Está en la página 1de 17

TTULO

DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN EN BASE


A ISO 27001

TITLE
DESIGNING A MANAGEMENT SYSTEM INFORMATION SECURITY BASED ON ISO 27001

ING. ANIBAL RUBEN MANTILLA GUERRA, MSc.


Quito, Ecuador
RESUMEN
En este trabajo, se presenta el Diseo de un Sistema de Gestin de Seguridad de la Informacin,
tomando como referencia de calidad, a la norma ISO 27001. En la seccin 1 se estudian
conceptos fundamentales que deben conocerse antes de abordar el proceso de diseo, estos
refieren a: Seguridad Informtica, Sistema de Gestin de Seguridad de la Informacin, ISO 27001.
La seccin 2, presenta la Metodologa para el Diseo del Sistema de Gestin de Seguridad de la
Informacin con ISO 27001; y por su especial trasncerdencia para la Organizacin, se estudia de
forma separa y detallada, la Metodologa para la Gestin de la Continuidad de la Operaciones.
Una vez que se ha diseado un Sistema de Gestin de Seguridad de la Informacin en base a la
norma ISO 27001, se procede a validarlo mediante la aplicacin a un caso de estudio, los
resultados de dicha aplicacin son presentados en al seccin 3. El caso de estudio escogido es
una Cooperativa de Ahorro y Crdito, misma que no se identifica por razones de seguridad.
ABSTRACT
In this paper, it present the design of a Management System of Information Security, quality with
reference to ISO 27001. In Section 1 it study fundamental concepts that should be known before
boarding the design process, these relate to: Information Security Management System of
Information Security, ISO 27001. Section 2 presents the methodology for Design Management
System Information Security with ISO 27001 and its special trasncerdencia for the Organization, is
studied and detailed separates, the Methodology for Management Continuity operations. Once
designed a Management System Information Security based on ISO 27001, proceed to validate it
by applying to a case study, the results of this application are presented in the section 3. The case
study chosen is a Savings and Credit Cooperative, it is not identified for security reasons.

PALABRAS CLAVES
SEGURIDAD INFORMATICA, SISTEMA DE GESTION, ISO 27001
KEYWORDS
INFORMATION SECURITY, MANAGEMENT SYSTEM, ISO 27001

INTRODUCCIN
Manifestar que la seguridad de la informacin en ltima instancia busca la integridad,
confiabilidad, disponibilidad, y no repidio de la misma, es puntual y preciso, sin embargo una
expresin de esta naturaleza, no permitira posiblemente alcanzar la profundad y extensin que
requiere este tema. Resulta por tanto ms adecuado, indicar algunos de los efectos que la falta de
la seguridad informtica pueden causar, por ejemplo, catstrofes aereas, colapso de sistemas de
semaforizacin, incapacidad para operar sistemas de manufactura computarizados, millones de
personas afectadas por ataques a Sistemas Financieros, incapacidad de estados para poder
defenderse de ataques militares, ciudades sin energa elctrica. Estos son ejemplos de siniestros
con alto nivel de severidad en el impacto del ataque, debido entre otros, a la falta de seguridad en
la informacin. Pudiera pensarse en escenarios de catstrofe con un nivel severidad menor, como
por ejemplo la prdida de una memeria flash, o quiz la prdida de una computadora; sin
embargo, dependiendo de la informacin contenida en ellas, y de la forma en que ayudan a
soportar los procesos vitales de una organizacin, cualquiera de estas dos prdidas pudiera
resultar enorme catstrofe para la organizacin.
El riesgo al que est expuesta una organizacin, depende de la probabilidad de que las amenazas
exploten sus vulnerabilidades y debilidades. En un tiempo en que el gobierno electrnico, el
comercio electrnico, y muchsimas otras actividades de la civilizacin actual, dependen del uso
Tecnologas de la Informacin y Comunicacin, resulta de extremo riesgo operar sin Sistemas de
Gestin de Seguridad de la Informacin, pues atacantes organizados con equipos de alta
tecnonolgia y elevado conocimiento podran hacer de las suyas. Pero no se debe pensar que solo
ese tipo de atacantes pueden constituir una amenaza, tambin lo son los empleados de una
organizacin que no manejan adecuadamente la informacin o que salieron resentidos de la
misma y buscan ahcer dao. Tambin hay la probablidad de fallos elctricos, terremotos,
incendios, erupciones volcnicas, vandalismo, entre otros.
La norma ISO 27001, estndar certificable, plantea el marco de referencia para poder establecer
un Sistema de Gestin de Seguridad de la Informacin basado en procesos, y con el enfoque de
de calidad basado en la planificacin, ejecucin, monitoreo y correccin, a travs de la mejora

continua. La Subsecretara de Tecnologas de Informacin, presenta a la Norma NTE INEN


ISO/IEC 27001, com,o estndar aprobado y vigente desde el 2010 para la Seguridad de la
Informacin. Al momento de realizar la introduccin de este artculo, se encuentran certificadas
con ISO 27001, alrededor de todo el mundo, un total de 7940 organizaciones, de las cuales
apenas 2 son ecuatorianas. Se espera que con un acercamiento a los Sistemas de Gestin de
Seguridad de la Informacin, y a la ISO 27001, el lector de este artculo pueda desarrollar sus
actividades con mayor seguridad, y coadyuvar de esta manera, al desarrollo de la Patria.

1.

MARCO CONCEPTUAL

1.1 SEGURIDAD INFORMTICA


La seguridad informtica en una organizacin, es el conjunto de mecanismos implantados que
garantizan la confidencialidad, integridad, no repudio, y disponibilidad de la informacin y los
recursos relacionados con ella.
La seguridad del sistema informtico depende de varios factores, entre ellos, se pueden
mencionar los siguientes:
-

Recursos para la seguridad informtica.

Conocimientos y capacidades de los responsables del sistema informtico

Mentalizacin y formacin de todos los usuarios del sistema.

Instalacin, configuracin y mantenimiento del los equipos.

Soporte tcnico de los fabricantes de hardware y software

Los factores que pueden afectar a la seguridad informtica, se clasifican en: Tcnico, Humano,
Organizativo, Legal.
Las consecuencias de la falta de seguridad informtica que afronta una organizacin, dependen
de la naturaleza de la misma, sus actividades y su volumen de sus operaciones; sin embargo,
deben considerarse consecuencias comunes a todas las organizaciones, entre ellas:
-

Conflictos sociales y laborales con la consiguiente disminucin del rendimiento laboral

Cese de transacciones, retraso en entregas, interrupciones en procesos productivos

Incumplimiento de contratos, prdida de oportunidades de negocio, deterioro de la imagen

Extorsiones y secuestros

Daos a la salud y prdida de vidas humanas

El riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad, la cual
no es sino, cualquier debilidad asociada a los activos de informacin, mientras que la amenaza es
cualquier evento accidental o intencionado que pueda ocasionar algn dao en el sistema
informtico.
En consecuencia, un activo de informacin se encuentra en riesgo, cuando una amenaza
explota una vulnerabilidad.
Entre otras amenazas a la seguridad informtica, pude considerarse la accin de hackers,
crackers, ex empleados y personal interno de una organizacin. Las motivaciones de los
atacantes pueden ser tan variadas que pueden responder

a circunstancias econmicas,

ideolgicas, sicolgicas (como por ejemplo bsqueda de autorrealizacin, reconocimiento social,


diversin), una combinacin de las anteriores, o quiz alguna diferente. Sin embargo, es posible
establecer los tipos de ataque ms comunes, estos se listan a continuacin:
-

Deteccin de vulnerabilidades de los sistemas

Robos de informacin mediante la interceptacin de mensajes

Modificacin del contenido y secuencia de los mensajes

Suplantacin de identidad

Modificacin del trfico y de las tablas de enrutamiento

Conexin no autorizada a equipos y servidores

Introduccin de malware

Fraudes, engaos y extorsiones

Denegacin de servicio

Dentro del mbito de la seguridad informtica, el factor humano es el elemento ms dbil, por ello
es necesario analizar su rol con los sistemas y redes informticas de la organizacin. El principio
bsico es que todas las soluciones informticas implantadas por la organizacin

(firewall,

antivirus, servidores Proxy, planes, polticas), pueden resultar intiles ante el desconocimiento, la
falta de informacin, desinters o nimo de causar dao por parte de algn empleado. Muchos
empleados con acceso a Internet en la organizacin, tienden a hacer un mal uso del mismo,
pudiendo incluso perjudicar a la organizacin.
Es comn, que en las organizaciones se establezcan procesos, normativas y controles, que
intentan ser soluciones tecnolgicas y de gestin, para enfrentar los problemas de seguridad
informtica; pero en muy pocos casos se realiza esta actividad siguiente un enfoque sistmico en

la organizacin. En la siguiente tabla se presentan las acciones tecnolgicas y de gestin ms


usualmente implementadas.

TABLA 1

Acciones tpicamente utilizadas para resolver problemas de seguridad

ACCIONES TECNOLOGICAS Y DE GESTION PARA ENFRENTAR


LOS PROBLEMAS DE SEGURIDAD INFORMATICA
Limitacin de los servicios a Internet
Posibilidad de revisin del correo electrnico

Antivirus
Servidores de autenticacin

del empleado
Acceso al ordenador de un trabajador, sus

Gestores de contraseas

archivos y sus carpetas


Bloqueo de direcciones web
Asignacin de permisos de acceso en
funcin del perfil del usuario
Seguridad frente a egreso e ingreso de los
empleaos a la organizacin
Adquisicin de productos
Relacin con proveedores
Seguridad fsica de las instalaciones
Auditoria de la gestin de la seguridad
Proteccin de equipos e instalaciones
Control de equipos que pueden salir de la
organizacin
Copias de seguridad
Identificacin y autenticacin de usuarios
Seguridad en el desarrollo, implantacin y
mantenimiento de aplicaciones informticas

1.2

Centros de respaldo de datos

Implantacin de sistemas biomtricos


Firma electrnica
Protocolos criptogrficos
Servidores Proxy
Cortafuegos (firewall)
Zona desmilitarizada
Sistemas redes seuelos
Vigilancia de la red
Sistemas de deteccin de intrusos
Control de emisin electromagntica
Analizadores de registro de actividad

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

Muchas organizaciones creen tener sistemas eficientes y eficaces para proteger y asegurar la
informacin, poseen controles y medios para aplicar estos controles, sin embargo los aplican solo
cuando aparecen problemas de seguridad; de manera que actan solo de forma reactiva, no
proactiva, y an ms sin tener un enfoque claro y bien estructurado de un sistema para gestionar
la seguridad de la informacin. Para toda organizacin, es fundamental contar con un sistema de
gestin de seguridad de la informacin, que acte tanto en forma proactiva como reactiva, y que

adems al momento de aplicarlo no resulte caduco. Para poder ejecutar procesos de seguridad de
la informacin, es necesario saber qu debe ser protegido, de qu debe ser protegido, y cmo
debe ser protegido.
Un sistema en el que se pueden integrar los

factores humano, legal, tecnolgico,

organizacional, con todos los requerimientos y objetivos institucionales, recibe el nombre de


SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN, conocido por sus siglas como
SGSI. Este sistema es parte del sistema de gestin global de la empresa, basado en un enfoque
del riesgo de la organizacin, que tiene por finalidad establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la informacin.
El sistema de gestin de seguridad de la informacin incluye a la estructura de la organizacin, las
polticas, las actividades de planificacin, las responsabilidades, las prcticas, los procedimientos,

1.3

NORMA ISO 27001

La Norma ISO 27001, es un estndar

desarrollado como modelo para el establecimiento,

implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora de un SGSI para


cualquier tipo de organizacin. Permite disear e implantar un SGSI, se encuentra influenciado
por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados, el tamao,
los sistemas de soporte y la estructura de la organizacin. Su origen es britnico, fue en 1995 el
BS 7799-1: 1995, hasta que, en el ao 2005, la Organizacin Internacional para la Normalizacin
(ISO) la oficializ como norma. Esta norma puede ser aplicada a todo tipo de organizaciones,
tanto por su tamao como por su actividad.
Dada la importancia que tiene un SGSI para las empresas, en Ginebra, donde se encuentra la
sede de ISO, se ha establecido la necesidad de hacer las revisiones a las normas, cada cinco
aos, para decidir las posibles modificaciones. As, se ha creado la familia ISO 27000, en la que
se encuentra la norma ISO 27001:2005, estndar certificable, el cdigo de buenas prcticas IS0
27002:2007, la gua para implantacin ISO 27003:2008, entre otras.
Esta norma (ISO 27001), acta bajo el enfoque de procesos. La aplicacin de un sistema de
procesos, dentro de la organizacin, junto con la identificacin y las interacciones de estos
procesos, as como su gestin, puede denominarse como enfoque basado en procesos.
El enfoque basado en procesos para la gestin de la seguridad de la informacin presentado en
esta norma, enfatiza a los usuarios, la importancia de:
A) Comprender los requisitos de seguridad de la informacin de una organizacin y la necesidad

de establecer la poltica y objetivos para la seguridad de la informacin.


B) Implementar y operar controles para dirigir los riesgos de seguridad de la informacin de una
organizacin en el contexto de los riesgos globales del negocio de la organizacin
C)

Realizar seguimiento y revisar el desempeo y la eficacia del SGSI; y

D)

Mejorar el sistema de forma continua en base a mediciones objetivas.

Esta Norma adopta el modelo "Planificar, Hacer, Verificar, Actuar" (PHVA), el cual se aplica para
estructurar todos los procesos del SGSI, y tiene por objeto: establecer, gestionar y documentar el
SGSI, responsabilizando a la Direccin, incluso en el monitoreo, auditoria y mejoramiento
continuo.
Los objetivos de control y sus controles respectivos (anexo A - normativo de la norma ISO 27001)
enfocan la Seguridad de la Informacin a travs de 11 reas fundamentales para toda
organizacin. Estas reas fundamentales de control se muestran en la siguiente figura, que
adems incluye a los objetivos finales de la seguridad de la informacin, que son: la disponibilidad,
la confidencialidad, la integridad, y el no repudio.

FIGURA 1

Enfoque de los controles de la norma ISO 27001

Fuente: www.nexusasesores.com

2.

METODOLOGIA PARA EL DISEO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA


INFORMACION CON ISO 27001

2.1

METODOLOGIA PARA EL ESTABLECIMIENTO Y GESTION DEL SGSI

Para llegar a establecer y gestionar el SGSI, se debe ejecutar un proceso metodolgico, cuyos
subprocesos se listan a continuacin:
A)

Definir el alcance y los lmites del SGSI

B)

Definir la poltica para el SGSI

C)

Definir el enfoque para la evaluacin del riesgo

D)

Identificar, analizar y evaluar los riesgos

E)

Identificar y evaluar las opciones para el tratamiento del riesgo, incluyendo

al riesgo

residual
F)

Seleccionar los objetivos de control para el tratamiento del riesgo

G)

Obtener la aprobacin de los riesgos residuales por la direccin

H)

Obtener la autorizacin de la direccin para implementar y operar el SGSI

I)

Preparar una declaracin de aplicabilidad

En atencin especial al literal (D), dada la importancia y la sensibilidad del subproceso de


identificacin, anlisis y evaluacin de los riesgos, es necesario ejecutar

una secuencia de

actividades que permitan alcanzar un resultado objetivo y confiable. La siguiente lista presenta
estas actividades:
-

Identificacin de activos de informacin

Tasacin de activos de informacin

Identificacin de amenazas y posibilidades de ocurrencia

Identificacin de vulnerabilidades y posibilidades de ser explotadas por las amenazas

Estimacin de la exposicin al riesgo de los activos de informacin

Priorizacin de las amenazas por su exposicin al riesgo

Al momento de tratar el riesgo, se debe considerar que solo hay 4 posibilidades para tratarlo,
estas son: Reducirlo, Aceptarlo, Transferirlo, Evitarlo. Se debe tomar en consideracin, que

sea cual fuere la decisin para tratar el riesgo, siempre existir el riesgo residual, que es aquel
que queda, despus de implantar el plan de tratamiento. Este riesgo puede ser crtico y difcil de
calcularlo.
2.2

METODOLOGIA PARA LA GESTION DE LA CONTINUIDAD DE LAS OPERACIONES

Al analizar los hechos ocurridos el 11 de septiembre del 2001 con la torres gemelas, fue posible
establecer que muchas organizaciones desaparecieron para siempre, otras reanudaron sus
operaciones con muchas dificultades al cabo de varios das, semanas y meses ms tarde. Varias
de ellas nunca se recuperaron plenamente, y sin embargo, otras operaron con casi total
normalidad al cabo de varias horas y das. Esta rotunda diferencia, se debi no solo a que varias
organizaciones contaban con un Sistema de Gestin de Seguridad de la Informacin, sino que
disponan adems, de un Plan para la Continuidad de las Operaciones.
Las organizaciones pueden contar con alta tecnologa, sistemas de gestin ante problemas de
seguridad informtica, personal altamente capacitado, pero si no estn preparadas para afrontar
eventos que ponga en riesgo la continuidad de sus operaciones, simplemente pueden
desaparecer ante siniestros. El Plan de Continuidad de las Operaciones debe ser considerado en
cinco fases secuenciales distribuidas en actividades como se muestra en la siguiente figura:
entregables

FASE I
Gestionar el Riesgo

entregables

Impacto al Negocio
Procesos crticos,
operacionales y
financieros
Requerimientos de
recuperacin

FASE IV
Desarrollar
un Plan de
Continuidad del Negocio

Riesgo y Controles
Amenazas, exposiciones, niveles de riesgo y
controles.

FASE III
Desarrollar el plan
de reanudacin de
operaciones

Plan de Continuidad
del Negocio
Documentado

entregables

FASE II
Analizar el impacto
al negocio

Estrategia de Continuidad
Recursos crticos,
opciones, servicios y
mtodos de recuperacin

FASE V
Ensayar el Plan de
Continuidad de
Negocio

entregables
Plan de Continuidad
del Negocio
Validado

FIGURA 2 Fases para el Plan de Continuidad de Operaciones2

Fuente: Gestin del riesgo en el Business Continuity Planning, Alexander, P:hD

Por la trascendencia que tiene el Plan para la Continuidad de la Operaciones, a continuacin se


describen y detallan, cada una de las cinco Fases en que debe desarrollarse el Plan.
2.2.1 FASE I: GESTIONAR EL RIESGO
Las actividades de la gestin del riesgo evalan las amenazas de un desastre, pormenorizan las
vulnerabilidades existentes, los potenciales impactos de un desastre, identifican e implementan los
controles necesarios para prevenir o reducir los riesgos de un desastre y terminan identificando
escenarios de amenazas para aquellos procesos considerados esenciales en el BIA.
Un programa de PCN no slo debe atender la recuperacin de las instalaciones frente a un
desastre, sino tambin contemplar las acciones preventivas a que haya lugar. Para este propsito,
en todo programa de PCN, se debe efectuar con regularidad un clculo del riesgo que no slo
contemple la identificacin de amenazas significativas que afecten las operaciones de la empresa,
las vulnerabilidades y el grado de exposicin al riesgo, sino que igualmente es necesario
identificar los controles a instaurar para minimizar el dao del impacto de un posible desastre en la
empresa. La metodologa para la gestin del riesgo en un PCN, consta de varios pasos, los cuales
se muestran a continuacin:
-

Identificar las Amenazas

Identificar las Vulnerabilidades

Revisar los Controles Actuales y Mitigar el Riesgo

Calcular el Nivel de Exposicin al Riesgo

Determinar los Escenarios de Amenazas

2.2.2 FASE II: ANALIZAR EL IMPACTO AL NEGOCIO (BIA)


Consiste en identificar aquellos procesos relacionados con apoyar la misin de la empresa, y
analizar con muchos detalles los impactos en la gestin comercial del negocio, si esos procesos
fuesen interrumpidos como resultado de un desastre.

Es necesario analizar los impactos

financieros y operacionales de un desastre en la organizacin, sus reas y procesos. A


continuacin se presentan los pasos secuenciales a seguir en un proceso metodolgico:
-

Evaluar los impactos financieros

Evaluar los impactos operacionales

Identificar los procesos crticos

10

Establecer los tiempos de recuperacin

Identificar los requerimientos de recursos

Generar un informe del BIA

2.2.3

FASE III: DESARROLLAR ESTRATEGAS PARA EL PLAN DE

CONTINUIDAD

Aqu se evalan los requerimientos y se identifican las opciones para la recuperacin de procesos
crticos y sus recursos, en el escenario en que fuesen interrumpidos por un desastre.
Por cada escenario de amenazas se elaboran estrategias que contemplen los escenarios de
amenazas identificados.
El propsito de esta fase del proceso del PCN es desarrollar estrategias de continuidad del
negocio, que satisfagan los requerimientos de recuperacin identificados en la etapa del BIA, y en
los escenarios de amenazas.
El diseo de una estrategia de continuidad consiste de cuatro etapas secuenciales, estas son:
-

Identificacin de requerimientos de la recuperacin.

Identificacin de opciones de la recuperacin.

Evaluacin de disponibilidad del tiempo.

Fase D: Evaluacin de los costos.

2.2.4

FASE IV: DESARROLLAR EL PLAN DE REANUDACIN DE OPERACIONES

Basado en las fases previas, se establece los procedimientos y lineamientos concretos para la
recuperacin y el restablecimiento de los recursos daados, y los procesos cuyo desempeo se
ha interrumpido.
El objetivo del plan de reanudacin de operaciones es la recuperacin de procesos crticos en un
determinado tiempo.
Un plan de reanudacin de operaciones son una serie de actividades documentadas, que
pudiesen requerir desempearan los grupos de continuidad del negocio, como respuesta a la
aparicin de un escenario de amenazas. El plan de reanudacin de operaciones lleva a cabo las
estrategias de continuidad.
Se debe tener equipos de trabajo para la reanudacin de las operaciones, la estructura del equipo
es fundamental para ejecutar el plan, siendo los criterios ms lgicos para su efecto, los
siguientes:

11

Tamao de la organizacin,

Ubicacin de las instalaciones y unidades operativas,

Estructura organizacional,

Cultura organizacional,

Escenarios potenciales de amenazas,

Estrategias de continuidad,

Complejidad de los planes de continuidad del negocio,

Conocimiento especializado requerido.

2.2.5

FASE V: ENSAYAR EL PLAN DE CONTINUIDAD DE OPERACIONES

En esta fase se efecta el ensayo del plan, con miras a poder determinar su grado de precisin y
actualizacin. El valor de esta fase es ensayar el plan de reanudacin de operaciones para que
pueda considerarse aceptable.
La fase del ensayo tiene dos objetivos fundamentales:
-

Verificar si el plan de reanudacin de operaciones es adecuado y confiable para la


recuperacin del negocio dentro de un tiempo prudencial.

Identificar debilidades y brechas que pudiesen existir en el plan de reanudacin de


operaciones.

3.

APLICACIN DEL DISEO A UN CASO DE ESTUDIO

Para poder determinar y posteriormente analizar la situacin de la seguridad de la informacin en


la organizacin del caso de estudio de manera objetiva, fue necesario medir el nivel de seguridad
existente, tomando como marco de referencia a los 11 objetivos de control de la ISO 27001. A la
medida alcanzada en cada uno de los 11 aspectos evaluados se ha denomina Grado de
Cumplimiento.
Una vez que se proces toda la informacin a la que se tuvo acceso, en la Cooperativa de Ahorro
y Crdito, fue posible realizar un diagnstico cuyos resultados se presentan en la Tabla 3.1. Estos
resultados se presentan de forma grfica para facilitar su interpretacin.
En cada grfico de pastel, el rea de color azul muestra el grado de cumplimiento en referencia al
SGSI diseado; mientras que el rea blanca indica la brecha existente

con el grado de

cumplimiento deseado.

12

Todos los indicadores estn interrelacionaos entre s, ya que obedecen al enfoque sistmico y por
procesos, se determinan desde perspectivas diferentes pero complementarias. Como puede verse
en forma grfica, la Poltica de Seguridad de la Informacin que es la base fundamental para un
Sistema de Gestin de Seguridad de la Informacin, debe recibir especial atencin, pues el nivel
alcanzado es mnimo, al igual que indicadores como los de Gestin de Incidentes de seguridad,
Gestin para la Continuidad del negocio, y el Cumplimiento normativo.

Cobertura alcanzada en Gestin de la Seguridad de la Informacin por la CAC


Medida de la brecha existente con relacin al SGSI diseado para CAC

TABLA 2

Indicadores de la situacin actual de la CAC

13

Una vez que se han determinado los riesgos y su implicacin a la seguridad de la informacin de
la Cooperativa del Caso de estudio, se debi buscar la manera de tratar el riesgo. Para que esto
suceda, fue necesario que todos los elementos de la organizacin, es decir, personas, equipos,
instalaciones, procesos, tareas, documentos, y ms componentes de la misma, se alinearan a
directrices claras y bien documentadas, para enfocar la actividad de la seguridad de la informacin
de manera efectiva.

TABLA 3

Actividades a desarrollar en los diferentes mbitos del SGSI

AREA ORGANIZACIONAL
-

Definir polticas de seguridad

Clasificar la informacin

Incorporar

un

departamento

AREA PERSONAL
-

de la cooperativa
de -

seguridad informtica
-

Concientizar a los funcionarios y empleados


Capacitar al personal en uso seguro de los
servicios de internet

AREA TECNOLOGICA

Registrar e inventariar los accesos a


los sistemas informticos

Adaptar los sistemas de comunicacin

Adaptar contratos con proveedores

Adaptar la arquitectura de red

Elaborar un manual de seguridad

Estandarizar y actualizar el software

Contratar seguros

Gestionar incidentes de seguridad

Cumplir la normativa legal interna

Desarrollar Plan de Contingencias

Cumplir la normativa legal externa

AREA LEGAL

contra incendios

14

4.

DISCUSION

La ISO 27001 constituye por analoga con la ISO 9001, el estndar de calidad para la seguridad
de la informacin. Si bien es cierto que en la aplicacin del proceso de diseo a la Cooparativa de
ahorro y crdito del caso de estudio, se encontr que en dicha Cooperativa hay falencias y
debilidades en cuanto a la seguridad de la informacin, tambin es cierto que alcanzar los niveles
requeridos por la ISO 27001 para certificacin son realmente elevados, y que se necesita del
compromiso de la genrencia, inversin, arduo trabajo bien organizado, documentado, y
objetivamente alineado con las necesidades organizacionales. Un proceso de diseo e
implementacin de un Sistema de Gesti de Seguridad de la Informacin, inadecuadamente
desarrollado no solo que no mejora a la Organizacin, sino que le causa muchos problemas, que
incluso pudieran llegar a poner en riesgo su existencia. El manejo seguro de la informacin en
base a un estndar de calidad como Iso 27001, pudiera evitar que esta Coopetativa, y muchas
otras Instituciones Financieras, afronten problemas que conduzcan a cierres, salvatajes e
intervenciones, que afecten a millones de ecuatorianos, como ya ha sucedido en el Sistema
Financiero Nacional, produciendo prdidas econmicas, dolor y sufrimiento.

5.
-

CONCLUSIONES
La funcin de la Seguridad de la Informacin en cualquier tipo de organizacin, debe ser
considerada como un factor bsico empresarial fundamental, de la misma trascendencia que
los aspectos comercial, financiero, administrativo.

La seguridad de la informacin es un aspecto, que debe ser parte de la cultura organizacional;


cursos, seminarios, y talleres no bastan, hay que interiorizar en las personas de la
organizacin, la necesidad y beneficios de dicha cultura, as como los riesgos de no tenerla.

El Sistema de Gestin de Seguridad de la Informacin debe ser permanentemente revisado,


mejorado y actualizado, para que brinde la mxima utilidad que la organizacin espera.

Una eficiente Gestin de la Seguridad de la Informacin, debe considerar los aspectos:


organizacional, personal, tecnolgico y legal, en base a un enfoque sistmico, en el que cada

15

uno de sus componentes esta interrelacionado con los dems, en su operacin y


funcionamiento; y cada uno de ellos como todo el sistema, obedece al principio fundamental
causa efecto.
BIBLIOGRAFA

Abad, Alfredo,(2001). Redes de rea Local. Espaa: McGraw Hill.

Gmez, Alvaro, (2007). Enciclopedia de la seguridad informtica.Espaa : Alfaomega.

Hill, Brian, (2002).Manual de referencia CISCO. Espaa: McGraw Hill.

O Brien, James, (2003). Sistemas de Informacin Gerencial. Colombia: McGraw Hill.

Laudon ,Kenneth,(2006). Sistemas de Informacin Gerencial. Mxico: Prentice Hall.

Ley de cooperativas ecuatorianas,(2008). Ecuador: Autor

Ochoa, Jos, (2004). 101 claves de Tecnologas de Informacin

para Directivos.

Espaa: Prentice Hall.

Piattini,

Mario,

(2008).

Auditoria

de

Tecnologas

Sistemas

de

Informacin.

Mxico: Alfaomega.

Pressman,Roger,(2005). Ingeniera del Software. Mxico:McGraw Hill.

Render, (2004). Administracin de Operaciones. Mxico: Prentice Hall.

Robbins, Stephen, (2002). Fundamentos de Administracin. Mxico: Prentice Hall.

Tanembaum, Andrew,(2003). Redes de Computadoras. Mxico:Prentice Hall.

INEN,(2013). Norma ISO 27001, Parte1, Parte 2.Ecuador: Autor

ACERCA DEL AUTOR

Anbal Rubn Mantilla Guerra, obtuvo su Ttulo de Ingeniero en Electrnica y


Control en la Facultad de Ingeniera Elctrica, y el Grado de Mster en Gestin
de las Comunicacones y Tecnologas de la Informacin, MSc. en la Facultad
de Ingeniernera de Sistemas , los dos, en la Escuela Politcnica Nacional. Ha
ejercido su profesin, y tambin la catedrtica universitaria. Ha desarrollado su
actividad en la Factultad

de Ingeniera en Ciencias Aplicadas de la

Universidad Tcnica del Norte; en la Facultad de Ingeniera en Geologa,


Minas, Petrleos y Ambieltal, de Universidad Central del Ecuador; actualmente Profesor a Tiempo

16

Completo de la Carrera de Ingeniera Mecatrnica en la Facultad de Ciencias de la Ingeniera de


la Universidad Tecnolgica Equinoccial. Particip en actividades de Investigacin en el Proyecto
CONUEP 90-02, de la Facultad de Ingeniera Mecnica de la Escuela Politcnica Nacional.

17