
párrafos:
LINEAMIENTO PARA USO DEL CORREO INTERNO
1. Todo el personal de IDEBSYSTEMS, tiene derecho a una cuenta de correo
electrónico en el servidor de correo.
2. Es responsabilidad del usuario hacer buen uso de su cuenta, entendiendo
por buen uso:
§ El no mandar ni contestar cadenas de correo.
§ El uso de su cuenta con fines académicos y/o investigación.
§ La depuración de su INBOX del servidor (no dejar correos por largos
periodos en su buzón de correo).
§ El no hacer uso de la cuenta para fines comerciales.
§ El respetar las cuentas de otros usuarios Internos y Externos.
§ El uso de un lenguaje apropiado en sus comunicaciones.
3. Se asignará solamente una cuenta por usuario.
4. Las cuentas conmutadas para el personal administrativo serán asignas por
el administrador del servidor de correo.
5. Su cuenta de correo es personal e intransferible no permitiéndose que
segundas personas hagan uso de ella, (compañeros, amigos, hijos, entre
otras.). A menos que sea de asuntos primordiales relacionados con el
108
trabajo.
6. La cuenta se dará de baja cuando IDEBSYSTEMS lo considere
conveniente una vez que el personal deje de pertenecer a la empresa.
7. Es responsabilidad del usuario el cambiar su contraseña con regularidad,
cumpliendo con las normas que se definen en administración de correo
acerca del manejo de contraseñas seguros. El tiempo de vida de las
contraseñas será de seis meses.
8. El usuario será responsable de la información que sea enviada con su
cuenta, por lo cual se asegurará de no mandar SPAMS de información, ni
de mandar anexos que pudieran contener información nociva para otro
usuario como virus o pornografía.
9. El usuario es responsable de respaldar sus archivos de correo
manteniendo en el INBOX (Buzón de correo) solamente documentos en
tránsito, sus demás comunicados deberá mantenerlos en su equipo
personal o en su defecto en carpetas dentro de su cuenta en el servidor.
10. Al responder comunicados generales o para un grupo específico de
usuarios, el usuario deberá cuidar de no responder a TODOS los usuarios
salvo cuando ésta sea la finalidad de la respuesta.
11. IDEBSYSTEMS se reserva el derecho de enviar al usuario la información
que considere necesaria como un medio de comunicación empresarial.
12. La vigencia y espacio de las cuentas será definida por el administrador del
Servidor de correo (con la autorización respectiva) de acuerdo a los
recursos disponibles, con base en las necesidades del usuario.
13. IDEBSYSTEMS se reservará el uso de monitorear las cuentas que
presenten un comportamiento sospechoso para la seguridad de la
empresa.
14. El usuario es responsable de respetar la ley de derechos de autor, no
abusando de este medio para distribuir de forma ilegal licencias de
software o reproducir información sin conocimiento del autor.
15. El incumplimiento por parte del usuario del buen uso de su cuenta puede
ocasionar la suspensión y posterior baja del sistema de su cuenta.
16. Se recomienda a los usuarios grabar sus trabajos en discos flexibles una
vez que su computadora haya revisado el disco con un antivirus
109
actualizado, para evitar cualquier pérdida de información valiosa para ellos.
LINEAMIENTO DEL USO DE INTERNET
1. Desde el equipo asignado a cada usuario será posible hacer uso de la red
Internet, únicamente para fines consultivos, definiéndose como consultivo a
todas aquellas búsquedas de información que apoyen al usuario a resolver
un problema o inconveniente.
2. El administrador de la red es el encargado de asignar una máquina al
usuario, quien será responsable durante el tiempo que permanezca en su
poder.
3. IDEBSYSTEMS se reserva el derecho de revisión para verificar que el
software instalado tenga las licencias respectivas en el caso que amerite.
4. Cualquier uso que cause efectos opuestos a la operación de
IDEBSYSTEMS o ponga en riesgo el uso o rendimiento de la red, será
analizado por esta administración para tomar medidas.
5. En caso de usar la cuenta a través de Internet se debe asegurar de salir
totalmente de la misma en cada sesión, cuando se desocupe el equipo.
LINEAMIENTO PARA USO DE EQUIPOS
1. Cuando exista la necesidad de sacar un equipo de IDEBSYSTEMS se
debe tener autorización del coordinador y de gerencia y la respectiva nota
de entrega.
2. No es permitido que los usuarios utilicen equipo de la empresa para
asuntos personales (como alquiler a terceros, pruebas personales, entre
otros).
3. Cuando se sale con equipos, es necesario disponer de transporte seguro
como puede ser un servicio de taxis a domicilio.
LINEAMIENTO PARA USO DE DOCUMENTOS
1. En la empresa existe documentación de equipos que está a disposición de
los empleados para realizar consultas o configuraciones. Los manuales de
los equipos deben ser utilizados solamente dentro de la empresa.
2. Si es necesario llevar un manual fuera de la oficina se debe notificar de
este hecho al coordinador mediante un correo electrónico.
Si el documento está en digital, se aplicará el acuerdo de confidencialidad.
110
3.2.3.6 INVENTARIO DE ACTIVOS
Titulo: Instructivo de Inventario de activos
Serial: Fecha Emisión: Fecha Modificación:
Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente instructivo permite realizar un inventario de los activos de información
que dispone el área de Sistemas y Soporte de la empresa IDEBSYSTEMS.
II. PROCEDIMIENTO PARA REALIZAR EL INVENTARIO
Todos los activos deben ser registrados.
La siguiente tabla muestra las características que se deben tomar de cada activo
del área. Se llenarán los datos que apliquen.
Ítem Equipo Producto Número Serial Número de Parte Descripción
1
2
3
4
5
6
7
8
9
10
Cuando exista la necesidad de prestar o rentar un activo, entonces deberá
llenarse una nota de entrega para tener un registro de movimiento del activo.
111
A continuación se presenta el formato para solicitar equipos al área.
NOTA DE PEDIDO
Fecha:
Solicita:
Cliente:
Fecha de préstamo:
Fecha de devolución:
Motivo de Préstamo
Revisado Por:
Nota de Pedido Nº:
Días aproximados:
Autorizado Por:
Observaciones:
Listado de Equipos
Ítem Equipo Descripción Cantidad
Atentamente
Recibí Conforme
112
A continuación se presenta el formato para entregar equipos al área.
NOTA DE ENTREGA
Fecha:
Atención:
Cliente:
Fecha de préstamo:
Fecha de devolución:
Nota de Entrega Nº:
Nota de Pedido Nº:
Días aproximados:
Observaciones:
Sírvase encontrar adjunto a la presente lo siguiente
Ítem Equipo Descripción Cantidad
Atentamente
Recibí Conforme
113
3.2.3.7 INSTRUCTIVO PARA ETIQUETADO Y MANEJO DE LA
INFORMACIÓN
Titulo: Instructivo para Etiquetado y Manejo de la Información
Serial: Fecha Emisión: Fecha Modificación:
Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
Aquí se describe la metodología a utilizar para la asignación del código o
serial, la cual aplicará el área de Sistemas y Soporte de la empresa
IDEBSYSTEMS para identificar los documentos del Plan de Seguridad de la
Información.
II. PROCEDIMIENTO PARA ETIQUETAR DOCUMENTOS.
Todos los documentos emitidos en el Plan de Seguridad de la Información
serán identificados con una numeración alfanumérica única para cada
documento, este número será conocido como el identificador del documento.
El primer carácter (desde la izquierda) corresponde a la función del
documento. A continuación se detallan las diferentes funciones del
documento.
I Instrucción de trabajo.- Es un documento en donde se define paso a paso el
“como” de una actividad.
F Formulario.- Documento utilizado para anotar los resultados de cualquier
actividad, el cual podría convertirse en registro.
M Manual.- Es un documento compuesto por cierta extensión en cuanto a
número de páginas, que contiene información del Plan de Seguridad de la
Información.
P Procedimientos.- Es el documento que define “quién hace qué” y “cuándo”.
Este documento describe la forma específica para llevar a cabo una actividad
o proceso.
R Registros.- Son documentos que sirven como evidencia para demostrar a
terceros que un requisito del Plan Piloto de Políticas de Seguridad Informática
está implantado y ha sido cumplido. Es un documento donde se mantienen
anotados los resultados de alguna actividad realizada. Los registros son las
114
huellas del Plan de Seguridad de la Información; con ellos se puede
demostrar a otros que los “DEBE” o “Actividades” que exige la norma se han
realizado.
L Política (Lineamiento).- Es un documento que sirve de lineamiento o guía,
que se debe cumplir en el grupo. Las políticas son normas con las cuales hay
que cumplir, una actividad o algún aspecto de Sistemas y Soporte.
T Tablas.- Es un documento del Plan de Seguridad de la Información el cual
contiene información relevante de la organización. Su representación gráfica
podría ser un cuadro, una matriz, entre otras.
G Guía.- Es un documento que sirve como orientación o consulta y permite
localizar fácilmente, en un solo documento, gran parte de los conceptos
relacionados con un aspecto en particular.
Los dos siguientes caracteres son numéricos e identifican a cual área de la
empresa pertenece el documento según la siguiente lista:
01 Sistemas y Soporte
02 Capacitación
03 Ventas
04 Presidencia
05 Legal
06 Software
07 Administración
08 Atención al cliente
Los tres siguientes dígitos muestran el orden secuencial del documento. El
siguiente carácter, que es alfanumérico, representa una modificación al
documento. Se inicia con la primera letra del alfabeto y así hasta la última.
Siempre que se modifique un documento, al final se debe incluir un anexo,
donde se enumeren las razones por las cuales se ha modificado dicho
documento.
En dicho anexo, se especificará el (los) tipo (s) de cambio (s) aplicado(s) al
documento, según:
A Añadido.- Se refiere a cuando se agrega algún párrafo o renglón al
documento.
F Fusionado.- Se refiere cuando se unifican dos o más documentos en uno
115
solo.
M Modificado.- Se refiere a cuando el cambio solamente se efectúa en
algunas partes del documento.
R Reemplazado.- Se refiere a cuando el documento es totalmente cambiado.
Cuando un documento sea modificado, se deberá registrar la fecha en que se
aplicaron los cambios en el cuadro “Fecha modificación” del formato del
documento, siempre se mantendrá la “Fecha de emisión” intacta.
Si existe un documento que hace referencia a otro, se debe hacer referencia
solamente al número serial del equipo mas no a la parte de la modificación;
esto es para evitar realizar cambios en todos los documentos que tengan
como referencia al documento modificado.
116
3.2.3.8 INSTRUCTIVO PARA REVISIÓN DE LAS POLÍTICAS DE SEGURIDAD
INFORMÁTICA
Titulo: Instructivo para revisión de las políticas de seguridad Informática
Serial:
Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por:
Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente instructivo para la revisión de las políticas de seguridad Informática
evalúa la efectividad de las políticas de seguridad Informática implementadas en
el área de Sistemas y Soporte de la empresa IDEBSYSTEMS
II. REVISIÓN DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA
Se debe revisar cada política implementada en el área de Sistemas y Soporte con
base a la siguiente tabla.
Política Efectividad de la Política Observación
Excelente Buena Mala Pésima
Si existe documentación de actividades relativas con las políticas, se debe tomar
en cuenta para evaluar la política y debe registrarse una observación al respecto.
117
3.2.3.9 REGISTRO DE COMPROMISO DE LA DIRECCIÓN CON LA
SEGURIDAD INFORMÁTICA
Titulo: Registro de compromiso de la dirección con la seguridad informática
Serial:
Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por:
Revisado y Aprobado por:
I. INTRODUCCIÓN
En el presente documento se registra el compromiso que la dirección establece
con el Plan de Seguridad de la Información a implementarse en el área de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. COMPROMISO DE LA GERENCIA CON EL PLAN DE SEGURIDAD
INFORMÁTICA
La Gerencia de la empresa IDEBSYSTEMS ha leído y se encuentra consiente
cuán importante es el establecimiento de políticas de seguridad Informática en el
área de Sistemas y Soporte.
Es por esto que la Gerencia manifiesta el compromiso y el apoyo activo para con
el proyecto de implementación de políticas de seguridad Informática.
La Gerencia puede intervenir en el desarrollo e implementación de las políticas,
incluso puede dar por terminado el desarrollo de la implementación en caso de
considerarlo necesario.
118
3.2.3.10 REGISTRO DE CONTACTO CON GRUPOS DE INTERESES
Titulo: Registro de Contacto con grupos de Intereses
Serial:
Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por:
Revisado y Aprobado por:
I. INTRODUCCIÓN
Este registro permite verificar que la persona encargada del contacto con grupos
de interés está cumpliendo sus obligaciones.
II. REGISTRO DE CONTACTOS
Fecha de Contacto:
Tema Tratado:
Fuente de información:
119
3.2.3.11 REGISTRO DE CONTACTO CON LAS AUTORIDADES
Titulo: Registro de Contacto con las autoridades
Serial: Fecha Emisión: Fecha Modificación:
Aprobación:
Elaborado por:
Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente documento es un registro de haber tenido contacto con el coordinador
y la gerencia acerca del Plan de Seguridad de la Información.
II. TEMAS TRATADOS
A continuación se especifican los temas mencionados con las autoridades.
120
3.2.3.12 REGISTRO DE REVISIÓN INDEPENDIENTE DE LA SEGURIDAD
INFORMÁTICA
Titulo: Registro de revisión Independiente de la seguridad Informática
Serial Fecha Emisión: Fecha Modificación:
Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
Este documento es un registro de auditoría interna que debe ser realizado una
vez cada seis meses en el área de Sistemas y Soporte de la empresa
IDEBSYSTEMS.
II. DETALLE DE AUDITORÍA
A continuación se presentan las novedades encontradas en la auditoría interna.
121
3.2.3.13 REGISTRO DE SEGUIMIENTO DE LAS POLÍTICAS DE SEGURIDAD
INFORMÁTICA
Titulo: Registro de Seguimiento de las Políticas de Seguridad Informática
Serial:
Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por:
Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente registro es para el seguimiento de las políticas de seguridad
Informática, evalúa si las políticas de seguridad Informática implementadas en el
área de Sistemas y Soporte de la empresa IDEBSYSTEMS se están llevando a
cabo y los resultados obtenidos.
II. SEGUIMIENTO DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA
Se debe revisar cada política implementada en el área de Sistemas y Soporte con
base a la siguiente tabla.
Políticas
Gerencia
Aplicabilidad de la Política Observaciones/Sugerencias
Si No Resultados
1
2
3
4
5
6
7
8
9
Políticas
Coordinador Aplicabilidad de la Política
Observaciones/Sugerencias
Si No Resultados
122
1
2
3
4
5
6
7
8
9
10
11
Políticas
Administrador Aplicabilidad de la Política
Observaciones/Sugerencias
Si No Resultados
1
2
3
4
5
6
7
8
9
10
11
12
13
Políticas
Técnico Aplicabilidad de la Política
Observaciones/Sugerencias
Si No Resultados
123
1
2
3
4
5
6
7
Si existe documentación de actividades relativas con las políticas, se debe tomar
en cuenta para evaluar la política y debe registrarse una observación al respecto.
124
3.3 ANÁLISIS DE RESULTADOS DEL CASO DE ESTUDIO
De los resultados obtenidos a través de todo el proceso de validación del plan de
seguridad de la información planteado para este capítulo, se obtiene que el
proyecto alcanza su propósito, es decir cumple sus objetivos ya que como se notó
se logró implementar en una empresa donde nunca se lo había realizado como un
proceso formal.
El plan denota en su implementación varias fortalezas propias de su proceso, a
pesar que el alcance del plan no se extiende a todas las áreas o departamentos
de la organización, al seleccionar el área de Sistemas y Soporte la cual se
encarga de controlar la gestión de las tecnologías de la información dentro de la
empresa.
Luego de haber propuesto un plan de seguridad informático los niveles de
seguridad en muchos aspectos cambian notablemente como se puede evidenciar
en la tabla 3.11, en la cual se presenta la situación actual de la seguridad
informática comparándola con la evaluación de la situación previa de la seguridad
informática presentada en la parte 3.2.1 de este capítulo.
Todos estos cambios que benefician notablemente a la seguridad de la
información de la empresa se basan principalmente en las Políticas de Seguridad
Informática y en los documentos que genera la implementación de este plan de
seguridad información.
Aspectos Evaluados
Nivel de
Seguridad
Previo
Nivel de
Seguridad
Actual
Observación
Evaluación de la
seguridad lógica Contraseñas 3 5
Se revisan y
administran las
políticas de Active
Directory, Se
documentan los
datos de acceso.
125
Aspectos Evaluados
Nivel de
Seguridad
Previo
Nivel de
Seguridad
Actual
Observación
Inactividad 2 5
Se revisan y
administran las
políticas de Active
Directory,
Asignación de
funciones 4 5
Se definen
claramente las
funciones
especificas de
cada rol
Evaluación de la
seguridad de las
comunicaciones
Topología de
red 4 4
No se adquieren
nuevos
dispositivos de red
Conexiones
externas 4 5
Se definen
políticas para
estas conexiones
Configuración
lógica de red 3 5
Se administra los
dispositivos de
conmutación
como se define en
las políticas
Mail 1 5
Se tiene un
lineamiento para
uso del correo
interno
126
Aspectos Evaluados
Nivel de
Seguridad
Previo
Nivel de
Seguridad
Actual
Observación
Antivirus 1 4
Se define en las
políticas la
adquisición y
administración de
antivirus,
dependiendo de
gerencia la
adquisición de los
mismos
Firewall 2 5
Se define políticas
para revisar las
configuraciones
del firewall
Evaluación de
seguridad en las
aplicaciones
Control de
aplicaciones en
pc’s
2 5
Se tiene un
lineamiento para
uso del correo
interno
Evaluación de
seguridad física
Equipamiento 2 5
Se realiza
inventarios,
administración de
equipos
Control de
acceso a
equipos
2 5
Se definen
políticas para el
acceso a equipos
Dispositivos de
soporte 3 5
Se capacita al
personal
127
Aspectos Evaluados
Nivel de
Seguridad
Previo
Nivel de
Seguridad
Actual
Observación
Cableado
estructurado 4 5
Se realiza un
adecuado
etiquetado de los
dispositivos del
cableado y la
documentación
sobre la misma
Administración
del cuarto de
equipos
Administración
del cuarto de
equipos
1 5
La administración
se define en los
roles y políticas
Capacitación 2 4
La capacitación
está definida en
los roles y
políticas, aun
depende de la
disponibilidad de
los encargados de
realizar la
capacitación
Backup 1 5
Se define políticas
y se asigna roles
para tareas de
respaldos
Documentación 1 5
Se tiene un
procedimiento
para etiquetar los
documentos
Tabla 3.11 Comparación de la situación previa y actual de la seguridad de la información. Fuente: Elaborado por la autora
128
Al realizar la comparación de la situación previa y actual de la seguridad de la
información se puede obtener un dato más representativo de esta comparación
realizando una sumatoria de todos los aspectos evaluados obteniendo un puntaje
total previo y actual de la situación. se realiza una sumatoria de estos aspectos
obteniendo un puntaje de 42 para la situación previa y 87 para la situación actual,
con lo cual se puede apreciar que la seguridad de la información ha mejorado en
un 207,14%.
129
4 CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES
§ Al haber estudiando los estándares de seguridad informática se puede
apreciar como los requerimientos de un mundo globalizado han
empujado hacia la construcción de oficinas virtuales globalizadas,
apoyándose en recursos tecnológicos que han llevado a la exposición
de uno de los activos más importantes de una organización a riesgos
antes inimaginables, generando con ello la necesidad de, en primer
lugar, tomar consciencia de la verdadera importancia de la información
de la organización y en segundo lugar a definir reglas claras que
permitan un manejo adecuado de esta y minimicen los riesgos a los que
se la somete en la carrera por brindar los recursos adecuados para la
toma de decisiones a los altos ejecutivos de las organizaciones.
§ La tecnología actual permite al usuario acceder desde cualquier parte a
un sistema integrado de información y es por eso que la seguridad
informática juega un rol determinan mediante la administración
centralizada y las funciones de claves de seguridad en esa plataforma
de administración como se pudo apreciar en el caso de estudio.
§ Del análisis del caso de estudio se pudo notar la importancia de
considerar dentro de un sistema de seguridad informático la detección
de espías ya que las redes gracias a la tecnología actual son muy
vulnerables a ser atacadas por un hacker quien capturando información
puede acceder a datos confidenciales de la empresa.
§ Un aspecto elemental para el Plan de Seguridad de la Información es la
definición de las políticas de seguridad informática y su alineación con
la misión y visión de la empresa como se noto en este trabajo ya que
las políticas son la parte medular de la seguridad de la información.
§ En cuanto a los riesgos identificados no se encontraron mayores
inconvenientes, sin embargo existe un porcentaje significativo de
riesgos de nivel medio, que pueden ser mitigados mediante la
aplicación de los lineamientos de implementación de los controles
aplicables a la empresa, que están señalados en el Plan de Seguridad.
130
La mitigación de los riesgos de bajo nivel detectados se pone a
consideración del administrador del área de Soporte y Sistemas, dado
que su impacto es mínimo son aceptados.
§ Un factor importante para evaluar los riesgos y determinar los
requerimientos de seguridad en este caso de estudio fue la definición
de los criterios de seguridad aplicables a la empresa, dado que con
ellos se pudo tener un contexto de las necesidades de seguridad de la
empresa.
§ El Plan de Seguridad planteado en este trabajo propone un resumen de
las decisiones concernientes con el tratamiento del riesgo y con los
requerimientos organizacionales y legales.
§ Los documentos resultantes de la implementación del plan de seguridad
de la información son específicos de este caso de estudio, pero
presentan una gran ventaja, ya que al ser la primera vez que se realiza
la implementación de un plan de seguridad de la información en la
empresa como un proceso formal. Este plan presenta los aspectos
fundamentales de un plan de seguridad de la información para que
pueda ser adaptado para otras organizaciones que se encuentren en la
misma condición.
§ Las Políticas de gestión de seguridad que se plantean en el caso de
estudio, luego del análisis precedente de la organización, establecen un
gran avance en cuanto a la gestión de la seguridad de la información
dentro de la organización permitiendo llevar un mantenimiento y
seguimiento eficiente a los riesgos y vulnerabilidades, ya que evita que
se deba tomar medidas drásticas cuando una amenaza logra explotar
una vulnerabilidad.
§ Una de las más claras evidencias para notar que la implementación del
plan tuvo una gran aceptación fue la definición de los roles y
responsabilidades a los principales involucrados, permitiendo así que
cada uno se encargue de actividades específicas y no de una forma
arbitraria según las demandas de cada situación, permitiendo que
conjuntamente se mejore continuamente la Gestión de la Seguridad de
la Información dentro de la organización.
131
§ En base al análisis de resultados se puede notar claramente como se
mejora la seguridad de la información de la empresa en más de un
200% lo cual es una notable evidencia de que la aplicación del plan
traerá muchos beneficios como reducir riesgos y vulnerabilidades.
§ Dado que la empresa cuenta con una política de calidad, lo que se hizo
fue aumentar ciertos controles. La implementación de estos controles
dará un importante aporte para el logro de los objetivos de la Empresa,
que es justamente la principal meta de este trabajo.
§ Para la aplicación del estándar ISO/IEC 13335 en un proyecto como el
presente, es necesario un amplio equipo de trabajo para realizar cada
una de las fases comprendidas en el estándar. Sin embargo, el
entusiasmo y la dedicación permitieron a la autora establecer un claro
enfoque sobre las tareas a llevar a cabo, saber organizarlas y
planificarlas para que su ejecución finalmente lleve a la consecución de
este trabajo, con el apoyo del Director.
4.2 RECOMENDACIONES
§ Es importante destacar que existen factores críticos de éxito que deben
ser tomados en cuenta para la implementación del Plan, entre ellos, a
partir de la experiencia de este trabajo, se recomiendan los siguientes:
o Establecimiento de Políticas, objetivos y actividades de
seguridad de información que reflejan los objetivos de la
Empresa.
o Realizar un enfoque y marco referencial para implementar,
mantener, monitorear y mejorar la seguridad de la información
que sea consistente con la cultura organizacional.
o Proporcionar soporte visible y compromiso de todos los
miembros de la Empresa.
o Alcanzar un buen entendimiento de los requerimientos de
seguridad de la información, evaluación del riesgo y gestión del
riesgo.
132
o Socialización de la seguridad de la información y distribución de
lineamientos sobre la política y los estándares de seguridad de la
información con los miembros de la empresa.
o El aprovisionamiento de los recursos para las actividades de
gestión de la seguridad de la información.
o Proveer el conocimiento, capacitación y educación apropiados.
o Establecer un proceso de gestión de incidentes de seguridad de
la información.
o La implementación de un sistema de medición de fácil
comprensión como la escala de Likert que se utiliza en este
trabajo para evaluar el desempeño en la gestión de la seguridad
de la información y retroalimentación de sugerencias para el
mejoramiento.
§ Se recomienda que las empresas de la industria del software en
Ecuador que no tienen establecido ningún Plan de Seguridad, o se
encuentran en la etapa de adopción de algún plan tomen este modelo
como referencia ya que es un resumen de los estándares de seguridad.
§ Se recomienda adoptar un estándar de seguridad de la información con
las normas ISO 13335 o la familia de estándares 27000 que proponen
muchos beneficios para las pequeñas y medianas empresas de nuestro
país, ya que se le da a las tecnologías y a la información el trato y el
valor adecuado que estas tienen puesto que la información es uno de
los bienes primordiales de las organizaciones.
§ Se recomienda extender el modelo de políticas de Seguridad
Informática desde el área de Soporte y Sistemas a toda la empresa, por
supuesto debe contar con el total apoyo de la gerencia y debe ser un
objetivo planteado para la organización.
§ Se recomienda desarrollar y establecer un Sistema de Gestión de
Seguridad de Información (SGSI) cuyo alcance es más extenso que el
Plan de Seguridad de la Información ya que involucra todos los
aspectos de seguridad de información que propone el estándar ISO
27000 que pueden ayudar a reducir aún más el riesgo de la
133
información, con el fin de robustecer y hacer más confiable a la
empresa.
§ Se recomienda analizar las normas de la familia 27000, las nuevas
revisiones de estándar ISO 13335 y los nuevos modelos y estándares
de seguridad que periódicamente van saliendo para mantener un
mejoramiento continúo del Plan de Seguridad de la Información.
§ Debido a que la información es muy importante, se recomienda que las
empresas capaciten al personal en lo referente a las normas de
Seguridad de la Información, y no verlo como un gasto sino como una
inversión ya que los beneficios obtenidos sobrepasan fácilmente a los
costos de inversión.
134
BIBLIOGRAFÍA
[1]. “Seguridad
Informatica”.http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica.
Mayo 2012
[2]. http://definicion.de/seguridad-informatica/ 2008-2012. . Mayo 2012
[3]. http://www.sinar.gov.ec/downloads/L_comercio.pdf. . Mayo 2012
[4]. http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pd
f . Mayo 2012
[5]. http://www.segu-info.com.ar/politicas/riesgos.htm. Mayo 2012
[6]. http://es.wikipedia.org/wiki/Riesgo_(inform%C3%A1tica). . Mayo 2012
[7]. http://www.piramidedigital.com/Documentos/ICT/pdictsegurindadinformatica
riesgos.pdf.Mayo 2012
[8]. http://www.cii-
murcia.es/informas/abr05/articulos/Analisis_gestion_riesgos_seguridad_sist
emas_informacion.pdf. Mayo 2012
[9]. http://www.dma.eui.upm.es/conferencias/contenido/seguridad_infor.pdf.
Mayo 2012
[10]. ISO/IEC 13335 Information technology — Security techniques —
Management of information and communications technology security. ISO
copyright office. 2004. Diciembre 2011
[11]. AREITIO Javier. Seguridad de la Información. Learning Parainfo.
Madrid 2008. Diciembre 2011
[12]. ISO/IEC 27001 Information technology - Security techniques -
Information security management systems – Requirements. ISO copyright
office. 2005. Diciembre 2011
[13]. CALDERÓN LÓPEZ, Darío Xavier; SUNTAXI OÑA, Diana Karina.
Propuesta para el análisis de la seguridad de la información en los
laboratorios de computación de las facultades de Ingeniería de Sistemas
de las Universidades de Quito. Quito - EPN, Marzo 2009. Diciembre 2011
[14]. VASCO AGUAS, Mireya Isabel; VERDEZOTO SALTOS, Mercedes
Estefanía. Plan de gestión de seguridad de la información basada en Tic's
135
para la Facultad de Ingeniería de Sistemas de la Escuela Politécnica
Nacional. Quito – EPN, Marzo 2009. Diciembre 2011
[15]. MANOBANDA CAZA, Gabriela Alexandra. Procedimiento para
evaluar el rendimiento y seguridades de servidores Windows. Quito – EPN,
Marzo 2009. Diciembre 2011
[16]. LÓPEZ, Agustín.“El portal de ISO 27001 en español.
http://www.iso27000.es.Mayo 2012
[17]. Anónimo. “Planes de seguridad
“http://www.textoscientificos.com/redes/firewalls-distribuidos/soluciones-
seguridad/politicas-seguridad/planes-seguridad.Mayo 2012
[18]. BORGHELLO, Cristian. Segu-Info. ”Tesis de Seguridad de la
Información”. http://www.segu-info.com.ar/tesis.Julio 2012.