Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SGSI
SGSI
Resumen
ste artculo es el resultado de un proyecto de investigacin, adelantado por un grupo
de estudiantes de ingeniera de sistemas con el fin de implementar un SGSI2 en la
Comunidad Nuestra Seora de Gracia. Este sistema se basa en las directrices
indicadas en la norma ISO/IEC 27001, y en el marco del mismo se gener un anlisis
de gap3, que permiti evidenciar un nivel de brechas significativo en la mencionada
Comunidad, con base en el cual se establecieron polticas y controles de
mejoramiento de los procesos de seguridad de la informacin y se definieron las
declaraciones de aplicabilidad que fortalecieron todo el anlisis de riesgos efectuado.
I. INTRODUCCIN
1
2
leidyj.ortiza@konradlorenz.edu.co
II. METODO
Desde el inicio del proyecto se utiliz una serie de pasos que permitieron una
adecuada ejecucin del SGSI y un resultado exitoso del mismo, los cuales se
describen a continuacin9.
inicio de la fase de levantamiento de informacin. Esta fase fue exitosa gracias a que
se mostraron puntos tales como: cumplimiento y rendimiento de la inversin de una
forma eficaz, hacindoles entender que si una organizacin cumple con la
normatividad sobre proteccin de datos sensibles, privacidad y control de TI, los
resultados a futuro mejoraran de forma sustancial el impacto estratgico de la
compaa, y aunque represente un gasto considerable, genera as mismo a futuro un
ROI10 y una ganancia financiera representados en incidentes o desastres informticos.
2. Definir el alcance.
Por la complejidad de la implementacin de la norma, se recomend a la Comunidad
definir de manera sistemtica el alcance del proyecto, en las reas de CONTROL DE
ACTIVOS y SEGURIDAD DE RECURSOS HUMANOS.
a) Control de activos: para este punto se sugiri realizar un inventario de los activos
para tener un control ms riguroso de los mismos. Toda la informacin y activos
asociados a los recursos para el tratamiento de la informacin, deberan tener un
propietario y pertenecer a una parte designada de la Comunidad11.
Para realizar un anlisis de riesgos se parte del inventario de activos. Para determinar
cul era la situacin actual de la Comunidad, se realiz un anlisis de gap, cuyos
resultados se muestran en la figura 1, donde se puede apreciar que un 20% de los
activos de la Comunidad no tienen un procedimiento implantado, lo cual representa un
porcentaje bastante alto.
10
11
Retorno de la Inversin
De acuerdo con la norma ISO/IEC 27001.
b) Seguridad de los recursos humanos: Tuvo como objetivo asegurar que los
empleados,
contratistas
usuarios
de
terceras
partes,
entienden
sus
responsabilidades y son aptos para ejercer las funciones para las cuales estn siendo
considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las
instalaciones.
Para el anlisis del control de activos y de la seguridad de los recursos humanos se
trabaj con la metodologa MAGERIT12y13 [2].
En la Comunidad se aplicaron los siguientes pasos de MAGERIT:
14
Ofrecer un mtodo sistemtico para analizar los riesgos a los que se ve expuesta la
informacin.
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos
bajo control.
15
(SOA)17.
12
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, que est directamente relacionada con la
generalizacin del uso de las tecnologas de la informacin y que supone unos beneficios evidentes para los ciudadanos; pero tambin da
lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.(Fuente:
http://www.mpt.gob.es/publicaciones/centro_de_publicaciones_de_la_sgt/Monografias0/parrafo/01111111111111111115/text_es_files/fi
le/Magerit-v2_I-metodo.pdf)
13
Directamente relacionada con el uso de los medios electrnicos, informticos y telemticos
14
SI: sistemas de informacin
15 Auditora, certificacin o acreditacin, segn corresponda en cada caso.
16
Velando para que la confidencialidad, integridad y disponibilidad
17
SOA(Statement Of Applicability, Traducido como declaracin de aplicabilidad): referenciado en la clusula 4.2.1j del estndar ISO
27001 es un documento que lista los objetivos y controles que se van a implementar en una Organizacin, as como las justificaciones de
aquellos controles que no van a ser implementados.(Fuente: http://iso-17799.safemode.org/index.php?page=Statement_of_Applicability)
OCTAVE(Operationally Critical Threats Assets and Vulnerability Evaluation): Metodologa de anlisis de riesgos en seguridad de TI
que permite dirigir y evaluar riesgos, tomar decisiones basndose en sus riesgos y proteger los activos claves de informacin (Fuente:
http://www.cert.org/octave/)
19
INTRODUCCIN A OCTAVE. Disponible en: http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunozIVJNSI.pdf
20
El nivel de riesgo aceptable por la organizacin bajo el cual estarn todos los riesgos de la misma
21
Para aquellos controles no seleccionados, porque simplemente no aplican, se debe indicar la razn de su exclusin de manera detallada.
Este punto es muy importante, ya que en la fase de certificacin del sistema ser uno de los documentos a revisar por los auditores.
22
y la capitulacin de
proteccin contra cdigo malicioso y gestin de seguridad de las redes, cuyo soporte
metodolgico para el anlisis de riesgos fue tratado con DLP23 y simultneamente con
la norma NTC 5254.
III. SOPORTE METODOLGICO DEL SISTEMA DE INFORMACIN.
23
IV. RESULTADOS
Autenticarse
<<use>>
<<include>>
<<use>>
Usuario
<<use>>
<<include>>
<<use>>
<<use>>
<<extend>>
<<use>>
Administracin de usuarios
Administrador
Creacin de usuario
<<extend>>
Creacin de grupo
<<use>>
<<extend>>
<<use>>
Generar reporte de incidentes de usuario
<<extend>>
Modificacin de usuario
<<extend>>
Modificacin de grupo
Eliminacin de usuario
Eliminacin de grupo
organizacin.
3. Entrega de un sistema de informacin para una mayor seguridad integral.
4. Propuesta de un plan de continuidad del negocio permitiendo que la empresa
1
0
para
los
enlaces
dedicados
con
el
proveedor
de
servicios
de
V. CONCLUSIONES
1
1
informacin, siguiendo una serie de pautas y controles que de aplicarse, minimizan los
riesgos a los cuales se ve expuesta.
Se logr identificar y adaptar un software libre que permite realizar los procesos y
gestin de los objetivos de control de los dominios tratados en el desarrollo del
proyecto.
Para la seguridad de los recursos humanos, se hizo necesario definir de forma clara y
concisa a los colaboradores, detallar sus roles y responsabilidades, adems de
establecer unas clausulas dentro de los contratos respecto a la confidencialidad y
responsabilidad de los activos y de la informacin.
VI. REFERENCIAS
[1] Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC). Compendio:
1
2
[3] Castro Alfonso Favin & Daz Verano, Fabin A. Anlisis De Vulnerabilidades A