Modulo sgsi 233003 ajustado

1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CODIGO: 233003
233003 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION
SGSI
LORENA PATRICIA SUAREZ SIERRA
(Director Nacional)
CARLOS ALBERTO AMAYA TARAZONA
Acreditador
BOGOTA, JULIO 2013

2
TABLA DE CONTENIDO
Pag.
INTRODUCCION 8
UNIDAD I GESTION DE INFORMACION 9
INTRODUCCION A LA UNIDAD 1 10
CAPITULO 1: SEGURIDAD INFORMATICA 11
1.1 Lección 1: Pilares de la informática 11
1.2 Lección 2: Realidad de las empresas en seguridad de la información 14
1.3 Lección 3: Normativas de seguridad 18
1.4 Lección 4: ¿Cómo se estructuran las normativas de gestión de la seguridad 18
1.4.1 Origen de las normativas 19
1.4.2 Evolución de las normativas de seguridad de la información 20
1.5 Lección 5: Estado de implantación de normativas de seguridad de la
información en Colombia.
21
1.5.1 Ciclo PDCA ( Edward Deming) 25
CAPITULO 2: ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
28
2.1 Lección 6: La organización ISO y la familia de normas ISO 28
2.1.1 Criterios de la ISO para desarrollar un estándar 28
2.2. Lección 7: Familia de las normas ISO/IEC 27001:2005 29
2.3 Lección 8: La normativa ISO/IEC 27001:2005 y afines 32
2.3.1 Estructura ISO/IEC 27001:2005 32
2.4 Lección 9: Integración del SGSI (ISO 27001) a ISO 9001 - 14000 41
2.5 Lección 10: Consideraciones para implantación de un SGSI(norm ISO
27001) en una organización
42

3
2.5.1 Preguntas orientadoras de las necesidades del SGSI 42
CAPITULO 3: ANALISIS DE RIESGOS 44
3.1 Lección 11: Proceso de Identificación del riesgo 44
3.2 Lección 12: Metodología de análisis de Riesgos Magerit 45
3.2.1 Paso 1: Inventario de activos 45
3.2.2 Paso 2: Valoración de activos 47
3.2.2.1 Dimensiones de seguridad 48
3.2.3 Paso 3: Amenazas (Identificación y valoración) 50
3.2.3.1 Identificación de amenazas 50
3.2.3.2 Valoración de amenazas 52
3.2.3.3 Impacto potencial 54
3.2.3.4 Nivel de riesgo portencial 54
3.2.4 Paso 4: Salvaguardas 55
3.2.5 Paso 5 impacto residual 56
3.2.6 Riesgo Residual 56
3.2.7 Resultados del análisis de riesgos 56
3.3 Lección 13: otras metodologías (Octave, Nist, Cramm y Meheri) 56
3.4 Lección 14: Herramientas de apoyo al análisis de riesgos 57
3.5 Lección 15: Documentación 58
Autoevaluación Unidad I 60
UNIDAD 2: SISTEMAS DE GESTION DE LA SEGURIDAD INFORMATICA 61
INTRODUCCION A LA UNIDAD 2 62
CAPITULO 4: PLAN DE GESTION DE UN SGSI 63

4
4.1 Lección 16: ¿Cómo definir el alcance del SGSI? 63
4.2 Lección 17: Estructura organizacional para el SGSI 64
4.3 Lección 18: Política de seguridad 65
4.4 Lección 19: Análisis de requisitos y diseño del SGSI 66
4.5 Lección 20: Normativas legal colombiana 68
CAPITULO 5: IMPLANTACION DEL SGSI 70
5.1 Lección 21: Fases para la implantación del SGSI 70
5.1.1 Fase 1: Planificar: Análisis diferencial para definición del alcance y otras
actividades de planeación
70
5.1.2 Fase 2: Hacer: Implantar el plan SGSI 72
5.1.3 Fase 3: Varificar: Seguimiento, supervisión y revisión del SGSI 75
5..1.4 Fase 4: Actuar: Mantener y mejorar el sistema 76
5.2 Lección 22: Formación y concientización del personal 76
5.3 Lección 23: Provisión de Recursos 76
5.4 Lección 24: Plan de tratamiento de riesgos 78
5.3 Lección 25: Gestión de continuidad de negocio 78
CAPITULO 6: AUDITORIA DEL SGSI 82
6.1 Lección 26: Auditorías internas 82
6.2 lección 27: Metodología para auditoría del SGS 82
6.2.1 metodología NIST-SP-800 83
6.2.2 Metodología OSSTMM 84
6.2.3 OWASP (Open Web application security project) 85
6.2.4 Metodología OISSG 86
6.2.5 Metodología COBIT 87

5
6.3 Lección 28: Técnicas e instrumentos para auditoría 89
6.3 Lección 29: Certificación SGSI 91
6.4 Lección 30: Mantenimiento y mejora del SGSI 93
AUTOEVALUACION DE LA UNIDAD II 95
BIBLIOGRAFIA Y CIBERGRAFIA 96

6
LISTADO DE TABLAS
Pag.
Tabla No. 1 Preocupaciones especificas de la TI por Región 16
Tabla No. 2 Evolución de la organización (British Standard Institute) 19
Tabla No. 3 Evolución de las normas de seguridad de la información apoyados
por la BSI
20
Tabla No. 4 Número de certificaciones expedidas en el 2010 a nivel mundial 23
Tabla No. 5 Relación de serie de las normas ISO/IEC 27000 29
Tabla No. 6 Cuadro comparativo entre las normas ISO 9001, 27001 y 14001 41
Tabla No. 7 Relación de activos de seguridad de la información 45
Tabla No. 8 Escala cuantitativa 48
Tabla No. 9 Criterios de valoración de los activos 49
Tabla No. 10 Escala de rango de frecuencia de amenazas 52
Tabla No. 11 Escala de rango porcentual de impactos en los activos para cada
dimensión de seguridad
53
Tabla No. 12 Ejemplo de cuadro resumen, valoración de amenazas 53
Tabla No.13 Relación de metodologías y fuentes documentales de
profundización
56
Tabla No. 14 Relación de herramientas de análisis de riesgos 57
Tabla No. 15 Ejemplo tabla resumen análisis diferencial 71
Tabla No. 16 Ejemplo de diseño de indicador 73
Tabla No. 17 Secciones ISO 22301 80

7
LISTADO DE FIGURAS
Pag.
Figura No. 1 Controles de seguridad 13
Figura No. 2 Futuros Riesgos 16
Figura No. 3 Aumento significativo en el número de ataques cibernéticos 17
Figura No. 4 Ciclo PDCA (PHVA) para implantación de SGSI 25
Figura No. 5 . Dominios de seguridad normativa ISO/IEC 27001 32
Figura No. 6 Elementos del análisis de riesgos 44
Figura No. 7 Ejemplo de valoración de activos de acuerdo a las 4 dimensiones
de seguridad, herramienta Pilar
49
Figura No. 8 Ejemplo cuadro resumen valoración de amenazas, herramienta
Pilar
53
Figura No. 9 Ejemplo valoración de salvaguardias por activo herramienta Pilar 55
Figura No. 10 Estructura general ISO 27003 64
Figura No. 11 Estructura organizativa en forma piramidal 65
Figura No. 12 Ejemplo tabla representativa para declaración de aplicabilidad 75
Figura No. 13 Fotografías antes y después del tsunami en el Japón 79
Figura No. 14 Diagrama sobre el proceso de certificación de una empresa. 72

8
INTRODUCCIÓN
En la actualidad, las empresas utilizan la tecnología de la información y las
comunicaciones para ampliar cobertura en sus servicios y competir ante un
mercado globalizado, ofreciendo a sus clientes multiples opciones para acceder a
su productos y servicios. Adicional a ello, las TIC´s también les ha permitido
llevar organizado todos sus procesos administrativos en línea, para poder operar
y/o funcionar de manera alineada o distribuida, sus sistemas de información.
Lo anterior conlleva a que de alguna manera, las empresas tiendan a ser más
vulnerables o atacadas por cualquier persona que tenga el conocimiento o tal vez
por una organización delincuencial que utiliza diferentes herramientas tecnológicas
para afectar a sus víctimas y obtener beneficios.
Hoy las empresas han tomado conciencia de la necesidad de implementar
sistemas de seguridad informática para proteger su información y evitar el riesgo a
un posible ataque. En este sentido, el curso de Sistema de Gestión de la
Seguridad de la información pretende mostrar las técnicas y metodologías
apropiadas y actuales que se deben utilizar para que las empresas salvaguarden
su información; igualmente se utilicen las normas ISO como los estándares
internacionales certificados para la implantación de Sistemas de Seguridad de la
Información con alta calidad.
De acuerdo a lo anterior las organizaciones además de proteger sus activos
físicos, están asegurando sus sistemas de información ya que estos le crean una
dependencia considerablemente para el cumplimiento de su misión y visión
empresarial y su estado económico. Hoy las empresas acuden a consultores y/o
auditores especializados para que les realicen los estudios pertinentes para el
análisis del funcionamiento de su empresa, las respectivas políticas de seguridad
y certificaciones con el objetivo de obtener un alto nivel de seguridad en su
empresa.
El modulo de aprendizaje que acontinuación se presenta, describe dos unidades
didácticas que permiten al estudiante adentranse en el conocimiento de todos los
aspectos que involucra un sistema de gestión de seguridad de la información,
además mirar como las empresas han evolucionado entorno a la necesidad de
asegurar su información como uno de los activos mas importantes para el correcto
funcionamiento de su organización. En tal sentido, la unidad uno presenta el título
gestión de información y la unidad dos se titula Sistema de gestión de la seguridad
informática.

9
UNIDAD I
GESTION DE LA INFORMACION

10
INTRODUCCION A LA UNIDAD I
Llevar de manera remota los procesos administrativos así como la comunicación
entre sus empleados necesarios para su funcionamiento es otro de los beneficios
que la tecnología de la Información y las comunicaciones brinda a las empresas.
El mismo servicio en la web que las empresas de hoy presta a sus clientes, los ha
afectado a ellos de alguna manera, por cuanto a través de los pagos en línea que
han realizado para la compra de servicios, consultas, actualización de datos, entre
otros son aprovechados también por los delincuentes para acceder a sus claves o
contraseñas, a sus computadoras personales para copia y/o eliminación de su
información entre otras. Lo anterior hace que de alguna forma, los clientes se
nieguen a realizar transacciones a través de estos medios de comunicación
masiva como internet perdiendo las organizaciones posibles clientes potenciales a
nivel mundial. En este orden, las empresas deben garantizar a sus clientes una
transacción protegida, así como las orientaciones pertinentes para evitar fraudes
interinaticos.
1
En concordancia con la necesidad de las empresas de asegurar su información
además de sus dispositivos computacionales y de comunicación, de manera
organizada, sistemática, documentada y conocida, que involucre todos los
aspectos físicos, lógicos y humanos de la organización. ISO como organización
Internacional de Estándares, ha definido el estándar ISO 27001 para La gestión
de la seguridad de la información anunciando : 2
“El propósito de un sistema de
gestión de la seguridad de la información es, por tanto, garantizar que los riesgos
de la seguridad de la información sean conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologías”.
En esta unidad se trabajaran tres capítulos: seguridad informática, estándares de
gestión de la seguridad de la información SGSI y Procesos de análisis de riesgos.
En el primer capítulo enfoca los pilares de la seguridad informática y un estado del
arte sobre la implementación de sistemas de gestión planteada por las empresas
de hoy. El segundo capítulo enfatiza los elementos contemplados por el estándar
ISO para la implementación de un SGSI. Y el último capítulo enfoca un aspecto
importante que permite a las empresas conocer el estado actual en que se
encuentras sus activos de información a través del análisis de riesgos.
1
Suárez Sierra. 2013. Recuperado de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23142/1/Lsuarezsi_TFM_062013.pdf
2
El portal de ISO 27001 en Español. Recuperado de http://www.iso27000.es/sgsi.html.

11
CAPITULO 1. SEGURIDAD INFORMATICA
1.1 Lección 1: Pilares de la seguridad Informática
El amplio tema de la seguridad informática abarca todos aquellos mecanismos
tanto de prevención como de corrección que utilizan las personas y las empresas
pequeñas, medianas y grandes de hoy para proteger uno de sus mayores activos,
su información. Siendo este un bien que tiene un valor alto en cualquier
organización, es más me atrevo a decir que su precio es incalculable.
Existen múltiples definiciones sobre la seguridad informática orientadas a la
norma, a la disciplina, a su característica, etc., pero para lograr que abarque
variables importantes se puede afirmar que la seguridad informática es la que
permite lograr que todos los sistemas informáticos utilizados en cualquier contexto,
se encuentren seguro de cualquier daño o riesgos, ya sea por parte de personas
ajenas que en forma voluntaria o involuntaria lo pueda hacer o de cualquier
desastre natural. En este sentido, la protección de la información requiere de un
conjunto de software o aplicativos diseñados, documentos estándares y
metodologías existentes que permitan aplicar las normativas certificables
internacionalmente y técnicas apropiadas para llevar un control en la seguridad.
Se expresa control en la seguridad, porque se considera un tanto difícil garantizar
la seguridad de la información en forma completa o llevada a un 100%, por cuanto
intervienen diferentes amenazas a las que las organizaciones y/o personas se
encuentran continuamente expuestas.
Lo que se persigue proteger en la información, son los cuatro pilares importantes
que conlleva a que la información sea protegida a gran escala. A continuación se
especifican en su orden:
Confidencialidad: La información sólo puede ser accedida y utilizada por
el personal de la empresa que tiene la autorización para hacerlo. En este
sentido se considera que este tipo de información no puede ser revelada a
terceros, ni puede ser pública, por lo tanto debe ser protegida y es la que
tiende a ser más amenazada por su característica.
El profesional considerado por la empresa para manejar un tipo de
información confidencial conlleva a una serie de connotaciones de carácter
ético, pero en el aspecto de seguridad informática conlleva más a que los
datos estén protegidos cuando estos sean transferidos o se encuentren
disponibles por sistema de comunicación inseguro como lo es Internet. En
este orden se han considerado los mecanismos criptográficos para cifrar la
información, en caso de que esta sea interceptada, ya que a pesar de que
el atacante tenga la información esta estará cifrada y difícilmente podrá

12
descifrarla. También existen mecanismos de ocultamiento de información,
la cual se pueda a través de archivos Teniendo presente que no existen
sistemas 100% seguros, cuando el que ataca tienen el conocimiento para
buscar el mecanismo de descifrar.
Este es uno de los pilares que obliga en gran medida a las empresas a
tomar la decisión de proteger su información.
Integridad: Se refiere al momento en que la información no ha sido
borrada, copiada o modificada, es decir, cuando se conserva tal como fue
creada o enviada desde cualquier medio desde su origen hacia su destino.
Un ataque a la integridad de la información se puede presentar en archivos
planos de bases de datos, información documental, registros de datos, etc.
Uno de los mecanismos más utilizados para asegurar la integridad de la
información es a través de la firma digital. Casonavas Inés (2009) afirma: ―la
firma digital permite garantizar la identidad del autor y la integridad de un
documento digital a partir del concepto tradicional de la firma manuscrita en
papel. Técnicamente es un conjunto de datos único, asociado al documento
y al firmante, que no tiene por objetivo la confidencialidad sino asegurar la
autoría y que no ha sufrido alteraciones‖ (p.204).
Disponibilidad: Se refiere a que la información facilitada en cualquier
medio digital o software se encuentre disponible para el procesamiento de
la información, para el correcto funcionamiento de una organización, así
como de sus clientes o personal requerido sin que estos sean
interrumpidos. Un claro tipo de ataque a este pilar, se puede presentar
cuando se ha realizado la eliminación de un cable o medio de comunicación
disponible en el centro o cuarto de telecomunicaciones de la empresa, se
ha realizado denegación del servicio a sitios web o aplicativos,
funcionamiento anormal del sistema informático o de sitios web
disponibles, virus y software malicioso, entre otros. Para este tipo de
ataques las medidas y controles de seguridad son los firewall (corta fuegos)
como barreras de seguridad lógicas y físicas, lo mismo para evitar los
intrusos, la duplicidad de servidores en caso de avería o daño físico del
mismo, así como el diseño de planes de continuidad de negocio para
mantener la disponibilidad de los servicios prestados por la empresa.
Autenticidad: Este pilar se define aquella información legítima, que al ser
interceptada, puede ser copiada de su formato original a pesar de que la
información sea idéntica. Un ejemplo comparativo a la autenticidad de algo,
se presenta muchas veces en la copia de una pintura original de una obra
de arte que ha sido copiada idéntica a la obra original del autor, es decir,
que a pesar de que la información es igual, no es auténtica. Este tipo de
fraudes de autenticidad, ocurre en el plagio de información, sucede de
alguna manera en documentos digitales poseen las empresas que son

13
copiadas por el atacante. Este pilar, es similar al de integridad por lo tanto
en algunos documentos de seguridad informática no la contemplan. Sin
embargo, para prevención, también se utiliza la firma digital, para proteger
la autenticidad.
Ahora bien, antes de que exista un indecente de seguridad que afecte cualquiera
de sus pilares, tuvo que haber un riesgo de seguridad que en su momento no fue
detectado, esto quiere decir; que el significado de un riesgo es cuando existe una
amenaza a la seguridad que no ha llegado a afectar a la organización y un
incidente, es cuando se materializa el riesgo. Es por ello, la necesidad de la
aplicación de controles de seguridad que protege contra todo aquello que pueda
causar un incidente de seguridad. Entre estos controles tenemos los referenciados
en la siguiente figura No. 1.
Figura No. 1 Controles de seguridad
Fuente: Daniel cruz Allende. (2006). Gestión de la Seguridad de la Información. Universidad Oberta
de Catalunya – UOC

14
Partiendo de la base de estos cuatro pilares y los diferentes controles de la
seguridad informática, se debe contemplar el diseño de un sistema de Gestión de
la seguridad informática que los incluye con mayor detalle y especificación a
través de normativas de seguridad.
1.2 Lección 2. Realidad de las empresas en seguridad de la información
Antes de que las empresas empezaran a utilizar los sistema de comunicaciones
de la tecnología de la información y las comunicaciones como un palanca de
ampliación de cobertura y globalización para la prestación de sus servicios, su
preocupación se basaba simplemente en la protección de los equipos
informáticos encontrados en sus establecimientos públicos, como el de utilizar
mecanismo prevención como copias de seguridad, mantenimiento preventivo a los
computadores, etc. y mecanismos de protección contra robos mediante
instalaciones de alarmas, servicios de vigilancia, entre otros, teniendo en cuenta
que la información digital no fluía de manera externa entre los computadores de la
organización sino de manera interna, a través de las redes locales y
metropolitanas implementadas. Pero el crecimiento de las empresas en sucursales
ubicadas en diferentes ciudades y países las han llevado a tratar de proteger su
información contra atacantes externos, que tiene como objetivo el hurto de
información y dinero a través de los sistemas informáticos, así como la copia,
eliminación y modificación de la información que viaja a través de la gran red de
redes (Internet).
A pesar de conocer las empresas el riesgo que pueden correr al ser atacados, no
contemplan la inversión costo-beneficio que les proporcionaría un Sistema de
Gestión de la Seguridad (SGSI) implantado; ya que si bien es cierto, que el
beneficio no sería precisamente el aumento de sus ingresos, sino el de evitar un
ataque que cause la pérdida de sus activos, que pueden ser de menor o mayor
escala. Es claro que no se puede determinar cuál o cuáles serían precisamente el
ataque que le harían a una empresa, pero con un SGSI si se podría prevenir
cualquiera de los posibles existentes.
Muchas empresas nacionales o internacionales, han sufrido incidentes de
seguridad por fuentes externas principalmente por no tener implementado un
SGSI que puede prevenirlos de ataques a sus sistemas informáticos
Enlaces de interés complementarios
Presentación y audio de Los Pilares de la seguridad informática.
http://www.mavixel.com/video/pilares-seguridad.htm

15
implementado o minimizar en gran medida el impacto en caso de que éste no se
haya podido controlar. Lo anterior se debe a que las empresas no perciben el
riesgo que corren al sufrir un incidente de seguridad a cualquier información
confidencial o a la integridad mismas de sus datos, que sólo se conforman con la
implementación de controles mínimos de seguridad (firewall, control de acceso a
través de claves de usuario, etc.).
La tecnología de la información y las comunicaciones avanza vertiginosamente,
debido a que ya no es necesario esperar tanto tiempo para tener a la mano los
nuevos adelantos como por ejemplo la utilización masiva de los dispositivos
móviles (BlackBerry, Smartphone, IPhone, Ipad, etc.), como dispositivos
inteligentes que actúan como teléfonos y una computadora capaz de tener
conectividad permanente de acceso a internet. Estas tecnologías son
aprovechadas por las empresas para tener intercambio de información con sus
clientes para ofrecerle sus productos y servicios, al personal o funcionario para
realizar consultas de correos electrónicos, mensajería instantánea, acceso a la
internet corporativa, intercambio de mensajes, entre otros.
De esta manera el crecimiento de las comunicaciones para la transferencia de
información en cualquier formato implica para las empresas y personas el
aumento de riesgo a la seguridad de su información; Debido al camino que
recorren los datos a través de radiocomunicaciones, los cuales son susceptibles
de ser vulnerados por los delincuentes informáticos. Así mismo se incrementa la
falta de conciencia del personal a tener las precauciones pertinentes de no
acceder a sitios web de la empresa o hacer transferencia de mensajes de carácter
confidencial desde estos dispositivos. Adicionalmente, las empresas por su afán
de crecimiento no estiman o prevén las consecuencias de un ataque y no se crean
políticas de acceso al personal que allí labora o los mecanismos de protección
adecuados. Varios estudios demuestran que existen con frecuencias, incidentes
ocurridos por errores del uso de los empleados operadores del sistema en forma
involuntaria que pueden causar problemas de seguridad.
Un claro ejemplo de las vulnerabilidades, amenazas e inversiones de seguridad en
las empresas lo demuestra, la investigación realizada por Kaspersky Lab en
colaboración con B2B International, una de las agencias de investigación líder a
nivel mundial y con la participación de más de 1,300 profesionales de TI en 11
países. El estudio abarca empresas de todos tamaños, desde pequeñas (de 10 a
99 personas) a medianas (100-999 personas), y grandes (más de 1000 personas).
Se cubrió una amplia gama de temas relacionados con la seguridad informática,
incluyendo los riesgos de negocios en general, las medidas adoptadas para
proteger el negocio, y los incidentes que han ocurrido. Dicha investigación se
encuentra documentada en: 3
karpersky lab. 2011. Del documento en relación es
3
karpersky lab( 2011).Riesgos Globales de Seguridad de TI. Versión en idioma Español e inglés.
Recuperado de

16
preciso destacar los siguientes figuras No. 2 y 3, donde se encuentran
representaciones estadísticas significativas sobre los índices de amenazas y
riesgos, las cuales, he traducido al lenguaje español para dar mayor claridad y
visualización al estudiante. Adicionalmente se muestra la tabla No. 1
preocupaciones específicas de la tecnología de la información por las regiones.
Figura No. 2 Futuros Riesgos
Fuente:karpersky lab. 2011. Riesgos Globales de Seguridad de TI.
Tabla No. 1 Preocupaciones específicas de la TI por Región
Cuestión Total Desarrollo Desarrollado Asia Europa
Occidental
la prevención de violaciones de
la seguridad TI
1 1 1 1 1
Garantizar que los sistemas
sean totalmente positivas para
maximizar el retorno sobre la
inversión (ROL) de él
2 3 3 3 3
la comprensión de toda la gama
de nuevas tecnologías que
3 2 6 4 3
http://www.df.cl/prontus_df/site/artic/20110902/asocfile/20110902172243/2_de_septiembre_informe
_riesgos_globales_de_seguridad_de_ti.pdf . Versión en español
(http://www.df.cl/prontus_df/site/artic/20110902/asocfile/20110902172243/2_de_septiembre_inform
e_riesgos_globales_de_seguridad_de_ti.pdf).
10%
12%
15%
15%
15%
16%
18%
18%
22%
37%
46%
Terrorismo
Sabotaje (por los empleados actuales o…
Desastres naturales (inundaciones,…
Inestabilidad política
Fraud
La actividad delictiva (robo de la propiedad,…
Espionaje industrial (de dentro y fuera de la…
Robo de propiedad intelectual
Daños a la marca o la reputación corporativa
La incertidumbre económica (recesión, la…
Cyber amenazas (amenazas electrónicas a la…
Casi la mitad de las empresas ve a las amenazas cibernéticas como uno de los tres principales riesgos e
mergentes.

17
están disponibles y cómo
utilizarlos
La toma de decisiones sobre
futuras inversiones en TI
4 4 5 2 5
La gestión del cambio en los
sistemas de TI y la
infraestructura
5 8 2 10 2
Tratar con las limitaciones de
costo
6 10 4 5 8
formación de los usuarios en la
forma de utilizar los sistemas de
IT
7 5 8 8 5
La planificación y la
recuperación de un fallo o
destrucción de
la infraestructura de TI.
7 7 7 8 5
Prevenir el mal uso de los
sistemas informáticos de los
empleados.
9 6 9 7 9
Tratar con FIABILIDAD del día a
día de las Naciones Unidas de
los sistemas informáticos
10 8 10 6 10
Cumplir con las regulaciones y
normas industriales
11 11 11 11 11
La prevención de las violaciones a la seguridad TI es la mayor preocupación en
todos los países independientemente de la situación del mercado. Para otros
problemas existen diferencias significativas entre los mercados emergentes y
maduros. Por ejemplo, las limitaciones de costos son mucho más importantes en
los países desarrollados. Al mismo tiempo, las empresas en los mercados
emergentes prestan mayor atención a la capacitación de los usuarios finales en
temas específicos de TI.
Figura No. 3 Aumento significativo en el número de ataques cibernéticos

18
En el documento de “Riesgos Globales de Seguridad de TI”, se pueden encontrar
a continuación de los gráficos que ilustro en este documento, otros gráficos
representativos que muestran datos sobre las inversiones anuales de seguridad
por parte de las empresas, preparación de las empresas sobre las amenazas de
seguridad, entre otras.
1.3 Lección 3. Normativas de Seguridad
Existen diferentes normativas de seguridad que las empresas de hoy implantan
para la seguridad de la información. Todas estas normativas persiguen los
mismos objetivos, ya que están diseñadas para incluir a todas las unidades o
departamentos que estructura a la empresa para obtener una seguridad mínima
de la información procesada y transferida por el personal que hace parte de ella.
En esta lección se trataran en forma general las normativas encargadas de la
gestión de la seguridad de la información y en el capítulo 2 de este módulo se
enfatizará en la normativa ISO/IEC 1779:2005 y en la ISO/IEC 27001, teniendo en
cuenta que son las más actuales certificables internacionalmente utilizadas.
1.4 Lección 4: ¿Cómo se estructuran las normativas de gestión de la
seguridad?
Las normativas de seguridad, tienen la finalidad de presentar los lineamientos
necesarios para que las empresas puedan implantar un sistema de gestión de la
seguridad de la información (SGSI).
Un Sistema de Gestión de la seguridad de la información se implanta mediante un
proceso ordenado que consiste en establecer los mecanismos necesarios de
seguridad de manera documentada y conocida por todos los miembros de la
empresa. Sin embargo es importante que se tenga claro que la implantación de un
SGSI no garantiza la protección en su totalidad ya que su propósito como lo
anuncia claramente la ISO en su portal ISO27000.es, ―garantizar que los riesgos
Enlaces de interés complementarios:
Articulo de incidentes de ataque a las empresas españolas.
Las peores brechas de seguridad del siglo XXI.
153 países firmaron tratado que rige el espectro y las órbitas de satélites en CMR-12
Wi-Fi (Wi-phishing): robo de información vía redes inalámbricas

19
de la seguridad de la información sean conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologías‖.
Las normativas para la creación del SGSI se constituyen en:
 Normativas que involucra a las buenas prácticas para la seguridad de la
información, en las cuales se encuentran los códigos de buenas prácticas
que sirven para que las empresas la utilicen para mejorar la seguridad de
su información.
 Normativas que involucra las especificaciones de los SGSI, que sería la
documentación que deben tener las empresas que deseen certificarse su
SGSI.
1.4.1 Origen de las normativas de seguridad
El Instituto británico de estándares (British Standard Institute), fue la primera
organización que vio la necesidad de la creación de normativas, con el objetivo de
ayudar a las empresas a mejorar sus diferentes actividades de negocio. Fue la
precursora de muchas normativas que se han aplicado en otros países e inclusive
es un organismo colaborador de ISO.
La british Standard Institute (BSI), actualmente es una organización global de
servicios a empresas en certificaciones de sistemas de gestión, certificación de
producto y normas, además de promocionar formación e información sobre
normas y comercio internacional. En el siguiente enlace en su portal en español se
puede obtener mayor información con respecto a la seguridad de la información.
The British Standards Institution 2013. Seguridad de la Información ISO/IEC 27001.
Recuperado de http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-
gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/.
BSI, es una empresa con más de 100 años de experiencia en 66.000
organizaciones en 150 países desde sus 50 oficinas, la evolución obtenida a lo
largo de los años se muestra a continuación en la siguiente tabla No. 2.
Tabla No. 2 Evolución de la organización (British Standard Institute)
Fecha Alcance
1901 Nacimiento de la British Standard Institute (BSI)
1910 Creación del primer estándar
1926 Inicio del proceso de certificación de productos
1946 Creación de la ISO (Internacional Standard Organization) por parte del
miembro de la BSI
1979 Primer estándar para los sistemas de gerencia (BS 5750)

20
1992 Elaboración del estándar sobre el medio ambiente
1999 Elaboración del estándar sobre seguridad de la información (BS 7799)
Fuente: El Autor
1.4.2 Evolución de las normativas de seguridad de la información
De acuerdo a lo explicado anteriormente, las normas de seguridad tienen su
origen en lo elaborado por la BSI en el año 1993, lo cual se explica en detalle en
la tabla No. 3.
Tabla No. 3 Evolución de las normas de seguridad de la información apoyados por
la BSI
Fecha Documentos obtenidos y publicación oficial
1993 Primeras reuniones de un grupo multisectorial británica. Redacción del
primer borrador del código de prácticas de la seguridad de la
información.
1995. Primera publicación oficial del BS 7799:1. Código de buenas prácticas
1998. Publicación oficial del BS 7799:2. Especificaciones de los sistemas de
gestión de la seguridad de la información.
2000 Publicación de la primera versión de la normativa ISO/IEC 17799:2000
código de buenas prácticas
2002
Publicación de la nueva versión de la BS 7799:2
Publicación oficial de la UNE-ISO/IEC 17799. Código de buenas
prácticas
2004 Publicación oficial de la UNE 71502. Especificaciones de los sistemas
de gestión de la seguridad de la información.
2005
Publicación oficial de ISO 17799:2005. Código de buenas prácticas.
Publicación de la ISO 27001. Especificaciones de los sistemas de
gestión de la seguridad de la información, basados en la norma BS
7799-2
2006 BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los
sistemas de información.
Fuente: El Autor.
En síntesis, a pesar de las diferentes normativas que existieron a lo largo de esos
años, las normativas vigentes de certificación internacional en Sistema de Gestión
de Seguridad de la información se encuentran - ISO 27001, certificable bajo los
esquemas nacionales de cada país. Adicionalmente se encuentran las normas
españolas, UNE-IS/IEC 17799 y la UNE 71502 que son de carácter nacional o
local, entre ellas se relacionan las siguientes:
 UNE 71504:2008. Metodología de análisis y gestión de riesgos para los
sistemas de información.

21
 UNE 61286:2005. Tecnologías de la información. Conjunto de caracteres
gráficos codificados que se utilizan en la preparación de documentos, los
cuales se usan en electrotecnología y en el intercambio de información.
 UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la
Seguridad de la Información (SGSI) UNE 71501-1:2001 IN. Tecnología de
la información (TI). Guía para la gestión de la seguridad de TI. Parte 1:
Conceptos y modelos para la seguridad de TI
 UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la
gestión de la seguridad de TI. Parte 2: Gestión y planificación de la
seguridad de TI.
 UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la
gestión de la seguridad de TI. Parte 3: Técnicas para la gestión de la
seguridad de TI.
 UNE-ISO/IEC 17799:2002.Tecnología de la Información. Código de buenas
prácticas para la Gestión de la Seguridad de la Información.
1.5 Lección 5: Estado de implantación de normativas de seguridad de la
información en Colombia.
Actualmente es difícil determinar las empresas que en Colombia están en el
proceso de implantación de SGSI, pero si se puede brindar la información
específica de aquellas que en la actualidad se encuentran certificadas en la
normativa internacional auditable ISO/IEC 27001:2005.
De acuerdo a estadísticas del 2010, el Japón es el país que más empresas
certificadas obtuvo en ese año y en Colombia se reportaron 8 empresas como
UNE que obtuvo la certificación en el año 2009 y durante el 2010 y 2011, se
realizaron auditorías de seguimiento para verificar el cumplimiento de las norma y
en noviembre del 2012, recibió la 4
recertificación ISO 27001 sobre la gestión de la
4
Recertificación UNE ISO 27001 (2012).
http://saladeprensa.une.com.co/index.php?option=com_content&view=article&id=1080:bureau-
Enlaces web de interés
Normas y esquemas de certificación anunciadas por la BSI
Sistemas de gestión de la seguridad de la información UNE-ISO/IEC 27001
El portal de ISO 27001 En español

22
seguridad de la información, además de recertificación de su Sistema de Gestión
Integral en las normas ISO 9001, NTCGP1000 sobre la gestión de la calidad. La
empresa UNE es una ISP que presta diferentes servicios en el campo de las
telecomunicaciones tales como: Telefonía, Internet, Televisión, entre otras.
INCONTEC (Instituto de Colombiano de Normas Técnicas y certificación),
reconocido por el gobierno colombiano mediante el decreto 2269 de 1993. Es
quién promueve, desarrolla y guía la aplicación de normas técnicas colombianas y
demás documentos normativos. ICONTEC, es representante por Colombia ante
los organismos de normalizaciones internacionales y regionales como la ISO, IEC
(international Electrotechinical commission), COPANT (comisión Panamericana de
Normas Técnicas) entre otras. A su vez esta organización nacional provee el
servicio de consultas de contenido de las normas técnicas colombianas e
internacionales. Además presenta ante Colombia un compendio de normativas
para el SGSI. 5
Como Organismo Nacional de Normalización, son miembro activo
de los más importantes organismos internacionales y regionales de normalización,
lo que nos permite participar en la definición y el desarrollo de normas
internacionales y regionales, para estar a la vanguardia en información y
tecnología.
6
“ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos
similares—auditar controles en los sistemas computacionales que se estaban
haciendo cada vez más críticos para las operaciones de sus respectivas
organizaciones—se sentaron a discutir la necesidad de tener una fuente
centralizada de información y guías en dicho campo. En 1969, el grupo se
formalizó, incorporándose bajo el nombre de EDP Auditors Association
(Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la
asociación formó una fundación de educación para llevar a cabo proyectos de
investigación de gran escala para expandir los conocimientos y el valor en el
campo de gobierno y control de TI. Con más de 110,000 integrantes (miembros de
la Asociación y aquellos que no son miembros pero ostentan una o más
certificaciones de ISACA) en 180 países, ISACA ayuda a empresas y líderes de TI
a maximizar el valor, además de gestionar riesgos relacionados con la información
y la tecnología. Fundada en 1969, ISACA, es una organización independiente, sin
ánimo de lucro, que representa los intereses de los profesionales relacionados con
la seguridad de la información, aseguramiento, gestión de riesgos y gobierno de
TI. Estos profesionales confían en ISACA como fuente confiable de conocimiento
sobre la información y la tecnología, la comunidad, estándares y certificaciones. La
asociación, que tiene 200 capítulos en todo el mundo, promueve el avance y
veritas-ratifico-los-certificados-de-gestion-de-une-epm-telecomunicaciones&catid=116:une-epm-
telecomunicaciones&Itemid=152
5
Icontec. http://www.icontec.org.co/index.php?section=18
6
ISACA. Sitio oficial. La historia de ISACA. Recuperado de http://www.isaca.org/About-
ISACA/History/Espanol/Pages/default.aspx

23
certificación de habilidades y conocimientos críticos para el negocio, a través de
certificaciones globalmente respetadas: Certified Information Systems Auditor®
(CISA®
), Certified Information Security Manager®
(CISM®
), Certified in the
Governance of Enterprise IT®
(CGEIT®
) y Certified in Risk and Information
Systems Control™ (CRISC™)‖. ISACA también desarrolló y continuamente
actualiza COBIT®
, un marco de referencia que ayuda a empresas de todas las
industrias y geografías, a gobernar y gestionar su información y tecnología.
Los profesionales, estudiantes y académicos con perfiles en el área de la
tecnología de información y seguridad de la información pueden ser miembros de
ISACA con el objetivos de acceder a los beneficios que proporciona y a la vez
apuntar a las certificaciones que ofrece CISA, CISM, CGEIT,CRISC y COBIT.
Tabla No. 4 Número de certificaciones expedidas en el 2010 a nivel mundial
Fuente: International Register of ISMS certificates. http://www.iso27001certificates.com/
A continuación se relaciona el listado actualizado de los 7
Organismos de
Certificación de SGSI, avalados por la ISO.
Organismos de Certificación (CBS)
 AFNOR Certification
 AJA Registrars Ltd
 APCER
 BM TRADA Certification Limited
 BSI
7
International Register of ISMS certificates. http://www.iso27001certificates.com/

24
 BSI-J (BSI Japan K.K.)
 Bureau Veritas Certification
 Center Teknologisk institutt Sertifisering AS (Norway)
 CEPREIi Certification Body
 Certification Europe
 CIS (Austria)
 Comgroup GmbH (Germany)
 CQS (Czech Republic)
 datenschutz cert GmbH (Germany)
 Defense Procurement Structure Improvement Foundation System
Assessment Center (BSK System Assessment Center)
 DNV (Det Norske Veritas)
 DQS GmbH (Germany)
 DS Certification
 ENAC (Entidad Nacional de Acreditacion)
 HKQAA (Hong Kong Quality Assurance Agency)
 ICMS
 International Standards Certifications
 Intertek Systems Certification
 ISOQAR
 JACO-IS (Japanese Audit and Certification Organisation)
 JATE (Japan Approvals Institute for Telecommunications Equipment)
 JICQA (JIC Quality Assurance Ltd)
 JMAQA (JMA QA Registration Center)
 JQA (Japan Quality Assurance Organization)
 JSA (Japanese Standards Association Management Systems
Enhancement Department)
 JUSE-ISO (Union of Japanese Scientists and Engineers ISO Center)
 J-VAC (Japan Value-Added Certification Co.,Ltd)
 KEMA Quality BV
 KPMG Audit plc
 KPMG Certification
 KPMG RJ (KPMG Registrar Co., Ltd.)
 KPMG SA
 LGAI Technological Center
 LRQA (Lloyd's Register Quality Assurance Limited)
 LTSI SAS (France)
 Moody
 MSA (Management System Assessment Center Co., Ltd)
 National Quality Assurance
 Nemko (Norway)
 PJR (Perry Johnson Registrars)
 PJR-J (Perry Johnson Registrars, Inc. of JAPAN)
 PricewaterhouseCoopers Certification B.V.

25
 PSB Certification (Singapore)
 QSCert, spol. s.r.o
 RINA S.p.A. (Italy)
 SAI Global Limited (Australia)
 SEMKO-DEKRA Certification AB
 SFS-Inspecta Certification (Finland)
 SGS ICS Limited
 SGS Pakistan (Pvt) Limited
 SGS Philippines Inc.
 SIRIM QAS International
 SQS (Swiss Quality System)
 STQC IT Certification Services (India)
 TCIC Ltd
 TECO (Tohmatsu Evaluation and Certification Organization)
 TUV NORD CERT GmbH (Germany)
 TÜV Rheinland Group (Germany)
 TÜV RJ (TUV Rheinland Japan Ltd.)
 TÜV SAAR CERT (Germany)
 TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany)
 UIMCert (Germany)
 United Registrar of Systems Limited
1.5.1 Ciclo PDCA (Edward Deming)
Para la implantación de un sistema de Gestión de la seguridad de la información,
se requiere del desarrollo de actividades que marquen un orden lógico para llevar
organizado todo el proceso. El modelo PDCA (Plan, do, check, act), en su
equivalencia en español es Planificar, hacer, verificar y actuar (PHVA), es una
estrategia de mejora continua de calidad en cuatro pasos. Este modelo es muy
utilizado para implantación de sistemas de gestión, como los sistemas de gestión
de la calidad que muchas empresas de hoy lo implantan para la calidad
administrativa y de servicios con el objetivo de perfeccionarlos y continuar en un
proceso de mejora continua.
Para el caso de la implantación de Sistemas de Gestión de la Seguridad
informática, el ciclo PDCA es una estrategia efectiva para la organización y
documentación que se requiere en este proceso. La siguiente figura ilustra este
modelo basado en los procedim|ientos esenciales para un SGSI. Figura No.3
Figura No. 4 Ciclo PDCA (PHVA) para la implantación de SGSI

26
Fuente: El Autor.
El ciclo PDCA como modelo para implantación de SGSI, permanece en una
constante revaluación, por cuanto funciona, bajo la filosofía del mejoramiento
continuo; en seguridad sería la revaluación de las medidas de prevención,
corrección y evaluación, manteniendo un constante ciclo que por sus
características no podría terminar. A continuación se detalla cada uno de los
pasos del modelo Deming como metodología apropiada los SGSI.
Planear
En esta etapa se enmarca todo el proceso de análisis de la situación en que
actualmente se encuentra la empresa respecto a los mecanismos de seguridad
implementados y la normativa ISO/IEC 17799:2005, la cual se pretende implantar
para evaluación y certificación. Así mismo en la etapa de planeación se organizan
fases relevantes como son:
 Establecer el compromiso con los directivos de la empresa para el inicio,
proceso y ejecución
 Fase de análisis de información de la organización, En esta fase se
comprueba cuáles son los sistemas informáticos de hardware y los
sistemas de información que actualmente utiliza la empresa para el
cumplimiento de su misión u objeto social.
 Fase de evaluación del riesgo; En esta fase se evalúa los riesgos, se tratan
y se seleccionan los controles a implementar.
Hacer

27
En esta etapa se implementan todos los controles necesarios de acuerdo a una
previa selección en la etapa de planeación, teniendo en cuenta el tipo de empresa.
También se formula y se implementa un plan de riesgo
Verificar
Consiste en efectuar el control de todos los procedimientos implementados en el
SGSI. En este sentido, se realizan exámenes periódicos para asegurar la eficacia
del SGSI implementado, se revisan los niveles de riesgos aceptables y residuales
y se realicen periódicamente auditorías internas para el SGSI.
Actuar
Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas, realizar las
acciones correctivas y preventivas, mantener comunicación con el personal de la
organización relevante.

28
CAPITULO 2. ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
2.1 Lección 6: La organización ISO y la Familia de Normas ISO
La organización Internacional de Estándares ISO, abreviado por sus siglas en
inglés, International Organization for Standardization, se origina en la Federación
Internacional de Asociaciones Nacionales de Normalización (1926 – 1939). En
octubre de 1946, en Londres, se acordó su nombre por representantes de
veintiocho países. La ISO, celebró su primera reunión en Junio de 1947 en Zurich,
Alemania, su sede se encuentra ubicada en Ginebra, Suiza. 8
Su finalidad principal
es la de promover el desarrollo de estándares internacionales y actividades
relacionadas incluyendo la conformidad de los estatutos para facilitar el
intercambio de bienes y servicios en todo el mundo. La ISO creó en 1987 la serie
de estandarización ISO 9000 adoptando la mayor parte de los elementos de la
norma británica BS 5750 que estudió en la lección 3. Ese mismo año la norma fue
adoptada en los Estados Unidos como la serie ANSI/ASQC– Q90 (American
Society for Quality Control); y la norma BS 5750 fue revisada con el objetivo de
hacerla idéntica a la norma ISO 9000.
Las normas ISO ofrecen soluciones y logra beneficios para casi todos los
sectores de diferente actividad como la agricultura, construcción, ingeniería
mecánica, fabricación, distribución, transporte, medicina, dispositivos, tecnologías
de información y comunicación, el medio ambiente, energía, gestión de calidad,
evaluación de la conformidad y los servicios.
2.1.1 Criterios de la ISO para desarrollar un estándar
El desarrollo de nuevas normas por parte de la ISO, se hace de acuerdo a las
necesidades generadas por los diferentes sectores empresariales, industriales, o
cualquier grupo de interés general, el cual comunica su necesidad de la creación
de un nuevo estándar a uno de los miembros nacionales de la ISO. Este miembro
plantea el nuevo tema de trabajo de la comisión que corresponde al técnico de la
ISO para la elaboración de normas en la materia. Las organizaciones de enlace
con los comités también pueden plantear o proponer nuevos elementos de trabajo.
La orientación de la ISO se guía por un Plan Estratégico aprobado para un período
de cinco años por los miembros de la ISO. Los miembros de la ISO, los
representantes últimos de la ISO para sus propios países, se dividen en tres
8 Sandoval Serrano, René Mauricio. Calidad y desarrollo organizacional a través de la certificación
ISO 9000. Argentina: El Cid Editor | apuntes, 2009. p 12.
http://site.ebrary.com/lib/unadsp/Doc?id=10316639&ppg=12. Copyright © 2009. El Cid Editor |
apuntes. All rights reserved.

29
categorías: los organismos miembros (miembros plenos), los miembros
corresponsales y miembros de abonados. Sólo los organismos miembros tienen el
derecho a votar.
La ISO está compuesta por 163 miembros que se dividen en tres categorías:
Los organismos miembros, los miembros corresponsales, miembros de suscriptor.
Los 9
países miembros de la ISO.
2.2 Lección 7: Familia de las normas ISO/IEC 27000:2005
La serie ISO/IEC 27000, es un conjunto de normas de gestión de la seguridad de
la información con la IEC (International Electrotechnical Commission), comisión
internacional de electrotecnia, tiene algunas similitudes a la familia de las normas
de gestión de la calidad ISO 9000. Cada una de las normas de la familia 27000,
define y centra todos los aspectos importantes en el contexto de la gestión de la
seguridad de la información en cualquier empresa pequeña, mediana o grande,
así como públicas y privadas.
A continuación se relacionan en la siguiente tabla No. 5, la temática que define
cada norma.
Tabla No. 5 Relación de serie de las normas ISO/IEC 27000
Normas Temática
ISO 27000 Gestión de la seguridad de la información ( Fundamentos
y vocabulario)
ISO 27001 Especificaciones para un SGSI
ISO 27002 Código de buenas prácticas
ISO 27003 Guía de implantación de un SGSI
ISO 27004 Sistema de métricas e indicadores
ISO 27005 Guía de análisis y gestión de riesgos
ISO 27006 Especificaciones para Organismos Certificadores de
SGSI.
ISO 27007 Guía para auditar un SGSI.
ISO/IEC TR 27008:
Guía de auditoría de los controles seleccionados en el
marco de implantación de un SGSI
ISO/IEC 27010:
Guía para la gestión de la seguridad de la información
cuando se comparte entre organizaciones o sectores.
Fuente: El Autor
9 Países Miembros de la ISO. Recuperado de
http://www.iso.org/iso/about/iso_members.htm.

30
A continuación se presenta un breve resumen de cada una de las normas
relacionadas anteriormente para una mayor ilustración. Sin embargo es de aclarar
que no son de libre difusión sino que deben ser adquiridas.
 Norma ISO 27000: Gestión de la seguridad de la información
(Fundamentos y vocabulario)
Esta norma fue publicada el 1 de mayo de 2009 y contemplan en forma
introductoria todos los aspectos fundamentales que enfoca un sistema de gestión
de seguridad de la información (SGSI), una descripción del ciclo PDCA, al igual
que las definiciones de los términos que se emplean en toda la serie 27000.
 Norma ISO 27001 Especificaciones para un SGSI
Esta norma fue publicada el 15 de Octubre de 2005, la cual enmarca los requisitos
y/o especificaciones del sistema de Gestión de la seguridad de la información. Fue
originaria de la BS 7799-2:2002, siendo identificada actualmente como norma ISO
27001:2005. Esta es la norma certificable en la actualidad por los auditores
externos de los SGSI de las diferentes empresas. En esta norma se enumera en
forma resumida, los objetivos de control y controles, para que sean seleccionadas
por las empresas que desean implantar el SGS. Si bien es cierto que no es de
carácter obligatorio que se implementen todos los controles de esta norma, la
empresa debe justificar ante los auditores la no aplicabilidad de los controles
cuando estén en el proceso de evaluación para una certificación.
En Colombia a través del El Instituto Colombiano de Normas Técnicas y
Certificación (ICONTEC) y en otros países como España, Venezuela, Argentina,
Chile, México y Uruguay se pueden adquirir las normas en el idioma Español. El
original en versión en inglés y la traducción al francés pueden adquirirse en el sitio
oficial de la ISO. Actualmente, este estándar se encuentra en revisión por el
subcomité ISO SC27, para ser publicada en forma prevista su segunda edición en
Mayo de 2013.
 ISO 27002: código de buenas prácticas
Publicado el 1 de julio de 2007. Esta norma no certificable, es una guía de buenas
prácticas que detalla los objetivos de control y controles recomendables en los
aspectos de seguridad de la información. En cuanto a seguridad de la
información. La ISO 27002, contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios. Esta norma se encuentra publicada en Español a
través de la empresa AENOR y en Colombia NTC-ISO IEC 27002), así mismo se
pueden encontrar en Perú, chile, entre otros países latinoamericanos.
 ISO 27003: Guía de implantación de un SGSI

31
Publicado el 1 de Febrero de 2010. Esta norma no es certificable y proporciona
una guía que contempla todos los aspectos necesarios para el diseño e
implementación de un SGSI de acuerdo a la norma certificable ISO/IEC
27001:2005. El objetivo de esta norma es describir las especificaciones y diseño
en el proceso de la implementación del SGSI. Actualmente esta norma se
encuentra traducida sólo en el Instituto Uruguayo de normas técnicas en Uruguay
(UNIT-ISO/IEC 27003). El original en inglés a través del sitio oficial ISO.
 ISO 27004: Sistema de métricas e indicadores
Esta norma fue publicada el 15 de diciembre de 2009. Esta norma es una guía que
permite determinar la eficacia de la implantación de un SGSI a través del
desarrollo y utilización de métricas y técnicas de medida y los controles o grupos
de controles implementados según ISO/IEC 27001. Esta norma sólo se encuentra
traducida al español en Argentina (IRAM-ISO-IEC 27004) y Uruguay (UNIT-
ISO/IEC 27004) y el original en inglés a través del sitio oficial ISO.
 ISO 27004: Sistema de métricas e indicadores
La primera edición fue publicada el 15 de Junio de 2008 y la. La segunda edición
fue el 1 de junio de 2011. Esta norma tampoco es certificable, pero proporciona las
pautas para la gestión del riesgo en la seguridad de la información sobre los
conceptos generales definidos en la norma ISO/IEC 27001. Esta norma está
diseñada ayudar a la aplicación exitosa de la seguridad de la información basada
en un enfoque de gestión de riesgos.
 ISO/IEC 27006: Especificaciones para Organismos Certificadores de SGSI.
Esta norma fue publicada en su primera edición el 1 de marzo de 2007 y su
segunda edición el 1 de diciembre de 2011. Esta norma específica los requisitos
para la acreditación de entidades de auditoría y certificación de SGSI. Ayuda a
interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una norma de acreditación
por sí misma.
 ISO 27007: Guía para auditar un SGSI.
Esta norma fue publicada el 14 de Noviembre de 2011. Es una guía para la
aplicación de auditorías a un SGSI como complemento especificado en ISO
19011, no es una norma certificable. La versión original en el idioma inglés se
puede encontrar desde su enlace oficial ISO.
Existen diferentes series de normas de la ISO /IEC, desarrolladas con el objetivo
de perfeccionar las existentes o crear nuevos estándares para el beneficio de

32
todos los sectores organizacionales con proyecciones a su publicación en fechas
de este mismo año 2012 y 2013.
2.3 Lección 8: La normativa ISO/IEC 27001:2005 y afines
2.3.1 Estructura ISO/IEC 27001:2005
Para la normativa certificable de la ISO/IEC 27001, se estipulan 11 dominios, 44
objetivos y 133 controles de seguridad. Cada dominio estipula un capítulo de la
norma especificando en forma detallada los controles a los que pertenece cada
dominio y su funcionalidad.
Figura No. 5. Dominios de seguridad normativa ISO/IEC 27001
Fuente: El autor
Cada dominio representado en la figura 4, estipula unos objetivos en el SGSI, los
controles de seguridad y la función.
05. Política de seguridad: En este dominio se especifica la forma de creación
de un documento de política de seguridad, el cual debe ser elaborado por el
equipo de trabajo que la dirección designa para la implementación del SGSI.
Dicho documento debe ser revisado y aprobado por la dirección. En el
documento de política de seguridad, se debe especificar toda la normativa

33
interna de la institución con el objetivo de que los funcionarios conozcan y
cumplan las medidas de seguridad implantadas a través del (SGSI). Así mismo
contempla todos los aspectos orientados al acceso a la información, utilización
de los activos físicos y lógicos de la organización y el comportamiento que
deben tener en caso de que ocurra un incidente de seguridad. La elaboración
del documento debe ser con un lenguaje claro y sencillo con el objetivo de que
cualquier funcionario de la empresa u organización lo pueda interpretar. La
subdivisión de este control es la siguiente:
 A.5.1.1 Documento de política de seguridad de la información
 A.5.1.2 Revisión de la política de seguridad de la información
06. Aspectos organizativos para la seguridad: Aquí se establece los
parámetros internos y externos de la organización. Los internos, hacen
referencia al compromiso que la dirección asume para la implantación del
SGSI, la designación del equipo de personal que incluye el coordinador de
seguridad y la asignación de responsabilidades entre otros. Los parámetros
externos hacen referencia a los Riesgos relacionados con el acceso a
terceros, seguridad con respecto a los clientes y contratación con terceros.
Los subdominios o controles se relacionan a continuación.
A.6.1 Interna
 A.6.1.1
Compromiso de la Dirección con la seguridad de la
información
 A.6.1.2 Coordinación de la seguridad de la información
 A.6.1.3
Asignación de responsabilidades relativas a la seguridad de la
información
 A.6.1.4
Proceso de autorización de recursos para el procesado de la
información
 A.6.1.5 Acuerdos de confidencialidad
 A.6.1.6 Contacto con las autoridades
 A.6.1.7 Contacto con grupos de especial interés
 A.6.1.8 Revisión independiente de la seguridad de la información
A.6.2 Externa (Terceros)
 A.6.2.1 Identificación de los riesgos derivados del acceso de terceros
 A.6.2.2 Tratamiento de la seguridad en la relación con los clientes
 A.6.2.3 Tratamiento de la seguridad en contratos con terceros

34
07. Gestión de activos: Activo en seguridad de la información es la
información que la empresa u organización debe proteger contra las diferentes
amenazas a las que puede estar expuesta. La generación, ubicación y
salvaguarda de la información depende de otros activos de la empresa, los
cuales se dividen en diferentes grupos: Hardware, software o aplicación, red,
equipamiento auxiliar, instalación, servicios y de personal.
A.7.1 Responsabilidad sobre los activos
 A.7.1.1 Inventario de activos
 A.7.1.2 Propiedad de los activos
 A.7.1.3 Uso aceptable de los activos
A.7.2 Clasificación de la información
 A.7.2.1 Directrices de clasificación
 A.7.2.2 Etiquetado y manipulado de la información
08. Seguridad ligada a los recursos humanos: Este dominio hace énfasis en
todo el talento humano de la organización y demás personal contratado de
manera externa, los cuales deben conocer las responsabilidades que
adquieren para proteger la información, garantizar la seguridad y buen uso, así
como mantener confidencialidad a la información que tienen acceso con este
carácter. Es tarea de la organización hacer todo tipo de verificación jurídica al
personal antes de ser contratado y establecer las debidas cláusulas
contractuales para el cumplimiento de sus funciones, responsabilidades que
tiene sobre los activos que utilizará entre otros. También deberá definir los
procedimientos que se deben realizar cuando un empleado tenga cambio de
funciones o cambio de cargo o haya salido de la empresa por diferentes
motivos.
A.8.1 Antes del empleo
 A.8.1.1 Funciones y responsabilidades
 A.8.1.2 Investigación de antecedentes
 <A.8.1.3 Términos y condiciones de contratación
 A.8.2 Durante el empleo
 A.8.2.1 Responsabilidades de la Dirección
 A.8.2.2 Concienciación, formación y capacitación en seguridad
de la información
 A.8.2.3 Proceso disciplinario

35
A.8.3 Cese del empleo o cambio de puesto de trabajo
 A.8.3.1 Responsabilidad del cese o cambio
 A.8.3.2 Devolución de activos
 A.8.3.3 Retirada de los de derechos de acceso
09. Seguridad física y del entorno: Abarca toda la seguridad en el sitio físico
donde se encuentren ubicados los equipos informáticos y la información de la
empresa, al igual que el entorno, es decir, toda el área perimetral la estructura
física de la organización. En esta parte se estipula el control de acceso a las
oficinas o espacios de la edificación organizacional por el mismo personal de la
institución y por personal externo. Protección contra incidentes naturales y/o
industriales (inundaciones, fuego, humedad, etc.).
A.9.1 Áreas seguras
 A.9.1.1 Perímetro de seguridad física
 A.9.1.2 Controles físicos de entrada
 A.9.1.3 Seguridad de oficinas, despachos e instalaciones
 A.9.1.4 Protección contra las amenazas externas y de origen
ambiental
 A.9.1.5 Trabajo en Áreas seguras
 A.9.1.6 Áreas de acceso público y de carga y descarga
10. Gestión de comunicaciones y operaciones: En este dominio se estipula
la documentación entorno a los procedimientos para la operación,
administración, configuración del sistema de comunicaciones de la
organización. En tal sentido, se debe garantizar la separación de los recursos
en desarrollo, prueba y operación de los sistemas de información manejados
por la organización. Se debe definir y establecer claramente los acuerdos
sobre las provisiones y servicios que sean necesarios contratar por terceros.
Se debe gestionar las capacidades de los sistemas para garantizar la
protección contra código malicioso, código descargado por clientes, copias de
seguridad entre otros. Estipular los controles de seguridad para el intercambio
de la información a través de las redes de comunicaciones, garantizar la
seguridad en el comercio electrónico en caso de que la empresa lo contemple,
revisiones y monitorización del mismo entre otros.
 A.10.1 Responsabilidades y procedimientos de operación
 A.10.1.
1
Documentación de los procedimientos de operación

36
 A.10.1.
2
Gestión de cambios
 A.10.1.
3
Segregación de tareas
 A.10.1.
4
Separación de los recursos de desarrollo, prueba y operación
 A.10.2 Gestión de la provisión de servicios por terceros
 A.10.2.
1
Provisión de servicios
 A.10.2.
2
Supervisión y revisión de los servicios prestados por terceros
 A.10.2.
3
Gestión de cambios en los servicios prestados por terceros
 A.10.3 Planificación y aceptación del sistema
 A.10.3.
1
Gestión de capacidades
 A.10.3.
2
Aceptación del sistema
 A.10.4 Protección contra código malicioso y descargable
 A.10.4.
1
Controles contra el código malicioso
 A.10.4.
2
Controles contra el código descargado en el cliente
 A.10.5 Copias de seguridad
 A.10.5.
1
Copias de seguridad de la información
 A.10.6 Gestión de la seguridad de las redes
 A.10.6.
1
Controles de red
 A.10.6.
2
Seguridad de los servicios de red
 A.10.7 Manipulación de los soportes
 A.10.7.
1
Gestión de soportes extraí-bles
 A.10.7.
2
Retirada de soportes
 A.10.7.
3
Procedimientos de manipulación de la información
 A.10.7.
4
Seguridad de la documentación del sistema
 A.10.8 Intercambio de información

37
 A.10.8.
1
Políticas y procedimientos de intercambio de información
 A.10.8.
2
Acuerdos de intercambio
 A.10.8.
3
Soportes físicos en tránsito
 A.10.8.
4
Mensajería electrónica
 A.10.8.
5
Sistemas de información empresariales
 A.10.9 Servicios de comercio electrónico
 A.10.9.
1
Comercio electrónico
 A.10.9.
2
Transacciones en línea
 A.10.9.
3
Información puesta a disposición pública
 A.10.10 Supervisión
 A.10.10
.1
Registro de auditorías
 A.10.10
.2
Supervisión del uso del sistema
 A.10.10
.3
Protección de la información de los registros
 A.10.10
.4
Registros de administración y operación
 A.10.10
.5
Registro de fallos
 A.10.10
.6
Sincronización del reloj
11. Control de accesos: El acceso a la información, producto de la razón social
de la empresa (aplicaciones, infraestructura tecnológica y comunicación, etc.)
debe ser protegida a través de controles de acceso físico y lógico en la empresa.
En este sentido se enmarca todos los criterios de control de acceso. A
continuación se relacionan:
 A.11.1 Requisitos de negocio para el control de acceso
 A.11.1.1 Política de control de acceso
 A.11.2 Gestión de acceso de usuario
 A.11.2.1 Registro de usuario

38
 A.11.2.2 Gestión de privilegios
 A.11.2.3 Gestión de contraseñas de usuario
 A.11.2.4 Revisión de los derechos de acceso de usuario
 A.11.3 Responsabilidades de usuario
 A.11.3.1 Uso de contraseña
 A.11.3.2 Equipo de usuario desatendido
 A.11.3.3 Polí-tica de puesto de trabajo despejado y pantalla limpia
 A.11.4 Control de acceso a la red
 A.11.4.1 Política de uso de los servicios en red
 A.11.4.2 Autenticación de usuario para conexiones externas
 A.11.4.3 Identificación de equipos en las redes
 A.11.4.4 Diagnóstico remoto y protección de los puertos de
configuración
 A.11.4.5 Segregación de las redes
 A.11.4.6 Control de la conexión a la red
 A.11.4.7 Control de encaminamiento (routing) de red
 A.11.5 Control de acceso al sistema operativo
 A.11.5.1 Procedimientos seguros de inicio de sesión
 A.11.5.2 Identificación y autenticación de usuario
 A.11.5.3 Sistema de gestión de contraseñas
 A.11.5.4 Uso de los recursos del sistema
 A.11.5.5 Desconexión automática de sesión
 A.11.5.6 Limitación del tiempo de conexión
 A.11.6 Control de acceso a las aplicaciones y a la información
 A.11.6.1 Restricción del acceso a la información
 A.11.6.2 Aislamiento de sistemas sensibles
 A.11.7 Ordenadores portátiles y teletrabajo
 A.11.7.1 Ordenadores portátiles y comunicaciones móviles
 A.11.7.2 Teletrabajo
12. Adquisición, desarrollo y mantenimiento de sistemas de información: En
este dominio se especifican todas las pautas para garantizar la adquisición de
hardware y software seguro, así como el desarrollo de software a la medida

39
desarrollado por la organización, realizar las pruebas necesarias para ajustar y
mejorar las debilidades en seguridad de los Sistemas de información, al mismo
tiempo la validación.
 A.12.1 Requisitos de seguridad de los sistemas de
información
 A.12.1.1 Análisis y especificación de los requisitos de seguridad
 A.12.2 Tratamiento correcto de las aplicaciones
 A.12.2.1 Validación de los datos de entrada
 A.12.2.2 Control del procesamiento interno
 A.12.2.3 Integridad de los mensajes
 A.12.2.4 Validación de los datos de salida
 A.12.3 Controles criptográficos
 A.12.3.1 Política de uso de los controles criptográficos
 A.12.3.2 Gestión de claves
 A.12.4 Seguridad de los archivos de sistema
 A.12.4.1 Control del software en explotación
 A.12.4.2 Protección de los datos de prueba del sistema
 A.12.4.3 Control de acceso al código fuente de los programas
 A.12.5 Seguridad en los procesos de desarrollo y soporte
 A.12.5.1 Procedimientos de control de cambios
 A.12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios
en el sistema operativo
 A.12.5.3 Restricciones a los cambios en los paquetes de software
 A.12.5.4 Fugas de información
 A.12.5.5 Externalización del desarrollo de software
 A.12.6 Gestión de la vulnerabilidad técnica
 A.12.6.1 Control de las vulnerabilidades técnicas
13. Gestión de incidentes de seguridad: En este dominio se plantean los
procedimientos sistemáticos que la organización debe seguir, cuando se presente
un incidente de seguridad, para aplicar las acciones correctivas, al mismo tiempo
que el responsable de monitorear, dirigir y controlar la aplicación de dichos
procedimientos.

40
 A.13.1 Notificación de eventos y puntos débiles de la
seguridad de la información
 A.13.1.1 Notificación de los eventos de seguridad de la información
 A.13.1.2 Notificación de puntos débiles de la seguridad
 A.13.2 Gestión de incidentes de seguridad de la información
y mejoras
 A.13.2.1 Responsabilidades y procedimientos
 A.13.2.2 Aprendizaje de los incidentes de seguridad de la
información
 A.13.2.3 Recopilación de evidencias
14. Gestión de continuidad del negocio: En este dominio, se contempla los
planes que debe seguir la organización para mantener el servicio activo a los
clientes, con el objetivo de que sea transparentes para ellos. El plan que se
diseñe, debe establecer los puntos críticos de la organización para protegerlos.
 A.14.1 Aspectos de seguridad de la información en la gestión
de la continuidad del negocio
 A.14.1.1 Inclusión de la seguridad de la información en el proceso
de gestión de la continuidad del negocio
 A.14.1.2 Continuidad del negocio y evaluación de riesgos
 A.14.1.3 Desarrollo e implantación de planes de continuidad que
incluyan la seguridad de la información
 A.14.1.4 Marco de referencia para la planificación de la continuidad
del negocio
 A.14.1.5 Pruebas, mantenimiento y reevaluación de planes de
continuidad
15. Conformidad legal: El dominio contempla la reglamentación interna y externa
de la organización sobre el cumplimiento de políticas establecidas, identificación
de la legislación nacional e internacional aplicable a la organización.
 A.15.1 Cumplimiento de los requisitos legales
 A.15.1.1 Identificación de la legislación aplicable
 A.15.1.2 Derechos de propiedad intelectual (DPI)
 A.15.1.3 Protección de los documentos de la organización
 A.15.1.4 Protección de datos y privacidad de la información
personal

41
 A.15.1.5 Prevención del uso indebido de los recursos de tratamiento
de la información
 A.15.1.6 Regulación de los controles criptográficos
 A.15.2 Cumplimiento de las políticas y normas de seguridad y
cumplimiento técnico
 A.15.2.1 Cumplimiento de las políticas y normas de seguridad
 A.15.2.2 Comprobación del cumplimiento técnico
 A.15.3 Consideraciones de las auditorías de los sistemas de
información
 A.15.3.1 Controles de auditoría de los sistemas de información
2.4 Lección 9: Integración del SGSI (ISO 27001) a ISO 9001 –- 14000
Los sistemas de gestión son herramientas que permiten a las empresas organizar
y controlar de manera sistémica cada uno de los procesos y procedimientos que
se requieren en cierta área para el funcionamiento eficaz de la empresa, en los
ámbitos de la calidad, la seguridad de la información y el impacto ambiental. En
este orden, si las empresas ya han implantado alguno de los sistemas de gestión
ISO 90001, y/o 14001 para la empresa es más fácil la implantación de un SGSI
por cuanto todos contemplan aspectos similares como la utilización de ciclo
PDCA para la implantación en todos los sistemas de gestión de la ISO, lo cual
permitiría una integración de los diferentes sistemas de gestión, evidenciándose
en el anexo C de la ISO 27001; donde se detalla punto por punto la
correspondencia entre esta norma y las demás normas ISO 9001 e ISO 14001.
Ver tabla 6. Cuadro comparativo entre las normas ISO 9001, 27001 y 14001.
Tabla No. 6 Cuadro comparativo entre las normas ISO 9001, 27001 y 14001.
9001 (Sistema
de gestión de
calidad - SGC)
27001 (Sistema de
Gestión de Seguridad
de la información -
SGSI)
14001 (Sistema de gestión
ambiental SGA)
Compromisos
de la
dirección
Aplica como
requisito
compromiso de
dirección
Se aplica en el dominio
06. Aspectos
organizativos para la
seguridad
Aplica como requisito
compromiso de dirección
Políticas Políticas de
calidad
Políticas de seguridad
en la organización,
dominio 05.
Políticas de gestión
ambiental

42
2.5 Lección 10: Consideraciones para la implantación de un SGSI (Norma
ISO 27001) en una organización
2.5.1 Preguntas orientadoras de la necesidad del SGSI
¿Cuándo y porque implantar un SGSI en una organización?
Implantar un SGSI en una empresa no es precisamente cuando se le haya
presentado un incidente de seguridad sobre su información, sino, cuando ésta
desea tener un crecimiento y posicionamiento ante un mercado exigente y global
teniendo en cuenta que para ello, requerirá del uso de la Tecnología de la
información y las comunicaciones para lograrlo. En tal sentido, un SGSI, va
permitir de forma organizada y sistémica, mantener la seguridad de la información
que maneja la empresa con un alto grado de confiabilidad, integridad y
disponibilidad. Así como el estar preparados para afrontar un incidente de
seguridad que rompa las barreras (medidas de seguridad) de seguridad
implantadas y estar en la capacidad de poner en funcionamiento rápidamente la
empresa o que es lo mismo evitar que sus clientes lo perciban o se vean
¿Qué aspectos se deben considerar al implantar un SGSI?
La seguridad de la información es un compromiso de todos en una organización.
Aunque esto sea claro para muchas empleados de una empresa, para otras no lo
es, es por ello que uno de los aspectos relevantes a la hora de implementar un
SGSI, es concientizar a las directivas y demás empleados, la importancia y
responsabilidad de proteger la información como el activo más preciado que posee
y que la perdida de ella podría causar el declive parcial o total de la empresa con
Revisión por
dirección
Revisión por
dirección
Esquema documental.
Revisión por dirección
Revisión por dirección.
Auditoría
interna
Procesos de
revisión y
verificación
interna sobre el
SGC
Proceso de revisión
Interna sobre el SGSI
Proceso de revisión Interna
sobre el SGA
Recurso
Humano
Se contempla
involucrar al
recurso humano
durante y
después de la
implantación del
SGC
Se contempla
involucrar al recurso
humano durante y
después de la
implantación del SGSI
Se contempla involucrar al
recurso humano durante y
después de la implantación
del SGA
Certificación ISO 9001:2000 ISO 14001:2004 ISO/IEC 27001:2005
Fuente: El Autor

43
una afectación económica, de identidad, de marca y por ende desminución de
empleados.
¿Cuánto tiempo se requiere para implantar un SGSI?
Dado que existen organizaciones que tienen por lo menos implementada algunas
medidas de seguridad sobre sus activos y éstas a la vez cumple con la normativa
ISO/IEC 27001, la implantación del SGSI llevaría alrededor de 6 meses. Pero si la
empresa posee medianamente o por lo menos unas técnicas seguras de sus
activos, además de la concientización de las directivas, esta podría tardar
alrededor de un año.
¿Cuánto puede costar la implantación de un SGSI?
El costo de la implantación de un SGSI, depende de múltiples variables. Una de
las variables es cuando la empresa la implementa pero a través de la contratación
de terceros o entes externos que realizan todo el proceso. Otra variable es que
dentro de la empresa existan empleados que poseen el conocimiento o en su
defecto la organización los capacite para que posteriormente realicen la
implantación. También se podría incluir como variable las herramientas que se
utilicen para la implementación ya que existen actualmente múltiples sistemas de
información y/o aplicativos que ayudan a desarrollar todo el proceso de manera
más ágil. Para ello la versión de aplicaciones libres como e-pulpo permite su
utilización sea de manera gratuita.
Por último se podría considerar, que el costo de la implantación de un SGSI,
depende de la magnitud o tamaño de la empresa ya que entre más grande sea,
pues los requerimientos serán mayores o simplemente tendría que hacer la
implantación por áreas, factores, dependencias o departamentos según sea la
estructura organizacional de la empresa.
¿Es necesario certificarme en la ISO/IEC 27001:2005?
El hecho de que la empresa no se certifique no supone perjuicio para ella, pero si
desea competir en un mercado globalizado, marcar un posicionamiento en la
empresa y ampliar su cobertura es necesario que lo haga. Ya que le permite crear
en los clientes la confianza de estar en una empresa con un alto grado de
protección de la información que manejan y de la información que mantiene de
ellos.
Otra de las necesidades a considerar en que una empresa se certifique es
obligarla a estar en mejoramiento continuo para ajustes y revaluación de su SGSI
ya que el estándar lo exige para lograr mantener en el tiempo dicha certificación.

44
CAPITULO 3. ANALISIS DE RIESGOS
El análisis de riesgos es uno de los procesos más relevantes y prioritarios para la
implantación de SGSI, por ser el procedimiento que permite analizar en forma
metódica cada uno de los procesos, actividades y demás labores de la empresa
que pueden estar en riesgo, así como determinar las necesidades de seguridad,
las posibles vulnerabilidades y las amenazas a las que se encuentra expuesta. En
tal sentido, el resultado que se obtiene de todo un proceso de análisis de riesgo es
la información sobre el estado actual de la empresa en cuanto a sus niveles,
controles de seguridad y los riesgos.
3.1 Lección 11: Proceso de identificación del riesgo
La identificación del riesgo en una empresa se realiza a través de una metodología
apropiada. Actualmente, existen varias metodologías para realizar el análisis de
riegos y su esencia se fundamenta en tres elementos importantes que son los
activos, las amenazas y las vulnerabilidades como variables primordiales que se
identifican y se relacionan entre sí, para determinar los riesgos. Ver figura 6. Los
activos pueden tener vulnerabilidades que son aprovechadas por las amenazas,
las cuales conlleva al riesgo inminente en la empresa. En este orden se describe
de manera sucinta cada elemento.
Figura No. 6 Elementos del análisis de riesgos
Fuente: El autor
Activos: Los activos son todos los elementos que requiere una empresa u
organización para el desarrollo de sus actividades misionales y las que serán
tratadas durante el proceso de analisis de riegos. Los activos pueden ser físicos
como servidores, equipos, cableados, entre otros y lògicos como aplicaciones,
bases de datos, sitios web, entre otros.
Amenazas: Son todos aquellos hechos que pueden ocurrir en una empresa,
perjudicando directamente los activos ya sea en el funcionamiento incorrecto o
eliminación del mismo.
Vulnerabilidades: Son todas las debilidades de seguridad en la cual se
encuentran los activos que se han identificado en el análisis y son suscetibles de
amenazas para su daño o destrucción.

45
Entre las metodologías más utilizadas para realizar el análisis de riesgo a una
organización se tienen Magerit, Octave y Mehari, todas cumplen con el mismo
objetivo, su diferencia se determina en la forma de presentación de los resultados.
Para el caso de estudio de este curso, seleccionaremos la metodología Magerit ya
que los resultados del análisis de riesgo se pueden expresar en valores
cualitativos y cuantitativos (valores económicos), lo cual facilita la toma de
decisiones en materia de seguridad por parte de los directivos, al conocer el
impacto económico que se podría presentar si la empresa no invierte en la
implantación de un sistema de seguridad de la información y comunicaciones. Las
demás metodologías las trabajaremos en el módulo de manera general.
3.2 Lección 12: Metodología de análisis de riesgos MAGERIT
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el
Consejo Superior de Administración Electrónica de España. Actualizada en 2012
en su versión 3. Esta metodología contempla diferentes actividades enmarcadas
a los activos que una organización posee para el tratamiento de la información. A
continuación se relacionan cada uno de los pasos que se deben contemplan en un
proceso de análisis de riesgos, teniendo en cuenta un orden sistémico que
permita concluir el riesgo actual en que se encuentra la empresa.
3.2.1 Paso 1: Inventario de Activos
Como se mencionó anteriormente, los activos son todos los elementos que una
organización posee para el tratamiento de la información (hardware, software,
recurso humano, etc.). Magerit diferencia los activos agrupándolos en varios tipos
de acuerdo a la función que ejercen en el tratamiento de la información. A la hora
de realizar el análisis de riesgo el primer paso es identificar los activos que existen
en la organización y determinar el tipo. En la tabla No. 7 se relacionan cada tipo de
activos.
Tabla No. 7 Relación de activos de seguridad de la información
Tipos de activos Descripción
Activo de información Bases de datos, documentación (manuales
de usuario, contratos, normativas, etc.)
Software o aplicación Sistemas de información, herramientas de
desarrollo, aplicativos desarrollados y en
desarrollo, sistemas operativos, aplicaciones
de servidores etc.
Hardware Equipos de oficina (PC, portátiles, servidores,
dispositivos móviles, etc.)
Red Dispositivos de conectividad de redes (router,
swicth, concentradores, etc.)

46
Equipamiento auxiliar UPS,
Instalación Cableado estructurado, instalaciones
eléctricas.
Servicios Conectividad a internet, servicios de
mantenimiento, etc.
Personal Personal informático (administradores,
webmaster, desarrolladores, etc.), usuarios
finales y personal técnico.
Fuente: El Autor.
El levantamiento de la información de los activos y la respectiva clasificación es la
primera actividad que se debe realizar en un análisis de riesgos. Esta
identificación se debe hacer en conjunto con las personas directamente
responsables de manejar en la organización todo el sistema de información y
comunicaciones.
Para profundizar en la metodología Magerit, en el siguiente enlace se encuentra
los 3 libros que especifican en detalle las actividades que se deben desarrollar en
el análisis de riesgos. Específicamente en el libro I, se encuentra todos los
aspectos a considerar en la clasificación de los activos formando como especies
de árboles o grafos de dependencia que permiten darle un nivel de relevancia a
los activos que la organización o empresa posee. En esta clasificación se
especifican:
 Activos esenciales
o información que se maneja
o servicios prestados
 Servicios internos
o que estructuran ordenadamente el sistema de información
 Equipamiento informático
o equipos informáticos (hardware)
o comunicaciones
o soportes de información: discos, cintas, etc.
 el entorno: activos que se precisan para garantizar las siguientes capas•
equipamiento y suministros: energía, climatización, etc.
Mobiliario
 los servicios subcontratados a terceros
 las instalaciones físicas
 El personal
o usuarios
o operadores y administradores
o desarrolladores

47
3.2.2 Paso 2: Valoración de los activos
Cada activo de información tiene una valoración distinta en la empresa, puesto
que cada uno cumple una función diferente en la generación, almacenaje o
procesamiento de la información. Pero a la hora de valorarlos no sólo debemos
tener en cuenta cuanto le costó a la empresa adquirirlo o desarrollarlo, sino que
además debemos contemplar el costo por la función que ella desempeña y el
costo que genera ponerlo nuevamente en marcha en caso de que éste llegase a
dañarse o deteriorarse. Es por ello que se hace necesario tener en cuenta
diferentes variables a la hora de darle valor a un activo. En libro I en la
metodología Magerit que es la que actualmente estamos estudiando, expone que
los activos se deben valorar de acuerdo 5 dimensiones de seguridad
(confiabilidad, integridad, disponibilidad, autenticidad y trazabilidad). En el capítulo
1, vimos las 4 primeras dimensiones como pilares de la seguridad, pero no se
contempló trazabilidad que la metodología incluye. Por tal razón, define
10
trazabilidad (del inglés, accountability), que a efectos técnicos se traducen en
mantener la integridad y la confidencialidad de ciertos activos del sistema que
pueden ser los servicios de directorio, las claves de firma digital, los registros de
actividad, etc.
La metodología Margerit contempla dos tipos de valoraciones, cualitativa y
cuantitativa. La primera hace referencia al de calcular un valor a través de una
escala cualitativa donde se valora el activo de acuerdo al impacto que puede
causar en la empresa su daño o perdida, en consecuencia la escala se refleja en:
 Muy Alto (MA)
 Alto (A)
 Medio (M)
 Bajo (b)
 Muy bajo (MB)
En el libro III, ―guía técnica‖, en la página 6, se encuentra en detalle esta
valoración. En cuanto a la valoración cuantitativa es necesario también que se
realice una escala de valores que permita a la empresa estimar su costo que no
sólo es el costo que tuvo inicialmente el activo sino teniendo en cuenta variables
de valor inicial, costo de reposición, costo de configuración, costo de uso del activo
y valor de perdida de oportunidad. En la guía técnica se explica esta valoración
cuantitativa pero no en profundidad, por lo tanto se detalla los términos en que se
podría valorar un activo en miles de pesos.
 Valor de reposición
10
Metodología de análisis y gestión de riesgos de los sistemas de información . Libro I Método.
Pagina. 25. Ministerio de Hacienda y Administraciones Públicas. España.

48
 Valor de configuración o puesta a punto
 Valor de uso del activo
 Valor de pérdida de oportunidad
De acuerdo a dicha valoración es preciso que se estime 5 escalas que podríamos
asignar a cada activo de acuerdo a la valoración cualitativa dada. En la tabla 8, se
relaciona la escala cuantitativa.
Tabla No. 8 Escala cuantitativa
Podemos presentar como ejemplo, la valoración del activo de una organización
que podría ser el servidor de aplicaciones, donde su función es la de mantener el
proceso de facturación distribuida de los productos en la organización. A Dicho
activo, se podría considerar cualitativamente con un valor muy alto en la empresa
por cuanto administra información sumamente importante en la empresa para
cumplimiento de sus procesos diarios y/o misionales. En consecuencia y de
acuerdo a la escala de valores cuantitativos se podría estimar su valor sobre los
doscientos a trecientos millones de pesos, por el valor del uso o relevancia del
activo, el tipo de información que guarda y genera diariamente, el valor de perdida
de oportunidad de clientes por falla en los sistemas, valor que costaría reponer el
equipo en restauración de copias de seguridad o adquisición de nuevo servidor,
recuperación de información de la cual no se alcanzó a realizar copia antes del
incidente de seguridad presentado, entre otros aspectos relevantes.
3.2.2.1 Dimensiones de Seguridad
Como se mencionó anteriormente, las dimensiones de seguridad que contempla la
metodología Magerit son: Confiabilidad, integridad, autenticidad, disponibilidad y
trazabilidad, el cual se puede profundizar cada una, en el Libro II: Catálogo de
Elementos, en el capítulo 3 pagina 15. Para contemplar en la valoración de activos
Valoración cualitativa Escala de valor cuantitativo
expresado en millones
Valor cuantitativo
Muy Alto (MA) > $ 200 300.000
Alto (A) 200 <valor> 100 $ 150.000
Medio (M) 100 <valor> 50.000 $ 50.000
Bajo (b) 50.000 <valor> 20.000 $ 20.000
Muy bajo (MB) 20.000 <valor> 10.000 $ 10.000
Fuente: El Autor.

49
cada una de estas dimensiones, es necesario definir unos criterios de valoración
que nos permitan ubicar la posición en que se encuentra cada activo frente a cada
dimensión. A continuación se relacionan los criterios que se podrían tener en
cuenta para valorar los activos con respecto a cada dimensión de seguridad, ver
tabla No. 9.
Tabla No. 9 Criterios de valoración de los activos
VALOR CRITERIO
10 Daño muy grave a la organización
7-9 Daño grave a la organización
4-6 Daño importante a la organización
1-3 Daño menor a la organización
0 Irrelevante para la organización
Fuente: El Autor.
Con base a los criterios anteriores, se puede hacer una valoración cualitativa de
cada activo en relación a las 4 dimensiones de seguridad contempladas en la
metodología. En la figura 5, se ilustra un ejemplo de la herramienta Pilar, sobre la
forma como se pueden valorar los activos con el nivel de dependencia,
presentado en forma de árbol de acuerdo a las 4 dimensiones.
Figura No. 7 Ejemplo de valoración de activos de acuerdo a las 4 dimensiones de
seguridad, herramienta Pilar
Fuente: Archivo de ejemplo de la herramienta Pilar.

50
3.2.3 Paso 3: Amenazas (identificación y valoración)
Existen actualmente múltiples amenazas que pueden afectar los activos de una
empresa, por ello es importante identificarlas y determinar el nivel de exposición
en la que se encuentra cada activo de información en la organización. Se
considera una amenaza, a cualquier situación que pueda dañar o deteriorar un
activo, impactando directamente cualquiera de las 4 dimensiones de seguridad. La
ISO/IEC 13335-1:2004 define que una ―amenaza es la causa potencial de un
incidente no deseado, el cual puede causar el daño a un sistema o la
organización‖.
3.2.3.1 Identificación de amenazas
Magerit, en el libro II, catálogo de elementos, presenta el catálogo de amenazas
posibles que puede tener un activo de información. Las amenazas se clasifican en
cuatro grandes grupos: Desastres naturales(N), de origen industrial (I), errores y
fallos no intencionados (E), ataques deliberados o intencionados(A). Cada grupo
de amenaza se representa por una letra, así mismo cada grupo presenta en forma
específica los tipos de amenazas que se pueden presentar. A continuación se
presenta el listado codificado de las posibles amenazas que se pueden presentar
en cada uno de los grupos mencionados.
[N] Desastres naturales
 [N.1] Fuego
 [N.2] Daños por agua
 [N.*] Desastres naturales
[I] De origen industrial
 [I.1] Fuego
 [I.2] Daños por agua
 [I.*] Desastres industriales
 [I.3] Contaminación mecánica
 [I.4] Contaminación electromagnética
 [I.5] Avería de origen físico o lógico
 [I.6] Corte del suministro eléctrico
 [I.7] Condiciones inadecuadas de temperatura o humedad
 [I.8] Fallo de servicios de comunicaciones
 [I.9] Interrupción de otros servicios o suministros esenciales
 [I.10] Degradación de los soportes de almacenamiento de la información
 [I.11] Emanaciones electromagnéticas
[E] Errores y fallos no intencionados

Modulo sgsi 233003 ajustado

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (13)

Similar a Modulo sgsi 233003 ajustado

Similar a Modulo sgsi 233003 ajustado (20)

Último

Último (20)

Modulo sgsi 233003 ajustado