SISTEMA DE GESTIN PARA LA

SEGURIDAD DE LA INFORMACIN.
CASO: CENTRO DE TECNOLOGA DE INFORMACIN
Y COMUNICACIN.
Contenido
Planteamiento del problema
Objetivos:
General
Especficos
Alcance y limitaciones
Antecedentes
Bases Tericas
Marco Metodolgico
Descripcin de la Propuesta
Conclusiones y Recomendaciones

Planteamiento del
Problema
Carencia de polticas de seguridad.
Falta de un control de acceso efectivo a las instalaciones.
Hurto de bienes.
Ausencia de un manual de funciones y procedimientos.
Inexistencia de planes de capacitacin.
No continuidad en los planes de crecimiento.
Carencia de un Sistema Integral de Seguridad de la
Informacin en el Centro de Tecnologa de Informa-
cin y Comunicacin del DCyT, manifestado en las
siguientes situaciones:
Planteamiento del
Problema
Qu es lo que sucede en el CTIC en materia
de Seguridad de la Informacin?
Es viable tcnica, operativa y econmicamen-
te el mejoramiento de la Seguridad de la Infor-
macin en el CTIC?
Cmo podra mejorarse la Seguridad de la
Informacin que se maneja en el centro?
Interrogantes
Planteamiento del
Problema
Un Sistema de Gestin de la Seguridad de la
Informacin (SGSI) ayuda a establecer polticas y
procedimientos en relacin a los objetivos de
negocio de la organizacin, con objeto de mantener
un nivel de exposicin menor al nivel de riesgo que
la propia organizacin ha decidido asumir.

Agustn Lpez.
(1)

(1): Portal www.iso27000.es/sgsi.html
A
l
t
e
r
n
a
t
i
v
a

Planteamiento del
Problema
La ISO/IEC 27001:2005 es un estndar
internacional que proporciona un modelo slido
para implementar los principios y lineamientos de los
SGSI.
A
l
t
e
r
n
a
t
i
v
a

Objetivos
General
Establecer un Sistema de Gestin para la Seguridad
de la Informacin para el Centro de Tecnologa de
Informacin y Comunicacin del Decanato de
Ciencias y Tecnologa, de acuerdo al estndar
internacional ISO/IEC 27001:2005.

Objetivos
Especficos
1. Diagnosticar la situacin actual del CTIC en
relacin a la Seguridad de la Informacin.
2. Determinar la factibilidad tcnica, operativa y
econmica del Establecimiento de un SGSI
para el CTIC, de acuerdo a la norma ISO/IEC
27001:2005.
3. Disear un SGSI para el CTIC, basado en la
norma ISO/IEC 27001:2005.
Alcance y
Limitaciones
1. Anlisis de la situacin actual de la Seguridad
de la Informacin en base a 43 controles de la
norma ISO/IEC 27002:2005.
2. Desarrollo de la propuesta hasta la fase de
Planeacin de la norma ISO/IEC 27001:2005.
3. Estimacin de los resultados esperados por la
implementacin de un subconjunto de contro-
les de la norma ISO/IEC 27002:2005
Bases Tericas
Anlisis y Gestin
del Riesgo
Metodologa
Seguridad de la
informacin
Serie de Normas
27000
Bases Tericas
S
e
g
u
r
i
d
a
d

d
e

l
a

i
n
f
o
r
m
a
c
i

n

Es la preservacin de la Informacin y de los
Sistemas que la gestionan en sus
dimensiones de Confidencialidad, Integridad
y Disponibilidad.
Bases Tericas
S
e
g
u
r
i
d
a
d

d
e

l
a

i
n
f
o
r
m
a
c
i

n

Que la informacin no sea accesible por
personas, entidades o procesos no
autorizados
Bases Tericas
S
e
g
u
r
i
d
a
d

d
e

l
a

i
n
f
o
r
m
a
c
i

n

Que la informacin sea exacta y completa
Bases Tericas
S
e
g
u
r
i
d
a
d

d
e

l
a

i
n
f
o
r
m
a
c
i

n

Que la informacin, servicios y recursos sean
accesibles por las entidades autorizadas
cuando ellas lo requieran.
Bases Tericas
A
n

l
i
s
i
s

y

G
e
s
t
i

n

d
e
l

R
i
e
s
g
o

Uso sistemtico de la informacin para
identificar amenazas y coordinar las
actividades para dirigir y controlar una
organizacin con relacin al riesgo
Bases Tericas
A
n

l
i
s
i
s

y

G
e
s
t
i

n

d
e
l

R
i
e
s
g
o

Persigue identificar los sectores ms
vulnerables de la organizacin y permitir
concentrar los esfuerzos de control en los
lugares crticos
Bases Tericas
A
n

l
i
s
i
s

y

G
e
s
t
i

n

d
e
l

R
i
e
s
g
o

T
e
r
m
i
n
o
l
o
g

a

Activo: Cualquier cosa - tangible o no - que tenga valor
para la organizacin.
Vulnerabilidad: Debilidad de un activo que puede ser
explotada por una amenaza.
Amenaza: Causa potencial de un incidente no deseado,
que podra daar uno o ms activos.
Control Salvaguarda: Medios para manejar el riesgo;
incluyendo polticas, procedimientos, lineamientos,
prcticas o estructuras organizacionales.
Riesgo: Combinacin de la probabilidad de materializacin
de una amenaza y el dao que producira sobre un activo.
Bases Tericas
S
i
s
t
e
m
a

d
e

G
e
s
t
i

n

d
e

l
a

S
e
g
u
r
i
d
a
d

d
e

l
a

I
n
f
o
r
m
a
c
i

n

Consiste en la planificacin, ejecucin,
verificacin y mejora continua de un conjunto
de controles que permitan reducir el riesgo de
sufrir incidentes de seguridad
Bases Tericas
N
o
r
m
a

I
S
O
/
I
E
C

2
7
0
0
1
:
2
0
0
5

Metodologa que establece las especificaciones
para un SGSI, con el fin de garantizar que los
riesgos son conocidos, asumidos, gestionados y
minimizados, de una forma documentada,
sistemtica, estructurada, continua, repetible y
eficiente.
ISO 27001: Fases
Bases Tericas
N
o
r
m
a

I
S
O
/
I
E
C

2
7
0
0
2
:
2
0
0
5

Es un Cdigo de Buenas Prcticas para la Seguridad
de la Informacin, que establece cientos de controles y
mecanismos de control, los cuales pueden ser
implementados y posteriormente chequeados por la
norma ISO/IEC 27001:2005
Bases Tericas
M
e
t
o
d
o
l
o
g

a

M
A
G
E
R
I
T

1. Desarrollada por el Ministerio de Administracin Pblica
de Espaa.
2. Mtodo sistemtico para el anlisis de riesgos, que
facilita su evaluacin y tratamiento, con el objeto de
mantenerlo bajo control.
Marco Metodolgico
Estudio de Proyecto factible, apoyado en la
investigacin monogrfica, documental y de
campo.
N
a
t
u
r
a
l
e
z
a

d
e

l
a

i
n
v
e
s
t
i
g
a
c
i

n

Marco Metodolgico
Evaluar la situacin actual del CTIC, en
cuanto a Seguridad de la Informacin,
determinando su Nivel de Madurez en base
al cumplimiento de las clusulas de seguridad
de la norma ISO/IEC 27002:2005.
(7 clusulas y 43 controles)
O
b
j
e
t
i
v
o
s

d
e
l

D
i
a
g
n

s
t
i
c
o

Marco Metodolgico
C
o
n
c
l
u
s
i
o
n
e
s

d
e
l

D
i
a
g
n

s
t
i
c
o

1. Los controles existen, pero no se gestionan.
2. El xito es una cuestin de azar.
3. Se exceden con frecuencia el presupuesto y el
tiempo de respuesta.
4. El xito depende de personal de alta calidad.
El Plan de Seguridad de la Informacin del CTIC
no es eficaz en el control de Incidentes de
Seguridad
Marco Metodolgico
F
a
c
t
i
b
i
l
i
d
a
d

O
p
e
r
a
t
i
v
a

1. Existe una muy buena disposicin, por parte de la
Jefatura del Centro, para mejorar la Seguridad del
CTIC.
2. Tanto el personal del CTIC como sus usuarios,
tienen experiencia en el rea de computacin y
estn familiarizados con los aspectos de la
seguridad tecnolgica.
Marco Metodolgico
F
a
c
t
i
b
i
l
i
d
a
d

T

c
n
i
c
a

1. La norma ISO/IEC 27001:2005 es un modelo deta-
llado, el cual especifica las etapas que se deben
cumplir para la implantacin de un SGSI.
2. El Decanato de Ciencias y Tecnologa cuenta con
personal capacitado para liderar el proyecto.
3. El CTIC cuenta con el equipo informtico adecua-
do para el desarrollo del proyecto.
Marco Metodolgico
F
a
c
t
i
b
i
l
i
d
a
d

E
c
o
n

m
i
c
a

1. Programas de ayuda econmica que apoyan los
desarrollos tecnolgicos, tales como el CDCHT y
los proyectos LOCTI.
2. Existencia de metodologas y herramientas gratui-
tas para llevar a cabo la instalacin y operacin
de un SGSI, como por ejemplo: EBIOS, MAGERIT
e ISO27001.

Propuesta del Estudio
Establecimiento del SGSI para el CTIC
en base a la norma internacional
ISO/IEC 27001:2005
Bases Tericas
Definicin del Alcance del SGSI.
Definicin de una Poltica SGSI.
Definicin del enfoque de Evaluacin de
Riesgos.
Identificacin de Riesgos.
Anlisis y Evaluacin del Riesgo.
Opciones para el Tratamiento del Riesgo.
Seleccin de Objetivos de Control y Controles.
Aprobacin para los riesgos residuales.
Autorizacin para implementar y operar el SGSI.
Preparacin del enunciado de aplicabilidad
(SOA).
M
e
t
o
d
o
l
o
g

a


Marco Metodolgico
R
e
s
u
l
t
a
d
o
s

d
e
l

D
i
a
g
n

s
t
i
c
o

Marco Metodolgico
R
e
s
u
l
t
a
d
o
s

d
e
l

D
i
a
g
n

s
t
i
c
o

D
e
f
i
n
i
c
i

n

d
e
l

A
l
c
a
n
c
e


d
e
l

S
G
S
I
.

D
e
f
i
n
i
c
i

n

d
e

l
a

P
o
l

t
i
c
a


d
e
l

S
G
S
I
.

I
d
e
n
t
i
f
i
c
a
c
i

n

d
e

R
i
e
s
g
o
s

I
d
e
n
t
i
f
i
c
a
c
i

n

d
e

A
c
t
i
v
o
s

Propuesta de Estudio
E
n
f
o
q
u
e

d
e

E
v
a
l
u
a
c
i

n

d
e
l

R
i
e
s
g
o

1. Riesgo Inicial aceptado: 15%
Propuesta del Estudio
I
d
e
n
t
i
f
i
c
a
c
i

n

d
e

R
i
e
s
g
o
s

C
l
a
s
i
f
i
c
a
c
i

n

d
e

A
c
t
i
v
o
s

C
a
t
e
g
o
r

a

Servicios.
Datos e Informacin.
Equipamiento.
Aplicaciones.
Soporte de Informacin.
Equipamiento Auxiliar.
Instalaciones.
Personal
Propuesta del Estudio
I
d
e
n
t
i
f
i
c
a
c
i

n

d
e

R
i
e
s
g
o
s

V
a
l
o
r

p
r
o
p
i
o

d
e
l

A
c
t
i
v
o

I
d
e
n
t
i
f
i
c
a
c
i

n

d
e

R
i
e
s
g
o
s

C
a
t

l
o
g
o

d
e

A
c
t
i
v
o
s

I
d
e
n
t
i
f
i
c
a
c
i

n

d
e

R
i
e
s
g
o
s

I
d
e
n
t
i
f
i
c
a
c
i

n

d
e

A
m
e
n
a
z
a
s

Propuesta del Estudio
I
d
e
n
t
i
f
i
c
a
c
i

n

d
e

R
i
e
s
g
o
s

D
e
t
e
r
m
i
n
a
c
i

n

d
e
l

R
i
e
s
g
o

Activo/Vulnerabilidad Amenaza/Frecuencia
Activo degradado
RIESGO
Riesgo = Valor_Activo x Degradacin x Frecuencia
Tablas de valor para Degradacin y
Frecuencia
Bases Tericas
D
e
t
e
r
m
i
n
a
c
i

n

d
e
l

R
i
e
s
g
o

N
i
v
e
l

d
e

P
r
o
b
a
b
i
l
i
d
a
d

d
e

R
i
e
s
g
o

Herramienta que facilita las tareas de Anlisis y Gestin
del Riesgo.
Desarrollada por especialistas en la materia.
Configurada como una hoja de clculo.
NPR = Riesgo x Probabilidad_Gestin
TABLAS DE VALOR
Propuesta del Estudio
A
n

l
i
s
i
s

y

E
v
a
l
u
a
c
i

n


d
e
l

R
i
e
s
g
o
s

1. Total de Amenazas y Riesgos Detectados: 64
2. Total de Riesgos con NPR en ROJO: 3
3. Total de Riesgos con NPR en AMARILLO: 12
4. Total de Riesgos con NPR en VERDE: 7
5. Total de Riesgos con NPR en GRIS: 42
Resumen:
Propuesta del Estudio
O
p
c
i
o
n
e
s

p
a
r
a

e
l

T
r
a
t
a
m
i
e
n
t
o

d
e
l

R
i
e
s
g
o

Aceptar el riesgo con NPR de hasta 15%
Aplicar controles para los riesgos no
aceptados
Se seleccionan:
Propuesta del Estudio
S
e
l
e
c
c
i

n

d
e

C
o
n
t
r
o
l
e
s


Para cada Riesgo identificado se
proponen uno o ms controles de
la Norma ISO/IEC 27002:2005.

Propuesta del Estudio
E
n
u
n
c
i
a
d
o

d
e

A
p
l
i
c
a
b
i
l
i
d
a
d

Es un documento que tiene como finalidad la
observancia de todos los controles de
seguridad propuestos en la norma, con la
justificacin de su inclusin o exclusin,
segn sea el caso.
Conclusiones
Madurez del SGSI actual del CTIC: Nivel
L1 (Inicial).
Cumplimiento de los controles
propuestos en la norma ISO/IEC 27002 :
42.69 %
Reduccin del Nivel de Riesgo al
implantar los controles propuestos:
Menor a 23 puntos.
Recomendaciones
Tomar acciones inmediatas para gestionar
los Riesgos con un NPR en ROJO.
Establecer formalmente el SGSI propuesto.
Designar una persona encargada para la
Seguridad de la Informacin del CTIC
Implementar el Plan propuesto para el
Tratamiento de los Riesgos detectados.
Una vez ganada experiencia, aplicarlo a
otras unidades de la universidad.
Recomendaciones
Profundizar en el desarrollo de la
herramienta AGR utilizando Sistemas
Expertos.
Profundizar el estudio de mtricas y
tcnicas para la determinacin de la
eficacia de un SGSI.
Promover la ctedra de Seguridad de la
Informacin en el programa de Ingeniera en
Informtica.
Confeccionar una metodologa SGSI para la
universidad.
No hay seguridad total sino
seguridad gestionada.