iso 27001 implantación

Departamento de Tecnologas y Sistemas de Informacin

Universidad de CastillaLa Mancha

Tesis Doctoral

MGSMPYME

Metodologa para la Gestin de la Seguridad y su Madurez en las PYMES

Doctorando: Luis Enrique Snchez Crespo Director: Dr. D. Eduardo FernndezMedina Patn

Departamento de Tecnologas y Sistemas de Informacin

Universidad de CastillaLa Mancha

Tesis Doctoral

MGSMPYME

Metodologa para la Gestin de la Seguridad y su Madurez en las PYMES

Ciudad Real (Espaa), Marzo de 2009

Doctorando: Luis Enrique Snchez Crespo Director: Dr. D. Eduardo FernndezMedina Patn

Dedicatoria:

A mis padres, Luis y Amparo, porque ellos saben el esfuerzo que hay detrs de este trabajo y porque siempre me han alentado a seguir, se han sacrificado conmigo y han puesto la misma ilusin que yo en este proyecto.

A mi mujer, Maribel, por su amor y apoyo incondicional.

A mi hermana, Mara Amparo, por su nimo cuando me hizo falta.

A mi abuela, Enriqueta, con mi cario ms sincero y profundo.

A mi amigo y hermano, Antonio, que ha estado conmigo a lo largo de todo el camino, dndome nimos y escuchndome con infinita paciencia.

Y por ltimo a mis socios y amigos Carlos y Daniel que me prestaron toda la ayuda necesaria para hacer de este proyecto una realidad.

Agradecimientos

En primer lugar, mi agradecimiento es para m director de tesis Eduardo FernndezMedina porque desde el principio, ha confiado en m, me ha apoyado, ha trabajado duramente y me ha prestado su ayuda y consejo de manera incondicional, ofrecindome en todo momento toda su calidad profesional y humana.

A mis compaeros del Grupo Alarcos por su inestimable ayuda y consejos recibidos a lo largo de la realizacin de la tesis.

A todas aquellas personas que, de una forma u otra, han contribuido y me han dado nimos en la realizacin de este trabajo.

En todos los lugares donde encontr seres vivos, encontr voluntad de poder, e incluso en la voluntad del que sirve encontr voluntad de ser seor.

[..]

Y este misterio me ha confiado la vida misma. Mira, dijo, yo soy lo que tiene que superarse siempre a s mismo.

[..]

En verdad, vosotros llamis a esto voluntad de engendrar o instinto de finalidad, de algo ms alto, ms lejano, ms vario: pero todo eso es una nica cosa y un nico

misterio.

As hablo Zarathustra

Friedrich Nietzsche

i

ndice general 1.- Introduccin......................................................................................7

1.1. La seguridad en las organizaciones actuales. ...................................................... 7 1.1.1. Introduccin a los SGSI................................................................................ 9 1.1.2. Estado de la seguridad en las PYMES. ...................................................... 13 1.1.3. El coste de la falta de seguridad. ................................................................ 25 1.1.4. Marcos de trabajo de seguridad. ................................................................. 27 1.1.5. Conclusiones............................................................................................... 30

1.2. Marco de la tesis doctoral. ................................................................................. 32 1.3. Hiptesis y objetivos ......................................................................................... 34 1.4. Organizacin de la tesis doctoral....................................................................... 35

2.- Mtodo de trabajo ..........................................................................39

2.1. Investigacin cualitativa: Investigacinaccin................................................ 39 2.1.1. Definiciones................................................................................................ 39 2.1.2. Roles y modalidades en la investigacinaccin. ...................................... 40 2.1.3. Etapas de la investigacinaccin. ............................................................. 41 2.1.4. Problemas de la investigacinaccin y alternativas. ................................ 43 2.1.5. Ciclos en la investigacinaccin. ............................................................. 43

2.2. Aplicacin del mtodo de investigacin en este trabajo.................................... 45

3.- Estado del arte ................................................................................51

3.1. SGSIs: Aspectos tcnicos y culturales............................................................... 51 3.1.1. Implantacin del sistema de gestin de seguridad...................................... 52 3.1.2. Composicin del sistema de gestin de seguridad. .................................... 53 3.1.3. Cultura de la seguridad de la informacin.................................................. 55

3.2. Marcos y estndares generales para la gestin de la seguridad. ........................ 58 3.2.1. Familia de estndares de la 27000.............................................................. 58 3.2.1.1. ISO/IEC27001 (ISO/IEC27001, 2005). .............................................. 61 3.2.1.2. ISO/IEC27002 (ISO/IEC27002, 2007). .............................................. 62

3.2.2. ISO/IEC15408/Common Criteria (ISO/IEC-CCv3.1, 2007)...................... 63 3.2.3. ISO/IEC21827/SSECMM (SSE-CMM, 2003)......................................... 64 3.2.3.1. Relacin entre SSE-CMM y la ISO/IEC27002. .................................. 67 3.2.3.2. CC_SSECMM (Lee, et al., 2003)...................................................... 69

3.2.4. ISO/IEC20000 (ISO/IEC20000, 2005). ..................................................... 70 3.2.5. ITIL (ITILv3.0, 2007). ............................................................................... 72

ii

3.2.6. COBIT (COBITv4.0, 2006). ...................................................................... 74 3.2.6.1. Relacin entre COBIT y la ISO/IEC27002. ........................................ 78

3.2.7. ISM3 (ISM3, 2007). ................................................................................... 78 3.3. Propuestas de marcos para SGSIs orientados a PYMES................................... 81 3.3.1. Propuesta de Eloff (Eloff y Eloff, 2003). ................................................... 81 3.3.2. Propuesta de Areiza (Areiza, et al., 2005a). ............................................... 82 3.3.3. Propuesta de Dojkovski (Dojkovski, et al., 2006)...................................... 82 3.3.4. IS2ME (Linares y Paredes, 2007). ............................................................. 85 3.3.5. ASD (Wiander y Holappa, 2007). .............................................................. 87 3.3.6. Propuesta de Carey-Smith (Carey-Smith, et al., 2007). ............................. 89 3.3.7. Propuesta de Tawileh (Tawileh, et al., 2007). ............................................ 89 3.3.8. Propuesta de Sneza (Sneza, et al., 2007). ................................................... 91

3.4. Herramientas de gestin de la seguridad de la informacin. ............................. 95 3.5. Resumen y conclusiones.................................................................................... 96

4.- MGSMPYME: Metodologa para la gestin de la seguridad y su madurez en las PYMES.....................................................................103

4.1. Visin general de MGSMPYME................................................................... 103 4.1.1. Definiciones previas. ................................................................................ 105 4.1.2. Objetivos................................................................................................... 108 4.1.3. Actores...................................................................................................... 109 4.1.4. Subprocesos. ............................................................................................. 111 4.1.4.1. Descripcin breve del subproceso GEGS.......................................... 112 4.1.4.2. Descripcin breve del subproceso GSGS.......................................... 114 4.1.4.3. Descripcin breve del subproceso MSGS. ........................................ 117

4.1.5. Visin global. ........................................................................................... 118 4.2. Subproceso P1: GEGS Generacin de esquemas. ........................................ 121 4.2.1. Objetivos................................................................................................... 123 4.2.2. Entrada y salida. ....................................................................................... 123 4.2.3. Actores...................................................................................................... 125 4.2.4. Actividades. .............................................................................................. 126 4.2.4.1. Actividad A1.1: Generacin de tablas maestras................................ 126 4.2.4.2. Actividad A1.2: Generacin de tablas del nivel de madurez. ........... 129 4.2.4.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos........... 132 4.2.4.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.142

4.3. Subproceso P2: GSGS Generacin del SGSI. .............................................. 157 4.3.1. Objetivos................................................................................................... 159 4.3.2. Entrada y salida. ....................................................................................... 160 4.3.3. Actores...................................................................................................... 161 4.3.4. Actividades. .............................................................................................. 162 4.3.4.1. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. .... 162 4.3.4.2. Actividad A2.2: Establecimiento del nivel de madurez. ................... 166 4.3.4.3. Actividad A2.3: Realizacin del anlisis de riesgos.......................... 175 4.3.4.4. Actividad A2.4: Generacin del SGSI. ............................................. 183

4.4. Subproceso P3: MSGS Mantenimiento del SGSI. ....................................... 190 4.4.1. Objetivos................................................................................................... 192 4.4.2. Entrada y salida. ....................................................................................... 193

iii

4.4.3. Actores...................................................................................................... 194 4.4.4. Actividades. .............................................................................................. 194 4.4.4.1. Actividad A3.1: Obtener o renovar el certificado de CS................... 195 4.4.4.2. Actividad A3.2: Ejecutar procedimientos del SGSI.......................... 201 4.4.4.3. Actividad A3.3: Seguimiento del cumplimiento del SGSI................ 206

4.5. Modelo desarrollado Esquema base (EB). ................................................... 218 4.5.1. Niveles de madurez del modelo................................................................ 218 4.5.1.1. Seleccin de los controles para cada nivel de madurez..................... 222

4.5.2. Procedimientos del modelo. ..................................................................... 225 4.5.3. Perfiles del modelo. .................................................................................. 226 4.5.3.1. Cl/RD: Responsable de desarrollo..................................................... 226 4.5.3.2. Cl/RS: Responsable de seguridad...................................................... 226 4.5.3.3. Cl/RE: Responsable de explotacin. ................................................. 228 4.5.3.4. Cl/PA: Propietario de activos. ........................................................... 228 4.5.3.5. Cl/PS: Proveedor de servicios. .......................................................... 228 4.5.3.6. Cl/US: Usuarios del sistema de informacin..................................... 229 4.5.3.7. Cl/GDS: Gerente del departamento de sistemas................................ 229 4.5.3.8. Cl/RM : Responsable de marketing................................................... 230 4.5.3.9. Cl/RR: Responsable de RRHH.......................................................... 231 4.5.3.10. Cl/GD: Gerente de departamento. ................................................... 231 4.5.3.11. Cl/T: Terceros.................................................................................. 231 4.5.3.12. Resumen de perfiles. ....................................................................... 232

4.6. Conclusiones.................................................................................................... 233

5.- MGSMTOOL: Herramienta para gestionar la seguridad en las PYMES. ...................................................................................................237

5.1. Entorno tecnolgico......................................................................................... 237 5.2. Capa de presentacin. ...................................................................................... 239 5.2.1. Subproceso P1: GEGS Generacin de esquemas. ................................. 240 5.2.1.1. Actividad A1.1: Generacin de tablas maestras................................ 241 5.2.1.2. Actividad A1.2: Generacin de tablas del nivel de madurez. ........... 242 5.2.1.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos........... 243 5.2.1.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.245

5.2.2. Subproceso P2: GSGS Generacin del SGSI. ....................................... 247 5.2.2.1. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. .... 247 5.2.2.2. Actividad A2.2: Establecimiento del nivel de madurez. ................... 248 5.2.2.3. Actividad A2.3: Realizacin del anlisis de riesgos.......................... 249 5.2.2.4. Actividad A2.4: Generacin del SGSI .............................................. 249

5.2.3. Subproceso P3: MSGS Mantenimiento del SGSI. ................................ 250 5.2.3.1. Actividad A3.1: Obtener o renovar el certificado de CS................... 250 5.2.3.2. Actividad A3.2: Ejecutar procedimiento del SGSI. .......................... 251 5.2.3.3. Actividad A3.3: Seguimiento del cumplimiento del SGSI................ 252

5.3. Capa de negocio............................................................................................... 253 5.4. Capa de datos................................................................................................... 253 5.4.1. Tablas relacionadas con la definicin de esquemas. ................................ 254 5.4.1.1. Tablas relacionadas con el establecimiento del nivel de madurez. ... 254 5.4.1.2. Tablas relacionadas con el anlisis de riesgos................................... 255

iv

5.4.1.3. Tablas relacionadas con la biblioteca de artefactos........................... 256 5.4.2. Tablas relacionadas con casos de uso....................................................... 258

5.5. Aportaciones de la herramienta y futuras mejoras. ......................................... 260

6.- Caso de estudio. ............................................................................265

6.1. Descripcin de la organizacin........................................................................ 265 6.2. Descripcin del problema................................................................................ 266 6.3. Caso de estudio: Desarrollo del SGSI para SNT............................................. 266 6.3.1. Subproceso P1: GEGS Generacin de esquemas. ................................. 266 6.3.1.1. Actividad A1.1: Generacin de tablas maestras................................ 267 6.3.1.2. Actividad A1.2: Generacin de tablas del nivel de madurez. ........... 268 6.3.1.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos........... 268 6.3.1.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos.269

6.3.2. Subproceso P2: GSGS Generacin del SGSI. ....................................... 271 6.3.2.1. Actividad A2.1: Establecimiento del marco de trabajo del SGSI. .... 271 6.3.2.2. Actividad A2.2: Establecimiento del nivel de madurez. ................... 272 6.3.2.3. Actividad A2.3: Realizacin del anlisis de riesgos.......................... 274 6.3.2.4. Actividad A2.4: Generacin del SGSI. ............................................. 277

6.3.3. Subproceso P3: MSGS Mantenimiento del SGSI. ................................ 279 6.3.3.1. Actividad A3.1: Obtener o renovar el certificado de CS................... 279 6.3.3.2. Actividad A3.2: Ejecutar procedimientos del SGSI.......................... 281 6.3.3.3. Actividad A3.3: Seguimiento del cumplimiento del SGSI................ 282

6.4. Resultados y conclusiones. .............................................................................. 287

7.- Conclusiones..................................................................................291

7.1. Anlisis de la consecucin de los objetivos..................................................... 291 7.2. Aportaciones.................................................................................................... 293 7.3. Contraste de resultados. ................................................................................... 295 7.3.1. Resumen general de publicaciones........................................................... 295 7.3.2. Conferencias nacionales. .......................................................................... 296 7.3.3. Conferencias iberoamericanas.................................................................. 297 7.3.4. Conferencias internacionales.................................................................... 297 7.3.5. Revistas nacionales................................................................................... 299 7.3.6. Revistas internacionales. .......................................................................... 299 7.3.7. Captulos de libros. ................................................................................... 299

7.4. Lneas abiertas e investigacin futura. ............................................................ 300

Bibliografa..............................................................................................305

Anexos......................................................................................................325

A.- Acrnimos. ......................................................................................................... 325 A.1. Acrnimos generales. ................................................................................. 325 A.2. Acrnimos del modelo MGSMPYME. .................................................... 326

B.- Esquema base. .................................................................................................... 330 B.1. Actividad A1.1: Generacin de tablas maestras. ........................................ 330 B.1.1. T1.1.1: Establecimiento de los roles del esquema. .............................. 330

v

B.1.2. T1.1.2: Establecimiento de los sectores empresariales........................ 330 B.1.3. T1.1.3: Establecimiento de los niveles de madurez............................. 332

B.2. Actividad A1.2: Generacin de tablas del nivel de madurez...................... 332 B.2.1. T1.2.1: Establecimiento de las reglas de madurez............................... 332 B.2.2. T1.2.2: Establecimiento de los controles del modelo. ......................... 333

B.3. Actividad A1.3: Generacin de tablas del anlisis de riesgos. ................... 371 B.3.1. T1.3.1: Seleccin de tipos de activos................................................... 371 B.3.2. T1.3.2: Seleccin de amenazas. ........................................................... 371 B.3.3. T1.3.3: Seleccin de vulnerabilidades. ................................................ 372 B.3.4. T1.3.4: Seleccin de criterios de riesgo. .............................................. 373 B.3.5. T1.3.5: Establecer relaciones entre tipos de activos y vulnerabilidad. 373 B.3.6. T1.3.6: Establecer relaciones entre amenazas y vulnerabilidades. ...... 377 B.3.7. T1.3.7: Establecimiento de relaciones entre amenazas y controles. .... 381 B.3.8. T1.3.8: Establecer relaciones entre t.activos, vulnerabilid y c.riesgo.. 383

B.4. Actividad A1.4: Generacin de tablas de la biblioteca de artefactos. ........ 387 B.4.1. T1.4.1: Seleccin de reglamentos. ....................................................... 387 B.4.2. T1.4.2: Seleccin de procedimientos. .................................................. 389 B.4.3. T1.4.3: Seleccin de registros.............................................................. 389 B.4.4. T1.4.4: Seleccin de plantillas. ............................................................ 390 B.4.5. T1.4.5: Seleccin de instrucciones tcnicas......................................... 390 B.4.6. T1.4.6: Seleccin de Mtricas.............................................................. 390 B.4.7. T1.4.7: Establecimiento de relaciones entre reglamentosartefactos. . 391 B.4.8. T1.4.8: Establecimiento de relaciones entre reglamentos y controles. 395 B.4.9. T1.4.9: Establecimiento de relaciones entre artefactos y controles. .... 398 B.4.10. T1.4.10: Establecer relaciones entre procedimientos y artefactos. .... 401

C.- Dominios del esquema: Reglamentos y procedimientos. ................................... 403 C.1. OS: Organizacin de la seguridad............................................................... 403 C.1.1. OS/SI: Seguridad de la informacin. ................................................... 403 C.1.2. OS/UCII: Uso correcto de las infraestructuras de la informacin. ...... 406 C.1.3. OS/ISI: Infraestructura de seguridad de la informacin. ..................... 409 C.1.4. OS/AT: Acceso de terceros.................................................................. 413 C.1.5. OS/OE: Outsourcing (Externalizacin). .............................................. 415

C.2. CA: Clasificacin y control de activos. ...................................................... 421 C.2.1. CA/CI: Clasificacin de la informacin. ............................................. 421

C.3. GI: Deteccin y gestin de incidentes. ....................................................... 434 C.3.1. GI/ISFI: Infraestructura de seguridad de la informacin..................... 434 C.3.2. GI/PR: Planes de recuperacin. ........................................................... 447

C.4. SP: Seguridad del personal. ........................................................................ 453 C.4.1. SP/DPT: Seguridad en la definicin de los puestos de trabajo............ 453 C.4.2. SP/FU: Formacin de los usuarios....................................................... 460

C.5. SF: Seguridad fsica. ................................................................................... 462 C.5.1. SF/AS: rea de seguridad.................................................................... 462 C.5.2. SF/SE: Seguridad de equipamiento. .................................................... 470

C.6. CO: Comunicaciones y operaciones. .......................................................... 479 C.6.1. CO/POR: Procedimientos operativos y responsabilidades. ................. 480 C.6.2. CO/PSM: Proteccin contra software malicioso. ................................ 488 C.6.3. CO/GR: Gestin de la red. ................................................................... 490

vi

C.7. AC: Control de accesos............................................................................... 494 C.7.1. AC/GAU: Gestin de accesos de usuario. ........................................... 494 C.7.2. AC/ASO: Control de acceso a sistemas operativos. ............................ 505 C.7.3. AC/RNCA: Requisitos de negocio para el control de acceso.............. 509 C.7.4. AC/CAR: Control de acceso en red. .................................................... 516 C.7.5. AC/RU: Responsabilidades del usuario............................................... 517

C.8. TI: Tratamiento de la informacin.............................................................. 517 C.8.1. TI/CS: Copias de seguridad. ................................................................ 517 C.8.2. TI/IIS: Intercambio de informacin y software. .................................. 523 C.8.3. TI/US: Uso de soportes........................................................................ 541

C.9. CL: Requisitos legales y normativas........................................................... 541 C.9.1. CL/LOPD: Ley orgnica de proteccin de datos personales. .............. 541 C.9.2. CL/LPI: Ley de propiedad intelectual.................................................. 549

D.- Resultados detallados del subproceso sP2 para SNT. ........................................ 559 D.1. Actividad A2.2: Establecimiento del nivel de madurez. ............................ 559 D.1.1. T2.2.2: Recogida de informacin tcnica del S.I................................. 559

D.2. Actividad A2.3: Realizando el anlisis de riesgos...................................... 564 D.2.1. T2.3.2: Resultado de la matriz de riesgos............................................ 564 D.2.2. T2.3.2: Resultado del plan de mejora. ................................................. 633

E.- Resultados de aplicar la actividad 2.2 de MGSM-PYME en otras compaias... 639 E.1. Campo de trabajo. ....................................................................................... 639 E.2. Tarea T2.2.1: Recogida de informacin empresarial. ................................. 640 E.3. Tarea T2.2.2: Recogida de informacin tcnica del S.I. ............................. 641 E.4. Tarea T2.2.3: Establecimiento del nivel de madurez.................................. 645

F.- Mapa del SGSI. ................................................................................................... 647

vii

ndice de figuras Figura 1.1. SGSI en dos de las empresas evaluadas (Kuusisto y Ilvonen, 2003)........... 13 Figura 1.2. Controles en las PYMES de Europa (Dimopoulos, et al., 2004b) ............... 15 Figura 1.3. Controles de segurid. en las PYMES de USA (Dimopoulos, et al., 2004b) 16 Figura 1.4. Existencia de un RS en las PYMES (Dimopoulos, et al., 2004b)................ 17 Figura 1.5. Antecedentes del RS en las PYMES (Dimopoulos, et al., 2004b)............... 18 Figura 1.6. Existe un sistema de anlisis de riesgos (Dimopoulos, et al., 2004b).......... 19 Figura 1.7. Razones para no realizar el anlisis de riesgos (Dimopoulos, et al., 2004b)20 Figura 1.8. Controles de seguridad PYMES de Europa (Dimopoulos, et al., 2004b) . 20 Figura 1.9. Programa de seguridad de la informacin (Llvonen, 2006)......................... 23 Figura 1.10. Existencia de documentacin de poltica de seguridad (Llvonen, 2006)... 23 Figura 1.11. Vulnerabilidades de seguridad reportadas por el CERT (19952008). ..... 24 Figura 2.1. Carcter cclico de investigacinaccin. .................................................... 42 Figura 2.2. Carcter iterativo de la IA, adaptado de (Kock, 2004) .............................. 42 Figura 2.3. Dos dimensiones en investigacinaccin en sistemas de informacin ...... 44 Figura 2.4. Aplicacin de IA en la tesis doctoral. ........................................................ 46 Figura 3.1. Fases en la implantacin de un SGSI........................................................... 52 Figura 3.2. Elementos bsicos de un SGSI (Eloff y Eloff, 2003) .................................. 54 Figura 3.3. Marco de establecimiento de la cultura de seguridad. ................................. 56 Figura 3.4. Orientaciones de seguridad (Chia, et al., 2002b). ........................................ 56 Figura 3.5. Procesos de la ISO/IEC27001 (ISO/IEC27001, 2005). ............................... 61 Figura 3.6. Dominios de la ISO/IEC20072 (ISO/IEC27002, 2007)............................... 63 Figura 3.7. Integracin de ISO/IEC27001 y SSE-CMM en el modelo de referencia. ... 67 Figura 3.8. Asociacin de la ISO/IEC20000 con la ISO/IEC27001. ............................. 72 Figura 3.9. Marco de trabajo de ITIL. ............................................................................ 73 Figura 3.10. Flujo de los dominios de COBIT (COBITv4.0, 2006) .............................. 76 Figura 3.11. Marco para el desarrollo de la CS en la PYME (Dojkovski, et al., 2006). 84 Figura 3.12. Esquema general del mtodo IS2ME (Linares y Paredes, 2007)............... 86 Figura 3.13. Esquema detallado del mtodo IS2ME (Linares y Paredes, 2007)............ 86 Figura 3.14. Ciclo iterativo (Holappa y Wiander, 2006b).............................................. 88 Figura 3.15. Ciclo de sensibilizacin de seguridad (Tawileh, et al., 2007).................... 90 Figura 3.16. Etapas de gestin de la seguridad (Tawileh, et al., 2007) .......................... 90 Figura 3.17. Marco para fomentar la CS en las PYMES (Sneza, et al., 2007)............... 93 Figura 4.1. Esquema inicial de la metodologa MGSMPYME y su modelo. ............ 104 Figura 4.2. Esquema de los componentes de un SGSI. ................................................ 105 Figura 4.3. Esquema de los componentes de un Rol. ................................................... 106 Figura 4.4. Esquema de los componentes de un reglamento........................................ 106 Figura 4.5. Esquema de los componentes del anlisis de riesgos................................. 107

viii

Figura 4.6. Esquema de los componentes de un procedimiento................................... 107 Figura 4.7. Subproceso y productos del proceso de desarrollo MGSMPYME.......... 112 Figura 4.8. Artefactos que componen el subproceso GEGS. ....................................... 113 Figura 4.9. Artefactos que componen el subproceso GSGS. ....................................... 115 Figura 4.10. Artefactos que componen el subproceso MSGS...................................... 117 Figura 4.11. Esquema simplificado a nivel de actividad del subproceso GEGS.......... 121 Figura 4.12. Esquema detallado a nivel de actividad del subproceso GEGS............... 122 Figura 4.13. Esquema simplificado a nivel de de tarea de la actividad A1.1............... 126 Figura 4.14. Esquema detallado a nivel de tarea de la actividad A1.1......................... 127 Figura 4.15. Esquema simplificado a nivel de tarea de la actividad A1.2.................... 130 Figura 4.16. Esquema detallado a nivel de tarea de la actividad A1.2......................... 130 Figura 4.17. Esquema simplificado a nivel de tarea de la actividad A1.3.................... 133 Figura 4.18. Esquema detallado a nivel de tarea de la actividad A1.3......................... 134 Figura 4.19. Esquema simplificado a nivel de tarea de la actividad A1.4.................... 143 Figura 4.20. Esquema detallado a nivel de tarea de la actividad A1.4......................... 144 Figura 4.21. Ejemplo de reglamento para control de activos. ...................................... 145 Figura 4.22. Parte del procedimiento de gestin de licencias. ..................................... 147 Figura 4.23. Ejemplo de registros para cumplimiento LOPD. ..................................... 148 Figura 4.24. Ejemplo de plantilla para control de activos. ........................................... 149 Figura 4.25. Ejemplo de instruccin tcnica para gestin de incidencias. ................... 151 Figura 4.26. Esquema simplificado a nivel de actividad del subproceso GSGS.......... 158 Figura 4.27. Esquema detallado a nivel de actividad del subproceso GSGS. .............. 159 Figura 4.28. Esquema simplificado a nivel de tarea de la actividad A2.1.................... 162 Figura 4.29. Esquema detallado a nivel de tarea de la actividad A2.1......................... 163 Figura 4.30. Esquema simplificado a nivel de tarea de la actividad A2.2.................... 166 Figura 4.31. Esquema detallado a nivel de tarea de la actividad A2.2......................... 167 Figura 4.32. Nivel de madurez actual y objetivo.......................................................... 168 Figura 4.33. Esquema simplificado a nivel de tarea de la actividad A2.3.................... 176 Figura 4.34. Esquema detallado a nivel de tarea de la actividad A2.3......................... 177 Figura 4.35. Esquema general del anlisis de riesgos. ................................................. 178 Figura 4.36. Esquema simplificado a nivel de tarea de la actividad A2.4.................... 184 Figura 4.37. Esquema detallado a nivel de tarea de la actividad A2.4......................... 185 Figura 4.38. Aprobacin de la documentacin generada con MGSMPYME. ........... 189 Figura 4.39. Esquema simplificado a nivel de actividad del subproceso MSGS. ........ 190 Figura 4.40. Esquema detallado a nivel de actividad del subproceso MSGS. ............. 191 Figura 4.41. Esquema simplificado a nivel de tarea de la actividad A3.1.................... 195 Figura 4.42. Esquema detallado a nivel de tarea de la actividad A3.1......................... 196 Figura 4.43. Obtencin inicial de un certificado de cultura de seguridad. ............... 198 Figura 4.44. Esquema de renovacin de un certificado de la CS. ................................ 199 Figura 4.45. Asociacin del NCS con el periodo de renovacin de los certificados.... 200 Figura 4.46. Esquema simplificado a nivel de tarea de la actividad A3.2.................... 201 Figura 4.47. Esquema detallado a nivel de tarea de la actividad A3.2......................... 202 Figura 4.48. Flujo de actividad en procedimientos. ..................................................... 203 Figura 4.49. Esquema del procedimiento de denuncia................................................. 204 Figura 4.50. Esquema de activacin de un procedimiento de denuncia....................... 205 Figura 4.51. Esquema simplificado a nivel de tarea de la actividad A3.3.................... 206 Figura 4.52. Esquema detallado a nivel de tarea de la actividad A3.3......................... 207

ix

Figura 4.53. Representacin grfica de las tareas de la actividad A3.3. ...................... 208 Figura 4.54. Niveles del cuadro de mandos de seguridad. ........................................... 210 Figura 4.55. Alteracin del NCS por una violacin de la normativa. .......................... 214 Figura 4.56. Gestionar los certificados de cultura de la seguridad............................... 215 Figura 4.57. Sistema de alertas para control de niveles de seguridad .......................... 218 Figura 4.58. Esquema de los dominios del MGSMPYME. ....................................... 225 Figura 4.59. Proc. accesibles por el responsable de desarrollo (Cl/RD). ..................... 226 Figura 4.60. Proc. accesibles por el responsable de seguridad (Cl/RS). ...................... 227 Figura 4.61. Proc. accesibles por el responsable de explotacin (Cl/RE). ................... 228 Figura 4.62. Proc. accesibles por los propietarios de los activos (Cl/PA).................... 228 Figura 4.63. Proc. accesibles por el proveedor de servicios (Cl/PS)............................ 229 Figura 4.64. Proc. accesibles por los usuarios del sistema de inform. (Cl/US)............ 229 Figura 4.65. Proc. accesibles por el gerente del departam. de sistemas (Cl/GDS)....... 230 Figura 4.66. Proc. accesibles por el responsable de marketing (Cl/RM). .................... 230 Figura 4.67. Proc. accesibles por el responsable de RRHH (Cl/RR). .......................... 231 Figura 4.68. Proc. accesibles por los gerentes de los departamentos (Cl/GD)............. 231 Figura 4.69. Proc. accesibles por terceros (Cl/T). ........................................................ 232 Figura 5.1. Arquitectura del modelo de negocio ASP.................................................. 237 Figura 5.2. Esquema de capas de MGSMTOOL........................................................ 238 Figura 5.3. Principales zonas de la aplicacin.............................................................. 240 Figura 5.4. Pantallas de seleccin de esquemas. .......................................................... 241 Figura 5.5. A1.1 Pantalla de seleccin de sectores, perfiles y nivel madurez. .......... 241 Figura 5.6. A1.1 Pantalla de seleccin de tipos de empresa...................................... 242 Figura 5.7. A1.2 Pantalla de reglas de madurez. ....................................................... 242 Figura 5.8. A1.2 Pantalla de controles. ..................................................................... 243 Figura 5.9. A1.3 Pantalla de artefactos bsicos del AR. ........................................... 244 Figura 5.10. A1.3 Pantalla de matrices del AR. ........................................................ 244 Figura 5.11. A1.4 Pantallas de artefactos del esquema. ............................................ 245 Figura 5.12. A1.4 Pantalla de procedimientos del esquema...................................... 246 Figura 5.13. A1.4 Pantalla de matrices del SGSI. ..................................................... 246 Figura 5.14. Pantalla de generacin de empresa e instancias del SGSI. ...................... 247 Figura 5.15. A2.1 Pantalla asignacin de perfiles x usuarios al SGSI. ..................... 248 Figura 5.16. A2.2 Pantalla de establecimiento del nivel de madurez........................ 249 Figura 5.17. A2.3 Pantalla de realizacin del AR. .................................................... 249 Figura 5.18. A2.4 Pantalla de generacin del SGSI. ................................................. 250 Figura 5.19. A3.1 Pantalla de test de cultura de seguridad. ...................................... 250 Figura 5.20. A3.2 Pantalla de procedimientos del SGSI. .......................................... 251 Figura 5.21. A3.2 Pantalla de procedimiento de denuncia del SGSI. ....................... 252 Figura 5.22. A3.3 Pantalla de cuadro de mandos del SGSI. ..................................... 252 Figura 5.23. Repositorio de esquemas nivel de madurez. ......................................... 254 Figura 5.24. Repositorio de esquemas anlisis de riesgos......................................... 256 Figura 5.25. Repositorio de esquemas biblioteca de objetos del SGSI. .................... 257 Figura 5.26. Repositorio de casos de uso. .................................................................... 259 Figura 6.1. Organigrama de la compaa SNT............................................................. 265 Figura 6.2. Introduccin de una violacin de una norma por un usuario del S.I. ........ 282 Figura 6.3. Validacin y aprobacin de una violacin del S.I por el RS. .................... 282 Figura C.1. DFP para la revisin y evaluacin peridica de la PS (OS/SIPR01). ..... 404

x

Figura C.2. DFP de revisin del manual de buen uso de los S.I. (OS/UCIIPR01). ... 407 Figura C.3. DFP para asignacin de responsabilidades sobre AI (OS/ISIPR01). ...... 410 Figura C.4. DFP para acceso al S.I. desde instalaciones personales (OS/ISIPR02). . 412 Figura C.5. DFP de riesgos para el acceso a terceros (OS/ATPR01)......................... 414 Figura C.6. DFP Contratacin de servicios (OS/OEPR01). ....................................... 417 Figura C.7. DFP de Contratacin de outsourcing (OS/OEPR02). ............................. 418 Figura C.8. DFP de gestin de inventario de activos (CA/CIPR01). ......................... 422 Figura C.9. DFP de Gestin de inventario de activos alta (CA/CIPR01/1). ........... 423 Figura C.10. DFP de gestin de inventario de activos modific. (CA/CIPR01/2).... 425 Figura C.11. DFP de Gestin de inventario de activos baja (CA/CIPR01/3). ........ 426 Figura C.12. DFP de clasificacin de activos (CA/CIPR02). .................................... 428 Figura C.13. DFP para clasificacin de activos de informacin (CA/CIPR03). ........ 429 Figura C.14. DFP para revisin peridica del anlisis de riesgos (CA/CIPR04)....... 431 Figura C.15. DFP de revisin y clasificacin peridica de activos (CA/CIPR05)..... 432 Figura C.16. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01). ...... 436 Figura C.17. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01/1). ... 437 Figura C.18. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01/2). ... 438 Figura C.19. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01/3). ... 440 Figura C.20. DFP de comunicacin de incidentes de seguridad (GI/ISFIPR01/4). ... 441 Figura C.21. DFP de medidas disciplinarias (GI/ISFIPR02). .................................... 443 Figura C.22. DFP de medidas disciplinarias (GI/ISFIPR02/1). ................................. 445 Figura C.23. DFP de recuperacin de incidentes de seguridad (GI/PRPR01). .......... 449 Figura C.24. DFP de recuperacin de incidentes de seguridad (GI/PRPR02). .......... 452 Figura C.25. DFP para la contratacin (SP/DPTPR01). ............................................ 455 Figura C.26. DFP durante la contratacin (SP/DPTPR02). ....................................... 457 Figura C.27. DFP para la finalizacin de la contratacin (SP/DPTPR03). ................ 458 Figura C.28. DFP para la formacin del personal en seguridad (SP/FUPR01).......... 461 Figura C.29. DFP para el control de acceso fsico (SF/ASPR01). ............................. 464 Figura C.30. DFP para control de acceso fsico N1 visitantes (SF/ASPR01/1)... 465 Figura C.31. DFP para control de acceso fsico N2 visitantes (SF/ASPR01/2)... 466 Figura C.32. DFP para control de acceso fsico N1 personal (SF/ASPR01/3). ... 467 Figura C.33. DF para el control de acceso fsico N2 personal (SF/ASPR01/4)... 468 Figura C.34. DFP para la instalacin y proteccin de los equipos (SF/SEPR01). ..... 472 Figura C.35. DFP para el mantenimiento de los equipos (SF/SEPR02). ................... 474 Figura C.36. DFP para la seguridad fuera de la organizacin (SF/SEPR04). ............ 475 Figura C.37. DFP para baja segura o reutilizacin de equipos (SF/SEPR04)............ 477 Figura C.38. DFP de segregacin de funciones en oper. sistema (CO/PORPR01).... 481 Figura C.39. DFP de segregacin de funciones entornos oper. (CO/PORPR02).... 483 Figura C.40. DFP de planificacin de capacidad de sistemas (CO/PORPR03). ........ 485 Figura C.41. DFP de controles de proteccin soft. malicioso (CO/PSMPR01)...... 489 Figura C.42. DFP de revisin peridica de controles de red (CO/GRPR01). ............ 492 Figura C.43. DFP de revisin de controles del correo electrnico (CO/GRPR02). ... 493 Figura C.44. DFP para la gestin de acceso de usuarios (AG/GAUPR01)................ 496 Figura C.45. DFP de gestin de accesos de usuarios alta (AC/GAUPR01/1)......... 497 Figura C.46. DFP de gestin de accesos de usuarios modif. (AC/GAUPR01/2).... 498 Figura C.47. DFP de gestin de accesos de usuarios baja (AC/GAUPR01/3)........ 499 Figura C.48. DFP de gestin de contraseas (AC/GAUPR02). ................................. 500

xi

Figura C.49. DFP de gestin de privilegios de usuarios (AC/GAUPR03). ............... 501 Figura C.50. DFP de gestin de privilegios de usuarios alta (AC/GAUPR03/1).... 502 Figura C.51. DFP de gestin de privileg. de usuarios modif. (AC/GAUPR03/2). . 503 Figura C.52. DFP de gestin de privilegios de usuarios baja (AC/GAUPR03/3)... 504 Figura C.53. DFP de gestin de utilidades del sistema (AC/ASOPR01). .................. 508 Figura C.54. DFP de controles para la gestin de acceso (AC/RNCAPR01). ........... 511 Figura C.55. DFP de controles para monitorizacin de accesos (AC/RNCAPR02).. 513 Figura C.56. DFP de acceso remoto al sistema de informacin (AC/RNCAPR03). . 515 Figura C.57. DFP de relacin de copias de seguridad (TI/CSPR01). ........................ 519 Figura C.58. DFP de restauracin de copias de seguridad (TI/CSPR02)................... 520 Figura C.59. DFP de revisin de copias de seguridad (TI/CSPR03). ........................ 522 Figura C.60. DFP de gestin de informacin del S.I. (TI/IISPR01). ......................... 525 Figura C.61. DFP de gestin de informacin del S.I. alta (TI/IISPR01/1). ............ 526 Figura C.62. DFP de gestin de informacin del S.I. modif. (TI/IISPR01/2)......... 528 Figura C.63. DFP de gestin de informacin del S.I. baja (TI/IISPR01/3)............. 530 Figura C.64. DFP de marcado y tratamiento de la informacin (TI/IISPR02). ......... 531 Figura C.65. DFP de marcado y tratamiento de la inform. alta (TI/IISPR02/1). .... 532 Figura C.66. DFP de tratamiento de la infor. modif. (TI/IISPR02/2). .................... 533 Figura C.67. DFP de marcado y tratamiento de la inform. baja (TI/IISPR02/3). ... 534 Figura C.68. DFP de gestin de traslado y salida de informacin (TI/IISPR03). ...... 535 Figura C.69. DFP de intercambio fsico de informacin (TI/IISPR03/1). ................. 536 Figura C.70. DFP de intercambio lgico de informacin (TI/IISPR03/2). ................ 538 Figura C.71. DFP de autorizacin de salida de informacin (TI/IISPR03/3). ........... 539 Figura C.72. DFP de gestin de ficheros de LOPD (CL/LOPDPR01). ..................... 544 Figura C.73. DFP de gestin de ficheros de LOPD alta (CL/LOPDPR01/1). ........ 544 Figura C.74. DFP de gestin de ficheros de LOPD modif. (CL/LOPDPR01/2)..... 546 Figura C.75. DFP de gestin de ficheros de LOPD baja (CL/LOPDPR01/3)......... 547 Figura C.76. DFP de revisin documento de seguridad (CL/LOPDPR02)................ 548 Figura C.77. DFP de gestin de licencias de software (CL/LPIPR01). ..................... 551 Figura C.78. DFP de gestin de licencias de software alta (CL/LPIPR01/1). ........ 551 Figura C.79. DFP de gestin de licencias de software modif. (CL/LPIPR01/2)..... 552 Figura C.80. DFP de gestin de licencias de software baja (CL/LPIPR01/3)......... 552 Figura C.81. DFP de revisin peridicas de licencias de Sw (CL/LPIPR02). ........... 553 Figura C.82. DFP de solicitud de licencias de software (CL/LPIPR03). ................... 555 Figura C.83. DFP de gestin de licencias de soft. en terminales (CL/LPIPR04)....... 556 Figura C.84. DFP para instalacin de licencias en equipos (CL/LPIPR04/1)............ 557 Figura C.85. DFP para eliminar licencias de los equipos (CL/LPIPR04/2)............... 557 Figura E.1. Nivel de cumplimiento medio de dominios de ISO/IEC17799:2000........ 643 Figura E.2. Nivel de cumplimiento medio de los dominios de la ISO/IEC27002 ....... 644 Figura E.3. Comparativa de casos entre la ISO/IEC17799:2000 y la ISO/IEC27002 . 644

xiii

ndice de tablas Tabla 1.1. Listado de compaas analizadas en TampereFinlandia (Llvonen, 2006). . 22 Tabla 1.2. Proyectos y redes que soportan esta tesis doctoral. ....................................... 32 Tabla 3.1. reas de procesos de SSECMM. ................................................................ 66 Tabla 3.2. Relacin entre SSE-CMM y la ISO/IEC27002. ............................................ 68 Tabla 3.3. Relacin entre el CC y SSECMM............................................................... 69 Tabla 3.4. Compatibilidad entre CC y SSE-CMM......................................................... 70 Tabla 3.5. Resumen lgico de la metodologa COBIT (COBITv4.0, 2006). ................. 77 Tabla 3.6. Comparacin entre COBIT y la ISO/IEC27002............................................ 78 Tabla 3.7. Asociacin de los procesos de ISM3 a sus niveles de madurez. ................... 80 Tabla 3.8. Relacin entre propuesta Eloff e ISO/IEC27002. ......................................... 81 Tabla 3.9. Relacin entre propuesta Areiza e ISO/IEC27002........................................ 82 Tabla 3.10. Divisin en niveles de madurez de la ISO/IEC17799 por ISF.................... 88 Tabla 3.11. Elementos de la definicin raz (Tawileh, et al., 2007)............................... 91 Tabla 3.12. Comparativa de metodologas de gestin de seguridad. ............................. 98 Tabla 3.13. Asociacin de metodologas con las actividades de MGSMPYME. ........ 99 Tabla 4.1. Resumen de subprocesos, actividades y tareas de MGSMPYME. ........... 120 Tabla 4.2. Intervencin de los actores en el subproceso GEGS................................... 125 Tabla 4.3. Tarea T1.1.1 Establecimiento de los roles del esquema........................... 127 Tabla 4.4. Tarea T1.1.2 Establecimiento de los sectores empresariales. .................. 128 Tabla 4.5. Tarea T1.1.3 Establecimiento de los niveles de madurez. ....................... 129 Tabla 4.6. Tarea T1.2.1 Establecimiento de las reglas de madurez. ......................... 131 Tabla 4.7. Tarea T1.2.2 Establecimiento de los controles......................................... 132 Tabla 4.8. Tarea T1.3.1 Seleccin de tipos de activos. ............................................. 135 Tabla 4.9. Tarea T1.3.2 Seleccin de tipos de amenazas. ......................................... 136 Tabla 4.10. Tarea T1.3.3 Seleccin de tipos de vulnerabilidades. ............................ 137 Tabla 4.11. Tarea T1.3.4 Seleccin de criterios de riesgo......................................... 138 Tabla 4.12. Tarea T1.3.5 Establecim. de relaciones entre t.activosvulnerabilid. .... 139 Tabla 4.13. Tarea T1.3.6 Establec. de relaciones entre amenazasvulnerabilid. ...... 140 Tabla 4.14. Tarea T1.3.7 Establecimiento de relaciones entre amenazascontroles. 141 Tabla 4.15. Tarea T1.3.8 Establec. de relaciones entre activ.vulner.c.riesgo. ...... 142 Tabla 4.16. Tarea T1.4.3 Seleccin de reglamentos.................................................. 145 Tabla 4.17. Tarea T1.4.1 Seleccin de procedimientos............................................. 146 Tabla 4.18. Tarea T1.4.5 Seleccin de registros. ...................................................... 148 Tabla 4.19. Tarea T1.4.4 Seleccin de plantillas....................................................... 149 Tabla 4.20. Tarea T1.4.2 Seleccin de instrucciones tcnicas. ................................. 150 Tabla 4.21. Tarea T1.4.6 Seleccin de mtricas........................................................ 151 Tabla 4.22. Ejemplo de indicador de seguridad. .......................................................... 152

xiv

Tabla 4.23. Tarea T1.4.7 Establec. de relaciones entre reglament.document. ........ 153 Tabla 4.24. Matriz de asociacin entre el reglamento y los artefactos......................... 153 Tabla 4.25. Tarea T1.4.8 Establec. de relaciones entre reglament.controles. ......... 154 Tabla 4.26. Matriz de asociacin entre el reglamento y los controles.......................... 154 Tabla 4.27. Tarea T1.4.9 Establec. de relaciones entre artefactos y controles.......... 155 Tabla 4.28. Matriz de asociacin entre los artefactos y los controles. ......................... 156 Tabla 4.29. Tarea T1.4.10 Establec. de relaciones entre procedim.artefactos. ....... 156 Tabla 4.30. Matriz de asociacin entre los procedimientos y los artefactos. ............... 157 Tabla 4.31. Intervencin de los actores en el subproceso GSGS ................................. 161 Tabla 4.32. Tarea T2.1.1 Solicitud de interlocutor vlido......................................... 164 Tabla 4.33. Tarea T2.1.2 Solicitud de organigrama de la compaa. ........................ 165 Tabla 4.34. Tarea T2.1.3 Obtencin de lista de usuarios del S.I. y sus roles. ........... 165 Tabla 4.35. Tarea T2.2.1 Lista de verificacin del perfil de la empresa. .................. 168 Tabla 4.36. Reglas para determinar el nivel de madurez deseable para la PYME....... 169 Tabla 4.37. Tarea T2.2.2 Lista de verificacin de controles. .................................... 170 Tabla 4.38. Tarea T2.2.3 Obtencin del nivel de madurez de la seguridad. ............. 171 Tabla 4.39. Ejemplo de pesos asociados a las reglas.................................................... 172 Tabla 4.40. Ejemplo 1 para determinar el nivel de madurez de la PYME. .................. 172 Tabla 4.41. Ejemplo 2 para determinar el nivel de madurez de la PYME. .................. 173 Tabla 4.42. Ejemplo 3 para determinar el nivel de madurez de la PYME. .................. 173 Tabla 4.43. Pseudocdigo del algoritmo del nivel de madurez recomendado. ............ 174 Tabla 4.44. Pseudocdigo del algoritmo del nivel de madurez actual. ........................ 175 Tabla 4.45. Tarea T2.3.1 Identificacin de activos. .................................................. 178 Tabla 4.46. Tarea T2.3.2 Generacin de la matriz de riesgos y plan de mejora. ...... 179 Tabla 4.47. Algoritmo para determinar el nivel de riesgo............................................ 181 Tabla 4.48. Pseudocdigo del algoritmo de matriz de riesgos. .................................... 182 Tabla 4.49. Pseudocdigo del algoritmo del plan de mejora. ...................................... 183 Tabla 4.50. Ejemplo de plan de mejora. ....................................................................... 183 Tabla 4.51. Tarea T2.4.1 Generacin de los objetos del SGSI.................................. 186 Tabla 4.52. Pseudocdigo del algoritmo de generacin del SGSI. .............................. 187 Tabla 4.53. Activacin de procedim. del MGSMPYME segn el nivel de madurez. 188 Tabla 4.54. Tarea T2.4.2 Presentacin de resultados al interlocutor......................... 189 Tabla 4.55. Intervencin de los actores en el subproceso MSGS................................. 194 Tabla 4.56. Tarea T3.1.1 Realizacin del test de cultura de seguridad. .................... 197 Tabla 4.57. Tarea T3.2.1 Activar procedimiento general.......................................... 203 Tabla 4.58. Tarea T3.4.1 Activar procedimiento de denuncia. ................................. 204 Tabla 4.59. Cuadro resumen de mtricas de autorregulacin del nivel de seguridad. . 209 Tabla 4.60. Tarea T3.3.1 Gestionar el cuadro de mandos de seguridad.................... 210 Tabla 4.61. Tarea T3.3.2 Gestionar la periodicidad de los procedimientos. ............. 211 Tabla 4.62. Tarea T3.3.3 Gestionar las violaciones de seguridad. ............................ 212 Tabla 4.63. Tarea T3.3.4 Gestionar los certificados de cultura de la seguridad........ 213 Tabla 4.64. Tarea T3.3.5 Realizacin de auditoras peridicas................................. 215 Tabla 4.65. Tarea T3.3.6 Realizacin de mtricas generales. ................................... 217 Tabla 4.66. Tarea T3.3.7 Gestionando el sistema de alertas. .................................... 217 Tabla 4.67. Comparativa entre diferentes modelo de madurez de seguridad............... 222 Tabla 4.68. Relacin entre CNAE, tamao de la compaa y el control 6.2.3............. 224 Tabla 4.69. Valores para el control 6.2.3 por CNAE y tamao de empresa. ............... 224

xv

Tabla 4.70. Tabla resumen de la asociacin entre perfiles y procedimientos. ............. 232 Tabla 6.1. Perfiles del esquema. ................................................................................... 267 Tabla 6.2. Sectores empresariales................................................................................. 267 Tabla 6.3. Niveles de madurez del esquema. ............................................................... 268 Tabla 6.4. Lista de trabajadores de SNT y roles asociado al S.I. ................................. 272 Tabla 6.5. Reglas para establecer el nivel de seguridad deseable para la compaa. ... 273 Tabla 6.6. Ejemplo del resultado de la lista de verificacin tcnica de SNT. .............. 273 Tabla 6.7. Resultados por dominio y nivel de madurez para SNT ISO/IEC27002... 274 Tabla 6.8. Lista de activos de SNT............................................................................... 275 Tabla 6.9. Matriz de riesgos para SNT......................................................................... 276 Tabla 6.10. Plan de mejora para SNT........................................................................... 277 Tabla 6.11. Generacin del SGSI para SNT................................................................. 278 Tabla 6.12. Examen de obtencin del certificado de c.seguridad. ............................... 280 Tabla 6.13. Resultado del examen de certificado de seguridad.................................... 280 Tabla 6.14. Ejemplo de procedimiento general. ........................................................... 281 Tabla 6.15. Ejemplo de mtricas generales. ................................................................. 283 Tabla 6.16. Ejemplo de mtricas de periodicidad de procedimientos. ......................... 283 Tabla 6.17. Ejemplo de penalizacin de controles por examen de CS......................... 285 Tabla 6.18. Ejemplo de mtricas generales. ................................................................. 286 Tabla 6.19. Ejemplo de mtricas generales. ................................................................. 287 Tabla 6.20. Alerta de seguridad.................................................................................... 287 Tabla 6.21. Tiempo medio de implantacin de un SGSI con MGSMPYME ............ 288 Tabla 7.1. Estadstica de las publicaciones................................................................... 295 Tabla 7.2. Lista de publicaciones clasificadas por temas. ............................................ 295 Tabla A.1. Acrnimos generales. ................................................................................. 326 Tabla A.2. Acrnimos del modelo MGSMPYME. .................................................... 329 Tabla B.1. Perfiles del esquema. .................................................................................. 330 Tabla B.2. Sectores empresariales................................................................................ 332 Tabla B.3. Niveles de madurez del esquema................................................................ 332 Tabla B.4. Reglas de madurez del esquema. ................................................................ 333 Tabla B.5. Controles del esquema Dominio5............................................................ 334 Tabla B.6. Controles del esquema Dominio6............................................................ 336 Tabla B.7. Controles del esquema Dominio7............................................................ 337 Tabla B.8. Controles del esquema Dominio8............................................................ 339 Tabla B.9. Controles del esquema Dominio9............................................................ 342 Tabla B.10. Controles del esquema Dominio10........................................................ 354 Tabla B.11. Controles del esquema Dominio11........................................................ 360 Tabla B.12. Controles del esquema Dominio12........................................................ 364 Tabla B.13. Controles del esquema Dominio13........................................................ 366 Tabla B.14. Controles del esquema Dominio14........................................................ 368 Tabla B.15. Controles del esquema Dominio15........................................................ 370 Tabla B.16. Tipos de activos del esquema. .................................................................. 371 Tabla B.17. Amenazas del esquema............................................................................. 372 Tabla B.18. Vulnerabilidades del esquema. ................................................................. 373 Tabla B.19. Criterios de riesgo del esquema. ............................................................... 373 Tabla B.20. Relacin entre tipos de activos y vulnerabilidades del esquema. ............. 377 Tabla B.21. Relacin entre tipos de amenazas y vulnerabilidades del esquema.......... 380

xvi

Tabla B.22. Relacin entre tipos de amenazas y controles del esquema...................... 383 Tabla B.23. Relacin entre tipos de activos, amenazas y c.riesgo del esquema. ......... 387 Tabla B.24. Reglamentos del esquema......................................................................... 388 Tabla B.25. Procedimientos del esquema..................................................................... 389 Tabla B.26. Registros del esquema. ............................................................................. 390 Tabla B.27. Plantillas del esquema............................................................................... 390 Tabla B.28. Instrucciones tcnicas del esquema. ......................................................... 390 Tabla B.29. Mtricas del esquema................................................................................ 391 Tabla B.30. Relaciones entre los artefactos y reglamentos del esquema. .................... 395 Tabla B.31. Relaciones entre los reglamentos y controles del esquema. ..................... 398 Tabla B.32. Relaciones entre los artefactos y controles del esquema. ......................... 400 Tabla B.33. Relaciones entre los procedimientos y artefactos del esquema. ............... 402 Tabla C.1. Reglamento para gestin de la seguridad (OS/SIN01). ............................ 403 Tabla C.2. Propiedades: Revisin de la poltica de seguridad (OS/SIPR01). ............ 405 Tabla C.3. Otros objetos para la gestin de la seguridad (OS/SI). ............................... 406 Tabla C.4. Reglamento para gestin de la seguridad (OS/UCIIN01). ....................... 406 Tabla C.5. Propiedades: Manual de buen uso de los S.I. (OS/UCIIPR01). ............... 408 Tabla C.6. Otros objetos para la gestin de la seguridad (OS/UCII). .......................... 408 Tabla C.7. Reglamento para gestin de la seguridad (OS/ISIN01)............................ 409 Tabla C.8. Propiedades: Responsabilidades sobre activos (OS/ISIPR01). ................ 409 Tabla C.9. Propiedades: Acceso al S.I. desde remoto (OS/ISIPR02). ....................... 411 Tabla C.10. Otros objetos para la gestin de la seguridad (OS/ISI)............................. 413 Tabla C.11. Reglamento para gestin de la seguridad (OS/ATN01). ........................ 413 Tabla C.12. Propiedades: Riesgos para el acceso a terceros (OS/ATPR01). ............. 415 Tabla C.13. Reglamento para gestin de la seguridad (OS/OEN01). ........................ 416 Tabla C.14. Propiedades: Contratacin de servicios (OS/OEPR01). ......................... 416 Tabla C.15. Propiedades: Contratacin de outsourcing (OS/OEPR02). .................... 419 Tabla C.16. Otros objetos para la gestin de la seguridad (OS/OE). ........................... 420 Tabla C.17. Reglamento para gestin de la seguridad (CA/CIN01). ......................... 421 Tabla C.18. Propiedades: Gestin de inventario de activos (CA/CIPR01). ............... 422 Tabla C.19. Propiedades: Clasificacin de activos (CA/CIPR02). ............................ 427 Tabla C.20. Propiedades: Clasificacin de activos de informacin (CA/CIPR03). ... 429 Tabla C.21. Propiedades: Revisin del anlisis de riesgos (CA/CIPR04). ................ 430 Tabla C.22. Propiedades: Revisin y clasificacin de activos (CA/CIPR05). ........... 432 Tabla C.23. Otros objetos para la gestin de la seguridad (CA/CI). ............................ 434 Tabla C.24. Reglamento para gestin de la seguridad (GI/ISFIN01). ....................... 435 Tabla C.25. Propiedades: Comunicacin de incidentes de segurid. (GI/ISFIPR01).. 436 Tabla C.26. Propiedades: Medidas disciplinarias (GI/ISFIPR02).............................. 442 Tabla C.27. Otros objetos para la gestin de la seguridad (GI/ISFI). .......................... 447 Tabla C.28. Reglamento para gestin de la seguridad (GI/PRN01)........................... 447 Tabla C.29. Propiedades: Recuperacin de incidentes de seguridad (GI/PRPR01)... 448 Tabla C.30. Propiedades: Recuperacin de incidentes de seguridad (GI/PRPR02)... 451 Tabla C.31. Otros objetos para la gestin de la seguridad (GI/PR).............................. 453 Tabla C.32. Reglamento para gestin de la seguridad (SP/DPTN01)........................ 454 Tabla C.33. Propiedades: Para la contratacin (SP/DPTPR01). ................................ 454 Tabla C.34. Propiedades: Durante la contratacin (SP/DPTPR02). .......................... 456 Tabla C.35. Propiedades: Finalizacin de la contratacin (SP/DPTPR03)................ 458

xvii

Tabla C.36. Otros objetos para la gestin de la seguridad (SP/DPT)........................... 460 Tabla C.37. Reglamento para gestin de la seguridad (SP/FUN01). ......................... 460 Tabla C.38. Propiedades: Formacin del personal en seguridad (SP/FUPR01). ....... 461 Tabla C.39. Reglamento para gestin de la seguridad (SF/ASN01). ......................... 462 Tabla C.40. Propiedades: Control de acceso fsico (SF/ASPR01). ............................ 463 Tabla C.41. Otros objetos para la gestin de la seguridad (SF/AS). ............................ 469 Tabla C.42. Reglamento para gestin de la seguridad (SF/SEN01)........................... 470 Tabla C.43. Propiedades: Instalacin y proteccin de los equipos (SF/SEPR01)...... 471 Tabla C.44. Propiedades: Mantenimiento de los equipos (SF/SEPR02).................... 473 Tabla C.45. Propiedades: Seguridad de los equipos externos (SF/SEPR04). ............ 474 Tabla C.46. Propiedades: Baja segura o reutilizacin de equipos (SF/SEPR04). ...... 476 Tabla C.47. Otros objetos para la gestin de la seguridad (SF/SE).............................. 478 Tabla C.48. Reglamento para gestin de la seguridad (CO/PORN01). ..................... 479 Tabla C.49. Propiedades: Segregacin en operaciones del S.I. (CO/PORPR01)....... 480 Tabla C.50. Propiedades: Segregacin en entornos operativos (CO/PORPR02)....... 482 Tabla C.51. Propiedades: Planificacin de la capacidad (CO/PORPR03). ................ 484 Tabla C.52. Otros objetos para la gestin de la seguridad (CO/POR). ........................ 487 Tabla C.53. Reglamento para gestin de la seguridad (CO/PSMN01). ..................... 488 Tabla C.54. Propiedades: Controles de protecc. soft. malicioso (CO/PSMPR01).. 489 Tabla C.55. Otros objetos para la gestin de la seguridad (CO/PSM). ........................ 490 Tabla C.56. Reglamento para gestin de la seguridad (CO/GRN01)......................... 491 Tabla C.57. Propiedades: Revisin peridica de controles de red (CO/GRPR01). ... 491 Tabla C.58. Propiedades: Controles del correo electrnico (CO/GRPR02). ............. 493 Tabla C.59. Otros objetos para la gestin de la seguridad (CO/GR)............................ 494 Tabla C.60. Reglamento para gestin de la seguridad (AC/GAUN01)...................... 495 Tabla C.61. Propiedades: Gestin de acceso de usuarios (AG/GAUPR01)............... 496 Tabla C.62. Propiedades: Gestin de contraseas (AC/GAUPR02). ......................... 499 Tabla C.63. Propiedades: Gestin de privilegios de usuarios (AC/GAUPR03). ....... 500 Tabla C.64. Otros objetos para la gestin de la seguridad (AC/GAU). ....................... 505 Tabla C.65. Reglamento para gestin de la seguridad (AC/ASON01). ..................... 506 Tabla C.66. Propiedades: Gestin de utilidades del sistema (AC/ASOPR01)........... 507 Tabla C.67. Otros objetos para la gestin de la seguridad (AC/ASO). ........................ 509 Tabla C.68. Reglamento para gestin de la seguridad (AC/RNCAN01). .................. 509 Tabla C.69. Propiedades: Controles para la gestin de acceso (AC/RNCAPR01). ... 510 Tabla C.70. Propiedades: Controles para monitoriz. de accesos (AC/RNCAPR02). 512 Tabla C.71. Propiedades: Acceso remoto al S.I. (AC/RNCAPR03).......................... 514 Tabla C.72. Otros objetos para la gestin de la seguridad (AC/RNCA). ..................... 516 Tabla C.73. Reglamento para gestin de la seguridad (AC/CARN01). ..................... 516 Tabla C.74. Reglamento para gestin de la seguridad (AC/RUN01)......................... 517 Tabla C.75. Reglamento para gestin de la seguridad (TI/CSN01). .......................... 518 Tabla C.76. Propiedades: Relacin de copias de seguridad (TI/CSPR01)................. 518 Tabla C.77. Propiedades: Restauracin de copias de seguridad (TI/CSPR02). ......... 520 Tabla C.78. Propiedades: Revisin de copias de seguridad (TI/CSPR03)................. 521 Tabla C.79. Otros objetos para la gestin de la seguridad (TI/CS). ............................. 523 Tabla C.80. Reglamento para gestin de la seguridad (TI/IISN01). .......................... 523 Tabla C.81. Propiedades: Gestin de informacin del S.I. (TI/IISPR01). ................. 524 Tabla C.82. Propiedades: Marcado y tratamiento de la informacin (TI/IISPR02)... 531

xviii

Tabla C.83. Propiedades: Traslado y salida de informacin (TI/IISPR03)................ 535 Tabla C.84. Otros objetos para la gestin de la seguridad (TI/IIS). ............................. 540 Tabla C.85. Reglamento para gestin de la seguridad (TI/USN01)........................... 541 Tabla C.86. Reglamento para gestin de la seguridad (CL/LOPDN01). ................... 542 Tabla C.87. Propiedades: Gestin de ficheros de LOPD (CL/LOPDPR01). ............. 543 Tabla C.88. Propiedades: Revisin documento de seguridad (CL/LOPDPR02). ...... 547 Tabla C.89. Otros objetos para la gestin de la seguridad (CL/LOPD). ...................... 549 Tabla C.90. Reglamento para gestin de la seguridad (CL/LPIN01)......................... 550 Tabla C.91. Propiedades: Gestin de licencias de software (CL/LPIPR01). ............. 550 Tabla C.92. Propiedades: Revisin peridicas de licencias de Sw (CL/LPIPR02).... 553 Tabla C.93. Propiedades: Solicitud de licencias de software (CL/LPIPR03). ........... 554 Tabla C.94. Propiedades: Gestin de licencias de software (CL/LPIPR04). ............. 556 Tabla C.95. Otros objetos para la gestin de la seguridad (CL/LPI)............................ 558 Tabla D.1. Resultado de la lista de verificacin tcnica de SNT. ................................ 564 Tabla D.2. Matriz de riesgos para SNT. ....................................................................... 632 Tabla D.3. Plan de mejora para SNT............................................................................ 637 Tabla E.1. Casos de prueba realizados. ........................................................................ 640 Tabla E.2. Niveles de madurez actuales y recomendados de los casos de prueba. ...... 641 Tabla E.3. Niveles de seguridad actual obtenidos de los casos de prueba. .................. 642 Tabla E.4. Resultados de los casos de estudio ISO/IEC17799:2000. ....................... 642 Tabla E.5. Resultados de los casos de estudio ISO/IEC27002.................................. 643 Tabla E.6. Niveles de madurez actuales y recomendados de los casos de prueba. ...... 645 Tabla F.1. Mapa de objetos y perfiles del SGSI........................................................... 651

xix

ndice de ecuaciones

Ecuacin 4.1. Nivel de madurez recomendado. ........................................................... 171 Ecuacin 4.2. Nivel de cumplimiento de la seguridad de un control para un nivel. .... 174 Ecuacin 4.3. Nivel de cumplimiento de la seguridad de un control. .......................... 174 Ecuacin 4.4. Nivel de cumplimiento de la seguridad para un nivel. .......................... 175 Ecuacin 4.5. Nivel de cumplimiento de la seguridad de la empresa. ......................... 175 Ecuacin 4.6. Nivel de riesgo....................................................................................... 180 Ecuacin 4.7. Nivel de cobertura de un control para el par activoamenaza............... 181 Ecuacin 4.8. Nivel de cobertura de un control para un activo.................................... 181

1

Resumen Con la creciente dependencia que la sociedad de la informacin tiene de las Tecnologas de la Informacin y las Comunicaciones (TIC), la necesidad de proteger la informacin tiene cada vez mayor importancia para las empresas. De esta manera, la demanda de productos, sistemas y servicios para gestionar y mantener la informacin es creciente, y no es suficiente con realizar unos controles de seguridad superficiales. Es necesario aplicar un enfoque riguroso para evaluar y mejorar la seguridad de los productos y tambin de los procesos que se llevan a cabo en el contexto de las TIC.

En este contexto, surgen los Sistemas de Gestin de la Seguridad de la Informacin (SGSI), que tienen una gran importancia para la estabilidad de los sistemas de informacin de las compaas. El hecho de poder disponer de estos sistemas ha llegado a ser cada vez ms vital para la evolucin de las PYMES.

A pesar de que existen varios estndares y recomendaciones que abordan la gestin de la seguridad, as como algn modelo de madurez para la seguridad, en la prctica estos estndares y recomendaciones son muy difciles de implantar, y requieren una inversin demasiado alta, que la mayora de las empresas no puede asumir. Adicionalmente, la aplicacin de normativas de seguridad en las pequeas y medianas empresas cuenta con el problema de no disponer de recursos suficientes para realizar una adecuada gestin. La consecuencia inmediata de estas dificultades es que la cultura de la seguridad es prcticamente nula en las pequeas empresas, y creciente pero todava muy deficiente en las empresas medianas. Todo esto ha ocasionado que la mayor parte de las PYMES carezcan de sistemas de gestin de la seguridad de la informacin adecuados. Sin embargo, una buena estrategia para cambiar esa tendencia es elaborar mecanismos giles, prcticos y econmicos adaptables para las caractersticas particulares de este tipo de empresas. Adems, es necesario tener en cuenta algunos aspectos de seguridad concretos, no recogidos en los estndares internacionales, como por ejemplo todo lo relativo a proteccin de datos de carcter personal, que habitualmente viene legislado dentro del ordenamiento particular de cada pas.

Esta tesis doctoral pretende aportar avances en la gestin de la seguridad de las TIC, en particular para el caso de las PYMES. Para ello, en este trabajo se presentan los elementos esenciales que componen una metodologa denominada Metodologa para la Gestin de la Seguridad y su Madurez en las PYMES (MGSMPYME) y un modelo realista, pragmtico y gil que permite evaluar y mejorar la gestin de la seguridad, y el nivel de madurez de sta, en los sistemas de informacin de las pequeas y medianas empresas, basndose en las normas y estndares internacionales ms importantes. El desarrollo de esta metodologa, est basado en un nuevo enfoque de gestin de la seguridad en las pequeas y medianas empresas, adaptado al tamao de la empresa y a su nivel de madurez, utilizando como marco de referencia la norma ISO/IEC27002 (anteriormente ISO/IEC17799) y tomando como punto bsico de la metodologa la adaptacin de los costes a la dimensin de la compaa. La metodologa se ha subdividido en tres subprocesos: Generacin de Esquemas (GEGS), Generacin del SGSI (GSGS) y Mantenimiento del SGSI (MSGS).

Adems, y con el objeto de validar y mejorar la metodologa MGSMPYME, se ofrece el resultado de su aplicacin en un caso de estudio de una compaa real.

Por ltimo, se presenta una herramienta que permite la generacin de modelos basados en la metodologa, as como la generacin y el mantenimiento de SGSIs para las compaas.

3

Abstract As a result of the growing dependence of information society on Information and Communication Technologies (ICT), the need to protect information is becoming more and more important for enterprises. In this way, there is a growing demand for products, systems and services to manage and maintain information and the performance of superficial security controls is not enough. It is necessary to apply a rigorous approach to evaluate and improve the security of products and that of the processes that are carried out in the context of ICT.

In this context, Information Security Management Systems (ISMS) arise, which have great importance for the stability of the information systems of enterprises. The fact of being able to have these systems available has become more and more vital for the evolution of small and mediumsized enterprises.

In spite of the fact that there are several standards and recommendations dealing with security management as well as some security maturity model; in practice, these standards and recommendations are very difficult to implement and require a too high investment that most enterprises cannot make. In addition, the application of security regulations in small and mediumsized enterprises has to face the problem of not having enough resources available to carry out an appropriate management. The immediate consequence of these difficulties is that the security culture in smallsized enterprises is practically null and growing but still very poor in mediumsized enterprises. All these facts have caused that the majority of small and mediumsized enterprises have a lack of adequate information security management systems. Nevertheless, we think that a good strategy to change this tendency consists of elaborating agile, practical and inexpensive mechanisms that can be adapted to the particular characteristics of this kind of enterprises. Furthermore, it is necessary to take into account some concrete security aspects that are not covered by the international standards such as all aspects related to personal data protection that are usually part of the particular regulations of each country.

This doctoral thesis has the aim of providing advances in ICT security management, particularly in the case of small and mediumsized enterprises. To do so, in this work, we will present the essential elements composing a methodology called Methodology for Security Management and its maturity in small and mediumsized enterprises (MGSMPYME) along with a realistic, pragmatic and agile model that allows us to evaluate and improve security management and its maturity level in information systems of small and mediumsized enterprises. This model is based on the most important international standards and regulations. The development of this methodology is based on a new approach of security management in small and mediumsized enterprises adapted not only to the size of the enterprise but also to its maturity level, using as a reference framework the ISO/IEC27002 standard (formerly ISO/IEC17799). The basic idea of this methodology is that of the adaptation of the costs to the dimension of the enterprise. The methodology has been divided into three sub processes which are as follows: Schemas generation (GEGS), ISMS generation (GSGS) and ISMS maintenance (MSGS).

Moreover and with the purpose of validating and improving the MGSMPYME methodology, we will present the result of its application through a case study carried out in an existing enterprise.

At last, a tool that allows the generation of models based on the methodology as well as the ISMS generation and maintenance for enterprises will be presented.

CCaappttuulloo 11 IInnttrroodduucccciinn

7

1.- Introduccin Este captulo introductorio se encuentra organizado de la siguiente manera: en la seccin 1.1 se describe el estado de la seguridad en las organizaciones actuales (en especial las PYMES), los principales problemas que ocasiona la falta de seguridad en subsistemas de informacin, el coste de la falta de seguridad y los problemas para implantar los SGSI en este tipo de compaas. En la seccin 1.2 se presenta el marco en el cual se ha desarrollado esta tesis doctoral. En la seccin 1.3 se plantea la hiptesis de esta tesis doctoral y los objetivos establecidos. Finalmente, en la seccin 1.4 se describe la organizacin general de esta tesis doctoral.

1.1. La seguridad en las organizaciones actuales. En un entorno empresarial globalizado y competitivo como el existente en la actualidad, las compaas dependen cada vez ms de sus sistemas de informacin, pues se ha demostrado que tienen una enorme influencia para aumentar su nivel de competitividad. Pero sin una adecuada gestin de la seguridad estos sistemas de informacin carecen de valor real, ya que no pueden aportar las suficientes garantas de continuidad a las empresas. Por ello, las compaas empiezan a tener conciencia de la enorme importancia que tiene el poseer unos sistemas de seguridad de la informacin adecuados, as como una correcta gestin de los mismos. De esta forma, pese a que muchas empresas todava asumen el riesgo de prescindir de las medidas de proteccin adecuadas, otras muchas han comprendido que los sistemas de informacin no son tiles sin los sistemas de gestin de seguridad y las medidas de proteccin asociados a ellos.

La seguridad en el mundo de la informtica tiene ya ms de 30 aos de antigedad (Lampson, 2004) y, aunque han existido multitud de soluciones de seguridad que han sido globalmente aceptadas (ej.: el modelo de matriz de acceso sujeto/objeto (Lampson, 1974), las listas de control de acceso (Saltzer, 1974), la seguridad multinivel en flujos de informacin (Denning, 1976), la criptografa de clave pblica (Ellison, et al., 1999) o el modelo de control de acceso basado en roles (Sandhu, et al., 1996), por mencionar tan slo algunos ejemplos) todava existe una sensacin generalizada de profunda desconfianza por parte de los millones de usuarios conectados a travs de las redes.

En los tiempos actuales, considerados como los de la era de Internet, la seguridad se ha convertido en una preocupacin generalizada y creciente que abarca todos los mbitos de la sociedad: empresarial, domstico, financiero, individual, etc. (Kemmerer, 2003). La sociedad de la informacin depende incrementalmente de un amplio abanico de sistemas software de misin crtica, como por ejemplo los sistemas de control areo, los sistemas financieros o los sistemas de la sanidad pblica. Debido a las potenciales prdidas a las que se enfrentan las empresas que confan en todos estos sistemas, tanto hardware como software, resulta crucial que los sistemas de la informacin sean asegurados apropiadamente desde el principio de su ciclo de vida (Baskerville, 1992, McDermott y Fox, 1999). As mismo, (Anderson, 2006) analiz las PYMES de Europa y EEUU llegando a la conclusin que Internet ha producido una serie de cambios en el marco de colaboracin global, haciendo por un lado que las PYMES crezcan mucho ms rpido mediante la colaboracin con otras compaas, lo que hace ms necesario proteger sus sistemas de informacin, los cuales se estn convirtiendo en el centro neural del crecimiento de la compaa y por otro lado cambiando la manera de comunicarse, hacer negocios y lograr los objetivos, lo que se

8 _________________________________________________________ Introduccin

ha producido un aumento de la delincuencia y las amenazas a la seguridad como spam, phishing y virus, socavando la confianza de los usuarios en Internet (Householder, et al., 2002).

Gran parte de este cambio de mentalidad en las empresas tiene su origen en el cambio social producido por Internet y la rapidez en el intercambio de informacin, que ha dado lugar a que las empresas empiecen a tomar conciencia del valor que tiene la informacin para sus organizaciones y se preocupen de proteger sus datos. De esta forma, las empresas ya han tomado conciencia de que la informacin y los procesos que apoyan los sistemas y las redes son sus activos ms importantes (Dhillon y Backhouse, 2000, Kluge, 2008). Estos activos estn sometidos a riesgos de una gran variedad, que pueden afectar de forma crtica a la empresa. As, la importancia de la seguridad en los sistemas de informacin viene avalada por numerosos trabajos (Brinkley y Schell, 1995, Chung, et al., 2000, Dhillon, 2001, Jrjens, 2001, Ghosh, et al., 2002, Hall y Chapman, 2002, Masacci, et al., 2005, Walker, 2005), por citar slo algunos.

Anteriormente, las compaas que haban decidido proteger sus sistemas de informacin haban afrontado proyectos desde la perspectiva de que la seguridad era algo individual que afectaba a un objeto pero no al conjunto al que perteneca el objeto, es decir, se basaban en la implantacin de medidas de seguridad, pero sin llevar a cabo una adecuada gestin de dichas medidas (Humphrey, 2008). Con el tiempo, al no disponer de una gestin adecuada, los controles implantados dejaban de mantenerse y se convertan en controles pasivos, que en lugar de ayudar a mejorar la seguridad contribuan a desinformar, ofreciendo informacin errnea en muchos casos. As, en (Tsujii, 2004) se destacaba que para la construccin de un sistema de seguridad no bastan los aspectos tecnolgicos, sino que tambin son necesarios los aspectos de gestin, as como los aspectos legales y ticos.

Actualmente, los expertos consideran que la seguridad en los sistemas de informacin tiene un carcter bidimensional (Siponen, 2006). La seguridad en los sistemas de informacin ya no se trata como un aspecto exclusivamente tcnico, en el que el uso correcto de ciertos mecanismos de seguridad (ej.: protocolos de seguridad, esquemas de cifrado, etc.) garantiza la seguridad de un sistema en trminos absolutos. Adems, y dada la integracin social de los sistemas software, existe una nueva dimensin que cobra gran relevancia y que debe ser analizada detenidamente. Esta nueva dimensin tiene un carcter eminentemente social y organizativo y est ligada a la cada vez mayor interaccin de los humanos con los sistemas de informacin seguros. Resultados de investigaciones han demostrado que el factor humano posee un impacto significativo en la seguridad (Schumacher, 2003). Por ejemplo, de acuerdo con Anderson (2001), la principal amenaza de los registros mdicos privados es la denominada ingeniera social (Jones, 2002).

El problema de la seguridad de la informacin se caracteriza por la complejidad y la interdependencia. La gestin de la seguridad contiene un nmero importante de factores y elementos que se interrelacionan entre s. La presencia del factor humano complica an ms la situacin, ya que los seres humanos tienen libre albedro y siempre actan segn su propio inters (James, 1996). Por otra parte, la creciente dependencia de Internet en casi todas las actividades comerciales hace de la seguridad una de las principales preocupaciones para la creacin de un tejido empresarial sostenible (Papazafeiropoulou y Pouloudi, 2000). Las PYMES en los pases desarrollados suelen tener una dbil comprensin de la seguridad de la informacin, tecnologas de seguridad y medidas de control, y suelen dejar el anlisis de riesgos o el desarrollo de las polticas de seguridad olvidados (Helokunnas y Iivonen, 2003, Dimopoulos, et al., 2004b, Gupta

1.1. La seguridad en las organizaciones actuales. ____________________________ 9

9

y Hammond, 2005, ISBS, 2006). Esto puede deberse a que las PYMES carecen de los recursos, tiempo y conocimientos especializados para coordinar la seguridad de la informacin u ofrecer informacin adecuada sobre la seguridad, la formacin y la educacin (Furnell, et al., 2000, Dimopoulos, et al., 2004b, Gupta y Hammond, 2005). Sin embargo, la literatura sugiere una explicacin muy diferente. (Johnson y Koch, 2006) dicen que las PYMES no quieren pagar por la seguridad, y que prefieren mantener una seguridad fsica con la que estn familiarizados. (Gupta y Hammond, 2005) sealan que, al carecer de un conocimiento especializado de tecnologas de seguridad, las PYMES suelen mantener la seguridad con las tecnologas con las que ya estn familiarizados. As mismo, las PYMES no ven la seguridad vinculada a la estrategia empresarial, lo que impacta directamente en el cumplimiento de la misma (OHalloran, 2003). De hecho, una investigacin reciente pone de manifiesto la necesidad de vincular la seguridad de la informacin con los sistemas de informacin de planificacin estratgica y, por tanto, con los objetivos de la empresa (Doherty y Fulford, 2006).

A pesar de todas estas consideraciones, todava existen muchas organizaciones en la actualidad que tienden a prestar poca atencin a los requisitos de seguridad. Uno de los motivos que algunos autores indican es la carencia generalizada de una clara comprensin por parte de los usuarios de los requisitos de seguridad en s. De hecho, incluso cuando se intentan especificar los requisitos de seguridad, muchos usuarios tienden a describir soluciones en trminos de mecanismos de proteccin en lugar de realizar proposiciones declarativas sobre el grado de proteccin requerido (Firesmith, 2003). Otro motivo por el que se infravaloran los requisitos de seguridad puede tener su origen en la errnea percepcin que los considera un obstculo para alcanzar los hitos de los proyectos. Por ltimo, la literatura de gestin de seguridad existente est orientada a las grandes empresas (Tipton y Krause, 2004, Egan y Mather, 2005, Kairab, 2005).

Muchos gobiernos han realizado grandes esfuerzos para intentar mejorar el nivel de seguridad de sus compaas. As, el grupo de polticas de seguridad de la informacin (DTI) (DTI, 2005) del Reino Unido tiene como fin ayudar a las empresas a gestionar eficazmente su seguridad de la informacin y proporcionar un conjunto de documentos que sirvan de p

iso 27001 implantación

Documents