Proceso de implantacin de un Sistema de Gestin de

Seguridad de la Informacin
Luis Miguel Calua Daz
1

1
Ingeniera de Sistemas, Universidad Nacional de Cajamarca, Cajamarca, Per
lmcaluad@unc.edu.pe

Resumen. La gestin de la seguridad de la informacin es un factor cada vez
ms determinante en la competitividad de las organizaciones. La gestin del
riesgo y el aseguramiento de la informacin se apoyan en la aplicacin de
normas internacionales como el estndar ISO/IEC 27001. La proteccin de los
sistemas de informacin es un problema importante que enfrentan las
organizaciones. La aplicacin de una poltica de seguridad se considera esencial
para la gestin de la seguridad de los sistemas de informacin. La
implementacin de una seguridad de xito poltica en una organizacin, sin
embargo, no es una tarea sencilla y depende muchos factores. Este trabajo
explora el proceso implantacin de una poltica de seguridad. La perspectiva
empleado en este trabajo ilumina la naturaleza dinmica de la aplicacin de
polticas de seguridad y da a luz contextual factores que afectan su implantacin
exitosa.
Palabras Clave: ISO/IEC 27001, Seguridad de la Informacin, Auditora de Seguridad.
1 Introduccin
Las organizaciones hoy en da dependen en gran medida de los sistemas de
informacin basados en computadoras (IS) para una parte vital de su funcionamiento.
Se comprender la informacin que es de ser almacenado, o de cualquier manera
procesada por una organizacin, el hardware y el software que constituye la
configuracin de los sistemas informticos, un contexto social sistema que est
formado por las acciones y las relaciones entre los usuarios de SI, as como un
conjunto de procedimientos que orientar las acciones de los usuarios [1]. Bajo esta
perspectiva, IS no slo tienen una parte tcnica, sino tambin una social, dimensin.
Ests son de gran importancia para las organizaciones a travs de una amplia gama de
sectores econmicos. En consecuencia, su correcto funcionamiento y sin obstculos
operacin es un tema crtico que ha atrado la atencin de ambos es la investigacin y
la prctica.
Informacin de gestin de la seguridad de sistemas es una corriente de las
actividades de gestin que tienen como objetivo proteger a la SI y crear un marco en
el que documento, el IS opera como se esperaba por la organizacin (Eloff y von
2
Solms, 2000). Es gestin de la seguridad tiene como objetivo minimizar los riesgos
que enfrentan los sistemas de informacin en su funcionamiento e incluye un nmero
de diferentes fases: aplanningphase, animplementation fase, durante la cual los planes
de seguridad se ponen a la accin y anassessmentorauditphase (Dhillon, 1997; Bjrck,
2001). Finalmente, el objetivo de desarrollar tareas seguridad proporcionan
awarenessand securitytraining andeducationare tambin incluido en la seguridad es
agenda de gestin (Trompeter y Eloff, 2001).
La aplicacin de una poltica de seguridad IS es uno de los principales
mecanismos empleados por la seguridad es gestin [2]. Una es la poltica de seguridad
incluye la intenciones y prioridades con respecto a la proteccin de la SI, por lo
general se hace referencia como la seguridad objetivos, junto con una descripcin
general de los medios y mtodos para lograr estos objetivos [3]. La formulacin de
una poltica de seguridad es una tarea multifactica de importancia crtica (Hone y
Eloff, 2002a) y debe combinar tcnica y medidas organizativas que abordan la
seguridad requisitos para proteger no slo a los componentes de la SI, sino tambin su
funcionalidad global (Karyda et al., 2001).
A pesar de que la implantacin y el uso de una poltica de seguridad es una
prctica comn y que organizaciones dedican importantes recursos a las actividades
de gestin de la seguridad, que es un lugar comn que demasiado a menudo la
aplicacin de una poltica de seguridad no lograr sus metas [4]. La formulacin de una
poltica de seguridad efectiva puede ser muy exigente y actividad complicada. Aunque
la orientacin para la formulacin de una poltica de seguridad est ampliamente
disponible (por ejemplo, normas de gestin de la seguridad de la informacin, mejor
prcticas, etc), hay un fuerte escepticismo de tanto IS investigadores de seguridad y
profesionales hacia el uso y la eficacia de la seguridad polticas (Hone y Eloff,
2002b). Una variedad de razones y explicaciones se han propuesto para explicar la
falta de eficacia en el uso de IS polticas de seguridad, incluyendo que los controles de
seguridad menudo constituyen una "barrera para el progreso" y que polticas de
seguridad son muy propensos a ser eludidas por los empleados en su esfuerzo para
llevar a cabo de manera eficiente sus tareas (Wood, 2000). Otras explicaciones que se
han propuesto reconocer el hecho de que, en Para ser eficaz, una poltica de seguridad
debe IS cumplir con los requisitos especficos de seguridad y objetivos que dependen
de la organizacin especfica y su entorno [5]. Considerando que los objetivos de
seguridad de las entidades individuales (por ejemplo, servidores, estaciones de trabajo,
archivos y redes) puede ser similar en diferentes organizaciones, sin embargo, no hay
solucin de seguridad nica, ni una sola poltica de seguridad que puede adaptarse a
todas las organizaciones (Whitman et al., 2001).
Este trabajo intenta llenar este vaco mediante el estudio de la formulacin,
implementacin y adopcin de las polticas de seguridad en relacin con el especfico
contexto en el que tienen lugar. A continuacin, nuestros hallazgos y conclusiones
generales derivadas desde ambos casos se resumen y, en el ltimo de seccin,
consideraciones generales e indicaciones para la futura la investigacin se presentan.

3
2 Sistema de Gestin de Seguridad de la Informacin (SGSI)
2.1 Conceptos Bsicos Relacionados con SGSI
En trminos generales, es natural hablar de varios conceptos bsicos tales como el
riesgo, los activos, la amenaza, vulnerabilidad, impacto, sistema de informacin, la
seguridad del sistema de informacin, evaluacin de riesgos. Y algunos core
conceptos son como sigue:
La Seguridad Para muchas empresas es clave la proteccin de la informacin en
trminos de:
Disponibilidad: la informacin debe estar disponible en forma oportuna cuando es
requerida.
Integridad: debe asegurarse la exactitud y completitud de la informacin y los
mtodos de procesamiento.
Confidencialidad: solo los usuarios autorizados pueden tener acceso a la
informacin relevante
Sistema de Informacin Es un concepto estricto de un sistema de informacin,
que se refiere a la sistema basado en ordenador. Es un conjunto orgnico de
instalaciones como los seres humanos, las normas, bases de datos, hardware y
software, herramientas y entorno de ejecucin [6]. Se destaca la aplicacin de
ordenador y tecnologa de la comunicacin en red. Dos niveles de significados se
incluyen en el sistema de informacin.
Seguridad del Sistema de Informacin El propsito de la informatizacin es para
completar la operacin misin al sistema de informacin. Al mismo tiempo, el
sistema de informacin se basa en su constitucin elementos e informacin en el
proceso de consecucin de misin de la organizacin [7]. En una palabra, la
informacin la seguridad del sistema se puede utilizar en elementos de sistema de
informacin de coordinacin y lograr sistema de informacin de misin.

2.2 Uso de SGSI
La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una organizacin. La confidencialidad, integridad y
disponibilidad de informacin sensible pueden llegar a ser esenciales para mantener
los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial
necesarios para lograr los objetivos de la organizacin y asegurar beneficios
econmicos.
Las organizaciones y sus sistemas de informacin estn expuestos a un nmero
cada vez ms elevado de amenazas que, aprovechando cualquiera de las
vulnerabilidades existentes, pueden someter a activos crticos de informacin a
diversas formas de fraude, espionaje, sabotaje o vandalismo [8]. Los virus
informticos, el hacking o los ataques de denegacin de servicio son algunos
ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de sufrir
incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la
4
propia organizacin o aquellos provocados accidentalmente por catstrofes naturales y
fallos tcnicos.
El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las
condiciones variables del entorno, la proteccin adecuada de los objetivos de negocio
para asegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades de
negocio, son algunos de los aspectos fundamentales en los que un SGSI es una
herramienta de gran utilidad y de importante ayuda para la gestin de las
organizaciones.
El modelo de gestin de la seguridad debe contemplar unos procedimientos
adecuados y la planificacin e implantacin de controles de seguridad basados en una
evaluacin de riesgos y en una medicin de la eficacia de los mismos. [9]
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer
estas polticas y procedimientos en relacin a los objetivos de negocio de la
organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel
de riesgo que la propia organizacin ha decidido asumir.

2.3 SGSI Y Normativas
Los Sistemas de Gestin de la Seguridad de la Informacin estn asociados a la
normativa ISO/IEC 27001, que es un estndar de seguridad internacionalmente
reconocido y se enmarca dentro de una serie de estndares conocidos como la familia
27000.

3 Metodologa Implantacin de un SGSI
3.1 Por qu implantar un SGSI?
Un SGSI permite dotar y mantener seguridad, sobre la informacin que maneja la
organizacin [10]. Si adems se certifica con el estndar ISO/IEC 27001, ofrece una
ventaja competitiva.
En esta seccin se describe la metodologa propuesta para la implantacin de un
SGSI, concentrndonos en la etapa de planificacin del modelo PDCA (Plan Do
Check Act), definido en la norma ISO/IEC 27001.

3.2 Ciclo Deming
Para establecer y gestionar un Sistema de Gestin de la Seguridad de la
Informacin en base a ISO 27001:2005, se utiliza el ciclo continuo PDCA, tradicional
en los sistemas de gestin de la calidad.

5


Fig. 1. Artifacts empowered by Artificial Intelligence (Source: LNCS 5640, p. 115)

Table 1. Relacin de elementos de control y las clases de proteccin a la norma ISO/IEC
17799:2001 (E).
ISO/IEC 17799-2001(E)
1. Polticas de Seguridad
2. Organizacin de la Seguridad de la Informacin
3. Seguridad Fsica y Ambiental
4. Informtica y gestin de redes
5. Control de Acceso
6. Desarrollo y Mantenimiento de Sistemas
7. Gestin de la Continuidad del Negocio
8. Cumplimiento
9. Seguridad de los Recursos Humanos
10. Gestin de Activos y Control


References
1. L. W. Dai Zongkun, Information systems security, China: Publishing house of
electronics industry, 2002.1.
2. Ren-Wei, A: The certification of the information. Web.
http://www.sciencedirect.com/science/article/pii/S0963868714000055 (2003).
Accedido el 19 de Septiembre de 2014.
3. security management systems
4. Karida, M; Kiountouzis, E: The certification of the information. Web.
http://www.sciencedirect.com/science/article/pii/ S0167404804002378 (2004).
Accedido el 19 de Septiembre de 2014.
6
5. Webb, J; Ahmad, A; Maynar, S: Model for information security risk management.
Web. http://www.sciencedirect.com/science/article/pii/S0167404814000571
(2003). Accedido el 19 de Septiembre de 2014.
6. Farm, K; Lin, S; Fung, A: A study on information security management system
evaluationassets, threat and vulnerability. Web.
http://www.sciencedirect.com/science/article/pii/ S1053482212000538 (2003).
Accedido el 19 de Septiembre de 2014.
7. Ozkan, S; Karabacak, B: Collaborative risk method for information security
management practices. Web. http://www.sciencedirect.com/science/article/pii/
S0268401210001222 (2010). Accedido el 19 de Septiembre de 2014.
8. Bhaskar, R; Kapoor, B: Information Technology Security Managemen. Web.
http://www.sciencedirect.com/science/article/pii/B9780124166882000039 (2008).
Accedido el 19 de Septiembre de 2014.
9. Trcek, D: An integral framework for information systems security management.
Web. http://www.sciencedirect.com/science/article/pii/ S0167404803004139
(2003). Accedido el 19 de Septiembre de 2014.
10. Zhiwei, Y; Zhongyuan, J: The Evolution of Risk Evaluation for Information
Systems Security. Web.
http://www.sciencedirect.com/science/article/pii/S1876610212005760 (2003).
Accedido el 19 de Septiembre de 2014.