ASOCIACIN UNIVERSIDAD PRIVADA SAN JUAN BAUTISTA FACULTAD DE INGENIERA ESCUELA DE INGENIERA DE COMPUTACIN Y SISTEMAS

TITULO
TTULO DEL TRABAJO: IMPLEMENTACION DE SEGURIDAD DE REDES E INFORMACION EN LA EMPRESA.

CURSO SEGURIDAD Y AUDITORIA DE SISTEMAS ALUMNO ALEJOS ASCUE CRISTOPHER

PROFESOR MAG. ING. MILNER LIENDO, DAVID

FECHA DE PRESENTACIN: 19/10/2013

LIMA PER

2013-II

TITULO............................................................................................................ 1 1.OBJETIVOS................................................................................................... 1 1.1.Objetivo general ................................................................................... 1 1.2.Objetivos secundarios...........................................................................1 2.MARCO TERICO........................................................................................ 1 2.1.Planeacin de la seguridad en red.....................................................1 2.3. Servicios seguros.................................................................................... 6 2.4.Por qu las empresas implementan las herramientas de seguridad.......7 2.5.La empresa y sus necesidades de Seguridad de la Informacin..............7 2.6.Como crear e Implementar Sistema de Gestin de seguridad de la informacin en las empresas ........................................................................8 2.7. Ventajas de tener Sistemas de Gestin de Seguridad de la Informacin. ..................................................................................................................... 11 CONCLUSIONES............................................................................................ 12 RECOMENDACIONES .................................................................................... 13 BIBLIOGRAFIA............................................................................................... 13 GLOSARIO DE TRMINOS.............................................................................. 14

INTRODUCCIN En la Actualidad vivimos en un mundo globalizado y cada vez ms competitivo, en el que las empresas se encuentran con nuevos desafos que hacen necesaria la bsqueda de nuevos caminos que les permitan obtener una ventaja razonable. En el presente intentamos de facilitar algunos de los Tips para gestionar la seguridad de la informacin en la empresa. Los Sistemas de Gestin de Seguridad de la Informacin, as como las redes de trabajo de dichas organizaciones, se estn viendo afectadas por amenazas de seguridad, ataques y fraudes informticos, problemas de sabotajes, virus informticos y otro tipo de contingencias mayores, con el riesgo de eliminacin y prdida de informacin. Es as que los sistemas de Gestin de Seguridad de la informacin son un gran soporte para las empresas ya que permite analizar lo que sucede y prevenirlo en el entorno del negocio.

1. OBJETIVOS 1.1. Objetivo general

Conocer sobre la Gestin e Implementacin de los Sistemas de Gestin de Seguridad de redes e Informacin a la empresa. 1.2. Objetivos secundarios A travs de este trabajo de investigacin dar una idea de cmo las empresas implementan seguridad de redes e informacin. Auto-motivacin en la realizacin del trabajo de investigacin. Cumplir con la tarea de la semana y por ende tener una buena calificacin

2. MARCO TERICO 2.1. Planeacin de la seguridad en red La implementacin de seguridad en cmputo no slo requiere recursos tecnolgicos, se deben considerar procesos de entrenamiento y recursos humanos especializados, esta meta es difcil de alcanzar debido a los constantes cambios. Con el paso de los aos se han desarrollado nuevos ataques cada vez ms sofisticados para explotar vulnerabilidades tanto en el diseo de las redes TCP/IP, en la configuracin, operacin de los equipos y sistemas que conforman las redes conectadas a internet. 1

Estos nuevos mtodos de ataque se han automatizado, por lo que en muchos casos slo se necesita un conocimiento tcnico muy bsico para realizarlos. Cualquier usuario con una conexin a internet tiene acceso hoy en da a numerosas aplicaciones para realizar estos ataques y las instrucciones necesarias para ejecutarlos. Las organizaciones deben contemplar la planeacin de la seguridad, revisar sus prcticas, aprender del entorno y desarrollar planes para mejorarlas, todo esto tiene una base en comn, la administracin de sus sistemas, dentro de la cual se debe contar con un responsable de la administracin y sistemas de seguridad, as tambin con un inventario de todos los equipos fsicos como computadoras, impresoras de red, servidores, mquinas portables, guas de configuracin y conexin a Internet, en lugares estratgicos, el seguimiento de estos puntos debe ser considerado para planear la seguridad. Es importante tener en cuenta que para implementar un esquema de seguridad antes se debe contar con una administracin bien definida, el siguiente paso de la administracin es la planeacin de un esquema de seguridad el cual es determinado con base en un anlisis del sistema actual, los recursos econmicos, las necesidades de la organizacin y la aprobacin de la gerencia. Realizando un anlisis de riesgos posterior contemplando la arquitectura de la red, polticas de seguridad actuales, mecanismos de deteccin de intrusos, robos, desastres naturales, concientizacin de usuarios, seguridad interna, confidencialidad, seguridad en redes inalmbricas y mantenimiento principalmente, dentro de este punto se debe contemplar tanto la seguridad fsica como la lgica para asegurar la red y cada host, generando lo que actualmente se conoce como seguridad convergente.

Algunos puntos bsicos que se hacen al momento de realizar una planeacin de la seguridad son: Qu bien se proteger?. Qu valor cualitativo o cuantitativo representa el bien para la organizacin? Cul es el impacto en la organizacin si se compromete este bien? De qu se busca proteger el bien?. Qu mecanismos se pueden implementar para asegurar el bien? Cunto es el monto destinado para la proteccin de este bien? Apegarse a la decisin ejecutiva de la organizacin?.

2.2.

Estrategias de seguridad.

Implementar una solucin de seguridad por ms simple que sea, requiere de una planeacin, las tecnologas por s solas no aseguran la red, invertir en equipo no 2

necesariamente garantiza la seguridad de la red , el problema es entender que todas las tecnologas son una inconsistencia si no se consideran las aplicaciones, el mtodo de almacenamiento, los hosts, trnsito de la informacin, el permetro, configuraciones y lo ms importante, las personas, ya que no se puede confiar slo en la tecnologa para proteger la red, debido a que las personas que generan las tecnologas cometen errores tambin, no se puede esperar que la tecnologa por si sola proteja contra el crimen ciberntico. Ajustarse a una estrategia de seguridad es muy importante al momento de construir o elegir una solucin de seguridad, existen diferentes estrategias que responden a diferentes principios asumidos para llevar a cabo la implementacin de una solucin de

seguridad, inclusive se pueden emplear diferentes estrategias de manera simultnea en diferentes puntos dentro de la organizacin, dentro de stos se encuentran: Defensa perimetral. Seguridad en profundidad. Eslabn ms dbil. Seguridad basada en red. Seguridad basada en host. Principio de menor privilegio. Seguridad por oscuridad. Simplicidad. Punto de ahogo. Diversidad de la defensa.

El modelo de defensa perimetral es una analoga a un castillo rodeado por una fosa, cuando se utiliza este modelo en la seguridad de una red, las organizaciones aseguran o fortalecen los permetros de sus sistemas y los lmites de sus redes, en s la defensa perimetral es un conjunto de medidas, estrategias, tcnicas que permiten defender y establecer un monitoreo de la parte ms exterior de la red, los mecanismos ms utilizados para establecer permetros son los firewalls, IDS, VPN, DMZ y NAT. Permite una administracin centralizada de la red, ya que se concentran los esfuerzos en algunos pocos puntos de acceso que definen al permetro. Es importante mencionar que este modelo no hace nada para proteger los sistemas de ataques internos, puede presentar fallas eventuales como cualquier otro sistema. En la eleccin de las herramientas a utilizar se deben tomar en cuenta los siguientes aspectos: Recursos fsicos. Infraestructura de red. Flujo de Informacin. Polticas establecidas. Cantidad de informacin (Capacidad de manejo de informacin). Antes de su implementacin se debe saber de qu se busca protegerse en el exterior, para determinar qu control es el ms adecuado para cubrir este bien, as como las polticas actuales de la organizacin. 2. Seguridad en profundidad. El principio universal del concepto de defensa en profundidad y que se encuentra en los tres mbitos, militar, industria y seguridad de sistemas de informacin, define 3

varias barreras independientes, esta estrategia es el modelo ms robusto de defensa ya que se esfuerza por robustecer y monitorear cada sistema. Se basa en la implementacin de diferentes zonas de seguridad resguardadas por diferentes mecanismos, donde cada uno de ellos refuerza a los dems, de esta manera se evita que si uno de los mecanismos falla se deje vulnerable la red completa ya que existen otros mecanismos que vencer. El principio trata de hacer ms difcil y costoso a un atacante la tarea de violar la seguridad de una red, esto se logra con la multiplicidad y redundancia de la proteccin, organizada entorno a mltiples niveles de seguridad, cada mecanismo respalda a otro que se encuentre en una capa inferior, cubriendo en ocasiones aspectos traslapados. Un punto importante de esta estrategia determina evitar fallas de modo comn, es decir, que los mecanismos empleados deben ser cuidadosamente configurados para evitar que las fallas de uno no se propaguen al resto, la defensa en profundidad recomienda que los mecanismos sean de diferentes marcas, debido a que si se logra vulnerar por algn medio uno de ellos, el siguiente no pueda ser vulnerado de la misma forma. 3. Eslabn ms dbil. Esta postura de seguridad determina la robustez de la misma con base en su punto de falla ms crtico, aplicado a redes, establece que un equipo es tan seguro como lo es su punto ms dbil, este punto suele ser el objetivo de los ataques de una red. El objetivo de esta estrategia identifica aquellos enlaces dbiles en la red y tratar de eliminarlos, algunos ejemplos de eslabones dbiles dependientes de otros factores pueden ser configuraciones, vulnerabilidades, personal y contraseas principalmente.

4. Seguridad basada en red. Se centra en controlar el acceso a la red, y no en asegurar los hosts en s mismos, este modelo se encuentra diseado para tratar los problemas en el ambiente de seguridad perimetral, aplicando los mecanismos de proteccin en un lugar comn por el cual circula todo el trfico desde y hacia los hosts. Un enfoque de seguridad en red involucra la construccin de firewalls, mecanismos de autenticacin, cifrado para proteger la confidencialidad e integridad de datos y detectores de intrusos principalmente. La ventaja sobre el modelo de seguridad de host es una considerable reduccin en la administracin, ya que slo se requiere proteger unos pocos puntos de acceso, lo que permite concentrar todos los esfuerzos en una solucin perimetral. Este modelo es escalable en medida de que la solucin perimetral pueda soportar los cambios sin afectar su desempeo. Una desventaja de este modelo es que depende de algunos puntos de acceso, por lo que puede producir en el desempeo reducciones del trfico de entrada y salida. 5. Seguridad basada en host. Los esfuerzos de seguridad estn enfocados en los sistemas finales de una red privada, es decir, que los mecanismos de seguridad son implementados en los sistemas y son ellos mismos los encargados de su proteccin. Principio de menor privilegio. Va dirigido al control de acceso y a la autenticacin, consiste en conceder a cada objeto (usuario, programa, sistema, etctera) slo aquellos permisos o privilegios para que se realicen las tareas que se programaron para ellos. Esta estrategia permite limitar la exposicin a ataques y disminuir el dao que se puede causar por accesos no autorizados a recursos, est basada en el razonamiento de que todos los servicios ofrecidos estn pensados para ser utilizados por algn tipo 4

de objeto y que no cualquiera pueda acceder al recurso que desee, muchas soluciones utilizan tcnicas para implementar una estrategia de mnimo privilegio, que permite el paso nicamente para los servicios o recursos deseados. Cuando se implementa alguna poltica de seguridad, un comienzo para una buena implementacin es brindar derechos a los usuarios en funcin de su trabajo, una filosofa conocida como menor privilegio. 6. Seguridad por oscuridad. Seguridad por oscuridad confa en el secreto como seguridad, el concepto detrs de este modelo es que si uno no conoce que red o sistema existe, ste no ser susceptible de ataques. La idea de esta estrategia est basada en mantener oculta la verdadera naturaleza del mecanismo empleado para brindar seguridad, en el caso de una red, la red privada y sus componentes, esta suposicin es algo ingenua ya que varios estudios han demostrado que el inters de un atacante por un determinado sitio, involucran varios sistemas y varias cuentas de usuario para obtener acceso a otros sistemas antes de alcanzar su objetivo real. 7. Simplicidad. Se tiene el entendido de que mientras ms grande sea un sistema, los mecanismos de seguridad que debern de implementarse sern de la magnitud del sistema, pero los protocolos de administracin a emplear debern ser elegidos solo aquellos que se planeen utilizar, ya que de lo contrario se generarn ms errores, debido a ms configuraciones, puntos vulnerables y falta de mantenimiento principalmente, lo que como consecuencia trae que posiblemente existan agujeros de seguridad no conocidos que un atacante pueda explotar, por ms complejos que sean. La simplicidad de los sistemas de seguridad es un factor importante de una slida defensa de red, particularmente de los sistemas de seguridad de red a nivel de aplicacin, no deber tener funcionalidades desconocidas y deber mantenerse lo ms simple posible. 8. Punto de ahogo. Enfocado a la red, consiste en depender de un nico punto de acceso a la red privada para todas las comunicaciones entre sta y la red pblica, ya que no existe otro camino para el trfico de entrada y salida, los esfuerzos de control y mecanismos se centran en monitorear un solo sitio de red. Esta estrategia se considera como una solucin centralizada, pero como consecuencia si se logra comprometer la seguridad en esta estrategia, se tendr acceso a todos los recursos de la red, o en caso contrario, bloquear todos los servicios, esta situacin puede ser tratada utilizando mecanismos de proteccin redundantes y reforzar la seguridad de los puntos de ahogo. Los inconvenientes que puede provocar esta estrategia son: Puede producir bajas en el desempeo de la comunicacin con la red exterior. Se emplean firewalls perimetrales en esta solucin, por lo que el firewall debe tener la capacidad de poder procesar todo el trfico que pase. Si se cuenta con algn otro tipo de acceso alternativo a la red interna esta solucin no tiene sentido, ya que se deber asegurar tambin el otro acceso a la red. 9. Diversidad de la defensa. Esta estrategia plantea el uso de diferentes tipos de sistemas de seguridad, es decir, de diferentes proveedores y mecanismos, pueden contemplarse como defensa en profundidad. El objetivo de la variedad es reducir la posibilidad de fallas comunes en todos los sistemas utilizados para proteger la red debido a errores propios de los sistemas o configuraciones. 5

2.3. Servicios seguros.

Los servicios seguros brindan mayor confiabilidad en sus procesos, dentro de stos se encuentran integridad, confidencialidad, no repudio, autenticacin, control de acceso y disponibilidad. Muchos de los mecanismos de seguridad que se emplean actualmente pueden ser utilizados para provocar un ataque cuando no son configurados de manera adecuada, errores propios de sistema y vulnerabilidades an no descubiertas, por esta razn es importante contemplar las debilidades conocidas que poseen los protocolos y mecanismos de seguridad que se empleen, el escenario donde se implementar y una buena configuracin, esto con la finalidad de conocer puntos dbiles en ellos y encontrar la manera de protegerlos. Aun as el uso de mecanismos de seguridad con un buen funcionamiento tiene su parte negativa, el hecho de utilizar un canal cifrado, permite a los puntos involucrados mantener una comunicacin por un canal seguro, pero qu pasa si es comprometido uno de los puntos, en este caso el cifrado no protege el resguardo de la contrasea, lo que permite al atacante utilizar este canal para la finalidad que l desee, adems por ser un canal seguro, las operaciones y comandos que realice el atacante no podrn ser analizados de manera directa, generando un problema en las bitcoras. En el ejemplo anterior se plantea una debilidad de emplear canales seguros, la solucin propuesta sera generar bitcoras de los sistemas y las operaciones que realicen todos los usuarios.

Cifrado.

La herramienta automatizada ms importante, para la seguridad de redes y comunicacin es el cifrado, uno de los mecanismos ms utilizados que busca garantizar la confidencialidad entre dos entidades, generalmente los sistemas criptogrficos se clasifican atendiendo a tres factores independientes: Lo fundamental del proceso es que no se pierda la informacin, es decir, que todas las operaciones sean reversibles. La mayora de los algoritmos criptogrficos emplean mltiples etapas de sustitucin y transposicin. El nmero de claves usadas: si tanto el emisor como el receptor utilizan la misma clave, el sistema se denomina cifrado simtrico, de clave nica o cifrado convencional. 6

En cambio, si el emisor y el receptor utilizan cada uno claves diferentes, el sistema se denomina cifrado asimtrico, de dos claves o cifrado de clave pblica. La forma de procesar el texto claro: un cifrado de bloque procesa un bloque de elementos cada vez, produciendo un bloque de salida por cada bloque de entrada. Un cifrado de flujo procesa los elementos de entrada continuamente, produciendo la salida de un elemento cada vez. Considerando la segunda clasificacin (nmero de claves usadas), existen dos tipos de cifrados, los simtricos (utilizan la misma clave en ambos extremos, es decir, una clave privada) y los asimtricos (contemplan un par de claves diferentes para cada usuario. El esquema para el cifrado simtrico se muestra en la figura 3.2, este tipo es empleado para brindar confidencialidad, algunos de los algoritmos ms utilizados son: DES, 3DES, IDEA, RC5, BLOWFISH y AES. 2.4. Por qu las empresas implementan las herramientas de seguridad. En general, Las pequeas y medianas empresas expresan un notable grado de implantacin de las herramientas de seguridad bsicas, Aunque estas perciben que la seguridad ha mejorado en los ltimos aos, existe un margen de mejora en cuanto a la incorporacin de medidas ms all de las tradicionales, que abarquen no slo el componente tcnico, sino tambin el organizativo y estratgico. Antivirus y cortafuegos son herramientas que presentan una amplia penetracin en las empresas. Detrs de estas se sitan medidas que implican la participacin del usuario o proporcionan funcionalidades especficas. Los dispositivos mviles, cada vez con ms peso en las empresas, estn menos protegidos que los equipos informticos. As que ahora dispone de antivirus. Respecto a la proteccin de la red inalmbrica wifi, es necesario extender la incorporacin de los estndares WPA/WPA2. Usar WPA/WPA2 y WEP es estndar inseguro. Algunas de las empresas disponen de recursos humanos destinados a la seguridad de la informacin (mediante personal interno y a travs de una empresa externa). De forma general, las empresas opinan que la seguridad de la informacin ha evolucionado favorablemente Un factor que influye en la evolucin es el amplio compromiso de la direccin por la proteccin de la informacin ya que lo consideran muy importante.

2.5. La empresa y sus necesidades de Seguridad de la Informacin Para comprender bien qu objetivos tiene un sistema de Gestin de la informacin y cmo debe funcionar, hay que entender dos conceptos, el medio ambiente, en el que se inserta una empresa. Nos referimos al conjunto de factores que le afectan, donde 7

existen amenazas que pueden perjudicar o destruir una empresa, y oportunidades que pueden incrementar las cualidades de la misma. El medio ambiente interno o aquellos (personal, la estructura, polticas), que ejercen influencia en la manera de realizar el trabajo y de conseguir los objetivos El medio ambiente externo, ms complejo en tanto que conforma factores ajenos al dominio interno de los gestores, y por tanto requiere una vigilancia permanente. A su vez, este medio ambiente externo tiene una doble estructura: Medio ambiente externo remoto, como el clima poltico, la situacin econmica, las tendencias sociales, o las innovaciones tecnolgicas. Y el Medio ambiente externo inmediato, formado por clientes, proveedores, distribuidores, competidores, financiadores y reguladores. Observaremos ste medio ambiente externo como un modelo de necesidades de informacin que los gestores de una empresa deben obligatoriamente controlar para una eficaz toma de decisiones y cuyos recursos de informacin, ya sean stos vistos como fuentes de informacin, servicios de informacin o sistemas de informacin, deben ser incorporados al sistema de Gestin de informacin empresarial como importantes recursos para la toma de decisiones. 2.6. Como crear e Implementar Sistema de Gestin de seguridad de la informacin en las empresas

Lo siguiente muestra, de modo breve y muy prctico, el mtodo que habitualmente han venido utilizando las organizaciones que han implantado y posteriormente certificado BS7799 con xito, los cuales son aplicables igualmente para el desarrollo de la ISO 27001.

Inicio del proyecto Aqu se intenta asegurar el xito de todo el proyecto, el compromiso de la direccin general y seleccionar y formar a los miembros del equipo inicial del proyecto. Para reducir la duracin del proceso, el apoyo de la direccin debe estar presente a todos los niveles: operativo, tcnico y presupuestario, as como en el de la planificacin temporal. La direccin general debe comprender que su apoyo necesariamente conlleva un esfuerzo continuo. La infraestructura establecida requerir con toda seguridad ajustes, as como una mejora continua. Respecto al equipo inicial del proyecto (coordinadores, grupos de trabajo, etc.), se debe formar un comit de direccin del proyecto que puede estar compuesto por un Director ejecutivo, el director del proyecto y representantes de las diferentes unidades operativas implicadas. Es habitual que en algunas organizaciones grandes, el responsable de seguridad pueda llevar a cabo gran parte de las tareas del director del proyecto. En la mayora de los casos, la implementacin de la norma ISO 27001 en una organizacin requiere de la participacin de todas las unidades operativas. 8

 Alcance del SGSI: Definicin del alcance del SGSI, etapa clave para el xito posterior del proyecto: Alcance del SGSI: Qu unidades operativas y actividades estarn dentro del entorno de seguridad de la informacin? Limitaciones del SGSI: caractersticas especficas de la organizacin (tamao, campo de accin, etc.), ubicacin de la organizacin, activos (inventario de todos los datos crticos), tecnologa. Conexiones: se debern tener en cuenta por parte de la organizacin las relaciones con otros sistemas, otras organizaciones y proveedores externos. Requerimientos de Seguridad del SGSI: de naturaleza legal o del negocio. Exclusiones y justificacin de las exclusiones (Declaracin de aplicabilidad). Contexto estratgico: las medidas de seguridad planificadas deben tener en cuenta la posicin actual y futura de la organizacin para alcanzar las metas fijadas por la direccin.

Recopilacin de la documentacin existente: Para simplificar y mejorar la eficacia del proceso desde el inicio, es necesaria una revisin de la documentacin existente para evaluar el alcance de las medidas existentes, como el manual de gestin de calidad de la norma ISO 9001, el de la 14001 en su caso, o el manual de polticas de seguridad. Redaccin de un inventario documental por los responsables de departamento

(Ejemplos): a. Documentos de la poltica de seguridad. b. Normas y procedimiento de las polticas (administrativos o tcnicos). c. Informes de evaluacin de riesgos. d. Planes de tratamiento de riesgos. e. Documentos que indiquen la existencia de controles de seguridad y su gestin; por ejemplo, informes y planes de auditora, informes de incidencias, etc. Evaluacin de riesgos: Con independencia del tipo o tamao de la empresa, todas las organizaciones son vulnerables a las amenazas que ponen en peligro la confidencialidad, integridad y disponibilidad de la informacin importante. Cuanto antes se adopten las medidas correctivas, la seguridad representar un menor costo y ser ms efectiva. Para poder 9

realizar una identificacin y seleccin de controles ms sencillos que permitan una mejor gestin de los recursos humanos y financieros se debe conocer la fuente y naturaleza de las amenazas. Aplicabilidad de los controles de la ISO 17799: diagnstico preliminar. Identificacin y evaluacin de activos, datos a proteger. Identificacin y evaluacin de amenazas y vulnerabilidades. Tratamiento y administracin del riesgo : Aqu es bsico conocer cmo la seleccin y la implantacin de los controles permiten reducir los riesgos a un nivel aceptable por la organizacin. Esta gestin generalmente es una funcin de la: Poltica de seguridad inicial. Nivel de seguridad requerido. Resultados de la evaluacin de riesgos. Reglamentacin y legislacin aplicable. Regulaciones y restricciones del negocio existentes. En general existen cuatro opciones para el tratamiento del riesgo: reducir el riesgo, aceptar el riesgo, evitar el riesgo y transferencia del riesgo. Programa de Formacin y Sensibilizacin para el Personal: La organizacin debe asegurarse de que todos los miembros del personal con responsabilidades especficas en el SGSI estn debidamente formados, cualificados y capacitados para realizar sus funciones. La organizacin debe tambin asegurarse de que el personal necesario est concienciado de la importancia de sus actividades en la seguridad de la informacin y de cmo contribuyen ellos a alcanzar los objetivos del SGSI. Es importante desarrollar un programa de formacin y sensibilizacin con el fin de educar a todos los empleados. Los empleados tienen que entender y respetar las buenas prcticas de seguridad de la informacin. Documentacin e implantacin del SGSI: La documentacin de un SGSI es una exigencia necesaria y previa a la implantacin del sistema y se articula en torno a dos puntos estratgicamente claves: La descripcin de la estrategia de la organizacin, sus objetivos, la evaluacin de riesgos y las medidas adoptadas para evitar o atenuar los mismos. El control y el seguimiento del funcionamiento del SGSI. Es usual plantear por lo menos cuatro niveles de documentacin. 10

Una vez realizado lo anterior, o en paralelo, se lleva a cabo la implantacin de los documentos creados y se complementa con la formacin del personal en las etapas en que sea necesario. Ajustes y preparacin para la Auditora de Certificacin: El Diagnstico es uno de los pasos previos e imprescindibles de toda organizacin que desee y tenga como objetivo la certificacin de acuerdo a la norma ISO 27001, con el fin de validar si el sistema sigue las especificaciones necesarias para la implantacin de su marco de gestin. Otro de los pasos que es un requisito sino para el xito de la auditora es la Declaracin de Aplicabilidad, que deber ser obligatoriamente realizada antes de la auditora. Este documento (que se convertir en un registro imprescindible del SGSI de cara a la auditora de certificacin) proporciona la justificacin para la aplicabilidad o no aplicabilidad de cada control ISO 27001 del SGSI en cuestin, incluyendo tambin dnde es aplicable el estado de implantacin de cada control. En la Declaracin de Aplicabilidad deben ser explicados los objetivos, los controles seleccionados, y las razones para su seleccin, como as tambin las razones para la exclusin de cualquier medida de la norma ISO 27001. Control y mejora continua: Control y mejora continua del SGSI de acuerdo al Ciclo de DEMING (P-D-C-A) establecido en la norma debindose realizar antes de la Auditora de Certificacin en funcin de los resultados del diagnstico.

2.7.

Ventajas de tener Sistemas de Gestin de Seguridad de la Informacin.

Aumenta el compromiso de la organizacin, dado que el sistema permite garantizar y demostrar la eficacia de los esfuerzos desarrollados para asegurar la organizacin en todos sus niveles. Ventajas competitivas sobre tcnicas avanzadas en gestin, mejora de procesos, nuevos desarrollos de software, etc. Incrementa la confianza de los clientes, usuarios y las partes interesadas con respecto a la informacin. Obtiene reducciones en las primas de su seguro, vinculadas a una posible disminucin de los incidentes en materia de seguridad de la informacin. Permite acceder a concursos pblicos, seleccin de proveedores, etc. al tener un SGSI certificado.

11

Mejora la eficacia de las operaciones, personas y procesos relacionados con la seguridad de la informacin; la gestin de los riesgos, pudiendo obtener un mejor Conocimiento de los sistemas de informacin, sus debilidades y los medios de proteccin. Garantiza una mejor disponibilidad de los documentos, informacin y datos. Evita prdidas, robos, descuidos con los activos de informacin en la organizacin. Garantiza la conformidad y el cumplimiento a las autoridades referentes a la reglamentacin y leyes aplicables, pudiendo evidenciarlo mediante registros. Facilita los procesos de formacin y conocimiento del personal en materia de seguridad de la informacin, siendo una herramienta compatible y complementaria con otros Sistemas de Gestin (ISO 9001 e ISO 14001) y pudiendo realizarse una Auditora Integrada de su Sistema de Gestin (por ejemplo calidad e informacin) por un auditor independiente calificado para ambas normas. Genera confianza entre organizaciones que intercambian informacin, tanto a nivel nacional como internacional.

CONCLUSIONES

Se lleg a la conclusin que es necesario avanzar en la incorporacin de la cultura de la seguridad de la informacin y la continuidad de negocio como parte fundamental de la estrategia de la empresa. Sin embargo, el enfoque en la seguridad y continuidad de negocio no siempre est presente en la estrategia empresarial de la organizacin y los empresarios, a pesar de observar la importancia de estas reas, no disponen de formacin suficiente en gestin de la seguridad. Se lleg a la conclusin de que existen diferentes tipos de sistemas de informacin y que estos se manejan por niveles jerrquicos dentro de la empresa. Se puede afirmar que hoy en da uno de los principios de las buenas prcticas de la gestin de la empresa es el de la seguridad de la informacin, siendo responsabilidad de la Alta Direccin el poner los recursos y medios necesarios para la implementacin de un adecuado sistema de Gestin de la Seguridad de la Informacin en la empresa. Otra de las debilidades observadas en las empresas es que solo consideran la proteccin nicamente desde el punto de vista del componente tecnolgico. Y no incluyen aspectos organizativos y reputacional, Para ello, la implementacin de Sistemas de Gestin de la Seguridad de la Informacin (SGSI) en base a la norma ISO 27001 obliga a tener en cuenta una visin global sobre el estado de seguridad 12

de los sistemas de informacin. Adems, la certificacin permite a las organizaciones proporcionar unas garantas de cumplimiento respecto a los servicios ofrecidos.

RECOMENDACIONES

El taln de Aquiles de las empresas en materia de seguridad de la informacin es la falta de sensibilizacin y concienciacin en la organizacin, lo que se refleja en la falsa percepcin de seguridad que existe entre ellos, posicin que les hace ms vulnerables a ataques. En el sentido de la falta de cultura empresarial, es fundamental el compromiso de la direccin para impulsar dentro de la organizacin las actividades de gestin de la seguridad de la informacin y el establecimiento y mejora constante en los aspectos de continuidad de negocio.

Se debe considerar la seguridad de la informacin como un todo e integrarla dentro de la organizacin, esto que quiere decir que la seguridad de la informacin debe abordarse como un todo en el que se vean soluciones y herramientas de seguridad, pero tambin buenas prcticas y procedimientos y as se dejara de considerar la seguridad de la informacin como algo puntual y aislado, relativas al uso de una herramienta que en muchos casos, ni se actualiza puesto que se supone que es automtica. Si se acta de esa forma la estrategia implica la revisin, adaptacin y mejora continua de los aspectos incluidos en la misma, ya que minimizar los riesgos conocidos y a afrontar con mayores garantas las posibles amenazas que pueden impactar sobre la empresa.

BIBLIOGRAFIA Norma ISO 27001. http://www.gitsinformatica.com/contrasenas%20seguras.html http://www.segu-info.com.ar/tesis/ http://www.segu-info.com.ar/proteccion/clavesseguras.htm http://www.infoweek.biz/la/2012/10/consejos-para-implementar/ http://www.microsoft.com/business/es-es/Content/Paginas/article.aspx? cbcid=9 13

GLOSARIO DE TRMINOS ISO 27001 se ha creado entre otras cuestiones para garantizar su adecuacin y proporcionar controles de seguridad que protejan adecuadamente los activos de la informacin y proporcionar confianza a los consumidores, clientes y otras partes interesadas. Ciclo de DEMING (P-D-C-A): Es el principio del Modelo del PDCA (EstablecerImplantar-Monitorizar y Verificar-Actuar, manteniendo y mejorando el SGSI). Este modelo popularizado por W. Edwards Deming (y conocido como el Ciclo Deming) recuerda fuertemente al modelo de gestin de la calidad ISO 9001. ISO 9001: Serie ISO 9000, tanto la norma ISO 9001, como las Directrices de mejora del desempeo (9004) como el vocabulario y terminologa (ISO 9000). ISO 14001 para Sistemas de Gestin Medioambiental.

14