P. 1
Historia de La Seguridad a

Historia de La Seguridad a

2.0

|Views: 1.934|Likes:
Publicado porCarlos La Rosa

More info:

Published by: Carlos La Rosa on Jul 07, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

06/15/2014

pdf

text

original

INSTITUTO TECNOLÓGICO NACIONAL ARGENTINA

ESPECIALIDAD: COMPUTACIÓN

E INFORMÁTICA

CURSO: TEMA:

Seguridad Informática Enfoque de la seguridad de la información

PROFESOR: ALUMNOS: Contreras Chaves Nataly

Godoy….. La Rosa Aguilar Carlos

Mayo 2011

Enfoque de la seguridad de la información
Introducción
Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas. Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Esta ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, Planificación de la continuidad del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de Seguridad por nombrar algunos. Historia de la seguridad de la información

HISTORIA DE LA SEGURIDAD DE LA INFORMACIÓN
Desde tiempos inmemorables el hombre ha resguardado y protegido con celo sus conocimientos debido a la ventaja y poder que éste le producía sobre otros hombres o sociedades. En la antigüedad surgen las bibliotecas, lugares donde se podía resguardar la información para trasmitirla y para evitar que otros la obtuvieran, dando así algunas de las primeras muestras de protección de la información. Sun Tzu en El arte de la guerra y Nicolás Maquiavelo en El Príncipe señalan la importancia de la información sobre los adversarios y el cabal conocimiento de sus propósitos para la toma de decisiones. Durante la Segunda Guerra Mundial se crean la mayoría de los servicios de inteligencia del mundo con el fin de obtener información valiosa e influyente, creándose grandes redes de espionaje. Como forma de protección surge la contrainteligencia. Con el devenir de los años al incrementarse el alcance de la tecnología, el cuidado de la información se ha vuelto crucial para los hombres, las organizaciones y las sociedades Pero ¿por donde empezó el asunto? ¿Por dónde comenzar a deshilvanar el ovillo? Sin dudas uno de los pioneros en el tema fue James P. Anderson, quien allá por 1980 y a pedido de un ente gubernamental produjo uno de los primeros escritos relacionados con el tema, y es allí donde se sientan también las bases de palabras que hoy suenan como naturales, pero que por aquella época parecían ciencia ficción.

Encontramos en ese documento los primeros atisbos de definiciones casi proféticas. La definición de Vulnerabilidad fue tan acertada por aquella época que hoy en día se derivan extensiones donde entre otras cosas se determina que una vulnerabilidad no conocida por nadie no tiene la entidad de tal ya que es inexplotable hasta tanto sea descubierta.  Vulnerabilidad: una falla conocida o su sospecha tanto en hardware como en el diseño de software. Sin dudas este documento formara parte de la historia de la informática. aunque no tienen por qué ser de este tipo obligatoriamente). generados para cubrir una necesidad (objetivo).  Ataque: Una formulación especifica o ejecución de un plan para levar a cabo una amenaza. las siguientes definiciones son usadas en este documento:  Amenaza: la posibilidad de un intento deliberado y no autorizado de: • • • Acceder a información Manipular información Convertir un sistema en no-confiable o inutilizable  Riesgo: Exposición accidental e impredecible de información. Recursos materiales en general (típicamente recursos informáticos y de comunicación. o violación de la integridad de operaciones debido al malfuncionamiento de hardware o diseño incorrecto o incompleto de software. describe ahí la importancia del comportamiento enfocado hacia la seguridad en materia de informática. Actividades o técnicas de trabajo. la habilidad de obtener acceso no-autorizado (indetectable) a archivos y programas o el control de un sistema computarizado. Todos estos elementos interactúan entre sí para procesar los datos (incluyendo procesos manuales y automáticos) dando lugar a información más elaborada y . o la operación de un sistema que se expone a la penetración de su información con exposición accidental. James dejo el asunto difuso al incorporar la palabra "sospecha". organizados y listos para su posterior uso.El documento se llamo: Computer Security Threat Monitoring and Surveillance.  Penetración: Un ataque exitoso. De lo que podemos inferir que el descubrimiento de la vulnerabilidad la convierte en tal. SISTEMA DE INFORMACIÓN Sistema de información' (SI) es un conjunto de elementos orientados al tratamiento y administración de datos e información. Datos." Pensemos que estas definiciones fueron vistas y planteadas en 1980. Dichos elementos formarán parte de alguna de estas categorías: Elementos de un sistema de información. Personas.

Pagos. Cálculo de intereses moratorios. Normalmente el término es usado de manera errónea como sinónimo de sistema de información informático. depuraciones). pero siendo estrictos. plazo de pago. Catálogo de clientes. Facturas. Almacenamiento: Movimientos del mes (pagos. etc. Estados de cuenta. dirección. Se podría decir entonces que los sistemas de información informáticos son una subclase o un subconjunto de los sistemas de información en general. a) Actividades que realiza un Sistema de Información:  Entradas: Datos generales del cliente: nombre. depuraciones. Pólizas contables (interfase automática) Consultas de saldos en pantalla de una terminal. Políticas de créditos: límite de crédito. Las diferentes actividades que realiza un Sistema de Información se pueden observar en el diseño conceptual ilustrado en la en la figura: ENTRADA DE DATOS PROCESO Interface Automática de entrada REPORTES E INFORMES ALMACENAMIENTO Interface Automática de salida . etc.  Proceso: Cálculo de antigüedad de saldos. Facturas (interfase automático).  Salidas: Reporte de pagos. en parte porque en la mayoría de los casos los recursos materiales de un sistema de información están constituidos casi en su totalidad por sistemas informáticos. tipo de cliente. Cálculo del saldo de un cliente.distribuyéndola de la manera más adecuada posible en una determinada organización en función de sus objetivos. etc. un sistema de información no tiene por qué disponer de dichos recursos (aunque en la práctica esto no suela ocurrir).

es el de los Sistemas Estratégicos. Sistemas Expertos de Soporte a la Toma de Decisiones y Sistema de Información para Ejecutivos. sus cálculos y procesos suelen ser simples y poco sofisticados. Los tipos y usos de los Sistemas de Información se muestran en la figura: Clientes SISTEMAS Sistemas de Apoyo de Decisión Clientes SISTEMAS Nivel gerencial Sistemas transaccionales a los ejecutivos Nivel Operativo Sistemas Estratégicos ESTRATEGIAS ESTRATEGIAS Competencia A continuación se mencionan las principales características de estos tipos de Sistemas de Información. Por otra parte. los Sistemas de Información que apoyan el proceso de toma de decisiones son los Sistemas de Soporte a la Toma de Decisiones. los cuales se desarrollan en las organizaciones con el fin de lograr ventajas competitivas. Los Sistemas de Información que logran la automatización de procesos operativos dentro de una organización. o . cobros. El tercer tipo de sistema. etc.  Sistemas Transaccionales. de acuerdo con su uso u objetivos que cumplen.  Lograr ventajas competitivas a través de su implantación y uso. a través del uso de la tecnología de información. debido a que automatizan tareas operativas de la organización. Sus principales características son: A través de éstos suelen lograrse ahorros significativos de mano de obra. Sistemas para la Toma de Decisión de Grupo. salidas. Se empieza apoyando las tareas a nivel operativo de la organización. entradas. ya que su función primordial consiste en procesar transacciones tales como pagos.  Proporcionar información que sirva de apoyo al proceso de toma de decisiones. son llamados frecuentemente Sistemas Transaccionales. pólizas.b) Tipos y Usos de los Sistemas de Información Durante los próximos años. los Sistemas de Información cumplirán tres objetivos básicos dentro de las organizaciones:  Automatización de procesos operativos. o Con frecuencia son el primer tipo de Sistemas de Información que se implanta en las organizaciones. o Son intensivos en entrada y salida de información.

tales como ventajas en costos y servicios diferenciados con clientes y proveedores.o o Tienen la propiedad de ser recolectores de información. etc. el uso de cajeros automáticos en los bancos en un Sistema Estratégico. ya que sus beneficios son visibles y palpables. No suelen ahorrar mano de obra. En este contexto. la justificación económica para el desarrollo de estos sistemas es difícil. dentro de la organización. o Típicamente su forma de desarrollo es a base de incrementos y a través de su evolución dentro de la organización. Debido a ello. ya que están dirigidos al usuario final. Las principales características son: o Suelen introducirse después de haber implantado los Sistemas o Transaccionales más relevantes de la empresa. ya que no se conocen los ingresos del proyecto de inversión. Apoyan la toma de decisiones que. un modelo de planeación financiera requiere poca información de entrada. ya que estos últimos constituyen su plataforma de información. genera poca información como resultado. Así. por su misma naturaleza son repetitivos y de decisiones no estructuradas que no suelen repetirse. a través de estos sistemas se cargan las grandes bases de información para su explotación posterior. pero puede realizar muchos cálculos durante su proceso. modelos de simulación de negocios. o o o o o o o  Sistemas Estratégicos. La información que generan sirve de apoyo a los mandos intermedios y a la alta administración en el proceso de toma de decisiones. es decir. Estos sistemas pueden ser desarrollados directamente por el usuario final sin la participación operativa de los analistas y programadores del área de informática. Sus principales características son: Su función primordial no es apoyar la automatización de procesos operativos ni proporcionar información para apoyar la toma de decisiones. Se inicia con un proceso o función en particular y a partir de ahí se van agregando nuevas funciones o procesos. compra de materiales. Por ejemplo. un Sistema de Compra de Materiales que indique cuándo debe hacerse un pedido al proveedor o un Sistema de Simulación de Negocios que apoye la decisión de introducir un nuevo producto al mercado. Son fáciles de justificar ante la dirección general. ya que brinda o . con altos estándares de diseño gráfico y visual. es decir. o Su función es lograr ventajas que los competidores no posean. o Suelen desarrollarse in house. modelos de inventarios. proyecciones financieras. por lo tanto no pueden adaptarse fácilmente a paquetes disponibles en el mercado. los Sistema Estratégicos son creadores de barreras de entrada al negocio. Este tipo de sistemas puede incluir la programación de la producción. Suelen ser intensivos en cálculos y escasos en entradas y salidas de información. Suelen ser Sistemas de Información interactivos y amigables. flujo de fondos. Por ejemplo. por ejemplo.  Sistemas de Apoyo de las Decisiones.

o bien. En esta etapa es importante estar consciente de la resistencia al cambio del personal y usuario (ciberfobia) que están involucrados en los primeros sistemas que se desarrollan.ventaja sobre un banco que no posee tal servicio. las cuales se explican a continuación:  Comienza con la adquisición de la primera computadora y normalmente se justifica por el ahorro de mano de obra y el exceso de papeles. como situación de créditos. es importante aclarar que algunos autores consideran un cuarto tipo de sistemas de información denominado Sistemas Personales de Información. . En este contexto los ejemplos anteriores constituyen un Sistema de Información Estratégico si y sólo sí. posteriormente. Este último podrá estar bajo el régimen de honorarios. el cual está enfocado a incrementar la productividad de sus usuarios. desarrolló una teoría que impactó el proceso de planeación de los recursos y las actividades de la informática. se introducen los Sistemas de Apoyo a las Decisiones. c) Evolución de los Sistemas de Información De la sección anterior se desprende la evolución que tienen los Sistemas de Información en las organizaciones. la función de la Informática en las organizaciones evoluciona a través de ciertas etapas de crecimiento. tiempos de entrega. un Centro de Información que proporcione todo tipo de información. Si un banco nuevo decide abrir sus puerta al público. Con frecuencia se implantan en forma inicial los Sistemas Transaccionales y. En la década de los setenta. se desarrollan los Sistemas Estratégicos que dan forma a la estructura competitiva de la empresa. Esta etapa termina con la implantación exitosa del primer Sistema de Información. Cabe recalcar que algunas organizaciones pueden vivir varias etapas de inicio en las que la resistencia al cambio por parte de los primeros usuarios involucrados aborta el intento de introducir la computadora a la empresa. ya que estos sistemas son importantes en el ahorro de mano de obra. Richard Nolan. Según Nolan. puede recibirse el soporte de algún fabricante local de programas de aplicación. El pequeño Departamento de Sistemas depende en la mayoría de los casos del área de contabilidad. apoyan o dan forma a la estructura competitiva de la empresa. Por último. El tipo de administración empleada es escaso y la función de los sistemas suele ser manejada por un administrador que no posee una preparación formal en el área de computación. un conocido autor y profesor de la Escuela de Negocios de Harvard. embarques. o Por último. tendrá que dar este servicio para tener un nivel similar al de sus competidores. Las aplicaciones típicas que se implantan son los Sistemas Transaccionales tales como nóminas o contabilidad. o Un ejemplo de estos Sistemas de Información dentro de la empresa puede ser un sistema MRP (Manufacturing Resoure Planning) enfocado a reducir sustancialmente el desperdicio en el proceso productivo. o Apoyan el proceso de innovación de productos y proceso dentro de la empresa debido a que buscan ventajas respecto a los competidores y una forma de hacerlo en innovando o creando productos y procesos. etc. El personal que labora en este pequeño departamento consta a lo sumo de un operador y/o un programador. o bien.

dependiendo del organigrama de la Dirección de Administración o Finanzas. etc. Se inicia la contratación de personal especializado y nacen puestos tales como analista de sistemas. en este punto suele contratarse a un especialista de la función con preparación académica en el área de sistemas. tales como facturación. El pequeño departamento es promovido a una categoría superior. etc. Se inicia el desarrollo de interfases automáticas entre los diferentes sistemas. El tipo de administración empleado dentro del área de Informática se orienta al control administrativo y a la justificación económica de las aplicaciones a desarrollar. Para identificar a una empresa que transita por esta etapa es necesario considerar los siguientes elementos: Esta etapa de evolución de la Informática dentro de las empresas se inicia con la necesidad de controlar el uso de los recursos computacionales a través de las técnicas de presupuestación base cero (partiendo de que no se tienen nada) y la implantación de sistemas de cargos a usuarios (por el servicio que se presta). control de pedidos de clientes y proveedores. programador de sistemas. Las aplicaciones están orientadas a facilitar el control de las operaciones del negocio para hacerlas más eficaces. Los gastos por concepto de sistemas empiezan a crecer en forma importante. control de órdenes de compra a proveedores. El tipo de administración empleado está orientado hacia la venta de aplicaciones a todos los usuarios de la organización. control de proyectos. control de inventarios. desarrollo y diseño de sistemas. el primer ejecutivo usuario se transforma en el paradigma o persona que se habrá que imitar.  Etapa de control o formalización. Las características de esta etapa son las siguientes: . Etapa de contagio o expansión.  Etapa de integración. Como consecuencia de lo anterior. donde depende de la Gerencia Administrativa o Contraloría. personal con habilidades administrativas y preparadas técnicamente. analista-programador. Nace la necesidad de establecer criterios para las prioridades en el desarrollo de nuevas aplicaciones. Este problema y el inicio de su solución marcan el paso a la siguiente etapa. El departamento de sistemas de la empresa suele ubicarse en una posición gerencial. La cartera de aplicaciones pendientes por desarrollar empieza a crecer. de tal forma que las salidas que produce un sistema se tienen que alimentar en forma manual a otro sistema. con la consecuente irritación de los usuarios. Los aspectos sobresalientes que permiten diagnosticar rápido que una empresa se encuentra en esta etapa son: Se inicia con la implantación exitosa del primer Sistema de Información en la organización. Se integra a la organización del departamento de sistemas. Las aplicaciones que con frecuencia se implantan en esta etapa son el resto de los Sistemas Transaccionales no desarrollados en la etapa de inicio. tales como sistemas para control de flujo de fondos. jefe de soporte técnico. jefe de desarrollo. inventarios. En esta etapa se inician el desarrollo y la implantación de estándares de trabajo dentro del departamento. lo que marca la pauta para iniciar la racionalización en el uso de los recursos computacionales dentro de la empresa. Las aplicaciones desarrolladas carecen de interfases automáticas entre ellas. tales como: estándares de documentación. cheques. etc. auditoría de sistemas y programación. control y manejo de proyectos.

Sistemas Basados en el Conocimiento y Sistemas Expertos. cambió el rol del usuario y del departamento de Sistemas de Información. RFC2196. Entre las características que destacan en esta etapa están las siguientes: El departamento de Sistemas de Información reconoce que la información es un recurso muy valioso que debe estar accesible para todos los usuarios. Los usuarios y el departamento de sistema iniciaron el desarrollo de nuevos sistemas. aplicaciones que proporcionan información para las decisiones de alta administración y aplicaciones de carácter estratégico. Para poder cumplir con lo anterior resulta necesario administrar los datos en forma apropiada. ISO 27001 El actual entorno económico y de competencia en el que se desenvuelven las empresas se caracteriza por el uso intensivo de la información y el conocimiento en las compañías. El costo del equipo y del software disminuyó por lo cual estuvo al alcance de más usuarios. Las nuevas tecnologías relacionadas con base de datos. la Informática dentro de la organización se encuentra definida como una función básica y se ubica en los primeros niveles del organigrama (dirección). Principales estándares para la seguridad de la información IT Alcances y consideraciones esenciales de los estándares ISO-IEC BS7799-IT. en general. es decir.La integración de los datos y de los sistemas surge como un resultado directo de la centralización del departamento de sistemas bajo una sola estructura administrativa. SSE-CMM y. a través del uso de recursos computacionales. El departamento de sistemas evolucionó hacia una estructura descentralizada. almacenarlos y mantenerlos en forma adecuada para que los usuarios puedan utilizar y compartir este recurso. sistemas administradores de bases de datos y lenguajes de cuarta generación. Entre los aspectos sobresalientes que indican que una empresa se encuentra en esta etapa. En esta etapa se tienen las aplicaciones desarrolladas en la tecnología de base de datos y se logra la integración de redes de comunicaciones con terminales en lugares remotos. En esta etapa surge la primera hoja electrónica de cálculo comercial y los usuarios inician haciendo sus propias aplicaciones. Los sistemas que se desarrollan son Sistemas de Manufactura Integrados por Computadora. reemplazando los sistemas antiguos. Sistemas de Soporte a las Decisiones. se incluyen los siguientes: Al llegar a esta etapa. Sistemas Estratégicos y. En forma paralela a los cambios tecnológicos. El usuario de la información adquiere la responsabilidad de la integridad de la misma y debe manejar niveles de acceso diferentes.  Etapa de administración de datos. permitiendo al usuario utilizar herramientas para el desarrollo de sistemas. IT BASELINE. en beneficio de la organización. situación que enmarca un nuevo contexto empresarial donde la realidad propicia la incorporación de nuevas tecnologías de información y comunicaciones . Esta herramienta ayudó mucho a que los usuarios hicieran su propio trabajo y no tuvieran que esperar a que sus propuestas de sistemas fueran cumplidas. hicieron posible la integración.  Etapa de madurez.

se toman en cuenta los referentes que brindan los estándares para su seguridad. con el propósito de facilitar procesos asociados con la innovación. sistema de gestión de seguridad. deben establecer procedimientos argumentados para identificar documentos que ya no se requieran porque se actualizaron o porque se remplazaron por otros. las empresas se ven enfrentadas a mayores riesgos que son cada vez más difíciles de controlar. Sin embargo. organizaciones sin ánimo de lucro. y acciones correctivas y preventivas de los mismos. Dicho cambio hace necesaria una adecuada gestión de la información y el conocimiento. entre las prioridades que hay que considerar en la seguridad de la información se cuentan la confidencialidad y la protección de los datos. los más relevantes en seguridad de la información IT. IT Baseline. De igual manera. Para garantizar el éxito en la gestión de la información. se describirá en una matriz la relación que hay entre los cinco estándares tratados. Palabras claves: estándar. seguridad de la información.(TIC). SSE-CMM e ISO 27001. considerados los más usados para la gestión . la eficiencia en el uso de los recursos. tomando en cuenta los resultados de las auditorías. análisis de eventos. la forma como facilitan la administración. Por la importancia que tiene la seguridad de la información en las organizaciones. el apoyo en la definición de políticas. La organización debe mejorar continuamente la eficacia del Sistema de Gestión del Sistema de Información (SGSI). en el afán de ingresar en el nuevo entorno. En este artículo se abordarán los temas relacionados con el alcance de los cinco estándares mencionados anteriormente. teniendo presente que éstos cobijan todo tipo de organización (empresas. Por tanto. la facilitación para la adopción de modelos de gestión y la ingeniería de seguridad que se debe contemplar para la gestión de los procesos de seguridad. Entre otros aspectos. las consideraciones esenciales. se describen el alcance de cada uno de los estándares. lo que representa un cambio significativo para la organización. razón por la cual éstas deben realizar un esfuerzo cada día mayor para optimizar su nivel de seguridad en este aspecto. recomendación. instituciones gubernamentales. y con el propósito de contrarrestar los intrusos maliciosos que ingresan en ella para hacer daño. la confidencialidad y la disponibilidad de ésta hacia los clientes. En todo caso. Por lo anterior. la calidad y la toma de decisiones acertadas. Con esto se espera que la información se proteja celosamente y se garantice la implantación de las estrategias que propician la integridad. Finalmente. se han identificado las mejores prácticas alrededor de la implantación de estándares de seguridad de la información relacionados con ISOIEC BS7799-IT. por considerarse que ésta forma parte de los activos fundamentales de las organizaciones. RFC2196. con lo cual los directivos tendrán un parámetro más para tomar decisiones de inversión alrededor del estándar que se va a implantar en los sistemas de gestión de seguridad de la información para la organización. etc.). y se toma como base para diseñar la estrategia comercial y de competitividad en esta sociedad globalizada. se han iniciado planes que garantizan una adecuada gestión de la información. el desarrollo de productos o servicios. mediante el establecimiento de políticas y objetivos de seguridad de la información. sistema de seguridad de información. La seguridad de la información se considera como la herramienta fundamental para implantar nuevas mejoras en las empresas. en este artículo se realiza un estudio sobre los cinco principales estándares de seguridad de la información adoptados por las empresas.

es muy importante establecer qué es la seguridad en la información. inalámbrica y móvil. Según la Citel1. Necesidad de la seguridad de la información Seguridad de información es mucho más que establecer firewalls. aplicar parches para corregir nuevas vulnerabilidades en el sistema de software. las formas de administración. Al mismo tiempo. motivo por el cual las empresas comienzan a aplican estándares de seguridad sobre la información orientados a todos los participantes de la nueva sociedad de la información. el volumen y la sensibilidad de la información que se intercambia a través de esta infraestructura han incrementado de modo significativo la forma de pensar. en cuanto a la gestión de riesgos se refiere. fraudes. . Los riesgos de pérdidas. La información de la empresa es uno de los activos más valiosos y debe protegerse al máximo usando los estándares de seguridad de la información que existen y son pertinentes. y cuál es la ingeniería de seguridad que se debe contemplar para la gestión de los procesos. se escogió el anterior texto porque envuelve en una forma muy sencilla dicho concepto. en el cual los sistemas operaban de manera aislada o en redes privadas. uso indebido de información. así como también una proporción creciente de accesos que están conectados permanentemente. de la misma manera. las tecnologías convergentes y la difusión masiva del uso de internet incrementan los riesgos. dichos riesgos son latentes no sólo desde medios externos sino que internamente pueden ser aún más vulnerables. la naturaleza. internet forma parte de la infraestructura operativa de sectores estratégicos como energía. ha sido sustituido por computadores personales que cada vez tienen mayor capacidad de procesamiento y almacenamiento de información. se hace necesario el surgimiento de nuevos retos en materia de seguridad. donde es inminente tener una mayor conciencia y entendimiento de los aspectos de seguridad. hurtos o uso inadecuado de los datos pueden ocasionar daños representativos. se describirá en una matriz la relación que hay entre ellos. el número y el tipo de dispositivos que integran la infraestructura de acceso se han multiplicado. incluyendo elementos de tecnología fija. El escenario que se tenía anteriormente. Antes de empezar a profundizar en los estándares de seguridad en la información. etc. Seguridad de información es determinar qué hay que proteger y por qué. el 35% de las empresas mencionan que el principal fraude detectado es el interno. y esta interconexión se extiende a mayor escala a ritmos acelerados. La naturaleza y el tipo de tecnologías que constituyen la infraestructura de la información y comunicaciones también han cambiado de manera significativa. el gobierno proporciona servicios en línea a los ciudadanos y a las empresas. al igual que algunas observaciones esenciales sobre éstos. de qué se debe proteger y cómo protegerlo. Hoy en día el mundo se encuentra cada vez más interconectado. Por lo anterior. A consecuencia de todos estos cambios. cómo definir políticas y adoptar modelos de gestión. o guardar en la bóveda los backups. el cual está directamente relacionado con la fuga de información.de la seguridad de la información. así como de la necesidad de desarrollar una cultura en torno a ésta. minimizan el riesgo de fugas. y la manera en que los ciudadanos se comunican e intercambian información individualmente también contribuye a la generación de riesgos reales y latentes. transportes y finanzas. Para esto se han definido estándares que ayudan a la seguridad. Adicionalmente. y desempeña un papel fundamental de modo tal que las empresas realizan sus transacciones comerciales.

el mundo podrá hablar un mismo protocolo y la implementación de estos procesos se mejorará cada vez más con el aporte que puedan hacer las empresas de los sectores involucrados. Determinar la situación de la seguridad actual y definir los requisitos para la seguridad de la información basada en un riesgo de negocio aceptable (deseada). estándares y procedimientos necesarios para implementar y administrar la solución de una manera efectiva. • Mejorar los niveles de competitividad. ya que los usuarios demandan que sus datos estén en un lugar seguro y. • Fase 4: administración. y que utilicen tecnologías de la información para lograr los objetivos propuestos. • Establecer las especificaciones para la adopción de un Sistema de Gestión de la Seguridad de la Información. • Establecer un estándar de facto a nivel global. El estándar aplica un método de cuatro fases para implementar una solución de sistemas de administración de seguridad de la información. cabe resaltar también que es importante generar un estándar de facto sobre el cual la empresa pueda converger y comunicarse en forma globalizada. Todas estas razones hacen indispensable contar con un sistema de gestión para garantizar la seguridad de la información en la empresa que quiera ser competitiva en el mercado. • Promover servicios para que la empresa se incorpore más fácil y eficientemente a la sociedad de la información. optimizando la seguridad y el funcionamiento de la empresa. Alcances y aspectos esenciales de cada estándar tratado Estándar Británico ISO-IEC BS7799-IT [3] El Estándar Británico ISO-IEC BS7799-IT es un código aceptado internacionalmente en la práctica de la seguridad de la información. Desarrollar un diseño de solución de sistemas de administración de seguridad de la información con recomendaciones específicas y un plan detallado para implementarla. Establecer una arquitectura básica que sea posible de ampliar para proporcionar una plataforma de administración con todas las características. que sean transferidos o difundidos por medios que garanticen el uso correcto para el cual están hechos.Las siguientes razones han dado muestra a las empresas de la necesidad de contar con un estándar de seguridad: • Establecer un reglamento de prácticas favorables para la gestión de la seguridad. • Fase 2: diseño. • Fase 1: evaluación. • Fase 3: implementación. Probar el diseño y desarrollar una configuración de producción estándar. Definir y documentar las directrices. . que se implemente en las entidades que administran la seguridad de la información • Establecer un conjunto de normas que se apliquen en cualquier entorno y sector. a su vez.

junto con la importancia de la seguridad. Muchas incursiones de seguridad se producen como consecuencia directa de una falta de formación o una deficiencia en el proceso de implantación. Entre los ejemplos de objetivos de seguridad que se pueden utilizar están maximizar la confiabilidad. que como mínimo incluya las responsabilidades relacionadas con desarrollar. Otro parámetro que hay que tomar en cuenta dentro del estándar es definir el cargo de responsable de seguridad de la empresa. debe existir un comité de seguridad de TI. hay que tener en cuenta los parámetros que establece el estándar para desarrollar una directiva de seguridad de TI y garantizar que la seguridad se implementa y mantiene en toda la organización. se tienen las siguientes: se debe poder poner en práctica mediante procedimientos descritos de administración de sistemas. trabajar con el responsable de seguridad de la empresa. garantizar que la reputación de la empresa no se ponga nunca en tela de juicio.Adicionalmente. los estándares de seguridad. que se ocupa de garantizar que dicha seguridad tiene el nivel adecuado de respaldo ejecutivo. mantener el valor de los recursos de tecnología. A continuación se mencionan sus características y sus aspectos más relevantes. crear procesos para garantizar que se cumplen los objetivos de seguridad de TI. los procesos y la propiedad. Entre las características de la seguridad de la información. y las definiciones de formación y procesos para mantener la seguridad. asegurarse de que todos los miembros de la organización adquieran el compromiso y la capacitación necesarios para asumir la cultura de la seguridad. El primer parámetro establecido por el estándar es desarrollar la directiva de seguridad de TI. Estos objetivos de seguridad generales se pueden aplicar a la mayoría de las organizaciones. optimizar y crear el documento de directiva de seguridad. evitar y prevenir los daños a la información. generar un proceso y un plan para implementar los estándares descritos en el documento de directiva de seguridad. Estándar RFC2196 [4] El Estándar RFC2196 es otro de los estándares usados en la práctica de la seguridad de la información. la calidad y la confidencialidad de la información. un esquema del nivel global de la seguridad requerida. para esto se deben incluir los objetivos de seguridad globales. que la directiva se comprende claramente en todos los niveles de la organización y que se articula a éstos. con lo que se garantizan las operaciones continuas en toda la empresa. Hay que definir las necesidades de personal y. Para lograr el éxito en la implantación de la directiva de seguridad de IT. según el RFC2196. incluidas las estrategias de auditoría y supervisión. la propiedad intelectual y la información. publicación de guías sobre el uso aceptable de los recursos informáticos o por medio de otros métodos . en la cual se describen y analizan los objetivos que sobre seguridad de TI tiene explícitos la empresa. a todos los miembros de ésta. Los objetivos de seguridad específicos se deben crear de acuerdo con la estrategia de la organización y el equipo de administración debe comunicarlos. promover la cultura de la seguridad. determinar el presupuesto y las necesidades de recursos.

Especifica comportamientos aceptables para usuarios. así como reglas acerca de la comunicación de datos. • Política de informes de incidentes o violaciones de seguridad. empleados y directivos con información de contacto y de referencia para usarla ante incidentes de seguridad. control de accesos a sitios web. Determina las expectativas de disponibilidad de los recursos de los sistemas e información. Debe considerar. el RFC-2196 establece una serie de componentes incluidos en las políticas de seguridad. • Política de responsabilidad. los aspectos legales deben tomarse en cuenta. políticas de autenticación local y de acceso remoto. podrán establecerse mecanismos de redundancia y procedimientos de recuperación. Política de mantenimiento de los sistemas relacionados con la tecnología de la información. puede considerarse la inclusión de reportes anónimos. y proveer las guías para el registro y manejo de incidentes de seguridad. Especifica funciones de seguridad requeridas o preferidas. Debe establecerse si se admite o no algún tipo de mantenimiento remoto (por ejemplo.prácticos apropiados. • Información de apoyo. establecidas por la Agencia Federal Alemana para la Seguridad en Tecnología de la Información. Determina las expectativas razonables de privacidad sobre temas relacionados con monitoreo de correos electrónicos. administradores y dirección. Por otro lado. Define las responsabilidades de usuarios. y las reglas que aplican. • Declaración de disponibilidad. • Política de acceso. Describe cómo deberá hacerse el mantenimiento realizado tanto por personal interno como externo a la organización. Debe establecer los mecanismos de “confianza” mediante el uso de una política de contraseñas apropiadas. tiene que detectar fugas o errores. por internet o por módem). personal de mantenimiento y directivos. • Política de privacidad. Estas políticas deben complementar cualquier otra política de compra de la organización. así como los mecanismos inter-nos de control. Establece qué tipo de incidentes o violaciones de seguridad deben reportarse y a quién reportar. escucha y control de llamadas telefónicas. debe poder implantarse. si aplica. Con base en la disponibilidad necesaria. . Debe especificar la capacidad de realizar auditorías y sus características. Para no generar un ambiente “amenazante”. lo que seguramente redundará en una mayor probabilidad de que los incidentes sean efectivamente reportados. Podría incluir también políticas acerca de registro. acceso a archivos y registro de teclados. Define derechos o privilegios de acceso a activos o recursos de información protegidos. Debe incluir reglas respecto a las conexiones y accesos externos. Proveer a los usuarios. y tener un responsable para toda situación posible. uso de herramientas de mensajería instantánea. debe definir claramente las áreas de responsabilidad de los usuarios. En todos los casos. debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad. Estándar IT Baseline Protection Manual El IT Baseline Protection Manual presenta un conjunto de recomendaciones de seguridad. empleados soporte y directivos. • Política de autenticación. etc. conexiones de dispositivos a las redes e inclusión de nuevas aplicaciones informáticas en los sistemas existentes. Éstos son: Guías de compras de tecnología de la información.

manejo de virus. manejo de la web. La propuesta se hace considerando que la ingeniería de seguridad no es una actividad que pueda desarrollarse de manera aislada de otras especialidades de la ingeniería. Su título completo en realidad es BS 77992:2005 (ISO/IEC 27001:2005). novell. en especial de la ingeniería de sistemas y de software. gestión humana.Este estándar plantea en forma detallada aspectos de seguridad en ámbitos relacionados con aspectos generales (organizacionales. La versión que se considerará en este texto es la primera edición. de fecha 15 de octubre de 2005. • ISO/IEC 27004 Information security management measurement (en desarrollo). • ISO/IEC 27002 Code of practice for information security management. infraestructura. y aplicaciones (correo electrónico.Requirements (revised BS 7799 Part 2:2005). SSE-CMM divide la ingeniería de seguridad en tres áreas básicas: riesgo. ingeniería y aseguramiento. • ISO/IEC 27003 ISMS implementation guidance (en desarrollo). redes wifi). En este caso.870 organizaciones en 57 países han reconocido la importancia y los beneficios de esta nueva norma. • ISO/IEC 27001 ISMS . se relaciona con la ingeniería de software. bases de datos. Estándar SSE-CMM [6] Se fundamenta en la presentación de una serie de actividades para desarrollar productos de software confiables y alcanzar un ciclo de vida para sistemas seguros. Estándar ISO 27001[7] Este es el nuevo estándar oficial. unix). El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener en cuenta son: • ISO/IEC 27000 Fundamentals and vocabulary. De todos los modelos presentados. • Ingeniería: trabaja con otras disciplinas para implantar soluciones sobre los peligros identificados. entre otros). A fines de marzo de 2006. redes (cortafuegos. • Capacidades: se refiere a las prácticas genéricas que determinan la administración del proceso e institucionalizan la capacidad. publicado el 15 de junio del 2005. sistemas (Windows. (edificaciones. éste es el que mayor relación y adecuación tiene respecto al desarrollo de productos de software seguros. IT Security Techniques. También fue preparado por el JTC31 y en el subcomité SC 27. Actualmente ISO/IEC 17799:2005. Publicado el 15 de octubre del 2005. • Aseguramiento: tiene como objetivo certificar que las soluciones implementadas sean confiables. • Riesgo: busca identificar y priorizar los peligros asociados al desarrollo de productos o sistemas. aplicativos)2. seis empresas españolas poseen esta certificación declarada. Cerca de 1. El modelo se estructura en dos dimensiones: • Dominios: conjunto de prácticas básicas que definen la ingeniería de seguridad. criptografía. módems). • ISO/IEC 27005 Information security risk management (basado en ISO/IEC .

software. red. donde es vital identificar dos aspectos: assets (activos). los entes que aplican estos procedimientos para garantizar la seguridad e integridad de la información mejorarán considerablemente el estándar. • Definición de objetivo. personal involucrado. partiendo de un esquema en el cual. tengan claro el alcance de la implantación.Site Security Handbook La recomendación del IETF4 conocida como la RFC2196 Site Security Handbook se estructuró y compendió en el año 1997. y se enfoca en generar un marco conceptual para definir de manera integrada un esquema de seguridad basado en políticas a todo nivel en los temas referentes al manejo de la información. Presentar al ISO-27001:2005 como estándar de facto genera la posibilidad de tener un estándar mejorado y más robusto en el trayecto de la historia. para así poder articular una política coherente que lleve a la organización a plasmar un sistema de seguridad a la medida de sus actividades. como el alemán. con lo cual estructurar un plan de seguridad tendrá como base el estudio de las vulnerabilidades para cada uno de ellos. software. Debe ser lo bastante consistente para responder a las necesidades y al mismo tiempo liviano para que no sea un obstáculo en el normal desarrollo de las actividades de la empresa o institución. luego de haber hecho las pruebas y haber tenido la experiencia. ISO es el estándar de facto en la gerencia de la integridad de la información. y las recomendaciones de la IEFT con su RFC2196. tanto por su tamaño como por su actividad. Se enfoca en la identificación del plan de seguridad. ya que cada uno de los activos presentará sus propios riesgos. y riesgos (vulnerabilidades. documentación y consumibles [8]. Esta recomendación es un esfuerzo por dar cuerpo a las iniciativas de seguridad en el entorno de sistemas de cómputo y sistemas de información. se procede a asegurar el . debilidades).13335 MICTS Part 2 e incorporado a éste. Los demás estándares establecidos. sin embargo. entre los que se destacan hardware. datos. identificadas las amenazas. Hardware. con la estructura lógica que se presentará a continuación. queda demostrado que el estándar de ISO es el más adoptado por las empresas porque es más flexible y se acopla mejor a los procesos que normalmente se llevan a cabo en las organizaciones. en lo que respecta a las tecnologías de información (TI). Los activos y los riesgos van de la mano a la hora de implantar las políticas de seguridad. constituyen solamente orientaciones y guías para usuarios que deseen implementar gestión en la seguridad de la información. El ISO-27001:2005 es el único estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones. Al analizar el riesgo es importante tener una visión sistémica de los componentes de la infraestructura de información. administración de seguridad de información y definición de políticas RFC2196 . basado en el IT Baseline Protection Manual. Estándares. De acuerdo con este enfoque es importante señalar que todo parte de la conceptualización del análisis de riesgo. información y personal. en desarrollo). La RFC2196 parte de esta premisa para que los responsables de las políticas de seguridad.

es asegurar la operatividad de los componentes en caso de que algún evento o incidencia conduzca a su mal funcionamiento. La respuesta a incidentes será la parte fundamental. “Proteger”. Sin perder de vista el objetivo general del sistema de seguridad. Es común encontrar falencias en lo que respecta a procesos de seguridad informática (seguridad lógica) en las organizaciones. mantener un ambiente seguro respetando las políticas que a nivel técnico se implanten en la organización. Investigaciones.sistema. equipos de comunicaciones. Para ser más competitivas. Este tema es particular a cada organización. Proteger la infraestructura conduce a que el encargado de implantar el esquema de seguridad se imponga el reto de definir los componentes necesarios para conseguir el aseguramiento en estos dos frentes. mail. No es sólo el administrador de seguridad el responsable de mantener un ambiente seguro para la infraestructura tecnológica en lo que atañe al manejo de información. donde la información es el eje fundamental de las operaciones. toma relevancia especial ya que presupone “exponer” la información interna al mundo externo. personal) y proteger los servicios (DNS. La RFC2196 hace hincapié en los siguientes puntos con respecto a la conexión hacia redes externas [9]: proteger la infraestructura (hosts. Éste será un esfuerzo continuo con todos los involucrados e interesados (stakeholders). las empresas han tenido que integrarse y compenetrarse en un mundo globalizado. Los firewalls. password key servers. La mencionada recomendación hace alusión a este punto cuando enfatiza en que la seguridad no puede finalmente circunscribirse a los elementos hardware dispuestos en la red para Permitir o no el acceso a los recursos e información de las organizaciones. plasmarán las políticas que cada entorno en específico requiera. entendidos como la infraestructura de red que garantiza un entorno de seguridad al interconectar redes. Dicho escenario plantea numerosos retos y es allí donde la seguridad. La infraestructura de seguridad y el . FTP). • Firewalls. las políticas toman relevancia nuevamente en este sentido. • Procedimientos y seguridad en servicios. De tal manera que tener control y seguridad sobre ésta se ha vuelto una necesidad imperativa en las organizaciones actuales. esto es. y separar los servicios a los cuales pueden o deben acceder los usuarios e identificar las necesidades para cada uno de ellos ayudarán a la estructuración de los objetivos del sistema • Configuración de servicios y red. procesos. servidores. Pero ¿cómo integrarse y cómo tomar ventaja de la globalización? Un componente importante para tomar ventaja de esta realidad conlleva la integración de operaciones a ese mundo globalizado a través de las tecnologías de información y comunicación. documentos. WWW Servers. de acuerdo con las necesidades. Los esquemas de seguridad soportados en firewalls estarán articulados dentro del sistema completo de seguridad. puesto que el analista de seguridad debe tomar en cuenta los costos asociados de tener elementos redundantes. El manejo de la seguridad no puede recaer sólo en estos elementos hardware/software y sus administradores. al entrar en ese mundo virtual. La información es uno de los activos más valiosos de las empresas. listas de precios y demás informaciones relacionadas con la operación de la empresa hacen que éstas se diferencien en los mercados actuales. en este contexto. cada vez más competitivos.

ya sean internos o externos (Intrusion Detection Systems. tratando el tema relacionado con la identificación de incidentes. evaluar sus alcances y. el manejo de incidentes se debe preparar y planear para cumplir este objetivo. Saber quién. Circunscribir el fenómeno e identificar su espectro de acción serán de gran ayuda para identificar si la situación empeora o no. la RFC2196 hace hincapié en los siguientes procesos al momento de estructurar los procedimientos. • Manejo de incidentes. personal. El esquema de seguridad se implanta con un objetivo primordial: evitar los problemas de seguridad de la información a través de la implantación de un sistema que incluya todos los activos involucrados en la organización. Los procesos anteriores deben cobijarse mediante un procedimiento de auditoría.personal que hace uso de ella al acceder a la información dan forma a un esquema seguro cuando se articulan siguiendo procedimientos y procesos. Autorización [12]. Es decir. La RFC2196 continúa con la descripción de la estructura lógica. El manejo de incidentes de acuerdo con la RFC2196 presupone una etapa de . Así mismo. Este proceso está orientado a determinar si el solicitante del servicio o información es. deberá registrarse en algún sitio para tener control sobre los incidentes. teniendo como base los elementos que componen el sistema de información [10]: • Autenticación [11]. • Auditoría. Procesos que se encargan de asegurar que la información no sea alterada y que va a mantenerse en un entorno controlado para no difundir su contenido. sobre todo. en este orden. seguir el plan de acción. en qué momento y cuál fue la labor realizada sobre la información o sobre los sistemas. el esquema deberá responder de la mejor manera frente a los incidentes que afecten la información. ya sea desde el interior o desde el exterior. Teniendo como base esta premisa. aconseja utilizar herramientas software especializadas para la detección de conductas anómalas de los usuarios de la red. quien tiene derecho a usarla. La recomendación establece ciertos criterios para enmarcar los incidentes y así tener un plan de acción en caso de que ocurra [13]. procedimientos y procesos forman en sí un sistema integrado de seguridad. IDS). En este proceso se da permiso al solicitante de realizar o no acciones dentro de un sistema • Integridad y confidencialidad. En caso de falla. políticas. identificar que quien utilice las plataformas o los recursos sea quien dice ser. Muchas veces los incidentes tienen una reacción en cadena que a partir de una situación anómala se convierten en verdaderos problemas que afectan a toda la organización. Equipos. Por otro lado. de hecho. El acceso de la información debe tener un esquema donde se puedan seguir ciertos procedimientos que han de estructurarse tomando como base las necesidades de la organización. Establecer los mecanismos por los cuales los solicitantes van a acceder a los recursos de información de la organización. • Acceso. ¿Cómo identificar que una situación anómala es un incidente? Esta pregunta es importante. minimizando su impacto. ya que dependiendo de los síntomas presentados en los subsistemas y en el entorno de la organización se puede determinar si el fenómeno presentado clasifica como incidente de seguridad.

• Estructura del estándar. en el momento de actuar se debe tener en cuenta seguir una secuencia de pasos lógicos que ayuden a restablecer las condiciones normales de operación de la organización. ya que debe haber una visión general que tenga en cuenta los objetivos y el alcance de la implantación del estándar. • Esquema PDCA. Monitorear. la implementación del sistema puede quedar a medias. Identificar y evaluar opciones para tratar esos riesgos y seleccionar para cada riesgo la mejor opción de tratamiento son aspectos importantes durante la fase de planeación sugerida por el estándar [17]. Conocer de antemano las vulnerabilidades del sistema ayudará a su corrección. Adicionalmente. para ello es importante.Audit). producto de la cual la versión original se dividió en dos partes: la primera. Prepararse en este contexto es orientar los esfuerzos de seguridad a implementar y fijar niveles de protección que involucren las políticas de seguridad establecidas. se recomienda priorizar las acciones que hay que tomar cuando se presenten incidentes que vulneren la seguridad [15]. revisar. en 1999 se hizo una revisión. Código de Prácticas para el Manejo de Seguridad en Información Esta norma se estableció inicialmente en el entorno británico. • Verificar y auditar (Check. Este estándar se enfoca en la identificación de riesgo y . Este código apunta a crear un marco de buenas prácticas para el manejo de seguridad de la información y su interoperatividad con los sistemas La última versión del BS7799:2005 se enfoca en tener un esquema estructurado. tener documentado el proceso que se debe seguir. probar y auditar cierran el ciclo de estructuración de políticas contenidas dentro del manejo de incidencias de seguridad de información. En este trabajo sólo se hablará del primer documento. y la segunda. infraestructura y procedimientos para evitar al máximo que los incidentes ocurran [14]. teniendo previamente un personal capacitado. Las políticas no podrán ser efectivas si no se articulan en torno a riesgos que deben evaluarse en la organización. conocido como el PDCA (Plan-Do-Check-Act: Planear-Hacer-Chequear-Actuar). Sin una cabeza visible.preparación y planeación de incidentes. Sus comienzos se remontan al año 1992 y su primera versión compendiada se publicó en 1995. ya que éste sirvió como base para la norma ISO 1799. Ya en la parte de implementación (DO) se deben formular los planes de tratamiento de riesgos y su implantación. De igual manera. personal. se ha de implementar el esquema de procedimiento de detección y respuesta a los incidentes. Este acercamiento a la realidad en los entornos institucionales y empresariales permite tener un enfoque estructurado a la hora de implantar un sistema de manejo de seguridad en la información. retroalimentación que resulta importante para mantener actualizados los procesos de seguridad y su continuidad en el tiempo. ya sea de tiempo completo o parcial. de acuerdo con la recomendación. La norma británica fue propuesta en el año 2000 ante la ISO con algunos cambios y se presentó como la ISO/IEC 17799:2000. Planear (plan) en este entorno significa definir políticas de seguridad y su alcance. Ellos estarán a cargo de la implementación y seguimiento de las políticas y procedimientos de seguridad. Especification for Information Security Management Systems. De igual manera. En este esquema se requiere tener dentro de la organización personal responsable del esquema de seguridad. denominada Code of Practice for Information Security Management. ISO-IEC 17799.

enfatizando en tener un marco conceptual que debe. pues depende de los directivos concientizarse sobre los potenciales efectos de las fallas en la seguridad de información. Es importante la distribución piramidal. en la medida de lo posible. Partir de un enfoque gerencial donde se planean estrategias de seguridad e irlas traduciendo en temas a nivel táctico (operacionales) dará consistencia al modelo. A partir de este objetivo se organiza la estructura del estándar. en el Information Management Journal [18]. Technology. De acuerdo con Rene Saint-Germain. que están estrechamente ligados a la organización donde éste se implante. Esta iniciativa se apoya en el esquema Stope para darle más aplicabilidad a nivel práctico y poder definir las fronteras de acción de cada una de las áreas. Allí enmarca el estándar en diez (10) esferas de acción (dominios). son los lineamientos que a nivel semántico deben quedar claros para llevarlos a la práctica a través de toda la organización. Environment) las áreas de acción del estándar. el cual agrupa en las categorías de estrategia. . Organization. las políticas de seguridad y su aplicabilidad entro de la organización deben ir de un nivel organizacional a un nivel operacional. People.su tratamiento para asegurar la confidencialidad. Cabe destacar la importancia de las políticas de seguridad. disponibilidad e integridad de la información. La IEC17799 desarrolla estos temas con mayor amplitud para poder llevarlos a un entorno práctico Dominios del IEC17799 Otro enfoque del estándar propuesto por Saad Haj Bakry en el International Journal of Network Management plantea integrar las diez áreas donde trabaja la IEC 17799 con base en el enfoque Stope [19]. que si bien es cierto están en la cumbre. organización. tecnología. personal y entorno (Strategy. llevarse a la práctica.

proyecto. cliente. sistema. Este modelo es un esfuerzo multilateral dirigido por la Universidad de Carnegie Mellon en Estados Unidos. Debido a que su alcance no restringe a una práctica especifica en la implantación de seguridad de la información. de acuerdo con el autor. . El modelo se enfoca en la ingeniería de seguridad como marco para desarrollar un esquema confiable alrededor de la temática de aseguramiento en entornos de información y tecnología (IT). más que un estándar. de acuerdo con el modelo [22]. Este último concepto sirve para describir cómo. producto de trabajo. a partir de las categorías. Éste se basa en la definición de conceptos como organización. un modelo de referencia que no dicta normas estáticas en lo que concierne a la seguridad en los ambientes de información y tecnología (IT) que quiere enmarcar su radio de acción [21]. gerencia de proceso y capacidad de madurez del modelo (capability maturity model). la cual básicamente consiste en seguir un proceso lógico para la implantación de la norma desde el punto de vista práctico. es tratar de identificar qué tan “maduro” se encuentra el esquema planteado para la seguridad de información en la organización. Para esto se apoya en una herramienta conceptual denominada Six-SigmaBased [20]5. institucionalización. Esto llevará. generar puntos de control para cada una de las actividades. proceso. System Security Engineering Capability Maturity Model (SSE-CMM) El SSE-CMM es. Por ello es importante mencionar el ciclo de vida de ingeniería de seguridad. a generar un checklist que pueda certificar que se cumplieron las metas de la implantación del estándar. implantación y mejoras. el modelo se ajusta a cada situación particular.Enfoque Stope de la IEC17799 Este enfoque pretende. se manejan conceptos generales para entender el modelo. a través del proceso de planeación.

Como tal. ayuda al diagnóstico y al mejoramiento continuo del esquema elegido igualmente. como lo anota John P. desarrollo. Describir. utilización. producción. de acuerdo con el documento que describe el modelo Matriz de evaluación de procesos. En este eje se articulan cinco niveles que son los que clasificaran la capacidad en cada uno de los aspectos de ingeniería de seguridad y gradúan la manera como se llevan a cabo los procesos.Concepto. ingeniería de seguridad y aseguramiento. soporte y retiro son etapas inherentes a las actividades que soportan el modelo mencionado. a diferencia de los demás. siendo los primeros once procesos (security engineering processes) los más relevantes y los que comúnmente se analizan en este eje En el eje Y se agrupan actividades que se pueden aplicar a cada uno de los procesos de ingeniería. Hopkinson [25]. Determinación de la capacidad del sistema Vale la pena destacar que este modelo. conocidas como las prácticas base (base practice). “la manera en la . trata de graduar cada uno de los aspectos importantes a la hora de implantar un esquema de seguridad en una organización. Con ello se da forma a una matriz que pretende realizar un diagnóstico y establecer qué grado de madurez tiene la estrategia de seguridad en una organización. llamadas prácticas genéricas (generic practices). La vista genérica de la matriz sería de la siguiente manera. En el eje X se analizan todas las actividades inherentes a ingeniería de seguridad. El modelo considera 129 prácticas que engloban el ejercicio de la ingeniería de seguridad y las divide en 22 procesos que agrupan las actividades (security engineering processes). o tratar de medir en lo referente a madurez cada uno de los procesos. la arquitectura del sistema se basa en tres macroprocesos: evaluación de riesgo.

La función primaria de la administración de seguridad IT es preparar los conceptos de seguridad. así: activos de IT. los cuales son indispensables para la implantación de los procesos. • Modelo de protección IT Baseline. De la misma manera. los escenarios de daño se emplean para determinar los requerimientos de protección de varias aplicaciones de IT. controla. Se enfoca de acuerdo con un orden descendente. El procedimiento general se describe a continuación: Descripción del procedimiento de seguridad IT Baseline Protection Manual • Evaluación de requerimientos de protección. soporta y monitorea un proceso. reducir la complejidad identificando recursos similares. análisis de la estructura de IT. qué tan buenos y repetibles serán los resultados de ese proceso”.cual una organización lleva a cabo. define su alcance aduciendo que el IT Protection Manual contiene estándares de protección de seguridad de tecnologías de información e implanta conceptos de seguridad de IT. por consiguiente. Esto se divide en las siguientes subtareas: preparar el plan de red. El análisis de la estructura de IT [26] provee los medios para la realización de un estudio preliminar. • Procesos de seguridad IT. De este último se desprenden dos actividades: ejecutar el plan sobre los activos IT en uso y desarrollar el plan sobre los . IT Baseline Protection Manual (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) Los objetivos del estándar son asistir en forma rápida soluciones a problemas comunes en seguridad e identificar los riesgos de seguridad de TI. simplificando y economizando los recursos requeridos. El primero de todos es definir las categorías de requerimientos de protección. para preparar el concepto del IT baseline protection security. y captar información sobre las aplicaciones de IT y relacionarla con ésta. Comúnmente. recolectar información sobre los sistemas de IT. evaluación de los requerimientos de protección y modelamiento. Para evaluar modelos de protección de la estructura de IT se requieren cuatro pasos por separado. determina qué tan maduro es el proceso y qué tan bien se va a llevar a cabo. apuntando a la recolección de información que se necesitará después.

Un análisis de seguridad de IT suplementario se debe entregar para puntos sensibles de la organización Pueden emplear varios métodos. Mantenimiento y mejora del SGSI. procesos y procedimientos del SGSI pertinentes para gestionar el riesgo y mejorar la seguridad de la información. usando un objetivo frente a la actual comparación. que incluyan análisis del riesgo.activos de IT planificados. Fija la política. Se destacan los siguientes pasos: examinar los resultados de la investigación. • Modelo PHCA. controles. los procesos. El módulo de protección de IT se utiliza como un plan de prueba para establecer. pruebas de penetración y análisis diferencial de seguridad. • Implementación de modelo de protección de seguridad IT. por lo que se necesita una misma dinámica para las soluciones [27]. procesos y procedimientos del SGSI . Adoptado por la ISO/IEC 27001 [28]. El alcance se concibe hasta proveer un modelo para el establecimiento. ISO 27001 Entre los objetivos primordiales del estándar se considera presentar un análisis ISO/IEC para cualquier empresa que desee planificar e implementar una política de seguridad orientada a obtener una futura certificación dentro de este estándar y conseguir como resultado final la evaluación del riesgo (análisis y valoración) sobre las políticas empresariales de una organización. cuál estándar para salvaguardar la seguridad ha sido efectivo y cuál no se ha implementado efectivamente. implementación. Análisis de seguridad suplementario. Planear (establece el SGSI). asignar responsabilidades e implantar medidas de acompañamiento. objetivos. monitorización. revisión. consolidar los salvaguardas. determinar la secuencia de implementación. el tamaño y la estructura de la empresa. con el fin de entregar resultados conforme a las políticas y objetivos generales de la organización Hacer (implementar y operar el SGSI). La adopción del modelo SGSI obedece a una decisión estratégica de la organización. La dinámica que implica su aplicación ocasionará en muchos casos la escala del modelo. Los requerimientos de la ISO 27001 son aplicables a todas las organizaciones. así como por los requerimientos de seguridad. operación. Implementar y operar la política. • Chequeo de seguridad básica. pues el modelo está influenciado por sus necesidades y objetivos. preparar un estimado de costos y esfuerzos requeridos.

donde corresponda. y con la política y objetivos del SGSI. definir política SGSI. aplicar todos los objetivos de control y los controles seleccionados. identificar y evaluar opciones para el tratamiento del riesgo. e informar los resultados a la gerencia para su examen. Para monitorear y revisar el SGSI se recomienda ejecutar procedimientos de monitoreo. comunicar los resultados a todas las partes interesadas y asegurar que las mejoras alcancen los objetivos deseados. poner en práctica programas de entrenamiento y toma de conciencia. De la misma manera. seleccionar objetivos de control y controles. revisar el nivel de riesgo residual y del riesgo aceptable. •Auditoría interna del SGSI. El modelo PHCA establece para el SGSI un procedimiento que tenga en cuenta la definición del alcance de un enfoque sistemático para identificar y evaluar el riesgo. objetivos y experiencia práctica del SGSI.PHCA aplicado a los procesos de SGSI (Sistemas de Gestión de Seguridad de la Información) • Comprobar (monitorear y revisar el SGSI). • Actuar (mantener y mejorar el SGSI). y que los resultados registrados sean reproducibles. basado en los resultados de la auditoría interna del SGSI y el examen de la gerencia u otra información pertinente. En cuanto a documentación. medir el desempeño del proceso según la política. ésta deberá incluir los registros de las decisiones de la gerencia. para la implantación y operación del SGSI considera tener en cuenta el formular e implementar un plan de tratamiento del riesgo. Evaluar y. La organización realizará auditorías internas al SGSI con . preparar un enunciado de aplicabilidad y obtener aprobación de la gerencia. efectuar revisiones regulares de la eficacia del SGSI. asegurar que las acciones se deriven de las decisiones y políticas de los directivos. para lograr el mejoramiento continuo del SGSI. Tomar medidas correctivas y preventivas. conducir las auditorías internas del SGSI y registrar todos los eventos que tienen un efecto en el desempeño del SGSI. se necesita implantar las mejoras identificadas. Es importante poder demostrar que los controles seleccionados se relacionan con los resultados del proceso de evaluación y tratamiento de riesgos. Para mantener y mejorar el SGSI. al igual que gestionar operaciones y recursos. tomar apropiadas acciones correctivas y preventivas.

la organización relacionada con la seguridad de la información tanto interna como aquella que involucre terceros y la gestión del riesgo. y la gestión de comunicaciones y operaciones. por un período de tiempo determinado. seguridad de IT y facturación. Certificaciones [32]. La implantación considera seis fases. mediante los procedimientos de validación contemplados para ello. Las revisiones mencionadas en el punto anterior deberán llevarse a cabo al menos una vez al año para asegurar su vigencia. entre las que se destacan: aseguramiento de ingresos. El principal objetivo es aplicar el sistema de certificación a las empresas. • Mejoras al SGSI. se deben analizar los riesgos que involucran las posibles amenazas y vulnerabilidades de los sistemas de información y procesamiento. Cada una de estas acciones correctivas se deberá documentar [29]. los procesos y procedimientos continúan de conformidad con esta norma y para analizar y planificar acciones de mejora. el análisis y la monitorización de eventos. obteniendo en esta forma un fraude de aseguramiento requerido. • Acciones correctivas. adecuación y efectividad. con el propósito de tomar las acciones correspondientes en el momento indicado. Los objetivos de control. Estas revisiones incluirán valoración de oportunidades para mejorar o cambiar el SGSI. El certificado constituye una señal de aceptabilidad. La estructura de una entidad certificadora está regida fundamentalmente por el Foro Internacional de la Acreditación (IAF)6. por la Cooperación Europea para la Acreditación (EA)7 y por las entidades de acreditación (de España y de Reino Unido). La organización llevará a cabo acciones orientadas a eliminar las causas que no estén de conformidad con los requerimientos del SGSI para evitar la recurrencia de éstos. sus objetivos. la seguridad física y ambiental. Administración de las revisiones del SGSI. con este sistema se da constancia. y las revisiones de administración. que evita la necesidad de tener que demostrar constantemente las normas de seguridad de la empresa ante los clientes [33]. y el modelo PHCA aplicado a los procesos de SGSI . además de la formulación. y dará como resultado el documento correspondiente. Ninguna persona podrá auditar su propio trabajo. ni cualquier otro que guarde relación con él. • Implantación [30]. de la conformidad de un producto respecto a los requisitos establecidos o previamente especificados. incluyendo la política de seguridad de la información y sus objetivos Esta actividad está constituida por la revisión de entradas y salidas. se debe contemplar la seguridad de los recursos humanos. Después de la definición del alcance del sistema de gestión de seguridad de la información. el resultado de las auditorías. control y prevención del fraude. La organización deberá mejorar continuamente la eficiencia del SGSI a través del empleo de la política de seguridad de la información. requieren contemplar la política de seguridad identificada para éste. las cuales forman parte del plan concebido por el estándar de seguridad 27001. • • Objetivos de control y controles [31].intervalos planeados para determinar si los controles. los informes resultantes y el mantenimiento de los registros se definirán en un procedimiento. • Así mismo. Es importante gestionar el riesgo desde el punto de vista organizacional. Para la elaboración de comienzo a fin de la implantación se requiere la participación activa de diferentes áreas de la empresa. sus objetivos. las acciones preventivas y correctivas. La responsabilidad y los requerimientos para el planeamiento y la conducción de las actividades de auditoría.

Con el objetivo de contar con una guía para la protección de la información de la empresa. los requerimientos sobre riesgos de tecnología de información y las normas establecidas en la compañía. ISO-IEC RFC2196 IT BASE LINE SSE-CMM ISO 27001 BS7799IT Estándar Recomendación Estándar No certificado Certificado No certificado Certificado Internacional . Este plan de alto nivel incluye una descripción de la actividad que se va a llevar a cabo. Matriz de comparación de los estándares estudiados En la siguiente matriz se recogen los aspectos esenciales de cada uno de los estándares tratados en este artículo: De acuerdo con la consolidación de los aspectos esenciales estudiados y resumidos en la matriz de comparación. Políticas de seguridad de la información. normas y procedimientos de seguridad con el fin de tener un posterior desarrollo de controles sobre la información de la empresa. De la identificación de riesgos. para lo cual se concibieron Tabla 1 Matriz de comparación de aspectos esenciales entre los estándares estudiados . las etapas incluidas en su desarrollo y el tiempo estimado de ejecución. se elaboran las políticas y estándares de seguridad de la información tomando en cuenta el estándar de seguridad de información ISO 17799.(Sistemas de Gestión de Seguridad de la Información) apoya el logro de los resultados de certificación en las organizaciones. • Diseño de arquitectura de seguridad de red. cuyo marco general establece el diseño de políticas. se elaborará una propuesta de arquitectura de red. Ingeniería de seguridad e implantación en las empresas [34] La implantación de un sistema de seguridad de la información se basa en la metodología ESA8. puede asegurarse que la implantación de cualquiera de los cinco estándares garantiza la seguridad de la información. Con el objetivo de controlar las conexiones de la red de la empresa y monitorear la actividad realizada con otras entidades externas a las cuales deba comunicarse. amenazas y vulnerabilidades. Seguidamente se definen las razones por las cuales se debe aplicar un plan de seguridad y por último se determina el estándar o medida de seguridad que se va a adoptar. amenazas y vulnerabilidades relacionadas con la seguridad de la información de la empresa. Para el diseño de la ingeniería de seguridad de la información se deben desarrollar las siguientes etapas: • Evaluación de riesgos. se logran identificar las actividades más importantes que realizará la entidad. con las políticas de seguridad y estándares elaborados. En esta etapa se hace una identificación cuidadosa de las amenazas frente a la vulnerabilidad y de los riesgos frente a las amenazas. • Plan de implementación. con el propósito de alinear las medidas de seguridad implantadas para proteger la información de la compañía. la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspección de contenido.

monitorea y mantiene sistemas de administración de seguridad IT . implanta.Identifica activos informáticos y vulnerabilidad Identifica recurso humano Se debe documentar Define claramente responsabilidades Establece.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->