ISO 27000 La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin.

El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin. ara la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est! sometida la informacin de la organizacin. "#$%"E& '())) es un conjunto de est!ndares desarrollados *o en fase de desarrollo* por "#$ +"nternational $rganization for #tandardization, e "E& +"nternational Electrotechnical &ommission,, que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, p-blica o privada, grande o peque.a. En este apartado se resumen las distintas normas que componen la serie "#$ '())) y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin +#/#", basado en "#$ '())0. 1cceda directamente a las secciones de su inters a travs del submen- de la izquierda o siguiendo los marcadores de final de p!gina. ORIGEN 2esde 03)0, y como primera entidad de normalizacin a nivel mundial, 4#" +4ritish #tandards "nstitution, la organizacin brit!nica equivalente a 1E5$6 en Espa.a, es responsable de la publicacin de importantes normas como7 * 4# 8(8). ublicada en 03(3. $rigen de "#$ 3))0 * 4# ((8). ublicada en 033'. $rigen de "#$ 09))0 * 4# ::)). ublicada en 033;. $rigen de $<#1# 0:))0

La norma 4# ((33 de 4#" apareci por primera vez en 0338, con objeto de proporcionar a cualquier empresa *brit!nica o no* un conjunto de buenas pr!cticas para la gestin de la seguridad de su informacin. La primera parte de la norma +4# ((33*0, fue una gu=a de buenas pr!cticas, para la que no se establec=a un esquema de certificacin. Es la segunda parte +4# ((33*',, publicada por primera vez en 033:, la que estableci los requisitos de un sistema de seguridad de la informacin +#/#", para ser certificable por una entidad independiente. Las dos partes de la norma 4# ((33 se revisaron en 0333 y la primera parte se adopt por "#$, sin cambios sustanciales, como "#$ 0((33 en el a.o '))). En '))', se revis 4# ((33*' para adecuarse a la filosof=a de normas "#$ de sistemas de gestin. En '))8, con m!s de 0()) empresas certificadas en 4# ((33*', esta norma se public por "#$, con algunos cambios, como est!ndar "#$ '())0. 1l tiempo se revis y actualiz "#$ 0((33. Esta -ltima norma se renombr como "#$ '())'7'))8 el 0 de >ulio de '))(, manteniendo el contenido as= como el a.o de publicacin formal de la revisin.

En ?arzo de '));, posteriormente a la publicacin de "#$ '())07'))8, 4#" public la 4# ((33*@7'));, centrada en la gestin del riesgo de los sistemas de informacin. 1simismo, "#$ ha continuado, y contin-a a-n, desarrollando otras normas dentro de la serie '())) que sirvan de apoyo a las organizaciones en la interpretacin e implementacin de "#$%"E& '())0, que es la norma principal y -nica certificable dentro de la serie. En la seccin de 1rt=culos y odcasts encontrar! un archivo gr!fico y sonoro con la historia de "#$ '())0 e "#$ 0((33. LA SERIE 27000 1 semejanza de otras normas "#$, la '())) es realmente una serie de est!ndares. Los rangos de numeracin reservados por "#$ van de '())) a '()03 y de '()@) a '()99. Las normas que incluye se enumeran a continuacin +toda la informacin disponible p-blicamente sobre el desarrollo de las normas de la serie '())) puede consultarse en las p!ginas Aeb del subcomit >B&0%#&'(7 1 y 2,7 ISO/IEC 27000: ublicada el 0 de ?ayo de '))3. Esta norma proporciona una visin general de las normas que componen la serie '())), una introduccin a los #istemas de /estin de #eguridad de la "nformacin, una breve descripcin del ciclo lan*2o* &hecC*1ct y trminos y definiciones que se emplean en toda la serie '())). En Espa.a, esta norma no est! traducida, pero s= en Uruguay +D5"B*"#$%"E& '())),. El original en ingls y su traduccin al francs pueden descargarse gratuitamente de standards.iso.org/itt /!u"#i$#yA%ai#a"#&Standards . Est! siendo revisada, con fecha prevista de segunda edicin ?ayo de ')0@. ISO/IEC 27001: ublicada el 08 de $ctubre de '))8. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Biene su origen en la 4# ((33*'7'))' +que ya qued anulada, y es la norma con arreglo a la cual se certifican por auditores externos los #/#"s de las organizaciones. En su 1nexo 1, enumera en forma de resumen los objetivos de control y controles que desarrolla la "#$ '())'7'))8, para que sean seleccionados por las organizaciones en el desarrollo de sus #/#"E a pesar de no ser obligatoria la

implementacin de todos los controles enumerados en dicho anexo, la organizacin deber! argumentar slidamente la no aplicabilidad de los controles no implementados. 2esde el ': de 5oviembre de '))(, esta norma est! publicada en Espa.a como D5E*"#$%"E& '())07'))( y puede adquirirse online en AENOR +tambin en lengua gallega,. En '))3, se public un documento adicional de modificaciones +D5E*"#$%"E& '())07'))(%0?7'))3,. $tros pa=ses donde tambin est! publicada en espa.ol son, por ejemplo, Co#o'"ia +5B&* "#$*"E& '())0,, (&n&)u&#a +Fondonorma "#$%"E& '())0,, Arg&ntina +"61?* "#$ "E& '())0,, C*i#& +5&h*"#$'())0,, +,-i$o +5?G*"*)90%)'*5H&E, o Uruguay +D5"B*"#$%"E& '())0,. El original en ingls y la traduccin al francs pueden adquirirse en iso.org. 1ctualmente, este est!ndar se encuentra en periodo de revisin en el subcomit "#$ #&'(, con fecha prevista de publicacin de segunda edicin en ?ayo de ')0@. ISO/IEC 27002: 2esde el 0 de >ulio de '))(, es el nuevo nombre de "#$ 0((337'))8, manteniendo '))8 como a.o de edicin. Es una gu=a de buenas pr!cticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. 5o es certificable. &ontiene @3 objetivos de control y 0@@ controles, agrupados en 00 dominios. &omo se ha mencionado en su apartado correspondiente, la norma "#$ '())0 contiene un anexo que resume los controles de "#$ '())'7'))8. ublicada en Espa.a como D5E*"#$%"E& '())'7'))3 desde el 3 de 2iciembre de '))3 +a la venta en AENOR,. $tros pa=ses donde tambin est! publicada en espa.ol son, por ejemplo, Co#o'"ia +5B&*"#$*"E& '())',, (&n&)u&#a +Fondonorma "#$%"E& '())',, Arg&ntina +"61?*"#$*"E& '())',, C*i#& +5&h*"#$'())',, Uruguay +D5"B*"#$%"E& '())', o !&r. +como "#$ 0((33E descarga gratuita,. El original en ingls y su traduccin al francs pueden adquirirse en iso.org. 1ctualmente, este est!ndar se encuentra en periodo de revisin en el subcomit "#$ #&'(, con fecha prevista de publicacin de la segunda edicin en ?ayo de ')09. ISO/IEC 2700/: ublicada el )0 de Febrero de ')0). 5o certificable. Es una gu=a que se centra en los aspectos cr=ticos necesarios para el dise.o e implementacin con xito de un #/#" de acuerdo "#$%"E& '())07'))8. 2escribe el proceso de especificacin y dise.o desde la concepcin hasta la puesta en marcha de planes de implementacin, as= como el proceso de obtencin de aprobacin por la direccin para implementar un #/#". Biene su origen en el anexo 4 de la norma 4# ((33* ' y en la serie de documentos publicados por 4#" a lo largo de los a.os con recomendaciones y gu=as de implantacin. En Espa.a, esta norma a-n no est! traducida, pero s= en Uruguay +D5"B*"#$%"E& '())@,. El original en ingls puede adquirirse en iso.org.

 ISO/IEC 27000: ublicada el 08 de 2iciembre de '))3. 5o certificable. Es una gu=a para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un #/#" y de los controles o grupos de controles implementados seg-n "#$%"E& '())0. En Espa.a, esta norma a-n no est! traducida, sin embargo s= lo est! en Arg&ntina +"61?*"#$*"E& '())9, o Uruguay +D5"B*"#$%"E& '())9,. El original en ingls puede adquirirse en iso.org ISO/IEC 27001: ublicada en segunda edicin el 0 de >unio de ')00 +primera edicin del 08 de >unio de ')):,. 5o certificable. roporciona directrices para la gestin del riesgo en la seguridad de la informacin. 1poya los conceptos generales especificados en la norma "#$%"E& '())0 y est! dise.ada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. #u primera publicacin revis y retir las normas "#$%"E& B6 0@@@8* @7033: e "#$%"E& B6 0@@@8*97'))). El original en ingls puede adquirirse en iso.org. En Espa.a, esta norma no est! traducida, sin embargo, s= lo est!, para la versin de ')):, en pa=ses como +,-i$o +5?G*"*)90%)8*5H&E,, C*i#& +5&h* "#$'())8,, Uruguay +D5"B*"#$%"E& '())8, o Co#o'"ia +5B&*"#$*"E& '())8,. ISO/IEC 27002: ublicada en segunda edicin el 0 de 2iciembre de ')00 +primera edicin del 0 de ?arzo de '))(,. Especifica los requisitos para la acreditacin de entidades de auditor=a y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de E1*(%)@ +6equisitos para la acreditacin de entidades que operan certificacin%registro de #/#"s, que a.ade a "#$%"E& 0()'0 +6equisitos para las entidades de auditor=a y certificacin de sistemas de gestin, los requisitos espec=ficos relacionados con "#$ '())0 y los #/#"s. Es decir, ayuda a interpretar los criterios de acreditacin de "#$%"E& 0()'0 cuando se aplican a entidades de certificacin de "#$ '())0, pero no es una norma de acreditacin por s= misma. El original en ingls puede adquirirse en iso.org. En Espa.a, esta norma no est! traducida, sin embargo, s= lo est!, para la versin de '))(, en +,-i$o +5?G*"*)90%);*5H&E, o C*i#& +5&h*"#$'())0,. ISO/IEC 27007: ublicada el 09 de 5oviembre de ')00. 5o certificable. Es una gu=a de auditor=a de un #/#", como complemento a lo especificado en "#$ 03)00. En Espa.a, esta norma no est! traducida. El original en ingls puede adquirirse en iso.org

 ISO/IEC 3R 27004: ublicada el 08 de $ctubre de ')00. 5o certificable. Es una gu=a de auditor=a de los controles seleccionados en el marco de implantacin de un #/#". En Espa.a, esta norma no est! traducida. El original en ingls puede adquirirse en iso.org

ISO/IEC 27010: En fase de desarrollo, con publicacin prevista en ')0'. Es una norma en ' partes, que consistir! en una gu=a para la gestin de la seguridad de la informacin cuando se comparte entre organizaciones o sectores. ISO/IEC 27011: ublicada el 08 de 2iciembre de ')):. Es una gu=a de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en "#$%"E& '())'. Est! publicada tambin como norma "BD*B G.0)80. En Espa.a, no est! traducida. El original en ingls puede adquirirse en iso.org. ISO/IEC 2701/: En fase de desarrollo, con publicacin prevista en ')0'. &onsistir! en una gu=a de implementacin integrada de "#$%"E& '())0 +gestin de seguridad de la informacin, y de "#$%"E& '))))*0 +gestin de servicios B",. ISO/IEC 27010: En fase de desarrollo, con publicacin prevista en ')0'. &onsistir! en una gu=a de gobierno corporativo de la seguridad de la informacin. ISO/IEC 27011: En fase de desarrollo, con publicacin prevista en ')0@. &onsistir! en una gu=a de #/#" para organizaciones del sector financiero y de seguros. ISO/IEC 3R 27012: En fase de desarrollo, con publicacin prevista en ')0@. &onsistir! en una gu=a de valoracin de los aspectos financieros de la seguridad de la informacin.

 ISO/IEC 27017: En fase de desarrollo, con publicacin prevista en ')0@. &onsistir! en una gu=a de seguridad para &loud &omputing. ISO/IEC 270/1: ublicada el )0 de ?arzo de ')00. 5o certificable. Es una gu=a de apoyo para la adecuacin de las tecnolog=as de informacin y comunicacin +B"&, de una organizacin para la continuidad del negocio. El documento toma como referencia el est!ndar 4# '8(((. En Espa.a, esta norma no est! traducida. El original en ingls puede adquirirse en iso.org ISO/IEC 270/2: En fase de desarrollo, con publicacin prevista en ')0'. &onsistir! en una gu=a relativa a la ciberseguridad. ISO/IEC 270//: arcialmente desarrollada. 5orma dedicada a la seguridad en redes, consistente en ( partes7 '()@@*0, conceptos generales +publicada el 08 de 2iciembre de '))3 y disponible en iso.org,E '()@@*', directrices de dise.o e implementacin de seguridad en redes +prevista para ')0',E '()@@*@, escenarios de referencia de redes +publicada el @ de 2iciembre de ')0) y disponible en iso.org,E '()@@*9, aseguramiento de las comunicaciones entre redes mediante gateAays de seguridad +prevista para ')0',E '()@@*8, aseguramiento de comunicaciones mediante I 5s +prevista para ')0@,E '()@@*;, convergencia " +prevista para ')0@,E '()@@*(, redes inal!mbricas +prevista para ')0@,. ISO/IEC 270/0: arcialmente desarrollada. 5orma dedicada la seguridad en aplicaciones inform!ticas, consistente en 8 partes7 '()@9*0, conceptos generales +publicada el '0 de 5oviembre de ')00 y disponible en iso.org,E '()@9*', marco normativo de la organizacin +prevista para ')0@,E '()@9*@, proceso de gestin de seguridad en aplicaciones +prevista para ')0@,E '()@9*9, validacin de la seguridad en aplicaciones +prevista para ')0@,E '()@9*8, estructura de datos de protocolos y controles de seguridad de aplicaciones +prevista para ')0@,. ISO/IEC 270/1: ublicada el 0( de 1gosto de ')00. roporciona una gu=a sobre la gestin de incidentes de seguridad en la informacin. En Espa.a, no est! traducida. El original en ingls puede adquirirse en iso.org.

 ISO/IEC 270/2: En fase de desarrollo, con publicacin prevista en ')0@. &onsistir! en una gu=a en cuatro partes de seguridad en las relaciones con proveedores7 '()@;*0, visin general y conceptosE '()@;*', requisitos comunesE '()@;*@, seguridad en la cadena de suministro B"&E '()@;*9, seguridad en outsourcing +externalizacin de servicios,. ISO/IEC 270/7: En fase de desarrollo, con publicacin prevista en ')0'. &onsistir! en una gu=a de identificacin, recopilacin y custodia de evidencias digitales.

ISO/IEC 270/4: En fase de desarrollo, con publicacin prevista en ')0@. &onsistir! en una gu=a de especificacin para seguridad en la redaccin digital. ISO/IEC 270/5: En fase de desarrollo, con publicacin prevista en ')0@. &onsistir! en una gu=a para la seleccin, despliege y operativa de sistemas de deteccin y prevencin de intrusin +"2#%" #,. ISO/IEC 27000: En fase de desarrollo, con publicacin prevista en ')09. &onsistir! en una gu=a para la seguridad en medios de almacenamiento. ISO 27755: ublicada el 0' de >unio de ')):. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de "#$%"E& '())', en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomit >B&0%#&'(, sino el comit tcnico B& '08. El original en ingls o francs puede adquirirse en iso.org. 2esde el ') de Enero de ')0), esta norma est! publicada en Espa.a como D5E*"#$%"E& '((337')0) y puede adquirirse online en AENOR

6ENE7ICIOS J Establecimiento de una metodolog=a de gestin de la seguridad clara y estructurada. J 6educcin del riesgo de prdida, robo o corrupcin de informacin. J Los clientes tienen acceso a la informacin a travs medidas de seguridad. J Los riesgos y sus controles son continuamente revisados. J &onfianza de clientes y socios estratgicos por la garant=a de calidad y confidencialidad comercial. J Las auditor=as externas ayudan c=clicamente a identificar las debilidades del sistema y las !reas a mejorar. J osibilidad de integrarse con otros sistemas de gestin +"#$ 3))0, "#$ 09))0, $<#1# 0:))0K,. J &ontinuidad de las operaciones necesarias de negocio tras incidentes de gravedad. J &onformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. J "magen de empresa a nivel internacional y elemento diferenciador de la competencia. J &onfianza y reglas claras para las personas de la organizacin. J 6educcin de costes y mejora de los procesos y servicio. J 1umento de la motivacin y satisfaccin del personal. J 1umento de la seguridad en base a la gestin de procesos en vez de en la compra sistem!tica de productos y tecnolog=as.

8C9+O A:A!3ARSE;

ARRAN<UE :EL !RO=EC3O

J &ompromiso de la 2ireccin7 una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la 2ireccin de la organizacin. 5o slo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la 2ireccin. J lanificacin, fechas, responsables7 como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

!LANI7ICACI9N

J 2efinir alcance del #/#"7 en funcin de caracter=sticas del negocio, organizacin, localizacin, activos y tecnolog=a, definir el alcance y los l=mites del #/#" +el #/#" no tiene por qu abarcar toda la organizacinE de hecho, es recomendable empezar por un alcance limitado,. Es importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con el exterior del alcance, determinar las terceras partes +proveedores, clientes..., que tienen influencia sobre la seguridad de la informacin del alcance, crear mapas de alto nivel de redes y sistemas, definir las ubicaciones f=sicas, disponer de organigramas organizativos, definir claramente los requisitos legales y contractuales relacionados con seguridad de la informacin, etc. J 2efinir pol=tica del #/#"7 que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, est alineada con la gestin de riesgo general, establezca criterios de evaluacin de riesgo y sea

aprobada por la 2ireccin. La pol=tica del #/#" es normalmente un documento muy general, una especie de Ldeclaracin de intencionesL de la 2ireccin. J 2efinir el enfoque de evaluacin de riesgos7 definir una metodolog=a de evaluacin de riesgos apropiada para el #/#" y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodolog=as de evaluacin de riesgos aceptadas internacionalmente +ver seccin de <erramientas,E la organizacin puede optar por una de ellas, hacer una combinacin de varias o crear la suya propia. "#$ '())0 no impone ninguna ni da indicaciones de detalle, aunque "#$ '())8 s= profundiza en directrices sobre la materia. El riesgo nunca es totalmente eliminable *ni ser=a rentable hacerlo*, por lo que es necesario definir una estrategia de aceptacin de riesgo. J "nventario de activos7 todos aquellos activos de informacin que tienen alg-n valor para la organizacin y que quedan dentro del alcance del #/#". J "dentificar amenazas y vulnerabilidades7 todas las que afectan a los activos del inventario. J "dentificar los impactos7 los que podr=a suponer una prdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos de informacin. J 1n!lisis y evaluacin de los riesgos7 evaluar el da.o resultante de un fallo de seguridad +es decir, que una amenaza explote una vulnerabilidad, y la probabilidad de ocurrencia del falloE estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable +en funcin de los niveles definidos previamente, o requiere tratamiento. J "dentificar y evaluar opciones para el tratamiento del riesgo7 el riesgo puede reducido +mitigado mediante controles,, eliminado +p. ej., eliminando el activo,, aceptado +de forma consciente, o transferido +p. ej., con un seguro o un contrato de outsourcing,. J #eleccin de controles7 seleccionar controles para el tratamiento el riesgo en funcin de la evaluacin anterior. Dtilizar para ello los controles del 1nexo 1 de

"#$ '())0 +teniendo en cuenta que las exclusiones habr!n de ser justificadas, y otros controles adicionales si se consideran necesarios. J 1probacin por parte de la 2ireccin del riesgo residual y autorizacin de implantar el #/#"7 hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo la 2ireccin puede tomar decisiones sobre su aceptacin o tratamiento. El riesgo residual es el que queda, a-n despus de haber aplicado controles +el Lriesgo ceroL no existe pr!cticamente en ning-n caso,. J &onfeccionar una 2eclaracin de 1plicabilidad7 la llamada #$1 +#tatement of 1pplicability, es una lista de todos los controles seleccionados y la razn de su seleccin, los controles actualmente implementados y la justificacin de cualquier control del 1nexo 1 excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo. I+!LE+EN3ACI9N

J 2efinir plan de tratamiento de riesgos7 que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. J "mplantar plan de tratamiento de riesgos7 con la meta de alcanzar los objetivos de control identificados. J "mplementar los controles7 todos los que se seleccionaron en la fase anterior.

J Formacin y concienciacin7 de todo el personal en lo relativo a la seguridad de la informacin. J 2esarrollo del marco normativo necesario7 normas, manuales, procedimientos e instrucciones. J /estionar las operaciones del #/#" y todos los recursos que se le asignen. J "mplantar procedimientos y controles de deteccin y respuesta a incidentes de seguridad. S&gui'i&nto

J Ejecutar procedimientos y controles de monitorizacin y revisin7 para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la informacin est!n desarroll!ndose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces. J 6evisar regularmente la eficacia del #/#"7 en funcin de los resultados de auditor=as de seguridad, incidentes, mediciones de eficacia, sugerencias y feedbacC de todos los interesados. J ?edir la eficacia de los controles7 para verificar que se cumple con los requisitos de seguridad.

J 6evisar regularmente la evaluacin de riesgos7 los cambios en la organizacin, tecnolog=a, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado. J 6ealizar regularmente auditor=as internas7 para determinar si los controles, procesos y procedimientos del #/#" mantienen la conformidad con los requisitos de "#$ '())0, el entorno legal y los requisitos y objetivos de seguridad de la organizacin, est!n implementados y mantenidos con eficacia y tienen el rendimiento esperado. J 6evisar regularmente el #/#" por parte de la 2ireccin7 para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del #/#", a la pol=tica de seguridad o a los objetivos de seguridad de la informacin. J 1ctualizar planes de seguridad7 teniendo en cuenta los resultados de la monitorizacin y las revisiones. J 6egistrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del #/#"7 sirven como evidencia documental de conformidad con los requisitos y uso eficaz del #/#".

+E>ORA CON3INUA

J "mplantar mejoras7 poner en marcha todas las mejoras que se hayan propuesto en la fase anterior. J 1cciones correctivas7 para solucionar no conformidades detectadas. J 1cciones preventivas7 para prevenir potenciales no conformidades. J &omunicar las acciones y mejoras7 a todos los interesados y con el nivel adecuado de detalle. J 1segurarse de que las mejoras alcanzan los objetivos pretendidos7 la eficacia de cualquier accin, medida o cambio debe comprobarse siempre.

AS!EC3OS CLA(E 7unda'&nta#&s J &ompromiso y apoyo de la 2ireccin de la organizacin. J 2efinicin clara de un alcance apropiado. J &oncienciacin y formacin del personal. J Evaluacin de riesgos adecuada a la organizacin. J &ompromiso de mejora continua. J Establecimiento de pol=ticas y normas. J $rganizacin y comunicacin. J /estin adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalizacin. J "ntegracin del #/#" en la organizacin.

7AC3ORES :E ?@I3O J La concienciacin del empleado por la seguridad. rincipal objetivo a conseguir. J 6ealizacin de comits a distintos niveles +operativos, de direccin, etc., con gestin continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos... J &reacin de un sistema de gestin de incidencias que recoja notificaciones continuas por parte de los usuarios +los incidentes de seguridad deben ser reportados y analizados,.

J La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. J La seguridad no es un producto, es un proceso. J La seguridad no es un proyecto, es una actividad continua y el programa de proteccin requiere el soporte de la organizacin para tener xito. J La seguridad debe ser inherente a los procesos de informacin y del negocio. RIESGOS J Exceso de tiempos de implantacin7 con los consecuentes costes descontrolados, desmotivacin, alejamiento de los objetivos iniciales, etc. J Bemor ante el cambio7 resistencia de las personas. J 2iscrepancias en los comits de direccin. J 2elegacin de todas las responsabilidades en departamentos tcnicos. J 5o asumir que la seguridad de la informacin es inherente a los procesos de negocio. J lanes de formacin y concienciacin inadecuados. J &alendario de revisiones que no se puedan cumplir. J 2efinicin poco clara del alcance. J Exceso de medidas tcnicas en detrimento de la formacin, concienciacin y medidas de tipo organizativo. J Falta de comunicacin de los progresos al personal de la organizacin.

CONSE>OS 6ASICOS J ?antener la sencillez y restringirse a un alcance manejable y reducido7 un centro de trabajo, un proceso de negocio clave, un -nico centro de proceso de datos o un !rea sensible concretaE una vez conseguido el xito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases. J &omprender en detalle el proceso de implantacin7 iniciarlo en base a cuestiones exclusivamente tcnicas es un error frecuente que r!pidamente sobrecarga de problemas la implantacinE adquirir experiencia de otras implantaciones, asistir a cursos de formacin o contar con asesoramiento de consultores externos especializados. J /estionar el proyecto fijando los diferentes hitos con sus objetivos y resultados. J La autoridad y compromiso decidido de la 2ireccin de la empresa *incluso si al inicio el alcance se restringe a un alcance reducido* evitar!n un muro de excusas para desarrollar las buenas pr!cticas, adem!s de ser uno de los puntos fundamentales de la norma. J La certificacin como objetivo7 aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificacin por un tercero asegura un mejor enfoque, un objetivo m!s claro y tangible y, por lo tanto, mejores opciones de alcanzar el xito. Eso s=, la certificacin es la Lguinda del pastelL, no es bueno que sea la meta en s= misma. El objetivo principal es la gestin de la seguridad de la informacin alineada con el negocio. J 5o reinventar la rueda7 apoyarse lo m!s posible en est!ndares, mtodos y gu=as ya establecidos, as= como en la experiencia de otras organizaciones. J #ervirse de lo ya implementado7 otros sistemas de gestin +como "#$ 3))0 para la calidad o "#$ 09))0 para medio ambiente, ya implantados en la organizacin son -tiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergiasE es conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas de gestin. J 6eservar la dedicacin necesaria diaria o semanal7 el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.

J 6egistrar evidencias7 deben recogerse evidencias al menos tres meses antes del intento de certificacin para demostrar que el #/#" funciona adecuadamente. 5o precipitarse en conseguir la certificacin. J ?antenimiento y mejora continua7 tener en consideracin que el mantenimiento y la mejora del #/#" a lo largo de los a.os posteriores requeriran tambin esfuerzo y recursos.

O3ROS ES3AN:ARES Las normas publicadas bajo la serie "#$ '())) son est!ndares alineados con el conjunto de normas publicadas por "#$ +"nternational $rganization for #tandardization, e "E& +"nternational Electrotechnical &ommission, actuales o futuras y que son desarrolladas mediante comits tcnicos espec=ficos. 1quellas organizaciones que ya empleen alg-n est!ndar o conjunto de buenas pr!cticas en seguridad de la informacin en base a otros modelos de gestin, obtendr!n el beneficio de una adaptacin y certificacin en la norma "#$ '())0 con un menor esfuerzo. En relacin a la seguridad de la informacin, gestin del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuacin una seleccin de los est!ndares y mtodos de referencia m!s conocidos y relevantes. 1dem!s de los aqu= resumidos, existen muchos otros est!ndares, gu=as, metodolog=as y buenas pr!cticas dedicados a distintos aspectos de la seguridad de la informacin, publicados por prestigiosas instituciones en todo el mundo. uede consultar nuestra seccin de B&rra'i&ntas para encontrar enlaces a muchos de ellos. 1cceda directamente a las secciones de su inters en el submen- de la izquierda o siguiendo los marcadores de final de p!gina.

CER3I7ICACI9N La norma "#$ '())0, al igual que su antecesora 4# ((33*', es certificable. Esto quiere decir que la organizacin que tenga implantado un #/#" puede solicitar una auditor=a a una entidad certificadora acreditada y, caso de superar la misma con xito, obtener una certificacin del sistema seg-n "#$ '())0. En las siguientes secciones, se abordan diferentes temas relacionados con la certificacin. 1cceda directamente a cada una de ellas desde el men- lateral a su izquierda o siguiendo los marcadores de final de p!gina.

LA EN3I:A: :E CER3I7ICACI9N Las entidades de certificacin son organismos de evaluacin de la conformidad, encargados de evaluar y realizar una declaracin objetiva de que los servicios y productos cumplen unos requisitos espec=ficos. En el caso de "#$ '())0, certifican, mediante la auditor=a, que el #/#" de una organizacin se ha dise.ado, implementado, verificado y mejorado conforme a lo detallado en la norma. Existen numerosas entidades de certificacin en cada pa=s, ya que se trata de una actividad empresarial privada con un gran auge en el -ltimo par de dcadas, debido a la creciente estandarizacin y homologacin de productos y sistemas en todo el mundo. La organizacin que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidindose por la m!s conveniente, como hace con cualquier otro producto o servicio. ara que las entidades de certificacin puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditacin, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificacin para la actividad objeto de acreditacin. En cada pa=s suele haber una sola entidad de acreditacin +en

algunos, hay m!s de una,, a la que la 1dministracin encarga esa tarea. En Espa.a, es ENAC CEntidad Na$iona# d& A$r&dita$iDnE E para otros pa=ses, Fu&d& $onsu#tars& &sta #ista. La acreditacin de entidades de certificacin para "#$ '())0 o para 4# ((33*' *antes de derogarse* sol=a hacerse en base al documento EA 7/0/ L2irectrices para la acreditacin de organismos operando programas de certificacin%registro de sistemas de gestin de seguridad en la informacinL. La aparicin de la norma ISO/IEC 27002 ha supuesto la derogacin del anterior documento. Las entidades de acreditacin establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. ara ello, existen diversas asociaciones como IA7 CInt&rnationa# A$$r&ditation 7oru'E o EA CEuroF&an $oGoF&ration or A$$r&ditationE .

EL AU:I3OR El auditor es la persona que comprueba que el #/#" de una organizacin se ha dise.ado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores7 J de primera parte7 auditor interno que audita la organizacin en nombre de s= misma, normalmente, como mantenimiento del sistema de gestin y como preparacin a la auditor=a de certificacinE J de segunda parte7 auditor de cliente, es decir, que audita una organizacin en nombre de un cliente de la mismaE por ejemplo, una empresa que audita a su proveedor de outsourcingE J de tercera parte7 auditor independiente, que audita una organizacin como tercera parte imparcialE normalmente, porque la organizacin tiene la intencin de lograr la certificacin y contrata para ello los servicios de una entidad de certificacin. El auditor, sobre todo si act-a como de tercera parte, ha de disponer tambin de una certificacin personal. Esto quiere decir que, nuevamente un tercero, certifica

que posee las competencias profesionales y personales necesarias para desempe.ar la labor de auditor=a de la materia para la que est! certificado. En este punto, hay peque.as diferencias entre las entidades certificadoras, que pueden formular requisitos distintos para homologar a sus auditores. ero, en general, la certificacin de auditores se ci.e a la norma "#$ 03)00 de directrices para la auditor=a de sistemas de gestin, que dedica su punto ( a la competencia y evaluacin de los auditores. 1l auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educacin formal, experiencia laboral y formacin como auditor. Existen diversas organizaciones internacionales de certificacin de auditores, con el objeto de facilitar la estandarizacin de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, adem!s de homologar a las instituciones que ofrecen cursos de formacin de auditor. 1lgunas de estas organizaciones son IRCA o RA6<SA. "6&1 +"nternational 6egister of &ertificated 1uditors, es el mayor organismo mundial de certificacin de auditores de sistemas de gestin. Biene su sede en el 6eino Dnido y, por ello *debido al origen ingls de la norma 4# ((33*' y, por tanto, de "#$ '())0*, tiene ya desde hace a.os un programa de certificacin de auditores de sistemas de gestin de seguridad de la informacin. #u p!gina Aeb, tambin en &sFaHo#, es una buena fuente de consulta de los requisitos y los grados de auditor.. En cuanto a la pr!ctica de la auditor=a, al auditor se le exige que se muestre tico, con mentalidad abierta, diplom!tico, observador, perceptivo, vers!til, tenaz, decidido y seguro de s= mismo. Estas actitudes son las que deber=an crear un clima de confianza y colaboracin entre auditor y auditado. El auditado debe tomar el proceso de auditor=a siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalizacin de sus actividades. ara ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboracin, informacin y trabajo conjunto.

CEN3RO :E !ROCESA+IEN3O :E :A3OS

Equipamiento de comunicaciones en un & 2. #e denomina $&ntro d& Fro$&sa'i&nto d& datos +& 2, a aquella ubicacin donde se concentran los recursos necesarios para el procesamiento de la informacin de una organizacin. Bambin se conoce como centro de cmputo en Latinoamrica, o centro de clculo en Espa.a o $&ntro d& datos por su equivalente en ingls data center. 2ichos recursos consisten esencialmente en unas dependencias debidamente acondicionadas, computadoras y redes de comunicaciones.

+O3I(ACI9N /randes organizaciones, tales como bancos o 1dministraciones -blicas, no pueden permitirse la prdida de informacin ni el cese de operaciones ante un desastre en su centro de proceso de datos. Berremotos, incendios o atentados en estas instalaciones son infrecuentes, pero no improbables. or este motivo, se suele habilitar un centro de respaldo para absorber las operaciones del & 2 principal en caso de emergencia.

EL SINCRONIS+O :E :A3OS Existen dos pol=ticas o aproximaciones a este problema7

&opia s=ncrona de datos7 #e asegura que todo dato escrito en el & 2 principal tambin se escribe en el centro de respaldo antes de continuar con cualquier otra operacin. &opia as=ncrona de datos7 5o se asegura que todos los datos escritos en el & 2 principal se escriban inmediatamente en el centro derespaldo, por lo que puede existir un desfase temporal entre unos y otros.

La copia as=ncrona puede tener lugar fuera de l=nea. En este caso, el centro de respaldo utiliza la -ltima copia de seguridad existente del & 2 principal. Esto lleva a la prdida de los datos de operaciones de varias horas +como m=nimo, hasta d=as +lo habitual,. Esta opcin es viable para negocios no demasiado cr=ticos, donde es m!s importante la continuidad del negocio que la prdida de datos. or ejemplo, en cadenas de supermercados o peque.os negocios. 5o obstante, es inviable en negocios como la banca, donde es impensable la prdida de una sola transaccin econmica. En los dem!s casos, la pol=tica de copia suele descansar sobre la infraestructura de almacenamiento corporativo. /eneralmente, se trata de redes #15 y cabinas de discos con suficiente inteligencia como para implementar dichas pol=ticas. Banto para la copia s=ncrona como as=ncrona, es necesaria una extensin de la red de almacenamiento entre ambos centros. Es decir, un enlace de telecomunicaciones entre el & 2 y el centro de respaldo. En caso de copia as=ncrona es imprescindible que dicho enlace goce de baja latencia. ?otivo por el que se suele emplear un enlace de fibra ptica, que limita la distancia m!xima a decenas de Cilmetros. Existen dos tecnolog=as factibles para la copia de datos en centros de respaldo7

i#&#". Fibre &hannel.

La copia s=ncrona es esencial en negocios como la banca, donde no es posible la prdida de ninguna transaccin. La copia as=ncrona es viable en la mayor=a de los casos, ya que el desfase temporal de la copia se limita a unos pocos minutos. EL CEN3RO :E RES!AL:O EN CON3E@3O Dn centro de respaldo por s= slo no basta para hacer frente a una contingencia grave. Es necesario disponer de un lan de &ontingencias corporativo. Este plan contiene tres subplanes que indican las medidas tcnicas, humanas y organizativas necesarias en tres momentos clave7

lan de respaldo7 &ontempla las actuaciones necesarias antes de que se produzca un incidente. Esencialmente, mantenimiento y prueba de las medidas preventivas. lan de emergencia7 &ontempla las actuaciones necesarias durante un incidente. lan de recuperacin7 &ontempla las actuaciones necesarias despus de un incidente. 4!sicamente, indica cmo volver a la operacin normal.

U6ICACI9N

#ervidores enrackados Dn & 2 es un edificio o sala de gran tama.o usada para mantener en l una gran cantidad de equipamiento electrnico. #uelen ser creados y mantenidos por grandes organizaciones con objeto de tener acceso a la informacin necesaria para sus operaciones. or ejemplo, un banco puede tener un data center con el propsito de almacenar todos los datos de sus clientes y las operaciones que estos realizan sobre sus cuentas. r!cticamente todas las compa.=as que son medianas o grandes tienen alg-n tipo de & 2, mientras que las m!s grandes llegan a tener varios. Entre los factores m!s importantes que motivan la creacin de un & 2 se puede destacar el garantizar la continuidad del servicio a clientes, empleados, ciudadanos, proveedores y empresas colaboradoras, pues en estos !mbitos es muy importante la proteccin f=sica de los equipos inform!ticos o de comunicaciones implicados, as= como servidores de bases de datos que puedan contener informacin cr=tica.

#ervidores de MiCipedia El dise.o de un centro de procesamiento de datos comienza por la eleccin de su ubicacin geogr!fica, y requiere un equilibrio entre diversos factores7

&oste econmico7 coste del terreno, impuestos municipales, seguros, etc.

"nfraestructuras disponibles en las cercan=as7 energ=a elctrica, carreteras, acometidas de electricidad, centralitas de telecomunicaciones, bomberos, etc. 6iesgo7 posibilidad de inundaciones, incendios, robos, terremotos, etc.

Dna vez seleccionada la ubicacin geogr!fica es necesario encontrar unas dependencias adecuadas para su finalidad, ya se trate de un local de nueva construccin u otro ya existente a comprar o alquilar. 1lgunos requisitos de las dependencias son7

2oble acometida elctrica. ?uelle de carga y descarga. ?ontacargas y puertas anchas. 1ltura suficiente de las plantas. ?edidas de seguridad en caso de incendio o inundacin7 drenajes, extintores, v=as de evacuacin, puertas ign=fugas, etc. 1ire acondicionado, teniendo en cuenta que se usar! para la refrigeracin de equipamiento inform!tico. 1lmacenes. $rientacin respecto al sol +si da al exterior,. Etc.

1-n cuando se disponga del local adecuado, siempre es necesario alg-n despliegue de infraestructuras en su interior7

Falsos suelos y falsos techos. &ableado de red y telfono. 2oble cableado elctrico. /eneradores y cuadros de distribucin elctrica. 1condicionamiento de salas. "nstalacin de alarmas, control de temperatura y humedad con avisos #5? o #?B . Facilidad de acceso +pues hay que meter en l aires acondicionados pesados, muebles de servidores grandes, etc,. Etc.

Dna parte especialmente importante de estas infraestructuras son aquellas destinadas a la seguridad f=sica de la instalacin, lo que incluye7

&erraduras electromagnticas. Borniquetes. &!maras de seguridad. 2etectores de movimiento. Barjetas de identificacin. Etc.

Dna vez acondicionado el habit!culo se procede a la instalacin de las computadoras, las redes de !rea local, etc. Esta tarea requiere un dise.o lgico de redes y entornos, sobre todo en aras a la seguridad. 1lgunas actuaciones son7

&reacin de zonas desmilitarizadas +2?N,. #egmentacin de redes locales y creacin de redes virtuales +IL15,. 2espliegue y configuracin de la electrnica de red7 pasarelas, encaminadores, conmutadores, etc. &reacin de los entornos de explotacin, pre*explotacin, desarrollo de aplicaciones y gestin en red. &reacin de la red de almacenamiento. "nstalacin y configuracin de los servidores y perifricos. Etc. SI3E

/eneralmente, todos los grandes servidores se suelen concentrar en una sala denominada Lsala fr=aL, LneveraL, LpeceraL +o site,. Esta sala requiere un sistema espec=fico de refrigeracin para mantener una temperatura baja +entre '0 y '@ grados cent=gradosO,, necesaria para evitar aver=as en las computadoras a causa del sobrecalentamiento.

#eg-n las normas internacionales la temperatura exacta debe ser '',@ grados cent=grados.

La LpeceraL suele contar con medidas estrictas de seguridad en el acceso f=sico, as= como medidas de extincin de incendios adecuadas al material elctrico, tales como extincin por agua nebulizada o bien por gas "5E6/E5, dixido de carbono o nitrgeno, aunque una solucin en auge actualmente es usar sistemas de extincin por medio de agentes gaseosos, como por ejemplo 5ovec 0'@).

ecera de un & 2.

#E/D6"212 "5F$6?1B"&1 La s&guridad in or'Iti$a es el !rea de la inform!tica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta +incluyendo la informacin contenida,. ara ello existen una serie de est!ndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad inform!tica comprende softAare, bases de datos, metadatos, archivos y todo lo que la organizacin valore +activo, y signifique un riesgo si sta llega a manos de otras personas. Este tipo de informacin se conoce como informacin privilegiada o confidencial. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad inform!tica, ya que este -ltimo slo se encarga de la seguridad en el medio inform!tico, pudiendo encontrar informacin en diferentes medios o formas. O"J&ti%os d& #a s&guridad in or'Iti$a La seguridad inform!tica est! concebida para proteger los activos inform!ticos, entre los que se encuentran7

La informacin contenida #e ha convertido en uno de los elementos m!s importantes dentro de una organizacin. La seguridad inform!tica debe ser administrada seg-n los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorizacin. 2e lo contrario la organizacin corre el riesgo de que la informacin sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. $tra

funcin de la seguridad inform!tica en esta !rea es la de asegurar el acceso a la informacin en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra da.os o prdida producto de accidentes, atentados o desastres.

La infraestructura computacional Dna parte fundamental para el almacenamiento y gestin de la informacin, as= como para el funcionamiento mismo de la organizacin. La funcin de la seguridad inform!tica en esta !rea es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro elctrico y cualquier otro factor que atente contra la infraestructura inform!tica. Los usuarios #on las personas que utilizan la estructura tecnolgica, zona de comunicaciones y que gestionan la informacin. La seguridad inform!tica debe establecer normas que minimicen los riesgos a la informacin o infraestructura inform!tica. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad inform!tica minimizando el impacto en el desempe.o de los funcionarios y de la organizacin en general y como principal contribuyente al uso de programas realizados por programadores.

Las a'&na)as Dna vez que la programacin y el funcionamiento de un dispositivo de almacenamiento +o transmisin, de la informacin se consideran seguras, todav=a deben ser tenidos en cuenta las circunstancias Lno inform!ticasL que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la -nica proteccin posible es la redundancia +en el caso de los datos, y la descentralizacin *por ejemplo mediante estructura de redes* +en el caso de las comunicaciones,. Estos fenmenos pueden ser causados por7

El usuario7 causa del mayor problema ligado a la seguridad de un sistema inform!tico +porque no le importa, no se da cuenta o a propsito,. rogramas maliciosos7 programas destinados a perjudicar o a hacer un uso il=cito de los recursos del sistema. Es instalado +por inatencin o maldad, en el ordenador abriendo una puerta a intrusos o bien modificando los datos.

Estos programas pueden ser un virus inform!tico, un gusano inform!tico, un troyano, una bomba lgica o un programa esp=a o #pyAare.

Dn intruso7 persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido +cracCer, defacer, script Ciddie o Script boy, viruxer, etc.). Dn siniestro +robo, incendio, inundacin,7 una mala manipulacin o una malintencin derivan a la prdida del material o de los archivos. El personal interno de #istemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad inform!tica.

3iFos d& a'&na)a El hecho de conectar una red a un entorno externo nos da la posibilidad de que alg-n atacante pueda entrar en ella, con esto, se puede hacer robo de informacin o alterar el funcionamiento de la red. #in embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la misma. 2e acuerdo con el &omputer #ecurity "nstitute +&#", de #an Francisco aproximadamente entre ;) y :) por ciento de los incidentes de red son causados desde adentro de la misma. 4asado en esto podemos decir que existen ' tipos de amenazas7

1menazas internas7 /eneralmente estas amenazas pueden ser m!s serias que las externas por varias razones como son7

*Los usuarios conocen la red y saben cmo es su funcionamiento. *Bienen alg-n nivel de acceso a la red por las mismas necesidades de su trabajo. *Los " # y FireAalls son mecanismos no efectivos en amenazas internas. Esta situa$iDn s& Fr&s&nta gra$ias a #os &sKu&'as in& i$i&nt&s d& s&guridad $on #os Ku& $u&ntan #a 'ayorLa d& #as $o'FaHLas a ni%&# 'undia#M y ForKu& no &-ist& $ono$i'i&nto r&#a$ionado $on #a F#an&a$iDn d& un &sKu&'a d& s&guridad & i$i&nt& Ku& Frot&Ja #os r&$ursos in or'Iti$os d& #as a$tua#&s a'&na)as $o'"inadas. El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo que puede representar un da.o con valor de miles o millones de dlares.

1menazas externas7 #on aquellas amenazas que se originan fuera de la red. 1l no tener informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella y buscar la

manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos. CD'o i'F#&'&ntar una Fo#Lti$a d& s&guridad /eneralmente, la seguridad de los sistemas inform!ticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificacin y control que aseguran que los usuarios de estos recursos slo posean los derechos que se les han otorgado. Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. &on frecuencia, las instrucciones y las reglas se vuelven cada vez m!s complicadas a medida que la red crece. or consiguiente, la seguridad inform!tica debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y as= puedan utilizar los sistemas de informacin en forma segura. or esta razn, uno de los primeros pasos que debe dar una compa.=a es definir una Fo#Lti$a d& s&guridad que pueda implementar en funcin a las siguientes cuatro etapas7

"dentificar las necesidades de seguridad y los riesgos inform!ticos que enfrenta la compa.=a as= como sus posibles consecuencias roporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organizacin &ontrolar y detectar las vulnerabilidades del sistema de informacin, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan 2efinir las acciones a realizar y las personas a contactar en caso de detectar una amenaza

La pol=tica de seguridad comprende todas las reglas de seguridad que sigue una organizacin +en el sentido general de la palabra,. or lo tanto, la administracin de la organizacin en cuestin debe encargarse de definirla, ya que afecta a todos los usuarios del sistema. En este sentido, no son slo los administradores de inform!tica los encargados de definir los derechos de acceso sino sus superiores. El rol de un administrador de inform!tica es el de asegurar que los recursos de inform!tica y los derechos de acceso a estos recursos coincidan con la pol=tica de seguridad definida por la organizacin. Es m!s, dado que el%la administrador%a es la -nica persona que conoce perfectamente el sistema, deber! proporcionar informacin acerca de la seguridad

a sus superiores, eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a los usuarios en relacin con los problemas y las recomendaciones de seguridad. La seguridad inform!tica de una compa.=a depende de que los empleados +usuarios, aprendan las reglas a travs de sesiones de capacitacin y de concientizacin. #in embargo, la seguridad debe ir m!s all! del conocimiento de los empleados y cubrir las siguientes !reas7

Dn mecanismo de seguridad f=sica y lgica que se adapte a las necesidades de la compa.=a y al uso de los empleados Dn procedimiento para administrar las actualizaciones Dna estrategia de realizacin de copias de seguridad +bacCup, planificada adecuadamente Dn plan de recuperacin luego de un incidente Dn sistema documentado actualizado

Las $ausas d& ins&guridad /eneralmente, la inseguridad se puede dividir en dos categor=as7

Un &stado d& ins&guridad a$ti%oE es decir, la falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser da.inas para el sistema +por ejemplo, no desactivar los servicios de red que el usuario no necesita, Un &stado d& ins&guridad Fasi%oE es decir, la falta de conocimiento de las medidas de seguridad disponibles +por ejemplo, cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan,

SEGURI:A: !ERI+E3RAL

Los sistemas de seguridad perimetral pueden clasificarse seg-n la geometr=a de su cobertura +volumtricos, superficiales, lineales, etc.,, seg-n el principio f=sico de actuacin +cable de radiofrecuencia, cable de presin, cable micro fnico, etc., o bien por el sistema de soportacin +autosoportados, soportados, enterrados, deteccin visual, etc.,.

#u aplicacin esta destaca principalmente en #eguridad 5acional +instalaciones militares y gubernamentales, fronteras, aeropuertos, etc., e instalaciones privadas de alto riesgo +centrales nucleares, sedes corporativas, residencias I" ,etc.,La seguridad perimetral basa su filosof=a en la proteccin de todo el sistema inform!tico de una empresa desde LfueraL, es decir, establecer una coraza que proteja todos los elementos sensibles frente amenazas diversas como virus, gusanos, troyanos, ataques de denegacin de servicio, robo o destruccin de datos, hacCeo de p!ginas Aeb corporativas, etctera. Boda esta tipolog=a de amenazas posibles ha fomentado una divisin de la proteccin perimetral en dos vertientes7 a nivel de red, en el que podemos encontrar los riesgos que representan los ataques de hacCers, las intrusiones o el robo de informacin en las conexiones remotasE y a nivel de contenidos, en donde se engloban las amenazas que constituyen los virus, gusanos, troyanos, spyAare, phishing y dem!s clases de malAare, el spam o correo basura y los contenidos Aeb no apropiados para las compa.=as. Esta clara divisin unida al modo de evolucin de las amenazas en los -ltimos a.os ha propiciado que el mercado de seguridad perimetral se centrase en la creacin de dispositivos dedicados a uno u otro fin.El fireAall%I 5 es el histrico de seguridad perimetral y a l se han ido incorporando los sistemas "2# +"ntrusin 2etection#ystems, e " # +"ntrusin revention#ystems, para controlar el fireAall,el control de acceso a los sistemas de una empresa desde el exterior. En principio, el o cortafuegos se necesita para controlar y monitorizar las comunicaciones. 1dem!s, se encarga de examinar las acciones de las aplicaciones que se conectan a la red y los puertos de las m!quinas +comunicaciones ' , por ejemplo,. 1 este respecto, 5atalia /mez del ozuelo, directora de ?arCeting y 2istribucin de $ptenet, se.ala que Lmuchos protocolos presentan agujeros de seguridad que pueden comprometer la red corporativa y los datos confidenciales que sta contiene dentro de la S&guridad !&ri'&tra# C7ir&Na##E

La seguridad lgica interna y externa son aspectos fundamentales a tener en cuenta La seguridad inform!tica de un empresa es primordial. Los ataques por red y las prdidas de informacin ocasionan un gran trastorno y afectan al correcto funcionamiento y progreso de la empresa

Seguridad Perimetral Firewall &ontrol de tr!fico de red desde y hacia "nternet +FireAallO,, seguridad perimetral. roteccin contra ataques externos.

&ontrol de usuarios. /eneracin y administracin de I 5OO. &onexin para equipos remotos +port!tiles,. /estin de ancho de banda de internet.

IPS

1ntivirus corporativo. ?edidas de seguridad contra virus. ?ecanismos 1ctivos y pasivos.

AntiSpam Seguridad en Red Auditoria

O F"6EM1LL $ &$6B1FDE/$#7 #u funcin es proteger la red de ataques externos y permitir o denegar el acceso a travs de l. OO I 5 +6ed Iirtual rivada,7 &on ello podemos ofrecer servicios de conectividad de forma segura entre distintas sedes, usuarios mviles, viviendas, tiendas..., distanciadas geogr!ficamente.

E# $on$&Fto d& auditorLa Dna auditorLa d& s&guridad consiste en apoyarse en un tercero de confianza +generalmente una compa.=a que se especializada en la seguridad inform!tica, para validar las medidas de proteccin que se llevan a cabo, sobre la base de la pol=tica de seguridad.

El objetivo de la auditor=a es verificar que cada regla de la pol=tica de seguridad se aplique correctamente y que todas las medidas tomadas conformen un todo coherente. Dna auditor=a de seguridad garantiza que el conjunto de disposiciones tomadas por la empresa se consideren seguras. EtaFa d& d&t&$$iDn d& in$id&nt&s ara ser completamente fiable, un sistema de informacin seguro debe aplicar medidas que permitan detectar incidentes. or consiguiente, existen sistemas de deteccin de intrusiones +o IDS, por sus siglas en ingls, que controlan la red y pueden activar una alarma cuando una solicitud resulta sospechosa o no cumple con la pol=tica de seguridad. El uso de estas sondas investigativas y los par!metros relativos a stas deben estudiarse cuidadosamente, ya que este tipo de mecanismo puede generar muchas falsas alarmas. EtaFa d& r&a$$iDn /eneralmente, la etapa de reaccin es la que menos se toma en cuenta en los proyectos de seguridad inform!tica. Esta etapa consiste en prever eventos y planificar las medidas que deben tomarse si surge un problema. En el caso de una intrusin, por ejemplo, el administrador de sistemas puede reaccionar de una de las siguientes maneras7

$btener la direccin del hacCer y contraatacar &ortar el suministro elctrico de la m!quina 2esconectar la m!quina de la red 6einstalar el sistema

El problema es que cada una de estas acciones puede resultar m!s perjudicial +particularmente en trminos de costos, que la intrusin en s= misma. En efecto, si el funcionamiento de la m!quina comprometida es fundamental para el funcionamiento del sistema de informacin o si se trata de un sitio Aeb de ventas online, una interrupcin prolongada del servicio podr=a ser catastrfica. 1 su vez, en este tipo de situaciones es importante establecer pruebas en caso de que se realice una investigacin judicial. 2e lo contrario, si la m!quina comprometida se ha usado para realizar otro ataque, la compa.=a corre el riesgo de ser considerada responsable.

La implementacin de un plan de recuperacin de desastres permite a la organizacin evitar que el desastre empeore y tener la certeza de que todas las medidas tomadas para establecer pruebas se aplicar!n correctamente. 1simismo, un plan contra desastres desarrollado correctamente define las responsabilidades de cada individuo y evita que se emitan rdenes y contrardenes, que impliquen una prdida de tiempo. R&staura$iDn En el plan de recuperacin, se debe especificar en detalle cmo hacer que el sistema comprometido vuelva a funcionar correctamente. Es necesario tomar en cuenta los siguientes elementos7

Anotar #a &$*a d& intrusiDn7 conocer la fecha aproximada en la que se ha comprometido la m!quina permite a la organizacin evaluar el nivel de riesgo de intrusin para el resto de la red y el grado de compromiso de la maquina. R&stringir &# $o'Fro'iso7 tomar las medidas necesarias para que el compromiso no se expanda Estrategia de seguridad7 si la compa.=a tiene una estrategia de seguridad, se recomienda comparar los cambios que se realizaron a los datos del sistema comprometido con los datos supuestamente fiables. #i los datos est!n infectados con un virus o un troyano, la restauracin de stos puede expandir a-n m!s el da.o. Establecer pruebas7 por razones legales, es necesario guardar los archivos de registro diario del sistema corrompido para poder restituirlos en caso de una investigacin judicial

&mo configurar un sitio de reemplazo7 en lugar de reinstalar el sistema comprometido, es preferible desarrollar y activar a tiempo un sitio de reemplazo que permita que el servicio contin-e activo cuando sea necesario.