Guia de Buenas Practicas

GUADEBUENASPRCTICASDESEGURIDADDELAINFORMACINENCONTEXTOSDEMICRO,PEQUEASYMEDIANASEMPRESASDELA

REGIN.

GERARDOAYALAGONZLEZJULINALBERTOGMEZISAZA

UNIVERSIDADTECNOLGICADEPEREIRAFACULTADDEINGENIERASELCTRICA,ELECTRNICA,FSICAYDE

SISTEMASYCOMPUTACIN,PROGRAMADEINGENIERADESISTEMASYCOMPUTACIN

PEREIRA2011

GUADEBUENASPRCTICASDESEGURIDADDELAINFORMACINENCONTEXTOSDEMICRO,PEQUEASYMEDIANASEMPRESASDELA

REGIN.

GERARDOAYALAGONZLEZJULINALBERTOGMEZISAZA

MonografaparaoptaralttulodeIngenierodeSistemasyComputacin

Asesor:IngenieroJULIOCSARCHAVARROPORRAS

DocenteAcadmico

UNIVERSIDADTECNOLGICADEPEREIRAFACULTADDEINGENIERASELCTRICA,ELECTRNICA,FSICAYDE

SISTEMASYCOMPUTACIN,PROGRAMADEINGENIERADESISTEMASYCOMPUTACIN

PEREIRA2011

Notadeaceptacin

__________________________________

__________________________________

__________________________________

__________________________________

__________________________________PresidentedelJurado

__________________________________Jurado

__________________________________Jurado

_________________________________Jurado

4

A Luis y Elicenia que me ensearon que la lucha es diaria y que no debe desistirse

en el logro de los propsitos trazados. Y a ti, Liliana, eterna compaera de viaje, que me enseaste que los sueos cambian en la manera

en que cambie nuestra forma de proyectarnos. G.A.

A Alberto que me enseo a no darme por vencido, y a Berenice, que me enseo a

Sin su amor, apoyo, ternura y paciencia

este logro no hubiera sido posible. J.G.

5

AGRADECIMIENTOS

MIprimeragradecimientoesaDios,puesmehabendecidoconunagranfamiliaquemehaenseadoasortearcadaobstculoyaperseverarparalaconsecucinde mis sueos en segundo lugar, agradezco a esos docentes que con susparticularidadesaportaronamiprocesodeformacin,especialmentealIngenieroCsarChavarro,quienfuenuestroapoyoyguaeneldesarrollodesteproyecto.Agradezco tambinaJulinGmez,compaeroy hermanoconelquecompartgrandese inolvidablesmomentosde la formacinprofesionaly, finalmente,perono menos importante, le agradezco a mi esposa Liliana que con su toque dealegra, seriedad y decisiva disposicin para hacer las cosas,me acompaentodoesteproceso.AdicionalmentequieroagradeceraJ.J.Hincapiqueconsusextraasocurrenciaslogrhacermeaprenderydisfrutardelprocesodeinvestigacin.

G.A.Agradezco infinitamenteaDIOS, porque realizantemispropiosojos sealesyprodigios grandes, y me ha permitido vivir hasta el da de hoy. A mi familia,soporte, descanso y amor vivido en mi existencia. A Julio Cesar Chavarro,maestro,amigoygua,conlaprendnosolocantidadsinocalidad.AGerardoAyala, amigo y hermano en arduas tareas, en la vida y en el aprendizaje queconstruimosjuntos.AJ.JHincapi,porquecomparticonmigounaformadiferentedeentenderlainvestigacin,yporltimo categorastrasnochos,meensearonaverelmundodeunamaneradiferente.

J.G

CONTENIDO

Pg.

1. CAPITULOI:GENERALIDADESYDEFINICINDELPROBLEMA......................... 131.1. DEFINICINDELPROBLEMA................................ ................................ ...........131.2. JUSTIFICACIN................................ ................................ ................................ 141.3. OBJETIVOS................................ ................................ ................................ .......161.3.1. OBJETIVOGENERAL................................ ................................ ............................ 161.3.2. OBJETIVOSESPECFICOS................................ ................................ .................... 161.4. DELIMITACIN................................ ................................ ................................ ..171.5. MARCOREFERENCIAL................................ ................................ ..................... 171.5.1. ANTECEDENTES................................ ................................ ................................ .171.5.2. TENDENCIASDETECTADAS................................ ................................ ..................211.6. MARCOCONCEPTUAL................................ ................................ ..................... 241.6.1. SEGURIDADINFORMTICA................................ ................................ ................... 251.6.2. SEGURIDADDELAINFORMACIN................................ ................................ .........291.7. MARCOTERICO................................ ................................ ............................. 351.7.1. ADMINISTRACINDELASEGURIDAD................................ ................................ ....361.7.2. ANLISISDERIESGOS................................ ................................ ......................... 371.7.3. POLTICASDESEGURIDAD................................ ................................ ................... 381.8. DIRECCIONAMIENTO................................ ................................ ....................... 391.9. DISEOMETODOLGICO................................ ................................ ................411.9.1. METODOLOGA................................ ................................ ................................ ...41

2. CAPITULOII:CONSTRUCCINYAPLICACINDELMODELO............................ 442.1. PLANDEANLISIS................................ ................................ ............................ 442.2. SEGUNDAITERACINDELMODELO................................ .............................. 502.3. TERCERAITERACINDELMODELO................................ ............................... 52

3. CAPITULOIII:RESULTADOS,CONCLUSIONESYRECOMENDACIONES...........533.1. RESULTADOSOBTENIDOS................................ ................................ ..............533.2. CONCLUSIONES................................ ................................ ............................... 533.3. RECOMENDACIONES................................ ................................ ....................... 55

4. REFERENCIASBIBLIOGRFICAS................................ ................................ ..........56

7

LISTA DE FIGURAS

Pg.

Figura1.Firmadigital:Envodeunmensajeseguro................................. ...................... 25

Figura2.SeguridaddelaInformacin................................. ................................ ............30

Figura3.SbanadeConceptos................................. ................................ ..................... 45

Figura4.ManualdeRespuestaaIncidentesdeS.I................................ ......................... 59

Figura5.Mapadeprocedimientos:ManualdeRespuestaaIncidentesdeS.I................65

Figura6.PlandeAccindeS.I................................ ................................ ........................ 76

Figura7.MapadeprocedimientosPlandeAccindeS.I................................ ................83

Figura8.AnlisisyGestindeRiesgosdeS.I................................ ................................ 89

Figura9.Mapadeprocedimientos.AnlisisyGestindeRiesgosdeS.I........................ 97

Figura10.EstrategiasdeCapacitacinyComunicacin................................ ...............111

Figura11.Mapadeprocedimientos.PlandeCapacitacin................................. ..........116

Figura12.GuaderespuestaaIncidentesdeS.I................................ .......................... 119

Figura13.Mapadeprocedimientos.GuadeRespuestaaIncidentesdeS.I................125

Figura14.ManualdeprocedimientosparalaAdministracindelaS.I.......................... 127

Figura15.PlandeAccindeS.I................................ ................................ .................... 133

Figura16.MapadeprocedimientosPlandeAccindeS.I................................ ............136

Figura17.AnlisisyGestindeRiesgosdeS.I................................ ............................ 148

Figura18.Mapadeprocedimientos.AnlisisyGestindelRiesgo............................... 152

Figura19.GuadeRespuestaaIncidentesdeS.I................................ ......................... 163

Figura20.Mapadeprocedimientos.GuadeRespuestaaIncidentesdeS.I................169

Figura21.Mapadeprocedimientos.PlandeCapacitacin................................ ...........174

8

LISTA DE TABLAS

Pg.

Tabla1.Formatodeprocedimientos................................ ................................ ................43

Tabla3.Metodologa:ManualdeRespuestaaIncidentesdeS.I................................ .....63

Tabla4.MetodologaPlandeAccindeS.I................................ ................................ ....81

Tabla5.MetodologaAnlisisyRestindeRiesgosdeS.I................................ .............94

Tabla6.Adicin.MetodologaAnlisisyGestindelRiesgodeS.I............................... 110

Tabla7.MetodologaPlandeCapacitacin................................. ................................ ..115

Tabla8.MetodologaGuadeRespuestaaIncidentes.EventosdeSeguridad.............120

Tabla9.MetodologaGuadeRespuestaaIncidentes.GestindeIncidentes..............122

Tabla10.MetodologaGuadeRespuestaaIncidentes.SeguimientoRevisinyAuditora124

Tabla11.MetodologaGuadeRespuestaaIncidentes.DocumentacinyRetroalimentacin.124

Tabla12.MetodologaPlandeAccindeS.I................................ ................................ 134

Tabla13.MetodologaAnlisisyGestindeRiesgosdeS.I................................ .........149

Tabla14.MetodologaGuadeRespuestaaIncidentes.EventosdeSeguridad...........164

Tabla15.MetodologaGuadeRespuestaaIncidentes.GestindeIncidentes............166

Tabla16.MetodologaGuadeRespuestaaIncidentes.SeguimientoRevisinyAuditora168

Tabla17.MetodologaGuadeRespuestaaIncidentes.DocumentacinyRetroalimentacin..168

Tabla18.MetodologadelasEstrategiasdeCapacitacin................................. ...........173

LISTA DE ANEXOS

Pg.ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIN .................................................................................................................... 58

Objetivo...................................................................................................................58

Delmanual..............................................................................................................60

Procedimientosdegestin......................................................................................61

Metodologa.............................................................................................................63

Mapadeprocedimientos.........................................................................................65

Especificacindeprocedimientos...........................................................................66

ANEXO B: GRUPO FOCAL ................................................................................................ 73

ANEXO C: PLAN DE ACCIN DE SEGURIDAD DE LA INFORMACIN, ANLISIS Y GESTIN DE RIESGOS DE SEGURIDAD DE LA INFORMACIN .................................. 75

Objetivo...................................................................................................................77


Metodologaplandeaccindeseguridaddelainformacin..................................81



Anlisisygestinderiesgosdeseguridaddelainformacin.................................88

Objetivo...................................................................................................................88

Aspectolegal...........................................................................................................88

Delmanual..............................................................................................................90


Metodologaanlisisygestinderiesgosdeseguridaddelainformacin............94



ANEXO D: GRUPO FOCAL FASE II ................................................................................ 106

ANEXO E: ELIMINACIN DE ACTIVOS DE INFORMACIN Y ESTRATEGIAS DE CAPACITACIN Y COMUNICACIN PARA LA IMPLEMENTACIN DEL MODELO .. 108

Eliminar/dardebajaactivosdeinformacin.......................................................108

Estrategiadecapacitacinycomunicacin..........................................................112

Objetivo.................................................................................................................112

10

Delplan.................................................................................................................112

Procedimientosdegestin....................................................................................113

Metodologaplandecapacitacinycomunicacinparalaimplementacindelmodelo...................................................................................................................115

Mapadeprocedimientos.Plandecapacitacin....................................................116

Especificacindelprocedimiento..........................................................................116

ANEXO F: GUA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIN. ................................................................................................................. 118

Alcance:.................................................................................................................118

Responsabilidad:...................................................................................................118

Metodologa.Guaderespuestaaincidentesdeseguridaddelainformacin....120

Eventosdeseguridad(fasepre-incidente)...........................................................120

Gestindeincidentes(fasedeatencindeincidencia)........................................122

Disposicinfinal(fasepost-incidente)...................................................................123

Seguimientorevisinyauditoria...........................................................................124

Documentacinyretroalimentacin......................................................................124

Mapadeprocedimientos.......................................................................................125

ANEXO G: MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN..................................126

Delmodelo............................................................................................................126

Plandeaccindeseguridaddelainformacin....................................................128

Objetivo.................................................................................................................128

Metodologaplandeaccindeseguridaddelainformacin................................134

Objetivo.................................................................................................................134


Especificacindeprocedimientos.........................................................................137

Anlisisygestinderiesgosdeseguridaddelainformacin...............................141

Objetivo.................................................................................................................141

Aspectolegal.........................................................................................................141


Metodologaanlisisygestinderiesgosdeseguridaddelainformacin..........149


Especificacindeprocedimientos.........................................................................153

Guaderespuestaaincidentesdeseguridaddelainformacin..........................162

11

Alcance:.................................................................................................................162

Metodologa.Guaderespuestaaincidentesdeseguridaddelainformacin....164

Eventosdeseguridad(fasepre-incidente)...........................................................164

Gestindeincidentes(fasedeatencindeincidencia)........................................166

Disposicinfinal(fasepost-incidente)...................................................................167

Seguimientorevisinyauditoria...........................................................................168

Documentacinyretroalimentacin......................................................................168


Estrategiasdecapacitacinycomunicacin........................................................170

Objetivo.................................................................................................................170

Delplan.................................................................................................................170


MetodologaEstrategiasdeCapacitacinyComunicacin..................................173

Mapadeprocedimientos.Plandecapacitacin....................................................174

Especificacindelprocedimiento..........................................................................175

12

GLOSARIO DE TRMINOS ACTIVOSDEINFORMACIN:todosloscomponentesde informacinquetienenvalor para la organizacin, todo lo que es posible realizar, concluir, visualizar yprocesardelainformacin.AMENAZA:accinoeventoquepuedeocasionarconsecuenciasadversasenlosdatos.ATAQUE:tipoynaturalezadeinestabilidadenlaseguridad.AUTENTICIDAD:se tratadeproporcionar losmediosparaverificarqueelorigendelosdatoseselcorrecto,quienlos ycuandofueronenviadosyrecibidos.CABALLODETROYA:programaqueseactivaenunsistemainformticoylodejaexpuestoaaccesosmalintencionados.CONFIDENCIALIDAD: propiedad de prevenir la divulgacin de informacin asistemasopersonasnoautorizadosDISPONIBILIDAD: caracterstica de la informacin de encontrarse SIEMPRE adisposicin del solicitante que debe acceder a ella, sea persona, proceso osistema.HARDWARE:terminoeninglesquehacereferenciaacualquiercomponentefsicotecnolgico,queinteractadealgnmodoconunsistemacomputacional.INCIDENTE:sedefinecomouneventoquesucededemanerainesperadayquepuedeafectar laConfidencialidad, IntegridadyDisponibilidadde la informacinyademsdeestolosrecursostecnolgicos.INFORMACIN: conjunto de datos que toman sentido al integrarse concaractersticascomunes.INFORMTICA: la informtica es la ciencia que tiene como objetivo estudiar eltratamientoautomticodelainformacinatravsdelacomputadora.

INTEGRIDAD:propiedadquebuscamantener losdatos libresdemodificacionesnoautorizadas.ISO: International Organization for Standardization, Entidad internacionalencargadadefavorecerlaestandarizacinenelmundo.

englobaa todotipodeprogramao cdigodecomputadorcuya funcinesdaarunsistemaocausarunmalfuncionamiento.Estegrupopodemosencontrartrminos como: Virus, Troyanos (Trojans), Gusanos (Worm), Dialers, Spyware,Adware,Hijackers,Keyloggers,FakeAVs,Rootkits,BootkitsyRogues.POLTICAS:actividadorientadaenformaideolgicaalatomadedecisionesdeungrupoparaalcanzarciertosobjetivos.Accinelegidacomoguaenelprocesodetomadedecisionesal poneren practica oejecutar lasestrategias, programas yproyectosespecficosdelnivelinstitucional.

,porunmediofsico(cable)odemanera inalmbricadondesecomparteinformacin,recursosylosservicios.RIESGO: la probabilid

.SEGURIDAD:puedeafirmarsequeesteconceptoqueprovienedellatnsecuritasquehacereferenciaalacualidadpeligro, dao o riesgo. Algo seguro es algo cierto, firme e indubitable. Laseguridad,porlotanto,esunacerteza.SGSI:SistemadeGestindelaSeguridaddelaInformacin.

hacereferenciaa laposibilidaddeserheridoorecibiralgntipodelesin,esunadebilidadenlosprocedimientosdeseguridad,diseo, implementacin o control interno que podra ser explotada (accidental ointencionalmente)yqueresultaenunabrechadeseguridadounaviolacindelapolticadeseguridaddesistemas.

RESUMEN EstedocumentosecentraenlaaplicacindelanormaISO/IEC27001enatencinalosnumerales4.2.2ImplementacinyOperacindeunSistemadeGestindelaSeguridaddelaInformacin(porsussiglas,SGSI),identificandolasaccionesde:lagestinapropiada,prioridadesyresponsabilidadesdelagerenciaenlacreacindepolticasquegaranticenelcumplimientodelosobjetivosdelSGSI,ademssehace referenciaa lacreacindeplanesdeaccinparael tratamiento, anlisisygestin de los riesgos implementandoprocedimientos que brindan una atencinoportuna a los incidentes de seguridad de la informacin, acompaados deestrategiasdecapacitacinyformacinparalosintegrantesdelaorganizacin.

DESCRIPTORES Gestin, implementacin, incidente, Norma, ISO, operacin, polticas,procedimientos,riesgos,seguridad,SGSI.

ABSTRACT This paper focuses on the implementation of ISO/IEC 27001, in response toparagraphs 4.2.2 "Implementation and Operation of Information SecurityManagementSystem(ISMS)",identifyingactionsabout:appropriatemanagement,resources, priorities and executive responsibilities in policy making, ensuringcompliancewith theobjectives of the ISMS.Also refers to thecreationofactionplans for treatment, analysis and risk management, implement procedures thatprovide a timely attention to incidents of information security, accompanied byeducationandtrainingformembersoftheorganization.

KEY WORDS Management, implementation, incident, Standard, ISO, operation, policies,procedures,risks,security,ISMS.

13

1. CAPITULO I: GENERALIDADES Y DEFINICIN DEL PROBLEMA

1.1. DEFINICIN DEL PROBLEMA

Hoyendanosepuedeconcebirunaorganizacinaislada totalmentede la red,siempreseestncompartiendodatosenredesinternasoatravsdelagranred,Internet,permitindolesalosusuariosdisposicindeinformacinentodolugaryen todomomento.Losavances tecnolgicosquevienenenconstanteevolucin,lastelecomunicacionesquesehanconvertidoenunaherramientamuyimportantepara las organizaciones y el crecimiento organizacional se han encargado depropiciarvulnerabilidadesparalasmismas.Las organizaciones dependen de los datos almacenados en sus sistemas deinformacinyesalldondelaseguridaddelainformacinseconvierteenunfactornecesarioenlosprocesosquesedesarrollanalinterioryexteriordelamisma.Esmuy importante considerar adems, que en el desarrollo organizacional seinvolucranfactorescomorecursoshumanos,procesosy tecnologa factoresquepropician vulnerabilidades con respecto a la seguridadde la informacin.Puedeafirmarse que este fenmeno ofrece mayores retos en la micro, pequea ymedianaempresa.Esenestesectordondeexistenmenoresrecursosparainvertirenelcampoinformtico,sinembargo,estasorganizacioneshanincursionadoentecnologaswebhacindosevulnerablesenestemismocampo.Lacarenciadeestrategiasparaunaadministracinseguradelainformacin,estacompaadadelafaltadeconocimientosobrelosestndaresinternacionalesydelasnormasquemediantesuaplicacinayudanaprevenirprdidasdeinformacinyaevitarlaexistenciadeprocesosvulnerables.Elevidentembitodecompetitividad,yelavancetecnolgico,enconsonanciaconelprecariodesarrolloadministrativo,organizacionalytecnolgicodelasempresasregionales, demuestran la necesidad de brindar mecanismos que les permitanmitigarsuvulnerabilidadencuantoalaadministracindelainformacin.

14

1.2. JUSTIFICACIN

Impedir hoy la ejecucin de operaciones no autorizadas sobre un sistemainformtico se asume de vital importancia, puesto que sus efectos conllevan adaos sobre los datos, y comprometen la confidencialidad, la autenticidad eintegridaddelainformacinorganizacional. LanormaISO/IEC27001ofreceunestndardecalidadencuantoal tratamiento

Seguridadde la(Numeral 4.2.2: "implementacin y operacin de un sistema de gestin deseguridaddelainformacin"),queestableceloslineamientosquelaorganizacindebeseguirencuantoalcumplimientodenormasquegarantizanlaseguridaddesuinformacin,lasaccionesoportunascuandosepresentanincidentes,adems,brindar al personal indicado un plan para el tratamiento de los riesgos y darsolucina losposibles incidentesentreotrosconestos,seplantealanecesidaddeposeerunaguaen lasorganizacionesquepermitaatenderel tratamientodelosriesgos. Alrespecto,enlaRevistaSistemasN115sehacelapresentacindelaEncuestaNacional Seguridad Informtica en Colombia: Tendencias 2010 (pg. 26-49)dondeplantealasfallasquesetienenencuantoalaseguridaddelainformacin. Entreellasidentifica:

La conciencia en seguridad de la informacin y el uso de buenas prcticas: Mostrando que an existe cerca de una tercera parte de lasempresasobjetivoquenosonconscientesde lanecesidaddeproteger lainformacinquemanejan.

Intrusiones o incidentes de seguridad identificados en el ao: Semuestracomoestosincidentessehantratadoysehanlogradomonitorearhastaun70%,buscandounareaccinmsoportunafrenteaunpanoramaquenotienefin.Elaumentoenincidentesdetipofinancieroyelmalwareentrminosgeneralessehanpropagadodegranforma,estoinvitaafortalecer

15

los escenarios de proteccin de la informacin, y controlar los incidentesparadisminuirsuefectodentrodelasorganizaciones.

Tipos de fallas de seguridad: Se evidencia que los virus, accesos noautorizadosa laweb,caballosdeTroya,softwarenoautorizadoyfugadeinformacinsonlasfallasmsfrecuentesenColombia.

Identificacin de las fallas de seguridad informtica: Aqu se puedeevidenciarque lasmejoresherramientaspara la identificacindeposiblesfallas de seguridad son los registros de auditora, sistemas de archivos yregistros de firewalls, tambin los sistemas de deteccin de intrusos ynotificacionesporpartedeempleadosoalgncolaborador.

Por otro lado, segn "Network Attacks: Analysis of Department of JusticeProsecutions" [1999 - 2006], estudio realizado por Trusted Strategies y PhoenixTechnologies,Ltd.,seevidenciaque:

Soloel33%delaswebtienenswadecuadodedeteccindeintrusiones. Soloel51%delossitioswebcifranlastransaccionesdeinternetquedebenserseguras.

Soloel27%delasorganizacionesinviertenmsdel1%delpresupuestoenseguridaddelainformacin.

El43%delosataquesesrealizadosporallegadosalaorganizacin: 22%Empleadosantiguos 14%Empleadosactuales 7%Proveedoresoclientes.

El costo medio de recuperacin a un incidente es de 1.5 Millones deDlares.

Ahorabien,sienpasesindustrializadosconhistorialencontroldelainformacinalinteriordesusorganizacionesydondesepuedesuponerqueexisteunaculturamayorenseguridaddelainformacinsetienenestosresultados,enColombiaseconvierte en un reto la aplicacin de buenas prcticas que garanticen unaadecuadaadministracindelaseguridaddelainformacin.

16

Por razones como las anteriormente mencionadas, se hace necesario elaboraruna gua de buenas prcticas de seguridad de la informacin en contextos demicro, pequeas y medianas empresas de la regin, que propicie un ptimotratamientosegurodelainformacinutilizadaenlaorganizacinyquesirvacomomodelodebuenasprcticasdeseguridaddelainformacin,fundamentadaenlanormaISO27001.

1.3. OBJETIVOS

1.3.1. Objetivo General Elaborar una gua debuenas prcticas que permita la aplicacin de unplandeaccinparaeltratamientodelosriesgoseimplementarcontrolesparadetectarydarrespuestaoportunaa incidentesdeseguridaddela informacinencontextosde micro, pequeas y medianas empresas de la regin, segn la norma ISO27001.

1.3.2. Objetivos Especficos

Elaborar una gua documental que establezca una metodologa para laconstruccin de un plan de accin para el tratamiento de riesgos deseguridaddelainformacin.

Establecerlosfundamentosparaelaborarestrategiasdeformacinytomadeconcienciaparael fortalecimientode lascompetenciasdelpersonaldecualquierempresaqueasumalaaplicacindelagua.

Suministrar una gua documental que plantee una metodologa paradetectar y dar respuesta oportuna a los incidentes de seguridad de lainformacin.

17

1.4. DELIMITACIN

El proyecto que se plantea en el presente documento se enfoca a brindar unaherramientametodolgicaquesirvacomomodeloparalaaplicacindeunplandeaccinparaeltratamientodelosriesgoseimplementarcontrolesparadetectarydarrespuestaoportunaaincidentesdeseguridaddelainformacinencontextosde micro, pequeas y medianas empresas de la regin, segn la norma ISO27001.Deigualforma,propiciarlosfundamentosparaelaborarestrategiasdeformaciny toma de conciencia, que desarrolle competencias para la aplicacin de laherramienta, tambinbrindarunaguadocumental queplanteeunametodologaque permitan detectar y dar respuesta oportuna a los incidentes de seguridadtomando como base la norma ISO 27001, haciendo referencia a modelar losprocesos de buenas prcticas de seguridad de la informacin en las micros,pequeasymedianasempresasdelaregin. 1.5. MARCO REFERENCIAL 1.5.1. Antecedentes

suficientes para protegerlo. Cada vez se modernizan ms los medios parasuministrar, retroalimentar e intercambiar informacin, pero de forma paralela (einclusive mayor), se aumentan los medios para boicotear, plagiar o extraerinformacindeformafortuita. En estemarco, el presente trabajo da cuenta de la dinmica de la seguridad einseguridadenlainformacin,losmediosdeflujo, losprocesosyprocedimientosquesehandesarrolladoparaqueestainformacinnosoloseagilsinotambinsegura, a la vez que pretende modelar los procesos que fcilmente cualquier

18

organizacinpuedaasumirparalaproteccindelainformacindeunaformafcilyalamedidadesusnecesidades. El avance en el manejo y procesos de seguridad de la informacin se puedemonitorear de mltiples formas, sin embargo para el presente desarrolloinvestigativo,sehaadoptadoelseguimientoalestablecimientopaulatinotantodeunmarcolegalnacionaleinternacional,comoeldesarrollodenormastcnicasdecertificacindecalidad. Las leyes de cada pas son la respuesta a problemticas o falencias frente aaspectos puntuales, aunque en algunos pases desarrollados, las normas seanticipan, puesto que cuentan con entidades legislativas modernas quemonitorean los fenmenos mundiales para adelantarse a esas realidades quepodrn afectarlos tanto positiva como negativamente. En Colombia de formalamentable la legislacinen lamayora de las ocasionesacta comopaliativoosolucin emergente, en el caso especfico a la legislacin sobre seguridadinformtica, se puede evidenciar que de manera tmida se ha generadonormatividadalrespecto. EnColombialosprimerosvestigiosdenormatividadsobrelaseguridadinformticanoseestablecieronen formadirectaal tema informtico,sinoa losaspectosdepropiedadintelectual,lacualserefierealascreacionesdelamente:invenciones,obrasliterariasyartsticas,ascomosmbolos,nombreseimgenesutilizadasenelcomercio. Lapropiedadintelectualsedivideendoscategoras:a)lapropiedadindustrial,queincluye las patentes de invenciones, las marcas, los diseos industriales y lasindicacionesgeogrficasyb)losderechosdeautor. EnesteaspectosepuedenestablecercomoparmetroiniciallaLey23de1982lacualestipulaellineamientoparalaproteccindederechosdeautor,sinembargo,

cientficas y artsticas gozarn de proteccin para sus obras. Tambin protegesta leya los intrpretesoejecutantesy losproductoresde fonogramasya los

contempladeformaliteraleltemainformtico.

19

Elsegundopuntode referencia jurdicaal respectoeselDecreto1360de1989,

desarrollos dentro de los aspectos cubiertos por la legislacin vigente sobrederechosdeautor. DeigualformaseencuentranleyesydecretosqueregulanlosderechosdeAutor,algunas con determinaciones explicitas sobre la informtica y otras con marcojurdicosobreel temadepropiedad intelectual:Ley44de1993,Decreto460de1995,Decreto162de1996,Ley544de1999,Ley565de2000,Ley603de2000,Ley719de2001. Otro elemento que se debe tener en cuenta y que constituye estamisma lneanormativa, es la legislacin sobre propiedad industrial, all se puede encontrarnormatividadNacionale internacional,comolaDecisin486delaC.A.N.yenlalegislacinColombianaelDecreto2591de2000,ylaLey178de1994. AsmismosehandefinidounaseriedeNormas,quedictaminanlacalidaddelaseguridad informtica, definiendo comonorma, unmodelo, unpatrn,ejemploo

cas que debeposeer un objeto y los productos que hande tener una compatibilidad para serusadosanivelinternacional. Enelmercadoexistendiferentestiposdenormas,sinembargoenelmbitolocalse ha adoptado el sistema de las normas ISO (International Organization forStandardization) que es la entidad internacional encargada de favorecer laestandarizacinenelmundo. Estas normas han ido evolucionando paulatinamente, y de all han surgido unavariadaynumerosagamanormativa,lacualseconocecomola familiaISO. Las series de normas ISO relacionadas con la calidad constituyen lo que sedenominafamiliadenormas,queabarcandistintosaspectosrelacionadoscon lacalidad:

20

ISO 27000: Contiene trminos y definiciones que se emplean en toda laserie27000.Laaplicacindecualquierestndarnecesitadeunvocabularioclaramentedefinido.

ISO27001:Es lanormaprincipal de la serie y contiene los requisitosdelSistema de Gestin de Seguridad de la Informacin. En su Anexo A,enumera en forma de resumen los objetivos de control y controles quedesarrolla la ISO 27002:2005 para que sean seleccionados por lasorganizacioneseneldesarrollodesusSGSI.

ISO27002:Desdeel1deJuliode2007.EsunaguadebuenasprcticasquedescribelosobjetivosdecontrolycontrolesrecomendablesencuantoaSeguridaddelaInformacin.Noescertificable.

ISO27003:ConsisteenunaguadeimplementacindeSGSIeinformacinacerca del uso del modelo PDCA (Plan, Do, Check, Act) y de losrequerimientosdesusdiferentesfases.

ISO27004:EspecificalasmtricasylastcnicasdemedidaaplicablesparadeterminarlaeficaciadeunSGSIydeloscontrolesrelacionados.

ISO27005:ConsisteenunaguadetcnicasparalagestindelriesgodelaSeguridaddelaInformacinysirve,portanto,deapoyoalaISO27001yalaimplantacindeunSGSI.

ISO27006:Especifica los requisitos para la acreditacindeentidadesdeauditora y certificacin de Sistemas de Gestin de Seguridad de laInformacin.

ISO27007:ConsisteenunaguadeauditoradeunSGSI.

ISO27011:Consisteenunaguadegestindeseguridaddelainformacinespecficaparatelecomunicaciones.

21

ISO27031:Consisteenunaguadecontinuidaddenegocioencuantoatecnologasdelainformacinycomunicaciones.

ISO27032:Consisteenunaguarelativaalaciberseguridad.

ISO27033:Esunanormaconsistenteen7partes:gestindeseguridadderedes, arquitectura de seguridad de redes, escenarios de redes dereferencia, aseguramiento de las comunicaciones entre redes medianteGateways, acceso remoto, aseguramiento de comunicaciones en redesmedianteVPNsydiseoeimplementacindeseguridadenredes.

ISO27034:Consisteenunaguadeseguridadenaplicaciones.

ISO27799:Esunestndarparalaseguridaddelainformacinenelsectorsalud.

ElpresentetrabajoinvestigativoseencuentraenmarcadoenlanormaISO27001,bajoloslineamientosdeimplementacinyoperacindeunSistemadeGestindeSeguridaddelaInformacin.

1.5.2. Tendencias Detectadas

Respecto a esta temtica es importante tener en cuenta los estudios que harealizado la Asociacin Colombiana de Ingenieros de Sistemas, pues estainstitucinsemantienealavanguardiaenlastemticasquetienequeverconelmanejo de la informacin y para este caso concreto, la seguridad que se debetenerconellaasentoncesnosencontramosconlapresentacindelaEncuestaNacional Seguridad Informtica en Colombia: Tendencias 2010 1 donde seevidencianlossiguientesresultados: 1ALMANZA JUNCO, Ricardo Andrs, Revista SistemasN 115, pg. 26-49. Artculo:Encuesta nacional Seguridad informtica en Colombia: Tendencias 2010. Extrado del sitio webhttp://www.acis.org.co/index.php?id=1490Septiembrede2010.

22

steestudio longitudinal, realizadoentre losaos2002y2009, tuvoencuentadiferentes categoras, como la demografa (empresas a las que iban dirigida laencuesta), presupuestos (que semanejan en tales empresas que propendan almejoramientodelaseguridaddelainformacin),fallasdeseguridad,herramientasyprcticasdeseguridad,polticasdeseguridady,finalmente,elcapitalintelectual.Acontinuacinseexpondrnlasprincipalesdealgunosapartados. a. Demografa.Identificaelementoscomolazonageogrfica,elsectoryeltamaodelaorganizacin,responsabilidadyresponsablesdelaseguridad,yporltimolaubicacindelaresponsabilidadenlaorganizacin.Entrelosparticipantesdesteestudioseencuentragranparticipacindelsectorbancario,endonde laSuperintendenciaFinancieradeColombiahadesarrolladopautasparaasegurarlainformacinparalosusuariosdelsistemabancario,tambindelsectoreducativoygobiernodondeseevidencialanecesidaddecontarconunadirectrizentemasdeseguridad de la informacin. Otro aspecto importante a resaltar es que laseguridaddelainformacinsehaconvertidoenunelementoclaveparalamediaempresa,formalizandosusestrategiasdenegocio.Paralagranempresasetratadeuntemadelagestindelaorganizacindadoquelasregulacionesinternasytendencias internacionales establecen referentes quenopuedenser ignorados.Finalmente, se evidencia que el cargo de Director del Departamento desistemas/Tecnologa ha tenido un aumento significativo, se puede ver que laseguridad de la informacin continua en aumento, pero se vuelve necesariocoordinar los procesos de negocio con las reas de seguridad y de tecnologaparaas realizarpropuestascon finesnoestrictamente tecnolgicosparaasnolimitar laparticipacindeestosen lasdecisionesdenegociooestrategiasde laorganizacin.b. Presupuestos.Losresultadosmuestranlatendenciadela inversinenseguridadconcentradaen lazonaperimetral,en lasredes ysuscomponentes,ascomolaproteccindedatoscrticosdelaorganizacin,porotroladohayunapredisposicin a la no concientizacin y entrenamiento del usuario final. Con lainformacinexpuestasepuededecirqueseevidenciauna inversinvariableenseguridad de la informacin, afirmando que en nuestro pas no se ha logradogenerarunaconcientizacinencuantoalanecesidaddetenerpolticasdirigidasa

23

laproteccindelainformacinsinembargo,unaspectopositivoaresaltaresqueenelao2009,segeneraalasempresaslanecesidaddedestinarmsrecursosalaseguridaddesuinformacin,estodelamanodelacantidaddenormativasyregulacionesalrededordelaindustrianacional,quemotivastainversin.Estasinversiones estn generalmente desarrolladas por el sector de la banca y lasempresasdedicadasalastelecomunicaciones,mostrandoasquelaseguridaddelainformacinnoesuntemaexclusivodelosinformticos,sinoquerequieredelaformacindeunequipomultidisciplinarioqueintegrelosdiferentesnivelesdelaorganizacinylosdiferentestiposdeorganizaciones. c. Herramientas y Prcticas de Seguridad. Se evidencia comopreocupante que poco ms de la tercera parte de las empresas no prestanatencin a las prcticas de seguridad y que an, teniendo a disposicin algunaherramientaquebrindeciertoniveldeseguridad,nohacencontrolesadecuadossobre ella y sus efectos ni una vez al ao. Por otro lado, se encuentra que lasherramientas ms usadas por las empresas en pro de la seguridad de lainformacin son antivirus, contraseas, firewalls tanto de hardware como desoftware,VPN/IPSecyProxiesenmayorporcentajeyotros,enmenorproporcincomolosonlasfirmasdigitales,smartcards,biomtricos,sistemasdeprevencindeintrusos,monitoreodebasesdedatos,entreotros. d. Polticas de Seguridad. Manifiesta que solo cerca de la cuarta parte de lasempresas tienen tales polticas en ejecucin, mientras las restantes o bien estndesarrollando tales polticas o sencillamente no han invertido sus recursos en hacerloestodebidoa,principalmente,segnelestudio,alpocoentendimientodelaseguridaddela informacinya la inexistenciadeunapolticadeseguridad, loquefinalmente llevaacuestionar la concientizacin que realizan las empresas para lograr que susmiembrosentiendanydesarrollencomportamientosquepropendanpor laseguridad.ParafinalizarsehaceimportanteresaltarquelaNormaISO27001esadoptadaporcercadelamitadde las empresas como gua para la adopcin de buenas prcticas en seguridadinformtica. e. Capital Intelectual. Muestra la tendencia de las empresas con respecto a lacontratacinonodeprofesionalesrelacionadosconelcampodeingenieradesistemasycomputacinparaelmanejode la informacinydesignarenellos laresponsabilidaddesalvaguardarla.Aquseevidenciaquecercadel60%delasempresastienenentreunoycincopersonasparaelmanejodeesteimportanteactivoparalaorganizacin.

24

1.6. MARCO CONCEPTUAL

Enelpresente trabajo investigativo,esnecesariogenerarunmarcoquepermitadefinirconceptosquesonrelevantesparaeltemadeseguridaddelainformacin.Comosepercibir a continuacin se handefinido 3 conceptos fundamentales asaber: seguridad informtica, seguridad de la informacin e inseguridad de lainformacin. La necesidad de preservar y custodiar de manera efectiva y adecuada lainformacin al interior de una organizacin, yms an, en la transmisin de lamisma, es un tema que se convierte en un requisito funcional dentro de laspolticas organizacionales es un factor determinante para la credibilidad de laorganizacin frente a sus clientes y usuarios, y un paso de adelanto hacia laexcelenciaenlacalidaddesusprocesos. Elriesgoenlainformacinhaaumentadoamedidaquestayanoescontroladaen un solo lugar como lo era un sistema centralizado para las organizacionesahoralainformacinsedistribuyedetalformaqueseencuentraenvarioslugarescomo lo son sedes o sucursales, por sta razn se desconoce qu informacinpuedeseralmacenadaenpuestosespecficosdetrabajo,quemuchasvecessonusadoscomoequipospersonalesenlasorganizaciones. Tcnicamenteesimposiblelograrsistemasinformticoscientoporcientoseguros,"El nico sistema realmente seguro es aquel que est desconectado de la lnea elctrica, incrustado dentro de un bloque de concreto, encerrado hermticamente en una habitacin revestida de plomo y protegido por guardias armados y an as, se puede dudar"2, pero buenas prcticas de seguridad evitan posibles daos yproblemasquepuedenocasionar las incidenciasdeseguridadde la informacinenlaorganizacin. Al hablar de seguridad en trminos de informtica deben tenerse en cuenta 2conceptosquedefinentcnicamentesuaplicacin:

2GMEZVIEITES,lvaro., Enciclopedia de la Seguridad Informtica,Alfa omegaGrupoeditor,Mxico,PrimeraEdicin,2007

25

1.6.1. Seguridad Informtica

Laseguridadinformticaesunrecursoquenosevalorarealmente,debidoasuintangibilidad,lasmedidasdeseguridadenlainformacinnocontribuyenaagilizarlosprocesosen losequipos,porelcontrarioproducenunefectoadversoaste,provocandounareduccinenelrendimientodestosylasaplicaciones,yaqueserealizanprocesosadicionalesalosquenormalmenteseefectan,porejemploenel envo de datos por una red, no solo se deben procesar los datos para serenviados,sinoqueademsdesteprocedimientosellevanacabootrasaccionescomoencriptacindestosmensajes.Para hacer ms descriptiva esta problemtica de re-procesos se explicar acontinuacinelmtododelafirmadigital.Ver figura 1.Figura 1. Firma Digital: Envo de un mensaje Seguro.

Fuente:ElaboracinPropia,basadoenGMEZVIEITESlvaro,2007,Enciclopediadela

seguridadinformtica,Capitulo14,FirmaElectrnica.

26

Cuandosedeseaemitirunmensajeconunnivelaltodeseguridad,lamejorformaesutilizarlafirmadigital,mtodocriptogrficoqueconsisteenasociarlaidentidaddeunapersonaaunmensajeparagarantizarquenovaaseralteradoduranteelenvo y adems de esto asegurar la autenticidad del mismo, garantizando aldestinatarioqueelmensajefuecreadoporquindicesersuremitente.Estemtodoconsisteen:

Creacindelafirmadigital. Encriptacindelmensajeyenvo. Recepcindelmensajeseguro. Desencriptacindelmensajeylafirmadigital. Verificacindelaautenticidaddelmensajeydelafirmadigital.

Porotrolado,cuandonoseaplicanmedidasdeseguridad,elmtodoconsisteen:

Creacindelmensaje Envodelmensaje Recepcindelmensaje.

Debido a la cantidad de procesos adicionales,muchas empresas no recurren aestosmtodosdeseguridaden la informacinyaquesoncostososen tiempoydinero, involucrando ms software y hardware dentro de sus procesosempresariales.Tambin se puede decir que la seguridad informtica es una disciplina querelacionadiversastcnicas,aplicacionesydispositivosencargadosdeasegurarlaintegridadyprivacidaddelainformacindeunsistemainformticoysususuarios.Como lo cataloga la norma ISO7498 l una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organizacin

Las medidas y controles que aseguren la confidencialidad, integridad y disponibilidad

27

de los activos incluyendo hardware, software, firmware y la informacin que es procesada, almacenada y comunicada 3

Cualquier medida que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica cuyos efectos puedan conllevar daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema4 Acontinuacinsehace referenciaacercade losobjetivosquesedebencumplirporlaseguridadinformtica5: Objetivos de la seguridad informtica:

Minimizar y gestionar los riesgos, y detectar los posibles problemas yamenazasalaseguridad.

Garantizar la adecuada utilizacin de los recursos y de aplicaciones delsistema.

Limitar lasprdidasyconseguir laadecuada recuperacindel sistemaencasodeunincidentedeseguridad.

Cumplirconelmarcolegal yconlosrequisitos impuestospor losclientesensuscontratos.

Paralograrestosobjetivossedebencontemplar4planosdeatencin:

3INFOSECGlorssary2000,pg.13.4GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad Informtica, Alfa omega Grupoeditor,Mxico,PrimeraEdicin.Pg.4.5GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad Informtica, Alfa omega Grupoeditor,Mxico,PrimeraEdicin.Pg.8.

28

Plano humano:

Sensibilizacinyformacin. Funciones,obligacionesyresponsabilidadesdelpersonal. Controlysupervisindelosempleados.

Plano tcnico:

Seleccin,instalacin,configuracinyactualizacindesolucioneshardwareysoftware.

Criptografa. Estandarizacindeproductos. Desarrollosegurodeaplicaciones.

Plano Organizacional:

Polticas,normasyprocedimientos. Planesdecontingenciayrespuestaaincidentes.

Plano Legislativo:

Cumplimientoyadaptacinalalegislacinvigente. La seguridad informtica se enfoca en la proteccin de la infraestructuracomputacional y todo lo relacionado a esta, (proteger los activos informticos),aplicndosesobre: LA INFORMACIN: Establecer criterios por los administradores,para evitar queusuariosexternosynoautorizadospuedanaccederaellasinautorizacin.Evitarque la informacinseautilizadamaliciosamente para obtener ventajas deellaoque seamanipulada, ocasionando lecturas erradas o incompletas de lamisma.Asegurar el acceso a la informacin en el momento oportuno, incluyendorespaldos de lamisma en caso de queesta sufradaos o prdidaproducto deaccidentes,atentadosodesastres.LA INFRAESTRUCTURA COMPUTACIONAL: Velar que los equipos funcionenadecuadamente y prever en caso de falla planes de robos, incendios, boicot,desastres naturales, fallas en el suministro elctrico y cualquier otro factor queatentecontralainfraestructurainformtica.

29

LOS USUARIOS:Establecernormasqueminimicenlosriesgosalainformacinoinfraestructura informtica. Estas normas incluyen horarios de funcionamiento,restriccionesaciertos lugares,autorizaciones,denegaciones,perfilesdeusuario,planesdeemergencia,protocolos,asminimizandoel impactoenel desempeodelosfuncionariosydelaorganizacinengeneral.La seguridad informtica para una organizacin se debe concebir como unprocesoynocomounproductoquesepuedecompraro instalar,se tratadeunproceso continuo, donde se involucran la estimacin de riesgos, prevencin yatencina los incidentesde laseguridadde la informacin,ademsdeestounafirme retroalimentacin de las actividades realizadas, para as garantizar unefectivo tratamiento a los incidentes en los que la seguridad informtica de laorganizacinestcomprometida.

1.6.2. Seguridad de la Informacin

La norma ISO/IEC 17799 define seguri La preservacin de su confidencialidad, su integridad y su disponibilidad .Ver Figura 2.

30

Figura 2. Seguridad de la Informacin.

Fuente:NormaISO/IEC17799

Dependiendodeltipodeinformacinmanejadaylosprocesosrealizadosporunaorganizacin, la seguridad de la informacin podr concederms importancia agarantizar la confidencialidad, la integridado la disponibilidadde sus activos deinformacin6.Porlotalraznesmuyimportanteidentificarlanecesidaddelaorganizacinparaas garantizar los pilares de la seguridad de la informacin y enfatizar en lanecesidadadecuadaparadichainstitucin.Eltrmino"seguridaddelainformacin",Significalaproteccindelainformacinyde los sistemas de informacin del acceso, uso, divulgacin, alteracin,modificacin o destruccin no autorizada con la finalidad de proporcionarIntegridad,ConfidencialidadyDisponibilidad7,involucrandolaimplementacinde

6GMEZVIEITES,lvaro.2007,EnciclopediadelaSeguridadInformtica,AlfaomegaGrupoeditor,Mxico,PrimeraEdicin.Pg.5

7CornellUniversityLawSchool,Extradodelsitiowebhttp://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html,Octubrede2010.

31

estrategias que cubran los procesos en donde la informacin es el activoprimordialparalaorganizacin.Estas estrategias deben tener como punto de partida el establecimiento depolticas, controles de seguridad, tecnologas y procedimientos para detectaramenazas que puedan explotar vulnerabilidades y que pongan en riesgo dichoactivo,esdecir,queayudenaprotegerysalvaguardartantoinformacincomolossistemasquelaalmacenanylaadministran.Para ello se establece un SGSI (Sistema de Gestin de la Seguridad de laInformacin):queesaquellap comprende la poltica, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestin de la seguridad de la informacin en una organizacin 8.Esimportantemencionarquelaseguridadesunprocesodemejoracontinua,portal razn las polticas y controles que se establecen para la resguardo de lainformacindebenrevisarseyadecuarseparalosnuevosriesgosqueaparezcan,paraasestablecerlasaccionesquepermitanreducirlosysiesposibleenelmejordeloscasoseliminarlos.Sidentrode ladinmicadelnegociodeunaorganizacin, la informacindesus

e credibilidad, y pierde negocios que puedendesembocarenladesaparicindelamisma.Aspues,protegerlainformacinesunrequisitofuncionaldelnegociodeunaorganizacin.Existenvariosmecanismosparacumplirnivelesdeserviciofrentealospilaresdela seguridad de la informacin, que se implementan mediante infraestructuratecnolgica (servidores de correo, de bases de datos, web, uso de clster dediscos,equiposenaltadisponibilidadaniveldered,servidoresespejo,replicacinde datos, redes de almacenamiento (SAN, Storage Area Network), enlacesredundantes,etc.).EstosmecanismossonllamadosServiciosdeSeguridad,cuyoobjetivoesmejorar laseguridadde lossistemasdeprocesamientodedatosy la

8GMEZVIEITES,lvaro.2007,EnciclopediadelaSeguridadInformtica,AlfaomegaGrupoeditor,Mxico,PrimeraEdicin,Pg.18.

32

transferencia de informacinen lasorganizaciones, contrarrestar los ataquesdeseguridad y proporcionar la confidencialidad, la integridad y sobre todo ladisponibilidaddelosservicios.Desde el punto de vista de los servicios de seguridad, se definen 3 factoresimportantesfrentealaseguridaddelainformacin,loscualesfuerontomadosdeGMEZ VIEITES lvaro, Enciclopedia de la seguridad informtica, AlfaomegaEditores,2007.

NO REPUDIO:Proporcionaproteccincontra la interrupcin,porpartedealguna de las entidades implicadas en la comunicacin, de haberparticipadoentodaopartedelacomunicacin.

NO REPUDIO DE ORIGEN:Elemisornopuedenegarqueenviporqueeldestinatario tiene pruebas del envo, el receptor recibe una pruebainfalsificabledelorigendelenvo, locualevitaqueelemisor,denegar talenvo,tengaxitoanteeljuiciodeterceros.

NO REPUDIO DE DESTINO: El receptor no puede negar que recibi elmensaje porque el emisor tiene pruebas de la recepcin. Este servicioproporcionaalemisorlapruebadequeeldestinatariolegtimodeunenvo,realmentelorecibi,evitandoqueelreceptorloniegueposteriormente.

Endefinitiva,elnorepudioevitaqueelemisoroelreceptornieguelatransmisindelmensaje.Una condicin que posee la informacin es la portabilidad (envo, recepcin ytraslado de la misma), entonces, desde el punto de vista de protocolo deseguridadencomunicacionessedefinen3aspectos:

PROTOCOLO: Cdigo de procedimientos o reglas estandarizadas paracontrolarelflujoylacompatibilidadenelenvoyrecepcindeinformacin.

CRIPTOGRAFA(cifradodedatos):Mtodoporelcualsetransposicionauocultaunmensajehastaquellegaasudestino.

33

AUTENTICACIN:Tcnicadevalidacinde identificacinquecompruebaque el envo, recepcin o modificacin de informacin no la hace unimpostor.

Identificar las vulnerabilidades dentro de la infraestructura tecnolgicaorganizacional es tambin un componente vital dentro de la seguridad de lainformacin,desdeelpuntodelavulnerabilidaddelainformacin,sedefinen:

AMENAZA:Accinoeventoquepuedeocasionarconsecuenciasadversasenlosdatos.

ATAQUE:Tipoynaturalezadeinestabilidadenlaseguridad. Otros2aspectosquedeben tenersemuyencuentaaldefinir laseguridadde lainformacinsonsusparticularidadesysuscualidades:LaadministracindelainformacinestbasadaenlatecnologastapuedeserY/Otenerlossiguientesatributos:

Confidencial:Informacincentralizadaydealtovalor.

Divulgada:Malutilizada,robada,borradaosaboteada. Estasparticularidadesafectanladisponibilidadylaponenenriesgo. Cualidadesdelainformacin:

Critica:Indispensableparalaoperacindelaorganizacin.

Valiosa:Consideradacomoactivoparalaorganizacin.

Sensitiva:Debeserconocidaporlaspersonasautorizadas.

34

Riesgo:Todotipodevulnerabilidadesyamenazasquepuedenocurrir sinprevioaviso.

Seguridad:Formadeprotegerlainformacinfrenteariesgos. Pilaresdelaseguridaddelainformacin9:

CONFIDENCIALIDAD DE LA INFORMACIN Y DE LOS DATOS:Propiedaddeprevenirladivulgacindeinformacinasistemasopersonasnoautorizados.

INTEGRIDAD DE LA INFORMACIN Y DE LOS DATOS: Propiedad quebuscamantenerlosdatoslibresdemodificacionesnoautorizadas.

DISPONIBILIDAD DE LA INFORMACIN Y DE LOS DATOS:CaractersticadelainformacindeencontrarseSIEMPREadisposicindelsolicitante que debe acceder a ella, sea persona, proceso o sistema.(Prevencindelataquededenegacindelservicio).

Por otro lado, dentro del temade seguridad de la informacin se debe tambinconceptualizarsucomplemento,lainseguridaddelainformacin:Solo se concibe la inseguridad de la informacin desde el punto de vista deseguridad de la informacin, como ente adjunto: si bien la seguridad de lainformacin puede significarse como todos los mecanismos en pro desalvaguardarlaintegridad,laconfidencialidadyladisponibilidaddelainformacin,la inseguridad de la informacin no tiene una concepcin antagnica sino

la manera estratgica en como

9ISO/IEC17799:2005

35

las organizaciones establecen un escenario futuro de los riesgos sobre la 10

Es necesario entonces reconocer, que slomirando las posibilidades de falla yvulnerabilidad, es posible mejorar la prctica misma de la administracin deriesgosyladefinicindemecanismosdeseguridadycontrol.Buscar formas detalladas para la gestin de los riesgos en los que cae lainformacin, y suministrar herramientas eficientes que permitan detectar y darrespuestaoportunaalosincidentesdeseguridaddelainformacinatravsdelaimplementacin de una gua de seguimiento y revisin de los procesos delsistema, es un punto neurlgico del presente proyecto, cuya solucin sedictaminar durante su ejecucin, ofreciendo mecanismos que permitanparalelamente tener presente los escenarios de inseguridad de la informacinposiblesyasuvezlosmediosdeseguridadaplicablesenelmbito.

1.7. MARCO TERICO

Desdeunapticatericapropiamentedicha(sintenerencuentalanormatividadylosestndaresmencionadosenloscaptulosanteriores),sehaescritomuypocosobre la seguridad de la informacin y su papel desempeado dentro de laorganizacin por eso, en stemarco se pretendemostrar los aportes que hanenriquecidolosestndaresdeprcticasdeseguridaddelainformacin,ydesdelaperspectivadelosautores,esbozarunposibledireccionamientodelanormaISO27001,desdeelpuntodevistadelaaplicacindelaguadebuenasprcticasdeseguridaddelainformacin-propuestoydesarrollado-enelproyecto.10CANO, Jeimy J., 2005, Revista Sistemas N 92, artculo Aprendiendo de la inseguridad

informtica, extrado del sitio web http://www.acis.org.co/index.php?id=457 el 15 septiembre de

2010.

36

1.7.1. Administracin de la Seguridad

Lasbuenasprcticasdeadministracinindicanqueelestablecimientoclarodelamisin de una organizacin es indispensable para que todos los funcionariosubiquensuspropiosesfuerzosylosdireccionenenbiendelamisma.[Glueck,W. Business Policy and Strategic Management -Hill,1984],

ademspermite elaborar polticas operativas que facilitan el cumplimiento de lamisin de la organizacin, que pueden entenderse como reglas que hay queseguirobligatoriamente.Es usual que la alta gerencia cometa errores en cuanto a la seguridad de lainformacindesusorganizaciones,comoporejemplosuponerquelosproblemasdesaparecensise ignoran,noentendercuntodinerovalesu informacinyquetantodependelaorganizacindeella,nolidiarconlosaspectosoperacionalesdelaseguridad,noentenderlarelacinqueexisteentrelaseguridadylosproblemasdefuncionamientoymarchadelaorganizacin,entreotros.Si laadministracinempresarial propone una misin para direccionar estratgicamente la

sesolucione las falencias, ubicando la seguridad informtica al mismo nivel que

otras actividades sustantivas de la organizacin, elaborando un plan de seguridad informtica clara, promulgando polticas que se derivan de dicha misin y determinando que mecanismos se requieren para implementar esas polticas 11.

11 La Seguridad de la InformacinLimusaNoriegaEditores,2007.Pg.215.

37

1.7.2. Anlisis de Riesgos

Unpasointermedioentrelaadministracindelaseguridad, -quedesembocaenlageneracin del plan estratgico de seguridad (misin de seguridad)- , y laspolticas de seguridad, es el anlisis de riesgos de la informacin dentro de laorganizacin es aqu donde "se analiza una metodologa prctica para el desarrollo de planes de contingencia de los sistemas de informacin, que comprende: la identificacin de riesgos, calificacin del impacto del mismo si se hiciera realidad, evaluacin del impacto en los procesos crticos y la creacin de estrategias de contingencias"12.LasbuenasprcticasdeInseguridaddelainformacinjueganunpapelimportanteen este punto, puesto que no se puede proteger la informacin, si no se sabecontra qu hay que protegerla. Es necesario entonces, identificar cualquieraspecto que ponga en riesgo los pilares de la seguridad de la informacin, ascomo definir e implantar la defensa necesaria para mitigar y/o eliminar susposiblesconsecuencias.Salvaguardar la confidencialidad, la integridad, laautenticidady ladisponibilidadde la informacin es la caracterstica que en el fondo define el modelo que sequiere disear en el presente proyecto. Aunque estas caractersticas soportan

No todas deben estar vigentes simultneamente, ni tienen todas la misma importancia en todas las circunstancias 13 . Existen casos de aplicacin en que en ocasiones es msimportante la confidencialidad (acciones militares por ejemplo) que ladisponibilidad,otroscasosenquelainformacindebeserautntica(inversiones),etc.Debedeterminarseenqucasos,culesdelaspropiedadessonnecesariasoimportantes.

12NIMARAMOSJonathanD,de informacin empresarial y de negocios 13 La Seguridad de la InformacinLimusaNoriegaEditores,2007.Pg.26.

38

La seguridad de la informacin, como disciplina, trata precisamente de establecer metodologas para determinar cules de las 4 caractersticas son deseables en alguna circunstancia y de encontrar la forma de lograr que se apliquen 14.Enelprocesodeanlisisderiesgosdela informacinsepuedendiferenciardosmdulos: a) La Evaluacin del riesgo, orientado a determinar los sistemas deinformacin y sus componentes, que pueden ser afectados directa oindirectamente por agentes externos, y b) LaGestin del riesgo, que implica laidentificacin, seleccin, aprobacin y administracin de las defensas paraeliminar,oreduciranivelesaceptables, losriesgosevaluados.Enconclusin,supapel es reducir la posibilidad de queunaamenazaocurra, si ocurre, limitar suimpacto, eliminar la vulnerabilidad existente y retroalimentar para futuraseventualidades.

1.7.3. Polticas de Seguridad

Posterior al establecimiento de lamisin de seguridad, se requiere redactar laspolticasenlasquesebasarelcumplimientodelamisin.La importanciadela

no se tiene un marco de referencia general de seguridad, puesto que permiten definir los procedimientos y herramientas necesarias del sistema de seguridad 15.Losbeneficiosdelestablecimientodelaspolticasdeseguridaddelainformacinayudan a tomar decisiones sobre otros tipos de poltica empresarial (propiedadintelectual,destruccinde informacin,etc.), queal final decuentas redundaenuna estructura de calidad de servicio, seguridad en el servicio y dispone unambiente propicio para suministrar una gua, ya que si ocurre un incidente, laspolticas constituyen un marco referencial sobre quin hace qu acciones queminimicenelimpactodelosmismos.

14Ibdem,Pg.27

15DALTABUITGODASEnrique,VZQUEZJosdeJess,LaSeguridadde la Informacin.Pg.

221,LimusaNoriegaEditores,2007.

39

1.8. DIRECCIONAMIENTO

LafortalezadelanormaISO/IEC27001enmateriadegestindeseguridaddelainformacin,adadehoynadielaponeenduda,dehechodesdesupublicacin,esta norma ha empezado a ser parte fundamental, al menos en teora, delfuncionamientoadministrativodelasorganizaciones.Sinembargo,estanormaestatodavalejanadealcanzarelgradodeimplantacinfuncionalanivelmundial,quesihanalcanzadootrosestndaresdegestin,comoporejemploelestndarqueestablecelosrequisitosdeunsistemadegestindelacalidad:ISO9001.EstallasuperioridaddelaISO9001frentealasISO/IEC27001,comparadasenniveldeimplantacinquelanormaISO9001sesaledelmbitoadministrativode"certificacin" y se plantea en un plano de requerimiento funcional de cualquierempresaenelmundo.As,sinoseestcertificadoenISO9001,seestfueradelmercadomundial.Analizandolaevolucindeesanorma(ISO9001),esposibleinferirunaevolucinsimilar en la ISO/IEC 27001, ya que, aunque no en el sentido estricto, o decumplimiento obligatorio, se empiezan a ver signos significativos de suimplantacinenlaorganizacincomosedescribe:EnPer,laISO/IEC27002:2005(Guadebuenasprcticas.Nocertificable)esdeusoobligatorioen todas las institucionespblicasdesdeelao2005, fijandoasunestndarparalasoperacionesdelaAdministracin16.En Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunossectores,eselcasodelosoperadoresdeinformacin,quedeconformidadconelDecreto1931de2006,sehallansujetosalcumplimientodelestndar.

16OficinaNacionaldeGobiernoElectrnicoeInformtica ONGEIPer,Extradodelsitioweb

http://www.ongei.gob.pe/alos5dasdelmesdeoctubrede2010.

40

Desercontinuoesteavance, laseguridadde la informacinseconvierteenunanecesidad, cuyos procesos deben ser certificados no slo para mejorar dichaseguridad, sino tambin para ampliar sus resultados y, por supuesto como sehaba anotado antes, para figurar de manera competitiva en un mercado queconocelaimportanciadelaseguridaddelosactivosdeinformacin.Como lo dice Manuel Daz San Pedro en su artculo ISO 2700117: Hacia uncumplimientoobligatorio?"Desde luego, un punto de apoyo muy slido hacia esa evolucin lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el ttulo "Improving Business Results and Mitigating Financial Risk". Segn los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en Gobierno, Gestin de Riesgos, y Cumplimiento en Tecnologas de la Informacin (GRC IT), superan la media de ingresos en un 17% frente a las organizaciones que no lo implantan, que se traduce en un 13,8% ms de beneficios para la organizacin Sinduda,conestosantecedentes,ISO27001seguiravanzandoenimportanciayposicindemanerasimilaralestndardecalidadISO9001encuantoagradodeinstitucin y exigencia, tanto para la empresa privada como para la pblica y lasociedadengeneral.

17DAZSANPEDRO,Manuel.,2009,ISO27001:Hacia un cumplimiento obligatorio?,extradodel

sitiowebhttp://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimiento-

obligatorio.htmNoviembrede2010

41

1.9. DISEO METODOLGICO Este diseo fue validado y aprobado por el grupo consultor especializado en latemtica de Seguridad Informtica. Estos lo evaluaron en ocasiones diferentesrealizando ajustes a la herramienta que el modelo plantea dandoretroalimentacionesy proporcionandounvaloragregadoen cadasocializacinyretroalimentarrealizadadurantelainvestigacin.1.9.1. Metodologa INDAGACIN INICIAL SepretendeconocerlosdiferentesmodelosexistentesparalaimplementacindelSGSI desarrollados por diferentes autores y en diferentes pases con el fin deampliarlainformacinyperspectivasdelsistema.ELABORACIN DE CATEGORAS Con la informacin obtenida en la indagacin inicial se definirn puntosdivergencia y convergencia, de all se establecern los componentes msimportantesdelaguaparalograrelestablecimientodelascategorasprincipalesqueconformarnlamisma.CONSTRUCCIN DE DIAGNOSTICO INICIAL Conloselementosanterioresseelaborarundocumentoqueesbozalosaspectospreliminaresdelaguadebuenasprcticasdeseguridaddelainformacin.PRESENTACIN DE RESULTADOS GruposfocalesconpersonalespecializadoLa informacin obtenida y procesada se presentar a un grupo de expertos,conformado por especialistas en el tema para retroalimentar los hallazgos yobtenernuevainformacinrelevanteparalaconstruccindelagua.

42

RETROALIMENTACIN DEL MODELO Con los resultados obtenidos se construye un modelo, constituido segn elInstitutoAndaluzdeTecnologaporprocedimientosestratgicosydeapoyo18,loscuales son retroalimentados para posteriores verificaciones, y seguirn elsiguienteformatoVer Tabla 1:

18Guaparaunagestinbasadaenprocesos,InstitutoAndaluzdeTecnologa,ISBN84-923464-7-

7,Pg.22.

43

Tabla 1. Formato de Procedimientos

CDIGO VERSIN TIPO

NOMBRE

RESPONSABLE

TIEMPO ESTIMADO/FRECUENCIA

FORMATOS DE REFERENCIA

OBJETIVO

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

2.

3.

4.

5.

DESCRIPCIN

44

2. CAPITULO II: CONSTRUCCIN Y APLICACIN DEL MODELO

2.1. PLAN DE ANLISIS

Elpresentetrabajosedesarrollen5fasesomomentos:I. INDAGACIN INICIAL: Se pretende conocer los diferentes modelos

existentespara la implementacindebuenasprcticasdeseguridadde lainformacindesarrolladaspordiferentesautoresyendiferentespasesconel fin de ampliar la informacin y perspectivas de la gua. Para ello serealizunaexhaustivaindagacindetrabajos,escritos,normas,ysepudoestablecer que no existe una amplia documentacin en la temtica, sinembargoesteproyectoesresultadodela indagacinterica,conceptualynormativadeltema.

II. ELABORACIN DE CATEGORAS: Con la informacin obtenida en losantecedentes y las tendencias se definieron puntos de divergencia yconvergencia, de all se establecieron los componentes ms importantesdelsistemaparalograrelestablecimientodelascategorasprincipalesqueconformarnlagua.Ver figura 3

46

Enlostresconceptosincialesquesehabandeterminadocomoejesestructuralesdelapresenteinvestigacin:seguridadinformtica,seguridaddelainformacineinseguridad de la informacin, se hallan inmersos elementos constitutivos y endiversoscontextostantonormativos,legalesytecnolgicos,sinembargodesdeelpuntodeencuentrode losautoresdelpresente trabajoseestablecenelementosintegrantesconceptualescomo:

DE LA PREOCUPACIN DEL AGUJERO EN LA CAPA DE OZONO A LOS

Si sepudieradefinir la administracincomo todos losprocesosqueconllevenaplanificar, organizar, dirigir y controlar ciertos recursos con el nimo de obtenerbeneficios, debera poderse adherir a esa definicin, el establecimiento de losroles que pondran enmarcha dichos procesos. El quin, el qu y el cmo, sevuelvenpilaresfundamentalesdelengranajequemueveelsistemaquebuscaelbeneficiomencionado.Formas,maneras, ymtodosdeadministracinexistenmuchos,perosiaestosdiversos mtodos asignamos u

informacinpuedetomarseentoncescomolaformaenquesetratanlosdatosqueproporcionan la facilidad de tomar decisiones de algn tipo y que generanconocimiento para planear,organizar y dirigir procesos.Si aesta planeacinde

puede descubrirse que esta informacin es susceptible a variables diversas delentorno,queincidenenella,ylatransformanenunapotencialbaseestratgicadeadelanto y crecimiento empresarial, o en un apabullante muro de perdida yquiebras. Y como sucede esto?. Es sencillo: dependiendo de la intencin que

Esnecesarioentoncesplantearbarrerasquepermitanverificarenciertamedida

direccionamiento trae, y decidir si esa variable incide positiva o negativamentesobrelainformacin.

47

Esta necesidad de implantacin de barreras, de mtodos y estrategias, dedireccionamientos y verificaciones se llama Administracin de seguridad de lainformacin,yesuntemquetocaprofundamentelosobjetivosdeesteproyecto. Imaginemosquetodoloplanteadoenlosprrafosanteriores,seasimilaaloquesucede en la capa de ozono que se encuentra en la estratosfera,aproximadamentede15a50Kmsobre lasuperficiedelplaneta.Elozonoesuncompuestoqueactacomounpotentefiltrosolar,evitandoelpasodeunapartedelaradiacinultravioleta(UV)alasuperficiedelatierra.LaradiacinUVpuedeproducir dao en los seres vivos, dependiendo de su intensidad y tiempo deexposicin estosdaospuedenabarcar desde irritacin a la piel, conjuntivitis ydeterioroenel sistemadedefensas,hasta llegaraafectarel crecimientode lasplantas, con las posteriores consecuencias que esto ocasiona para el normaldesarrollodelavidaenlatierra. En este caso el conocimiento organizacional de la empresa, y todo sudireccionamiento estratgico estara representado por la vida en la tierra y lagerenciaseralacapadeozono,quegarantizalaseguridaddelainformacin,asmismo losaspectos financieros, la imagencorporativa y la calidez percibidaporlosclientesseranlosvaloressusceptibles(informacin)aposiblesdaosseverosque surgen a raz de una sobre exposicin a los factores de riesgo,desencadenandoelanormaldesarrollodelasactividadesdelnegocio.Porellolaadministracindelaseguridadesunpotentefiltro,queevitaelpasodematerialesnocivosysuimplementacinenelnegocioesimprescindibleydevitalimportanciaparaelmismo. Sinembargosiguiendoelmismoejemplo,elhuecoenlacapadeozono,construye

establecer mecanismos que posibiliten la prevencin y reaccin frente a losdiferentesacontecimientos.Lossistemasdeproteccinmsusados,hantomadocomobaselafamiliadenormasISO27000delacualserealizunasntesiseneltem5.1 ANTECEDENTES.

48

DE LAS ARMAS ATMICAS A LAS ARMAS EN TOMOSAtravsdelahistorialaconcepcindeseguridadhaidoevolucionandoaliniciolaseguridad estaba dirigida a proteger la propia vida y garantizar el bienestar deesta, para ello, se construyeron armaduras, escudos y otros artefactos queproteganelcuerpoylavidadelosindividuosconlaevolucindelassociedadesyelsurgimientodelaexplotacinmercantillaseguridadsetrasladaaprotegerlosbienes,productosyrecursosporcualquiermedio.Sinembargo,atravsdetodalaevolucinsocialsiempreseha tenido informacinconaccesorestringidoparatodoslosmiembrosdelasociedad,informacinquesehaguardadosigilosamenteen secreto y que es de vital importancia para el desarrollo de las actividadesadministrativas,esteltimoapunteeselquedaorigenaunaseriedeinstitucionesestatales que se dedican a la recoleccin y a salvaguardar la informacinimportanteactualmenteestasconductassegurasconrespectoalainformacinsehantrasladadoaotrotipodeorganizacionesenbuscadeprotegerloselementosdecompetenciaqueposeen.Ahora bien, todo este proceso ha requerido un aprendizaje catastrfico paramuchas empresas y organizaciones, pues lo que se hace en la actualidad estbasadoenloserroresdelpasado,esdeestaformaquehoyendasecuentaconuna gran variedad de herramientas paramantener la informacin segura y conesta a la organizacin. Sin embargo, tener a disposicin tales herramientas nogarantiza la proteccin absoluta de la informacin y la organizacin, pues esnecesario recordar que talesherramientassonmanipuladasporpersonas y queestaspuedencometererrores,por loque laconcienciacinde laspersonasquecomponen laorganizacin respectoaprcticascatalogadascomosegurasdebeconsiderarsecomounpilarenelestablecimientodeunSGSITeniendo un modelo de seguridad a seguir como algo primordial para laorganizacinpuedenevitarseprdidasexcesivasdedinero, ademsdeesto losdaos a la informacin pueden llegar a ser devastadores para la organizacin,tomandomedidaspreventivassepuedengarantizarescenarioscontroladosparaconservar la integridad, disponibilidad y confidencialidadde la informacin de laorganizacin.

49

III. CONSTRUCCIN INICIAL DEL MODELO:Comosehabaplanteadoenelanteproyecto,conloselementosobtenidosenlafasesanterioresseelaboruninforme(VerAnexoA)quedetallaloshallazgosencontradosreferentesalaSeguridaddelaInformacin,deigualformaseplanteaelmodeloInicialllamadoManualde respuestaa incidentes,dondesehace referenciaa lagestin apropiada de la seguridad de la informacin priorizando lasiniciativasmsimportantesparacumplirconlosobjetivosymetasrespectoa esta en la organizacin, con el fin de establecer una gua de manejosobrelosproyectosdeseguridad.

IV. PRESENTACIN DEL MODELO A GRUPO FOCAL: Para esta fase dedesarrollo se plante la valoracin del modelo por parte de un grupo deconocedores (Ver Anexo B), la informacin obtenida y que soporta laconstruccindelManualdeRespuestaa Incidentes,sesocializconestegrupo, con el fin de retroalimentar los hallazgos y obtener nuevainformacinrelevanteparalaconstruccindelaherramienta.

Elmodeloplanteadosepresentaungrupodecuatroingenierosconocedoresdelatemtica,ylasntesisdesussugerenciassonlassiguientes:

Enfocarel trabajo realizadodelmodelo inicial del plan deaccinhacia lalegislacin vigente y a las buenasprcticasestablecidasen ISO27001eISM3conelnimodenormalizarelmodelo.

Encausar el direccionamiento de la Seguridad de la informacin con laplaneacinestratgicaempresarial.

CrearEstrategias,mtodos,diferenciarrolesyresponsabilidadesconelfindehacerpartcipea toda laorganizacinpara la implantacindelmodelodirigidoporaltagerencia.

Desarrollardeformamsrigurosaundocumentodirigidoaltratamientoyelanlisisdelriesgo.

50

Incluir un plan de capacitacin y divulgacin de dichas polticas deseguridad.

V. RETROALIMENTACIN DEL MODELO:Elmodeloobtenido(VerAnexoC)alintegrarlassugerenciasplanteadasporelgrupofocaldacomoresultadovariacionesenelmodeloinicialrespectoa:

ElManualdeRespuestaa Incidentesse transformaenunPlandeaccindeSeguridaddelaInformacin.

SecreaunanexodocumentalrespectoalAnlisisyGestindeRiesgosdeSeguridaddelaInformacin.

Seestablecenestrategiasdedifusinycomunicacindelmodelo.NOTA:Puestoquelasfasesdelplandeanlisisestndiseadasdeunamaneraincremental e iterativa, el nuevo ciclo se ejecuta a partir de la fase III como sesigue:

2.2. SEGUNDA ITERACIN DEL MODELO

El modelo planteado del Plan de Accin y Anlisis y Gestin de Riesgos de laSeguridadde la Informacinsonpuestosa consideracinnuevamentealmismogrupofocal,quienesretroalimentarondichosplanteamientos.

51

RETROALIMENTACIN DEL MODELO LassugerenciasplanteadasporelgrupofocalsonadicionadasalPlandeAccinyalAnlisisyGestindelRiesgodeSeguridaddelainformacin(verAnexoD),loscambiosplanteadossonlossiguientes:

Se sugiere una adecuada disposicin final de los activos de informacin,tenerunmtodoseguroconelcualrealizarlaeliminacindedichosactivosdelaorganizacin.

Seplanteaunplandecapacitacinrigurosoydinmico,aprovechandotodoel proceso de Anlisis y Gestin del Riesgo para generar los temas decapacitacinendondeseencuentranfalencias,ademsdeestoselogreuncompromisodeformacinporlosparticipantes.Esmuyimportantebrindaruna difusin en cuanto aPlan deAccin yAnlisis yGestin delRiesgogenerando un compromiso con los objetivos y metas de dichoslineamientos.

CONSTRUCCIN DEL MODELO El modelo anterior es presentado al grupo focal, y se detectaron falencias encuantoaladisposicinfinaldelosactivosdeinformacin,teniendoencuentaqueesteesunfactorderiesgoimportante,laformaencmoserealizaeltratamientode eliminacin o baja de los activos de informacin desde elmomento en queconsideranecesarioprescindirdeellos.Otro cambio que surgi de los datos obtenidos de los expertos fue generarestrategias de capacitacin ms dinmicas creando un compromiso con losmiembrosdelaorganizacin.ElprocedimientoseencuentradescritoenESTRATEGIAS DE CAPACITACIN Y COMUNICACIN PARA LA IMPLEMENTACIN DEL MODELOpresentadoenelAnexo E,elcualestdiseadoparaimplementarprogramasdeformacinytomadeconcienciaporpartedelosintegrantesdelaorganizacin.Estasestrategiasdecapacitacin optimizan y mejoran la difusin de los procedimientos que seencontrabaninmersostantoenelPlan de AccincomoenAnlisis y Gestin del

52

Riesgo,paraaslograrunacapacitacinintegralymsrigurosadirigidaatodoelmodelo.

2.3. TERCERA ITERACIN DEL MODELO

Tras presentar el modelo obtenido al grupo focal, surge la necesidad decomplementar la gua con un tem que ayude a gestionar los incidentes deseguridad presentados al interior de un organizacin, y por ello se plantea larevisindelaNormaISO/IEC27005:2009GestindelRiesgodelaSeguridaddela Informacin,paraquesirvadeapoyo lacreacindeunaguade respuestaaincidentesdeseguridaddelainformacin. RETROALIMENTACIN DEL MODELO Tras la valoracin de las sugerencias planteadas por el experto en la tercerarevisindelmodelo,sealudeauna revisindocumentalde lasnormas ISO/IEC27001:2006 e ISO/IEC 27005:2009 y en consecuencia a esto se encontraronfalencias en el modelo planteado, que son subsanadas con la creacin de unnuevomodelo,dondeseplanteaelsiguientecambio(verAnexoF):

Creacin de la Gua de Respuesta a Incidentes de Seguridad de laInformacin.

53

3. CAPITULO III: RESULTADOS, CONCLUSIONES Y RECOMENDACIONES

3.1. RESULTADOS OBTENIDOS

Unmodelovalidadodebuenasprcticasdeseguridaddelainformacin.UndiagnsticogeneralatravsdelaconstruccindetendenciasdeprcticasdeseguridaddelainformacinenColombia,CANyEstadosUnidos.Un proceso investigativo sistematizado para la construccin de un manual deprocedimientos para la administracin de la seguridad de la informacin,propuesto como Gua de Buenas Practicas de Seguridad de la Informacin enContextosdeMicros,PequeasyMedianasEmpresasdelaRegin.

3.2. CONCLUSIONES

Aunqueeltemahacobradovigenciaenlosltimosaos,noseaccedefcilmenteainformacinsobreeltemadeseguridadinformticaaplicadaenmodelo.Paraqueelmodeloseaaplicado,sedebegenerarunespaciodeformacinatodoel personal que tenga interaccin y acceso a la informacin. En los espaciosempresariales,sehaceungranesfuerzoparaquetodoslosempleadostenganlascompetenciasquepermitanaccederalossistemasdeinformacin,sinembargopocassonlasactividadesyprocesosquesedesarrollanparaquelohagandeunaformasegura.No obstante la abundante gama normativa y Legal, stas per se no garantizanseguridadtotaldelainformacin.

54

Aun los profesionales en temas informticos, suelen no diferenciar entreconceptosdeseguridad informticayseguridadde la informacin, locualpuedegenerar o sesgos en cuanto esfuerzos o direccionamiento de los esquemaspreventivos.Olvidandolavisinholsticaquepermitiraminimizarriesgos.Elreducidoabismoentremodelaryaplicar,esquemasdeseguridadinformticaydeinformacin,tambinestmediadoporlaprofundidaddelmismo.Por locualorganizaciones que han realizado inmensas inversiones para el desarrollo demodelos sper avanzados y con todas las medidas planificadas para evitarataques,sehanolvidadodelasrealidadesdesusrecursosparaaplicarlos,casiexperimentandomegaprocesosparaseraplicadospordbilesequiposdetrabajo.Deestamanerasepuedeconcluirque losprocesosdebenseradecuadosa lasrealidades de cada organizacin, por ello el presente proceso investigativo nogeneraunmodelorgidoyeinamovible,sinoantesbienentregaunaherramientaparatenerencuentaenelmomentoquesevayaagenerarunmodeloaplicadoyhechoalmedidadecadaorganizacin.Debe reafirmarse al empresario local que la adquisicin tecnolgica no implicaseguridad de la informacin, si no que esto requiere de buenas prcticasestandarizadasdelaadministracindelosactivosdeinformacin.Una gestin adecuada de los activos informacin trae como resultado laimplementacindeunSGSI.La seguridad informtica para una organizacin se debe entender como unprocesoynocomounproductoquesepuedecompraroinstalar,estosetratadeun proceso continuo, en el que se incluyen actividades como la valoracin deriesgos,prevencin,deteccinyrespuestaanteincidentesdeseguridad.La implementacin de medidas de seguridad en lugar de agilizar los procesos,ayudan al detrimento del rendimiento de los mismos (ej: envo de un mensajeencriptado).

55

3.3. RECOMENDACIONES

Se recomiendaanuevos investigadoresdaraconocerelconceptodeseguridadde la informacinen lasempresasde la reginpara as asegurar la adecuadagestindelosactivosdeinformacinteniendoencuentaqueestosabarcantodolorelacionadoensalvaguardarlospilaresdelaseguridaddelainformacin.Generaren todos los integrantesde laorganizacinungrancompromisocon laseguridadde la informacin y de lo significativo que sonestasprcticas para lacontinuidaddelosobjetivosorganizacionales.La legislacin se debe unir con los interesados en informtica y as generarnuevasleyesquerijanestembito,sinobstaculizarel libre funcionamientode lainformtica especialmente con la internet, puesto que haymuchos intereses enestemundotanamplioypuedendirigirseporcaminosnocorrectosyaslimitarlafluidezdelconocimiento.Apartirdelmodeloplanteadoenesteproyectoinvestigativo,debesurgirunnuevoproyecto,queplanteelaejecucindelmodeloalinteriordeunaorganizacin.

56

4. REFERENCIAS BIBLIOGRFICAS

[1] ALMANZA JUNCO, Ricardo Andrs, Revista Sistemas N 115, pg. 26-49.Artculo:EncuestanacionalSeguridadinformticaenColombia:Tendencias2010.Extrado del sitio web http://www.acis.org.co/index.php?id=1490 Septiembre de2010.[2] [4] [5] [6] [8] GMEZ VIEITES, lvaro. 2007, Enciclopedia de la SeguridadInformtica,AlfaomegaGrupoeditor,Mxico,PrimeraEdicin.[3]INFOSECGlorssary2000.[7] Cornell University Law School, Extrado del sitio webhttp://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.htmlalos4dasdeOctubrede2010.[9]ISO/IEC17799:2005[10]CANO, Jeimy J., 2005, Revista Sistemas N 92, artculo Aprendiendo de lainseguridad informtica, extrado del sitio webhttp://www.acis.org.co/index.php?id=457el15septiembrede2010.[11] [13] [14] [15]

oriegaEditores,2007.[12]

UniversidaddePiura,Per,2009[16] Oficina Nacional de Gobierno Electrnico e Informtica ONGEI Per,Extradodelsitiowebhttp://www.ongei.gob.pe/alos5dasdelmesdeoctubrede2010.

57

[17] DAZ SAN PEDRO, Manuel., 2009, ISO 27001: Hacia un cumplimientoobligatorio?, extrado del sitio web http://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimiento-obligatorio.htmel8denoviembrede2010.[18]Guaparaunagestinbasadaenprocesos, InstitutoAndaluzdeTecnologa,ISBN84-923464-7-7[19]ISO/IEC27001:2005

58

ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIN

La necesidad de implantar estrategias que permitan que la informacin semantenga segura, y que adems cumpla con las cualidades de disponibilidad,integridad y confidencialidad, podra definirse de cierta manera comoadministracindeseguridaddelainformacin.Todoslosprocesosqueconllevenaplanificar,organizar,dirigirycontrolarciertosrecursos, con el nimo de obtener beneficios de la informacin que posee unaorganizacin,conllevanaqueadichainformacinseleatribuyannivelesaltosdecalidad, que permiten tomar decisiones estratgicas que direccionan laorganizacin,yqueademsgarantizanquelaseguridaddelainformacinymsaun,quelasdecisionesbasadasendichainformacinnosevernvulneradasporfactores externos que atenten contra confidencialidad, la disponibilidad y laintegridaddelainformacin.Conelpropsitodeestablecerunnivelptimodeseguridaddelainformacin,seestableceunManualdeRespuestaaIncidentesdeSeguridaddela Informacin,que sirve como gua de implementacin dentro de la organizacin que deseealinearseconlasbuenasprcticasestablecidasenlaISO27001.OBJETIVO

Priorizar las iniciativas ms importantes para cumplir con los objetivos y metasrespecto a la seguridad de la informacin en la organizacin, con el fin deestablecerunaguademanejosobrelosproyectosdeseguridad.

60

DEL MANUAL

SeproporcionanlossiguientesprocedimientosparalaelaboracindelManualdeRespuestaaIncidentesdeSeguridaddelaInformacin:Identificaryconocer lasposiblesvulnerabilidadesdeseguridaddela informacinal interiorde laorganizacin,constituyeelpasoinicialparaelestablecimientodepolticas y estrategias que la direccionen, en va de salvaguardar la integridad,disponibilidad y confidencialidad de informacin de la organizacin.Realizar un diagnstico empresarialdeterminael puntodepartidaqueprepara launificacinde los criterios y objetivos empresariales en aras de implementar unas buenasprcticasdeseguridaddelainformacin.Tras definir los objetivos a alcanzar, e identificar los factores que vulneran laseguridad de la informacin de la organizacin, deben establecerse las lneas estratgicas de seguridad,quegaranticenlacreacindeunplandeaccinfrentea los factores de riesgo a los que se encuentra expuesta la informacin. Esimportante proporcionar una clara identificacin de los objetivos para que ellineamientoseamarcadosinambigedadesenelejerciciodelasbuenasprcticasdeseguridad.Conciernealaaltagerenciaestablecer y garantizar los recursos necesarios,tantohumanos,tcnicosytecnolgicosqueanenlosesfuerzosdelosintegrantesdelaorganizacin con el fin de cumplir los objetivos establecidos, teniendo unaidentificacin completa de cada tipo de riesgo probable, asocindolo a cadadepartamento implicado, proporcionando soluciones contundentes mediante laespecializacin del talento humano, garantizando la idoneidad del personal y laacertada solucin o mitigacin del incidente, estableciendo programas de cumplimiento de prcticas de seguridad mediante guas procedimentales, quegaranticen que los integrantes de la organizacin conozcan el manual derespuestaalosincidentesyelrespectivotratamientodelosriesgos,ylaposteriorejecucinptimadecadaunodelosprocedimientosdelmanual.Garantizar que los factores de riesgo sigan un patrn controlable, medible yparametrizablequepermitanunamejoracontinua,ademsque,losincidentesnoidentificados como factores de riesgo sean parametrizados y documentados,

61

proporcionaunpuntodepartidaderetroalimentacindelmanualderespuesta,porello,establecer niveles de tolerancia a fallos,garantiza la trazabilidaddel riesgo,puestoqueconsecuentementehaceuntratamientodelriesgoasumido,yencasodelaocurrenciadeunriesgonoprevisto,formalizasudocumentacinyposteriortratamiento.Porltimo,sise trazanmtodos de seguimiento, revisin y auditoria,nosolosegarantiza la utilizacin del manual, sino tambin, una mejora continua comoconsecuenciade la retroalimentacinde losprocesosdefinidos enelmanualderespuestaa incidentes, influyendopositivamenteen lamejoradelacalidadde laseguridaddelainformacin.PROCEDIMIENTOS DE GESTIN

EstablecerDiagnsticoEmpresarial:

Encuestara losmiembrosde laorganizacin respectoalconocimientodepolticasdeseguridaddelainformacin.

Verificarquelainformacinobtenidaesreal.

Proponerlneasestratgicasdeseguridad. EstablecerLneasEstratgicasdeSeguridad.

Definirlosobjetivosdeseguridaddelainformacin.

Identificarlosfactoresderiesgodeseguridaddelainformacin.

Establecerunplanderespuestaacadafactorderiesgoidentificado.EstablecerRecursosNecesarios.

Identificareltipoderiesgoyasociarloacadadepartamentoimplicado.

62

Asignarrolesyresponsabilidades.

Garantizar idoneidad de los encargados de las lneas estratgicas de

seguridad.EstablecerProgramasdeCumplimientodePrcticasdeSeguridad.

Establecerunaguadesolucindeincidentes.

Garantizar que los integrantes de la organizacin conozcanelmanual derespuestaaincidentes.

Garantizarseguimientoyrevisindelmanualderespuestaaincidentes.

EjecutarProgramasdeCumplimientodePrcticasdeSeguridad.

Garantizar que el personal cumple con las medidas establecidas en elmanualderespuestaaincidentes.

EstablecerNivelesdeToleranciaaFallos.

Documents

Guia de Buenas Practicas