Upload
helena-velez
View
25
Download
8
Embed Size (px)
DESCRIPTION
Guia de Buenas Practicas
Citation preview
GUADEBUENASPRCTICASDESEGURIDADDELAINFORMACINENCONTEXTOSDEMICRO,PEQUEASYMEDIANASEMPRESASDELA
REGIN.
GERARDOAYALAGONZLEZJULINALBERTOGMEZISAZA
UNIVERSIDADTECNOLGICADEPEREIRAFACULTADDEINGENIERASELCTRICA,ELECTRNICA,FSICAYDE
SISTEMASYCOMPUTACIN,PROGRAMADEINGENIERADESISTEMASYCOMPUTACIN
PEREIRA2011
GUADEBUENASPRCTICASDESEGURIDADDELAINFORMACINENCONTEXTOSDEMICRO,PEQUEASYMEDIANASEMPRESASDELA
REGIN.
GERARDOAYALAGONZLEZJULINALBERTOGMEZISAZA
MonografaparaoptaralttulodeIngenierodeSistemasyComputacin
Asesor:IngenieroJULIOCSARCHAVARROPORRAS
DocenteAcadmico
UNIVERSIDADTECNOLGICADEPEREIRAFACULTADDEINGENIERASELCTRICA,ELECTRNICA,FSICAYDE
SISTEMASYCOMPUTACIN,PROGRAMADEINGENIERADESISTEMASYCOMPUTACIN
PEREIRA2011
Notadeaceptacin
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________PresidentedelJurado
__________________________________Jurado
__________________________________Jurado
_________________________________Jurado
4
A Luis y Elicenia que me ensearon que la lucha es diaria y que no debe desistirse
en el logro de los propsitos trazados. Y a ti, Liliana, eterna compaera de viaje, que me enseaste que los sueos cambian en la manera
en que cambie nuestra forma de proyectarnos. G.A.
A Alberto que me enseo a no darme por vencido, y a Berenice, que me enseo a
Sin su amor, apoyo, ternura y paciencia
este logro no hubiera sido posible. J.G.
5
AGRADECIMIENTOS
MIprimeragradecimientoesaDios,puesmehabendecidoconunagranfamiliaquemehaenseadoasortearcadaobstculoyaperseverarparalaconsecucinde mis sueos en segundo lugar, agradezco a esos docentes que con susparticularidadesaportaronamiprocesodeformacin,especialmentealIngenieroCsarChavarro,quienfuenuestroapoyoyguaeneldesarrollodesteproyecto.Agradezco tambinaJulinGmez,compaeroy hermanoconelquecompartgrandese inolvidablesmomentosde la formacinprofesionaly, finalmente,perono menos importante, le agradezco a mi esposa Liliana que con su toque dealegra, seriedad y decisiva disposicin para hacer las cosas,me acompaentodoesteproceso.AdicionalmentequieroagradeceraJ.J.Hincapiqueconsusextraasocurrenciaslogrhacermeaprenderydisfrutardelprocesodeinvestigacin.
G.A.Agradezco infinitamenteaDIOS, porque realizantemispropiosojos sealesyprodigios grandes, y me ha permitido vivir hasta el da de hoy. A mi familia,soporte, descanso y amor vivido en mi existencia. A Julio Cesar Chavarro,maestro,amigoygua,conlaprendnosolocantidadsinocalidad.AGerardoAyala, amigo y hermano en arduas tareas, en la vida y en el aprendizaje queconstruimosjuntos.AJ.JHincapi,porquecomparticonmigounaformadiferentedeentenderlainvestigacin,yporltimo categorastrasnochos,meensearonaverelmundodeunamaneradiferente.
J.G
CONTENIDO
Pg.
1. CAPITULOI:GENERALIDADESYDEFINICINDELPROBLEMA......................... 131.1. DEFINICINDELPROBLEMA................................ ................................ ...........131.2. JUSTIFICACIN................................ ................................ ................................ 141.3. OBJETIVOS................................ ................................ ................................ .......161.3.1. OBJETIVOGENERAL................................ ................................ ............................ 161.3.2. OBJETIVOSESPECFICOS................................ ................................ .................... 161.4. DELIMITACIN................................ ................................ ................................ ..171.5. MARCOREFERENCIAL................................ ................................ ..................... 171.5.1. ANTECEDENTES................................ ................................ ................................ .171.5.2. TENDENCIASDETECTADAS................................ ................................ ..................211.6. MARCOCONCEPTUAL................................ ................................ ..................... 241.6.1. SEGURIDADINFORMTICA................................ ................................ ................... 251.6.2. SEGURIDADDELAINFORMACIN................................ ................................ .........291.7. MARCOTERICO................................ ................................ ............................. 351.7.1. ADMINISTRACINDELASEGURIDAD................................ ................................ ....361.7.2. ANLISISDERIESGOS................................ ................................ ......................... 371.7.3. POLTICASDESEGURIDAD................................ ................................ ................... 381.8. DIRECCIONAMIENTO................................ ................................ ....................... 391.9. DISEOMETODOLGICO................................ ................................ ................411.9.1. METODOLOGA................................ ................................ ................................ ...41
2. CAPITULOII:CONSTRUCCINYAPLICACINDELMODELO............................ 442.1. PLANDEANLISIS................................ ................................ ............................ 442.2. SEGUNDAITERACINDELMODELO................................ .............................. 502.3. TERCERAITERACINDELMODELO................................ ............................... 52
3. CAPITULOIII:RESULTADOS,CONCLUSIONESYRECOMENDACIONES...........533.1. RESULTADOSOBTENIDOS................................ ................................ ..............533.2. CONCLUSIONES................................ ................................ ............................... 533.3. RECOMENDACIONES................................ ................................ ....................... 55
4. REFERENCIASBIBLIOGRFICAS................................ ................................ ..........56
7
LISTA DE FIGURAS
Pg.
Figura1.Firmadigital:Envodeunmensajeseguro................................. ...................... 25
Figura2.SeguridaddelaInformacin................................. ................................ ............30
Figura3.SbanadeConceptos................................. ................................ ..................... 45
Figura4.ManualdeRespuestaaIncidentesdeS.I................................ ......................... 59
Figura5.Mapadeprocedimientos:ManualdeRespuestaaIncidentesdeS.I................65
Figura6.PlandeAccindeS.I................................ ................................ ........................ 76
Figura7.MapadeprocedimientosPlandeAccindeS.I................................ ................83
Figura8.AnlisisyGestindeRiesgosdeS.I................................ ................................ 89
Figura9.Mapadeprocedimientos.AnlisisyGestindeRiesgosdeS.I........................ 97
Figura10.EstrategiasdeCapacitacinyComunicacin................................ ...............111
Figura11.Mapadeprocedimientos.PlandeCapacitacin................................. ..........116
Figura12.GuaderespuestaaIncidentesdeS.I................................ .......................... 119
Figura13.Mapadeprocedimientos.GuadeRespuestaaIncidentesdeS.I................125
Figura14.ManualdeprocedimientosparalaAdministracindelaS.I.......................... 127
Figura15.PlandeAccindeS.I................................ ................................ .................... 133
Figura16.MapadeprocedimientosPlandeAccindeS.I................................ ............136
Figura17.AnlisisyGestindeRiesgosdeS.I................................ ............................ 148
Figura18.Mapadeprocedimientos.AnlisisyGestindelRiesgo............................... 152
Figura19.GuadeRespuestaaIncidentesdeS.I................................ ......................... 163
Figura20.Mapadeprocedimientos.GuadeRespuestaaIncidentesdeS.I................169
Figura21.Mapadeprocedimientos.PlandeCapacitacin................................ ...........174
8
LISTA DE TABLAS
Pg.
Tabla1.Formatodeprocedimientos................................ ................................ ................43
Tabla3.Metodologa:ManualdeRespuestaaIncidentesdeS.I................................ .....63
Tabla4.MetodologaPlandeAccindeS.I................................ ................................ ....81
Tabla5.MetodologaAnlisisyRestindeRiesgosdeS.I................................ .............94
Tabla6.Adicin.MetodologaAnlisisyGestindelRiesgodeS.I............................... 110
Tabla7.MetodologaPlandeCapacitacin................................. ................................ ..115
Tabla8.MetodologaGuadeRespuestaaIncidentes.EventosdeSeguridad.............120
Tabla9.MetodologaGuadeRespuestaaIncidentes.GestindeIncidentes..............122
Tabla10.MetodologaGuadeRespuestaaIncidentes.SeguimientoRevisinyAuditora124
Tabla11.MetodologaGuadeRespuestaaIncidentes.DocumentacinyRetroalimentacin.124
Tabla12.MetodologaPlandeAccindeS.I................................ ................................ 134
Tabla13.MetodologaAnlisisyGestindeRiesgosdeS.I................................ .........149
Tabla14.MetodologaGuadeRespuestaaIncidentes.EventosdeSeguridad...........164
Tabla15.MetodologaGuadeRespuestaaIncidentes.GestindeIncidentes............166
Tabla16.MetodologaGuadeRespuestaaIncidentes.SeguimientoRevisinyAuditora168
Tabla17.MetodologaGuadeRespuestaaIncidentes.DocumentacinyRetroalimentacin..168
Tabla18.MetodologadelasEstrategiasdeCapacitacin................................. ...........173
LISTA DE ANEXOS
Pg.ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIN .................................................................................................................... 58
Objetivo...................................................................................................................58
Delmanual..............................................................................................................60
Procedimientosdegestin......................................................................................61
Metodologa.............................................................................................................63
Mapadeprocedimientos.........................................................................................65
Especificacindeprocedimientos...........................................................................66
ANEXO B: GRUPO FOCAL ................................................................................................ 73
ANEXO C: PLAN DE ACCIN DE SEGURIDAD DE LA INFORMACIN, ANLISIS Y GESTIN DE RIESGOS DE SEGURIDAD DE LA INFORMACIN .................................. 75
Objetivo...................................................................................................................77
Procedimientosdegestin......................................................................................77
Metodologaplandeaccindeseguridaddelainformacin..................................81
Mapadeprocedimientos.........................................................................................83
Especificacindeprocedimientos...........................................................................84
Anlisisygestinderiesgosdeseguridaddelainformacin.................................88
Objetivo...................................................................................................................88
Aspectolegal...........................................................................................................88
Delmanual..............................................................................................................90
Procedimientosdegestin......................................................................................92
Metodologaanlisisygestinderiesgosdeseguridaddelainformacin............94
Mapadeprocedimientos.........................................................................................97
Especificacindeprocedimientos...........................................................................98
ANEXO D: GRUPO FOCAL FASE II ................................................................................ 106
ANEXO E: ELIMINACIN DE ACTIVOS DE INFORMACIN Y ESTRATEGIAS DE CAPACITACIN Y COMUNICACIN PARA LA IMPLEMENTACIN DEL MODELO .. 108
Eliminar/dardebajaactivosdeinformacin.......................................................108
Estrategiadecapacitacinycomunicacin..........................................................112
Objetivo.................................................................................................................112
10
Delplan.................................................................................................................112
Procedimientosdegestin....................................................................................113
Metodologaplandecapacitacinycomunicacinparalaimplementacindelmodelo...................................................................................................................115
Mapadeprocedimientos.Plandecapacitacin....................................................116
Especificacindelprocedimiento..........................................................................116
ANEXO F: GUA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIN. ................................................................................................................. 118
Alcance:.................................................................................................................118
Responsabilidad:...................................................................................................118
Metodologa.Guaderespuestaaincidentesdeseguridaddelainformacin....120
Eventosdeseguridad(fasepre-incidente)...........................................................120
Gestindeincidentes(fasedeatencindeincidencia)........................................122
Disposicinfinal(fasepost-incidente)...................................................................123
Seguimientorevisinyauditoria...........................................................................124
Documentacinyretroalimentacin......................................................................124
Mapadeprocedimientos.......................................................................................125
ANEXO G: MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN..................................126
Delmodelo............................................................................................................126
Plandeaccindeseguridaddelainformacin....................................................128
Objetivo.................................................................................................................128
Metodologaplandeaccindeseguridaddelainformacin................................134
Objetivo.................................................................................................................134
Mapadeprocedimientos.......................................................................................136
Especificacindeprocedimientos.........................................................................137
Anlisisygestinderiesgosdeseguridaddelainformacin...............................141
Objetivo.................................................................................................................141
Aspectolegal.........................................................................................................141
Procedimientosdegestin....................................................................................142
Metodologaanlisisygestinderiesgosdeseguridaddelainformacin..........149
Mapadeprocedimientos.......................................................................................152
Especificacindeprocedimientos.........................................................................153
Guaderespuestaaincidentesdeseguridaddelainformacin..........................162
11
Alcance:.................................................................................................................162
Metodologa.Guaderespuestaaincidentesdeseguridaddelainformacin....164
Eventosdeseguridad(fasepre-incidente)...........................................................164
Gestindeincidentes(fasedeatencindeincidencia)........................................166
Disposicinfinal(fasepost-incidente)...................................................................167
Seguimientorevisinyauditoria...........................................................................168
Documentacinyretroalimentacin......................................................................168
Mapadeprocedimientos.......................................................................................169
Estrategiasdecapacitacinycomunicacin........................................................170
Objetivo.................................................................................................................170
Delplan.................................................................................................................170
Procedimientosdegestin....................................................................................171
MetodologaEstrategiasdeCapacitacinyComunicacin..................................173
Mapadeprocedimientos.Plandecapacitacin....................................................174
Especificacindelprocedimiento..........................................................................175
12
GLOSARIO DE TRMINOS ACTIVOSDEINFORMACIN:todosloscomponentesde informacinquetienenvalor para la organizacin, todo lo que es posible realizar, concluir, visualizar yprocesardelainformacin.AMENAZA:accinoeventoquepuedeocasionarconsecuenciasadversasenlosdatos.ATAQUE:tipoynaturalezadeinestabilidadenlaseguridad.AUTENTICIDAD:se tratadeproporcionar losmediosparaverificarqueelorigendelosdatoseselcorrecto,quienlos ycuandofueronenviadosyrecibidos.CABALLODETROYA:programaqueseactivaenunsistemainformticoylodejaexpuestoaaccesosmalintencionados.CONFIDENCIALIDAD: propiedad de prevenir la divulgacin de informacin asistemasopersonasnoautorizadosDISPONIBILIDAD: caracterstica de la informacin de encontrarse SIEMPRE adisposicin del solicitante que debe acceder a ella, sea persona, proceso osistema.HARDWARE:terminoeninglesquehacereferenciaacualquiercomponentefsicotecnolgico,queinteractadealgnmodoconunsistemacomputacional.INCIDENTE:sedefinecomouneventoquesucededemanerainesperadayquepuedeafectar laConfidencialidad, IntegridadyDisponibilidadde la informacinyademsdeestolosrecursostecnolgicos.INFORMACIN: conjunto de datos que toman sentido al integrarse concaractersticascomunes.INFORMTICA: la informtica es la ciencia que tiene como objetivo estudiar eltratamientoautomticodelainformacinatravsdelacomputadora.
INTEGRIDAD:propiedadquebuscamantener losdatos libresdemodificacionesnoautorizadas.ISO: International Organization for Standardization, Entidad internacionalencargadadefavorecerlaestandarizacinenelmundo.
englobaa todotipodeprogramao cdigodecomputadorcuya funcinesdaarunsistemaocausarunmalfuncionamiento.Estegrupopodemosencontrartrminos como: Virus, Troyanos (Trojans), Gusanos (Worm), Dialers, Spyware,Adware,Hijackers,Keyloggers,FakeAVs,Rootkits,BootkitsyRogues.POLTICAS:actividadorientadaenformaideolgicaalatomadedecisionesdeungrupoparaalcanzarciertosobjetivos.Accinelegidacomoguaenelprocesodetomadedecisionesal poneren practica oejecutar lasestrategias, programas yproyectosespecficosdelnivelinstitucional.
,porunmediofsico(cable)odemanera inalmbricadondesecomparteinformacin,recursosylosservicios.RIESGO: la probabilid
.SEGURIDAD:puedeafirmarsequeesteconceptoqueprovienedellatnsecuritasquehacereferenciaalacualidadpeligro, dao o riesgo. Algo seguro es algo cierto, firme e indubitable. Laseguridad,porlotanto,esunacerteza.SGSI:SistemadeGestindelaSeguridaddelaInformacin.
hacereferenciaa laposibilidaddeserheridoorecibiralgntipodelesin,esunadebilidadenlosprocedimientosdeseguridad,diseo, implementacin o control interno que podra ser explotada (accidental ointencionalmente)yqueresultaenunabrechadeseguridadounaviolacindelapolticadeseguridaddesistemas.
RESUMEN EstedocumentosecentraenlaaplicacindelanormaISO/IEC27001enatencinalosnumerales4.2.2ImplementacinyOperacindeunSistemadeGestindelaSeguridaddelaInformacin(porsussiglas,SGSI),identificandolasaccionesde:lagestinapropiada,prioridadesyresponsabilidadesdelagerenciaenlacreacindepolticasquegaranticenelcumplimientodelosobjetivosdelSGSI,ademssehace referenciaa lacreacindeplanesdeaccinparael tratamiento, anlisisygestin de los riesgos implementandoprocedimientos que brindan una atencinoportuna a los incidentes de seguridad de la informacin, acompaados deestrategiasdecapacitacinyformacinparalosintegrantesdelaorganizacin.
DESCRIPTORES Gestin, implementacin, incidente, Norma, ISO, operacin, polticas,procedimientos,riesgos,seguridad,SGSI.
ABSTRACT This paper focuses on the implementation of ISO/IEC 27001, in response toparagraphs 4.2.2 "Implementation and Operation of Information SecurityManagementSystem(ISMS)",identifyingactionsabout:appropriatemanagement,resources, priorities and executive responsibilities in policy making, ensuringcompliancewith theobjectives of the ISMS.Also refers to thecreationofactionplans for treatment, analysis and risk management, implement procedures thatprovide a timely attention to incidents of information security, accompanied byeducationandtrainingformembersoftheorganization.
KEY WORDS Management, implementation, incident, Standard, ISO, operation, policies,procedures,risks,security,ISMS.
13
1. CAPITULO I: GENERALIDADES Y DEFINICIN DEL PROBLEMA
1.1. DEFINICIN DEL PROBLEMA
Hoyendanosepuedeconcebirunaorganizacinaislada totalmentede la red,siempreseestncompartiendodatosenredesinternasoatravsdelagranred,Internet,permitindolesalosusuariosdisposicindeinformacinentodolugaryen todomomento.Losavances tecnolgicosquevienenenconstanteevolucin,lastelecomunicacionesquesehanconvertidoenunaherramientamuyimportantepara las organizaciones y el crecimiento organizacional se han encargado depropiciarvulnerabilidadesparalasmismas.Las organizaciones dependen de los datos almacenados en sus sistemas deinformacinyesalldondelaseguridaddelainformacinseconvierteenunfactornecesarioenlosprocesosquesedesarrollanalinterioryexteriordelamisma.Esmuy importante considerar adems, que en el desarrollo organizacional seinvolucranfactorescomorecursoshumanos,procesosy tecnologa factoresquepropician vulnerabilidades con respecto a la seguridadde la informacin.Puedeafirmarse que este fenmeno ofrece mayores retos en la micro, pequea ymedianaempresa.Esenestesectordondeexistenmenoresrecursosparainvertirenelcampoinformtico,sinembargo,estasorganizacioneshanincursionadoentecnologaswebhacindosevulnerablesenestemismocampo.Lacarenciadeestrategiasparaunaadministracinseguradelainformacin,estacompaadadelafaltadeconocimientosobrelosestndaresinternacionalesydelasnormasquemediantesuaplicacinayudanaprevenirprdidasdeinformacinyaevitarlaexistenciadeprocesosvulnerables.Elevidentembitodecompetitividad,yelavancetecnolgico,enconsonanciaconelprecariodesarrolloadministrativo,organizacionalytecnolgicodelasempresasregionales, demuestran la necesidad de brindar mecanismos que les permitanmitigarsuvulnerabilidadencuantoalaadministracindelainformacin.
14
1.2. JUSTIFICACIN
Impedir hoy la ejecucin de operaciones no autorizadas sobre un sistemainformtico se asume de vital importancia, puesto que sus efectos conllevan adaos sobre los datos, y comprometen la confidencialidad, la autenticidad eintegridaddelainformacinorganizacional. LanormaISO/IEC27001ofreceunestndardecalidadencuantoal tratamiento
Seguridadde la(Numeral 4.2.2: "implementacin y operacin de un sistema de gestin deseguridaddelainformacin"),queestableceloslineamientosquelaorganizacindebeseguirencuantoalcumplimientodenormasquegarantizanlaseguridaddesuinformacin,lasaccionesoportunascuandosepresentanincidentes,adems,brindar al personal indicado un plan para el tratamiento de los riesgos y darsolucina losposibles incidentesentreotrosconestos,seplantealanecesidaddeposeerunaguaen lasorganizacionesquepermitaatenderel tratamientodelosriesgos. Alrespecto,enlaRevistaSistemasN115sehacelapresentacindelaEncuestaNacional Seguridad Informtica en Colombia: Tendencias 2010 (pg. 26-49)dondeplantealasfallasquesetienenencuantoalaseguridaddelainformacin. Entreellasidentifica:
La conciencia en seguridad de la informacin y el uso de buenas prcticas: Mostrando que an existe cerca de una tercera parte de lasempresasobjetivoquenosonconscientesde lanecesidaddeproteger lainformacinquemanejan.
Intrusiones o incidentes de seguridad identificados en el ao: Semuestracomoestosincidentessehantratadoysehanlogradomonitorearhastaun70%,buscandounareaccinmsoportunafrenteaunpanoramaquenotienefin.Elaumentoenincidentesdetipofinancieroyelmalwareentrminosgeneralessehanpropagadodegranforma,estoinvitaafortalecer
15
los escenarios de proteccin de la informacin, y controlar los incidentesparadisminuirsuefectodentrodelasorganizaciones.
Tipos de fallas de seguridad: Se evidencia que los virus, accesos noautorizadosa laweb,caballosdeTroya,softwarenoautorizadoyfugadeinformacinsonlasfallasmsfrecuentesenColombia.
Identificacin de las fallas de seguridad informtica: Aqu se puedeevidenciarque lasmejoresherramientaspara la identificacindeposiblesfallas de seguridad son los registros de auditora, sistemas de archivos yregistros de firewalls, tambin los sistemas de deteccin de intrusos ynotificacionesporpartedeempleadosoalgncolaborador.
Por otro lado, segn "Network Attacks: Analysis of Department of JusticeProsecutions" [1999 - 2006], estudio realizado por Trusted Strategies y PhoenixTechnologies,Ltd.,seevidenciaque:
Soloel33%delaswebtienenswadecuadodedeteccindeintrusiones. Soloel51%delossitioswebcifranlastransaccionesdeinternetquedebenserseguras.
Soloel27%delasorganizacionesinviertenmsdel1%delpresupuestoenseguridaddelainformacin.
El43%delosataquesesrealizadosporallegadosalaorganizacin: 22%Empleadosantiguos 14%Empleadosactuales 7%Proveedoresoclientes.
El costo medio de recuperacin a un incidente es de 1.5 Millones deDlares.
Ahorabien,sienpasesindustrializadosconhistorialencontroldelainformacinalinteriordesusorganizacionesydondesepuedesuponerqueexisteunaculturamayorenseguridaddelainformacinsetienenestosresultados,enColombiaseconvierte en un reto la aplicacin de buenas prcticas que garanticen unaadecuadaadministracindelaseguridaddelainformacin.
16
Por razones como las anteriormente mencionadas, se hace necesario elaboraruna gua de buenas prcticas de seguridad de la informacin en contextos demicro, pequeas y medianas empresas de la regin, que propicie un ptimotratamientosegurodelainformacinutilizadaenlaorganizacinyquesirvacomomodelodebuenasprcticasdeseguridaddelainformacin,fundamentadaenlanormaISO27001.
1.3. OBJETIVOS
1.3.1. Objetivo General Elaborar una gua debuenas prcticas que permita la aplicacin de unplandeaccinparaeltratamientodelosriesgoseimplementarcontrolesparadetectarydarrespuestaoportunaa incidentesdeseguridaddela informacinencontextosde micro, pequeas y medianas empresas de la regin, segn la norma ISO27001.
1.3.2. Objetivos Especficos
Elaborar una gua documental que establezca una metodologa para laconstruccin de un plan de accin para el tratamiento de riesgos deseguridaddelainformacin.
Establecerlosfundamentosparaelaborarestrategiasdeformacinytomadeconcienciaparael fortalecimientode lascompetenciasdelpersonaldecualquierempresaqueasumalaaplicacindelagua.
Suministrar una gua documental que plantee una metodologa paradetectar y dar respuesta oportuna a los incidentes de seguridad de lainformacin.
17
1.4. DELIMITACIN
El proyecto que se plantea en el presente documento se enfoca a brindar unaherramientametodolgicaquesirvacomomodeloparalaaplicacindeunplandeaccinparaeltratamientodelosriesgoseimplementarcontrolesparadetectarydarrespuestaoportunaaincidentesdeseguridaddelainformacinencontextosde micro, pequeas y medianas empresas de la regin, segn la norma ISO27001.Deigualforma,propiciarlosfundamentosparaelaborarestrategiasdeformaciny toma de conciencia, que desarrolle competencias para la aplicacin de laherramienta, tambinbrindarunaguadocumental queplanteeunametodologaque permitan detectar y dar respuesta oportuna a los incidentes de seguridadtomando como base la norma ISO 27001, haciendo referencia a modelar losprocesos de buenas prcticas de seguridad de la informacin en las micros,pequeasymedianasempresasdelaregin. 1.5. MARCO REFERENCIAL 1.5.1. Antecedentes
suficientes para protegerlo. Cada vez se modernizan ms los medios parasuministrar, retroalimentar e intercambiar informacin, pero de forma paralela (einclusive mayor), se aumentan los medios para boicotear, plagiar o extraerinformacindeformafortuita. En estemarco, el presente trabajo da cuenta de la dinmica de la seguridad einseguridadenlainformacin,losmediosdeflujo, losprocesosyprocedimientosquesehandesarrolladoparaqueestainformacinnosoloseagilsinotambinsegura, a la vez que pretende modelar los procesos que fcilmente cualquier
18
organizacinpuedaasumirparalaproteccindelainformacindeunaformafcilyalamedidadesusnecesidades. El avance en el manejo y procesos de seguridad de la informacin se puedemonitorear de mltiples formas, sin embargo para el presente desarrolloinvestigativo,sehaadoptadoelseguimientoalestablecimientopaulatinotantodeunmarcolegalnacionaleinternacional,comoeldesarrollodenormastcnicasdecertificacindecalidad. Las leyes de cada pas son la respuesta a problemticas o falencias frente aaspectos puntuales, aunque en algunos pases desarrollados, las normas seanticipan, puesto que cuentan con entidades legislativas modernas quemonitorean los fenmenos mundiales para adelantarse a esas realidades quepodrn afectarlos tanto positiva como negativamente. En Colombia de formalamentable la legislacinen lamayora de las ocasionesacta comopaliativoosolucin emergente, en el caso especfico a la legislacin sobre seguridadinformtica, se puede evidenciar que de manera tmida se ha generadonormatividadalrespecto. EnColombialosprimerosvestigiosdenormatividadsobrelaseguridadinformticanoseestablecieronen formadirectaal tema informtico,sinoa losaspectosdepropiedadintelectual,lacualserefierealascreacionesdelamente:invenciones,obrasliterariasyartsticas,ascomosmbolos,nombreseimgenesutilizadasenelcomercio. Lapropiedadintelectualsedivideendoscategoras:a)lapropiedadindustrial,queincluye las patentes de invenciones, las marcas, los diseos industriales y lasindicacionesgeogrficasyb)losderechosdeautor. EnesteaspectosepuedenestablecercomoparmetroiniciallaLey23de1982lacualestipulaellineamientoparalaproteccindederechosdeautor,sinembargo,
cientficas y artsticas gozarn de proteccin para sus obras. Tambin protegesta leya los intrpretesoejecutantesy losproductoresde fonogramasya los
contempladeformaliteraleltemainformtico.
19
Elsegundopuntode referencia jurdicaal respectoeselDecreto1360de1989,
desarrollos dentro de los aspectos cubiertos por la legislacin vigente sobrederechosdeautor. DeigualformaseencuentranleyesydecretosqueregulanlosderechosdeAutor,algunas con determinaciones explicitas sobre la informtica y otras con marcojurdicosobreel temadepropiedad intelectual:Ley44de1993,Decreto460de1995,Decreto162de1996,Ley544de1999,Ley565de2000,Ley603de2000,Ley719de2001. Otro elemento que se debe tener en cuenta y que constituye estamisma lneanormativa, es la legislacin sobre propiedad industrial, all se puede encontrarnormatividadNacionale internacional,comolaDecisin486delaC.A.N.yenlalegislacinColombianaelDecreto2591de2000,ylaLey178de1994. AsmismosehandefinidounaseriedeNormas,quedictaminanlacalidaddelaseguridad informtica, definiendo comonorma, unmodelo, unpatrn,ejemploo
cas que debeposeer un objeto y los productos que hande tener una compatibilidad para serusadosanivelinternacional. Enelmercadoexistendiferentestiposdenormas,sinembargoenelmbitolocalse ha adoptado el sistema de las normas ISO (International Organization forStandardization) que es la entidad internacional encargada de favorecer laestandarizacinenelmundo. Estas normas han ido evolucionando paulatinamente, y de all han surgido unavariadaynumerosagamanormativa,lacualseconocecomola familiaISO. Las series de normas ISO relacionadas con la calidad constituyen lo que sedenominafamiliadenormas,queabarcandistintosaspectosrelacionadoscon lacalidad:
20
ISO 27000: Contiene trminos y definiciones que se emplean en toda laserie27000.Laaplicacindecualquierestndarnecesitadeunvocabularioclaramentedefinido.
ISO27001:Es lanormaprincipal de la serie y contiene los requisitosdelSistema de Gestin de Seguridad de la Informacin. En su Anexo A,enumera en forma de resumen los objetivos de control y controles quedesarrolla la ISO 27002:2005 para que sean seleccionados por lasorganizacioneseneldesarrollodesusSGSI.
ISO27002:Desdeel1deJuliode2007.EsunaguadebuenasprcticasquedescribelosobjetivosdecontrolycontrolesrecomendablesencuantoaSeguridaddelaInformacin.Noescertificable.
ISO27003:ConsisteenunaguadeimplementacindeSGSIeinformacinacerca del uso del modelo PDCA (Plan, Do, Check, Act) y de losrequerimientosdesusdiferentesfases.
ISO27004:EspecificalasmtricasylastcnicasdemedidaaplicablesparadeterminarlaeficaciadeunSGSIydeloscontrolesrelacionados.
ISO27005:ConsisteenunaguadetcnicasparalagestindelriesgodelaSeguridaddelaInformacinysirve,portanto,deapoyoalaISO27001yalaimplantacindeunSGSI.
ISO27006:Especifica los requisitos para la acreditacindeentidadesdeauditora y certificacin de Sistemas de Gestin de Seguridad de laInformacin.
ISO27007:ConsisteenunaguadeauditoradeunSGSI.
ISO27011:Consisteenunaguadegestindeseguridaddelainformacinespecficaparatelecomunicaciones.
21
ISO27031:Consisteenunaguadecontinuidaddenegocioencuantoatecnologasdelainformacinycomunicaciones.
ISO27032:Consisteenunaguarelativaalaciberseguridad.
ISO27033:Esunanormaconsistenteen7partes:gestindeseguridadderedes, arquitectura de seguridad de redes, escenarios de redes dereferencia, aseguramiento de las comunicaciones entre redes medianteGateways, acceso remoto, aseguramiento de comunicaciones en redesmedianteVPNsydiseoeimplementacindeseguridadenredes.
ISO27034:Consisteenunaguadeseguridadenaplicaciones.
ISO27799:Esunestndarparalaseguridaddelainformacinenelsectorsalud.
ElpresentetrabajoinvestigativoseencuentraenmarcadoenlanormaISO27001,bajoloslineamientosdeimplementacinyoperacindeunSistemadeGestindeSeguridaddelaInformacin.
1.5.2. Tendencias Detectadas
Respecto a esta temtica es importante tener en cuenta los estudios que harealizado la Asociacin Colombiana de Ingenieros de Sistemas, pues estainstitucinsemantienealavanguardiaenlastemticasquetienequeverconelmanejo de la informacin y para este caso concreto, la seguridad que se debetenerconellaasentoncesnosencontramosconlapresentacindelaEncuestaNacional Seguridad Informtica en Colombia: Tendencias 2010 1 donde seevidencianlossiguientesresultados: 1ALMANZA JUNCO, Ricardo Andrs, Revista SistemasN 115, pg. 26-49. Artculo:Encuesta nacional Seguridad informtica en Colombia: Tendencias 2010. Extrado del sitio webhttp://www.acis.org.co/index.php?id=1490Septiembrede2010.
22
steestudio longitudinal, realizadoentre losaos2002y2009, tuvoencuentadiferentes categoras, como la demografa (empresas a las que iban dirigida laencuesta), presupuestos (que semanejan en tales empresas que propendan almejoramientodelaseguridaddelainformacin),fallasdeseguridad,herramientasyprcticasdeseguridad,polticasdeseguridady,finalmente,elcapitalintelectual.Acontinuacinseexpondrnlasprincipalesdealgunosapartados. a. Demografa.Identificaelementoscomolazonageogrfica,elsectoryeltamaodelaorganizacin,responsabilidadyresponsablesdelaseguridad,yporltimolaubicacindelaresponsabilidadenlaorganizacin.Entrelosparticipantesdesteestudioseencuentragranparticipacindelsectorbancario,endonde laSuperintendenciaFinancieradeColombiahadesarrolladopautasparaasegurarlainformacinparalosusuariosdelsistemabancario,tambindelsectoreducativoygobiernodondeseevidencialanecesidaddecontarconunadirectrizentemasdeseguridad de la informacin. Otro aspecto importante a resaltar es que laseguridaddelainformacinsehaconvertidoenunelementoclaveparalamediaempresa,formalizandosusestrategiasdenegocio.Paralagranempresasetratadeuntemadelagestindelaorganizacindadoquelasregulacionesinternasytendencias internacionales establecen referentes quenopuedenser ignorados.Finalmente, se evidencia que el cargo de Director del Departamento desistemas/Tecnologa ha tenido un aumento significativo, se puede ver que laseguridad de la informacin continua en aumento, pero se vuelve necesariocoordinar los procesos de negocio con las reas de seguridad y de tecnologaparaas realizarpropuestascon finesnoestrictamente tecnolgicosparaasnolimitar laparticipacindeestosen lasdecisionesdenegociooestrategiasde laorganizacin.b. Presupuestos.Losresultadosmuestranlatendenciadela inversinenseguridadconcentradaen lazonaperimetral,en lasredes ysuscomponentes,ascomolaproteccindedatoscrticosdelaorganizacin,porotroladohayunapredisposicin a la no concientizacin y entrenamiento del usuario final. Con lainformacinexpuestasepuededecirqueseevidenciauna inversinvariableenseguridad de la informacin, afirmando que en nuestro pas no se ha logradogenerarunaconcientizacinencuantoalanecesidaddetenerpolticasdirigidasa
23
laproteccindelainformacinsinembargo,unaspectopositivoaresaltaresqueenelao2009,segeneraalasempresaslanecesidaddedestinarmsrecursosalaseguridaddesuinformacin,estodelamanodelacantidaddenormativasyregulacionesalrededordelaindustrianacional,quemotivastainversin.Estasinversiones estn generalmente desarrolladas por el sector de la banca y lasempresasdedicadasalastelecomunicaciones,mostrandoasquelaseguridaddelainformacinnoesuntemaexclusivodelosinformticos,sinoquerequieredelaformacindeunequipomultidisciplinarioqueintegrelosdiferentesnivelesdelaorganizacinylosdiferentestiposdeorganizaciones. c. Herramientas y Prcticas de Seguridad. Se evidencia comopreocupante que poco ms de la tercera parte de las empresas no prestanatencin a las prcticas de seguridad y que an, teniendo a disposicin algunaherramientaquebrindeciertoniveldeseguridad,nohacencontrolesadecuadossobre ella y sus efectos ni una vez al ao. Por otro lado, se encuentra que lasherramientas ms usadas por las empresas en pro de la seguridad de lainformacin son antivirus, contraseas, firewalls tanto de hardware como desoftware,VPN/IPSecyProxiesenmayorporcentajeyotros,enmenorproporcincomolosonlasfirmasdigitales,smartcards,biomtricos,sistemasdeprevencindeintrusos,monitoreodebasesdedatos,entreotros. d. Polticas de Seguridad. Manifiesta que solo cerca de la cuarta parte de lasempresas tienen tales polticas en ejecucin, mientras las restantes o bien estndesarrollando tales polticas o sencillamente no han invertido sus recursos en hacerloestodebidoa,principalmente,segnelestudio,alpocoentendimientodelaseguridaddela informacinya la inexistenciadeunapolticadeseguridad, loquefinalmente llevaacuestionar la concientizacin que realizan las empresas para lograr que susmiembrosentiendanydesarrollencomportamientosquepropendanpor laseguridad.ParafinalizarsehaceimportanteresaltarquelaNormaISO27001esadoptadaporcercadelamitadde las empresas como gua para la adopcin de buenas prcticas en seguridadinformtica. e. Capital Intelectual. Muestra la tendencia de las empresas con respecto a lacontratacinonodeprofesionalesrelacionadosconelcampodeingenieradesistemasycomputacinparaelmanejode la informacinydesignarenellos laresponsabilidaddesalvaguardarla.Aquseevidenciaquecercadel60%delasempresastienenentreunoycincopersonasparaelmanejodeesteimportanteactivoparalaorganizacin.
24
1.6. MARCO CONCEPTUAL
Enelpresente trabajo investigativo,esnecesariogenerarunmarcoquepermitadefinirconceptosquesonrelevantesparaeltemadeseguridaddelainformacin.Comosepercibir a continuacin se handefinido 3 conceptos fundamentales asaber: seguridad informtica, seguridad de la informacin e inseguridad de lainformacin. La necesidad de preservar y custodiar de manera efectiva y adecuada lainformacin al interior de una organizacin, yms an, en la transmisin de lamisma, es un tema que se convierte en un requisito funcional dentro de laspolticas organizacionales es un factor determinante para la credibilidad de laorganizacin frente a sus clientes y usuarios, y un paso de adelanto hacia laexcelenciaenlacalidaddesusprocesos. Elriesgoenlainformacinhaaumentadoamedidaquestayanoescontroladaen un solo lugar como lo era un sistema centralizado para las organizacionesahoralainformacinsedistribuyedetalformaqueseencuentraenvarioslugarescomo lo son sedes o sucursales, por sta razn se desconoce qu informacinpuedeseralmacenadaenpuestosespecficosdetrabajo,quemuchasvecessonusadoscomoequipospersonalesenlasorganizaciones. Tcnicamenteesimposiblelograrsistemasinformticoscientoporcientoseguros,"El nico sistema realmente seguro es aquel que est desconectado de la lnea elctrica, incrustado dentro de un bloque de concreto, encerrado hermticamente en una habitacin revestida de plomo y protegido por guardias armados y an as, se puede dudar"2, pero buenas prcticas de seguridad evitan posibles daos yproblemasquepuedenocasionar las incidenciasdeseguridadde la informacinenlaorganizacin. Al hablar de seguridad en trminos de informtica deben tenerse en cuenta 2conceptosquedefinentcnicamentesuaplicacin:
2GMEZVIEITES,lvaro., Enciclopedia de la Seguridad Informtica,Alfa omegaGrupoeditor,Mxico,PrimeraEdicin,2007
25
1.6.1. Seguridad Informtica
Laseguridadinformticaesunrecursoquenosevalorarealmente,debidoasuintangibilidad,lasmedidasdeseguridadenlainformacinnocontribuyenaagilizarlosprocesosen losequipos,porelcontrarioproducenunefectoadversoaste,provocandounareduccinenelrendimientodestosylasaplicaciones,yaqueserealizanprocesosadicionalesalosquenormalmenteseefectan,porejemploenel envo de datos por una red, no solo se deben procesar los datos para serenviados,sinoqueademsdesteprocedimientosellevanacabootrasaccionescomoencriptacindestosmensajes.Para hacer ms descriptiva esta problemtica de re-procesos se explicar acontinuacinelmtododelafirmadigital.Ver figura 1.Figura 1. Firma Digital: Envo de un mensaje Seguro.
Fuente:ElaboracinPropia,basadoenGMEZVIEITESlvaro,2007,Enciclopediadela
seguridadinformtica,Capitulo14,FirmaElectrnica.
26
Cuandosedeseaemitirunmensajeconunnivelaltodeseguridad,lamejorformaesutilizarlafirmadigital,mtodocriptogrficoqueconsisteenasociarlaidentidaddeunapersonaaunmensajeparagarantizarquenovaaseralteradoduranteelenvo y adems de esto asegurar la autenticidad del mismo, garantizando aldestinatarioqueelmensajefuecreadoporquindicesersuremitente.Estemtodoconsisteen:
Creacindelafirmadigital. Encriptacindelmensajeyenvo. Recepcindelmensajeseguro. Desencriptacindelmensajeylafirmadigital. Verificacindelaautenticidaddelmensajeydelafirmadigital.
Porotrolado,cuandonoseaplicanmedidasdeseguridad,elmtodoconsisteen:
Creacindelmensaje Envodelmensaje Recepcindelmensaje.
Debido a la cantidad de procesos adicionales,muchas empresas no recurren aestosmtodosdeseguridaden la informacinyaquesoncostososen tiempoydinero, involucrando ms software y hardware dentro de sus procesosempresariales.Tambin se puede decir que la seguridad informtica es una disciplina querelacionadiversastcnicas,aplicacionesydispositivosencargadosdeasegurarlaintegridadyprivacidaddelainformacindeunsistemainformticoysususuarios.Como lo cataloga la norma ISO7498 l una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organizacin
Las medidas y controles que aseguren la confidencialidad, integridad y disponibilidad
27
de los activos incluyendo hardware, software, firmware y la informacin que es procesada, almacenada y comunicada 3
Cualquier medida que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica cuyos efectos puedan conllevar daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema4 Acontinuacinsehace referenciaacercade losobjetivosquesedebencumplirporlaseguridadinformtica5: Objetivos de la seguridad informtica:
Minimizar y gestionar los riesgos, y detectar los posibles problemas yamenazasalaseguridad.
Garantizar la adecuada utilizacin de los recursos y de aplicaciones delsistema.
Limitar lasprdidasyconseguir laadecuada recuperacindel sistemaencasodeunincidentedeseguridad.
Cumplirconelmarcolegal yconlosrequisitos impuestospor losclientesensuscontratos.
Paralograrestosobjetivossedebencontemplar4planosdeatencin:
3INFOSECGlorssary2000,pg.13.4GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad Informtica, Alfa omega Grupoeditor,Mxico,PrimeraEdicin.Pg.4.5GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad Informtica, Alfa omega Grupoeditor,Mxico,PrimeraEdicin.Pg.8.
28
Plano humano:
Sensibilizacinyformacin. Funciones,obligacionesyresponsabilidadesdelpersonal. Controlysupervisindelosempleados.
Plano tcnico:
Seleccin,instalacin,configuracinyactualizacindesolucioneshardwareysoftware.
Criptografa. Estandarizacindeproductos. Desarrollosegurodeaplicaciones.
Plano Organizacional:
Polticas,normasyprocedimientos. Planesdecontingenciayrespuestaaincidentes.
Plano Legislativo:
Cumplimientoyadaptacinalalegislacinvigente. La seguridad informtica se enfoca en la proteccin de la infraestructuracomputacional y todo lo relacionado a esta, (proteger los activos informticos),aplicndosesobre: LA INFORMACIN: Establecer criterios por los administradores,para evitar queusuariosexternosynoautorizadospuedanaccederaellasinautorizacin.Evitarque la informacinseautilizadamaliciosamente para obtener ventajas deellaoque seamanipulada, ocasionando lecturas erradas o incompletas de lamisma.Asegurar el acceso a la informacin en el momento oportuno, incluyendorespaldos de lamisma en caso de queesta sufradaos o prdidaproducto deaccidentes,atentadosodesastres.LA INFRAESTRUCTURA COMPUTACIONAL: Velar que los equipos funcionenadecuadamente y prever en caso de falla planes de robos, incendios, boicot,desastres naturales, fallas en el suministro elctrico y cualquier otro factor queatentecontralainfraestructurainformtica.
29
LOS USUARIOS:Establecernormasqueminimicenlosriesgosalainformacinoinfraestructura informtica. Estas normas incluyen horarios de funcionamiento,restriccionesaciertos lugares,autorizaciones,denegaciones,perfilesdeusuario,planesdeemergencia,protocolos,asminimizandoel impactoenel desempeodelosfuncionariosydelaorganizacinengeneral.La seguridad informtica para una organizacin se debe concebir como unprocesoynocomounproductoquesepuedecompraro instalar,se tratadeunproceso continuo, donde se involucran la estimacin de riesgos, prevencin yatencina los incidentesde laseguridadde la informacin,ademsdeestounafirme retroalimentacin de las actividades realizadas, para as garantizar unefectivo tratamiento a los incidentes en los que la seguridad informtica de laorganizacinestcomprometida.
1.6.2. Seguridad de la Informacin
La norma ISO/IEC 17799 define seguri La preservacin de su confidencialidad, su integridad y su disponibilidad .Ver Figura 2.
30
Figura 2. Seguridad de la Informacin.
Fuente:NormaISO/IEC17799
Dependiendodeltipodeinformacinmanejadaylosprocesosrealizadosporunaorganizacin, la seguridad de la informacin podr concederms importancia agarantizar la confidencialidad, la integridado la disponibilidadde sus activos deinformacin6.Porlotalraznesmuyimportanteidentificarlanecesidaddelaorganizacinparaas garantizar los pilares de la seguridad de la informacin y enfatizar en lanecesidadadecuadaparadichainstitucin.Eltrmino"seguridaddelainformacin",Significalaproteccindelainformacinyde los sistemas de informacin del acceso, uso, divulgacin, alteracin,modificacin o destruccin no autorizada con la finalidad de proporcionarIntegridad,ConfidencialidadyDisponibilidad7,involucrandolaimplementacinde
6GMEZVIEITES,lvaro.2007,EnciclopediadelaSeguridadInformtica,AlfaomegaGrupoeditor,Mxico,PrimeraEdicin.Pg.5
7CornellUniversityLawSchool,Extradodelsitiowebhttp://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html,Octubrede2010.
31
estrategias que cubran los procesos en donde la informacin es el activoprimordialparalaorganizacin.Estas estrategias deben tener como punto de partida el establecimiento depolticas, controles de seguridad, tecnologas y procedimientos para detectaramenazas que puedan explotar vulnerabilidades y que pongan en riesgo dichoactivo,esdecir,queayudenaprotegerysalvaguardartantoinformacincomolossistemasquelaalmacenanylaadministran.Para ello se establece un SGSI (Sistema de Gestin de la Seguridad de laInformacin):queesaquellap comprende la poltica, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestin de la seguridad de la informacin en una organizacin 8.Esimportantemencionarquelaseguridadesunprocesodemejoracontinua,portal razn las polticas y controles que se establecen para la resguardo de lainformacindebenrevisarseyadecuarseparalosnuevosriesgosqueaparezcan,paraasestablecerlasaccionesquepermitanreducirlosysiesposibleenelmejordeloscasoseliminarlos.Sidentrode ladinmicadelnegociodeunaorganizacin, la informacindesus
e credibilidad, y pierde negocios que puedendesembocarenladesaparicindelamisma.Aspues,protegerlainformacinesunrequisitofuncionaldelnegociodeunaorganizacin.Existenvariosmecanismosparacumplirnivelesdeserviciofrentealospilaresdela seguridad de la informacin, que se implementan mediante infraestructuratecnolgica (servidores de correo, de bases de datos, web, uso de clster dediscos,equiposenaltadisponibilidadaniveldered,servidoresespejo,replicacinde datos, redes de almacenamiento (SAN, Storage Area Network), enlacesredundantes,etc.).EstosmecanismossonllamadosServiciosdeSeguridad,cuyoobjetivoesmejorar laseguridadde lossistemasdeprocesamientodedatosy la
8GMEZVIEITES,lvaro.2007,EnciclopediadelaSeguridadInformtica,AlfaomegaGrupoeditor,Mxico,PrimeraEdicin,Pg.18.
32
transferencia de informacinen lasorganizaciones, contrarrestar los ataquesdeseguridad y proporcionar la confidencialidad, la integridad y sobre todo ladisponibilidaddelosservicios.Desde el punto de vista de los servicios de seguridad, se definen 3 factoresimportantesfrentealaseguridaddelainformacin,loscualesfuerontomadosdeGMEZ VIEITES lvaro, Enciclopedia de la seguridad informtica, AlfaomegaEditores,2007.
NO REPUDIO:Proporcionaproteccincontra la interrupcin,porpartedealguna de las entidades implicadas en la comunicacin, de haberparticipadoentodaopartedelacomunicacin.
NO REPUDIO DE ORIGEN:Elemisornopuedenegarqueenviporqueeldestinatario tiene pruebas del envo, el receptor recibe una pruebainfalsificabledelorigendelenvo, locualevitaqueelemisor,denegar talenvo,tengaxitoanteeljuiciodeterceros.
NO REPUDIO DE DESTINO: El receptor no puede negar que recibi elmensaje porque el emisor tiene pruebas de la recepcin. Este servicioproporcionaalemisorlapruebadequeeldestinatariolegtimodeunenvo,realmentelorecibi,evitandoqueelreceptorloniegueposteriormente.
Endefinitiva,elnorepudioevitaqueelemisoroelreceptornieguelatransmisindelmensaje.Una condicin que posee la informacin es la portabilidad (envo, recepcin ytraslado de la misma), entonces, desde el punto de vista de protocolo deseguridadencomunicacionessedefinen3aspectos:
PROTOCOLO: Cdigo de procedimientos o reglas estandarizadas paracontrolarelflujoylacompatibilidadenelenvoyrecepcindeinformacin.
CRIPTOGRAFA(cifradodedatos):Mtodoporelcualsetransposicionauocultaunmensajehastaquellegaasudestino.
33
AUTENTICACIN:Tcnicadevalidacinde identificacinquecompruebaque el envo, recepcin o modificacin de informacin no la hace unimpostor.
Identificar las vulnerabilidades dentro de la infraestructura tecnolgicaorganizacional es tambin un componente vital dentro de la seguridad de lainformacin,desdeelpuntodelavulnerabilidaddelainformacin,sedefinen:
AMENAZA:Accinoeventoquepuedeocasionarconsecuenciasadversasenlosdatos.
ATAQUE:Tipoynaturalezadeinestabilidadenlaseguridad. Otros2aspectosquedeben tenersemuyencuentaaldefinir laseguridadde lainformacinsonsusparticularidadesysuscualidades:LaadministracindelainformacinestbasadaenlatecnologastapuedeserY/Otenerlossiguientesatributos:
Confidencial:Informacincentralizadaydealtovalor.
Divulgada:Malutilizada,robada,borradaosaboteada. Estasparticularidadesafectanladisponibilidadylaponenenriesgo. Cualidadesdelainformacin:
Critica:Indispensableparalaoperacindelaorganizacin.
Valiosa:Consideradacomoactivoparalaorganizacin.
Sensitiva:Debeserconocidaporlaspersonasautorizadas.
34
Riesgo:Todotipodevulnerabilidadesyamenazasquepuedenocurrir sinprevioaviso.
Seguridad:Formadeprotegerlainformacinfrenteariesgos. Pilaresdelaseguridaddelainformacin9:
CONFIDENCIALIDAD DE LA INFORMACIN Y DE LOS DATOS:Propiedaddeprevenirladivulgacindeinformacinasistemasopersonasnoautorizados.
INTEGRIDAD DE LA INFORMACIN Y DE LOS DATOS: Propiedad quebuscamantenerlosdatoslibresdemodificacionesnoautorizadas.
DISPONIBILIDAD DE LA INFORMACIN Y DE LOS DATOS:CaractersticadelainformacindeencontrarseSIEMPREadisposicindelsolicitante que debe acceder a ella, sea persona, proceso o sistema.(Prevencindelataquededenegacindelservicio).
Por otro lado, dentro del temade seguridad de la informacin se debe tambinconceptualizarsucomplemento,lainseguridaddelainformacin:Solo se concibe la inseguridad de la informacin desde el punto de vista deseguridad de la informacin, como ente adjunto: si bien la seguridad de lainformacin puede significarse como todos los mecanismos en pro desalvaguardarlaintegridad,laconfidencialidadyladisponibilidaddelainformacin,la inseguridad de la informacin no tiene una concepcin antagnica sino
la manera estratgica en como
9ISO/IEC17799:2005
35
las organizaciones establecen un escenario futuro de los riesgos sobre la 10
Es necesario entonces reconocer, que slomirando las posibilidades de falla yvulnerabilidad, es posible mejorar la prctica misma de la administracin deriesgosyladefinicindemecanismosdeseguridadycontrol.Buscar formas detalladas para la gestin de los riesgos en los que cae lainformacin, y suministrar herramientas eficientes que permitan detectar y darrespuestaoportunaalosincidentesdeseguridaddelainformacinatravsdelaimplementacin de una gua de seguimiento y revisin de los procesos delsistema, es un punto neurlgico del presente proyecto, cuya solucin sedictaminar durante su ejecucin, ofreciendo mecanismos que permitanparalelamente tener presente los escenarios de inseguridad de la informacinposiblesyasuvezlosmediosdeseguridadaplicablesenelmbito.
1.7. MARCO TERICO
Desdeunapticatericapropiamentedicha(sintenerencuentalanormatividadylosestndaresmencionadosenloscaptulosanteriores),sehaescritomuypocosobre la seguridad de la informacin y su papel desempeado dentro de laorganizacin por eso, en stemarco se pretendemostrar los aportes que hanenriquecidolosestndaresdeprcticasdeseguridaddelainformacin,ydesdelaperspectivadelosautores,esbozarunposibledireccionamientodelanormaISO27001,desdeelpuntodevistadelaaplicacindelaguadebuenasprcticasdeseguridaddelainformacin-propuestoydesarrollado-enelproyecto.10CANO, Jeimy J., 2005, Revista Sistemas N 92, artculo Aprendiendo de la inseguridad
informtica, extrado del sitio web http://www.acis.org.co/index.php?id=457 el 15 septiembre de
2010.
36
1.7.1. Administracin de la Seguridad
Lasbuenasprcticasdeadministracinindicanqueelestablecimientoclarodelamisin de una organizacin es indispensable para que todos los funcionariosubiquensuspropiosesfuerzosylosdireccionenenbiendelamisma.[Glueck,W. Business Policy and Strategic Management -Hill,1984],
ademspermite elaborar polticas operativas que facilitan el cumplimiento de lamisin de la organizacin, que pueden entenderse como reglas que hay queseguirobligatoriamente.Es usual que la alta gerencia cometa errores en cuanto a la seguridad de lainformacindesusorganizaciones,comoporejemplosuponerquelosproblemasdesaparecensise ignoran,noentendercuntodinerovalesu informacinyquetantodependelaorganizacindeella,nolidiarconlosaspectosoperacionalesdelaseguridad,noentenderlarelacinqueexisteentrelaseguridadylosproblemasdefuncionamientoymarchadelaorganizacin,entreotros.Si laadministracinempresarial propone una misin para direccionar estratgicamente la
sesolucione las falencias, ubicando la seguridad informtica al mismo nivel que
otras actividades sustantivas de la organizacin, elaborando un plan de seguridad informtica clara, promulgando polticas que se derivan de dicha misin y determinando que mecanismos se requieren para implementar esas polticas 11.
11 La Seguridad de la InformacinLimusaNoriegaEditores,2007.Pg.215.
37
1.7.2. Anlisis de Riesgos
Unpasointermedioentrelaadministracindelaseguridad, -quedesembocaenlageneracin del plan estratgico de seguridad (misin de seguridad)- , y laspolticas de seguridad, es el anlisis de riesgos de la informacin dentro de laorganizacin es aqu donde "se analiza una metodologa prctica para el desarrollo de planes de contingencia de los sistemas de informacin, que comprende: la identificacin de riesgos, calificacin del impacto del mismo si se hiciera realidad, evaluacin del impacto en los procesos crticos y la creacin de estrategias de contingencias"12.LasbuenasprcticasdeInseguridaddelainformacinjueganunpapelimportanteen este punto, puesto que no se puede proteger la informacin, si no se sabecontra qu hay que protegerla. Es necesario entonces, identificar cualquieraspecto que ponga en riesgo los pilares de la seguridad de la informacin, ascomo definir e implantar la defensa necesaria para mitigar y/o eliminar susposiblesconsecuencias.Salvaguardar la confidencialidad, la integridad, laautenticidady ladisponibilidadde la informacin es la caracterstica que en el fondo define el modelo que sequiere disear en el presente proyecto. Aunque estas caractersticas soportan
No todas deben estar vigentes simultneamente, ni tienen todas la misma importancia en todas las circunstancias 13 . Existen casos de aplicacin en que en ocasiones es msimportante la confidencialidad (acciones militares por ejemplo) que ladisponibilidad,otroscasosenquelainformacindebeserautntica(inversiones),etc.Debedeterminarseenqucasos,culesdelaspropiedadessonnecesariasoimportantes.
12NIMARAMOSJonathanD,de informacin empresarial y de negocios 13 La Seguridad de la InformacinLimusaNoriegaEditores,2007.Pg.26.
38
La seguridad de la informacin, como disciplina, trata precisamente de establecer metodologas para determinar cules de las 4 caractersticas son deseables en alguna circunstancia y de encontrar la forma de lograr que se apliquen 14.Enelprocesodeanlisisderiesgosdela informacinsepuedendiferenciardosmdulos: a) La Evaluacin del riesgo, orientado a determinar los sistemas deinformacin y sus componentes, que pueden ser afectados directa oindirectamente por agentes externos, y b) LaGestin del riesgo, que implica laidentificacin, seleccin, aprobacin y administracin de las defensas paraeliminar,oreduciranivelesaceptables, losriesgosevaluados.Enconclusin,supapel es reducir la posibilidad de queunaamenazaocurra, si ocurre, limitar suimpacto, eliminar la vulnerabilidad existente y retroalimentar para futuraseventualidades.
1.7.3. Polticas de Seguridad
Posterior al establecimiento de lamisin de seguridad, se requiere redactar laspolticasenlasquesebasarelcumplimientodelamisin.La importanciadela
no se tiene un marco de referencia general de seguridad, puesto que permiten definir los procedimientos y herramientas necesarias del sistema de seguridad 15.Losbeneficiosdelestablecimientodelaspolticasdeseguridaddelainformacinayudan a tomar decisiones sobre otros tipos de poltica empresarial (propiedadintelectual,destruccinde informacin,etc.), queal final decuentas redundaenuna estructura de calidad de servicio, seguridad en el servicio y dispone unambiente propicio para suministrar una gua, ya que si ocurre un incidente, laspolticas constituyen un marco referencial sobre quin hace qu acciones queminimicenelimpactodelosmismos.
14Ibdem,Pg.27
15DALTABUITGODASEnrique,VZQUEZJosdeJess,LaSeguridadde la Informacin.Pg.
221,LimusaNoriegaEditores,2007.
39
1.8. DIRECCIONAMIENTO
LafortalezadelanormaISO/IEC27001enmateriadegestindeseguridaddelainformacin,adadehoynadielaponeenduda,dehechodesdesupublicacin,esta norma ha empezado a ser parte fundamental, al menos en teora, delfuncionamientoadministrativodelasorganizaciones.Sinembargo,estanormaestatodavalejanadealcanzarelgradodeimplantacinfuncionalanivelmundial,quesihanalcanzadootrosestndaresdegestin,comoporejemploelestndarqueestablecelosrequisitosdeunsistemadegestindelacalidad:ISO9001.EstallasuperioridaddelaISO9001frentealasISO/IEC27001,comparadasenniveldeimplantacinquelanormaISO9001sesaledelmbitoadministrativode"certificacin" y se plantea en un plano de requerimiento funcional de cualquierempresaenelmundo.As,sinoseestcertificadoenISO9001,seestfueradelmercadomundial.Analizandolaevolucindeesanorma(ISO9001),esposibleinferirunaevolucinsimilar en la ISO/IEC 27001, ya que, aunque no en el sentido estricto, o decumplimiento obligatorio, se empiezan a ver signos significativos de suimplantacinenlaorganizacincomosedescribe:EnPer,laISO/IEC27002:2005(Guadebuenasprcticas.Nocertificable)esdeusoobligatorioen todas las institucionespblicasdesdeelao2005, fijandoasunestndarparalasoperacionesdelaAdministracin16.En Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunossectores,eselcasodelosoperadoresdeinformacin,quedeconformidadconelDecreto1931de2006,sehallansujetosalcumplimientodelestndar.
16OficinaNacionaldeGobiernoElectrnicoeInformtica ONGEIPer,Extradodelsitioweb
http://www.ongei.gob.pe/alos5dasdelmesdeoctubrede2010.
40
Desercontinuoesteavance, laseguridadde la informacinseconvierteenunanecesidad, cuyos procesos deben ser certificados no slo para mejorar dichaseguridad, sino tambin para ampliar sus resultados y, por supuesto como sehaba anotado antes, para figurar de manera competitiva en un mercado queconocelaimportanciadelaseguridaddelosactivosdeinformacin.Como lo dice Manuel Daz San Pedro en su artculo ISO 2700117: Hacia uncumplimientoobligatorio?"Desde luego, un punto de apoyo muy slido hacia esa evolucin lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el ttulo "Improving Business Results and Mitigating Financial Risk". Segn los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en Gobierno, Gestin de Riesgos, y Cumplimiento en Tecnologas de la Informacin (GRC IT), superan la media de ingresos en un 17% frente a las organizaciones que no lo implantan, que se traduce en un 13,8% ms de beneficios para la organizacin Sinduda,conestosantecedentes,ISO27001seguiravanzandoenimportanciayposicindemanerasimilaralestndardecalidadISO9001encuantoagradodeinstitucin y exigencia, tanto para la empresa privada como para la pblica y lasociedadengeneral.
17DAZSANPEDRO,Manuel.,2009,ISO27001:Hacia un cumplimiento obligatorio?,extradodel
sitiowebhttp://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimiento-
obligatorio.htmNoviembrede2010
41
1.9. DISEO METODOLGICO Este diseo fue validado y aprobado por el grupo consultor especializado en latemtica de Seguridad Informtica. Estos lo evaluaron en ocasiones diferentesrealizando ajustes a la herramienta que el modelo plantea dandoretroalimentacionesy proporcionandounvaloragregadoen cadasocializacinyretroalimentarrealizadadurantelainvestigacin.1.9.1. Metodologa INDAGACIN INICIAL SepretendeconocerlosdiferentesmodelosexistentesparalaimplementacindelSGSI desarrollados por diferentes autores y en diferentes pases con el fin deampliarlainformacinyperspectivasdelsistema.ELABORACIN DE CATEGORAS Con la informacin obtenida en la indagacin inicial se definirn puntosdivergencia y convergencia, de all se establecern los componentes msimportantesdelaguaparalograrelestablecimientodelascategorasprincipalesqueconformarnlamisma.CONSTRUCCIN DE DIAGNOSTICO INICIAL Conloselementosanterioresseelaborarundocumentoqueesbozalosaspectospreliminaresdelaguadebuenasprcticasdeseguridaddelainformacin.PRESENTACIN DE RESULTADOS GruposfocalesconpersonalespecializadoLa informacin obtenida y procesada se presentar a un grupo de expertos,conformado por especialistas en el tema para retroalimentar los hallazgos yobtenernuevainformacinrelevanteparalaconstruccindelagua.
42
RETROALIMENTACIN DEL MODELO Con los resultados obtenidos se construye un modelo, constituido segn elInstitutoAndaluzdeTecnologaporprocedimientosestratgicosydeapoyo18,loscuales son retroalimentados para posteriores verificaciones, y seguirn elsiguienteformatoVer Tabla 1:
18Guaparaunagestinbasadaenprocesos,InstitutoAndaluzdeTecnologa,ISBN84-923464-7-
7,Pg.22.
43
Tabla 1. Formato de Procedimientos
CDIGO VERSIN TIPO
NOMBRE
RESPONSABLE
TIEMPO ESTIMADO/FRECUENCIA
FORMATOS DE REFERENCIA
OBJETIVO
ESPECIFICACIN DEL PROCEDIMIENTO
ACTIVIDADES
1.
2.
3.
4.
5.
DESCRIPCIN
44
2. CAPITULO II: CONSTRUCCIN Y APLICACIN DEL MODELO
2.1. PLAN DE ANLISIS
Elpresentetrabajosedesarrollen5fasesomomentos:I. INDAGACIN INICIAL: Se pretende conocer los diferentes modelos
existentespara la implementacindebuenasprcticasdeseguridadde lainformacindesarrolladaspordiferentesautoresyendiferentespasesconel fin de ampliar la informacin y perspectivas de la gua. Para ello serealizunaexhaustivaindagacindetrabajos,escritos,normas,ysepudoestablecer que no existe una amplia documentacin en la temtica, sinembargoesteproyectoesresultadodela indagacinterica,conceptualynormativadeltema.
II. ELABORACIN DE CATEGORAS: Con la informacin obtenida en losantecedentes y las tendencias se definieron puntos de divergencia yconvergencia, de all se establecieron los componentes ms importantesdelsistemaparalograrelestablecimientodelascategorasprincipalesqueconformarnlagua.Ver figura 3
46
Enlostresconceptosincialesquesehabandeterminadocomoejesestructuralesdelapresenteinvestigacin:seguridadinformtica,seguridaddelainformacineinseguridad de la informacin, se hallan inmersos elementos constitutivos y endiversoscontextostantonormativos,legalesytecnolgicos,sinembargodesdeelpuntodeencuentrode losautoresdelpresente trabajoseestablecenelementosintegrantesconceptualescomo:
DE LA PREOCUPACIN DEL AGUJERO EN LA CAPA DE OZONO A LOS
Si sepudieradefinir la administracincomo todos losprocesosqueconllevenaplanificar, organizar, dirigir y controlar ciertos recursos con el nimo de obtenerbeneficios, debera poderse adherir a esa definicin, el establecimiento de losroles que pondran enmarcha dichos procesos. El quin, el qu y el cmo, sevuelvenpilaresfundamentalesdelengranajequemueveelsistemaquebuscaelbeneficiomencionado.Formas,maneras, ymtodosdeadministracinexistenmuchos,perosiaestosdiversos mtodos asignamos u
informacinpuedetomarseentoncescomolaformaenquesetratanlosdatosqueproporcionan la facilidad de tomar decisiones de algn tipo y que generanconocimiento para planear,organizar y dirigir procesos.Si aesta planeacinde
puede descubrirse que esta informacin es susceptible a variables diversas delentorno,queincidenenella,ylatransformanenunapotencialbaseestratgicadeadelanto y crecimiento empresarial, o en un apabullante muro de perdida yquiebras. Y como sucede esto?. Es sencillo: dependiendo de la intencin que
Esnecesarioentoncesplantearbarrerasquepermitanverificarenciertamedida
direccionamiento trae, y decidir si esa variable incide positiva o negativamentesobrelainformacin.
47
Esta necesidad de implantacin de barreras, de mtodos y estrategias, dedireccionamientos y verificaciones se llama Administracin de seguridad de lainformacin,yesuntemquetocaprofundamentelosobjetivosdeesteproyecto. Imaginemosquetodoloplanteadoenlosprrafosanteriores,seasimilaaloquesucede en la capa de ozono que se encuentra en la estratosfera,aproximadamentede15a50Kmsobre lasuperficiedelplaneta.Elozonoesuncompuestoqueactacomounpotentefiltrosolar,evitandoelpasodeunapartedelaradiacinultravioleta(UV)alasuperficiedelatierra.LaradiacinUVpuedeproducir dao en los seres vivos, dependiendo de su intensidad y tiempo deexposicin estosdaospuedenabarcar desde irritacin a la piel, conjuntivitis ydeterioroenel sistemadedefensas,hasta llegaraafectarel crecimientode lasplantas, con las posteriores consecuencias que esto ocasiona para el normaldesarrollodelavidaenlatierra. En este caso el conocimiento organizacional de la empresa, y todo sudireccionamiento estratgico estara representado por la vida en la tierra y lagerenciaseralacapadeozono,quegarantizalaseguridaddelainformacin,asmismo losaspectos financieros, la imagencorporativa y la calidez percibidaporlosclientesseranlosvaloressusceptibles(informacin)aposiblesdaosseverosque surgen a raz de una sobre exposicin a los factores de riesgo,desencadenandoelanormaldesarrollodelasactividadesdelnegocio.Porellolaadministracindelaseguridadesunpotentefiltro,queevitaelpasodematerialesnocivosysuimplementacinenelnegocioesimprescindibleydevitalimportanciaparaelmismo. Sinembargosiguiendoelmismoejemplo,elhuecoenlacapadeozono,construye
establecer mecanismos que posibiliten la prevencin y reaccin frente a losdiferentesacontecimientos.Lossistemasdeproteccinmsusados,hantomadocomobaselafamiliadenormasISO27000delacualserealizunasntesiseneltem5.1 ANTECEDENTES.
48
DE LAS ARMAS ATMICAS A LAS ARMAS EN TOMOSAtravsdelahistorialaconcepcindeseguridadhaidoevolucionandoaliniciolaseguridad estaba dirigida a proteger la propia vida y garantizar el bienestar deesta, para ello, se construyeron armaduras, escudos y otros artefactos queproteganelcuerpoylavidadelosindividuosconlaevolucindelassociedadesyelsurgimientodelaexplotacinmercantillaseguridadsetrasladaaprotegerlosbienes,productosyrecursosporcualquiermedio.Sinembargo,atravsdetodalaevolucinsocialsiempreseha tenido informacinconaccesorestringidoparatodoslosmiembrosdelasociedad,informacinquesehaguardadosigilosamenteen secreto y que es de vital importancia para el desarrollo de las actividadesadministrativas,esteltimoapunteeselquedaorigenaunaseriedeinstitucionesestatales que se dedican a la recoleccin y a salvaguardar la informacinimportanteactualmenteestasconductassegurasconrespectoalainformacinsehantrasladadoaotrotipodeorganizacionesenbuscadeprotegerloselementosdecompetenciaqueposeen.Ahora bien, todo este proceso ha requerido un aprendizaje catastrfico paramuchas empresas y organizaciones, pues lo que se hace en la actualidad estbasadoenloserroresdelpasado,esdeestaformaquehoyendasecuentaconuna gran variedad de herramientas paramantener la informacin segura y conesta a la organizacin. Sin embargo, tener a disposicin tales herramientas nogarantiza la proteccin absoluta de la informacin y la organizacin, pues esnecesario recordar que talesherramientassonmanipuladasporpersonas y queestaspuedencometererrores,por loque laconcienciacinde laspersonasquecomponen laorganizacin respectoaprcticascatalogadascomosegurasdebeconsiderarsecomounpilarenelestablecimientodeunSGSITeniendo un modelo de seguridad a seguir como algo primordial para laorganizacinpuedenevitarseprdidasexcesivasdedinero, ademsdeesto losdaos a la informacin pueden llegar a ser devastadores para la organizacin,tomandomedidaspreventivassepuedengarantizarescenarioscontroladosparaconservar la integridad, disponibilidad y confidencialidadde la informacin de laorganizacin.
49
III. CONSTRUCCIN INICIAL DEL MODELO:Comosehabaplanteadoenelanteproyecto,conloselementosobtenidosenlafasesanterioresseelaboruninforme(VerAnexoA)quedetallaloshallazgosencontradosreferentesalaSeguridaddelaInformacin,deigualformaseplanteaelmodeloInicialllamadoManualde respuestaa incidentes,dondesehace referenciaa lagestin apropiada de la seguridad de la informacin priorizando lasiniciativasmsimportantesparacumplirconlosobjetivosymetasrespectoa esta en la organizacin, con el fin de establecer una gua de manejosobrelosproyectosdeseguridad.
IV. PRESENTACIN DEL MODELO A GRUPO FOCAL: Para esta fase dedesarrollo se plante la valoracin del modelo por parte de un grupo deconocedores (Ver Anexo B), la informacin obtenida y que soporta laconstruccindelManualdeRespuestaa Incidentes,sesocializconestegrupo, con el fin de retroalimentar los hallazgos y obtener nuevainformacinrelevanteparalaconstruccindelaherramienta.
Elmodeloplanteadosepresentaungrupodecuatroingenierosconocedoresdelatemtica,ylasntesisdesussugerenciassonlassiguientes:
Enfocarel trabajo realizadodelmodelo inicial del plan deaccinhacia lalegislacin vigente y a las buenasprcticasestablecidasen ISO27001eISM3conelnimodenormalizarelmodelo.
Encausar el direccionamiento de la Seguridad de la informacin con laplaneacinestratgicaempresarial.
CrearEstrategias,mtodos,diferenciarrolesyresponsabilidadesconelfindehacerpartcipea toda laorganizacinpara la implantacindelmodelodirigidoporaltagerencia.
Desarrollardeformamsrigurosaundocumentodirigidoaltratamientoyelanlisisdelriesgo.
50
Incluir un plan de capacitacin y divulgacin de dichas polticas deseguridad.
V. RETROALIMENTACIN DEL MODELO:Elmodeloobtenido(VerAnexoC)alintegrarlassugerenciasplanteadasporelgrupofocaldacomoresultadovariacionesenelmodeloinicialrespectoa:
ElManualdeRespuestaa Incidentesse transformaenunPlandeaccindeSeguridaddelaInformacin.
SecreaunanexodocumentalrespectoalAnlisisyGestindeRiesgosdeSeguridaddelaInformacin.
Seestablecenestrategiasdedifusinycomunicacindelmodelo.NOTA:Puestoquelasfasesdelplandeanlisisestndiseadasdeunamaneraincremental e iterativa, el nuevo ciclo se ejecuta a partir de la fase III como sesigue:
2.2. SEGUNDA ITERACIN DEL MODELO
El modelo planteado del Plan de Accin y Anlisis y Gestin de Riesgos de laSeguridadde la Informacinsonpuestosa consideracinnuevamentealmismogrupofocal,quienesretroalimentarondichosplanteamientos.
51
RETROALIMENTACIN DEL MODELO LassugerenciasplanteadasporelgrupofocalsonadicionadasalPlandeAccinyalAnlisisyGestindelRiesgodeSeguridaddelainformacin(verAnexoD),loscambiosplanteadossonlossiguientes:
Se sugiere una adecuada disposicin final de los activos de informacin,tenerunmtodoseguroconelcualrealizarlaeliminacindedichosactivosdelaorganizacin.
Seplanteaunplandecapacitacinrigurosoydinmico,aprovechandotodoel proceso de Anlisis y Gestin del Riesgo para generar los temas decapacitacinendondeseencuentranfalencias,ademsdeestoselogreuncompromisodeformacinporlosparticipantes.Esmuyimportantebrindaruna difusin en cuanto aPlan deAccin yAnlisis yGestin delRiesgogenerando un compromiso con los objetivos y metas de dichoslineamientos.
CONSTRUCCIN DEL MODELO El modelo anterior es presentado al grupo focal, y se detectaron falencias encuantoaladisposicinfinaldelosactivosdeinformacin,teniendoencuentaqueesteesunfactorderiesgoimportante,laformaencmoserealizaeltratamientode eliminacin o baja de los activos de informacin desde elmomento en queconsideranecesarioprescindirdeellos.Otro cambio que surgi de los datos obtenidos de los expertos fue generarestrategias de capacitacin ms dinmicas creando un compromiso con losmiembrosdelaorganizacin.ElprocedimientoseencuentradescritoenESTRATEGIAS DE CAPACITACIN Y COMUNICACIN PARA LA IMPLEMENTACIN DEL MODELOpresentadoenelAnexo E,elcualestdiseadoparaimplementarprogramasdeformacinytomadeconcienciaporpartedelosintegrantesdelaorganizacin.Estasestrategiasdecapacitacin optimizan y mejoran la difusin de los procedimientos que seencontrabaninmersostantoenelPlan de AccincomoenAnlisis y Gestin del
52
Riesgo,paraaslograrunacapacitacinintegralymsrigurosadirigidaatodoelmodelo.
2.3. TERCERA ITERACIN DEL MODELO
Tras presentar el modelo obtenido al grupo focal, surge la necesidad decomplementar la gua con un tem que ayude a gestionar los incidentes deseguridad presentados al interior de un organizacin, y por ello se plantea larevisindelaNormaISO/IEC27005:2009GestindelRiesgodelaSeguridaddela Informacin,paraquesirvadeapoyo lacreacindeunaguade respuestaaincidentesdeseguridaddelainformacin. RETROALIMENTACIN DEL MODELO Tras la valoracin de las sugerencias planteadas por el experto en la tercerarevisindelmodelo,sealudeauna revisindocumentalde lasnormas ISO/IEC27001:2006 e ISO/IEC 27005:2009 y en consecuencia a esto se encontraronfalencias en el modelo planteado, que son subsanadas con la creacin de unnuevomodelo,dondeseplanteaelsiguientecambio(verAnexoF):
Creacin de la Gua de Respuesta a Incidentes de Seguridad de laInformacin.
53
3. CAPITULO III: RESULTADOS, CONCLUSIONES Y RECOMENDACIONES
3.1. RESULTADOS OBTENIDOS
Unmodelovalidadodebuenasprcticasdeseguridaddelainformacin.UndiagnsticogeneralatravsdelaconstruccindetendenciasdeprcticasdeseguridaddelainformacinenColombia,CANyEstadosUnidos.Un proceso investigativo sistematizado para la construccin de un manual deprocedimientos para la administracin de la seguridad de la informacin,propuesto como Gua de Buenas Practicas de Seguridad de la Informacin enContextosdeMicros,PequeasyMedianasEmpresasdelaRegin.
3.2. CONCLUSIONES
Aunqueeltemahacobradovigenciaenlosltimosaos,noseaccedefcilmenteainformacinsobreeltemadeseguridadinformticaaplicadaenmodelo.Paraqueelmodeloseaaplicado,sedebegenerarunespaciodeformacinatodoel personal que tenga interaccin y acceso a la informacin. En los espaciosempresariales,sehaceungranesfuerzoparaquetodoslosempleadostenganlascompetenciasquepermitanaccederalossistemasdeinformacin,sinembargopocassonlasactividadesyprocesosquesedesarrollanparaquelohagandeunaformasegura.No obstante la abundante gama normativa y Legal, stas per se no garantizanseguridadtotaldelainformacin.
54
Aun los profesionales en temas informticos, suelen no diferenciar entreconceptosdeseguridad informticayseguridadde la informacin, locualpuedegenerar o sesgos en cuanto esfuerzos o direccionamiento de los esquemaspreventivos.Olvidandolavisinholsticaquepermitiraminimizarriesgos.Elreducidoabismoentremodelaryaplicar,esquemasdeseguridadinformticaydeinformacin,tambinestmediadoporlaprofundidaddelmismo.Por locualorganizaciones que han realizado inmensas inversiones para el desarrollo demodelos sper avanzados y con todas las medidas planificadas para evitarataques,sehanolvidadodelasrealidadesdesusrecursosparaaplicarlos,casiexperimentandomegaprocesosparaseraplicadospordbilesequiposdetrabajo.Deestamanerasepuedeconcluirque losprocesosdebenseradecuadosa lasrealidades de cada organizacin, por ello el presente proceso investigativo nogeneraunmodelorgidoyeinamovible,sinoantesbienentregaunaherramientaparatenerencuentaenelmomentoquesevayaagenerarunmodeloaplicadoyhechoalmedidadecadaorganizacin.Debe reafirmarse al empresario local que la adquisicin tecnolgica no implicaseguridad de la informacin, si no que esto requiere de buenas prcticasestandarizadasdelaadministracindelosactivosdeinformacin.Una gestin adecuada de los activos informacin trae como resultado laimplementacindeunSGSI.La seguridad informtica para una organizacin se debe entender como unprocesoynocomounproductoquesepuedecompraroinstalar,estosetratadeun proceso continuo, en el que se incluyen actividades como la valoracin deriesgos,prevencin,deteccinyrespuestaanteincidentesdeseguridad.La implementacin de medidas de seguridad en lugar de agilizar los procesos,ayudan al detrimento del rendimiento de los mismos (ej: envo de un mensajeencriptado).
55
3.3. RECOMENDACIONES
Se recomiendaanuevos investigadoresdaraconocerelconceptodeseguridadde la informacinen lasempresasde la reginpara as asegurar la adecuadagestindelosactivosdeinformacinteniendoencuentaqueestosabarcantodolorelacionadoensalvaguardarlospilaresdelaseguridaddelainformacin.Generaren todos los integrantesde laorganizacinungrancompromisocon laseguridadde la informacin y de lo significativo que sonestasprcticas para lacontinuidaddelosobjetivosorganizacionales.La legislacin se debe unir con los interesados en informtica y as generarnuevasleyesquerijanestembito,sinobstaculizarel libre funcionamientode lainformtica especialmente con la internet, puesto que haymuchos intereses enestemundotanamplioypuedendirigirseporcaminosnocorrectosyaslimitarlafluidezdelconocimiento.Apartirdelmodeloplanteadoenesteproyectoinvestigativo,debesurgirunnuevoproyecto,queplanteelaejecucindelmodeloalinteriordeunaorganizacin.
56
4. REFERENCIAS BIBLIOGRFICAS
[1] ALMANZA JUNCO, Ricardo Andrs, Revista Sistemas N 115, pg. 26-49.Artculo:EncuestanacionalSeguridadinformticaenColombia:Tendencias2010.Extrado del sitio web http://www.acis.org.co/index.php?id=1490 Septiembre de2010.[2] [4] [5] [6] [8] GMEZ VIEITES, lvaro. 2007, Enciclopedia de la SeguridadInformtica,AlfaomegaGrupoeditor,Mxico,PrimeraEdicin.[3]INFOSECGlorssary2000.[7] Cornell University Law School, Extrado del sitio webhttp://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.htmlalos4dasdeOctubrede2010.[9]ISO/IEC17799:2005[10]CANO, Jeimy J., 2005, Revista Sistemas N 92, artculo Aprendiendo de lainseguridad informtica, extrado del sitio webhttp://www.acis.org.co/index.php?id=457el15septiembrede2010.[11] [13] [14] [15]
oriegaEditores,2007.[12]
UniversidaddePiura,Per,2009[16] Oficina Nacional de Gobierno Electrnico e Informtica ONGEI Per,Extradodelsitiowebhttp://www.ongei.gob.pe/alos5dasdelmesdeoctubrede2010.
57
[17] DAZ SAN PEDRO, Manuel., 2009, ISO 27001: Hacia un cumplimientoobligatorio?, extrado del sitio web http://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimiento-obligatorio.htmel8denoviembrede2010.[18]Guaparaunagestinbasadaenprocesos, InstitutoAndaluzdeTecnologa,ISBN84-923464-7-7[19]ISO/IEC27001:2005
58
ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIN
La necesidad de implantar estrategias que permitan que la informacin semantenga segura, y que adems cumpla con las cualidades de disponibilidad,integridad y confidencialidad, podra definirse de cierta manera comoadministracindeseguridaddelainformacin.Todoslosprocesosqueconllevenaplanificar,organizar,dirigirycontrolarciertosrecursos, con el nimo de obtener beneficios de la informacin que posee unaorganizacin,conllevanaqueadichainformacinseleatribuyannivelesaltosdecalidad, que permiten tomar decisiones estratgicas que direccionan laorganizacin,yqueademsgarantizanquelaseguridaddelainformacinymsaun,quelasdecisionesbasadasendichainformacinnosevernvulneradasporfactores externos que atenten contra confidencialidad, la disponibilidad y laintegridaddelainformacin.Conelpropsitodeestablecerunnivelptimodeseguridaddelainformacin,seestableceunManualdeRespuestaaIncidentesdeSeguridaddela Informacin,que sirve como gua de implementacin dentro de la organizacin que deseealinearseconlasbuenasprcticasestablecidasenlaISO27001.OBJETIVO
Priorizar las iniciativas ms importantes para cumplir con los objetivos y metasrespecto a la seguridad de la informacin en la organizacin, con el fin deestablecerunaguademanejosobrelosproyectosdeseguridad.
60
DEL MANUAL
SeproporcionanlossiguientesprocedimientosparalaelaboracindelManualdeRespuestaaIncidentesdeSeguridaddelaInformacin:Identificaryconocer lasposiblesvulnerabilidadesdeseguridaddela informacinal interiorde laorganizacin,constituyeelpasoinicialparaelestablecimientodepolticas y estrategias que la direccionen, en va de salvaguardar la integridad,disponibilidad y confidencialidad de informacin de la organizacin.Realizar un diagnstico empresarialdeterminael puntodepartidaqueprepara launificacinde los criterios y objetivos empresariales en aras de implementar unas buenasprcticasdeseguridaddelainformacin.Tras definir los objetivos a alcanzar, e identificar los factores que vulneran laseguridad de la informacin de la organizacin, deben establecerse las lneas estratgicas de seguridad,quegaranticenlacreacindeunplandeaccinfrentea los factores de riesgo a los que se encuentra expuesta la informacin. Esimportante proporcionar una clara identificacin de los objetivos para que ellineamientoseamarcadosinambigedadesenelejerciciodelasbuenasprcticasdeseguridad.Conciernealaaltagerenciaestablecer y garantizar los recursos necesarios,tantohumanos,tcnicosytecnolgicosqueanenlosesfuerzosdelosintegrantesdelaorganizacin con el fin de cumplir los objetivos establecidos, teniendo unaidentificacin completa de cada tipo de riesgo probable, asocindolo a cadadepartamento implicado, proporcionando soluciones contundentes mediante laespecializacin del talento humano, garantizando la idoneidad del personal y laacertada solucin o mitigacin del incidente, estableciendo programas de cumplimiento de prcticas de seguridad mediante guas procedimentales, quegaranticen que los integrantes de la organizacin conozcan el manual derespuestaalosincidentesyelrespectivotratamientodelosriesgos,ylaposteriorejecucinptimadecadaunodelosprocedimientosdelmanual.Garantizar que los factores de riesgo sigan un patrn controlable, medible yparametrizablequepermitanunamejoracontinua,ademsque,losincidentesnoidentificados como factores de riesgo sean parametrizados y documentados,
61
proporcionaunpuntodepartidaderetroalimentacindelmanualderespuesta,porello,establecer niveles de tolerancia a fallos,garantiza la trazabilidaddel riesgo,puestoqueconsecuentementehaceuntratamientodelriesgoasumido,yencasodelaocurrenciadeunriesgonoprevisto,formalizasudocumentacinyposteriortratamiento.Porltimo,sise trazanmtodos de seguimiento, revisin y auditoria,nosolosegarantiza la utilizacin del manual, sino tambin, una mejora continua comoconsecuenciade la retroalimentacinde losprocesosdefinidos enelmanualderespuestaa incidentes, influyendopositivamenteen lamejoradelacalidadde laseguridaddelainformacin.PROCEDIMIENTOS DE GESTIN
EstablecerDiagnsticoEmpresarial:
Encuestara losmiembrosde laorganizacin respectoalconocimientodepolticasdeseguridaddelainformacin.
Verificarquelainformacinobtenidaesreal.
Proponerlneasestratgicasdeseguridad. EstablecerLneasEstratgicasdeSeguridad.
Definirlosobjetivosdeseguridaddelainformacin.
Identificarlosfactoresderiesgodeseguridaddelainformacin.
Establecerunplanderespuestaacadafactorderiesgoidentificado.EstablecerRecursosNecesarios.
Identificareltipoderiesgoyasociarloacadadepartamentoimplicado.
62
Asignarrolesyresponsabilidades.
Garantizar idoneidad de los encargados de las lneas estratgicas de
seguridad.EstablecerProgramasdeCumplimientodePrcticasdeSeguridad.
Establecerunaguadesolucindeincidentes.
Garantizar que los integrantes de la organizacin conozcanelmanual derespuestaaincidentes.
Garantizarseguimientoyrevisindelmanualderespuestaaincidentes.
EjecutarProgramasdeCumplimientodePrcticasdeSeguridad.
Garantizar que el personal cumple con las medidas establecidas en elmanualderespuestaaincidentes.
EstablecerNivelesdeToleranciaaFallos.