Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos ojo normativa en colombia-202912531-modulo-sgsi-233003-listo

1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Modulo Curso: Sistema de Gestión de la Seguridad de la información SGSI
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CODIGO: 233003
233003 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION SGSI
LORENA PATRICIA SUAREZ SIERRA (Director Nacional)
CARLOS ALBERTO AMAYA TARAZONA Acreditador
BOGOTA, JULIO 2013

2
TABLA DE CONTENIDO
Pag.
INTRODUCCION
7
UNIDAD I GESTION DE INFORMACION
8
INTRODUCCION A LA UNIDAD 1
9
CAPITULO 1: SEGURIDAD INFORMATICA
10
1.1 Lección 1: Pilares de la informática
10
1.2 Lección 2: Realidad de las empresas en seguridad de la información
13
1.3 Lección 3: Normativas de seguridad
17
13.1 ¿Cómo se estructuran las normativas de gestión de la seguridad
17
1.3.2 Origen de las normativas
18
1.3.3 Evolución de las normativas de seguridad de la información
19
1.3.4 Estado de implantación de normativas de seguridad de la información en Colombia.
20
1.3.5 Ciclo PDCA ( Edward Deming)
24
CAPITULO 2: ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
27
2.1 Lección 4: La organización ISO y la familia de normas ISO
27
2.1.1 Criterios de la ISO para desarrollar un estándar
27
2.1.2 Familia de las normas ISO/IEC 27001:2005
28
2.2 Lección 5: La normativa ISO/IEC 27001:2005 y afines
31
2.2.1 Estructura ISO/IEC 27001:2005
31
2.2.2 Integración del SGSI (ISO 27001) a ISO 9001 –- 14000
40

3
2.3 Lección 6: Consideraciones para implantación de un SGSI(norm ISO 27001) en una organización
41
2.3.1 Preguntas orientadoras de las necesidades del SGSI
41
CAPITULO 3: ANALISIS DE RIESGOS
43
3.1 Lección 7: Proceso de Identificación del riesgo
43
3.2 Lección 8: Metodología de análisis de Riesgos Magerit
44
3.2.1 Paso 1: Inventario de activos
44
3.2.2 Paso 2: Valoración de activos
46
3.2.2.1 Dimensiones de seguridad
47
3.2.3 Paso 3: Amenazas (Identificación y valoración)
49
3.2.3.1 Identificación de amenazas
49
3.2.3.2 Valoración de amenazas
51
3.2.3.3 Impacto potencial
53
3.2.3.4 Nivel de riesgo portencial
53
3.2.4 Paso 4: Salvaguardas
54
3.2.5 Paso 5 impacto residual
55
3.2.6 Riesgo Residual
55
3.2.7 Resultados del análisis de riesgos
55
3.3 Leción 9: otras metodologías
55
Autoevaluación Unidad I
57
UNIDAD 2: SISTEMAS DE GESTION DE LA SEGURIDAD INFORMATICA
58
INTRODUCCION A LA UNIDAD 2
59
CAPITULO 4: PLAN DE GESTION DE UN SGSI
60
4.1 Lección 10: ¿Cómo definir el alcance del SGSI?
60

4
4.1.1 Estructura organizacional para el SGSI
61
4.2 Lección 11: Política de seguridad
62
4.3 Lección 12: Análisis de requisitos y diseño del SGSI
63
CAPITULO 5: IMPLANTACION DEL SGSI
66
5.1 Lección 13: Fases para la implantación del SGSI
66
5.1.1 Fase 1: Planificar: Análisis diferencial para definición del alcance y otras actividades de planeación
66
5.1.2 Fase 2: Hacer: Implantar el plan SGSI
67
5.1.3 Fase 3: Varificar: Seguimiento, supervisión y revisión del SGSI
71
5..1.4 Fase 4: Actuar: Mantener y mejorar el sistema
72
5.2 Lección 14: Formación y concientización del personal
72
5.3 Lección 15: Gestión de continuidad de negocio
72
CAPITULO 6: AUDITORIA DEL SGSI
76
6.1 Lección 16: Auditorías internas
76
6.2 lección 17: Metodología para auditoría del SGS
76
6.2.1 metodología NIST-SP-800
77
6.2.2 Metodología OSSTMM
78
6.2.3 OWASP (Open Web application security project)
79
6.2.4 Metodología OISSG
80
6.2.5 Metodología COBIT
81
6.3 Lección 18: Certificación SGSI
83
AUTOEVALUACION DE LA UNIDAD II
86
BIBLIOGRAFIA Y CIBERGRAFIA
87

5
LISTADO DE TABLAS
Pag.
Tabla No. 1 Preocupaciones especificas de la TI por Región
15
Tabla No. 2 Evolución de la organización (British Standard Institute)
18
Tabla No. 3 Evolución de las normas de seguridad de la información apoyados por la BSI
19
Tabla No. 4 Número de certificaciones expedidas en el 2010 a nivel mundial
22
Tabla No. 5 Relación de serie de las normas ISO/IEC 27000
28
Tabla No. 6 Cuadro comparativo entre las normas ISO 9001, 27001 y 14001
40
Tabla No. 7 Relación de activos de seguridad de la información
44
Tabla No. 8 Escala cuantitativa
47
Tabla No. 9 Criterios de valoración de los activos
48
Tabla No. 10 Escala de rango de frecuencia de amenazas
51
Tabla No. 11 Escala de rango porcentual de impactos en los activos para cada dimensión de seguridad
52
Tabla No. 12 Ejemplo de cuadro resumen, valoración de amenazas
52
Tabla No.13 Relación de metodologías y fuentes documentales de profundización
56
Tabla No. 14 Ejemplo tabla resumen análisis diferencial
67
Tabla No. 15 Ejemplo de diseño de indicador
69
Tabla No. 16 Secciones ISO 22301
75

6
LISTADO DE FIGURAS
Pag.
Figura No. 1 Controles de seguridad
12
Figura No. 2 Futuros Riesgos
15
Figura No. 3 Aumento significativo en el número de ataques cibernéticos
16
Figura No. 4 Ciclo PDCA (PHVA) para implantación de SGSI
24
Figura No. 5 . Dominios de seguridad normativa ISO/IEC 27001
31
Figura No. 6 Elementos del análisis de riesgos
43
Figura No. 7 Ejemplo de valoración de activos de acuerdo a las 4 dimensiones de seguridad, herramienta Pilar
48
Figura No. 8 Ejemplo cuadro resumen valoración de amenazas, herramienta Pilar
52
Figura No. 9 Ejemplo valoración de salvaguardias por activo herramienta Pilar
54
Figura No. 10 Estructura general ISO 27003
61
Figura No. 11 Estructura organizativa en forma piramidal
62
Figura No. 12 Ejemplo tabla representativa para declaración de aplicabilidad
71
Figura No. 13 Fotografías antes y después del tsunami en el Japón
73 Figura No. 14 Diagrama sobre el proceso de certificación de una empresa.
84

7
INTRODUCCIÓN
En la actualidad, las empresas utilizan la tecnología de la información y las comunicaciones para ampliar cobertura en sus servicios y competir ante un mercado globalizado, ofreciendo a sus clientes multiples opciones para acceder a su productos y servicios. Adicional a ello, las TIC´s también les ha permitido llevar organizado todos sus procesos administrativos en línea, para poder operar y/o funcionar de manera alineada o distribuida, sus sistemas de información.
Lo anterior conlleva a que de alguna manera, las empresas tiendan a ser más vulnerables o atacadas por cualquier persona que tenga el conocimiento o tal vez por una organización delincuencial que utiliza diferentes herramientas tecnológicas para afectar a sus víctimas y obtener beneficios.
Hoy las empresas han tomado conciencia de la necesidad de implementar sistemas de seguridad informática para proteger su información y evitar el riesgo a un posible ataque. En este sentido, el curso de Sistema de Gestión de la Seguridad de la información pretende mostrar las técnicas y metodologías apropiadas y actuales que se deben utilizar para que las empresas salvaguarden su información; igualmente se utilicen las normas ISO como los estándares internacionales certificados para la implantación de Sistemas de Seguridad de la Información con alta calidad.
De acuerdo a lo anterior las organizaciones además de proteger sus activos físicos, están asegurando sus sistemas de información ya que estos le crean una dependencia considerablemente para el cumplimiento de su misión y visión empresarial y su estado económico. Hoy las empresas acuden a consultores y/o auditores especializados para que les realicen los estudios pertinentes para el análisis del funcionamiento de su empresa, las respectivas políticas de seguridad y certificaciones con el objetivo de obtener un alto nivel de seguridad en su empresa.
El modulo de aprendizaje que acontinuación se presenta, describe dos unidades didácticas que permiten al estudiante adentranse en el conocimiento de todos los aspectos que involucra un sistema de gestión de seguridad de la información, además mirar como las empresas han evolucionado entorno a la necesidad de asegurar su información como uno de los activos mas importantes para el correcto funcionamiento de su organización. En tal sentido, la unidad uno presenta el título gestión de información y la unidad dos se titula Sistema de gestión de la seguridad informática.

8
UNIDAD I
GESTION DE LA INFORMACION

9
INTRODUCCION A LA UNIDAD I
Llevar de manera remota los procesos administrativos así como la comunicación entre sus empleados necesarios para su funcionamiento es otro de los beneficios que la tecnología de la Información y las comunicaciones brinda a las empresas. El mismo servicio en la web que las empresas de hoy presta a sus clientes, los ha afectado a ellos de alguna manera, por cuanto a través de los pagos en línea que han realizado para la compra de servicios, consultas, actualización de datos, entre otros son aprovechados también por los delincuentes para acceder a sus claves o contraseñas, a sus computadoras personales para copia y/o eliminación de su información entre otras. Lo anterior hace que de alguna forma, los clientes se nieguen a realizar transacciones a través de estos medios de comunicación masiva como internet perdiendo las organizaciones posibles clientes potenciales a nivel mundial. En este orden, las empresas deben garantizar a sus clientes una transacción protegida, así como las orientaciones pertinentes para evitar fraudes interinaticos.
1En concordancia con la necesidad de las empresas de asegurar su información además de sus dispositivos computacionales y de comunicación, de manera organizada, sistemática, documentada y conocida, que involucre todos los aspectos físicos, lógicos y humanos de la organización. ISO como organización Internacional de Estándares, ha definido el estándar ISO 27001 para La gestión de la seguridad de la información anunciando : 2“El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías”.
En esta unidad se trabajaran tres capítulos: seguridad informática, estándares de gestión de la seguridad de la información SGSI y Procesos de análisis de riesgos. En el primer capítulo enfoca los pilares de la seguridad informática y un estado del arte sobre la implementación de sistemas de gestión planteada por las empresas de hoy. El segundo capítulo enfatiza los elementos contemplados por el estándar ISO para la implementación de un SGSI. Y el último capítulo enfoca un aspecto importante que permite a las empresas conocer el estado actual en que se encuentras sus activos de información a través del análisis de riesgos.
1 Suárez Sierra. 2013. Recuperado de http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23142/1/Lsuarezsi_TFM_062013.pdf
2 El portal de ISO 27001 en Español. Recuperado de http://www.iso27000.es/sgsi.html.

10
CAPITULO 1. SEGURIDAD INFORMATICA
1.1 Lección 1: Pilares de la seguridad Informática
El amplio tema de la seguridad informática abarca todos aquellos mecanismos tanto de prevención como de corrección que utilizan las personas y las empresas pequeñas, medianas y grandes de hoy para proteger uno de sus mayores activos, su información. Siendo este un bien que tiene un valor alto en cualquier organización, es más me atrevo a decir que su precio es incalculable.
Existen múltiples definiciones sobre la seguridad informática orientadas a la norma, a la disciplina, a su característica, etc., pero para lograr que abarque variables importantes se puede afirmar que la seguridad informática es la que permite lograr que todos los sistemas informáticos utilizados en cualquier contexto, se encuentren seguro de cualquier daño o riesgos, ya sea por parte de personas ajenas que en forma voluntaria o involuntaria lo pueda hacer o de cualquier desastre natural. En este sentido, la protección de la información requiere de un conjunto de software o aplicativos diseñados, documentos estándares y metodologías existentes que permitan aplicar las normativas certificables internacionalmente y técnicas apropiadas para llevar un control en la seguridad. Se expresa control en la seguridad, porque se considera un tanto difícil garantizar la seguridad de la información en forma completa o llevada a un 100%, por cuanto intervienen diferentes amenazas a las que las organizaciones y/o personas se encuentran continuamente expuestas.
Lo que se persigue proteger en la información, son los cuatro pilares importantes que conlleva a que la información sea protegida a gran escala. A continuación se especifican en su orden:
Confidencialidad: La información sólo puede ser accedida y utilizada por el personal de la empresa que tiene la autorización para hacerlo. En este sentido se considera que este tipo de información no puede ser revelada a terceros, ni puede ser pública, por lo tanto debe ser protegida y es la que tiende a ser más amenazada por su característica.
El profesional considerado por la empresa para manejar un tipo de información confidencial conlleva a una serie de connotaciones de carácter ético, pero en el aspecto de seguridad informática conlleva más a que los datos estén protegidos cuando estos sean transferidos o se encuentren disponibles por sistema de comunicación inseguro como lo es Internet. En este orden se han considerado los mecanismos criptográficos para cifrar la

11
información, en caso de que esta sea interceptada, ya que a pesar de que el atacante tenga la información esta estará cifrada y difícilmente podrá descifrarla. También existen mecanismos de ocultamiento de información, la cual se pueda a través de archivos Teniendo presente que no existen sistemas 100% seguros, cuando el que ataca tienen el conocimiento para buscar el mecanismo de descifrar.
Este es uno de los pilares que obliga en gran medida a las empresas a tomar la decisión de proteger su información.
Integridad: Se refiere al momento en que la información no ha sido borrada, copiada o modificada, es decir, cuando se conserva tal como fue creada o enviada desde cualquier medio desde su origen hacia su destino. Un ataque a la integridad de la información se puede presentar en archivos planos de bases de datos, información documental, registros de datos, etc. Uno de los mecanismos más utilizados para asegurar la integridad de la información es a través de la firma digital. Casonavas Inés (2009) afirma: “la firma digital permite garantizar la identidad del autor y la integridad de un documento digital a partir del concepto tradicional de la firma manuscrita en papel. Técnicamente es un conjunto de datos único, asociado al documento y al firmante, que no tiene por objetivo la confidencialidad sino asegurar la autoría y que no ha sufrido alteraciones” (p.204).
Disponibilidad: Se refiere a que la información facilitada en cualquier medio digital o software se encuentre disponible para el procesamiento de la información, para el correcto funcionamiento de una organización, así como de sus clientes o personal requerido sin que estos sean interrumpidos. Un claro tipo de ataque a este pilar, se puede presentar cuando se ha realizado la eliminación de un cable o medio de comunicación disponible en el centro o cuarto de telecomunicaciones de la empresa, se ha realizado denegación del servicio a sitios web o aplicativos, funcionamiento anormal del sistema informático o de sitios web disponibles, virus y software malicioso, entre otros. Para este tipo de ataques las medidas y controles de seguridad son los firewall (corta fuegos) como barreras de seguridad lógicas y físicas, lo mismo para evitar los intrusos, la duplicidad de servidores en caso de avería o daño físico del mismo, así como el diseño de planes de continuidad de negocio para mantener la disponibilidad de los servicios prestados por la empresa.
Autenticidad: Este pilar se define aquella información legítima, que al ser interceptada, puede ser copiada de su formato original a pesar de que la información sea idéntica. Un ejemplo comparativo a la autenticidad de algo, se presenta muchas veces en la copia de una pintura original de una obra de arte que ha sido copiada idéntica a la obra original del autor, es decir, que a pesar de que la información es igual, no es auténtica. Este tipo de

12
fraudes de autenticidad, ocurre en el plagio de información, sucede de alguna manera en documentos digitales poseen las empresas que son copiadas por el atacante. Este pilar, es similar al de integridad por lo tanto en algunos documentos de seguridad informática no la contemplan. Sin embargo, para prevención, también se utiliza la firma digital, para proteger la autenticidad.
Ahora bien, antes de que exista un indecente de seguridad que afecte cualquiera de sus pilares, tuvo que haber un riesgo de seguridad que en su momento no fue detectado, esto quiere decir; que el significado de un riesgo es cuando existe una amenaza a la seguridad que no ha llegado a afectar a la organización y un incidente, es cuando se materializa el riesgo. Es por ello, la necesidad de la aplicación de controles de seguridad que protege contra todo aquello que pueda causar un incidente de seguridad. Entre estos controles tenemos los referenciados en la siguiente figura No. 1.
Figura No. 1 Controles de seguridad

13
Fuente: Daniel cruz Allende. (2006). Gestión de la Seguridad de la Información. Universidad Oberta de Catalunya – UOC
Partiendo de la base de estos cuatro pilares y los diferentes controles de la seguridad informática, se debe contemplar el diseño de un sistema de Gestión de la seguridad informática que los incluye con mayor detalle y especificación a través de normativas de seguridad.
1.2 Lección 2. Realidad de las empresas en seguridad de la información
Antes de que las empresas empezaran a utilizar los sistema de comunicaciones de la tecnología de la información y las comunicaciones como un palanca de ampliación de cobertura y globalización para la prestación de sus servicios, su preocupación se basaba simplemente en la protección de los equipos informáticos encontrados en sus establecimientos públicos, como el de utilizar mecanismo prevención como copias de seguridad, mantenimiento preventivo a los computadores, etc. y mecanismos de protección contra robos mediante instalaciones de alarmas, servicios de vigilancia, entre otros, teniendo en cuenta que la información digital no fluía de manera externa entre los computadores de la organización sino de manera interna, a través de las redes locales y metropolitanas implementadas. Pero el crecimiento de las empresas en sucursales ubicadas en diferentes ciudades y países las han llevado a tratar de proteger su información contra atacantes externos, que tiene como objetivo el hurto de información y dinero a través de los sistemas informáticos, así como la copia, eliminación y modificación de la información que viaja a través de la gran red de redes (Internet).
A pesar de conocer las empresas el riesgo que pueden correr al ser atacados, no contemplan la inversión costo-beneficio que les proporcionaría un Sistema de Gestión de la Seguridad (SGSI) implantado; ya que si bien es cierto, que el beneficio no sería precisamente el aumento de sus ingresos, sino el de evitar un ataque que cause la pérdida de sus activos, que pueden ser de menor o mayor escala. Es claro que no se puede determinar cuál o cuáles serían precisamente el ataque que le harían a una empresa, pero con un SGSI si se podría prevenir cualquiera de los posibles existentes.
Enlaces de interés complementarios
Presentación y audio de Los Pilares de la seguridad informática. http://www.mavixel.com/video/pilares-seguridad.htm

14
Muchas empresas nacionales o internacionales, han sufrido incidentes de seguridad por fuentes externas principalmente por no tener implementado un SGSI que puede prevenirlos de ataques a sus sistemas informáticos implementado o minimizar en gran medida el impacto en caso de que éste no se haya podido controlar. Lo anterior se debe a que las empresas no perciben el riesgo que corren al sufrir un incidente de seguridad a cualquier información confidencial o a la integridad mismas de sus datos, que sólo se conforman con la implementación de controles mínimos de seguridad (firewall, control de acceso a través de claves de usuario, etc.).
La tecnología de la información y las comunicaciones avanza vertiginosamente, debido a que ya no es necesario esperar tanto tiempo para tener a la mano los nuevos adelantos como por ejemplo la utilización masiva de los dispositivos móviles (BlackBerry, Smartphone, IPhone, Ipad, etc.), como dispositivos inteligentes que actúan como teléfonos y una computadora capaz de tener conectividad permanente de acceso a internet. Estas tecnologías son aprovechadas por las empresas para tener intercambio de información con sus clientes para ofrecerle sus productos y servicios, al personal o funcionario para realizar consultas de correos electrónicos, mensajería instantánea, acceso a la internet corporativa, intercambio de mensajes, entre otros.
De esta manera el crecimiento de las comunicaciones para la transferencia de información en cualquier formato implica para las empresas y personas el aumento de riesgo a la seguridad de su información; Debido al camino que recorren los datos a través de radiocomunicaciones, los cuales son susceptibles de ser vulnerados por los delincuentes informáticos. Así mismo se incrementa la falta de conciencia del personal a tener las precauciones pertinentes de no acceder a sitios web de la empresa o hacer transferencia de mensajes de carácter confidencial desde estos dispositivos. Adicionalmente, las empresas por su afán de crecimiento no estiman o prevén las consecuencias de un ataque y no se crean políticas de acceso al personal que allí labora o los mecanismos de protección adecuados. Varios estudios demuestran que existen con frecuencias, incidentes ocurridos por errores del uso de los empleados operadores del sistema en forma involuntaria que pueden causar problemas de seguridad.
Un claro ejemplo de las vulnerabilidades, amenazas e inversiones de seguridad en las empresas lo demuestra, la investigación realizada por Kaspersky Lab en colaboración con B2B International, una de las agencias de investigación líder a nivel mundial y con la participación de más de 1,300 profesionales de TI en 11 países. El estudio abarca empresas de todos tamaños, desde pequeñas (de 10 a 99 personas) a medianas (100-999 personas), y grandes (más de 1000 personas). Se cubrió una amplia gama de temas relacionados con la seguridad informática, incluyendo los riesgos de negocios en general, las medidas adoptadas para proteger el negocio, y los incidentes que han ocurrido. Dicha investigación se

15
encuentra documentada en: 3karpersky lab. 2011. Del documento en relación es preciso destacar los siguientes figuras No. 2 y 3, donde se encuentran representaciones estadísticas significativas sobre los índices de amenazas y riesgos, las cuales, he traducido al lenguaje español para dar mayor claridad y visualización al estudiante. Adicionalmente se muestra la tabla No. 1 preocupaciones específicas de la tecnología de la información por las regiones.
Figura No. 2 Futuros Riesgos
Fuente:karpersky lab. 2011. Riesgos Globales de Seguridad de TI.
Tabla No. 1 Preocupaciones específicas de la TI por Región
Cuestión
Total
Desarrollo
Desarrollado
Asia
Europa Occidental
la prevención de violaciones de la seguridad TI
1
1
1
1
1
Garantizar que los sistemas sean totalmente positivas para maximizar el retorno sobre la
2
3
3
3
3
3 karpersky lab( 2011).Riesgos Globales de Seguridad de TI. Versión en idioma Español e inglés. Recuperado de http://www.df.cl/prontus_df/site/artic/20110902/asocfile/20110902172243/2_de_septiembre_informe_riesgos_globales_de_seguridad_de_ti.pdf . Versión en español (http://www.df.cl/prontus_df/site/artic/20110902/asocfile/20110902172243/2_de_septiembre_informe_riesgos_globales_de_seguridad_de_ti.pdf).
10%
12%
15%
15%
15%
16%
18%
18%
22%
37%
46%
Terrorismo
Sabotaje (por los empleados actuales o…
Desastres naturales (inundaciones,…
Inestabilidad política
Fraud
La actividad delictiva (robo de la propiedad,…
Espionaje industrial (de dentro y fuera de la…
Robo de propiedad intelectual
Daños a la marca o la reputación corporativa
La incertidumbre económica (recesión, la…
Cyber amenazas (amenazas electrónicas a la …
Casi la mitad de las empresas ve a las amenazas cibernéticas como uno de los tres principales riesgos e
mergentes.

16
inversión (ROL) de él
la comprensión de toda la gama de nuevas tecnologías que están disponibles y cómo utilizarlos
3
2
6
4
3
La toma de decisiones sobre futuras inversiones en TI
4
4
5
2
5
La gestión del cambio en los sistemas de TI y la infraestructura
5
8
2
10
2
Tratar con las limitaciones de costo
6
10
4
5
8
formación de los usuarios en la forma de utilizar los sistemas de IT
7
5
8
8
5
La planificación y la recuperación de un fallo o destrucción de
la infraestructura de TI.
7
7
7
8
5
Prevenir el mal uso de los sistemas informáticos de los empleados.
9
6
9
7
9
Tratar con FIABILIDAD del día a día de las Naciones Unidas de los sistemas informáticos
10
8
10
6
10
Cumplir con las regulaciones y normas industriales
11
11
11
11
11
La prevención de las violaciones a la seguridad TI es la mayor preocupación en todos los países independientemente de la situación del mercado. Para otros problemas existen diferencias significativas entre los mercados emergentes y maduros. Por ejemplo, las limitaciones de costos son mucho más importantes en los países desarrollados. Al mismo tiempo, las empresas en los mercados emergentes prestan mayor atención a la capacitación de los usuarios finales en temas específicos de TI.
Figura No. 3 Aumento significativo en el número de ataques cibernéticos

17
En el documento de “Riesgos Globales de Seguridad de TI”, se pueden encontrar a continuación de los gráficos que ilustro en este documento, otros gráficos representativos que muestran datos sobre las inversiones anuales de seguridad por parte de las empresas, preparación de las empresas sobre las amenazas de seguridad, entre otras.
1.3 Lección 3. Normativas de Seguridad
Existen diferentes normativas de seguridad que las empresas de hoy implantan para la seguridad de la información. Todas estas normativas persiguen los mismos objetivos, ya que están diseñadas para incluir a todas las unidades o departamentos que estructura a la empresa para obtener una seguridad mínima de la información procesada y transferida por el personal que hace parte de ella.
En esta lección se trataran en forma general las normativas encargadas de la gestión de la seguridad de la información y en el capítulo 2 de este módulo se enfatizará en la normativa ISO/IEC 1779:2005 y en la ISO/IEC 27001, teniendo en cuenta que son las más actuales certificables internacionalmente utilizadas.
1.3.1 ¿Cómo se estructuran las normativas de gestión de la seguridad?
Las normativas de seguridad, tienen la finalidad de presentar los lineamientos necesarios para que las empresas puedan implantar un sistema de gestión de la seguridad de la información (SGSI).
Un Sistema de Gestión de la seguridad de la información se implanta mediante un proceso ordenado que consiste en establecer los mecanismos necesarios de seguridad de manera documentada y conocida por todos los miembros de la empresa. Sin embargo es importante que se tenga claro que la implantación de un SGSI no garantiza la protección en su totalidad ya que su propósito como lo anuncia claramente la ISO en su portal ISO27000.es, “garantizar que los riesgos
Enlaces de interés complementarios:
Articulo de incidentes de ataque a las empresas españolas.
Las peores brechas de seguridad del siglo XXI.
153 países firmaron tratado que rige el espectro y las órbitas de satélites en CMR-12
Wi-Fi (Wi-phishing): robo de información vía redes inalámbricas

18
de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías”.
Las normativas para la creación del SGSI se constituyen en:
 Normativas que involucra a las buenas prácticas para la seguridad de la información, en las cuales se encuentran los códigos de buenas prácticas que sirven para que las empresas la utilicen para mejorar la seguridad de su información.
 Normativas que involucra las especificaciones de los SGSI, que sería la documentación que deben tener las empresas que deseen certificarse su SGSI.
1.3.2 Origen de las normativas de seguridad
El Instituto británico de estándares (British Standard Institute), fue la primera organización que vio la necesidad de la creación de normativas, con el objetivo de ayudar a las empresas a mejorar sus diferentes actividades de negocio. Fue la precursora de muchas normativas que se han aplicado en otros países e inclusive es un organismo colaborador de ISO.
La british Standard Institute (BSI), actualmente es una organización global de servicios a empresas en certificaciones de sistemas de gestión, certificación de producto y normas, además de promocionar formación e información sobre normas y comercio internacional. En el siguiente enlace en su portal en español se puede obtener mayor información con respecto a la seguridad de la información. The British Standards Institution 2013. Seguridad de la Información ISO/IEC 27001. Recuperado de http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de- gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/.
BSI, es una empresa con más de 100 años de experiencia en 66.000 organizaciones en 150 países desde sus 50 oficinas, la evolución obtenida a lo largo de los años se muestra a continuación en la siguiente tabla No. 2.
Tabla No. 2 Evolución de la organización (British Standard Institute)
Fecha
Alcance 1901 Nacimiento de la British Standard Institute (BSI)
1910
Creación del primer estándar 1926 Inicio del proceso de certificación de productos
1946
Creación de la ISO (Internacional Standard Organization) por parte del miembro de la BSI 1979 Primer estándar para los sistemas de gerencia (BS 5750)

19
1992
Elaboración del estándar sobre el medio ambiente 1999 Elaboración del estándar sobre seguridad de la información (BS 7799)
Fuente: El Autor
1.3.3 Evolución de las normativas de seguridad de la información
De acuerdo a lo explicado anteriormente, las normas de seguridad tienen su origen en lo elaborado por la BSI en el año 1993, lo cual se explica en detalle en la tabla No. 3.
Tabla No. 3 Evolución de las normas de seguridad de la información apoyados por la BSI
Fecha
Documentos obtenidos y publicación oficial 1993 Primeras reuniones de un grupo multisectorial británica. Redacción del primer borrador del código de prácticas de la seguridad de la información.
1995.
Primera publicación oficial del BS 7799:1. Código de buenas prácticas 1998. Publicación oficial del BS 7799:2. Especificaciones de los sistemas de gestión de la seguridad de la información.
2000
Publicación de la primera versión de la normativa ISO/IEC 17799:2000 código de buenas prácticas 2002 Publicación de la nueva versión de la BS 7799:2
Publicación oficial de la UNE-ISO/IEC 17799. Código de buenas prácticas 2004 Publicación oficial de la UNE 71502. Especificaciones de los sistemas de gestión de la seguridad de la información.
2005 Publicación oficial de ISO 17799:2005. Código de buenas prácticas.
Publicación de la ISO 27001. Especificaciones de los sistemas de gestión de la seguridad de la información, basados en la norma BS 7799-2 2006 BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
Fuente: El Autor.
En síntesis, a pesar de las diferentes normativas que existieron a lo largo de esos años, las normativas vigentes de certificación internacional en Sistema de Gestión de Seguridad de la información se encuentran - ISO 27001, certificable bajo los esquemas nacionales de cada país. Adicionalmente se encuentran las normas españolas, UNE-IS/IEC 17799 y la UNE 71502 que son de carácter nacional o local, entre ellas se relacionan las siguientes:
 UNE 71504:2008. Metodología de análisis y gestión de riesgos para los sistemas de información.

20
 UNE 61286:2005. Tecnologías de la información. Conjunto de caracteres gráficos codificados que se utilizan en la preparación de documentos, los cuales se usan en electrotecnología y en el intercambio de información.
 UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI
 UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 2: Gestión y planificación de la seguridad de TI.
 UNE 71501-1:2001 IN. Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 3: Técnicas para la gestión de la seguridad de TI.
 UNE-ISO/IEC 17799:2002.Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información.
1.3.4 Estado de implantación de normativas de seguridad de la información en Colombia.
Actualmente es difícil determinar las empresas que en Colombia están en el proceso de implantación de SGSI, pero si se puede brindar la información específica de aquellas que en la actualidad se encuentran certificadas en la normativa internacional auditable ISO/IEC 27001:2005.
De acuerdo a estadísticas del 2010, el Japón es el país que más empresas certificadas obtuvo en ese año y en Colombia se reportaron 8 empresas como UNE que obtuvo la certificación en el año 2009 y durante el 2010 y 2011, se realizaron auditorías de seguimiento para verificar el cumplimiento de las norma y en noviembre del 2012, recibió la 4recertificación ISO 27001 sobre la gestión de la
4 Recertificación UNE ISO 27001 (2012). http://saladeprensa.une.com.co/index.php?option=com_content&view=article&id=1080:bureau-
Enlaces web de interés
Normas y esquemas de certificación anunciadas por la BSI
Sistemas de gestión de la seguridad de la información UNE-ISO/IEC 27001
El portal de ISO 27001 En español

21
seguridad de la información, además de recertificación de su Sistema de Gestión Integral en las normas ISO 9001, NTCGP1000 sobre la gestión de la calidad. La empresa UNE es una ISP que presta diferentes servicios en el campo de las telecomunicaciones tales como: Telefonía, Internet, Televisión, entre otras.
INCONTEC (Instituto de Colombiano de Normas Técnicas y certificación), reconocido por el gobierno colombiano mediante el decreto 2269 de 1993. Es quién promueve, desarrolla y guía la aplicación de normas técnicas colombianas y demás documentos normativos. ICONTEC, es representante por Colombia ante los organismos de normalizaciones internacionales y regionales como la ISO, IEC (international Electrotechinical commission), COPANT (comisión Panamericana de Normas Técnicas) entre otras. A su vez esta organización nacional provee el servicio de consultas de contenido de las normas técnicas colombianas e internacionales. Además presenta ante Colombia un compendio de normativas para el SGSI. 5 Como Organismo Nacional de Normalización, son miembro activo de los más importantes organismos internacionales y regionales de normalización, lo que nos permite participar en la definición y el desarrollo de normas internacionales y regionales, para estar a la vanguardia en información y tecnología.
6“ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares—auditar controles en los sistemas computacionales que se estaban haciendo cada vez más críticos para las operaciones de sus respectivas organizaciones—se sentaron a discutir la necesidad de tener una fuente centralizada de información y guías en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor en el campo de gobierno y control de TI. Con más de 110,000 integrantes (miembros de la Asociación y aquellos que no son miembros pero ostentan una o más certificaciones de ISACA) en 180 países, ISACA ayuda a empresas y líderes de TI a maximizar el valor, además de gestionar riesgos relacionados con la información y la tecnología. Fundada en 1969, ISACA, es una organización independiente, sin ánimo de lucro, que representa los intereses de los profesionales relacionados con la seguridad de la información, aseguramiento, gestión de riesgos y gobierno de TI. Estos profesionales confían en ISACA como fuente confiable de conocimiento sobre la información y la tecnología, la comunidad, estándares y certificaciones. La asociación, que tiene 200 capítulos en todo el mundo, promueve el avance y
veritas-ratifico-los-certificados-de-gestion-de-une-epm-telecomunicaciones&catid=116:une-epm- telecomunicaciones&Itemid=152
5 Icontec. http://www.icontec.org.co/index.php?section=18
6 ISACA. Sitio oficial. La historia de ISACA. Recuperado de http://www.isaca.org/About- ISACA/History/Espanol/Pages/default.aspx

22
certificación de habilidades y conocimientos críticos para el negocio, a través de certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk and Information Systems Control™ (CRISC™)”. ISACA también desarrolló y continuamente actualiza COBIT®, un marco de referencia que ayuda a empresas de todas las industrias y geografías, a gobernar y gestionar su información y tecnología.
Los profesionales, estudiantes y académicos con perfiles en el área de la tecnología de información y seguridad de la información pueden ser miembros de ISACA con el objetivos de acceder a los beneficios que proporciona y a la vez apuntar a las certificaciones que ofrece CISA, CISM, CGEIT,CRISC y COBIT.
Tabla No. 4 Número de certificaciones expedidas en el 2010 a nivel mundial
Fuente: International Register of ISMS certificates. http://www.iso27001certificates.com/
A continuación se relaciona el listado actualizado de los 7Organismos de Certificación de SGSI, avalados por la ISO.
Organismos de Certificación (CBS)
 AFNOR Certification  AJA Registrars Ltd  APCER  BM TRADA Certification Limited  BSI
7 International Register of ISMS certificates. http://www.iso27001certificates.com/

23
 BSI-J (BSI Japan K.K.)  Bureau Veritas Certification  Center Teknologisk institutt Sertifisering AS (Norway)  CEPREIi Certification Body  Certification Europe  CIS (Austria)  Comgroup GmbH (Germany)  CQS (Czech Republic)  datenschutz cert GmbH (Germany)  Defense Procurement Structure Improvement Foundation System Assessment Center (BSK System Assessment Center)  DNV (Det Norske Veritas)  DQS GmbH (Germany)  DS Certification  ENAC (Entidad Nacional de Acreditacion)  HKQAA (Hong Kong Quality Assurance Agency)  ICMS  International Standards Certifications  Intertek Systems Certification  ISOQAR  JACO-IS (Japanese Audit and Certification Organisation)  JATE (Japan Approvals Institute for Telecommunications Equipment)  JICQA (JIC Quality Assurance Ltd)  JMAQA (JMA QA Registration Center)  JQA (Japan Quality Assurance Organization)  JSA (Japanese Standards Association Management Systems Enhancement Department)  JUSE-ISO (Union of Japanese Scientists and Engineers ISO Center)  J-VAC (Japan Value-Added Certification Co.,Ltd)  KEMA Quality BV  KPMG Audit plc  KPMG Certification  KPMG RJ (KPMG Registrar Co., Ltd.)  KPMG SA  LGAI Technological Center  LRQA (Lloyd's Register Quality Assurance Limited)  LTSI SAS (France)  Moody  MSA (Management System Assessment Center Co., Ltd)  National Quality Assurance  Nemko (Norway)  PJR (Perry Johnson Registrars)  PJR-J (Perry Johnson Registrars, Inc. of JAPAN)  PricewaterhouseCoopers Certification B.V.

24
 PSB Certification (Singapore)  QSCert, spol. s.r.o  RINA S.p.A. (Italy)  SAI Global Limited (Australia)  SEMKO-DEKRA Certification AB  SFS-Inspecta Certification (Finland)  SGS ICS Limited  SGS Pakistan (Pvt) Limited  SGS Philippines Inc.  SIRIM QAS International  SQS (Swiss Quality System)  STQC IT Certification Services (India)  TCIC Ltd  TECO (Tohmatsu Evaluation and Certification Organization)  TUV NORD CERT GmbH (Germany)  TÜV Rheinland Group (Germany)  TÜV RJ (TUV Rheinland Japan Ltd.)  TÜV SAAR CERT (Germany)  TÜV SÜD Gruppe (TÜV Management Service GmbH) (Germany)  UIMCert (Germany)  United Registrar of Systems Limited
1.3.5 Ciclo PDCA (Edward Deming)
Para la implantación de un sistema de Gestión de la seguridad de la información, se requiere del desarrollo de actividades que marquen un orden lógico para llevar organizado todo el proceso. El modelo PDCA (Plan, do, check, act), en su equivalencia en español es Planificar, hacer, verificar y actuar (PHVA), es una estrategia de mejora continua de calidad en cuatro pasos. Este modelo es muy utilizado para implantación de sistemas de gestión, como los sistemas de gestión de la calidad que muchas empresas de hoy lo implantan para la calidad administrativa y de servicios con el objetivo de perfeccionarlos y continuar en un proceso de mejora continua.
Para el caso de la implantación de Sistemas de Gestión de la Seguridad informática, el ciclo PDCA es una estrategia efectiva para la organización y documentación que se requiere en este proceso. La siguiente figura ilustra este modelo basado en los procedim|ientos esenciales para un SGSI. Figura No.3
Figura No. 4 Ciclo PDCA (PHVA) para la implantación de SGSI

25
Fuente: El Autor.
El ciclo PDCA como modelo para implantación de SGSI, permanece en una constante revaluación, por cuanto funciona, bajo la filosofía del mejoramiento continuo; en seguridad sería la revaluación de las medidas de prevención, corrección y evaluación, manteniendo un constante ciclo que por sus características no podría terminar. A continuación se detalla cada uno de los pasos del modelo Deming como metodología apropiada los SGSI.
Planear
En esta etapa se enmarca todo el proceso de análisis de la situación en que actualmente se encuentra la empresa respecto a los mecanismos de seguridad implementados y la normativa ISO/IEC 17799:2005, la cual se pretende implantar para evaluación y certificación. Así mismo en la etapa de planeación se organizan fases relevantes como son:
 Establecer el compromiso con los directivos de la empresa para el inicio, proceso y ejecución
http://Cert.inteco.es/formación/SGSI/conceptos_basicos/fases_SGSI
 Fase de análisis de información de la organización, En esta fase se comprueba cuáles son los sistemas informáticos de hardware y los sistemas de información que actualmente utiliza la empresa para el cumplimiento de su misión u objeto social.
 Fase de evaluación del riesgo; En esta fase se evalúa los riesgos, se tratan y se seleccionan los controles a implementar.

26
Hacer
En esta etapa se implementan todos los controles necesarios de acuerdo a una previa selección en la etapa de planeación, teniendo en cuenta el tipo de empresa. También se formula y se implementa un plan de riesgo
Verificar
Consiste en efectuar el control de todos los procedimientos implementados en el SGSI. En este sentido, se realizan exámenes periódicos para asegurar la eficacia del SGSI implementado, se revisan los niveles de riesgos aceptables y residuales y se realicen periódicamente auditorías internas para el SGSI.
Actuar
Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas, realizar las acciones correctivas y preventivas, mantener comunicación con el personal de la organización relevante.

27
CAPITULO 2. ESTÁNDARES DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
2.1 Lección 4: La organización ISO y la Familia de Normas ISO
La organización Internacional de Estándares ISO, abreviado por sus siglas en inglés, International Organization for Standardization, se origina en la Federación Internacional de Asociaciones Nacionales de Normalización (1926 – 1939). En octubre de 1946, en Londres, se acordó su nombre por representantes de veintiocho países. La ISO, celebró su primera reunión en Junio de 1947 en Zurich, Alemania, su sede se encuentra ubicada en Ginebra, Suiza. 8Su finalidad principal es la de promover el desarrollo de estándares internacionales y actividades relacionadas incluyendo la conformidad de los estatutos para facilitar el intercambio de bienes y servicios en todo el mundo. La ISO creó en 1987 la serie de estandarización ISO 9000 adoptando la mayor parte de los elementos de la norma británica BS 5750 que estudió en la lección 3. Ese mismo año la norma fue adoptada en los Estados Unidos como la serie ANSI/ASQC– Q90 (American Society for Quality Control); y la norma BS 5750 fue revisada con el objetivo de hacerla idéntica a la norma ISO 9000.
Las normas ISO ofrecen soluciones y logra beneficios para casi todos los sectores de diferente actividad como la agricultura, construcción, ingeniería mecánica, fabricación, distribución, transporte, medicina, dispositivos, tecnologías de información y comunicación, el medio ambiente, energía, gestión de calidad, evaluación de la conformidad y los servicios.
2.1.1 Criterios de la ISO para desarrollar un estándar
El desarrollo de nuevas normas por parte de la ISO, se hace de acuerdo a las necesidades generadas por los diferentes sectores empresariales, industriales, o cualquier grupo de interés general, el cual comunica su necesidad de la creación de un nuevo estándar a uno de los miembros nacionales de la ISO. Este miembro plantea el nuevo tema de trabajo de la comisión que corresponde al técnico de la ISO para la elaboración de normas en la materia. Las organizaciones de enlace con los comités también pueden plantear o proponer nuevos elementos de trabajo.
La orientación de la ISO se guía por un Plan Estratégico aprobado para un período de cinco años por los miembros de la ISO. Los miembros de la ISO, los representantes últimos de la ISO para sus propios países, se dividen en tres
8 Sandoval Serrano, René Mauricio. Calidad y desarrollo organizacional a través de la certificación ISO 9000. Argentina: El Cid Editor | apuntes, 2009. p 12. http://site.ebrary.com/lib/unadsp/Doc?id=10316639&ppg=12. Copyright © 2009. El Cid Editor | apuntes. All rights reserved.

28
categorías: los organismos miembros (miembros plenos), los miembros corresponsales y miembros de abonados. Sólo los organismos miembros tienen el derecho a votar.
La ISO está compuesta por 163 miembros que se dividen en tres categorías: Los organismos miembros, los miembros corresponsales, miembros de suscriptor. ILos países miembros se pueden ver relacionados en: ISO members. Recuperado de http://www.iso.org/iso/about/iso_members.htm.
2.1.2 Familia de las normas ISO/IEC 27000:2005
La serie ISO/IEC 27000, es un conjunto de normas de gestión de la seguridad de la información con la IEC (International Electrotechnical Commission), comisión internacional de electrotecnia, tiene algunas similitudes a la familia de las normas de gestión de la calidad ISO 9000. Cada una de las normas de la familia 27000, define y centra todos los aspectos importantes en el contexto de la gestión de la seguridad de la información en cualquier empresa pequeña, mediana o grande, así como públicas y privadas.
A continuación se relacionan en la siguiente tabla No. 5, la temática que define cada norma.
Tabla No. 5 Relación de serie de las normas ISO/IEC 27000
Normas
Temática ISO 27000 Gestión de la seguridad de la información ( Fundamentos y vocabulario)
ISO 27001
Especificaciones para un SGSI ISO 27002 Código de buenas prácticas
ISO 27003
Guía de implantación de un SGSI ISO 27004 Sistema de métricas e indicadores
ISO 27005
Guía de análisis y gestión de riesgos ISO 27006 Especificaciones para Organismos Certificadores de SGSI.
ISO 27007
Guía para auditar un SGSI. ISO/IEC TR 27008: Guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI
ISO/IEC 27010:
Guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores.
Fuente: El Autor
A continuación se presenta un breve resumen de cada una de las normas relacionadas anteriormente para una mayor ilustración. Sin embargo es de aclarar que no son de libre difusión sino que deben ser adquiridas.

29
 Norma ISO 27000: Gestión de la seguridad de la información (Fundamentos y vocabulario)
Esta norma fue publicada el 1 de mayo de 2009 y contemplan en forma introductoria todos los aspectos fundamentales que enfoca un sistema de gestión de seguridad de la información (SGSI), una descripción del ciclo PDCA, al igual que las definiciones de los términos que se emplean en toda la serie 27000.
 Norma ISO 27001 Especificaciones para un SGSI
Esta norma fue publicada el 15 de Octubre de 2005, la cual enmarca los requisitos y/o especificaciones del sistema de Gestión de la seguridad de la información. Fue originaria de la BS 7799-2:2002, siendo identificada actualmente como norma ISO 27001:2005. Esta es la norma certificable en la actualidad por los auditores externos de los SGSI de las diferentes empresas. En esta norma se enumera en forma resumida, los objetivos de control y controles, para que sean seleccionadas por las empresas que desean implantar el SGS. Si bien es cierto que no es de carácter obligatorio que se implementen todos los controles de esta norma, la empresa debe justificar ante los auditores la no aplicabilidad de los controles cuando estén en el proceso de evaluación para una certificación.
En Colombia a través del El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) y en otros países como España, Venezuela, Argentina, Chile, México y Uruguay se pueden adquirir las normas en el idioma Español. El original en versión en inglés y la traducción al francés pueden adquirirse en el sitio oficial iso.org. Actualmente, este estándar se encuentra en revisión por el subcomité ISO SC27, para ser publicada en forma prevista su segunda edición en Mayo de 2013.
 ISO 27002: código de buenas prácticas
Publicado el 1 de julio de 2007. Esta norma no certificable, es una guía de buenas prácticas que detalla los objetivos de control y controles recomendables en los aspectos de seguridad de la información. En cuanto a seguridad de la información. La ISO 27002, contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Esta norma se encuentra publicada en Español a través de la empresa AENOR y en Colombia NTC-ISO IEC 27002), así mismo se pueden encontrar en Perú, chile, entre otros países latinoamericanos.
 ISO 27003: Guía de implantación de un SGSI
Publicado el 1 de Febrero de 2010. Esta norma no es certificable y proporciona una guía que contempla todos los aspectos necesarios para el diseño e implementación de un SGSI de acuerdo a la norma certificable ISO/IEC

30
27001:2005. El objetivo de esta norma es describir las especificaciones y diseño en el proceso de la implementación del SGSI. Actualmente esta norma se encuentra traducida sólo en el Instituto Uruguayo de normas técnicas en Uruguay (UNIT-ISO/IEC 27003). El original en inglés a través del sitio oficial iso.org.
 ISO 27004: Sistema de métricas e indicadores
Esta norma fue publicada el 15 de diciembre de 2009. Esta norma es una guía que permite determinar la eficacia de la implantación de un SGSI a través del desarrollo y utilización de métricas y técnicas de medida y los controles o grupos de controles implementados según ISO/IEC 27001. Esta norma sólo se encuentra traducida al español en Argentina (IRAM-ISO-IEC 27004) y Uruguay (UNIT- ISO/IEC 27004) y el original en inglés a través del sitio oficial iso.org.
 ISO 27004: Sistema de métricas e indicadores
La primera edición fue publicada el 15 de Junio de 2008 y la. La segunda edición fue el 1 de junio de 2011. Esta norma tampoco es certificable, pero proporciona las pautas para la gestión del riesgo en la seguridad de la información sobre los conceptos generales definidos en la norma ISO/IEC 27001. Esta norma está diseñada ayudar a la aplicación exitosa de la seguridad de la información basada en un enfoque de gestión de riesgos.
 ISO/IEC 27006: Especificaciones para Organismos Certificadores de SGSI.
Esta norma fue publicada en su primera edición el 1 de marzo de 2007 y su segunda edición el 1 de diciembre de 2011. Esta norma específica los requisitos para la acreditación de entidades de auditoría y certificación de SGSI. Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
 ISO 27007: Guía para auditar un SGSI.
Esta norma fue publicada el 14 de Noviembre de 2011. Es una guía para la aplicación de auditorías a un SGSI como complemento especificado en ISO 19011, no es una norma certificable. La versión original en el idioma inglés se puede encontrar desde su enlace oficial iso.org.
Existen diferentes series de normas de la ISO /IEC, desarrolladas con el objetivo de perfeccionar las existentes o crear nuevos estándares para el beneficio de todos los sectores organizacionales con proyecciones a su publicación en fechas de este mismo año 2012 y 2013.

31
2.2 Lección 5: La normativa ISO/IEC 27001:2005 y afines
2.2.1 Estructura ISO/IEC 27001:2005
Para la normativa certificable de la ISO/IEC 27001, se estipulan 11 dominios, 44 objetivos y 133 controles de seguridad. Cada dominio estipula un capítulo de la norma especificando en forma detallada los controles a los que pertenece cada dominio y su funcionalidad.
Figura No. 5. Dominios de seguridad normativa ISO/IEC 27001
Fuente: El autor
Cada dominio representado en la figura 4, estipula unos objetivos en el SGSI, los controles de seguridad y la función.
05. Política de seguridad: En este dominio se especifica la forma de creación de un documento de política de seguridad, el cual debe ser elaborado por el equipo de trabajo que la dirección designa para la implementación del SGSI. Dicho documento debe ser revisado y aprobado por la dirección. En el documento de política de seguridad, se debe especificar toda la normativa interna de la institución con el objetivo de que los funcionarios conozcan y cumplan las medidas de seguridad implantadas a través del (SGSI). Así mismo contempla todos los aspectos orientados al acceso a la información, utilización

32
de los activos físicos y lógicos de la organización y el comportamiento que deben tener en caso de que ocurra un incidente de seguridad. La elaboración del documento debe ser con un lenguaje claro y sencillo con el objetivo de que cualquier funcionario de la empresa u organización lo pueda interpretar. La subdivisión de este control es la siguiente:
 A.5.1.1 Documento de política de seguridad de la información
 A.5.1.2 Revisión de la política de seguridad de la información
06. Aspectos organizativos para la seguridad: Aquí se establece los parámetros internos y externos de la organización. Los internos, hacen referencia al compromiso que la dirección asume para la implantación del SGSI, la designación del equipo de personal que incluye el coordinador de seguridad y la asignación de responsabilidades entre otros. Los parámetros externos hacen referencia a los Riesgos relacionados con el acceso a terceros, seguridad con respecto a los clientes y contratación con terceros. Los subdominios o controles se relacionan a continuación.
A.6.1 Interna  A.6.1.1 Compromiso de la Dirección con la seguridad de la información  A.6.1.2 Coordinación de la seguridad de la información  A.6.1.3 Asignación de responsabilidades relativas a la seguridad de la información  A.6.1.4 Proceso de autorización de recursos para el procesado de la información  A.6.1.5 Acuerdos de confidencialidad  A.6.1.6 Contacto con las autoridades  A.6.1.7 Contacto con grupos de especial interés  A.6.1.8 Revisión independiente de la seguridad de la información
A.6.2
Externa (Terceros)  A.6.2.1 Identificación de los riesgos derivados del acceso de terceros  A.6.2.2 Tratamiento de la seguridad en la relación con los clientes  A.6.2.3 Tratamiento de la seguridad en contratos con terceros
07. Gestión de activos: Activo en seguridad de la información es la información que la empresa u organización debe proteger contra las diferentes amenazas a las que puede estar expuesta. La generación, ubicación y salvaguarda de la información depende de otros activos de la empresa, los

33
cuales se dividen en diferentes grupos: Hardware, software o aplicación, red, equipamiento auxiliar, instalación, servicios y de personal.
A.7.1
Responsabilidad sobre los activos
 A.7.1.1 Inventario de activos  A.7.1.2 Propiedad de los activos  A.7.1.3 Uso aceptable de los activos
A.7.2
Clasificación de la información  A.7.2.1 Directrices de clasificación  A.7.2.2 Etiquetado y manipulado de la información
08. Seguridad ligada a los recursos humanos: Este dominio hace énfasis en todo el talento humano de la organización y demás personal contratado de manera externa, los cuales deben conocer las responsabilidades que adquieren para proteger la información, garantizar la seguridad y buen uso, así como mantener confidencialidad a la información que tienen acceso con este carácter. Es tarea de la organización hacer todo tipo de verificación jurídica al personal antes de ser contratado y establecer las debidas cláusulas contractuales para el cumplimiento de sus funciones, responsabilidades que tiene sobre los activos que utilizará entre otros. También deberá definir los procedimientos que se deben realizar cuando un empleado tenga cambio de funciones o cambio de cargo o haya salido de la empresa por diferentes motivos.
A.8.1
Antes del empleo  A.8.1.1 Funciones y responsabilidades  A.8.1.2 Investigación de antecedentes  <A.8.1.3 Términos y condiciones de contratación  A.8.2 Durante el empleo  A.8.2.1 Responsabilidades de la Dirección  A.8.2.2 Concienciación, formación y capacitación en seguridad de la información  A.8.2.3 Proceso disciplinario A.8.3 Cese del empleo o cambio de puesto de trabajo  A.8.3.1 Responsabilidad del cese o cambio  A.8.3.2 Devolución de activos

34
 A.8.3.3 Retirada de los de derechos de acceso
09. Seguridad física y del entorno: Abarca toda la seguridad en el sitio físico donde se encuentren ubicados los equipos informáticos y la información de la empresa, al igual que el entorno, es decir, toda el área perimetral la estructura física de la organización. En esta parte se estipula el control de acceso a las oficinas o espacios de la edificación organizacional por el mismo personal de la institución y por personal externo. Protección contra incidentes naturales y/o industriales (inundaciones, fuego, humedad, etc.).
A.9.1
Áreas seguras  A.9.1.1 Perímetro de seguridad física  A.9.1.2 Controles físicos de entrada  A.9.1.3 Seguridad de oficinas, despachos e instalaciones  A.9.1.4 Protección contra las amenazas externas y de origen ambiental  A.9.1.5 Trabajo en Áreas seguras  A.9.1.6 Áreas de acceso público y de carga y descarga
10. Gestión de comunicaciones y operaciones: En este dominio se estipula la documentación entorno a los procedimientos para la operación, administración, configuración del sistema de comunicaciones de la organización. En tal sentido, se debe garantizar la separación de los recursos en desarrollo, prueba y operación de los sistemas de información manejados por la organización. Se debe definir y establecer claramente los acuerdos sobre las provisiones y servicios que sean necesarios contratar por terceros. Se debe gestionar las capacidades de los sistemas para garantizar la protección contra código malicioso, código descargado por clientes, copias de seguridad entre otros. Estipular los controles de seguridad para el intercambio de la información a través de las redes de comunicaciones, garantizar la seguridad en el comercio electrónico en caso de que la empresa lo contemple, revisiones y monitorización del mismo entre otros.
 A.10.1
Responsabilidades y procedimientos de operación  A.10.1.1 Documentación de los procedimientos de operación  A.10.1.2 Gestión de cambios  A.10.1.3 Segregación de tareas  A.10.1.Separación de los recursos de desarrollo, prueba y operación

35
4
 A.10.2
Gestión de la provisión de servicios por terceros  A.10.2.1 Provisión de servicios  A.10.2.2 Supervisión y revisión de los servicios prestados por terceros  A.10.2.3 Gestión de cambios en los servicios prestados por terceros
 A.10.3
Planificación y aceptación del sistema  A.10.3.1 Gestión de capacidades  A.10.3.2 Aceptación del sistema
 A.10.4
Protección contra código malicioso y descargable  A.10.4.1 Controles contra el código malicioso  A.10.4.2 Controles contra el código descargado en el cliente
 A.10.5
Copias de seguridad  A.10.5.1 Copias de seguridad de la información
 A.10.6
Gestión de la seguridad de las redes  A.10.6.1 Controles de red  A.10.6.2 Seguridad de los servicios de red
 A.10.7
Manipulación de los soportes  A.10.7.1 Gestión de soportes extraíbles  A.10.7.2 Retirada de soportes  A.10.7.3 Procedimientos de manipulación de la información  A.10.7.4 Seguridad de la documentación del sistema
 A.10.8
Intercambio de información  A.10.8.1 Políticas y procedimientos de intercambio de información  A.10.8.2 Acuerdos de intercambio  A.10.8.Soportes físicos en tránsito

36
3  A.10.8.4 Mensajería electrónica  A.10.8.5 Sistemas de información empresariales
 A.10.9
Servicios de comercio electrónico  A.10.9.1 Comercio electrónico  A.10.9.2 Transacciones en línea  A.10.9.3 Información puesta a disposición pública
 A.10.10
Supervisión  A.10.10.1 Registro de auditorías  A.10.10.2 Supervisión del uso del sistema  A.10.10.3 Protección de la información de los registros  A.10.10.4 Registros de administración y operación  A.10.10.5 Registro de fallos  A.10.10.6 Sincronización del reloj
11. Control de accesos: El acceso a la información, producto de la razón social de la empresa (aplicaciones, infraestructura tecnológica y comunicación, etc.) debe ser protegida a través de controles de acceso físico y lógico en la empresa. En este sentido se enmarca todos los criterios de control de acceso. A continuación se relacionan:
 A.11.1
Requisitos de negocio para el control de acceso
 A.11.1.1
Política de control de acceso
 A.11.2
Gestión de acceso de usuario
 A.11.2.1
Registro de usuario
 A.11.2.2
Gestión de privilegios
 A.11.2.3
Gestión de contraseñas de usuario
 A.11.2.4
Revisión de los derechos de acceso de usuario
 A.11.3
Responsabilidades de usuario

37
 A.11.3.1
Uso de contraseña
 A.11.3.2
Equipo de usuario desatendido
 A.11.3.3
Política de puesto de trabajo despejado y pantalla limpia
 A.11.4
Control de acceso a la red
 A.11.4.1
Política de uso de los servicios en red
 A.11.4.2
Autenticación de usuario para conexiones externas
 A.11.4.3
Identificación de equipos en las redes
 A.11.4.4
Diagnóstico remoto y protección de los puertos de configuración
 A.11.4.5
Segregación de las redes
 A.11.4.6
Control de la conexión a la red
 A.11.4.7
Control de encaminamiento (routing) de red
 A.11.5
Control de acceso al sistema operativo
 A.11.5.1
Procedimientos seguros de inicio de sesión
 A.11.5.2
Identificación y autenticación de usuario
 A.11.5.3
Sistema de gestión de contraseñas
 A.11.5.4
Uso de los recursos del sistema
 A.11.5.5
Desconexión automática de sesión
 A.11.5.6
Limitación del tiempo de conexión
 A.11.6
Control de acceso a las aplicaciones y a la información
 A.11.6.1
Restricción del acceso a la información
 A.11.6.2
Aislamiento de sistemas sensibles
 A.11.7
Ordenadores portátiles y teletrabajo
 A.11.7.1
Ordenadores portátiles y comunicaciones móviles
 A.11.7.2
Teletrabajo
12. Adquisición, desarrollo y mantenimiento de sistemas de información: En este dominio se especifican todas las pautas para garantizar la adquisición de hardware y software seguro, así como el desarrollo de software a la medida desarrollado por la organización, realizar las pruebas necesarias para ajustar y mejorar las debilidades en seguridad de los Sistemas de información, al mismo tiempo la validación.
 A.12.1
Requisitos de seguridad de los sistemas de

38
información
 A.12.1.1
Análisis y especificación de los requisitos de seguridad
 A.12.2
Tratamiento correcto de las aplicaciones
 A.12.2.1
Validación de los datos de entrada
 A.12.2.2
Control del procesamiento interno
 A.12.2.3
Integridad de los mensajes
 A.12.2.4
Validación de los datos de salida
 A.12.3
Controles criptográficos
 A.12.3.1
Política de uso de los controles criptográficos
 A.12.3.2
Gestión de claves
 A.12.4
Seguridad de los archivos de sistema
 A.12.4.1
Control del software en explotación
 A.12.4.2
Protección de los datos de prueba del sistema
 A.12.4.3
Control de acceso al código fuente de los programas
 A.12.5
Seguridad en los procesos de desarrollo y soporte
 A.12.5.1
Procedimientos de control de cambios
 A.12.5.2
Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
 A.12.5.3
Restricciones a los cambios en los paquetes de software
 A.12.5.4
Fugas de información
 A.12.5.5
Externalización del desarrollo de software
 A.12.6
Gestión de la vulnerabilidad técnica
 A.12.6.1
Control de las vulnerabilidades técnicas
13. Gestión de incidentes de seguridad: En este dominio se plantean los procedimientos sistemáticos que la organización debe seguir, cuando se presente un incidente de seguridad, para aplicar las acciones correctivas, al mismo tiempo que el responsable de monitorear, dirigir y controlar la aplicación de dichos procedimientos.
 A.13.1
Notificación de eventos y puntos débiles de la seguridad de la información
 A.13.1.1
Notificación de los eventos de seguridad de la información
 A.13.1.2
Notificación de puntos débiles de la seguridad

39
 A.13.2
Gestión de incidentes de seguridad de la información y mejoras
 A.13.2.1
Responsabilidades y procedimientos
 A.13.2.2
Aprendizaje de los incidentes de seguridad de la información
 A.13.2.3
Recopilación de evidencias
14. Gestión de continuidad del negocio: En este dominio, se contempla los planes que debe seguir la organización para mantener el servicio activo a los clientes, con el objetivo de que sea transparentes para ellos. El plan que se diseñe, debe establecer los puntos críticos de la organización para protegerlos.
 A.14.1
Aspectos de seguridad de la información en la gestión de la continuidad del negocio
 A.14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio  A.14.1.2 Continuidad del negocio y evaluación de riesgos  A.14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información  A.14.1.4 Marco de referencia para la planificación de la continuidad del negocio  A.14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad
15. Conformidad legal: El dominio contempla la reglamentación interna y externa de la organización sobre el cumplimiento de políticas establecidas, identificación de la legislación nacional e internacional aplicable a la organización.
 A.15.1
Cumplimiento de los requisitos legales
 A.15.1.1
Identificación de la legislación aplicable
 A.15.1.2
Derechos de propiedad intelectual (DPI)
 A.15.1.3
Protección de los documentos de la organización
 A.15.1.4
Protección de datos y privacidad de la información personal
 A.15.1.5
Prevención del uso indebido de los recursos de tratamiento de la información
 A.15.1.6
Regulación de los controles criptográficos
 A.15.2
Cumplimiento de las políticas y normas de seguridad y

40
cumplimiento técnico
 A.15.2.1
Cumplimiento de las políticas y normas de seguridad
 A.15.2.2
Comprobación del cumplimiento técnico
 A.15.3
Consideraciones de las auditorías de los sistemas de información
 A.15.3.1
Controles de auditoría de los sistemas de información
2.2.2 Integración del SGSI (ISO 27001) a ISO 9001 –- 14000
Los sistemas de gestión son herramientas que permiten a las empresas organizar y controlar de manera sistémica cada uno de los procesos y procedimientos que se requieren en cierta área para el funcionamiento eficaz de la empresa, en los ámbitos de la calidad, la seguridad de la información y el impacto ambiental. En este orden, si las empresas ya han implantado alguno de los sistemas de gestión ISO 90001, y/o 14001 para la empresa es más fácil la implantación de un SGSI por cuanto todos contemplan aspectos similares como la utilización de ciclo PDCA para la implantación en todos los sistemas de gestión de la ISO, lo cual permitiría una integración de los diferentes sistemas de gestión, evidenciándose en el anexo C de la ISO 27001; donde se detalla punto por punto la correspondencia entre esta norma y las demás normas ISO 9001 e ISO 14001. Ver tabla 6. Cuadro comparativo entre las normas ISO 9001, 27001 y 14001.
Tabla No. 6 Cuadro comparativo entre las normas ISO 9001, 27001 y 14001.
9001 (Sistema de gestión de calidad - SGC)
27001 (Sistema de Gestión de Seguridad de la información - SGSI)
14001 (Sistema de gestión ambiental SGA) Compromisos de la dirección Aplica como requisito compromiso de dirección Se aplica en el dominio 06. Aspectos organizativos para la seguridad Aplica como requisito compromiso de dirección
Políticas
Políticas de calidad
Políticas de seguridad en la organización, dominio 05.
Políticas de gestión ambiental Revisión por dirección Revisión por dirección Esquema documental. Revisión por dirección Revisión por dirección.
Auditoría interna
Procesos de revisión y verificación
Proceso de revisión Interna sobre el SGSI
Proceso de revisión Interna sobre el SGA

41
2.3 Lección 6: Consideraciones para la implantación de un SGSI (Norma ISO 27001) en una organización
2.3.1 Preguntas orientadoras de la necesidad del SGSI
¿Cuándo y porque implantar un SGSI en una organización?
Implantar un SGSI en una empresa no es precisamente cuando se le haya presentado un incidente de seguridad sobre su información, sino, cuando ésta desea tener un crecimiento y posicionamiento ante un mercado exigente y global teniendo en cuenta que para ello, requerirá del uso de la Tecnología de la información y las comunicaciones para lograrlo. En tal sentido, un SGSI, va permitir de forma organizada y sistémica, mantener la seguridad de la información que maneja la empresa con un alto grado de confiabilidad, integridad y disponibilidad. Así como el estar preparados para afrontar un incidente de seguridad que rompa las barreras (medidas de seguridad) de seguridad implantadas y estar en la capacidad de poner en funcionamiento rápidamente la empresa o que es lo mismo evitar que sus clientes lo perciban o se vean
¿Qué aspectos se deben considerar al implantar un SGSI?
La seguridad de la información es un compromiso de todos en una organización. Aunque esto sea claro para muchas empleados de una empresa, para otras no lo es, es por ello que uno de los aspectos relevantes a la hora de implementar un SGSI, es concientizar a las directivas y demás empleados, la importancia y responsabilidad de proteger la información como el activo más preciado que posee y que la perdida de ella podría causar el declive parcial o total de la empresa con una afectación económica, de identidad, de marca y por ende desminución de empleados.
interna sobre el SGC Recurso Humano Se contempla involucrar al recurso humano durante y después de la implantación del SGC Se contempla involucrar al recurso humano durante y después de la implantación del SGSI Se contempla involucrar al recurso humano durante y después de la implantación del SGA
Certificación
ISO 9001:2000
ISO 14001:2004
ISO/IEC 27001:2005
Fuente: El Autor

42
¿Cuánto tiempo se requiere para implantar un SGSI?
Dado que existen organizaciones que tienen por lo menos implementada algunas medidas de seguridad sobre sus activos y éstas a la vez cumple con la normativa ISO/IEC 27001, la implantación del SGSI llevaría alrededor de 6 meses. Pero si la empresa posee medianamente o por lo menos unas técnicas seguras de sus activos, además de la concientización de las directivas, esta podría tardar alrededor de un año.
¿Cuánto puede costar la implantación de un SGSI?
El costo de la implantación de un SGSI, depende de múltiples variables. Una de las variables es cuando la empresa la implementa pero a través de la contratación de terceros o entes externos que realizan todo el proceso. Otra variable es que dentro de la empresa existan empleados que poseen el conocimiento o en su defecto la organización los capacite para que posteriormente realicen la implantación. También se podría incluir como variable las herramientas que se utilicen para la implementación ya que existen actualmente múltiples sistemas de información y/o aplicativos que ayudan a desarrollar todo el proceso de manera más ágil. Para ello la versión de aplicaciones libres como e-pulpo permite su utilización sea de manera gratuita.
Por último se podría considerar, que el costo de la implantación de un SGSI, depende de la magnitud o tamaño de la empresa ya que entre más grande sea, pues los requerimientos serán mayores o simplemente tendría que hacer la implantación por áreas, factores, dependencias o departamentos según sea la estructura organizacional de la empresa.
¿Es necesario certificarme en la ISO/IEC 27001:2005?
El hecho de que la empresa no se certifique no supone perjuicio para ella, pero si desea competir en un mercado globalizado, marcar un posicionamiento en la empresa y ampliar su cobertura es necesario que lo haga. Ya que le permite crear en los clientes la confianza de estar en una empresa con un alto grado de protección de la información que manejan y de la información que mantiene de ellos.
Otra de las necesidades a considerar en que una empresa se certifique es obligarla a estar en mejoramiento continuo para ajustes y revaluación de su SGSI ya que el estándar lo exige para lograr mantener en el tiempo dicha certificación.

43
CAPITULO 3. ANALISIS DE RIESGOS
El análisis de riesgos es uno de los procesos más relevantes y prioritarios para la implantación de SGSI, por ser el procedimiento que permite analizar en forma metódica cada uno de los procesos, actividades y demás labores de la empresa que pueden estar en riesgo, así como determinar las necesidades de seguridad, las posibles vulnerabilidades y las amenazas a las que se encuentra expuesta. En tal sentido, el resultado que se obtiene de todo un proceso de análisis de riesgo es la información sobre el estado actual de la empresa en cuanto a sus niveles, controles de seguridad y los riesgos.
3.1 Lección 7: Proceso de identificación del riesgo
La identificación del riesgo en una empresa se realiza a través de una metodología apropiada. Actualmente, existen varias metodologías para realizar el análisis de riegos y su esencia se fundamenta en tres elementos importantes que son los activos, las amenazas y las vulnerabilidades como variables primordiales que se identifican y se relacionan entre sí, para determinar los riesgos. Ver figura 6. Los activos pueden tener vulnerabilidades que son aprovechadas por las amenazas, las cuales conlleva al riesgo inminente en la empresa. En este orden se describe de manera sucinta cada elemento.
Figura No. 6 Elementos del análisis de riesgos
Fuente: El autor
Activos: Los activos son todos los elementos que requiere una empresa u organización para el desarrollo de sus actividades misionales y las que serán tratadas durante el proceso de analisis de riegos. Los activos pueden ser físicos como servidores, equipos, cableados, entre otros y lògicos como aplicaciones, bases de datos, sitios web, entre otros.
Amenazas: Son todos aquellos hechos que pueden ocurrir en una empresa, perjudicando directamente los activos ya sea en el funcionamiento incorrecto o eliminación del mismo.
Vulnerabilidades: Son todas las debilidades de seguridad en la cual se encuentran los activos que se han identificado en el análisis y son suscetibles de amenazas para su daño o destrucción.

44
Entre las metodologías más utilizadas para realizar el análisis de riesgo a una organización se tienen Magerit, Octave y Mehari, todas cumplen con el mismo objetivo, su diferencia se determina en la forma de presentación de los resultados. Para el caso de estudio de este curso, seleccionaremos la metodología Magerit ya que los resultados del análisis de riesgo se pueden expresar en valores cualitativos y cuantitativos (valores económicos), lo cual facilita la toma de decisiones en materia de seguridad por parte de los directivos, al conocer el impacto económico que se podría presentar si la empresa no invierte en la implantación de un sistema de seguridad de la información y comunicaciones. Las demás metodologías las trabajaremos en el módulo de manera general.
3.2 Lección 8: Metodología MAGERIT
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica de España. Actualizada en 2012 en su versión 3. Esta metodología contempla diferentes actividades enmarcadas a los activos que una organización posee para el tratamiento de la información. A continuación se relacionan cada uno de los pasos que se deben contemplan en un proceso de análisis de riesgos, teniendo en cuenta un orden sistémico que permita concluir el riesgo actual en que se encuentra la empresa.
3.2.1 Paso 1: Inventario de Activos
Como se mencionó anteriormente, los activos son todos los elementos que una organización posee para el tratamiento de la información (hardware, software, recurso humano, etc.). Magerit diferencia los activos agrupándolos en varios tipos de acuerdo a la función que ejercen en el tratamiento de la información. A la hora de realizar el análisis de riesgo el primer paso es identificar los activos que existen en la organización y determinar el tipo. En la tabla No. 7 se relacionan cada tipo de activos.
Tabla No. 7 Relación de activos de seguridad de la información
Tipos de activos
Descripción Activo de información Bases de datos, documentación (manuales de usuario, contratos, normativas, etc.)
Software o aplicación
Sistemas de información, herramientas de desarrollo, aplicativos desarrollados y en desarrollo, sistemas operativos, aplicaciones de servidores etc. Hardware Equipos de oficina (PC, portátiles, servidores, dispositivos móviles, etc.)
Red
Dispositivos de conectividad de redes (router, swicth, concentradores, etc.)

45
Equipamiento auxiliar UPS,
Instalación
Cableado estructurado, instalaciones eléctricas. Servicios Conectividad a internet, servicios de mantenimiento, etc.
Personal
Personal informático (administradores, webmaster, desarrolladores, etc.), usuarios finales y personal técnico.
Fuente: El Autor.
El levantamiento de la información de los activos y la respectiva clasificación es la primera actividad que se debe realizar en un análisis de riesgos. Esta identificación se debe hacer en conjunto con las personas directamente responsables de manejar en la organización todo el sistema de información y comunicaciones.
Para profundizar en la metodología Magerit, en el siguiente enlace se encuentra los 3 libros que especifican en detalle las actividades que se deben desarrollar en el análisis de riesgos. Específicamente en el libro I, se encuentra todos los aspectos a considerar en la clasificación de los activos formando como especies de árboles o grafos de dependencia que permiten darle un nivel de relevancia a los activos que la organización o empresa posee. En esta clasificación se especifican:
 Activos esenciales
o información que se maneja
o servicios prestados
 Servicios internos
o que estructuran ordenadamente el sistema de información
 Equipamiento informático
o equipos informáticos (hardware)
o comunicaciones
o soportes de información: discos, cintas, etc.
 el entorno: activos que se precisan para garantizar las siguientes capas• equipamiento y suministros: energía, climatización, etc.
Mobiliario
 los servicios subcontratados a terceros
 las instalaciones físicas
 El personal
o usuarios
o operadores y administradores
o desarrolladores

46
3.2.2 Paso 2: Valoración de los activos
Cada activo de información tiene una valoración distinta en la empresa, puesto que cada uno cumple una función diferente en la generación, almacenaje o procesamiento de la información. Pero a la hora de valorarlos no sólo debemos tener en cuenta cuanto le costó a la empresa adquirirlo o desarrollarlo, sino que además debemos contemplar el costo por la función que ella desempeña y el costo que genera ponerlo nuevamente en marcha en caso de que éste llegase a dañarse o deteriorarse. Es por ello que se hace necesario tener en cuenta diferentes variables a la hora de darle valor a un activo. En libro I en la metodología Magerit que es la que actualmente estamos estudiando, expone que los activos se deben valorar de acuerdo 5 dimensiones de seguridad (confiabilidad, integridad, disponibilidad, autenticidad y trazabilidad). En el capítulo 1, vimos las 4 primeras dimensiones como pilares de la seguridad, pero no se contempló trazabilidad que la metodología incluye. Por tal razón, define 9trazabilidad (del inglés, accountability), que a efectos técnicos se traducen en mantener la integridad y la confidencialidad de ciertos activos del sistema que pueden ser los servicios de directorio, las claves de firma digital, los registros de actividad, etc.
La metodología Margerit contempla dos tipos de valoraciones, cualitativa y cuantitativa. La primera hace referencia al de calcular un valor a través de una escala cualitativa donde se valora el activo de acuerdo al impacto que puede causar en la empresa su daño o perdida, en consecuencia la escala se refleja en:
 Muy Alto (MA)
 Alto (A)
 Medio (M)
 Bajo (b)
 Muy bajo (MB)
En el libro III, “guía técnica”, en la página 6, se encuentra en detalle esta valoración. En cuanto a la valoración cuantitativa es necesario también que se realice una escala de valores que permita a la empresa estimar su costo que no sólo es el costo que tuvo inicialmente el activo sino teniendo en cuenta variables de valor inicial, costo de reposición, costo de configuración, costo de uso del activo y valor de perdida de oportunidad. En la guía técnica se explica esta valoración cuantitativa pero no en profundidad, por lo tanto se detalla los términos en que se podría valorar un activo en miles de pesos.  Valor de reposición
9 Metodología de análisis y gestión de riesgos de los sistemas de información . Libro I Método. Pagina. 25. Ministerio de Hacienda y Administraciones Públicas. España.

47
 Valor de configuración o puesta a punto  Valor de uso del activo  Valor de pérdida de oportunidad
De acuerdo a dicha valoración es preciso que se estime 5 escalas que podríamos asignar a cada activo de acuerdo a la valoración cualitativa dada. En la tabla 8, se relaciona la escala cuantitativa.
Tabla No. 8 Escala cuantitativa
Podemos presentar como ejemplo, la valoración del activo de una organización que podría ser el servidor de aplicaciones, donde su función es la de mantener el proceso de facturación distribuida de los productos en la organización. A Dicho activo, se podría considerar cualitativamente con un valor muy alto en la empresa por cuanto administra información sumamente importante en la empresa para cumplimiento de sus procesos diarios y/o misionales. En consecuencia y de acuerdo a la escala de valores cuantitativos se podría estimar su valor sobre los doscientos a trecientos millones de pesos, por el valor del uso o relevancia del activo, el tipo de información que guarda y genera diariamente, el valor de perdida de oportunidad de clientes por falla en los sistemas, valor que costaría reponer el equipo en restauración de copias de seguridad o adquisición de nuevo servidor, recuperación de información de la cual no se alcanzó a realizar copia antes del incidente de seguridad presentado, entre otros aspectos relevantes.
3.2.2.1 Dimensiones de Seguridad
Como se mencionó anteriormente, las dimensiones de seguridad que contempla la metodología Magerit son: Confiabilidad, integridad, autenticidad, disponibilidad y trazabilidad, el cual se puede profundizar cada una, en el Libro II: Catálogo de Elementos, en el capítulo 3 pagina 15. Para contemplar en la valoración de activos
Valoración cualitativa
Escala de valor cuantitativo expresado en millones
Valor cuantitativo Muy Alto (MA) > $ 200 300.000
Alto (A)
200 <valor> 100
$ 150.000 Medio (M) 100 <valor> 50.000 $ 50.000
Bajo (b)
50.000 <valor> 20.000
$ 20.000 Muy bajo (MB) 20.000 <valor> 10.000 $ 10.000
Fuente: El Autor.

48
cada una de estas dimensiones, es necesario definir unos criterios de valoración que nos permitan ubicar la posición en que se encuentra cada activo frente a cada dimensión. A continuación se relacionan los criterios que se podrían tener en cuenta para valorar los activos con respecto a cada dimensión de seguridad, ver tabla No. 9.
Tabla No. 9 Criterios de valoración de los activos VALOR CRITERIO
10
Daño muy grave a la organización
7-9
Daño grave a la organización
4-6
Daño importante a la organización
1-3
Daño menor a la organización
0
Irrelevante para la organización
Fuente: El Autor.
Con base a los criterios anteriores, se puede hacer una valoración cualitativa de cada activo en relación a las 4 dimensiones de seguridad contempladas en la metodología. En la figura 5, se ilustra un ejemplo de la herramienta Pilar, sobre la forma como se pueden valorar los activos con el nivel de dependencia, presentado en forma de árbol de acuerdo a las 4 dimensiones.
Figura No. 7 Ejemplo de valoración de activos de acuerdo a las 4 dimensiones de seguridad, herramienta Pilar
Fuente: Archivo de ejemplo de la herramienta Pilar.

49
3.2.3 Paso 3: Amenazas (identificación y valoración)
Existen actualmente múltiples amenazas que pueden afectar los activos de una empresa, por ello es importante identificarlas y determinar el nivel de exposición en la que se encuentra cada activo de información en la organización. Se considera una amenaza, a cualquier situación que pueda dañar o deteriorar un activo, impactando directamente cualquiera de las 4 dimensiones de seguridad. La ISO/IEC 13335-1:2004 define que una “amenaza es la causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización”.
3.2.3.1 Identificación de amenazas
Magerit, en el libro II, catálogo de elementos, presenta el catálogo de amenazas posibles que puede tener un activo de información. Las amenazas se clasifican en cuatro grandes grupos: Desastres naturales(N), de origen industrial (I), errores y fallos no intencionados (E), ataques deliberados o intencionados(A). Cada grupo de amenaza se representa por una letra, así mismo cada grupo presenta en forma específica los tipos de amenazas que se pueden presentar. A continuación se presenta el listado codificado de las posibles amenazas que se pueden presentar en cada uno de los grupos mencionados.
[N] Desastres naturales
 [N.1] Fuego
 [N.2] Daños por agua
 [N.*] Desastres naturales
[I] De origen industrial
 [I.1] Fuego
 [I.2] Daños por agua
 [I.*] Desastres industriales
 [I.3] Contaminación mecánica
 [I.4] Contaminación electromagnética
 [I.5] Avería de origen físico o lógico
 [I.6] Corte del suministro eléctrico
 [I.7] Condiciones inadecuadas de temperatura o humedad
 [I.8] Fallo de servicios de comunicaciones
 [I.9] Interrupción de otros servicios o suministros esenciales
 [I.10] Degradación de los soportes de almacenamiento de la información
 [I.11] Emanaciones electromagnéticas
[E] Errores y fallos no intencionados

Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos ojo normativa en colombia-202912531-modulo-sgsi-233003-listo

Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos ojo normativa en colombia-202912531-modulo-sgsi-233003-listo

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos ojo normativa en colombia-202912531-modulo-sgsi-233003-listo

Similar a Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos ojo normativa en colombia-202912531-modulo-sgsi-233003-listo (20)

Más de xavazquez

Más de xavazquez (20)

Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos ojo normativa en colombia-202912531-modulo-sgsi-233003-listo