DIVISION INGENIERIAS

Ingeniero en Sistemas de Informacin

Seguridad Informtica

SGSI

Profesor Ing. Arnoldo F. Vidal Romero

Alumno:
Barraza Celaya Nstor de Jess

OCTUBRE 7 2012 Hermosillo, Son.

Introduccin
El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central sobre el que se construye ISO 27001. La gestin de la seguridad de la informacin debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la organizacin. Este proceso es el que constituye un SGSI, que podra considerarse, por analoga con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la informacin. Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propsito de un sistema de gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas.

Objetivo
El objetivo de la siguiente investigacin es el de conocer los procesos que tiene el SGSI para proteger la informacin y los elementos relacionados a esta.

Antecedentes y Alcances
Angeli, J. (2005) Las normas de seguridad informtica y de telecomunicaciones de la UCLA. Corti, M(2006) Anlisis y automatizacin de la implantacin de SGSI en Uruguay. Se desea desarrollar el concepto bsico de SGSI como alcance adems de definir algunos de sus puntos.

Desarrollo Terico.

Un Sistema de Gestin de la seguridad de la Informacin (SGSI) es, como el nombre lo sugiere, un conjunto de polticas de administracin de la informacin. El trmino es utilizado principalmente por la ISO/IEC 27001. El trmino se denomina en Ingls "Information Security Management System" (ISMS). El concepto clave de un SGSI es para una organizacin del diseo, implantacin, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la informacin, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de informacin minimizando a la vez los riesgos de seguridad de la informacin. Como todo proceso de gestin, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptndose a los cambios internos de la organizacin as como los externos del entorno.

La ISO/IEC 27001 por lo tanto incorpora el tpico "Plan-Do-Check-Act" (PDCA) que significa "PlanificarHacer-Controlar-Actuar" siendo este un enfoque de mejora continua: Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin de riesgos de seguridad de la informacin y la seleccin de controles adecuados. Do (hacer): es una fase que envuelve la implantacin y operacin de los controles. Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeo (eficiencia y eficacia) del SGSI. Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a mximo rendimiento.

La mejor definicin de SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estndares publicados por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC).

La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la informacin: Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

Proceso de SGSI El primer paso para definir un SGSI en la organizacin es responder a estas tres preguntas: Cul es el estado actual de nuestra seguridad? Cul es el estado al que queremos llegar? Cmo queremos llegar a ese estado objetivo? Las respuestas a estas cuestiones permitirn definir un Plan Director de Seguridad. Con el plan en la mano, ya podemos... .implantar. gestionar. .medir.

Con el SGSI implantado (total o parcialmente), podemos entrar en la fase de auditora del sistema: Se ajusta a lo deseado? Ha sido implantado y se mantiene y ejecuta correctamente? Existen nuevos riesgos? Hay cambios que puedan afectar al SGSI? Si durante la auditora se detectan no conformidades (desviaciones con respecto a la poltica), debemos corregirlas; si no se encuentran, debemos buscarlas.

Qu incluye un SGSI? En el mbito de la gestin de la calidad segn ISO 9001, siempre se ha mostrado grficamente la documentacin del sistema como una pirmide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestin de la Seguridad de la Informacin basado en ISO 27001 de la siguiente forma:

Documentos de Nivel 1 Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI. Documentos de Nivel 2 Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin. Documentos de Nivel 3 Instrucciones, checklists y formularios: documentos que describen cmo se realizan las tareas y las actividades especficas relacionadas con la seguridad de la informacin. Documentos de Nivel 4 Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o tareas concretas). Poltica y objetivos de seguridad: documento de contenido genrico que establece el compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI. Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de informacin contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables. Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a los activos de informacin de la organizacin. Plan de tratamiento de riesgos: documento que identifica las acciones de la direccin, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.

 Procedimientos documentados: todos los necesarios para asegurar la planificacin, operacin y control de los procesos de seguridad de la informacin, as como para la medida de la eficacia de los controles implantados. Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.

Control de la documentacin
Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestin necesarias para: Aprobar documentos apropiados antes de su emisin. Revisar y actualizar documentos cuando sea necesario y renovar su validez. Garantizar que los cambios y el estado actual de revisin de los documentos estn identificados. Garantizar que las versiones relevantes de documentos vigentes estn disponibles en los lugares de empleo. Garantizar que los documentos se mantienen legibles y fcilmente identificables.> Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables segn su clasificacin. Garantizar que los documentos procedentes del exterior estn identificados. Garantizar que la distribucin de documentos est controlada. Prevenir la utilizacin de documentos obsoletos. Aplicar la identificacin apropiada a documentos que son retenidos con algn propsito.

Ventajas
Confianza, depositada en la entidad que certifica. Yo no digo que soy seguro, lo dice un tercero independiente. Garanta de 'calidad de la seguridad': mejora continua. Incluimos la seguridad a todos los niveles de la organizacin: beneficios para la propia organizacin, los inversores., los clientes y los empleados.

Desventajas:
La certificacin califica formalmente el sistema de gestin, no la seguridad tcnica. No es garanta de inmunidad. No se realizan auditoras de eficacia de los controles. Son adecuados? Cumplen sus objetivos? Falta de cultura de seguridad en la organizacin.

CONCLUSIONES
SGSI es un mtodo o norma para asegurar la informacin de las empresas o de las instituciones, en mi punto de vista la considerara como una metodologa necesaria para el cuidado de la informacin, porque como bien sabemos la informacin puede representar alguna ventaja competitiva y por razones tan importantes como esa debe respaldarse y salvaguardarse lo mejor posible. Aunque es conocido que ninguna proteccin es considerado infalible en cuestin de informacin, podemos hacer que la proteccin sea ms robusta y con ello impedir el mal uso o robo de nuestros datos. La informacin debe ser ntegra, confiable y disponible, pero para ello es necesario de un proceso sistemtico y bien documentado paro tener control sobre los subprocesos que esto conlleva. Con una correcta documentacin se tiene por seguro un parmetro en caso de que se requiera de una actualizacin o mejora del proceso de gestin de seguridad de la informacin. Una metodologa d este tipo implica conocer las vulnerabilidades de un sistema de informacin, por ello es importante su implementacin, pero tambin es necesario involucrar a todo el personal que trabaja con la informacin, ya que estos son quienes interactan con los sistemas. La informacin es muy valiosa, por eso debe ser protegida y manejada de una manera responsable. Por ello tener un control y procesos documentados, al igual que polticas internas puede significar un grado ms confiable para la proteccin de la informacin. "No hay una seguridad completa de la informacin, sino una seguridad gestionada"

Referencias:

http://www.slideshare.net/mmujica/mi-defensa http://auditoriasi.blogspot.mx/2009/06/historia-de-un-sgsi-cualquiera-el.html http://www.iso27000.es/sgsi.html#section2c http://www.criptored.upm.es/guiateoria/gt_m209e.htm http://es.wikipedia.org/wiki/Sistema_de_Gesti%C3%B3n_de_la_Seguridad_de_la_Informaci%C3%B3n