1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sis...
2
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sis...
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sis...
4
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sis...
5
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sis...
6
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sis...
7
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sis...
8
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sis...
9
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sis...
10
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
11
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
12
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
13
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
14
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
15
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
16
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
17
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
18
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
19
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
20
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
21
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
22
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
23
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
24
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
25
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
26
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
27
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
28
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
29
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
30
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
31
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
32
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
33
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
34
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
35
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
36
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
37
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
38
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
39
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
40
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
41
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
42
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
43
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
44
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
45
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
46
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
47
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
48
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
49
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
50
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Si...
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
Próxima SlideShare
Cargando en…5
×

Modulo sgsi 233003 ajustado

290 visualizaciones

Publicado el

Excelente

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
290
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
4
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Modulo sgsi 233003 ajustado

  1. 1. 1 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA CODIGO: 233003 233003 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION SGSI LORENA PATRICIA SUAREZ SIERRA (Director Nacional) CARLOS ALBERTO AMAYA TARAZONA Acreditador BOGOTA, JULIO 2013
  2. 2. 2 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI TABLA DE CONTENIDO Pag. INTRODUCCION 8 UNIDAD I GESTION DE INFORMACION 9 INTRODUCCION A LA UNIDAD 1 10 CAPITULO 1: SEGURIDAD INFORMATICA 11 1.1 Lección 1: Pilares de la informática 11 1.2 Lección 2: Realidad de las empresas en seguridad de la información 14 1.3 Lección 3: Normativas de seguridad 18 1.4 Lección 4: ¿Cómo se estructuran las normativas de gestión de la seguridad 18 1.4.1 Origen de las normativas 19 1.4.2 Evolución de las normativas de seguridad de la información 20 1.5 Lección 5: Estado de implantación de normativas de seguridad de la información en Colombia. 21 1.5.1 Ciclo PDCA ( Edward Deming) 25 CAPITULO 2: ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 28 2.1 Lección 6: La organización ISO y la familia de normas ISO 28 2.1.1 Criterios de la ISO para desarrollar un estándar 28 2.2. Lección 7: Familia de las normas ISO/IEC 27001:2005 29 2.3 Lección 8: La normativa ISO/IEC 27001:2005 y afines 32 2.3.1 Estructura ISO/IEC 27001:2005 32 2.4 Lección 9: Integración del SGSI (ISO 27001) a ISO 9001 - 14000 41 2.5 Lección 10: Consideraciones para implantación de un SGSI(norm ISO 27001) en una organización 42
  3. 3. 3 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI 2.5.1 Preguntas orientadoras de las necesidades del SGSI 42 CAPITULO 3: ANALISIS DE RIESGOS 44 3.1 Lección 11: Proceso de Identificación del riesgo 44 3.2 Lección 12: Metodología de análisis de Riesgos Magerit 45 3.2.1 Paso 1: Inventario de activos 45 3.2.2 Paso 2: Valoración de activos 47 3.2.2.1 Dimensiones de seguridad 48 3.2.3 Paso 3: Amenazas (Identificación y valoración) 50 3.2.3.1 Identificación de amenazas 50 3.2.3.2 Valoración de amenazas 52 3.2.3.3 Impacto potencial 54 3.2.3.4 Nivel de riesgo portencial 54 3.2.4 Paso 4: Salvaguardas 55 3.2.5 Paso 5 impacto residual 56 3.2.6 Riesgo Residual 56 3.2.7 Resultados del análisis de riesgos 56 3.3 Lección 13: otras metodologías (Octave, Nist, Cramm y Meheri) 56 3.4 Lección 14: Herramientas de apoyo al análisis de riesgos 57 3.5 Lección 15: Documentación 58 Autoevaluación Unidad I 60 UNIDAD 2: SISTEMAS DE GESTION DE LA SEGURIDAD INFORMATICA 61 INTRODUCCION A LA UNIDAD 2 62 CAPITULO 4: PLAN DE GESTION DE UN SGSI 63
  4. 4. 4 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI 4.1 Lección 16: ¿Cómo definir el alcance del SGSI? 63 4.2 Lección 17: Estructura organizacional para el SGSI 64 4.3 Lección 18: Política de seguridad 65 4.4 Lección 19: Análisis de requisitos y diseño del SGSI 66 4.5 Lección 20: Normativas legal colombiana 68 CAPITULO 5: IMPLANTACION DEL SGSI 70 5.1 Lección 21: Fases para la implantación del SGSI 70 5.1.1 Fase 1: Planificar: Análisis diferencial para definición del alcance y otras actividades de planeación 70 5.1.2 Fase 2: Hacer: Implantar el plan SGSI 72 5.1.3 Fase 3: Varificar: Seguimiento, supervisión y revisión del SGSI 75 5..1.4 Fase 4: Actuar: Mantener y mejorar el sistema 76 5.2 Lección 22: Formación y concientización del personal 76 5.3 Lección 23: Provisión de Recursos 76 5.4 Lección 24: Plan de tratamiento de riesgos 78 5.3 Lección 25: Gestión de continuidad de negocio 78 CAPITULO 6: AUDITORIA DEL SGSI 82 6.1 Lección 26: Auditorías internas 82 6.2 lección 27: Metodología para auditoría del SGS 82 6.2.1 metodología NIST-SP-800 83 6.2.2 Metodología OSSTMM 84 6.2.3 OWASP (Open Web application security project) 85 6.2.4 Metodología OISSG 86 6.2.5 Metodología COBIT 87
  5. 5. 5 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI 6.3 Lección 28: Técnicas e instrumentos para auditoría 89 6.3 Lección 29: Certificación SGSI 91 6.4 Lección 30: Mantenimiento y mejora del SGSI 93 AUTOEVALUACION DE LA UNIDAD II 95 BIBLIOGRAFIA Y CIBERGRAFIA 96
  6. 6. 6 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI LISTADO DE TABLAS Pag. Tabla No. 1 Preocupaciones especificas de la TI por Región 16 Tabla No. 2 Evolución de la organización (British Standard Institute) 19 Tabla No. 3 Evolución de las normas de seguridad de la información apoyados por la BSI 20 Tabla No. 4 Número de certificaciones expedidas en el 2010 a nivel mundial 23 Tabla No. 5 Relación de serie de las normas ISO/IEC 27000 29 Tabla No. 6 Cuadro comparativo entre las normas ISO 9001, 27001 y 14001 41 Tabla No. 7 Relación de activos de seguridad de la información 45 Tabla No. 8 Escala cuantitativa 48 Tabla No. 9 Criterios de valoración de los activos 49 Tabla No. 10 Escala de rango de frecuencia de amenazas 52 Tabla No. 11 Escala de rango porcentual de impactos en los activos para cada dimensión de seguridad 53 Tabla No. 12 Ejemplo de cuadro resumen, valoración de amenazas 53 Tabla No.13 Relación de metodologías y fuentes documentales de profundización 56 Tabla No. 14 Relación de herramientas de análisis de riesgos 57 Tabla No. 15 Ejemplo tabla resumen análisis diferencial 71 Tabla No. 16 Ejemplo de diseño de indicador 73 Tabla No. 17 Secciones ISO 22301 80
  7. 7. 7 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI LISTADO DE FIGURAS Pag. Figura No. 1 Controles de seguridad 13 Figura No. 2 Futuros Riesgos 16 Figura No. 3 Aumento significativo en el número de ataques cibernéticos 17 Figura No. 4 Ciclo PDCA (PHVA) para implantación de SGSI 25 Figura No. 5 . Dominios de seguridad normativa ISO/IEC 27001 32 Figura No. 6 Elementos del análisis de riesgos 44 Figura No. 7 Ejemplo de valoración de activos de acuerdo a las 4 dimensiones de seguridad, herramienta Pilar 49 Figura No. 8 Ejemplo cuadro resumen valoración de amenazas, herramienta Pilar 53 Figura No. 9 Ejemplo valoración de salvaguardias por activo herramienta Pilar 55 Figura No. 10 Estructura general ISO 27003 64 Figura No. 11 Estructura organizativa en forma piramidal 65 Figura No. 12 Ejemplo tabla representativa para declaración de aplicabilidad 75 Figura No. 13 Fotografías antes y después del tsunami en el Japón 79 Figura No. 14 Diagrama sobre el proceso de certificación de una empresa. 72
  8. 8. 8 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI INTRODUCCIÓN En la actualidad, las empresas utilizan la tecnología de la información y las comunicaciones para ampliar cobertura en sus servicios y competir ante un mercado globalizado, ofreciendo a sus clientes multiples opciones para acceder a su productos y servicios. Adicional a ello, las TIC´s también les ha permitido llevar organizado todos sus procesos administrativos en línea, para poder operar y/o funcionar de manera alineada o distribuida, sus sistemas de información. Lo anterior conlleva a que de alguna manera, las empresas tiendan a ser más vulnerables o atacadas por cualquier persona que tenga el conocimiento o tal vez por una organización delincuencial que utiliza diferentes herramientas tecnológicas para afectar a sus víctimas y obtener beneficios. Hoy las empresas han tomado conciencia de la necesidad de implementar sistemas de seguridad informática para proteger su información y evitar el riesgo a un posible ataque. En este sentido, el curso de Sistema de Gestión de la Seguridad de la información pretende mostrar las técnicas y metodologías apropiadas y actuales que se deben utilizar para que las empresas salvaguarden su información; igualmente se utilicen las normas ISO como los estándares internacionales certificados para la implantación de Sistemas de Seguridad de la Información con alta calidad. De acuerdo a lo anterior las organizaciones además de proteger sus activos físicos, están asegurando sus sistemas de información ya que estos le crean una dependencia considerablemente para el cumplimiento de su misión y visión empresarial y su estado económico. Hoy las empresas acuden a consultores y/o auditores especializados para que les realicen los estudios pertinentes para el análisis del funcionamiento de su empresa, las respectivas políticas de seguridad y certificaciones con el objetivo de obtener un alto nivel de seguridad en su empresa. El modulo de aprendizaje que acontinuación se presenta, describe dos unidades didácticas que permiten al estudiante adentranse en el conocimiento de todos los aspectos que involucra un sistema de gestión de seguridad de la información, además mirar como las empresas han evolucionado entorno a la necesidad de asegurar su información como uno de los activos mas importantes para el correcto funcionamiento de su organización. En tal sentido, la unidad uno presenta el título gestión de información y la unidad dos se titula Sistema de gestión de la seguridad informática.
  9. 9. 9 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI UNIDAD I GESTION DE LA INFORMACION
  10. 10. 10 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI INTRODUCCION A LA UNIDAD I Llevar de manera remota los procesos administrativos así como la comunicación entre sus empleados necesarios para su funcionamiento es otro de los beneficios que la tecnología de la Información y las comunicaciones brinda a las empresas. El mismo servicio en la web que las empresas de hoy presta a sus clientes, los ha afectado a ellos de alguna manera, por cuanto a través de los pagos en línea que han realizado para la compra de servicios, consultas, actualización de datos, entre otros son aprovechados también por los delincuentes para acceder a sus claves o contraseñas, a sus computadoras personales para copia y/o eliminación de su información entre otras. Lo anterior hace que de alguna forma, los clientes se nieguen a realizar transacciones a través de estos medios de comunicación masiva como internet perdiendo las organizaciones posibles clientes potenciales a nivel mundial. En este orden, las empresas deben garantizar a sus clientes una transacción protegida, así como las orientaciones pertinentes para evitar fraudes interinaticos. 1 En concordancia con la necesidad de las empresas de asegurar su información además de sus dispositivos computacionales y de comunicación, de manera organizada, sistemática, documentada y conocida, que involucre todos los aspectos físicos, lógicos y humanos de la organización. ISO como organización Internacional de Estándares, ha definido el estándar ISO 27001 para La gestión de la seguridad de la información anunciando : 2 “El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías”. En esta unidad se trabajaran tres capítulos: seguridad informática, estándares de gestión de la seguridad de la información SGSI y Procesos de análisis de riesgos. En el primer capítulo enfoca los pilares de la seguridad informática y un estado del arte sobre la implementación de sistemas de gestión planteada por las empresas de hoy. El segundo capítulo enfatiza los elementos contemplados por el estándar ISO para la implementación de un SGSI. Y el último capítulo enfoca un aspecto importante que permite a las empresas conocer el estado actual en que se encuentras sus activos de información a través del análisis de riesgos. 1 Suárez Sierra. 2013. Recuperado de http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23142/1/Lsuarezsi_TFM_062013.pdf 2 El portal de ISO 27001 en Español. Recuperado de http://www.iso27000.es/sgsi.html.
  11. 11. 11 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI CAPITULO 1. SEGURIDAD INFORMATICA 1.1 Lección 1: Pilares de la seguridad Informática El amplio tema de la seguridad informática abarca todos aquellos mecanismos tanto de prevención como de corrección que utilizan las personas y las empresas pequeñas, medianas y grandes de hoy para proteger uno de sus mayores activos, su información. Siendo este un bien que tiene un valor alto en cualquier organización, es más me atrevo a decir que su precio es incalculable. Existen múltiples definiciones sobre la seguridad informática orientadas a la norma, a la disciplina, a su característica, etc., pero para lograr que abarque variables importantes se puede afirmar que la seguridad informática es la que permite lograr que todos los sistemas informáticos utilizados en cualquier contexto, se encuentren seguro de cualquier daño o riesgos, ya sea por parte de personas ajenas que en forma voluntaria o involuntaria lo pueda hacer o de cualquier desastre natural. En este sentido, la protección de la información requiere de un conjunto de software o aplicativos diseñados, documentos estándares y metodologías existentes que permitan aplicar las normativas certificables internacionalmente y técnicas apropiadas para llevar un control en la seguridad. Se expresa control en la seguridad, porque se considera un tanto difícil garantizar la seguridad de la información en forma completa o llevada a un 100%, por cuanto intervienen diferentes amenazas a las que las organizaciones y/o personas se encuentran continuamente expuestas. Lo que se persigue proteger en la información, son los cuatro pilares importantes que conlleva a que la información sea protegida a gran escala. A continuación se especifican en su orden: Confidencialidad: La información sólo puede ser accedida y utilizada por el personal de la empresa que tiene la autorización para hacerlo. En este sentido se considera que este tipo de información no puede ser revelada a terceros, ni puede ser pública, por lo tanto debe ser protegida y es la que tiende a ser más amenazada por su característica. El profesional considerado por la empresa para manejar un tipo de información confidencial conlleva a una serie de connotaciones de carácter ético, pero en el aspecto de seguridad informática conlleva más a que los datos estén protegidos cuando estos sean transferidos o se encuentren disponibles por sistema de comunicación inseguro como lo es Internet. En este orden se han considerado los mecanismos criptográficos para cifrar la información, en caso de que esta sea interceptada, ya que a pesar de que el atacante tenga la información esta estará cifrada y difícilmente podrá
  12. 12. 12 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI descifrarla. También existen mecanismos de ocultamiento de información, la cual se pueda a través de archivos Teniendo presente que no existen sistemas 100% seguros, cuando el que ataca tienen el conocimiento para buscar el mecanismo de descifrar. Este es uno de los pilares que obliga en gran medida a las empresas a tomar la decisión de proteger su información. Integridad: Se refiere al momento en que la información no ha sido borrada, copiada o modificada, es decir, cuando se conserva tal como fue creada o enviada desde cualquier medio desde su origen hacia su destino. Un ataque a la integridad de la información se puede presentar en archivos planos de bases de datos, información documental, registros de datos, etc. Uno de los mecanismos más utilizados para asegurar la integridad de la información es a través de la firma digital. Casonavas Inés (2009) afirma: ―la firma digital permite garantizar la identidad del autor y la integridad de un documento digital a partir del concepto tradicional de la firma manuscrita en papel. Técnicamente es un conjunto de datos único, asociado al documento y al firmante, que no tiene por objetivo la confidencialidad sino asegurar la autoría y que no ha sufrido alteraciones‖ (p.204). Disponibilidad: Se refiere a que la información facilitada en cualquier medio digital o software se encuentre disponible para el procesamiento de la información, para el correcto funcionamiento de una organización, así como de sus clientes o personal requerido sin que estos sean interrumpidos. Un claro tipo de ataque a este pilar, se puede presentar cuando se ha realizado la eliminación de un cable o medio de comunicación disponible en el centro o cuarto de telecomunicaciones de la empresa, se ha realizado denegación del servicio a sitios web o aplicativos, funcionamiento anormal del sistema informático o de sitios web disponibles, virus y software malicioso, entre otros. Para este tipo de ataques las medidas y controles de seguridad son los firewall (corta fuegos) como barreras de seguridad lógicas y físicas, lo mismo para evitar los intrusos, la duplicidad de servidores en caso de avería o daño físico del mismo, así como el diseño de planes de continuidad de negocio para mantener la disponibilidad de los servicios prestados por la empresa. Autenticidad: Este pilar se define aquella información legítima, que al ser interceptada, puede ser copiada de su formato original a pesar de que la información sea idéntica. Un ejemplo comparativo a la autenticidad de algo, se presenta muchas veces en la copia de una pintura original de una obra de arte que ha sido copiada idéntica a la obra original del autor, es decir, que a pesar de que la información es igual, no es auténtica. Este tipo de fraudes de autenticidad, ocurre en el plagio de información, sucede de alguna manera en documentos digitales poseen las empresas que son
  13. 13. 13 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI copiadas por el atacante. Este pilar, es similar al de integridad por lo tanto en algunos documentos de seguridad informática no la contemplan. Sin embargo, para prevención, también se utiliza la firma digital, para proteger la autenticidad. Ahora bien, antes de que exista un indecente de seguridad que afecte cualquiera de sus pilares, tuvo que haber un riesgo de seguridad que en su momento no fue detectado, esto quiere decir; que el significado de un riesgo es cuando existe una amenaza a la seguridad que no ha llegado a afectar a la organización y un incidente, es cuando se materializa el riesgo. Es por ello, la necesidad de la aplicación de controles de seguridad que protege contra todo aquello que pueda causar un incidente de seguridad. Entre estos controles tenemos los referenciados en la siguiente figura No. 1. Figura No. 1 Controles de seguridad Fuente: Daniel cruz Allende. (2006). Gestión de la Seguridad de la Información. Universidad Oberta de Catalunya – UOC
  14. 14. 14 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI Partiendo de la base de estos cuatro pilares y los diferentes controles de la seguridad informática, se debe contemplar el diseño de un sistema de Gestión de la seguridad informática que los incluye con mayor detalle y especificación a través de normativas de seguridad. 1.2 Lección 2. Realidad de las empresas en seguridad de la información Antes de que las empresas empezaran a utilizar los sistema de comunicaciones de la tecnología de la información y las comunicaciones como un palanca de ampliación de cobertura y globalización para la prestación de sus servicios, su preocupación se basaba simplemente en la protección de los equipos informáticos encontrados en sus establecimientos públicos, como el de utilizar mecanismo prevención como copias de seguridad, mantenimiento preventivo a los computadores, etc. y mecanismos de protección contra robos mediante instalaciones de alarmas, servicios de vigilancia, entre otros, teniendo en cuenta que la información digital no fluía de manera externa entre los computadores de la organización sino de manera interna, a través de las redes locales y metropolitanas implementadas. Pero el crecimiento de las empresas en sucursales ubicadas en diferentes ciudades y países las han llevado a tratar de proteger su información contra atacantes externos, que tiene como objetivo el hurto de información y dinero a través de los sistemas informáticos, así como la copia, eliminación y modificación de la información que viaja a través de la gran red de redes (Internet). A pesar de conocer las empresas el riesgo que pueden correr al ser atacados, no contemplan la inversión costo-beneficio que les proporcionaría un Sistema de Gestión de la Seguridad (SGSI) implantado; ya que si bien es cierto, que el beneficio no sería precisamente el aumento de sus ingresos, sino el de evitar un ataque que cause la pérdida de sus activos, que pueden ser de menor o mayor escala. Es claro que no se puede determinar cuál o cuáles serían precisamente el ataque que le harían a una empresa, pero con un SGSI si se podría prevenir cualquiera de los posibles existentes. Muchas empresas nacionales o internacionales, han sufrido incidentes de seguridad por fuentes externas principalmente por no tener implementado un SGSI que puede prevenirlos de ataques a sus sistemas informáticos Enlaces de interés complementarios Presentación y audio de Los Pilares de la seguridad informática. http://www.mavixel.com/video/pilares-seguridad.htm
  15. 15. 15 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI implementado o minimizar en gran medida el impacto en caso de que éste no se haya podido controlar. Lo anterior se debe a que las empresas no perciben el riesgo que corren al sufrir un incidente de seguridad a cualquier información confidencial o a la integridad mismas de sus datos, que sólo se conforman con la implementación de controles mínimos de seguridad (firewall, control de acceso a través de claves de usuario, etc.). La tecnología de la información y las comunicaciones avanza vertiginosamente, debido a que ya no es necesario esperar tanto tiempo para tener a la mano los nuevos adelantos como por ejemplo la utilización masiva de los dispositivos móviles (BlackBerry, Smartphone, IPhone, Ipad, etc.), como dispositivos inteligentes que actúan como teléfonos y una computadora capaz de tener conectividad permanente de acceso a internet. Estas tecnologías son aprovechadas por las empresas para tener intercambio de información con sus clientes para ofrecerle sus productos y servicios, al personal o funcionario para realizar consultas de correos electrónicos, mensajería instantánea, acceso a la internet corporativa, intercambio de mensajes, entre otros. De esta manera el crecimiento de las comunicaciones para la transferencia de información en cualquier formato implica para las empresas y personas el aumento de riesgo a la seguridad de su información; Debido al camino que recorren los datos a través de radiocomunicaciones, los cuales son susceptibles de ser vulnerados por los delincuentes informáticos. Así mismo se incrementa la falta de conciencia del personal a tener las precauciones pertinentes de no acceder a sitios web de la empresa o hacer transferencia de mensajes de carácter confidencial desde estos dispositivos. Adicionalmente, las empresas por su afán de crecimiento no estiman o prevén las consecuencias de un ataque y no se crean políticas de acceso al personal que allí labora o los mecanismos de protección adecuados. Varios estudios demuestran que existen con frecuencias, incidentes ocurridos por errores del uso de los empleados operadores del sistema en forma involuntaria que pueden causar problemas de seguridad. Un claro ejemplo de las vulnerabilidades, amenazas e inversiones de seguridad en las empresas lo demuestra, la investigación realizada por Kaspersky Lab en colaboración con B2B International, una de las agencias de investigación líder a nivel mundial y con la participación de más de 1,300 profesionales de TI en 11 países. El estudio abarca empresas de todos tamaños, desde pequeñas (de 10 a 99 personas) a medianas (100-999 personas), y grandes (más de 1000 personas). Se cubrió una amplia gama de temas relacionados con la seguridad informática, incluyendo los riesgos de negocios en general, las medidas adoptadas para proteger el negocio, y los incidentes que han ocurrido. Dicha investigación se encuentra documentada en: 3 karpersky lab. 2011. Del documento en relación es 3 karpersky lab( 2011).Riesgos Globales de Seguridad de TI. Versión en idioma Español e inglés. Recuperado de
  16. 16. 16 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI preciso destacar los siguientes figuras No. 2 y 3, donde se encuentran representaciones estadísticas significativas sobre los índices de amenazas y riesgos, las cuales, he traducido al lenguaje español para dar mayor claridad y visualización al estudiante. Adicionalmente se muestra la tabla No. 1 preocupaciones específicas de la tecnología de la información por las regiones. Figura No. 2 Futuros Riesgos Fuente:karpersky lab. 2011. Riesgos Globales de Seguridad de TI. Tabla No. 1 Preocupaciones específicas de la TI por Región Cuestión Total Desarrollo Desarrollado Asia Europa Occidental la prevención de violaciones de la seguridad TI 1 1 1 1 1 Garantizar que los sistemas sean totalmente positivas para maximizar el retorno sobre la inversión (ROL) de él 2 3 3 3 3 la comprensión de toda la gama de nuevas tecnologías que 3 2 6 4 3 http://www.df.cl/prontus_df/site/artic/20110902/asocfile/20110902172243/2_de_septiembre_informe _riesgos_globales_de_seguridad_de_ti.pdf . Versión en español (http://www.df.cl/prontus_df/site/artic/20110902/asocfile/20110902172243/2_de_septiembre_inform e_riesgos_globales_de_seguridad_de_ti.pdf). 10% 12% 15% 15% 15% 16% 18% 18% 22% 37% 46% Terrorismo Sabotaje (por los empleados actuales o… Desastres naturales (inundaciones,… Inestabilidad política Fraud La actividad delictiva (robo de la propiedad,… Espionaje industrial (de dentro y fuera de la… Robo de propiedad intelectual Daños a la marca o la reputación corporativa La incertidumbre económica (recesión, la… Cyber ​​amenazas (amenazas electrónicas a la… Casi la mitad de las empresas ve a las amenazas cibernéticas como uno de los tres principales riesgos e mergentes.
  17. 17. 17 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI están disponibles y cómo utilizarlos La toma de decisiones sobre futuras inversiones en TI 4 4 5 2 5 La gestión del cambio en los sistemas de TI y la infraestructura 5 8 2 10 2 Tratar con las limitaciones de costo 6 10 4 5 8 formación de los usuarios en la forma de utilizar los sistemas de IT 7 5 8 8 5 La planificación y la recuperación de un fallo o destrucción de la infraestructura de TI. 7 7 7 8 5 Prevenir el mal uso de los sistemas informáticos de los empleados. 9 6 9 7 9 Tratar con FIABILIDAD del día a día de las Naciones Unidas de los sistemas informáticos 10 8 10 6 10 Cumplir con las regulaciones y normas industriales 11 11 11 11 11 Fuente:karpersky lab. 2011. Riesgos Globales de Seguridad de TI. La prevención de las violaciones a la seguridad TI es la mayor preocupación en todos los países independientemente de la situación del mercado. Para otros problemas existen diferencias significativas entre los mercados emergentes y maduros. Por ejemplo, las limitaciones de costos son mucho más importantes en los países desarrollados. Al mismo tiempo, las empresas en los mercados emergentes prestan mayor atención a la capacitación de los usuarios finales en temas específicos de TI. Figura No. 3 Aumento significativo en el número de ataques cibernéticos Fuente:karpersky lab. 2011. Riesgos Globales de Seguridad de TI.
  18. 18. 18 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI En el documento de “Riesgos Globales de Seguridad de TI”, se pueden encontrar a continuación de los gráficos que ilustro en este documento, otros gráficos representativos que muestran datos sobre las inversiones anuales de seguridad por parte de las empresas, preparación de las empresas sobre las amenazas de seguridad, entre otras. 1.3 Lección 3. Normativas de Seguridad Existen diferentes normativas de seguridad que las empresas de hoy implantan para la seguridad de la información. Todas estas normativas persiguen los mismos objetivos, ya que están diseñadas para incluir a todas las unidades o departamentos que estructura a la empresa para obtener una seguridad mínima de la información procesada y transferida por el personal que hace parte de ella. En esta lección se trataran en forma general las normativas encargadas de la gestión de la seguridad de la información y en el capítulo 2 de este módulo se enfatizará en la normativa ISO/IEC 1779:2005 y en la ISO/IEC 27001, teniendo en cuenta que son las más actuales certificables internacionalmente utilizadas. 1.4 Lección 4: ¿Cómo se estructuran las normativas de gestión de la seguridad? Las normativas de seguridad, tienen la finalidad de presentar los lineamientos necesarios para que las empresas puedan implantar un sistema de gestión de la seguridad de la información (SGSI). Un Sistema de Gestión de la seguridad de la información se implanta mediante un proceso ordenado que consiste en establecer los mecanismos necesarios de seguridad de manera documentada y conocida por todos los miembros de la empresa. Sin embargo es importante que se tenga claro que la implantación de un SGSI no garantiza la protección en su totalidad ya que su propósito como lo anuncia claramente la ISO en su portal ISO27000.es, ―garantizar que los riesgos Enlaces de interés complementarios: Articulo de incidentes de ataque a las empresas españolas. Las peores brechas de seguridad del siglo XXI. 153 países firmaron tratado que rige el espectro y las órbitas de satélites en CMR-12 Wi-Fi (Wi-phishing): robo de información vía redes inalámbricas
  19. 19. 19 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías‖. Las normativas para la creación del SGSI se constituyen en:  Normativas que involucra a las buenas prácticas para la seguridad de la información, en las cuales se encuentran los códigos de buenas prácticas que sirven para que las empresas la utilicen para mejorar la seguridad de su información.  Normativas que involucra las especificaciones de los SGSI, que sería la documentación que deben tener las empresas que deseen certificarse su SGSI. 1.4.1 Origen de las normativas de seguridad El Instituto británico de estándares (British Standard Institute), fue la primera organización que vio la necesidad de la creación de normativas, con el objetivo de ayudar a las empresas a mejorar sus diferentes actividades de negocio. Fue la precursora de muchas normativas que se han aplicado en otros países e inclusive es un organismo colaborador de ISO. La british Standard Institute (BSI), actualmente es una organización global de servicios a empresas en certificaciones de sistemas de gestión, certificación de producto y normas, además de promocionar formación e información sobre normas y comercio internacional. En el siguiente enlace en su portal en español se puede obtener mayor información con respecto a la seguridad de la información. The British Standards Institution 2013. Seguridad de la Información ISO/IEC 27001. Recuperado de http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de- gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/. BSI, es una empresa con más de 100 años de experiencia en 66.000 organizaciones en 150 países desde sus 50 oficinas, la evolución obtenida a lo largo de los años se muestra a continuación en la siguiente tabla No. 2. Tabla No. 2 Evolución de la organización (British Standard Institute) Fecha Alcance 1901 Nacimiento de la British Standard Institute (BSI) 1910 Creación del primer estándar 1926 Inicio del proceso de certificación de productos 1946 Creación de la ISO (Internacional Standard Organization) por parte del miembro de la BSI 1979 Primer estándar para los sistemas de gerencia (BS 5750)
  20. 20. 20 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI 1992 Elaboración del estándar sobre el medio ambiente 1999 Elaboración del estándar sobre seguridad de la información (BS 7799) Fuente: El Autor 1.4.2 Evolución de las normativas de seguridad de la información De acuerdo a lo explicado anteriormente, las normas de seguridad tienen su origen en lo elaborado por la BSI en el año 1993, lo cual se explica en detalle en la tabla No. 3. Tabla No. 3 Evolución de las normas de seguridad de la información apoyados por la BSI Fecha Documentos obtenidos y publicación oficial 1993 Primeras reuniones de un grupo multisectorial británica. Redacción del primer borrador del código de prácticas de la seguridad de la información. 1995. Primera publicación oficial del BS 7799:1. Código de buenas prácticas 1998. Publicación oficial del BS 7799:2. Especificaciones de los sistemas de gestión de la seguridad de la información. 2000 Publicación de la primera versión de la normativa ISO/IEC 17799:2000 código de buenas prácticas 2002 Publicación de la nueva versión de la BS 7799:2 Publicación oficial de la UNE-ISO/IEC 17799. Código de buenas prácticas 2004 Publicación oficial de la UNE 71502. Especificaciones de los sistemas de gestión de la seguridad de la información. 2005 Publicación oficial de ISO 17799:2005. Código de buenas prácticas. Publicación de la ISO 27001. Especificaciones de los sistemas de gestión de la seguridad de la información, basados en la norma BS 7799-2 2006 BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. Fuente: El Autor. En síntesis, a pesar de las diferentes normativas que existieron a lo largo de esos años, las normativas vigentes de certificación internacional en Sistema de Gestión de Seguridad de la información se encuentran - ISO 27001, certificable bajo los esquemas nacionales de cada país. Adicionalmente se encuentran las normas españolas, UNE-IS/IEC 17799 y la UNE 71502 que son de carácter nacional o local, entre ellas se relacionan las siguientes:  UNE 71504:2008. Metodología de análisis y gestión de riesgos para los sistemas de información.
  21. 21. 21 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI  UNE 61286:2005. Tecnologías de la información. Conjunto de caracteres gráficos codificados que se utilizan en la preparación de documentos, los cuales se usan en electrotecnología y en el intercambio de información.  UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI  UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 2: Gestión y planificación de la seguridad de TI.  UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 3: Técnicas para la gestión de la seguridad de TI.  UNE-ISO/IEC 17799:2002.Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información. 1.5 Lección 5: Estado de implantación de normativas de seguridad de la información en Colombia. Actualmente es difícil determinar las empresas que en Colombia están en el proceso de implantación de SGSI, pero si se puede brindar la información específica de aquellas que en la actualidad se encuentran certificadas en la normativa internacional auditable ISO/IEC 27001:2005. De acuerdo a estadísticas del 2010, el Japón es el país que más empresas certificadas obtuvo en ese año y en Colombia se reportaron 8 empresas como UNE que obtuvo la certificación en el año 2009 y durante el 2010 y 2011, se realizaron auditorías de seguimiento para verificar el cumplimiento de las norma y en noviembre del 2012, recibió la 4 recertificación ISO 27001 sobre la gestión de la 4 Recertificación UNE ISO 27001 (2012). http://saladeprensa.une.com.co/index.php?option=com_content&view=article&id=1080:bureau- Enlaces web de interés Normas y esquemas de certificación anunciadas por la BSI Sistemas de gestión de la seguridad de la información UNE-ISO/IEC 27001 El portal de ISO 27001 En español
  22. 22. 22 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI seguridad de la información, además de recertificación de su Sistema de Gestión Integral en las normas ISO 9001, NTCGP1000 sobre la gestión de la calidad. La empresa UNE es una ISP que presta diferentes servicios en el campo de las telecomunicaciones tales como: Telefonía, Internet, Televisión, entre otras. INCONTEC (Instituto de Colombiano de Normas Técnicas y certificación), reconocido por el gobierno colombiano mediante el decreto 2269 de 1993. Es quién promueve, desarrolla y guía la aplicación de normas técnicas colombianas y demás documentos normativos. ICONTEC, es representante por Colombia ante los organismos de normalizaciones internacionales y regionales como la ISO, IEC (international Electrotechinical commission), COPANT (comisión Panamericana de Normas Técnicas) entre otras. A su vez esta organización nacional provee el servicio de consultas de contenido de las normas técnicas colombianas e internacionales. Además presenta ante Colombia un compendio de normativas para el SGSI. 5 Como Organismo Nacional de Normalización, son miembro activo de los más importantes organismos internacionales y regionales de normalización, lo que nos permite participar en la definición y el desarrollo de normas internacionales y regionales, para estar a la vanguardia en información y tecnología. 6 “ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares—auditar controles en los sistemas computacionales que se estaban haciendo cada vez más críticos para las operaciones de sus respectivas organizaciones—se sentaron a discutir la necesidad de tener una fuente centralizada de información y guías en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor en el campo de gobierno y control de TI. Con más de 110,000 integrantes (miembros de la Asociación y aquellos que no son miembros pero ostentan una o más certificaciones de ISACA) en 180 países, ISACA ayuda a empresas y líderes de TI a maximizar el valor, además de gestionar riesgos relacionados con la información y la tecnología. Fundada en 1969, ISACA, es una organización independiente, sin ánimo de lucro, que representa los intereses de los profesionales relacionados con la seguridad de la información, aseguramiento, gestión de riesgos y gobierno de TI. Estos profesionales confían en ISACA como fuente confiable de conocimiento sobre la información y la tecnología, la comunidad, estándares y certificaciones. La asociación, que tiene 200 capítulos en todo el mundo, promueve el avance y veritas-ratifico-los-certificados-de-gestion-de-une-epm-telecomunicaciones&catid=116:une-epm- telecomunicaciones&Itemid=152 5 Icontec. http://www.icontec.org.co/index.php?section=18 6 ISACA. Sitio oficial. La historia de ISACA. Recuperado de http://www.isaca.org/About- ISACA/History/Espanol/Pages/default.aspx
  23. 23. 23 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI certificación de habilidades y conocimientos críticos para el negocio, a través de certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA® ), Certified Information Security Manager® (CISM® ), Certified in the Governance of Enterprise IT® (CGEIT® ) y Certified in Risk and Information Systems Control™ (CRISC™)‖. ISACA también desarrolló y continuamente actualiza COBIT® , un marco de referencia que ayuda a empresas de todas las industrias y geografías, a gobernar y gestionar su información y tecnología. Los profesionales, estudiantes y académicos con perfiles en el área de la tecnología de información y seguridad de la información pueden ser miembros de ISACA con el objetivos de acceder a los beneficios que proporciona y a la vez apuntar a las certificaciones que ofrece CISA, CISM, CGEIT,CRISC y COBIT. Tabla No. 4 Número de certificaciones expedidas en el 2010 a nivel mundial Fuente: International Register of ISMS certificates. http://www.iso27001certificates.com/ A continuación se relaciona el listado actualizado de los 7 Organismos de Certificación de SGSI, avalados por la ISO. Organismos de Certificación (CBS)  AFNOR Certification  AJA Registrars Ltd  APCER  BM TRADA Certification Limited  BSI 7 International Register of ISMS certificates. http://www.iso27001certificates.com/
  24. 24. 24 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI  BSI-J (BSI Japan K.K.)  Bureau Veritas Certification  Center Teknologisk institutt Sertifisering AS (Norway)  CEPREIi Certification Body  Certification Europe  CIS (Austria)  Comgroup GmbH (Germany)  CQS (Czech Republic)  datenschutz cert GmbH (Germany)  Defense Procurement Structure Improvement Foundation System Assessment Center (BSK System Assessment Center)  DNV (Det Norske Veritas)  DQS GmbH (Germany)  DS Certification  ENAC (Entidad Nacional de Acreditacion)  HKQAA (Hong Kong Quality Assurance Agency)  ICMS  International Standards Certifications  Intertek Systems Certification  ISOQAR  JACO-IS (Japanese Audit and Certification Organisation)  JATE (Japan Approvals Institute for Telecommunications Equipment)  JICQA (JIC Quality Assurance Ltd)  JMAQA (JMA QA Registration Center)  JQA (Japan Quality Assurance Organization)  JSA (Japanese Standards Association Management Systems Enhancement Department)  JUSE-ISO (Union of Japanese Scientists and Engineers ISO Center)  J-VAC (Japan Value-Added Certification Co.,Ltd)  KEMA Quality BV  KPMG Audit plc  KPMG Certification  KPMG RJ (KPMG Registrar Co., Ltd.)  KPMG SA  LGAI Technological Center  LRQA (Lloyd's Register Quality Assurance Limited)  LTSI SAS (France)  Moody  MSA (Management System Assessment Center Co., Ltd)  National Quality Assurance  Nemko (Norway)  PJR (Perry Johnson Registrars)  PJR-J (Perry Johnson Registrars, Inc. of JAPAN)  PricewaterhouseCoopers Certification B.V.
  25. 25. 25 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI  PSB Certification (Singapore)  QSCert, spol. s.r.o  RINA S.p.A. (Italy)  SAI Global Limited (Australia)  SEMKO-DEKRA Certification AB  SFS-Inspecta Certification (Finland)  SGS ICS Limited  SGS Pakistan (Pvt) Limited  SGS Philippines Inc.  SIRIM QAS International  SQS (Swiss Quality System)  STQC IT Certification Services (India)  TCIC Ltd  TECO (Tohmatsu Evaluation and Certification Organization)  TUV NORD CERT GmbH (Germany)  TÜV Rheinland Group (Germany)  TÜV RJ (TUV Rheinland Japan Ltd.)  TÜV SAAR CERT (Germany)  TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany)  UIMCert (Germany)  United Registrar of Systems Limited 1.5.1 Ciclo PDCA (Edward Deming) Para la implantación de un sistema de Gestión de la seguridad de la información, se requiere del desarrollo de actividades que marquen un orden lógico para llevar organizado todo el proceso. El modelo PDCA (Plan, do, check, act), en su equivalencia en español es Planificar, hacer, verificar y actuar (PHVA), es una estrategia de mejora continua de calidad en cuatro pasos. Este modelo es muy utilizado para implantación de sistemas de gestión, como los sistemas de gestión de la calidad que muchas empresas de hoy lo implantan para la calidad administrativa y de servicios con el objetivo de perfeccionarlos y continuar en un proceso de mejora continua. Para el caso de la implantación de Sistemas de Gestión de la Seguridad informática, el ciclo PDCA es una estrategia efectiva para la organización y documentación que se requiere en este proceso. La siguiente figura ilustra este modelo basado en los procedim|ientos esenciales para un SGSI. Figura No.3 Figura No. 4 Ciclo PDCA (PHVA) para la implantación de SGSI
  26. 26. 26 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI Fuente: El Autor. El ciclo PDCA como modelo para implantación de SGSI, permanece en una constante revaluación, por cuanto funciona, bajo la filosofía del mejoramiento continuo; en seguridad sería la revaluación de las medidas de prevención, corrección y evaluación, manteniendo un constante ciclo que por sus características no podría terminar. A continuación se detalla cada uno de los pasos del modelo Deming como metodología apropiada los SGSI. Planear En esta etapa se enmarca todo el proceso de análisis de la situación en que actualmente se encuentra la empresa respecto a los mecanismos de seguridad implementados y la normativa ISO/IEC 17799:2005, la cual se pretende implantar para evaluación y certificación. Así mismo en la etapa de planeación se organizan fases relevantes como son:  Establecer el compromiso con los directivos de la empresa para el inicio, proceso y ejecución  Fase de análisis de información de la organización, En esta fase se comprueba cuáles son los sistemas informáticos de hardware y los sistemas de información que actualmente utiliza la empresa para el cumplimiento de su misión u objeto social.  Fase de evaluación del riesgo; En esta fase se evalúa los riesgos, se tratan y se seleccionan los controles a implementar. Hacer
  27. 27. 27 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI En esta etapa se implementan todos los controles necesarios de acuerdo a una previa selección en la etapa de planeación, teniendo en cuenta el tipo de empresa. También se formula y se implementa un plan de riesgo Verificar Consiste en efectuar el control de todos los procedimientos implementados en el SGSI. En este sentido, se realizan exámenes periódicos para asegurar la eficacia del SGSI implementado, se revisan los niveles de riesgos aceptables y residuales y se realicen periódicamente auditorías internas para el SGSI. Actuar Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas, realizar las acciones correctivas y preventivas, mantener comunicación con el personal de la organización relevante.
  28. 28. 28 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI CAPITULO 2. ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 2.1 Lección 6: La organización ISO y la Familia de Normas ISO La organización Internacional de Estándares ISO, abreviado por sus siglas en inglés, International Organization for Standardization, se origina en la Federación Internacional de Asociaciones Nacionales de Normalización (1926 – 1939). En octubre de 1946, en Londres, se acordó su nombre por representantes de veintiocho países. La ISO, celebró su primera reunión en Junio de 1947 en Zurich, Alemania, su sede se encuentra ubicada en Ginebra, Suiza. 8 Su finalidad principal es la de promover el desarrollo de estándares internacionales y actividades relacionadas incluyendo la conformidad de los estatutos para facilitar el intercambio de bienes y servicios en todo el mundo. La ISO creó en 1987 la serie de estandarización ISO 9000 adoptando la mayor parte de los elementos de la norma británica BS 5750 que estudió en la lección 3. Ese mismo año la norma fue adoptada en los Estados Unidos como la serie ANSI/ASQC– Q90 (American Society for Quality Control); y la norma BS 5750 fue revisada con el objetivo de hacerla idéntica a la norma ISO 9000. Las normas ISO ofrecen soluciones y logra beneficios para casi todos los sectores de diferente actividad como la agricultura, construcción, ingeniería mecánica, fabricación, distribución, transporte, medicina, dispositivos, tecnologías de información y comunicación, el medio ambiente, energía, gestión de calidad, evaluación de la conformidad y los servicios. 2.1.1 Criterios de la ISO para desarrollar un estándar El desarrollo de nuevas normas por parte de la ISO, se hace de acuerdo a las necesidades generadas por los diferentes sectores empresariales, industriales, o cualquier grupo de interés general, el cual comunica su necesidad de la creación de un nuevo estándar a uno de los miembros nacionales de la ISO. Este miembro plantea el nuevo tema de trabajo de la comisión que corresponde al técnico de la ISO para la elaboración de normas en la materia. Las organizaciones de enlace con los comités también pueden plantear o proponer nuevos elementos de trabajo. La orientación de la ISO se guía por un Plan Estratégico aprobado para un período de cinco años por los miembros de la ISO. Los miembros de la ISO, los representantes últimos de la ISO para sus propios países, se dividen en tres 8 Sandoval Serrano, René Mauricio. Calidad y desarrollo organizacional a través de la certificación ISO 9000. Argentina: El Cid Editor | apuntes, 2009. p 12. http://site.ebrary.com/lib/unadsp/Doc?id=10316639&ppg=12. Copyright © 2009. El Cid Editor | apuntes. All rights reserved.
  29. 29. 29 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI categorías: los organismos miembros (miembros plenos), los miembros corresponsales y miembros de abonados. Sólo los organismos miembros tienen el derecho a votar. La ISO está compuesta por 163 miembros que se dividen en tres categorías: Los organismos miembros, los miembros corresponsales, miembros de suscriptor. Los 9 países miembros de la ISO. 2.2 Lección 7: Familia de las normas ISO/IEC 27000:2005 La serie ISO/IEC 27000, es un conjunto de normas de gestión de la seguridad de la información con la IEC (International Electrotechnical Commission), comisión internacional de electrotecnia, tiene algunas similitudes a la familia de las normas de gestión de la calidad ISO 9000. Cada una de las normas de la familia 27000, define y centra todos los aspectos importantes en el contexto de la gestión de la seguridad de la información en cualquier empresa pequeña, mediana o grande, así como públicas y privadas. A continuación se relacionan en la siguiente tabla No. 5, la temática que define cada norma. Tabla No. 5 Relación de serie de las normas ISO/IEC 27000 Normas Temática ISO 27000 Gestión de la seguridad de la información ( Fundamentos y vocabulario) ISO 27001 Especificaciones para un SGSI ISO 27002 Código de buenas prácticas ISO 27003 Guía de implantación de un SGSI ISO 27004 Sistema de métricas e indicadores ISO 27005 Guía de análisis y gestión de riesgos ISO 27006 Especificaciones para Organismos Certificadores de SGSI. ISO 27007 Guía para auditar un SGSI. ISO/IEC TR 27008: Guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI ISO/IEC 27010: Guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. Fuente: El Autor 9 Países Miembros de la ISO. Recuperado de http://www.iso.org/iso/about/iso_members.htm.
  30. 30. 30 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI A continuación se presenta un breve resumen de cada una de las normas relacionadas anteriormente para una mayor ilustración. Sin embargo es de aclarar que no son de libre difusión sino que deben ser adquiridas.  Norma ISO 27000: Gestión de la seguridad de la información (Fundamentos y vocabulario) Esta norma fue publicada el 1 de mayo de 2009 y contemplan en forma introductoria todos los aspectos fundamentales que enfoca un sistema de gestión de seguridad de la información (SGSI), una descripción del ciclo PDCA, al igual que las definiciones de los términos que se emplean en toda la serie 27000.  Norma ISO 27001 Especificaciones para un SGSI Esta norma fue publicada el 15 de Octubre de 2005, la cual enmarca los requisitos y/o especificaciones del sistema de Gestión de la seguridad de la información. Fue originaria de la BS 7799-2:2002, siendo identificada actualmente como norma ISO 27001:2005. Esta es la norma certificable en la actualidad por los auditores externos de los SGSI de las diferentes empresas. En esta norma se enumera en forma resumida, los objetivos de control y controles, para que sean seleccionadas por las empresas que desean implantar el SGS. Si bien es cierto que no es de carácter obligatorio que se implementen todos los controles de esta norma, la empresa debe justificar ante los auditores la no aplicabilidad de los controles cuando estén en el proceso de evaluación para una certificación. En Colombia a través del El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) y en otros países como España, Venezuela, Argentina, Chile, México y Uruguay se pueden adquirir las normas en el idioma Español. El original en versión en inglés y la traducción al francés pueden adquirirse en el sitio oficial de la ISO. Actualmente, este estándar se encuentra en revisión por el subcomité ISO SC27, para ser publicada en forma prevista su segunda edición en Mayo de 2013.  ISO 27002: código de buenas prácticas Publicado el 1 de julio de 2007. Esta norma no certificable, es una guía de buenas prácticas que detalla los objetivos de control y controles recomendables en los aspectos de seguridad de la información. En cuanto a seguridad de la información. La ISO 27002, contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Esta norma se encuentra publicada en Español a través de la empresa AENOR y en Colombia NTC-ISO IEC 27002), así mismo se pueden encontrar en Perú, chile, entre otros países latinoamericanos.  ISO 27003: Guía de implantación de un SGSI
  31. 31. 31 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI Publicado el 1 de Febrero de 2010. Esta norma no es certificable y proporciona una guía que contempla todos los aspectos necesarios para el diseño e implementación de un SGSI de acuerdo a la norma certificable ISO/IEC 27001:2005. El objetivo de esta norma es describir las especificaciones y diseño en el proceso de la implementación del SGSI. Actualmente esta norma se encuentra traducida sólo en el Instituto Uruguayo de normas técnicas en Uruguay (UNIT-ISO/IEC 27003). El original en inglés a través del sitio oficial ISO.  ISO 27004: Sistema de métricas e indicadores Esta norma fue publicada el 15 de diciembre de 2009. Esta norma es una guía que permite determinar la eficacia de la implantación de un SGSI a través del desarrollo y utilización de métricas y técnicas de medida y los controles o grupos de controles implementados según ISO/IEC 27001. Esta norma sólo se encuentra traducida al español en Argentina (IRAM-ISO-IEC 27004) y Uruguay (UNIT- ISO/IEC 27004) y el original en inglés a través del sitio oficial ISO.  ISO 27004: Sistema de métricas e indicadores La primera edición fue publicada el 15 de Junio de 2008 y la. La segunda edición fue el 1 de junio de 2011. Esta norma tampoco es certificable, pero proporciona las pautas para la gestión del riesgo en la seguridad de la información sobre los conceptos generales definidos en la norma ISO/IEC 27001. Esta norma está diseñada ayudar a la aplicación exitosa de la seguridad de la información basada en un enfoque de gestión de riesgos.  ISO/IEC 27006: Especificaciones para Organismos Certificadores de SGSI. Esta norma fue publicada en su primera edición el 1 de marzo de 2007 y su segunda edición el 1 de diciembre de 2011. Esta norma específica los requisitos para la acreditación de entidades de auditoría y certificación de SGSI. Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.  ISO 27007: Guía para auditar un SGSI. Esta norma fue publicada el 14 de Noviembre de 2011. Es una guía para la aplicación de auditorías a un SGSI como complemento especificado en ISO 19011, no es una norma certificable. La versión original en el idioma inglés se puede encontrar desde su enlace oficial ISO. Existen diferentes series de normas de la ISO /IEC, desarrolladas con el objetivo de perfeccionar las existentes o crear nuevos estándares para el beneficio de
  32. 32. 32 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI todos los sectores organizacionales con proyecciones a su publicación en fechas de este mismo año 2012 y 2013. 2.3 Lección 8: La normativa ISO/IEC 27001:2005 y afines 2.3.1 Estructura ISO/IEC 27001:2005 Para la normativa certificable de la ISO/IEC 27001, se estipulan 11 dominios, 44 objetivos y 133 controles de seguridad. Cada dominio estipula un capítulo de la norma especificando en forma detallada los controles a los que pertenece cada dominio y su funcionalidad. Figura No. 5. Dominios de seguridad normativa ISO/IEC 27001 Fuente: El autor Cada dominio representado en la figura 4, estipula unos objetivos en el SGSI, los controles de seguridad y la función. 05. Política de seguridad: En este dominio se especifica la forma de creación de un documento de política de seguridad, el cual debe ser elaborado por el equipo de trabajo que la dirección designa para la implementación del SGSI. Dicho documento debe ser revisado y aprobado por la dirección. En el documento de política de seguridad, se debe especificar toda la normativa
  33. 33. 33 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI interna de la institución con el objetivo de que los funcionarios conozcan y cumplan las medidas de seguridad implantadas a través del (SGSI). Así mismo contempla todos los aspectos orientados al acceso a la información, utilización de los activos físicos y lógicos de la organización y el comportamiento que deben tener en caso de que ocurra un incidente de seguridad. La elaboración del documento debe ser con un lenguaje claro y sencillo con el objetivo de que cualquier funcionario de la empresa u organización lo pueda interpretar. La subdivisión de este control es la siguiente:  A.5.1.1 Documento de política de seguridad de la información  A.5.1.2 Revisión de la política de seguridad de la información 06. Aspectos organizativos para la seguridad: Aquí se establece los parámetros internos y externos de la organización. Los internos, hacen referencia al compromiso que la dirección asume para la implantación del SGSI, la designación del equipo de personal que incluye el coordinador de seguridad y la asignación de responsabilidades entre otros. Los parámetros externos hacen referencia a los Riesgos relacionados con el acceso a terceros, seguridad con respecto a los clientes y contratación con terceros. Los subdominios o controles se relacionan a continuación. A.6.1 Interna  A.6.1.1 Compromiso de la Dirección con la seguridad de la información  A.6.1.2 Coordinación de la seguridad de la información  A.6.1.3 Asignación de responsabilidades relativas a la seguridad de la información  A.6.1.4 Proceso de autorización de recursos para el procesado de la información  A.6.1.5 Acuerdos de confidencialidad  A.6.1.6 Contacto con las autoridades  A.6.1.7 Contacto con grupos de especial interés  A.6.1.8 Revisión independiente de la seguridad de la información A.6.2 Externa (Terceros)  A.6.2.1 Identificación de los riesgos derivados del acceso de terceros  A.6.2.2 Tratamiento de la seguridad en la relación con los clientes  A.6.2.3 Tratamiento de la seguridad en contratos con terceros
  34. 34. 34 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI 07. Gestión de activos: Activo en seguridad de la información es la información que la empresa u organización debe proteger contra las diferentes amenazas a las que puede estar expuesta. La generación, ubicación y salvaguarda de la información depende de otros activos de la empresa, los cuales se dividen en diferentes grupos: Hardware, software o aplicación, red, equipamiento auxiliar, instalación, servicios y de personal. A.7.1 Responsabilidad sobre los activos  A.7.1.1 Inventario de activos  A.7.1.2 Propiedad de los activos  A.7.1.3 Uso aceptable de los activos A.7.2 Clasificación de la información  A.7.2.1 Directrices de clasificación  A.7.2.2 Etiquetado y manipulado de la información 08. Seguridad ligada a los recursos humanos: Este dominio hace énfasis en todo el talento humano de la organización y demás personal contratado de manera externa, los cuales deben conocer las responsabilidades que adquieren para proteger la información, garantizar la seguridad y buen uso, así como mantener confidencialidad a la información que tienen acceso con este carácter. Es tarea de la organización hacer todo tipo de verificación jurídica al personal antes de ser contratado y establecer las debidas cláusulas contractuales para el cumplimiento de sus funciones, responsabilidades que tiene sobre los activos que utilizará entre otros. También deberá definir los procedimientos que se deben realizar cuando un empleado tenga cambio de funciones o cambio de cargo o haya salido de la empresa por diferentes motivos. A.8.1 Antes del empleo  A.8.1.1 Funciones y responsabilidades  A.8.1.2 Investigación de antecedentes  <A.8.1.3 Términos y condiciones de contratación  A.8.2 Durante el empleo  A.8.2.1 Responsabilidades de la Dirección  A.8.2.2 Concienciación, formación y capacitación en seguridad de la información  A.8.2.3 Proceso disciplinario
  35. 35. 35 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI A.8.3 Cese del empleo o cambio de puesto de trabajo  A.8.3.1 Responsabilidad del cese o cambio  A.8.3.2 Devolución de activos  A.8.3.3 Retirada de los de derechos de acceso 09. Seguridad física y del entorno: Abarca toda la seguridad en el sitio físico donde se encuentren ubicados los equipos informáticos y la información de la empresa, al igual que el entorno, es decir, toda el área perimetral la estructura física de la organización. En esta parte se estipula el control de acceso a las oficinas o espacios de la edificación organizacional por el mismo personal de la institución y por personal externo. Protección contra incidentes naturales y/o industriales (inundaciones, fuego, humedad, etc.). A.9.1 Áreas seguras  A.9.1.1 Perímetro de seguridad física  A.9.1.2 Controles físicos de entrada  A.9.1.3 Seguridad de oficinas, despachos e instalaciones  A.9.1.4 Protección contra las amenazas externas y de origen ambiental  A.9.1.5 Trabajo en Áreas seguras  A.9.1.6 Áreas de acceso público y de carga y descarga 10. Gestión de comunicaciones y operaciones: En este dominio se estipula la documentación entorno a los procedimientos para la operación, administración, configuración del sistema de comunicaciones de la organización. En tal sentido, se debe garantizar la separación de los recursos en desarrollo, prueba y operación de los sistemas de información manejados por la organización. Se debe definir y establecer claramente los acuerdos sobre las provisiones y servicios que sean necesarios contratar por terceros. Se debe gestionar las capacidades de los sistemas para garantizar la protección contra código malicioso, código descargado por clientes, copias de seguridad entre otros. Estipular los controles de seguridad para el intercambio de la información a través de las redes de comunicaciones, garantizar la seguridad en el comercio electrónico en caso de que la empresa lo contemple, revisiones y monitorización del mismo entre otros.  A.10.1 Responsabilidades y procedimientos de operación  A.10.1. 1 Documentación de los procedimientos de operación
  36. 36. 36 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI  A.10.1. 2 Gestión de cambios  A.10.1. 3 Segregación de tareas  A.10.1. 4 Separación de los recursos de desarrollo, prueba y operación  A.10.2 Gestión de la provisión de servicios por terceros  A.10.2. 1 Provisión de servicios  A.10.2. 2 Supervisión y revisión de los servicios prestados por terceros  A.10.2. 3 Gestión de cambios en los servicios prestados por terceros  A.10.3 Planificación y aceptación del sistema  A.10.3. 1 Gestión de capacidades  A.10.3. 2 Aceptación del sistema  A.10.4 Protección contra código malicioso y descargable  A.10.4. 1 Controles contra el código malicioso  A.10.4. 2 Controles contra el código descargado en el cliente  A.10.5 Copias de seguridad  A.10.5. 1 Copias de seguridad de la información  A.10.6 Gestión de la seguridad de las redes  A.10.6. 1 Controles de red  A.10.6. 2 Seguridad de los servicios de red  A.10.7 Manipulación de los soportes  A.10.7. 1 Gestión de soportes extraí-bles  A.10.7. 2 Retirada de soportes  A.10.7. 3 Procedimientos de manipulación de la información  A.10.7. 4 Seguridad de la documentación del sistema  A.10.8 Intercambio de información
  37. 37. 37 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI  A.10.8. 1 Políticas y procedimientos de intercambio de información  A.10.8. 2 Acuerdos de intercambio  A.10.8. 3 Soportes físicos en tránsito  A.10.8. 4 Mensajería electrónica  A.10.8. 5 Sistemas de información empresariales  A.10.9 Servicios de comercio electrónico  A.10.9. 1 Comercio electrónico  A.10.9. 2 Transacciones en línea  A.10.9. 3 Información puesta a disposición pública  A.10.10 Supervisión  A.10.10 .1 Registro de auditorías  A.10.10 .2 Supervisión del uso del sistema  A.10.10 .3 Protección de la información de los registros  A.10.10 .4 Registros de administración y operación  A.10.10 .5 Registro de fallos  A.10.10 .6 Sincronización del reloj 11. Control de accesos: El acceso a la información, producto de la razón social de la empresa (aplicaciones, infraestructura tecnológica y comunicación, etc.) debe ser protegida a través de controles de acceso físico y lógico en la empresa. En este sentido se enmarca todos los criterios de control de acceso. A continuación se relacionan:  A.11.1 Requisitos de negocio para el control de acceso  A.11.1.1 Política de control de acceso  A.11.2 Gestión de acceso de usuario  A.11.2.1 Registro de usuario
  38. 38. 38 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI  A.11.2.2 Gestión de privilegios  A.11.2.3 Gestión de contraseñas de usuario  A.11.2.4 Revisión de los derechos de acceso de usuario  A.11.3 Responsabilidades de usuario  A.11.3.1 Uso de contraseña  A.11.3.2 Equipo de usuario desatendido  A.11.3.3 Polí-tica de puesto de trabajo despejado y pantalla limpia  A.11.4 Control de acceso a la red  A.11.4.1 Política de uso de los servicios en red  A.11.4.2 Autenticación de usuario para conexiones externas  A.11.4.3 Identificación de equipos en las redes  A.11.4.4 Diagnóstico remoto y protección de los puertos de configuración  A.11.4.5 Segregación de las redes  A.11.4.6 Control de la conexión a la red  A.11.4.7 Control de encaminamiento (routing) de red  A.11.5 Control de acceso al sistema operativo  A.11.5.1 Procedimientos seguros de inicio de sesión  A.11.5.2 Identificación y autenticación de usuario  A.11.5.3 Sistema de gestión de contraseñas  A.11.5.4 Uso de los recursos del sistema  A.11.5.5 Desconexión automática de sesión  A.11.5.6 Limitación del tiempo de conexión  A.11.6 Control de acceso a las aplicaciones y a la información  A.11.6.1 Restricción del acceso a la información  A.11.6.2 Aislamiento de sistemas sensibles  A.11.7 Ordenadores portátiles y teletrabajo  A.11.7.1 Ordenadores portátiles y comunicaciones móviles  A.11.7.2 Teletrabajo 12. Adquisición, desarrollo y mantenimiento de sistemas de información: En este dominio se especifican todas las pautas para garantizar la adquisición de hardware y software seguro, así como el desarrollo de software a la medida
  39. 39. 39 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI desarrollado por la organización, realizar las pruebas necesarias para ajustar y mejorar las debilidades en seguridad de los Sistemas de información, al mismo tiempo la validación.  A.12.1 Requisitos de seguridad de los sistemas de información  A.12.1.1 Análisis y especificación de los requisitos de seguridad  A.12.2 Tratamiento correcto de las aplicaciones  A.12.2.1 Validación de los datos de entrada  A.12.2.2 Control del procesamiento interno  A.12.2.3 Integridad de los mensajes  A.12.2.4 Validación de los datos de salida  A.12.3 Controles criptográficos  A.12.3.1 Política de uso de los controles criptográficos  A.12.3.2 Gestión de claves  A.12.4 Seguridad de los archivos de sistema  A.12.4.1 Control del software en explotación  A.12.4.2 Protección de los datos de prueba del sistema  A.12.4.3 Control de acceso al código fuente de los programas  A.12.5 Seguridad en los procesos de desarrollo y soporte  A.12.5.1 Procedimientos de control de cambios  A.12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo  A.12.5.3 Restricciones a los cambios en los paquetes de software  A.12.5.4 Fugas de información  A.12.5.5 Externalización del desarrollo de software  A.12.6 Gestión de la vulnerabilidad técnica  A.12.6.1 Control de las vulnerabilidades técnicas 13. Gestión de incidentes de seguridad: En este dominio se plantean los procedimientos sistemáticos que la organización debe seguir, cuando se presente un incidente de seguridad, para aplicar las acciones correctivas, al mismo tiempo que el responsable de monitorear, dirigir y controlar la aplicación de dichos procedimientos.
  40. 40. 40 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI  A.13.1 Notificación de eventos y puntos débiles de la seguridad de la información  A.13.1.1 Notificación de los eventos de seguridad de la información  A.13.1.2 Notificación de puntos débiles de la seguridad  A.13.2 Gestión de incidentes de seguridad de la información y mejoras  A.13.2.1 Responsabilidades y procedimientos  A.13.2.2 Aprendizaje de los incidentes de seguridad de la información  A.13.2.3 Recopilación de evidencias 14. Gestión de continuidad del negocio: En este dominio, se contempla los planes que debe seguir la organización para mantener el servicio activo a los clientes, con el objetivo de que sea transparentes para ellos. El plan que se diseñe, debe establecer los puntos críticos de la organización para protegerlos.  A.14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio  A.14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio  A.14.1.2 Continuidad del negocio y evaluación de riesgos  A.14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información  A.14.1.4 Marco de referencia para la planificación de la continuidad del negocio  A.14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad 15. Conformidad legal: El dominio contempla la reglamentación interna y externa de la organización sobre el cumplimiento de políticas establecidas, identificación de la legislación nacional e internacional aplicable a la organización.  A.15.1 Cumplimiento de los requisitos legales  A.15.1.1 Identificación de la legislación aplicable  A.15.1.2 Derechos de propiedad intelectual (DPI)  A.15.1.3 Protección de los documentos de la organización  A.15.1.4 Protección de datos y privacidad de la información personal
  41. 41. 41 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI  A.15.1.5 Prevención del uso indebido de los recursos de tratamiento de la información  A.15.1.6 Regulación de los controles criptográficos  A.15.2 Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico  A.15.2.1 Cumplimiento de las políticas y normas de seguridad  A.15.2.2 Comprobación del cumplimiento técnico  A.15.3 Consideraciones de las auditorías de los sistemas de información  A.15.3.1 Controles de auditoría de los sistemas de información 2.4 Lección 9: Integración del SGSI (ISO 27001) a ISO 9001 –- 14000 Los sistemas de gestión son herramientas que permiten a las empresas organizar y controlar de manera sistémica cada uno de los procesos y procedimientos que se requieren en cierta área para el funcionamiento eficaz de la empresa, en los ámbitos de la calidad, la seguridad de la información y el impacto ambiental. En este orden, si las empresas ya han implantado alguno de los sistemas de gestión ISO 90001, y/o 14001 para la empresa es más fácil la implantación de un SGSI por cuanto todos contemplan aspectos similares como la utilización de ciclo PDCA para la implantación en todos los sistemas de gestión de la ISO, lo cual permitiría una integración de los diferentes sistemas de gestión, evidenciándose en el anexo C de la ISO 27001; donde se detalla punto por punto la correspondencia entre esta norma y las demás normas ISO 9001 e ISO 14001. Ver tabla 6. Cuadro comparativo entre las normas ISO 9001, 27001 y 14001. Tabla No. 6 Cuadro comparativo entre las normas ISO 9001, 27001 y 14001. 9001 (Sistema de gestión de calidad - SGC) 27001 (Sistema de Gestión de Seguridad de la información - SGSI) 14001 (Sistema de gestión ambiental SGA) Compromisos de la dirección Aplica como requisito compromiso de dirección Se aplica en el dominio 06. Aspectos organizativos para la seguridad Aplica como requisito compromiso de dirección Políticas Políticas de calidad Políticas de seguridad en la organización, dominio 05. Políticas de gestión ambiental
  42. 42. 42 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI 2.5 Lección 10: Consideraciones para la implantación de un SGSI (Norma ISO 27001) en una organización 2.5.1 Preguntas orientadoras de la necesidad del SGSI ¿Cuándo y porque implantar un SGSI en una organización? Implantar un SGSI en una empresa no es precisamente cuando se le haya presentado un incidente de seguridad sobre su información, sino, cuando ésta desea tener un crecimiento y posicionamiento ante un mercado exigente y global teniendo en cuenta que para ello, requerirá del uso de la Tecnología de la información y las comunicaciones para lograrlo. En tal sentido, un SGSI, va permitir de forma organizada y sistémica, mantener la seguridad de la información que maneja la empresa con un alto grado de confiabilidad, integridad y disponibilidad. Así como el estar preparados para afrontar un incidente de seguridad que rompa las barreras (medidas de seguridad) de seguridad implantadas y estar en la capacidad de poner en funcionamiento rápidamente la empresa o que es lo mismo evitar que sus clientes lo perciban o se vean ¿Qué aspectos se deben considerar al implantar un SGSI? La seguridad de la información es un compromiso de todos en una organización. Aunque esto sea claro para muchas empleados de una empresa, para otras no lo es, es por ello que uno de los aspectos relevantes a la hora de implementar un SGSI, es concientizar a las directivas y demás empleados, la importancia y responsabilidad de proteger la información como el activo más preciado que posee y que la perdida de ella podría causar el declive parcial o total de la empresa con Revisión por dirección Revisión por dirección Esquema documental. Revisión por dirección Revisión por dirección. Auditoría interna Procesos de revisión y verificación interna sobre el SGC Proceso de revisión Interna sobre el SGSI Proceso de revisión Interna sobre el SGA Recurso Humano Se contempla involucrar al recurso humano durante y después de la implantación del SGC Se contempla involucrar al recurso humano durante y después de la implantación del SGSI Se contempla involucrar al recurso humano durante y después de la implantación del SGA Certificación ISO 9001:2000 ISO 14001:2004 ISO/IEC 27001:2005 Fuente: El Autor
  43. 43. 43 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI una afectación económica, de identidad, de marca y por ende desminución de empleados. ¿Cuánto tiempo se requiere para implantar un SGSI? Dado que existen organizaciones que tienen por lo menos implementada algunas medidas de seguridad sobre sus activos y éstas a la vez cumple con la normativa ISO/IEC 27001, la implantación del SGSI llevaría alrededor de 6 meses. Pero si la empresa posee medianamente o por lo menos unas técnicas seguras de sus activos, además de la concientización de las directivas, esta podría tardar alrededor de un año. ¿Cuánto puede costar la implantación de un SGSI? El costo de la implantación de un SGSI, depende de múltiples variables. Una de las variables es cuando la empresa la implementa pero a través de la contratación de terceros o entes externos que realizan todo el proceso. Otra variable es que dentro de la empresa existan empleados que poseen el conocimiento o en su defecto la organización los capacite para que posteriormente realicen la implantación. También se podría incluir como variable las herramientas que se utilicen para la implementación ya que existen actualmente múltiples sistemas de información y/o aplicativos que ayudan a desarrollar todo el proceso de manera más ágil. Para ello la versión de aplicaciones libres como e-pulpo permite su utilización sea de manera gratuita. Por último se podría considerar, que el costo de la implantación de un SGSI, depende de la magnitud o tamaño de la empresa ya que entre más grande sea, pues los requerimientos serán mayores o simplemente tendría que hacer la implantación por áreas, factores, dependencias o departamentos según sea la estructura organizacional de la empresa. ¿Es necesario certificarme en la ISO/IEC 27001:2005? El hecho de que la empresa no se certifique no supone perjuicio para ella, pero si desea competir en un mercado globalizado, marcar un posicionamiento en la empresa y ampliar su cobertura es necesario que lo haga. Ya que le permite crear en los clientes la confianza de estar en una empresa con un alto grado de protección de la información que manejan y de la información que mantiene de ellos. Otra de las necesidades a considerar en que una empresa se certifique es obligarla a estar en mejoramiento continuo para ajustes y revaluación de su SGSI ya que el estándar lo exige para lograr mantener en el tiempo dicha certificación.
  44. 44. 44 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI CAPITULO 3. ANALISIS DE RIESGOS El análisis de riesgos es uno de los procesos más relevantes y prioritarios para la implantación de SGSI, por ser el procedimiento que permite analizar en forma metódica cada uno de los procesos, actividades y demás labores de la empresa que pueden estar en riesgo, así como determinar las necesidades de seguridad, las posibles vulnerabilidades y las amenazas a las que se encuentra expuesta. En tal sentido, el resultado que se obtiene de todo un proceso de análisis de riesgo es la información sobre el estado actual de la empresa en cuanto a sus niveles, controles de seguridad y los riesgos. 3.1 Lección 11: Proceso de identificación del riesgo La identificación del riesgo en una empresa se realiza a través de una metodología apropiada. Actualmente, existen varias metodologías para realizar el análisis de riegos y su esencia se fundamenta en tres elementos importantes que son los activos, las amenazas y las vulnerabilidades como variables primordiales que se identifican y se relacionan entre sí, para determinar los riesgos. Ver figura 6. Los activos pueden tener vulnerabilidades que son aprovechadas por las amenazas, las cuales conlleva al riesgo inminente en la empresa. En este orden se describe de manera sucinta cada elemento. Figura No. 6 Elementos del análisis de riesgos Fuente: El autor Activos: Los activos son todos los elementos que requiere una empresa u organización para el desarrollo de sus actividades misionales y las que serán tratadas durante el proceso de analisis de riegos. Los activos pueden ser físicos como servidores, equipos, cableados, entre otros y lògicos como aplicaciones, bases de datos, sitios web, entre otros. Amenazas: Son todos aquellos hechos que pueden ocurrir en una empresa, perjudicando directamente los activos ya sea en el funcionamiento incorrecto o eliminación del mismo. Vulnerabilidades: Son todas las debilidades de seguridad en la cual se encuentran los activos que se han identificado en el análisis y son suscetibles de amenazas para su daño o destrucción.
  45. 45. 45 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI Entre las metodologías más utilizadas para realizar el análisis de riesgo a una organización se tienen Magerit, Octave y Mehari, todas cumplen con el mismo objetivo, su diferencia se determina en la forma de presentación de los resultados. Para el caso de estudio de este curso, seleccionaremos la metodología Magerit ya que los resultados del análisis de riesgo se pueden expresar en valores cualitativos y cuantitativos (valores económicos), lo cual facilita la toma de decisiones en materia de seguridad por parte de los directivos, al conocer el impacto económico que se podría presentar si la empresa no invierte en la implantación de un sistema de seguridad de la información y comunicaciones. Las demás metodologías las trabajaremos en el módulo de manera general. 3.2 Lección 12: Metodología de análisis de riesgos MAGERIT MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica de España. Actualizada en 2012 en su versión 3. Esta metodología contempla diferentes actividades enmarcadas a los activos que una organización posee para el tratamiento de la información. A continuación se relacionan cada uno de los pasos que se deben contemplan en un proceso de análisis de riesgos, teniendo en cuenta un orden sistémico que permita concluir el riesgo actual en que se encuentra la empresa. 3.2.1 Paso 1: Inventario de Activos Como se mencionó anteriormente, los activos son todos los elementos que una organización posee para el tratamiento de la información (hardware, software, recurso humano, etc.). Magerit diferencia los activos agrupándolos en varios tipos de acuerdo a la función que ejercen en el tratamiento de la información. A la hora de realizar el análisis de riesgo el primer paso es identificar los activos que existen en la organización y determinar el tipo. En la tabla No. 7 se relacionan cada tipo de activos. Tabla No. 7 Relación de activos de seguridad de la información Tipos de activos Descripción Activo de información Bases de datos, documentación (manuales de usuario, contratos, normativas, etc.) Software o aplicación Sistemas de información, herramientas de desarrollo, aplicativos desarrollados y en desarrollo, sistemas operativos, aplicaciones de servidores etc. Hardware Equipos de oficina (PC, portátiles, servidores, dispositivos móviles, etc.) Red Dispositivos de conectividad de redes (router, swicth, concentradores, etc.)
  46. 46. 46 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI Equipamiento auxiliar UPS, Instalación Cableado estructurado, instalaciones eléctricas. Servicios Conectividad a internet, servicios de mantenimiento, etc. Personal Personal informático (administradores, webmaster, desarrolladores, etc.), usuarios finales y personal técnico. Fuente: El Autor. El levantamiento de la información de los activos y la respectiva clasificación es la primera actividad que se debe realizar en un análisis de riesgos. Esta identificación se debe hacer en conjunto con las personas directamente responsables de manejar en la organización todo el sistema de información y comunicaciones. Para profundizar en la metodología Magerit, en el siguiente enlace se encuentra los 3 libros que especifican en detalle las actividades que se deben desarrollar en el análisis de riesgos. Específicamente en el libro I, se encuentra todos los aspectos a considerar en la clasificación de los activos formando como especies de árboles o grafos de dependencia que permiten darle un nivel de relevancia a los activos que la organización o empresa posee. En esta clasificación se especifican:  Activos esenciales o información que se maneja o servicios prestados  Servicios internos o que estructuran ordenadamente el sistema de información  Equipamiento informático o equipos informáticos (hardware) o comunicaciones o soportes de información: discos, cintas, etc.  el entorno: activos que se precisan para garantizar las siguientes capas• equipamiento y suministros: energía, climatización, etc. Mobiliario  los servicios subcontratados a terceros  las instalaciones físicas  El personal o usuarios o operadores y administradores o desarrolladores
  47. 47. 47 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI 3.2.2 Paso 2: Valoración de los activos Cada activo de información tiene una valoración distinta en la empresa, puesto que cada uno cumple una función diferente en la generación, almacenaje o procesamiento de la información. Pero a la hora de valorarlos no sólo debemos tener en cuenta cuanto le costó a la empresa adquirirlo o desarrollarlo, sino que además debemos contemplar el costo por la función que ella desempeña y el costo que genera ponerlo nuevamente en marcha en caso de que éste llegase a dañarse o deteriorarse. Es por ello que se hace necesario tener en cuenta diferentes variables a la hora de darle valor a un activo. En libro I en la metodología Magerit que es la que actualmente estamos estudiando, expone que los activos se deben valorar de acuerdo 5 dimensiones de seguridad (confiabilidad, integridad, disponibilidad, autenticidad y trazabilidad). En el capítulo 1, vimos las 4 primeras dimensiones como pilares de la seguridad, pero no se contempló trazabilidad que la metodología incluye. Por tal razón, define 10 trazabilidad (del inglés, accountability), que a efectos técnicos se traducen en mantener la integridad y la confidencialidad de ciertos activos del sistema que pueden ser los servicios de directorio, las claves de firma digital, los registros de actividad, etc. La metodología Margerit contempla dos tipos de valoraciones, cualitativa y cuantitativa. La primera hace referencia al de calcular un valor a través de una escala cualitativa donde se valora el activo de acuerdo al impacto que puede causar en la empresa su daño o perdida, en consecuencia la escala se refleja en:  Muy Alto (MA)  Alto (A)  Medio (M)  Bajo (b)  Muy bajo (MB) En el libro III, ―guía técnica‖, en la página 6, se encuentra en detalle esta valoración. En cuanto a la valoración cuantitativa es necesario también que se realice una escala de valores que permita a la empresa estimar su costo que no sólo es el costo que tuvo inicialmente el activo sino teniendo en cuenta variables de valor inicial, costo de reposición, costo de configuración, costo de uso del activo y valor de perdida de oportunidad. En la guía técnica se explica esta valoración cuantitativa pero no en profundidad, por lo tanto se detalla los términos en que se podría valorar un activo en miles de pesos.  Valor de reposición 10 Metodología de análisis y gestión de riesgos de los sistemas de información . Libro I Método. Pagina. 25. Ministerio de Hacienda y Administraciones Públicas. España.
  48. 48. 48 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI  Valor de configuración o puesta a punto  Valor de uso del activo  Valor de pérdida de oportunidad De acuerdo a dicha valoración es preciso que se estime 5 escalas que podríamos asignar a cada activo de acuerdo a la valoración cualitativa dada. En la tabla 8, se relaciona la escala cuantitativa. Tabla No. 8 Escala cuantitativa Podemos presentar como ejemplo, la valoración del activo de una organización que podría ser el servidor de aplicaciones, donde su función es la de mantener el proceso de facturación distribuida de los productos en la organización. A Dicho activo, se podría considerar cualitativamente con un valor muy alto en la empresa por cuanto administra información sumamente importante en la empresa para cumplimiento de sus procesos diarios y/o misionales. En consecuencia y de acuerdo a la escala de valores cuantitativos se podría estimar su valor sobre los doscientos a trecientos millones de pesos, por el valor del uso o relevancia del activo, el tipo de información que guarda y genera diariamente, el valor de perdida de oportunidad de clientes por falla en los sistemas, valor que costaría reponer el equipo en restauración de copias de seguridad o adquisición de nuevo servidor, recuperación de información de la cual no se alcanzó a realizar copia antes del incidente de seguridad presentado, entre otros aspectos relevantes. 3.2.2.1 Dimensiones de Seguridad Como se mencionó anteriormente, las dimensiones de seguridad que contempla la metodología Magerit son: Confiabilidad, integridad, autenticidad, disponibilidad y trazabilidad, el cual se puede profundizar cada una, en el Libro II: Catálogo de Elementos, en el capítulo 3 pagina 15. Para contemplar en la valoración de activos Valoración cualitativa Escala de valor cuantitativo expresado en millones Valor cuantitativo Muy Alto (MA) > $ 200 300.000 Alto (A) 200 <valor> 100 $ 150.000 Medio (M) 100 <valor> 50.000 $ 50.000 Bajo (b) 50.000 <valor> 20.000 $ 20.000 Muy bajo (MB) 20.000 <valor> 10.000 $ 10.000 Fuente: El Autor.
  49. 49. 49 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI cada una de estas dimensiones, es necesario definir unos criterios de valoración que nos permitan ubicar la posición en que se encuentra cada activo frente a cada dimensión. A continuación se relacionan los criterios que se podrían tener en cuenta para valorar los activos con respecto a cada dimensión de seguridad, ver tabla No. 9. Tabla No. 9 Criterios de valoración de los activos VALOR CRITERIO 10 Daño muy grave a la organización 7-9 Daño grave a la organización 4-6 Daño importante a la organización 1-3 Daño menor a la organización 0 Irrelevante para la organización Fuente: El Autor. Con base a los criterios anteriores, se puede hacer una valoración cualitativa de cada activo en relación a las 4 dimensiones de seguridad contempladas en la metodología. En la figura 5, se ilustra un ejemplo de la herramienta Pilar, sobre la forma como se pueden valorar los activos con el nivel de dependencia, presentado en forma de árbol de acuerdo a las 4 dimensiones. Figura No. 7 Ejemplo de valoración de activos de acuerdo a las 4 dimensiones de seguridad, herramienta Pilar Fuente: Archivo de ejemplo de la herramienta Pilar.
  50. 50. 50 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI 3.2.3 Paso 3: Amenazas (identificación y valoración) Existen actualmente múltiples amenazas que pueden afectar los activos de una empresa, por ello es importante identificarlas y determinar el nivel de exposición en la que se encuentra cada activo de información en la organización. Se considera una amenaza, a cualquier situación que pueda dañar o deteriorar un activo, impactando directamente cualquiera de las 4 dimensiones de seguridad. La ISO/IEC 13335-1:2004 define que una ―amenaza es la causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización‖. 3.2.3.1 Identificación de amenazas Magerit, en el libro II, catálogo de elementos, presenta el catálogo de amenazas posibles que puede tener un activo de información. Las amenazas se clasifican en cuatro grandes grupos: Desastres naturales(N), de origen industrial (I), errores y fallos no intencionados (E), ataques deliberados o intencionados(A). Cada grupo de amenaza se representa por una letra, así mismo cada grupo presenta en forma específica los tipos de amenazas que se pueden presentar. A continuación se presenta el listado codificado de las posibles amenazas que se pueden presentar en cada uno de los grupos mencionados. [N] Desastres naturales  [N.1] Fuego  [N.2] Daños por agua  [N.*] Desastres naturales [I] De origen industrial  [I.1] Fuego  [I.2] Daños por agua  [I.*] Desastres industriales  [I.3] Contaminación mecánica  [I.4] Contaminación electromagnética  [I.5] Avería de origen físico o lógico  [I.6] Corte del suministro eléctrico  [I.7] Condiciones inadecuadas de temperatura o humedad  [I.8] Fallo de servicios de comunicaciones  [I.9] Interrupción de otros servicios o suministros esenciales  [I.10] Degradación de los soportes de almacenamiento de la información  [I.11] Emanaciones electromagnéticas [E] Errores y fallos no intencionados

×