Está en la página 1de 25

SEGURIDAD INFORMATICA

DENNIS GOMEZ VARGAS


MARLYN QUINTERO POLANIA

1
SERVICIO NACIONAL DE APRENDIZAJE (SENA)

TECNICO PROFESIONAL EN ADMINISTRACION DEL TALENTO HUMANO

RECURSO HUMANO

BOGOTA

2008

SEGURIDAD INFORMATICA

DENNIS GOMEZ VARGAS

MARLYN QUINTERO POLANIA

TRABAJO PRESENTADO PARA LA ASIGNATURA DE

ADMINISTRACION DE LA INFORMACION

CARLOS EDUARDO MORA

SERVICIO NACIONAL DE APRENDIZAJE (SENA)

RECURSO HUMANO

2
BOGOTA 2008

TABLA DE CONTENIDO

INTRODUCCIÓN

OBJETIVOS

1. ANÁLISIS DE RIESGOS.
1.1 LOS MEDIOS PARA CONSEGUIR LA SEGURIDAD:
1.2 PUESTA EN MARCHA DE UNA POLÍTICA DE SEGURIDAD
1.3 AMENAZAS
1.4 TÉCNICAS DE ASEGURAMIENTO DEL SISTEMA
1.5 CONSIDERACIONES DE UN SOFTWARE
1.6 CONSIDERACIONES DE UNA RED
1.7 ALGUNAS AFIRMACIONES ERRÓNEAS COMUNES ACERCA DE LA
SEGURIDAD
1.8 ORGANISMOS OFICIALES DE SEGURIDAD INFORMÁTICA
1.9.1 FALLAS DE SEGURIDAD MÁS FRECUENTES

2. PHARMING: NUEVO FRAUDE INFORMÁTICO


2.1 RECOMENDACIONES PARA NO SER VÍCTIMA DEL "PHISHING"
2.2 USO SEGURO DEL CORREO ELECTRÓNICO
2.3 CÓMO PREVENIR QUE LA PC SE INFECTE DE VIRUS Y PROGRAMAS
ESPÍAS
2.4 ESTRATEGIAS DE SEGURIDAD INFORMÁTICA
2.5 SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

3. PLAN DE ACCIÓN
3.1 COMITÉ4.0 NORMAS ISO SOBRE SEGURIDAD INFORMATICA
LA SERIE 27000

4.NORMAS ISO SOBRE SEGURIDAD INFORMATICA


4.1 LA SERIE 27000
4.1.1. LAS NORMAS QUE CONFORMAN ESTA SERIE SON:
3
4.1.1.1 ISO 27000:
4.1.1.2 ISO 27001.
4.1.1.3 ISO 27002 (ISO 17799):
4.2 PREGUNTAS BASICAS PARA INPLEMENTAR LAS NORMAS DE
SEGURIDAD EN SU EMPRESA
4.3 POLITICAS DE SEGURIDAD
4.3.1 NORMA DE SEGURIDAD
4.3.2 PROCEDIMIENTO DE SEGURIDAD
4.3.3 PROCEDIMIENTO DE SEGURIDAD

5. PRINCIPALES CLAVES PARA IMPLANTAR EL ISO 27001


5.1 IDENTIFICAR LOS OBJETIVOS DE NEGOCIO
5.2 SELECCIONAR UN ALCANCE ADECUADO
5.3 DETERMINAR EL NIVEL DE MADUREZ ISO 27001:
5.3.1 ANALIZAR EL RETORNO DE INVERSIÓN

GLOSARIO

CONCLUSIONES

BIBLIOGRAFIA

4
INTRODUCCIÓN

SEGURIDAD INFORMÁTICA

Podemos entender como seguridad un estado de cualquier sistema


(informático o no) que nos indica que ese sistema está libre de peligro, daño o
riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo. Para la
mayoría de los expertos el concepto de seguridad en la informática es utópico
porque no existe un sistema 100% seguro. Para que un sistema se pueda
definir como seguro debe tener estas cuatro características:
• Integridad: La información sólo puede ser modificada por quien está
autorizado.
• Confidencialidad: La información sólo debe ser legible para los
autorizados.
• Disponibilidad: Debe estar disponible cuando se necesita.
• Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la
autoría.
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en
seguridad lógica y seguridad física.
En estos momentos la seguridad informática es un tema de dominio obligado
por cualquier usuario de la Internet, para no permitir que su información sea
robada.
Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad
se podrían englobar un mismo concepto, una definición más informal denota la
diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad
está ligada a una Amenaza y el Riesgo a un Impacto.

5
OBJETIVOS

Los activos son los elementos que la seguridad informática tiene como objetivo
proteger. Son tres elementos que conforman los activos:
Información
Es el objeto de mayor valor para una organización, el objetivo es el
resguardo de la información, independientemente del lugar en donde se
encuentre registrada, en algún medio electrónico o físico.

Equipos que la soportan.


Software, hardware y organización.

Usuarios
Individuos que utilizan la estructura tecnológica y de comunicaciones
que manejan la información.

6
1. ANÁLISIS DE RIESGOS
El activo más importante que se posee es la información y, por lo tanto, deben
existir técnicas que la aseguren, más allá de la seguridad física que se
establezca sobre los equipos en los cuales se almacena. Estas técnicas las
brinda la seguridad lógica que consiste en la aplicación de barreras y
procedimientos que resguardan el acceso a los datos y sólo permiten acceder a
ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está
permitido debe estar prohibido" y ésta debe ser la meta perseguida.
1.1 LOS MEDIOS PARA CONSEGUIR LA SEGURIDAD:
1. Restringir el acceso (de personas de la organización y de las que no lo
son) a los programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no puedan
modificar los programas ni los archivos que no correspondan (sin una
supervisión minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas correctos
en/y/por el procedimiento elegido.
4. Asegurar que la información transmitida sea la misma que reciba el
destinatario al cual se ha enviado y que no le llegue a otro.
5. Asegurar que existan sistemas y pasos de emergencia alternativos de
transmisión entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarquía informática, con
claves distintas y permisos bien establecidos, en todos y cada uno de los
sistemas o aplicaciones empleadas.
7. Actualizar constantemente las contraseñas de accesos a los sistemas de
cómputo.
1.2 PUESTA EN MARCHA DE UNA POLÍTICA DE SEGURIDAD
Actualmente las legislaciones nacionales de los Estados, obligan a las
empresas, instituciones públicas a implantar una política de seguridad. Ej: En
España la Ley Orgánica de Protección de Datos o también llamada LOPD y su
normativa de desarrollo.
Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a
los datos y recursos con las herramientas de control y mecanismos de
identificación. Estos mecanismos permiten saber que los operadores tiene sólo
los permisos que se les dio.
La seguridad informática debe ser estudiada para que no impida el trabajo de
los operadores en lo que les es necesario y que puedan utilizar el sistema
7
informático con toda confianza. Por eso en lo referente a elaborar una política
de seguridad, conviene:
• Elaborar reglas y procedimientos para cada servicio de la organización.
• Definir las acciones a emprender y elegir las personas a contactar en
caso de detectar una posible intrusión
• Sensibilizar a los operadores con los problemas ligados con la seguridad
de los sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los
responsables jerárquicos y no por los administradores informáticos, los cuales
tienen que conseguir que los recursos y derechos de acceso sean coherentes
con la política de seguridad definida. Además, como el administrador suele ser
el único en conocer perfectamente el sistema, tiene que derivar a la directiva
cualquier problema e información relevante sobre la seguridad, y
eventualmente aconsejar estrategias a poner en marcha, así como ser el punto
de entrada de la comunicación a los trabajadores sobre problemas y
recomendaciones en término de seguridad.
1.3 LAS AMENAZAS
Una vez que la programación y el funcionamiento de un dispositivo de
almacenamiento (o transmisión) de la información se consideran seguras,
todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que
pueden afectar a los datos, las cuales son a menudo imprevisibles o
inevitables, de modo que la única protección posible es la redundancia (en el
caso de los datos) y la descentralización -por ejemplo mediante estructura de
redes- (en el caso de las comunicaciones).
Estos fenómenos pueden ser causados por:
• El usuario: causa del mayor problema ligado a la seguridad de un
sistema informático (porque no le importa, no se da cuenta o a
propósito).
• Programas maliciosos: programas destinados a perjudicar o a hacer un
uso ilícito de los recursos del sistema. Es instalado (por inatención o
maldad) en el ordenador abriendo una puerta a intrusos o bien
modificando los datos. Estos programas pueden ser un virus informático,
un gusano informático, un troyano, una bomba lógica o un programa
espía o Spyware.
• Un intruso: persona que consigue acceder a los datos o programas de
los cuales no tiene acceso permitido (cracker, defacer, script kiddie o
Script boy, viruxer, etc.).

8
• Un siniestro (robo, incendio, por agua): una mala manipulación o una
malintención derivan a la pérdida del material o de los archivos.
• El personal interno de Sistemas. Las pujas de poder que llevan a
disociaciones entre los sectores y soluciones incompatibles para la
seguridad informática.
1.4 TÉCNICAS DE ASEGURAMIENTO DEL SISTEMA
• Codificar la información: Criptología, Criptografía y Criptociencia,
contraseñas difíciles de averiguar a partir de datos personales del
individuo.
• Vigilancia de red.
• Tecnologías repelentes o protectoras: cortafuegos, sistema de detección
de intrusos - antispyware, antivirus, llaves para protección de software,
etc. Mantener los sistemas de información con las actualizaciones que
más impacten en la seguridad.

1.5 CONSIDERACIONES DE SOFTWARE
Tener instalado en la máquina únicamente el software necesario reduce
riesgos. Así mismo tener controlado el software asegura la calidad de la
procedencia del mismo (el software pirata o sin garantías aumenta los riesgos).
En todo caso un inventario de software proporciona un método correcto de
asegurar la reinstalación en caso de desastre. El software con métodos de
instalación rápidos facilita también la reinstalación en caso de contingencia.
Existe software que es conocido por la cantidad de agujeros de seguridad que
introduce. Se pueden buscar alternativas que proporcionen iguales
funcionalidades pero permitiendo una seguridad extra.
1.6 CONSIDERACIONES DE UNA RED
Los puntos de entrada en la red son generalmente el correo, las páginas web y
la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red sólo en modo lectura,
impide que ordenadores infectados propaguen virus. En el mismo sentido se
pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo
batch puedan trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de
recuperación, cómo se ha introducido el virus.
1.7 ALGUNAS AFIRMACIONES ERRÓNEAS COMUNES ACERCA DE LA
SEGURIDAD

9
• Mi sistema no es importante para un cracker. Esta afirmación se basa en
la idea de que no introducir contraseñas seguras en una empresa no
entraña riesgos pues ¿quién va a querer obtener información mía?. Sin
embargo, dado que los métodos de contagio se realizan por medio de
programas automáticos, desde unas máquinas a otras, estos no
distinguen buenos de malos, interesantes de no interesantes, etc. Por
tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus.
• Estoy protegido pues no abro archivos que no conozco. Esto es falso,
pues existen múltiples formas de contagio, además los programas
realizan acciones sin la supervisión del usuario poniendo en riesgo los
sistemas.
• Como tengo antivirus estoy protegido. En general los programas
antivirus no son capaces de detectar todas las posibles formas de
contagio existentes, ni las nuevas que pudieran aparecer conforme los
ordenadores aumenten las capacidades de comunicación, además los
antivirus son vulnerables a desbordamientos de búfer que hacen que la
seguridad del sistema operativo se vea más afectada aún.
• Como dispongo de un firewall no me contagio. Esto únicamente
proporciona una limitada capacidad de respuesta. Las formas de
infectarse en una red son múltiples. Unas provienen directamente de
accesos al sistema (de lo que protege un firewall) y otras de conexiones
que se realizan (de las que no me protege). Emplear usuarios con altos
privilegios para realizar conexiones puede entrañar riesgos, además los
firewalls de aplicación (los más usados) no brindan protección suficiente
contra el spoofing.
• Tengo un servidor web cuyo sistema operativo es un unix actualizado a
la fecha: Puede que este protegído contra ataques directamente hacia el
núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.)
está desactualizada, un ataque sobre algún script de dicha aplicación
puede permitir que el atacante abra una shell y por ende ejecutar
comandos en el unix.
1.8 ORGANISMOS OFICIALES DE SEGURIDAD INFORMÁTICA
Existen organismos oficiales encargados de asegurar servicios de prevención
de riesgos y asistencia a los tratamientos de incidencias, tales como el
CERT/CC (Computer Emergency Response Team Coordination Center) del
SEI (Software Engineering Institute) de la Carnegie Mellon University el cual es
un centro de alerta y reacción frente a los ataques informáticos, destinados a
las empresas o administradores, pero generalmente estas informaciones son
accesibles a todo el mundo.

10
1.9 PROPOSITO DE LA SEGURIDAD DE LA INFORMACION
• ORGANIZACIONES
• Proteger los recursos informáticos, de comunicación, hardware y
software
• INDIVIDUOS
• Proteger la privacidad y la identidad de la información personal
• CONCEPTOS BASICOS
• Confidencialidad
• Integridad
• Disponibilidad

1.9.1 FALLAS DE SEGURIDAD MAS FRECUENTES


• No actualizar los sistemas operativos de los equipos corporativos.
• No mantener ni probar las copias de seguridad
• No confirmar que el plan de recuperación ante desastres realmente
funciona.
• No implantar o actualizar programas de detección de virus
• No formar a los usuarios en materia de seguridad.

2.0 PHARMING: NUEVO FRAUDE INFORMÁTICO


Los piratas informáticos, siempre activos, han encontrado una nueva manera
de obtener información confidencial para realizar sus fraudes.
Pero, ¿qué es el pharming? Según Wikipedia (Ver web) “es la explotación de
una vulnerabilidad en el software de los servidores DNS (Domain Name
System)...

2.1 RECOMENDACIONES PARA NO SER VÍCTIMA DEL "PHISHING"


Un nuevo documento difundido por la Oficina Nacional de Tecnologías de
Información ArCERT, dependiente de la Jefatura de Gabinete de Ministros,
advierte sobre una gran cantidad de incidentes de “phishing” ocurridos en los
últimos meses...

11
2.2 USO SEGURO DEL CORREO ELECTRÓNICO
La Oficina Nacional de Tecnologías de Información ArCERT, dependiente de la
Jefatura de Gabinete de Ministros, ha difundido recientemente un documento
conteniendo una serie de...

2.3 CÓMO PREVENIR QUE LA PC SE INFECTE DE VIRUS Y PROGRAMAS


ESPÍAS
Para evitar la infección de la computadora con virus o programas espías,
deberá realizar actualizar su antivirus, escanear su PC y comprobar si tiene
archivos espía. Conozca más acerca de como realizar estas tareas en este
artículo

2.4 ESTRATEGIAS DE SEGURIDAD INFORMÁTICA


¿Qué es un virus y cómo se propagan? ¿Por qué conviene tener un firewall?
¿Qué riesgos pueden ocasionar los archivos espías? En este artículo se
abordan estos temas y se brindan una serie de consejos para utilizar la
computadora de un modo seguro.

2.5 SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN


Los Sistemas de Información de la UNRC han implementado una serie de
características para dotar de un mayor nivel de seguridad a los usuarios tales
como sesiones de trabajo, encriptación de la información y novedades en el
uso del PIN. Conozca como funcionan estas medidas de seguridad y las
precauciones que debe tomar.

Mediante la presente decisión se adopta una acción en el ámbito de la


seguridad de los sistemas de información. Dicha acción incluye los dos
elementos siguientes:
• la aplicación de un plan de acción durante un período inicial de 24
meses. El importe de los recursos financieros comunitarios considerado
necesario para la aplicación de este plan de acción durante el período
previsto asciende a doce millones de ecus;
• la creación de un comité de altos funcionarios que tendrá la misión a
largo plazo de asesorar a la Comisión sobre acciones en materia de
seguridad de los sistemas de información.
3.0 PLAN DE ACCIÓN
12
El plan de acción tendrá como finalidad el desarrollo de estrategias globales
destinadas a proporcionar a los usuarios y a los productores de información
almacenada, procesada o transmitida electrónicamente la protección adecuada
de los sistemas de información contra amenazas accidentales o deliberadas.
El plan de acción se ejecutará en estrecha colaboración con los protagonistas
del sector. Tendrá en cuenta y complementará las actividades en curso a nivel
mundial para la normalización en este ámbito.
El plan incluye las siguientes líneas de actuación:
• desarrollo de un marco estratégico para la seguridad de los sistemas de
información;
• definición de las necesidades de los usuarios y de los prestadores de
servicios en materia de seguridad de los sistemas de información;
• elaboración de soluciones para determinadas necesidades a corto y
medio plazo de los usuarios, proveedores y prestadores de servicios;
• elaboración de especificaciones, normas y pruebas de certificación
respecto a la seguridad de los sistemas de información;
• innovaciones técnicas y de funcionamiento en materia de seguridad de
los sistemas de información en un marco estratégico general;
• puesta en práctica de la seguridad de los sistemas de información.
El anexo adjunto a la decisión presenta en detalle las líneas de actuación del
plan de acción.
3.1 COMITÉ
El comité será consultado sistemáticamente por la Comisión sobre los asuntos
relacionados con la seguridad de los sistemas de información de las distintas
actividades de la Comisión, en particular la definición de las estrategias y los
programas de trabajo.

REFERENCIAS

Transposición
Acto Entrada en vigor en los Estados Diario Oficial
miembros

Decisión DO L 123 de
31.3.1992 -
92/242/CE 31.3.1992

ACTOS CONEXOS

13
3.2 LUCHA CONTRA LOS DELITOS INFORMÁTICOS
Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005,
relativa a los ataques contra los sistemas de información [Diario Oficial L
69 de 16.3.2005].
La presente decisión marco tiene por objeto consolidar la cooperación judicial
en materia penal en relación con los ataques contra los sistemas de
información mediante la aplicación de instrumentos y procedimientos eficaces.
Comunicación de la Comisión al Consejo, al Parlamento Europeo, al
Comité Económico y Social y al Comité de las Regiones - Creación de una
sociedad de la información más segura mediante la mejora de la
seguridad de las infraestructuras de información y la lucha contra los
delitos informáticos [COM(2000) 890 final - No publicada en el Diario
Oficial].
AGENCIA EUROPEA DE SEGURIDAD DE LAS REDES Y DE LA
INFORMACIÓN (ENISA)
Reglamento (CE) n° 460/2004 del Parlamento Europeo y del Consejo de 10
de marzo de 2004 por el que se crea la Agencia Europea de Seguridad de
las Redes y de la Información.
A fin de garantizar a los usuarios la mayor seguridad posible, la UE decidió
crear la Agencia Europea de Seguridad de las Redes y de la Información (
ENISA ). Su principal objetivo es lograr que la Unión, los Estados miembros y
las empresas tengan mayor capacidad de reacción y gestión de los problemas
relacionados con la seguridad de las redes y de la información.

4.0 NORMAS ISO SOBRE SEGURIDAD INFORMATICA


El pasado primero de julio, ISO publicó "Technical Corrigendum", una
corrección técnica para sustituir la numeración "17799" por "27002" en el
documento, hasta esa fecha conocido como ISO/IEC 17799:2005.

El documento es sólo eso: una corrección en un documento de apenas una


hoja, para hacer oficial el nombramiento.

La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de


gestión de la seguridad de la información de manera similar a lo realizado con
las normas de gestión de la calidad, la serie ISO 9000.

La numeración actual de las Normas de la serie ISO/IEC 27000 es la siguiente:

14
En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI
publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de
información. Servirá probablemente de base a la ISO27005, que tardará aún
algún tiempo en editarse.

4.1 LA SERIE 27000


A semejanza de otras normas ISO, la 27000 es realmente una serie de
estándares.
En cuanto a la familia de normas ISO 27000, ésta consiste en una serie
documentos referentes a Gestión de Seguridad de la Información, que
proporciona una buena herramienta para gestionar este tema en el seno de las
organizaciones.

4.1.1. LAS NORMAS QUE CONFORMAN ESTA SERIE SON:

4.1.1.1 ISO 27000:


En fase de desarrollo. Contendrá términos y definiciones que se emplean en
toda la serie 27000. La aplicación de cualquier estándar necesita de un
vocabulario claramente definido, que evite distintas interpretaciones de
conceptos técnicos y de gestión.

4.1.1.2 ISO 27001.


Éste es el estándar de la familia que permite certificar (especifica requisitos),
por entidad acreditada para ello, el Sistema de Gestión de Seguridad de la
Información. Basado como otros en el ciclo PDCA (Plan – Do – Check - Act),
deriva de la BS 7799-2, la cual fue adoptada por ISO como estándar
internacional y lanzada como ISO/IEC 27001:2005. Especifica requisitos para
el diseño, implantación, mantenimiento y mejora del SGSI, sus procesos y los
controles de aplicación. Es la norma principal de requerimientos del sistema de
gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y
es la norma con arreglo a la cual serán certificados por auditores externos los
SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y
sustituye a la BS 7799-2, habiéndose establecido unas condiciones de
transición para aquellas empresas certificadas en esta última. En su Anexo A,
lista en forma de resumen los objetivos de control y controles que desarrolla la
ISO17799:2005 (futura ISO27002), para que sean seleccionados por las
organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la
implementación de todos los controles enumerados en esta última, la

15
organización deberá argumentar sólidamente la no aplicabilidad de los
controles no implementados.

4.1.1.4 ISO 27002 (ISO 17799):


En fase de desarrollo; probable publicación en 2007. Es una guía de buenas
prácticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información. No es certificable. Será la sustituta de la
ISO17799:2005, que es la que actualmente está en vigor, y que contiene 39
objetivos de control y 133 controles, agrupados en 11 cláusulas. Como se ha
mencionado en su apartado correspondiente, la norma ISO27001 contiene un
anexo que resume los controles de ISO17799:2005.
ISO 27002 (ISO 17799): Probable publicación en Abril de 2007. Es una guía de
buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable.
Será la sustituta de 1S017799:2005, que es la que actualmente está en vigor, y
que contiene 39 objetivos de control y 133 controles, agrupados en 11
dominios. Como se ha mencionado en su apartado correspondiente, la norma
1S027001 contiene un anexo que resume los controles de ISO1 7799:2005.
ISO/IEC 27002 es un estándar para la seguridad de la información aplicable a
cualquier organización, sea cual sea el tamaño, la actividad de negocio o el
volumen del mismo. No obstante, la naturaleza de cada organización
determinará el esfuerzo dedicado a proteger unos activos u otros.
La norma ISO/IEC 27002 proporciona recomendaciones de las mejores
prácticas en la prevención de la confidencialidad (asegurando que sólo quienes
estén autorizados pueden acceder a la información), integridad (asegurando
que la información y sus métodos de proceso son exactos y completos) y
disponibilidad (asegurando que los usuarios autorizados tienen acceso a la
información y a sus activos asociados cuando lo requieran). Para ello, la norma
se estructura en diez dominios que cubren (casi) por completo la Gestión de la
Seguridad de la Información:
>Políticas de seguridad
>Aspectos organizativos
>Clasificación y control de activos
>Seguridad ligada al personal
>Seguridad física y del entorno
>Gestión de comunicaciones y operaciones
>Control de accesos
>Desarrollo y mantenimiento de sistemas
>Gestión de continuidad del negocio
> Cumplimiento o conformidad de la legislación
16
La norma ISO/IEC 27002 es una guía de buenas prácticas y no especifica los
requisitos necesarios que puedan permitir el establecimiento de un sistema de
certificación adecuado para este documento.

4.1.1.5 ISO 27003:


En fase de desarrollo; probable publicación en Octubre de 2008. Contendrá
una guía de implementación de SGSI e información acerca del uso del modelo
PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el
anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI
a lo largo de los años con recomendaciones y guías de implantación.

4.1.1.6 ISO 27004:


En fase de desarrollo; probable publicación en Noviembre de 2006.
Especificará las métricas y las técnicas de medida aplicables para determinar la
eficiencia y efectividad de la implantación de un SGSI y de los controles
relacionados. Estas métricas se usan fundamentalmente para la medición de
los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

4.1.1.7 ISO 27005:


Probable publicación en 2007 ó 2008. Consistirá en una guía para la gestión
del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la
ISO27001 y a la implantación de un SGSI. Se basará en la BS7799-3
(publicada en Marzo de 2006) y, probablemente, en ISO 13335.
En fase de desarrollo y probable publicación a finales de 2006. Especificará el
proceso de acreditación de entidades de certificación y el registro de SGSIs.

4.2 PREGUNTAS BASICAS PARA INPLEMENTAR LAS NORMAS


DE SEGURIDAD EN SU EMPRESA

Todo intento por formalizar cualquier tarea o aspecto relacionado con la


seguridad debe tratar como mínimo de responder a tres preguntas:
*4.1 Qué: objetivo, requisito o regulación que se quiere satisfacer o
cumplir (lo que hay que lograr).
* 4.2 Quién: responsable de la tarea o encargado de que se cumpla (el
encargado de hacerlo posible).
*4.3 Cómo: descripción de las actividades que darán con la consecución
del objetivo o requisito (lo que haya que hacer para conseguirlo).

17
Las preguntas cuándo y dónde muchas veces no tienen por qué ser
respondidas aunque suelen ser tratadas en los procedimientos.
Basándose en lo anterior, los documentos que se elaboran para
formalizar la seguridad tratan, a diferentes niveles, de responder a esas
preguntas, relacionándose de manera jerárquica unos con otros:

4.3 POLÍTICA DE SEGURIDAD

* Una política de seguridad debe establecer las necesidades y


requisitos de protección en el ámbito de la organización y es la guía o
marco para la creación de otro tipo de documento más detallado que
denominamos norma de seguridad. Formalmente describe qué tipo de
gestión de la seguridad se pretende lograr y cuáles son los objetivos
perseguidos. Definen qué quiere la organización a muy alto nivel, de
forma muy genérica, quedando como una declaración de intenciones
sobre la seguridad de la Organización. A su vez, una política de
seguridad puede apoyarse en documentos de menor rango que sirven
para materializar en hechos tangibles y concretos los principios y
objetivos de seguridad establecidos. Hablamos entonces del marco
normativo que puede estar constituido por documentos de rango inferior,
como pueden ser las normas, políticas de uso, procedimientos de
seguridad e instrucciones técnicas de trabajo. Vamos a ver en qué
consisten cada una de ellas.

4.3.1 NORMA DE SEGURIDAD

* Una norma de seguridad define qué hay que proteger y en qué


condiciones, pero para situaciones más concretas. Sirven para
establecer unos requisitos que se sustentan en la política y que regulan
determinados aspectos de seguridad. Una norma debe ser clara,
concisa y no ambigua en su interpretación. Se pueden agrupar en base
a las diferentes áreas de la seguridad dentro de la organización: normas
de seguridad física, normas de control de acceso a sistemas, normas de
gestión de soportes, normas de clasificación de información, etc.

4.3.2 PROCEDIMIENTO DE SEGURIDAD

* Un procedimiento de seguridad determina las acciones o tareas a


realizar en el desempeño de un proceso relacionado con la seguridad y
las personas o grupos responsables de su ejecución. Son, por tanto, la
18
especificación de una serie de pasos en relación la ejecución de un
proceso o actividad que trata de cumplir con una norma o garantizar que
en la ejecución de actividades se considerarán determinados aspectos
de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y
no ambiguo en su ejecución. No tiene por qué ser extenso, dado que la
intención del documento es indicar las acciones a desarrollar. Un
procedimiento puede apoyarse en otros documentos para especificar,
con el nivel de detalle que se desee, las diferentes tareas. Para ello,
puede relacionarse con otros procedimientos o con instrucciones
técnicas de seguridad.

4.3.3 PROCEDIMIENTO DE SEGURIDAD


* Una procedimiento de seguridad determina las acciones o tareas
necesarias para completar una actividad o proceso de un procedimiento
concreto sobre una parte concreta del sistema de información
(hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual
que un procedimiento, son la especificación pormenorizada de los pasos
a ejecutar. Una instrucción técnica debe ser clara y sencilla de
interpretar. Deben documentarse los aspectos técnicos necesarios para
que la persona que ejecute la instrucción técnica no tenga que tomar
decisiones respecto a la ejecución de la misma. A mayor nivel de detalle,
mayor precisión y garantía de su correcta ejecución.

4.3.4 PROCEDIMIENTO DE SEGURIDAD

* Una política de uso es un documento destinado a usuarios finales con


la intención de establecer una regulación específica sobre la utilización
de un sistema, tecnología o recurso. En este caso, deben documentarse
las normas de comportamiento que deben cumplir los usuarios en el uso
de los sistemas de información o los aspectos generales que se desean
regular, así como los usos que son considerados autorizados y los usos
no aceptables.Lo importante de este conjunto de documentos que
forman el marco normativo es, por un lado, documentar de forma clara y
concreta las decisiones establecidas por la organización en materia de
seguridad y, por otro, que sean utilizados por todas las personas de la
organización para saber qué hacer en cada circunstancia en relación
con la protección de la información.
Los últimos días del año, el grupo Google ISO27001security.com ha estado
tambien tratando la cuestión y el grupo coordinado por Gary Hinson han
elaborado un documento titulado "los principales riesgos en seguridad de la
19
información para el 2008" que puede ser descargado en ingles en la siguiente
dirección. El documento está licenciado bajo Creative Common y es bastante
completo, identificando los diferentes elementos de seguridad que
determinarán los riesgos del 2008, como son:
-principales amenazas
-principales Vulnerabilidades
-principales impactos

Con todo ello, se determinan cuales podrán ser los riesgos a mitigar este 2008.

Como indica en la propia Web de ISME.

"Surge como solución y aproximación para el camino a seguir hacia la


implementación de la seguridad de la información en empresas cuyo modelo
de seguridad aún no es maduro y desean acometer la labor de implantación de
la seguridad de la información y de su sistema de gestión asociado de una
forma eficiente, eficaz y práctica, de forma que permita disminuir el riesgo de la
organización a corto plazo a la vez que se inicie el camino hacia el
cumplimiento de los estándares deseados.
IS2ME persigue también un objetivo social ambicioso: el acercamiento de la
seguridad de la información a las medianas (y pequeñas) empresas,
fomentando así su penetración en la cultura organizacional del tejido
empresarial existente y disminuyendo en general el nivel de riesgo asumido por
las organizaciones, aumentando con ello su valor y rentabilidad y elevando, por
tanto, el nivel económico de la mayoría de las empresas existentes en la
actualidad."

5.0 PRINCIPALES CLAVES PARA IMPLANTAR EL ISO 27001

5.1 IDENTIFICAR LOS OBJETIVOS DE NEGOCIO


El propósito de la certificación es garantizar la gestión de la seguridad sin
olvidar que esto debe contribuir al desarrollo de los servicios o procesos de
negocio. La seguridad debe alinearse estratégicamente con la actividad de la
organización para darle un mejor soporte y robustez.

5.2 SELECCIONAR UN ALCANCE ADECUADO

20
El esfuerzo en la implementación será proporcional al tamaño del sistema a
construir. En muchos casos, no es necesario extender el SGSI a toda la
organización sino centrarnos como primer paso en el corazón de la gestión
donde se concentra la mayor parte de las actividades relacionadas con la
gestión de información, que suele coincidir con las áreas de sistemas de
información o con algún departamento donde la seguridad de la información
que se gestiona es crítico para el desarrollo de las actividades de negocio.

5.3 DETERMINAR EL NIVEL DE MADUREZ ISO 27001:


Debemos identificar en que estado de madurez se encuentra la organización
para identificar el esfuerzo que habrá que hacer en la implantación. No va a ser
igual en organizaciones que ya han pasado previamente bajo los procesos de
certificación de calidad que aquellas que empiecen desde cero y no se
encuentren acostumbradas a la gestión de la mejora continua.

5.3.1 ANALIZAR EL RETORNO DE INVERSIÓN

Es muy importante demostrar que el esfuerzo realizado no será un gasto sino


una inversión y que tras implantar los procesos de gestión, se conseguirán
efectos colaterales que supondrán un retorno de inversión a considerar. Es
dificil justificar el ahorro por los incidentes no producidos, pero al menos, si es
viable demostrar con indicadores que los indices de incidentes se han reducido.
A través de la iniciativa FOROSEC quiero hoy comentar el enlace a la Guía de
implantación de sistemas de gestión de la seguridad de la información.

FOROSEC es un proyecto subvencionado por el Ministerio de Industria,


Turismo y Comercio que tiene como objetivo establecer una red experta en
seguridad informática enfocada a mejorar la competitividad de las PYMES en
los servicios de negocio electrónico.
Los organizadores del proyecto son cuatro centros especializados en TICs y
seguridad informática:
* AIMME (Instituto Tecnológico Metalmecánico),
* ESI (European Software Institute),
* IAT (Instituto Andaluz de Tecnología) y
* ROBOTIKER.

Esta guía está redactada en un lenguaje sencillo y puede ser un material muy
interesante para realizar una primera aproximación al mundo de los sistemas
de gestión de la seguridad de la información (SGSI). En el documento vienen
21
desmenuzadas las diferentes fases del proceso, los documentos mínimos a
generar y cuales deben ser los principios y objetivos de abordar un proyecto de
semejante transcendencia e importancia para la organización. El desarrollo de
la metodología para la implementación acercará a las personas con interés en
el tema a cada una de las actividades a desarrollar dentro del diseño y
construcción del SGSI.
Por último destacar también el anexo 2 en donde se establecen unas pautas y
consejos para la elaboración de procedimientos de seguridad.
GLOSARIO

• Activo: recurso del sistema de información o relacionado con éste,


necesario para que la organización funcione correctamente y alcance los
objetivos propuestos.
• Amenaza: es un evento que pueden desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales en
sus activos.
• Impacto: medir la consecuencia al materializarse una amenaza.
• Riesgo: posibilidad de que se produzca un impacto determinado en un
Activo, en un Dominio o en toda la Organización.
• Vulnerabilidad: posibilidad de ocurrencia de la materialización de una
amenaza sobre un Activo.
• Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento
del sistema.
• Desastre o Contingencia: interrupción de la capacidad de acceso a
información y procesamiento de la misma a través de computadoras
necesarias para la operación normal de un negocio.

22
CONCLUSIONES

• Al ingresar al área de seguridad se debe contemplar muy estrechamente las


relaciones que hay entre los aspectos: tecnológicos, humano - sociales y
administrativos.

• Estos casos y muchos otros nos muestran que al realizar la auditoría se


debe estudiar con mucho cuidado lo que significan los virus. Y conocer los
diferentes tipos como ser: caballo de troya, gusano, trampilla, bomba de
tiempo, bomba lógica y los recientes macro virus.

• Pero como principal punto de partida se debe observar que el sistema:


• No tenga copias ilegales o piratas
• Que no exista la posibilidad de transmisión de virus al realizar conexiones
remotas o de redes.
• El acceso de unidades de disco flexible sea restringido solo a quienes las
necesitan.
• Cuando se ha definido el grado de riesgo se debe elaborar una lista de los
sistemas con las medidas preventivas que se deben tomar y las correctivas
en caso de desastre, señalando la prioridad de cada uno. Con el objetivo

23
que en caso de desastres se trabajen los sistemas de acuerdo a sus
prioridades.

• Es muy importante manejar con discreción los resultados que se obtengan


de los aspectos de seguridad, pues su mala difusión podría causar daños
mayores. Esta información no debe ser divulgada y se la debe mantener
como reservada.

BIBLIOGRAFIA

• http://seguridadit.blogspot.com/2006/01/norma-iso-17799-vs-iso-
27001.html

• http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

• SARA (http://www-arc.com/sara)

• SAINT™ (http://www.wwdsi.com/saint)
24
• (http://www.microsoft.com/technet/security/tools/Tools/mbsahome.asp)

• Fresh Diagnose (http://www.freshdevices.com/freshdiag.html)

• http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

• http://www.iso27000.es/herramientas.html

25

También podría gustarte