1

IMPLEMENTACION DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN (SGSI) EN LA COMUNIDAD NUESTRA SEORA DE GRACIA, ALINEADO TECNOLGICAMENTE CON LA NORMA ISO 27001
Andrs Fabin Daz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz1, Gustavo Adolfo Herazo Prez

Resumen ste artculo es el resultado de un proyecto de investigacin, adelantado por un grupo de estudiantes de ingeniera de sistemas con el fin de implementar un SGSI2 en la Comunidad Nuestra Seora de Gracia. Este sistema se basa en las directrices indicadas en la norma ISO/IEC 27001, y en el marco del mismo se gener un anlisis de gap3, que permiti evidenciar un nivel de brechas significativo en la mencionada Comunidad, con base en el cual se establecieron polticas y controles de mejoramiento de los procesos de seguridad de la informacin y se definieron las declaraciones de aplicabilidad que fortalecieron todo el anlisis de riesgos efectuado.

ndice de Trminos IEC: International Electrotechnical Commission. SOA: Declaracin de aplicabilidad.

I. INTRODUCCIN

La cantidad y la complejidad de la informacin siguen teniendo un aumento considerable y los profesionales de TI4 se enfrentan cada da a retos inimaginables para abordar las amenazas que persisten en la sociedad actual y que no muestran signos de desaceleracin. Amenazas representativas, tales como el troyano Hydraq5, se pueden seguir presentando indefinidamente en los mbitos computacionales, causando prdidas econmicas significativas. [1]

1 2 3

leidyj.ortiza@konradlorenz.edu.co

Sistema de Informacin para el Control de Gestin de Seguridad de la Informacin Un anlisis de gap, permite comparar los procesos actuales que tiene la organizacin con los lineamientos de cumplimiento de la norma ISO/IEC 27001 y establecer en qu reas o procesos se debe priorizar y enfocar el esfuerzo para permitir incrementar la seguridad de la informacin. (Fuente: http://www.gapanalisis.com/) 4 Technology Information, Tecnologa de Informacin 5 Reportes de Symantec, uno de los principales representantes de soluciones para la seguridad de la informacin. Acerca de Hydraq disponible en: http://www.symantec.com/es/es/outbreak/index.jsp?id=trojan-hydraq

Debido a esto, las empresas necesitan proteger y reforzar su activo ms valioso: la informacin. Esta necesidad se ve agravada, debido a que los datos de una empresa y su complejidad de anlisis crecen exponencialmente, razn por la cual se requiere establecer una disciplina de seguridad que determine un permetro para las debilidades del negocio6 [2]. Es claro que las organizaciones han sido conscientes que la certificacin representa un instrumento para demostrar que sus organizaciones poseen un SGSI con el fin de asegurar y controlar sus procesos de negocios y de misin crtica7. El trabajo descrito en el presente artculo fue desarrollado en la Comunidad Nuestra Seora de Gracia, de la ciudad de Bogot, a la cual se realiz un proceso de diagnstico, a partir del cual se determin que no posea los mecanismos, ni los procesos idneos para proteger su informacin. Con base en esta situacin, se decidi realizar un plan piloto para implementar polticas que se ajustaran a la norma ISO/IEC 27001, adems de disear e implementar un sistema de informacin web que ayudara al equipo de stakeholders8 al levantamiento inicial de informacin, al anlisis de brechas y de gap; y que ayudara al auditor de la comunidad al seguimiento y gestin de cada uno de los procesos de la norma.

II. METODO

Desde el inicio del proyecto se utiliz una serie de pasos que permitieron una adecuada ejecucin del SGSI y un resultado exitoso del mismo, los cuales se describen a continuacin9.

1. Programacin del proyecto con el personal de la direccin de la Comunidad. Este proceso permiti que la alta gerencia de la Comunidad entendiera la importancia del proyecto piloto y la necesidad del apoyo del recurso humano, factor vital para el
6

METODOLOGA PARA LA INCORPORACIN DE MEDIDAS DE SEGURIDAD EN SISTEMAS DE INFORMACIN DE GRAN IMPLANTACIN Disponible en: http://oa.upm.es/323/1/09200430.pdf 7 ENTREGABLES 3, 4, 5 y 6: INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIN SISTEMA SANSI - SGSI - MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA. 8 Es importante resaltar que el trmino stakeholders representa aquellas personas o colectivos que tienen algn tipo de inters sobre la empresa con un fin en particular, generando diversos efectos en el mejoramiento de los procesos de negocios 9 CHECKLIST DE IMPLEMENTACIN DE ISO 27001.

inicio de la fase de levantamiento de informacin. Esta fase fue exitosa gracias a que se mostraron puntos tales como: cumplimiento y rendimiento de la inversin de una forma eficaz, hacindoles entender que si una organizacin cumple con la normatividad sobre proteccin de datos sensibles, privacidad y control de TI, los resultados a futuro mejoraran de forma sustancial el impacto estratgico de la compaa, y aunque represente un gasto considerable, genera as mismo a futuro un ROI10 y una ganancia financiera representados en incidentes o desastres informticos.

2. Definir el alcance. Por la complejidad de la implementacin de la norma, se recomend a la Comunidad definir de manera sistemtica el alcance del proyecto, en las reas de CONTROL DE ACTIVOS y SEGURIDAD DE RECURSOS HUMANOS.

a) Control de activos: para este punto se sugiri realizar un inventario de los activos para tener un control ms riguroso de los mismos. Toda la informacin y activos asociados a los recursos para el tratamiento de la informacin, deberan tener un propietario y pertenecer a una parte designada de la Comunidad11. Para realizar un anlisis de riesgos se parte del inventario de activos. Para determinar cul era la situacin actual de la Comunidad, se realiz un anlisis de gap, cuyos resultados se muestran en la figura 1, donde se puede apreciar que un 20% de los activos de la Comunidad no tienen un procedimiento implantado, lo cual representa un porcentaje bastante alto.

Figura 1. Anlisis gestin de activos

10 11

Retorno de la Inversin De acuerdo con la norma ISO/IEC 27001.

b) Seguridad de los recursos humanos: Tuvo como objetivo asegurar que los empleados, contratistas y usuarios de terceras partes, entienden sus

responsabilidades y son aptos para ejercer las funciones para las cuales estn siendo considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las instalaciones. Para el anlisis del control de activos y de la seguridad de los recursos humanos se trabaj con la metodologa MAGERIT12y13 [2]. En la Comunidad se aplicaron los siguientes pasos de MAGERIT:
Concientizar a los responsables de los SI
14

respecto a la existencia de riesgos

Ofrecer un mtodo sistemtico para analizar los riesgos a los que se ve expuesta la

informacin.
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos

bajo control.
Preparar a la organizacin para procesos de evaluacin
15

Siguiendo con el alcance del proyecto, adicionalmente se trabajaron las siguientes capitulaciones:

c) Anlisis de vulnerabilidades a nivel de acceso lgico: La seguridad lgica concentra sus objetivos en la aplicacin de procedimientos que resguarden el acceso a los datos y permisos a las personas autorizadas16. Los procesos de esta capitulacin se desarrollaron en el siguiente orden:
Realizar un anlisis de brechas con el fin de definir la declaracin de aplicabilidad

(SOA)17.

Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, que est directamente relacionada con la generalizacin del uso de las tecnologas de la informacin y que supone unos beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.(Fuente: http://www.mpt.gob.es/publicaciones/centro_de_publicaciones_de_la_sgt/Monografias0/parrafo/01111111111111111115/text_es_files/fi le/Magerit-v2_I-metodo.pdf) 13 Directamente relacionada con el uso de los medios electrnicos, informticos y telemticos 14 SI: sistemas de informacin 15 Auditora, certificacin o acreditacin, segn corresponda en cada caso. 16 Velando para que la confidencialidad, integridad y disponibilidad 17 SOA(Statement Of Applicability, Traducido como declaracin de aplicabilidad): referenciado en la clusula 4.2.1j del estndar ISO 27001 es un documento que lista los objetivos y controles que se van a implementar en una Organizacin, as como las justificaciones de aquellos controles que no van a ser implementados.(Fuente: http://iso-17799.safemode.org/index.php?page=Statement_of_Applicability)

12

Definir polticas y procedimientos aplicados al cumplimiento de la norma ISO/IEC

27001, en sus dominios 10 y 11 de acuerdo a lo establecido en la Declaracin de aplicabilidad.

Aplicando la metodologa OCTAVE , iniciar el proceso de anlisis de riesgos,
18

abarcando los procesos de valoracin de activos, identificacin de amenazas y vulnerabilidades, determinacin de probabilidad de ocurrencia de una amenaza y valoracin del riesgo intrnseco.19
Entregar

los resultados definitivos del anlisis de riesgos, declaracin de

aplicabilidad, polticas y procedimientos.

3. Gestin y tratamiento de los riesgos, seleccin de los controles. La gestin de los riesgos es el proceso por el cual se controlan, minimizan o eliminan los riesgos que afectan a los activos de la organizacin. En este caso, luego de haber determinado los riesgos existentes en la organizacin, as como las medidas adecuadas para hacer frente a los mismos, se dispuso de varias alternativas para afrontar estos riesgos: Eliminar, Transferir, Asumir o Mitigar el riesgo. Todas las medidas implantadas se documentaron para permitir la gestin por parte de la organizacin. Una vez decididas las medidas que se aplicaran a los riesgos identificados, se realiz un nuevo anlisis, el cual expondra el registro residual20 de la organizacin. Se definieron dos tipos de controles que se complementan: tcnicos y organizativos. Los controles tcnicos tienen que quedar perfectamente documentados a travs de procedimientos. Los controles organizativos pueden quedar documentados a travs de procedimientos o polticas de seguridad. Los controles seleccionados por la Comunidad fueron organizados en el documento de declaracin de aplicabilidad (SOA). El SOA relaciona qu controles aplican en la organizacin y cules no21. Para aquellos controles que s aplican, se debe incluir los
18

OCTAVE(Operationally Critical Threats Assets and Vulnerability Evaluation): Metodologa de anlisis de riesgos en seguridad de TI que permite dirigir y evaluar riesgos, tomar decisiones basndose en sus riesgos y proteger los activos claves de informacin (Fuente: http://www.cert.org/octave/) 19 INTRODUCCIN A OCTAVE. Disponible en: http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunozIVJNSI.pdf 20 El nivel de riesgo aceptable por la organizacin bajo el cual estarn todos los riesgos de la misma 21 Para aquellos controles no seleccionados, porque simplemente no aplican, se debe indicar la razn de su exclusin de manera detallada. Este punto es muy importante, ya que en la fase de certificacin del sistema ser uno de los documentos a revisar por los auditores.

objetivos del control, la descripcin, la razn para su seleccin, aplicacin y la referencia al documento en el que se desarrolla su implementacin. Se realiz una evaluacin del anlisis de brechas, que permiti evidenciar puntos crticos que se atacaron implementando control de riesgos, utilizando el estndar OCTAVE-S22, cuyo nfasis est en proveer tcnicas de apoyo en soluciones lgicas de acceso. [1] En la aplicacin de OCTAVE en la Comunidad, el grupo de stakeholders particip integrando desde personal de reas operativas y de negocios hasta el personal del departamento de TI, balanceando los tres aspectos: RIESGOS OPERATIVOS, PRCTICAS DE SEGURIDAD y PRCTICAS DE TECNOLOGA. Las fases desarrolladas utilizando OCTAVE fueron las siguientes: a) Enfoque Estratgico de la Comunidad, implementacin de mejores prcticas y anlisis de vulnerabilidades de la organizacin. b) Creacin del modelo de vista tecnolgica. c) Estrategias de proteccin y planes de mitigacin Finalizando esta parte del proceso, se procedi a la elaboracin y definicin de los puntos de control de dominio de monitoreo para la capitulacin de monitoreo, como se muestra en la tabla 1:

Tabla 1. Definicin de puntos de control del dominio de Monitoreo

Para el anlisis de riesgo asociado con el captulo de control de acceso, se establecieron declaraciones de aplicabilidad como las que aparecen en la tabla 2.

22

Como herramienta aplicada para empresas pequeas (menos de 100 empleados)

Tabla 2. Declaraciones de aplicabilidad para el Control de Acceso.

Otros de los temas tratados dentro de la investigacin fueron el control de acceso a la capa de aplicaciones y anlisis de modelos criptogrficos, y la capitulacin de

proteccin contra cdigo malicioso y gestin de seguridad de las redes, cuyo soporte metodolgico para el anlisis de riesgos fue tratado con DLP23 y simultneamente con la norma NTC 5254.
III. SOPORTE METODOLGICO DEL SISTEMA DE INFORMACIN.

Como software de apoyo para todo el proceso anteriormente descrito se entreg a la Comunidad, un sistema informtico web que facilita la gestin y el control del sistema de gestin de la seguridad de la informacin. Este sistema informtico permite a los grupos de stakeholders y auditores desarrollar un esquema de trabajo basado en procesos, y enfatiza en las polticas y controles de seguridad por capa capitulacin del compendio de ISO 27001, la definicin de la metodologa de la evaluacin del riesgo y su respectiva evaluacin, la declaracin de aplicabilidad SOA y el plan del tratamiento del riesgo y medicin de la eficacia de los controles establecidos. Las pantallas generales de este sistema de informacin se muestran en la figura 2.

23

Data Loss Prevention

Figura 2. Pantallas generales del sistema de informacin

IV. RESULTADOS

Gracias al proyecto desarrollado en la Comunidad Nuestra Seora de Gracia, se definieron principios y polticas de control de informacin y de comunicacin de seguridad, los cuales produjeron los siguientes resultados:
1. Definicin de roles y propuestas de asignacin y estructura organizativa, polticas

de control, planificacin de actividades, responsabilidades, prcticas, procesos y recursos. (ver Figura 3).

<<use>>

Autenticarse

Reporte de eventos del AD <<include>> <<use>>

Usuario

<<use>>

Administrar eventos generados por AD <<include>> <<use>> Administrar cambios de objetos de AD

Sincronizacin de objetos con AD Usuario

<<use>> <<extend>> Creacin de usuario

<<use>> <<use>> Administracin de usuarios Administrador <<use>> Generar reporte de incidentes de usuario <<use>>

<<extend>> Creacin de grupo <<extend>> <<extend>> <<extend>> Modificacin de usuario

Generar informe de cambios en objetos <<extend>>

Modificacin de grupo

Eliminacin de usuario

Eliminacin de grupo

Figura 3. Roles y Actores descritos en el proyecto [3] 2. Propuesta de alineacin tecnolgica frente a los procesos estratgicos de la

organizacin.
3. Entrega de un sistema de informacin para una mayor seguridad integral. 4. Propuesta de un plan de continuidad del negocio permitiendo que la empresa

pueda recuperarse despus de algn incidente que pudiese presentarse.

5. Capacitacin y concientizacin al Departamento de Sistemas sobre el impacto

favorable que tendra el establecimiento de una poltica en ISO 27001.

6. Entrega y socializacin de anexos donde se describen riesgos de inventarios de

servidores y estaciones de trabajo, declaraciones de aplicabilidad y la respectiva matriz de riesgos, soportadas por su respectivo anlisis de riesgos. Los riesgos identificados [4] y analizados de acuerdo a la norma para la Comunidad, se pueden revisar en la tabla 3 y 4, que se muestran a continuacin.

1 0

Tabla 3. Identificacin de riesgos de los activos de la Comunidad

Tabla 4. Identificacin de riesgos 7. Adicionalmente, se entregaron procedimientos de gestin de contraseas, gestin

de usuarios, polticas y establecimientos de gestin de monitoreo para la red LAN24[5], como para los enlaces dedicados con el proveedor de servicios de

telecomunicaciones, polticas de control de acceso fsico y lgico, recursos humanos, controles criptogrficos y gestin de redes (se pueden apreciar en la figura 4).

Figura 4. Diagrama de casos de usos para la gestin de red.

V. CONCLUSIONES

Actualmente en la sociedad de la informacin, es necesario que todas las organizaciones, sin tener en cuenta su tamao, implementen mecanismos que permitan mantenerla segura, donde una se use la norma internacional ISO/IEC 27001 como un sistema basado en procesos que busca garantizar la seguridad de la
24

Se trabaj con Wireshark

1 1

informacin, siguiendo una serie de pautas y controles que de aplicarse, minimizan los riesgos a los cuales se ve expuesta.

Se realiz un anlisis de brechas donde se identificaron los puntos de control aplicables en la Comunidad, del cual se extrajo la Declaracin de Aplicabilidad. De igual forma, se elaboraron las polticas y procedimientos necesarios para iniciar el proceso de implementacin de controles del SGSI.

Se logr identificar y adaptar un software libre que permite realizar los procesos y gestin de los objetivos de control de los dominios tratados en el desarrollo del proyecto.

En el ambiente de la seguridad de la informacin ya existen normas y guas como MAGERIT y OCTAVE que proveen los elementos necesarios para realizar anlisis de riesgo.

Para la seguridad de los recursos humanos, se hizo necesario definir de forma clara y concisa a los colaboradores, detallar sus roles y responsabilidades, adems de establecer unas clausulas dentro de los contratos respecto a la confidencialidad y responsabilidad de los activos y de la informacin.

La implementacin del SGSI es beneficioso para la Comunidad en cuanto a: seguridad efectiva en los sistemas de informacin; mejoras continuas en procesos de auditoras internas dentro de la Comunidad; incremento de la confianza en la Comunidad y mejora de su imagen.

VI. REFERENCIAS [1] Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC). Compendio:

Sistema de Gestin de la Seguridad de La Informacin: SGSI. Bogot. 2006

[2] Alexander Marcombo. Diseo De Un Sistema De Seguridad Informtica.

Alfaomega. Mxico, 2007.

1 2

[3] Castro Alfonso Favin & Daz Verano, Fabin A. Anlisis De Vulnerabilidades A

Nivel De Acceso Lgico Basado En La Norma ISO/IEC 27001 En La Comunidad Provincia De Nuestra Seora De Gracia De Colombia. Proyecto de Grado, Ingeniera de Sistemas, Fundacin Universitaria Konrad Lorenz. Bogot, Colombia 2010.
[4] Ramrez Gaita, Andrs Camilo & Parra Amado, Gerardo. Control De Acceso A La

Capa De Aplicaciones Y Anlisis De Modelos Criptogrficos Basados En La Norma ISO/IEC 27001 En La Comunidad Provincia De Nuestra Seora De Gracia De Colombia. Proyecto de Grado, Ingeniera de Sistemas, Fundacin Universitaria Konrad Lorenz. Bogot, Colombia 2010
[5] Collazos Muoz, Gloria I. Proteccin Contra Cdigo Malicioso Y Gestin De

Seguridad De Las Redes Basado En La Norma ISO/IEC 27001 en La Empresa Provincia De Nuestra Seora De Gracia De Colombia. Proyecto de Grado, Ingeniera de Sistemas, Fundacin Universitaria Konrad Lorenz. Bogot, Colombia. 2010