1

TECNOLOGA DE LOS PODERES JUDICIALES

2

CONTENIDO

1. Seguridad de la Informacin 3
2. Seguridad de Informacin Familia ISO/IEC 27000 4
3. Seguridad de Informacin (ISO/IEC 27001) 5
4. Seguridad de Informacin (ISO/IEC 27002) 6
4.1 Contenido de la norma 6
4.2 Gua de Seguridad Informtica 8
4.3 Fases de desarrollo 21
5. Tecnologa, dimensionamiento y sus costos 22
5.1 Casos prcticos 23





3
1. Seguridad de la Informacin

La informacin es un activo que tiene un alto valor y requiere, en consecuencia, una proteccin
adecuada. sta se puede presentar de las siguientes formas:
impresa o escrita en papel,
almacenada electrnicamente,
trasmitida por correo o medios electrnicos,
hablada en conversacin.
La seguridad de la informacin consiste en procesos y controles diseados para protegerla de su
divulgacin no autorizada, transferencia, modificacin o destruccin, a efecto de:
asegurar la continuidad del negocio,
minimizar posibles daos, y
maximizar oportunidades.
La seguridad informtica debe entenderse en el contexto de la seguridad fsica y lgica de la
informacin, y por eso intenta proteger cuatro elementos:
Hardware
Software
Datos
Elementos Consumibles


4

2. Seguridad de Informacin Familia ISO/IEC 27000

La serie de normas ISO/IEC 27000 son estndares de seguridad publicados por la Organizacin
Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).
La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para
desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin de la
Seguridad de la Informacin (SGSI), estas normas incluyen:
1. ISO/IEC 27000- es un vocabulario estndar para el SGSI. Se encuentra en desarrollo
actualmente.
2. ISO/IEC 27001 - es la certificacin que deben obtener las organizaciones. Norma que
especifica los requisitos para la implantacin del SGSI. Es la norma ms importante de la
familia. Adopta un enfoque de gestin de riesgos y promueve la mejora continua de los
procesos. Fue publicada como estndar internacional en octubre de 2005.
3. ISO/IEC 27002 - Information technology - Security techniques - Code of practice for
information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799.
Es un cdigo de buenas prcticas para la gestin de seguridad de la informacin. Fue
publicada en julio de 2005 como ISO 17799:2005 y recibi su nombre oficial ISO/IEC
27002:2005 el 1 de julio de 2007.
4. ISO/IEC 27003 - son directrices para la implementacin de un SGSI. Es el soporte de la
norma ISO/IEC 27001. Publicada el 1 de febrero del 2010, No est certificada actualmente.
5. ISO/IEC 27004 - son mtricas para la gestin de seguridad de la informacin. Es la que
proporciona recomendaciones de quin, cundo y cmo realizar mediciones de seguridad de
la informacin. Publicada el 7 de diciembre del 2009, no se encuentra traducida al espaol
actualmente.
6. ISO/IEC 27005 - trata la gestin de riesgos en seguridad de la informacin. Es la que
proporciona recomendaciones y lineamientos de mtodos y tcnicas de evaluacin de riesgos
de Seguridad en la Informacin, en soporte del proceso de gestin de riesgos de la norma
ISO/IEC 27001. Es la ms relacionada a la actual British Standard BS 7799 parte 3. Publicada
en junio de 2008.
7. ISO/IEC 27006:2007 - Requisitos para la acreditacin de las organizaciones que proporcionan
la certificacin de los sistemas de gestin de la seguridad de la informacin. Esta norma
especfica requisitos especficos para la certificacin de SGSI y es usada en conjunto con la
norma 17021-1, la norma genrica de acreditacin.
8. ISO/IEC 27007 - Es una gua para auditar al SGSI. Se encuentra en preparacin.
9. ISO/IEC 27799:2008 - Es una gua para implementar ISO/IEC 27002 en la industria de la
salud.
10. ISO/IEC 27035:2011 - Seguridad de la informacin Tcnicas de Seguridad Gestin de
Incidentes de Seguridad. Este estndar hace foco en las actividades de: deteccin, reporte y
evaluacin de incidentes de seguridad y sus vulnerabilidades.




5
3. Seguridad de Informacin (ISO/IEC 27001)
Estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security
techniques Information security management systems - Requirements)
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema
de Gestin de la Seguridad de la Informacin (SGSI).

PILARES DE SEGURIDAD DE INFORMACIN (ISO/IEC 27001)






6
4. Seguridad de Informacin (ISO/IEC 27002)
Es un conjunto de recomendaciones sobre qu medidas tomar en la institucin para asegurar los
Sistemas de Informacin.
Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009. Otros
pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC
27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-
ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita.
Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar
para conseguir un sistema seguro en cada una de las reas que los agrupa.
Para conseguir cada uno de estos objetivos, la norma propone una serie de medidas o
recomendaciones (controles) que son los que en definitiva se aplican para la gestin del riesgo
analizado.
Los objetivos de control son los aspectos a asegurar dentro de cada rea/seccin; y los
controles son los mecanismos para asegurar los objetivos de control (gua de buenas prcticas).
Para cada control establecido, se debe elaborar una gua para su implantacin)
Para la elaboracin del documento que se presentar como gua de seguridad informtica es
conveniente utilizar la ISO/IEC 27002, en virtud que incluye controles especficos relacionados
con aspectos informticos.
4.1 Contenido de la norma
11 dominios
39 objetivos de control
133 controles
Los 133 controles y 39 objetivos estn agrupados dentro de los 11 dominios descritos abajo:
DOMINIO DESCRIPCIN
5. Poltica De Seguridad
El documento de la poltica de seguridad de la
informacin debiera ser aprobado por la gerencia,
y publicado y comunicado a todos los empleados
y las partes externas relevantes.
6.
Aspectos Organizativos de La
Seguridad de la Informacin
La gerencia debiera apoyar activamente la
seguridad dentro de la organizacin a travs de
una direccin clara, compromiso demostrado,
asignacin explcita y reconociendo las
responsabilidades de la seguridad de la
informacin.
7. Gestin de Activos.
Inventario de los activos debiera incluir toda la
informacin necesaria para poder recuperarse de
un desastre; incluyendo el tipo de activo, formato,
ubicacin, informacin de respaldo, informacin
de licencias y un valor comercial.
8.
Seguridad Ligada a los
Recursos Humanos.
Los roles y responsabilidades de la seguridad
debieran ser definidos y claramente comunicados
a los candidatos para el puesto durante el proceso
de pre-empleo.

7
DOMINIO DESCRIPCIN
9. Seguridad Fsica y del Entorno
Se debieran utilizar permetros de seguridad
(barreras tales como paredes, rejas de entrada
controladas por tarjetas o recepcionistas) para
proteger las reas que contienen informacin y
medios de procesamiento de informacin.
10.
Gestin de Comunicaciones y
Operaciones.
Procedimientos documentados para las
actividades del sistema asociadas con los medios
de procesamiento de la informacin y
comunicacin; tales como procedimientos para
encender y apagar computadoras, copias de
seguridad, mantenimiento del equipo, manejo de
medios, cuarto de cmputo, manejo del correo y
seguridad.
11. Control de Acceso.
Establecer, documentar y revisar la poltica de
control de acceso en base a los requerimientos
comerciales y de seguridad para el acceso.
12.
Adquisicin, Desarrollo y
Mantenimiento De Sistemas de
Informacin.
Identificary acordar los requerimientos de
seguridad antes del desarrollo y/o implementacin
de los sistemas de informacin.
13.
Gestin de Incidentes en la
Seguridad de la Informacin.
Procedimientos formales de reporte y de la
intensificacin de un evento, ejemplo: cambios del
sistema no controlados, mal funcionamiento del
software o hardware, violaciones de acceso.
14.
Gestin de la Continuidad del
Negocio.
Desarrollar y mantener un proceso gerencial para
la continuidad del negocio en toda la organizacin
para tratar los requerimientos de seguridad de la
informacin necesarios para la continuidad
comercial de la organizacin.
15. Cumplimiento.
Definir explcitamente, documentar y actualizar
todos los requerimientos estatutarios, reguladores
y contractuales relevantes, y el enfoque de la
organizacin para satisfacer esos requerimientos,
para cada sistema de informacin y la
organizacin.



8
4.2 Gua de Seguridad Informtica
Para el desarrollo de la gua en cuestin, se tomarn de referencia 5 dominios, los cuales se
relacionan directamente con el rea informtica:









Gua de Seguridad Informtica
ISO/IEC 27002


DOMINIO 7: GESTIN DE ACTIVOS

Activos.-
Informacin: Bases de datos, la data (sorteo, providencias o actos procesales, sentencias,
jurisprudencia; informacin administrativa, informacin financiera), contratos y acuerdos,
resoluciones, planes de continuidad del negocio, registros de auditoras
Archivos de Software: sistemas de gestin de trmite jurisdiccional, sistemas de gestin
documentas, erp, sistemas operativos, entre otros.
Activos de Hardware: Servidores, equipos de comunicacin, equipamiento de TICs
Personal: roles y responsabilidades acorde a la capacidad y experiencia del personal de las
diferentes unidades de TICs
Intangibles: Imagen de transparencia, celeridad, seguridad y justicia.

No. DOMINIO
7. Gestin de Activos.
10. Gestin de Comunicaciones y Operaciones.
11. Control de Acceso.
12.
Adquisicin, Desarrollo y Mantenimiento De
Sistemas de Informacin.
13.
Gestin de Incidentes en la Seguridad de la
Informacin.

9
No.
OBJETIVO
DE
CONTROL
CONTROL ACCIN RIESGO
7.1
Inventario de
activos
Todos los activos deben estar
claramente identificados y se
debe elaborar y mantener un
inventario de todos los
activos importantes.
La organizacin identificar todos los
activos y documentar de acuerdo a
su importancia. El inventario incluir
toda la informacin necesaria para
recuperarse de los desastres.
El no contar con un
conjunto de polticas
especficas as como
responsables para el uso
de los activos podra verse
afectada la integridad y
disponibilidad de la
informacin.
Responsable
de los activos
Toda la informacin y los
activos asociados con los
servicios de procesamiento
de informacin deben ser
asignada a una parte de la
organizacin que acta como
responsable.
Una vez que se ha definido,
identificado, elaborado el inventario de
todos los activos de Tics de la
organizacin se identificar al
responsable o los responsables de
controlar el uso y seguridad de estos.
Adems se realizar una revisin
peridica a la clasificacin y definicin
de responsables de los activos y
servicios que se ofrecen.

Uso aceptable
de los activos
Se debe identificar,
documentar e implementar
las reglas sobre el uso
aceptable de la informacin y
de los activos asociados con
los servicios de
procesamiento de la
informacin.
Las organizaciones establecern un
conjunto de polticas, normas
especficas, reglas, manuales de uso y
dems directrices, con el fin de
garantizar la seguridad y
disponibilidad respecto al acceso y
uso que se d a los activos, asociados
a los sistemas de informacin de cada
una de las organizaciones.

7.2
Directrices de
clasificacin
Se debe clasificar en
trminos de su valor, de los
requisitos legales, de la
sensibilidad y la importancia
para la organizacin.
Las organizaciones clasificarn la
informacin en trminos de valor,
confidencialidad y criticidad para la
organizacin, y ser revisada
peridicamente mantenindose
actualizada. La clasificacin debe ser
lo ms sencilla y prctica en lo
posible.


Al no existir una
clasificacin acorde a la
importancia de la
informacin as como el
etiquetado segn
estndares internos
adoptados para la
organizacin podra verse
afectada seriamente la
integridad, disponibilidad y
confidencialidad de la
informacin.
Etiquetado y
manejo de la
informacin
Se debe desarrollar e
implementar un conjunto de
procedimientos adecuados
para el etiquetado y el
manejo de la informacin de
acuerdo al esquema de
clasificacin adoptado por la
organizacin.
Se debe definir un estndar de
etiquetado adecuado de la informacin
aprobado por la organizacin, que
comprenda los formatos fsicos y
electrnicos. De acuerdo al nivel de
importancia de la informacin se debe
definir procedimientos de manejo
seguro, as como el registro de
incidentes de seguridad referido a la
cadena de custodia.




10
DOMINIO 10: GESTIN DE COMUNICACIONES Y OPERACIONES

No.
OBJETIVO DE
CONTROL
CONTROL ACCIN
RIESGO
10.1

Procedimientos y
responsabilidades
operacionales

Procedimientos de
operacin documentados
Preparar procedimientos
documentados para las
actividades del sistema
asociadas con los medios de
procesamiento de la
informacin y comunicacin;
Falta de segregacin de
funciones.
Gestin del cambio
Sistemas operacionales y el
software de aplicacin
sujetos a un estricto control
de autoridades del cambio.
Segregacin de los deberes
Tener cuidado que nadie
pueda tener acceso,
modificar o utilizar los
activos sin autorizacin o
deteccin.
Separacin de los medios de
desarrollo, prueba y
operacin
Identificar el nivel de
separacin necesario entre
los ambientes de desarrollo,
prueba y operacin para
evitar los problemas
operacionales e implementar
los controles apropiados.
10.2
Gestin de la entrega del
servicio de terceros

Entrega del servicio
Incluir acuerdos de
seguridad pactados en la
entrega del servicio por un
tercero e incluir definiciones
del servicio y aspectos de la
gestin del servicio.
Falta de calidad en el
servicio adquirido.
Monitoreo y revisin de los
servicios de terceros
El monitoreo y revisin de
los servicios de terceros
debiera asegurar que se
cumplan los trminos y
condiciones de seguridad de
los acuerdos, y que se
manejen apropiadamente los
incidentes y problemas de
seguridad de la informacin.
Manejo de cambios en los
servicios de terceros
El proceso de manejar los
cambios en el servicio de
terceros necesita tomarlos
cambios realizados por la
organizacin
10.3
Planeacin y aceptacin del
sistema

Gestin de la capacidad
Identificar los requerimientos
de capacidad de cada
actividad nueva y en
proceso.



Fallas de Operacin en los
sistemas


Aceptacin del sistema
Asegurar que los
requerimientos y criterios de
aceptacin de los sistemas
nuevos estn claramente
definidos, aceptados,
documentados y probados.



11
No.
OBJETIVO DE
CONTROL
CONTROL ACCIN
RIESGO
10.4
Proteccin contra el cdigo
malicioso y mvil

Controles contra cdigos
maliciosos
Basarse en la deteccin de
cdigos maliciosos y la
reparacin de software,
conciencia de seguridad, y
los apropiados controles de
acceso al sistema y gestin
del cambio.



Posible prdida de
informacin y atraso en las
operaciones.
Controles contra cdigos
mviles
Considerar acciones para
evitar que el cdigo mvil
realice acciones no-
autorizadas


10.5

Respaldo o Back-Up

Respaldo o Back-Up
Proporcionar medios de
respaldo adecuados para
asegurar que toda la
informacin esencial y
software se pueda recuperar
despus de un desastre o
falla de medios.
Posible prdida de
informacin crtica y
suspensin de actividades
10.6 Gestin de seguridad de la red
Controles de redes
Implementar controles para
asegurar la seguridad de la
informacin en las redes, y
proteger los servicios
conectados de accesos no-
autorizados.
Posible intrusin de terceros
no autorizados e
interrupcin del servicio.
Seguridad de los servicios
de la red
Determinar y monitorear
regularmente la capacidad
del proveedor del servicio de
red para manejar los
servicios contratados de una
manera segura
10.7
Gestin de medios

Gestin de medios
removibles
Considerar lineamientos
para la gestin de medios
removibles
Posible fuga de informacin.

Retirada de soportes
Definicin de procedimientos
formales para la eliminacin
de medios confidenciales
que ya no sern requeridos.
Procedimientos para el
manejo de informacin
Establecer procedimientos
para el manipuleo,
procesamiento, almacenaje
y comunicacin de la
informacin consistente con
su clasificacin.
Seguridad de la
documentacin del sistema
asegurar la documentacin
del sistema de manera
segura
10.8
Intercambio de informacin

Polticas y procedimientos
de intercambio de
informacin
Definir procedimientos y
controles a seguirse cuando
se utilizan medios de
comunicacin electrnicos
para el intercambio de
informacin
Posible fuga de informacin
y suplantacin de
identidades.
Acuerdos de intercambio
Establecer y mantener las
polticas, procedimientos y
estndares para proteger la
informacin y medios fsicos
en trnsito

12
No.
OBJETIVO DE
CONTROL
CONTROL ACCIN
RIESGO

Medios fsicos en trnsito

Considerar lineamientos
para proteger los medios de
informacin transportados
entre diferentes ubicaciones
Mensajes electrnicos
Definir consideraciones de
seguridad para los mensajes
electrnicos
Sistemas de informacin
Definir consideraciones a las
implicancias de seguridad en
la interconexin de los
sistemas de informacin
10.9
Comercio electrnico

Comercio electrnico
Definir consideraciones de
seguridad para el comercio
electrnico

Transacciones en-lnea
Definir consideraciones de
seguridad para
Transacciones en-lnea
Informacin pblicamente
disponible
Proteger mediante
mecanismos apropiados el
software, data y otra
informacin que requiere un
alto nivel de integridad,
puesta a disposicin en un
sistema pblicamente
disponible,
Posibles transacciones
fraudulentas

10.10
Monitoreo

Registro de auditora
Considerar registros de
auditora cuando sea
relevante.
Posible incapacidad de
prevenir fallos de sistemas
Uso del sistema de
monitoreo
Determinar el nivel de
monitoreo requerido para los
medios individuales
mediante una evaluacin del
riesgo.
Proteccin del registro de
informacin
Establecer controles para
protegerse contra cambios
no autorizados y problemas
operacionales,
Registros del administrador
y operador
Revisados de manera
regular los registros de
administrador y operador del
sistema.
Registro de fallas
Registrar las fallas
reportadas por los usuarios o
por los programas del
sistema relacionadas con los
problemas con el
procesamiento de la
informacin o los sistemas
de comunicacin
Sincronizacin de relojes
Colocar la hora del reloj de
acuerdo a un estndar
acordado



13

DOMINIO 11: CONTROL DE ACCESO

No.
OBJETIVO DE
CONTROL
CONTROL ACCIN RIESGO
11.1
Requerimiento para el
control del acceso
Poltica de control del
acceso

Establecer claramente en la poltica
de control de acceso las reglas de
control del acceso y los derechos
para cada usuario o grupos de
usuarios.
Posibles accesos no
autorizados.




11.2
Gestin de acceso del
usuario
Registro del usuario

Definir el procedimiento de control
del acceso para el registro y des-
registro del usuario.







Posible
otorgamiento
inadecuado de
permisos
Gestin de privilegios

Controlar la asignacin de
privilegios a travs de un proceso
de autorizacin formal para los
sistemas multi-usuario que
requieren proteccin contra el
acceso no autorizado.
Gestin de las claves
secretas de los
usuarios

Definir polticas sobre la gestin de
las claves secretas, medio comn
para verificar la identidad del
usuario antes de otorgar acceso a
un sistema o servicio de
informacin en concordancia con la
autorizacin del usuario
Revisin de los
derechos de acceso del
usuario
Definir lineamientos para la revisin
de los derechos de acceso
11.3
Responsabilidades
del usuario

Uso de claves secretas

Formular poltica para la el uso de
claves secretas de los usuarios
Posible perdida y
fuga de informacin


Equipo del usuario
desatendido

Estar al tanto de los requerimientos
de seguridad y los procedimientos
para proteger el equipo
desatendido por parte de los
usuarios.
Poltica de escritorio y
pantalla limpios

Tomar en cuenta las clasificaciones
de informacin para polticas de
escritorio limpio y pantalla limpia.
11.4
Control de acceso a la
red

Poltica sobre el uso de
los servicios de la red

Formular una poltica relacionada
con el uso de las redes y los
servicios de la red.






Posible prdida y
fuga de informacin
e interrupcin de
actividades.





Autenticacin del
usuario para las
conexiones externas

Utilizar tcnicas basadas en
criptografa, dispositivos de
hardware o un protocolo de
desafo/respuesta para la
autenticacin de los usuarios
remotos.
Identificacin del
equipo en las redes

Utilizar la identificacin del equipo
si es importante que la
comunicacin slo sea
iniciada desde una ubicacin o
equipo especfico.
Proteccin del puerto
de diagnstico y
configuracin remoto


Uso de un seguro y procedimientos
de soporte para controlar el acceso
fsico al puerto que incluya
controles potenciales para el
acceso a los puertos de diagnostico
y configuracin.



14
No.
OBJETIVO DE
CONTROL
CONTROL ACCIN RIESGO
Segregacin en redes Un mtodo para controlar la
seguridad de grandes redes es
dividirlas en dominios de red
lgicos separados
Control de conexin a
la red

Los derechos de acceso a la red de
los usuarios se debieran mantener
y actualizar conforme
lo requiera la poltica de control de
acceso
Control de routing de la
red

Implementar controles de routing en
las redes para asegurar que las
conexiones
de la computadora y los flujos de
informacin no violen la poltica de
control de acceso de las
aplicaciones
11.5
Control del acceso al
sistema operativo

Procedimientos para un
registro seguro

Diseo del procedimiento para
registrarse en un sistema de
operacin de manera que minimice
la oportunidad de un acceso no
autorizado.
Posible suspensin
de actividades y del
servicio.
Identificacin y
autenticacin del
usuario

Aplicar este control a todos los tipos
de usuarios (incluyendo el personal
de soporte tcnico, operadores,
administradores de redes,
programadores de sistemas y
administradores de bases de
datos).
Sistema de gestin de
claves secretas

Los sistemas para el manejo de
claves secretas debieran ser
interactivos y debieran asegurar
claves secretas adecuadas.
Uso de las utilidades
del sistema
Se debieran considerar
lineamientos para el uso de las
utilidades del sistema:
Cierre de una sesin
por inactividad

Un dispositivo de cierre debiera
borrar la pantalla de la sesin y
tambin, posiblemente ms
adelante, cerrar la aplicacin y las
sesiones en red despus de un
perodo de inactividad definido.
Limitacin del tiempo
de conexin

considerar controles sobre el
tiempo de conexin para las
aplicaciones de
cmputo sensibles,
11.6
Control de acceso a la
aplicacin y la
informacin

Restriccin del acceso
a la informacin

Las restricciones para el acceso se
debieran basar en los
requerimientos de las aplicaciones. Posible fuga y
prdida de
informacin
Aislar el sistema
confidencial

considerar los siguientes
lineamientos para aislar el sistema
sensible o
confidencial
11.7
Computacin y tele-
trabajo mvil

Computacin y
comunicaciones
mviles

Establecer una poltica y adoptar
las medidas de seguridad
apropiadas para proteger contra los
riesgos de utilizar medios de
computacin y comunicacin mvil.
Posible
suplantacin de
identidad y accesos
no autorizados.

15
DOMINIO 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIN

No. OBJETIVO
DE
CONTROL
CONTROL ACCIN RIESGO
12.1
Requisitos de
seguridad de
los sistemas
de informacin
Anlisis y especificacin de
los requisitos de seguridad
Definir de lneas base de
seguridad en aplicaciones e
infraestructura de TI, de
acuerdo a la necesidad de
cada aplicacin.
Posible adquisicin e
implementacin de
sistemas que no
cumplen con medidas
de seguridad
reconocidas o
aprobadas por la
Institucin.
12.2
Tratamiento
correcto de las
aplicaciones
Validacin de los datos de
entrada.
Validar los datos de entrada
para evitar errores por
captura de datos
incorrectos.
Posible liberacin en
ambiente productivo de
aplicaciones con
vulnerabilidades de
seguridad y
procesamiento de datos
incorrecto.
Control de procesamiento
interno
Revisar la seguridad de las
aplicaciones a nivel cdigo
para detectar cualquier
corrupcin de la informacin
a travs de errores de
procesamiento o actos
deliberados.
Integridad de los mensajes
Evaluar los riesgos de
seguridad para determinar si
se requiere la integridad del
mensaje e identificar el
mtodo de implementacin
ms apropiado.
Validacin de los datos de
salida
Validar los datos en el
procesamiento, para
asegurar que la informacin
almacenada sea la correcta
y la apropiada para las
circunstancias. Ya que an
en los sistemas que han
sido probados se puede
producir output incorrecto.
12.3
Controles
Criptogrficos
Poltica de uso de controles
criptogrficos
Desarrollar e implementar
una Poltica para el uso de
controles criptogrficos, para
proteger la informacin.
Posible afectacin a la
confidencialidad de la
informacin mantenida
en los sistemas y
aplicaciones de la
Institucin.

Posible falsificacin de
la firma digital,
reemplazndola con la
clave pblica de un
usuario.
Gestin de claves
Proteger las claves
criptogrficas contra una
modificacin, prdida y
destruccin.
Proteger contra la
divulgacin no-autorizada,
las claves secretas y
privadas.
Brindar seguridad fsica al
equipo utilizado para
generar, almacenar y
archivar las claves.
A manera de ejemplo, los
dos tipos de tcnicas
criptogrficas son:

16
No. OBJETIVO
DE
CONTROL
CONTROL ACCIN RIESGO
tcnicas de claves secretas
y tcnicas de claves
pblicas.
12.4




Seguridad de
los archivos de
sistema
Control del Software en
explotacin
Minimizar el riesgo de
corrupcin de los sistemas
operacionales, considerando
lineamientos para controlar
los cambios como son:
actualizacin del software
operacional, los sistemas
operacionales slo deben
mantener cdigos
ejecutables aprobados, y no
cdigos de desarrollo o
compiladores. Establecer
una estrategia de regreso a
la situacin original
(rollback) antes de
implementar los cambios.
Posibles fugas y
prdidas de informacin
confidencial en posesin
de la Institucin, que
pueden ser utilizadas
para fines ajenos a la
misma.
Proteccin de los datos de
prueba del sistema
Para los propsitos de
pruebas, evitar el uso de
bases de datos
operacionales conteniendo
informacin personal o
cualquier otra informacin
confidencial. Autorizar por
separado cada vez que se
copia informacin
operacional en un sistema
de aplicacin de prueba.
Control de acceso al cdigo
fuente de los programas
El acceso al cdigo fuente
del programa y los tems
asociados (como diseos,
especificaciones, planes de
verificacin y planes de
validacin) se deben
controlar estrictamente para
evitar la introduccin de una
funcionalidad no-autorizada
y para evitar cambios no-
intencionados.
Implementar procedimientos
estrictos de control de
cambios para el
mantenimiento y copiado de
las bibliotecas fuentes del
programa.
12.5
Seguridad en
los procesos
de desarrollo y
soporte
Procedimientos de control
de cambios
Documentar y hacer cumplir
los procedimientos formales
de control del cambio para
minimizar la corrupcin de
los sistemas de informacin.
La introduccin de sistemas
nuevos y los cambios
importantes a los sistemas
existentes deben realizarse
despus de un proceso
formal de documentacin,
especificacin, prueba,
Posible introduccin de
cambios no probados y
no autorizados en los
sistemas y aplicaciones
de la Institucin.
Posibles problemas de
segregacin de
funciones en desarrollo
y operacin.
Posible fuga de
Informacin.

17
No. OBJETIVO
DE
CONTROL
CONTROL ACCIN RIESGO
control de calidad e
implementacin manejada.
La buena prctica incluye la
prueba del software nuevo
en un ambiente segregado
de los ambientes de
produccin y desarrollo.
Revisin tcnica de las
aplicaciones tras efectuar
cambios en el sistema
operativo
Revisar y probar las
aplicaciones comerciales
crticas, cuando se cambian
los sistemas de operacin,
para asegurar que no exista
un impacto adverso sobre
las operaciones
organizacionales o en la
seguridad. Asignar a un
grupo o persona especfica
la responsabilidad de
monitorear las
vulnerabilidades, as como
los parches y arreglos que
lancen los vendedores.
Restricciones a los cambios
en los paquetes de software
Limitar los cambios
necesarios y controlarlos
estrictamente. Utilizar los
paquetes de software
suministrados por
vendedores sin
modificaciones.
Fugas de Informacin
Considerar puntos para
limitar la filtracin de la
informacin; por ejemplo, a
travs del uso y explotacin
de los canales encubiertos
(covertchannels).
Tomar medidas para
protegerse contra cdigos
Troyanos reduce el riesgo
de la explotacin de los
canales encubiertos.
Externalizacin del
desarrollo de software
Supervisar y monitorear, el
desarrollo del software
abastecido externamente.
Considerar puntos como
contratos de licencias,
propiedad de cdigos,
derechos de propiedad
intelectual.
12.6
Gestin de la
vulnerabilidad
tcnica
Control de las
vulnerabilidades tcnicas
Obtener oportunamente la
informacin sobre las
vulnerabilidades tcnicas de
los sistemas de informacin,
la exposicin de la
organizacin a dichas
vulnerabilidades evaluadas,
y las medidas apropiadas
tomadas para tratar los
riesgos asociados. Un
inventario actual y completo
de los activos (ver 7.1) es un
Posible incapacidad
para detectar problemas
de seguridad en los
sistemas y aplicaciones
de la Institucin.
Posible incapacidad
para tomar las medidas
necesarias de
contencin, y responder
oportunamente.

18
No. OBJETIVO
DE
CONTROL
CONTROL ACCIN RIESGO
prerrequisito para la gestin
efectiva de la vulnerabilidad
tcnica. La informacin
especfica necesaria para
apoyar la gestin de la
vulnerabilidad tcnica
incluye al vendedor del
software, nmeros de la
versin, estado actual del
empleo (por ejemplo, cul
software est instalado en
cul sistema), y la(s)
persona(s) dentro de la
organizacin responsable(s)
del software.



















19



DOMINIO 13.GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN

No. OBJETIVO
DE
CONTROL
CONTROL ACCIN RIESGO
13.1
Notificacin
de eventos y
puntos dbiles
de seguridad
de la
informacin
Notificacin de los eventos de
seguridad de la informacin
Reportar a travs de los
canales gerenciales
apropiados lo ms
rpidamente posible los
eventos de seguridad de
la informacin. Tomar la
conducta correcta en el
caso de un evento en la
seguridad de la
informacin; por ejemplo:
No llevar a cabo ninguna
accin por cuenta propia,
sino reportar
inmediatamente al punto
de contacto.
Posible incapacidad
para detectar
problemas de
seguridad en los
sistemas y
aplicaciones de la
Institucin.
Incapacidad para
tomar las medidas
necesarias de
contencin, y
responder
oportunamente.
Notificacin de puntos dbiles
de seguridad
Requerir que todos los
usuarios empleados,
contratistas y terceros de
los sistemas y servicios de
informacin tomen nota y
reporten cualquier
debilidad de seguridad
observada o sospechada
en el sistema o los
servicios. El mecanismo
de reporte debe ser fcil y
estar disponible.
13.2
Gestin de
incidentes y
mejoras de
seguridad de
la informacin
Responsabilidades y
procedimientos
Establecer las
responsabilidades y los
procedimientos de la
gerencia para asegurar
una respuesta rpida,
efectiva y metdica ante
los incidentes de la
seguridad de la
informacin.
Aprendizaje de los incidentes de
seguridad de la informacin
Establecer mecanismos
para permitir cuantificar y
monitorear los tipos,
volmenes y costos de los
incidentes en la seguridad
de la informacin. Analizar
la informacin obtenida
para identificar los
incidentes recurrentes o
de alto impacto.
Recopilacin de evidencias
Recolectar, mantener y
presentar evidencia para
cumplir con las reglas de
evidencia establecidas en
la(s) jurisdiccin(es)
relevante(s). Desarrollar y
seguir los procedimientos

20
No. OBJETIVO
DE
CONTROL
CONTROL ACCIN RIESGO
internos cuando se
recolecta y presenta
evidencia para propsitos
de una accin disciplinaria
manejada dentro de una
organizacin.
Realizar en las copias del
material de evidencia
cualquier trabajo forense.
Lo anterior aplica por
ejemplo, para una accin
de seguimiento contra una
persona u organizacin
despus de un incidente
en la seguridad de la
informacin involucra una
accin legal (ya sea civil o
criminal);




21

4.3 Fases de desarrollo
La implementacin de dicha gua debe incluir el desarrollo de objetivos, polticas, procesos y
procedimientos, considerando las siguientes definiciones para su elaboracin:


POLTICA: Conjunto de requisitos definidos por los
responsables de un sistema, especificando en trminos
generales quest y quno est permitido hacer.
OBJETIVO: Enunciado global sobre el resultado final que se
pretendealcanzar (qu?, dnde?, paraqu?)
PROCESO: Actividades organizadas e interrelacionadas,
orientadas a obtener un resultado especfico y
predeterminado, conformado por las fases que se llevan a
cabo por los responsables que desarrollan las funciones de
acuerdocon su estructura orgnica.
PROCEDIMIENTO (Mdulos que conforman un proceso):
Conjunto ordenado de operaciones o actividades
secuenciales desarrolladas por los responsables de la
ejecucin, que deben cumplir polticas y normas
establecidas, debiendo sealar la duracin o periodicidad y
el flujo de documentos.
Requiere identificar y sealar de cada uno de los pasos:
quin?, cundo?, cmo?, dnde?, para qu?, por qu?.

22
5. Tecnologa, dimensionamiento y sus costos

En general se recomienda que se adopten tecnologas para brindar seguridad en las siguientes
reas:

Esquemas de Seguridad
rea Aplicativo / Software
Escritorio Antivirus, Antispyware, FireWall Personal
IPS local, Filtro Web, Control de Acceso a Red, Dispositivos Mviles
Control de Aplicaciones / Listas Blancas/Negras
Datos Encripcin de disco, Encripcin de archivos, Control de Dispositivos
Prevencin de fuga de informacin local, Prevencin de fuga de informacin
en la red, Administracin de permisos, Respaldo y Restauracin,
Almacenamiento Empresarial (SAN)
Servidor Antivirus, Antispyware, FireWall local
IPS local, Filtro Web, Control de Acceso a Red,
Control de Aplicaciones / Listas Blancas/Negras, Virtualizacin
Red Firewall perimetrales, Prevencin de Intrusos, Firewall de Aplicaciones,
Control de Acceso a Red, Anlisis de Comportamiento, Anlisis Forense,
Control de Infraestructura.
Correo Antispam, Antivirus, Prevencin de Fuga de Informacin
Internet Filtro de Contenidos, Proxy, Antivirus, Antimalware.
Riesgo y
Cumplimiento
Manejador de Vulnerabilidades, Remediador de Vulnerabilidades,
Auditoria de Polticas, Anlisis y reporte de Riesgo,
Control de Cambios, Monitor de Integridad de Archivos, SIEM,
Manejador de Logs




23
5.1 Casos prcticos

CASO 1

Esquema de seguridad:














ALTA SEGURIDAD - BENEFICIOS POR COMPONENTE:













Protege, desde Internet, las aplicaciones de amenazas de
seguridad, combinando en una defensa cohesiva diversos
mecanismos de seguridad.

Con esta herramienta se evita que ataques maliciosos
vulneren los sistemas y saturen los servidores con la
finalidad de bloquear el servicio.

Ofrece actualizaciones para garantizar proteccin ante
patrones de ataque y garantiza la disponibilidad de los
servicios que se ofrecen en la organizacin.



INTERNET
SERVIDORES DE BASES
DE DATOS
SERVIDORES DE
APLICACIONES
Firewall para
servidores de
Aplicaciones
Sistema de
Proteccin de
Disponibilidad
Firewall para
servidores de
Base de Datos
Consola de
Monitoreo

Sistema de
Proteccin de
Disponibilidad

24













Ofrece el servicio de seguridad autoadaptable, sin
saturar los servidores de aplicaciones, entregando una
solucin de alta seguridad que garantiza la integridad de
la informacin y las aplicaciones web.

Con este componente es posible monitorear en tiempo
real, la informacin que se transmite a travs de las
aplicaciones web.

Automticamente aprende el comportamiento de las
aplicaciones y de sus usuarios, detectando
comportamientos anormales y alertando de ellos en
tiempo real.

Identifica el trfico que es originado por robots y
Fuentes maliciosas conocidas, para detener ataques
automatizados.

Previene fraudes va web con su funcionalidad
ThreatRadarFraudPrevention.














Protege a las Bases de Datos de ataques, prdida y
robo de informacin a travs de un monitoreo en tiempo
real con el cual, se emiten alertas y bloqueos de acceso
basados en polticas de seguridad preestablecidas y
que pueden ser configurables segn nuestras
necesidades.

Es posible controlar y monitorear quin tiene el acceso
a las bases de datos y a la informacin que se accedi,
teniendo pleno control de la consulta de la informacin.

Con este componente de infraestructura se proteger
uno de los recursos ms valiosos de la Institucin que
es la informacin.














La consola de monitoreo alerta de posibles ataques en
cualquiera de los componentes de seguridad instalados
y ofrece informacin detallada de las acciones
realizadas en la detencin de ataques.

As mismo, recaba informacin forense de los intentos
de ataque a la infraestructura resguardada.


Firewall para
servidores de
Aplicaciones

Firewall para
servidores de
Base de Datos

Consola de
Monitoreo

25

No.
OBJETIVO DE
CONTROL
PUNTOS CLAVE
PARA
DIMENSIONAMIENTO
TECNOLOGAS
HW/SW
PRECIO
12.1
Requisitos de
seguridad de los
sistemas de
informacin
Nmero de servidores
Nmero de usuarios
Nmero de direcciones IP
Herramientas de blindaje
para sistema operativo

Herramienta de Seguridad
en Control de Cambios

Herramientas de Pruebas
de Penetracin
automatizada

Herramienta Anlisis de
vulnerabilidades

(~520K USD)
12.2
Tratamiento
correcto de las
aplicaciones
Nmero de desarrolladores
de aplicaciones
Nmero de aplicaciones y
tamao de estas
Nmero de direcciones IP

Servidores de aplicaciones

Servidores de bases de
datos

Firewall para servidores de
aplicaciones

Firewall para servidores de
bases de datos

Consola de monitoreo

Sistema de proteccin de
disponibilidad
(~19,743,750USD)
12.3
Controles
Criptogrficos
Nmero de aplicaciones a
integrar en el bus
criptogrfico ya sean legacy
o de terceros.
Nmero de sistemas que
manejan certificados
digitales SSL o llaves de
SSH (F5, firewalls,
BlueCoat, web, servidores,
etc.)



26
No.
OBJETIVO DE
CONTROL
PUNTOS CLAVE
PARA
DIMENSIONAMIENTO
TECNOLOGAS
HW/SW
PRECIO
12.4




Seguridad de los
archivos de sistema
Nmero de aplicaciones,
servidor(es) donde se
encuentra instalada la base
de datos, tamao de la
base de datos
Nmero de base de datos,
segmentos de red, nmero
de sites
Nmero de sistemas a
integrar (Switches,
Sistemas operativos, bases
de datos, etc.)
Nmero de servidores Unix
o Windows
Nmero de endpoints,
Nmero de usuarios
12.5
Seguridad en los
procesos de
desarrollo y soporte
Nmero de servidores
virtuales y nmero de
hypervisors
Nmero de sistemas a
integrar (Switches,
Sistemas operativos, bases
de datos, etc.)
Nmero de endpoints,
Nmero de salidas a
Internet
12.6
Gestin de la
vulnerabilidad
tcnica
Nmero de direcciones IP

13.1
Notificacin de
eventos y puntos
dbiles de
seguridad de la
informacin
Nmero de Segmentos de
red
Numero de bases de datos
y transacciones por base de
datos, Throughput
Nmero de aplicaciones
web
Nmero de correo saliente
en hora pico / Nmero y
tamao de los enlaces a
Internet
Perodo de retencin,
Nmero de enlaces de red,
Nmero de dispositivos de
red con sus eventos por

27
No.
OBJETIVO DE
CONTROL
PUNTOS CLAVE
PARA
DIMENSIONAMIENTO
TECNOLOGAS
HW/SW
PRECIO
segundo
13.2
Gestin de
incidentes y
mejoras de
seguridad de la
informacin
Organigrama de la
institucin
Perodo de retencin,
Nmero de enlaces de red,
Nmero de dispositivos de
red con sus eventos por
segundo
Nmero de administradores
de servicios



28
CASO 2

El caso de xito ms importante ha sido la implementacin de un Data Center, en donde se centraliza
todo el equipamiento y la aplicacin de polticas de seguridad, de acuerdo a la recomendacin de
buenas prcticas, modelos y metodologas adoptadas en consultoras efectuadas para la
implementacin de la ISO 27000.
Se recomienda adoptar la estandarizacin de equipos en cada una de las regionales, lo que permite
que las polticas sean de fcil aplicacin, pues el manejo de protocolos comunes representa una gran
ventaja.
Adicionalmente se debe implementar un Data Center Alterno de iguales caractersticas en otra
regional, lo que permite la replicacin de toda la informacin y garantiza la alta disponibilidad de todas
las aplicaciones.
La inversin aproximada en equipamiento y Data Center ha sido de: USD 25000.000

SISTEMA DE SEGURIDAD INFORMATICA

SEGURIDAD PERIMETRAL
Seguridad de acceso web Exinda Administrador de ancho de banda
Seguridad de acceso web Checkpoint Filtrado Web
Seguridad de correo
electrnico IronPortmail - Cisco Antispam
Seguridad de autenticacin ASA - Cisco Firewall, IPS
Optimizacin de trfico Cisco- Wave WASS - Acelerador de trfico
Autenticacin Cisco - ACS Autenticacin activos equipos de red
Gestin de aplicaciones Cisco- ACE Balanceador de carga
SEGURIDAD INTERNA
Acceso a servidores de
aplicacin Cisco - VCG
Seguridad de acceso a aplicaciones en ambiente
virtual
Antivirus MacAfee Proteccin antivirus
Proteccin de equipos Microsoft - WSUS Distribucin de parches y actualizaciones
Proteccin de equipos Red Hat-Satellite Distribucin de parches y actualizaciones
Proteccin de equipos de
activos Cisco - ACL
Configuracin de funcionalidades de seguridad en
equipos activos
Autenticacin de usuarios
Microsoft- GPO Active
Directory
Configuracin de polticas de Grupo para la
autenticacin de usuarios en el directorio activo
Proteccin de red
inalmbrica
Cisco -
WirelessLanController
Configuracin de grupos y niveles de seguridad
para la autenticacin de usuarios a la red
inalmbrica, configurando las funcionalidades de
la controladora a la que se anexan los accesspoint



29

TOPOLOGI SEGURIDAD DEL DATACENTER




ESQUEMA DE EQUIPAMIENTO SEGURIDAD DATACENTER




30

COSTOS APROXIMADOS

Los valores descritos a continuacin son referenciales y estn ligados a otras soluciones de
tecnologa informtica, por ejemplo en los equipos activos adicionalmente a su funcionalidad de
brindar los elementos de conectividad, permiten la configuracin de polticas de seguridad como listas
de acceso y calidad de servicio para el trfico que pasa por la red como la telefona IP.

SEGURIDAD
INVERSIN
APROXIMADA
Equipamiento de seguridad
perimetral 5'000.000,00
Licenciamiento antivirus 1000.000,00
Consultoras de seguridad 500.000,00
Equipamiento activo y
comunicaciones 18'000.000,00
Equipamiento para servidores para
autenticacin y polticas de
seguridad 1'000.000,00