TECNOLOGA DE LOS PODERES JUDICIALES

1
 CONTENIDO
1. Seguridad de la Informacin 3
2. Seguridad de Informacin Familia ISO/IEC 27000 4
3. Seguridad de Informacin (ISO/IEC 27001) 5
4. Seguridad de Informacin (ISO/IEC 27002) 6
4.1 Contenido de la norma 6
4.2 Gua de Seguridad Informtica 8
4.3 Fases de desarrollo 21
5. Tecnologa, dimensionamiento y sus costos 22
5.1 Casos prcticos 23

2
1. Seguridad de la Informacin

La informacin es un activo que tiene un alto valor y requiere, en consecuencia, una proteccin
adecuada. sta se puede presentar de las siguientes formas:
impresa o escrita en papel,
almacenada electrnicamente,
trasmitida por correo o medios electrnicos,
hablada en conversacin.
La seguridad de la informacin consiste en procesos y controles diseados para protegerla de su
divulgacin no autorizada, transferencia, modificacin o destruccin, a efecto de:
asegurar la continuidad del negocio,
minimizar posibles daos, y
maximizar oportunidades.
La seguridad informtica debe entenderse en el contexto de la seguridad fsica y lgica de la
informacin, y por eso intenta proteger cuatro elementos:
Hardware
Software
Datos
Elementos Consumibles

3
2. Seguridad de Informacin Familia ISO/IEC 27000

La serie de normas ISO/IEC 27000 son estndares de seguridad publicados por la Organizacin
Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).
La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para
desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin de la
Seguridad de la Informacin (SGSI), estas normas incluyen:

1. ISO/IEC 27000- es un vocabulario estndar para el SGSI. Se encuentra en desarrollo

actualmente.
2. ISO/IEC 27001 - es la certificacin que deben obtener las organizaciones. Norma que
especifica los requisitos para la implantacin del SGSI. Es la norma ms importante de la
familia. Adopta un enfoque de gestin de riesgos y promueve la mejora continua de los
procesos. Fue publicada como estndar internacional en octubre de 2005.
3. ISO/IEC 27002 - Information technology - Security techniques - Code of practice for
information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799.
Es un cdigo de buenas prcticas para la gestin de seguridad de la informacin. Fue
publicada en julio de 2005 como ISO 17799:2005 y recibi su nombre oficial ISO/IEC
27002:2005 el 1 de julio de 2007.
4. ISO/IEC 27003 - son directrices para la implementacin de un SGSI. Es el soporte de la
norma ISO/IEC 27001. Publicada el 1 de febrero del 2010, No est certificada actualmente.
5. ISO/IEC 27004 - son mtricas para la gestin de seguridad de la informacin. Es la que
proporciona recomendaciones de quin, cundo y cmo realizar mediciones de seguridad de
la informacin. Publicada el 7 de diciembre del 2009, no se encuentra traducida al espaol
actualmente.
6. ISO/IEC 27005 - trata la gestin de riesgos en seguridad de la informacin. Es la que
proporciona recomendaciones y lineamientos de mtodos y tcnicas de evaluacin de riesgos
de Seguridad en la Informacin, en soporte del proceso de gestin de riesgos de la norma
ISO/IEC 27001. Es la ms relacionada a la actual British Standard BS 7799 parte 3. Publicada
en junio de 2008.
7. ISO/IEC 27006:2007 - Requisitos para la acreditacin de las organizaciones que proporcionan
la certificacin de los sistemas de gestin de la seguridad de la informacin. Esta norma
especfica requisitos especficos para la certificacin de SGSI y es usada en conjunto con la
norma 17021-1, la norma genrica de acreditacin.
8. ISO/IEC 27007 - Es una gua para auditar al SGSI. Se encuentra en preparacin.
9. ISO/IEC 27799:2008 - Es una gua para implementar ISO/IEC 27002 en la industria de la
salud.
10. ISO/IEC 27035:2011 - Seguridad de la informacin Tcnicas de Seguridad Gestin de
Incidentes de Seguridad. Este estndar hace foco en las actividades de: deteccin, reporte y
evaluacin de incidentes de seguridad y sus vulnerabilidades.

4
3. Seguridad de Informacin (ISO/IEC 27001)
Estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security
techniques Information security management systems - Requirements)
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema
de Gestin de la Seguridad de la Informacin (SGSI).

PILARES DE SEGURIDAD DE INFORMACIN (ISO/IEC 27001)

5
4. Seguridad de Informacin (ISO/IEC 27002)
Es un conjunto de recomendaciones sobre qu medidas tomar en la institucin para asegurar los
Sistemas de Informacin.
Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009. Otros
pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC
27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-
ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita.
Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar
para conseguir un sistema seguro en cada una de las reas que los agrupa.
Para conseguir cada uno de estos objetivos, la norma propone una serie de medidas o
recomendaciones (controles) que son los que en definitiva se aplican para la gestin del riesgo
analizado.
Los objetivos de control son los aspectos a asegurar dentro de cada rea/seccin; y los
controles son los mecanismos para asegurar los objetivos de control (gua de buenas prcticas).
Para cada control establecido, se debe elaborar una gua para su implantacin)
Para la elaboracin del documento que se presentar como gua de seguridad informtica es
conveniente utilizar la ISO/IEC 27002, en virtud que incluye controles especficos relacionados
con aspectos informticos.

4.1 Contenido de la norma

11 dominios
39 objetivos de control
133 controles
Los 133 controles y 39 objetivos estn agrupados dentro de los 11 dominios descritos abajo:

DOMINIO
5. Poltica De Seguridad
Aspectos Organizativos de La
6.
Seguridad de la Informacin
7. Gestin de Activos.
Seguridad Ligada a los
8.
Recursos Humanos.
DESCRIPCIN
El documento de la poltica de seguridad de la
informacin debiera ser aprobado por la gerencia,
y publicado y comunicado a todos los empleados
y las partes externas relevantes.
La gerencia debiera apoyar activamente la
seguridad dentro de la organizacin a travs de
una direccin clara, compromiso demostrado,
asignacin explcita y reconociendo las
responsabilidades de la seguridad de la
informacin.
Inventario de los activos debiera incluir toda la
informacin necesaria para poder recuperarse de
un desastre; incluyendo el tipo de activo, formato,
ubicacin, informacin de respaldo, informacin
de licencias y un valor comercial.
Los roles y responsabilidades de la seguridad
debieran ser definidos y claramente comunicados
a los candidatos para el puesto durante el proceso
de pre-empleo.

6
 DOMINIO DESCRIPCIN
Se debieran utilizar permetros de seguridad
(barreras tales como paredes, rejas de entrada
9. Seguridad Fsica y del Entorno controladas por tarjetas o recepcionistas) para
proteger las reas que contienen informacin y
medios de procesamiento de informacin.
Procedimientos documentados para las
actividades del sistema asociadas con los medios
de procesamiento de la informacin y
Gestin de Comunicaciones y comunicacin; tales como procedimientos para
10.
Operaciones. encender y apagar computadoras, copias de
seguridad, mantenimiento del equipo, manejo de
medios, cuarto de cmputo, manejo del correo y
seguridad.
Establecer, documentar y revisar la poltica de
11. Control de Acceso. control de acceso en base a los requerimientos
comerciales y de seguridad para el acceso.
Adquisicin, Desarrollo y Identificary acordar los requerimientos de
12. Mantenimiento De Sistemas de seguridad antes del desarrollo y/o implementacin
Informacin. de los sistemas de informacin.
Procedimientos formales de reporte y de la
Gestin de Incidentes en la intensificacin de un evento, ejemplo: cambios del
13.
Seguridad de la Informacin. sistema no controlados, mal funcionamiento del
software o hardware, violaciones de acceso.
Desarrollar y mantener un proceso gerencial para
la continuidad del negocio en toda la organizacin
Gestin de la Continuidad del
14. para tratar los requerimientos de seguridad de la
Negocio.
informacin necesarios para la continuidad
comercial de la organizacin.
Definir explcitamente, documentar y actualizar
todos los requerimientos estatutarios, reguladores
y contractuales relevantes, y el enfoque de la
15. Cumplimiento.
organizacin para satisfacer esos requerimientos,
para cada sistema de informacin y la
organizacin.

7
 4.2 Gua de Seguridad Informtica
Para el desarrollo de la gua en cuestin, se tomarn de referencia 5 dominios, los cuales se
relacionan directamente con el rea informtica:

No. DOMINIO
7. Gestin de Activos.
10. Gestin de Comunicaciones y Operaciones.
11. Control de Acceso.
Adquisicin, Desarrollo y Mantenimiento De
12.
Sistemas de Informacin.
Gestin de Incidentes en la Seguridad de la
13.
Informacin.

Gua de Seguridad Informtica

ISO/IEC 27002

DOMINIO 7: GESTIN DE ACTIVOS

Activos.-
Informacin: Bases de datos, la data (sorteo, providencias o actos procesales, sentencias,
jurisprudencia; informacin administrativa, informacin financiera), contratos y acuerdos,
resoluciones, planes de continuidad del negocio, registros de auditoras
Archivos de Software: sistemas de gestin de trmite jurisdiccional, sistemas de gestin
documentas, erp, sistemas operativos, entre otros.
Activos de Hardware: Servidores, equipos de comunicacin, equipamiento de TICs
Personal: roles y responsabilidades acorde a la capacidad y experiencia del personal de las
diferentes unidades de TICs
Intangibles: Imagen de transparencia, celeridad, seguridad y justicia.

8
 OBJETIVO
No. DE CONTROL ACCIN RIESGO
CONTROL
Todos los activos deben estar La organizacin identificar todos los
claramente identificados y se activos y documentar de acuerdo a
Inventario de
debe elaborar y mantener un su importancia. El inventario incluir
activos
inventario de todos los toda la informacin necesaria para
activos importantes. recuperarse de los desastres.
Una vez que se ha definido,
identificado, elaborado el inventario de
Toda la informacin y los todos los activos de Tics de la
activos asociados con los organizacin se identificar al
servicios de procesamiento responsable o los responsables de El no contar con un
Responsable
de informacin deben ser controlar el uso y seguridad de estos. conjunto de polticas
de los activos
asignada a una parte de la Adems se realizar una revisin especficas as como
organizacin que acta como peridica a la clasificacin y definicin
responsables para el uso
7.1
responsable. de responsables de los activos y de los activos podra verse
servicios que se ofrecen. afectada la integridad y
disponibilidad de la
Las organizaciones establecern un informacin.
Se debe identificar, conjunto de polticas, normas
documentar e implementar especficas, reglas, manuales de uso y
las reglas sobre el uso dems directrices, con el fin de
Uso aceptable aceptable de la informacin y garantizar la seguridad y
de los activos de los activos asociados con disponibilidad respecto al acceso y
los servicios de uso que se d a los activos, asociados
procesamiento de la a los sistemas de informacin de cada
informacin. una de las organizaciones.

Las organizaciones clasificarn la

informacin en trminos de valor,
Se debe clasificar en confidencialidad y criticidad para la
trminos de su valor, de los organizacin, y ser revisada
Directrices de
requisitos legales, de la peridicamente mantenindose
clasificacin
sensibilidad y la importancia actualizada. La clasificacin debe ser Al no existir una
para la organizacin. lo ms sencilla y prctica en lo clasificacin acorde a la
posible. importancia de la
informacin as como el
7.2
Se debe definir un estndar de etiquetado segn
etiquetado adecuado de la informacin estndares internos
Se debe desarrollar e
aprobado por la organizacin, que adoptados para la
implementar un conjunto de
comprenda los formatos fsicos y organizacin podra verse
procedimientos adecuados
Etiquetado y electrnicos. De acuerdo al nivel de afectada seriamente la
para el etiquetado y el
manejo de la importancia de la informacin se debe integridad, disponibilidad y
manejo de la informacin de
informacin definir procedimientos de manejo confidencialidad de la
acuerdo al esquema de
seguro, as como el registro de informacin.
clasificacin adoptado por la
incidentes de seguridad referido a la
organizacin.
cadena de custodia.

9
 DOMINIO 10: GESTIN DE COMUNICACIONES Y OPERACIONES

OBJETIVO DE
No. CONTROL ACCIN RIESGO
CONTROL
Preparar procedimientos
documentados para las
Procedimientos de actividades del sistema
operacin documentados asociadas con los medios de
procesamiento de la
informacin y comunicacin;
Sistemas operacionales y el
software de aplicacin
Gestin del cambio
Procedimientos y sujetos a un estricto control
10.1 responsabilidades de autoridades del cambio.
operacionales Tener cuidado que nadie Falta de segregacin de
pueda tener acceso, funciones.
Segregacin de los deberes modificar o utilizar los
activos sin autorizacin o
deteccin.
Identificar el nivel de
separacin necesario entre
Separacin de los medios de los ambientes de desarrollo,
desarrollo, prueba y prueba y operacin para
operacin evitar los problemas
operacionales e implementar
los controles apropiados.
Incluir acuerdos de
seguridad pactados en la
entrega del servicio por un
Entrega del servicio
tercero e incluir definiciones
del servicio y aspectos de la
gestin del servicio.
El monitoreo y revisin de
los servicios de terceros
Gestin de la entrega del debiera asegurar que se
servicio de terceros cumplan los trminos y Falta de calidad en el
10.2 Monitoreo y revisin de los
condiciones de seguridad de servicio adquirido.
servicios de terceros
los acuerdos, y que se
manejen apropiadamente los
incidentes y problemas de
seguridad de la informacin.
El proceso de manejar los
cambios en el servicio de
Manejo de cambios en los
terceros necesita tomarlos
servicios de terceros
cambios realizados por la
organizacin
Identificar los requerimientos
de capacidad de cada
Gestin de la capacidad
actividad nueva y en
proceso.
Asegurar que los
Planeacin y aceptacin del requerimientos y criterios de
sistema aceptacin de los sistemas
10.3 nuevos estn claramente
Fallas de Operacin en los
definidos, aceptados,
Aceptacin del sistema sistemas
documentados y probados.

10
 OBJETIVO DE
No. CONTROL ACCIN RIESGO
CONTROL

Proteccin contra el cdigo
malicioso y mvil
10.4
10.5 Respaldo o Back-Up
10.6 Gestin de seguridad de la red
Gestin de medios
10.7
Intercambio de informacin
10.8
Basarse en la deteccin de
cdigos maliciosos y la
reparacin de software,
Controles contra cdigos
conciencia de seguridad, y
maliciosos
los apropiados controles de
acceso al sistema y gestin
Posible prdida de
del cambio.
informacin y atraso en las
operaciones.
Considerar acciones para
Controles contra cdigos evitar que el cdigo mvil
mviles realice acciones no-
autorizadas
Proporcionar medios de
respaldo adecuados para
asegurar que toda la Posible prdida de
Respaldo o Back-Up informacin esencial y informacin crtica y
software se pueda recuperar suspensin de actividades
despus de un desastre o
falla de medios.
Implementar controles para
asegurar la seguridad de la
informacin en las redes, y
Controles de redes
proteger los servicios
conectados de accesos no-
Posible intrusin de terceros
autorizados.
no autorizados e
Determinar y monitorear
interrupcin del servicio.
regularmente la capacidad
Seguridad de los servicios del proveedor del servicio de
de la red red para manejar los
servicios contratados de una
manera segura
Considerar lineamientos
Gestin de medios
para la gestin de medios
removibles
removibles
Definicin de procedimientos
formales para la eliminacin
Retirada de soportes
de medios confidenciales
que ya no sern requeridos. Posible fuga de informacin.
Establecer procedimientos
para el manipuleo,
Procedimientos para el procesamiento, almacenaje
manejo de informacin y comunicacin de la
informacin consistente con
su clasificacin.
asegurar la documentacin
Seguridad de la
del sistema de manera
documentacin del sistema
segura
Definir procedimientos y
controles a seguirse cuando
Polticas y procedimientos
se utilizan medios de
de intercambio de
comunicacin electrnicos
informacin
para el intercambio de Posible fuga de informacin
informacin y suplantacin de
Establecer y mantener las identidades.
polticas, procedimientos y
Acuerdos de intercambio estndares para proteger la
informacin y medios fsicos
en trnsito

11
 OBJETIVO DE
No. CONTROL ACCIN RIESGO
CONTROL
Considerar lineamientos
para proteger los medios de
Medios fsicos en trnsito
informacin transportados
entre diferentes ubicaciones

Definir consideraciones de
Mensajes electrnicos seguridad para los mensajes
electrnicos
Definir consideraciones a las
implicancias de seguridad en
Sistemas de informacin
la interconexin de los
sistemas de informacin
Definir consideraciones de
Comercio electrnico seguridad para el comercio
electrnico
Definir consideraciones de
Transacciones en-lnea seguridad para
Comercio electrnico Transacciones en-lnea
Proteger mediante Posibles transacciones
10.9
mecanismos apropiados el fraudulentas
software, data y otra
Informacin pblicamente informacin que requiere un
disponible alto nivel de integridad,
puesta a disposicin en un
sistema pblicamente
disponible,
Considerar registros de
Registro de auditora auditora cuando sea
relevante.
Determinar el nivel de
monitoreo requerido para los
Uso del sistema de
medios individuales
monitoreo
mediante una evaluacin del
riesgo.
Establecer controles para
Proteccin del registro de protegerse contra cambios
informacin no autorizados y problemas
operacionales,
Monitoreo Revisados de manera
Posible incapacidad de
10.10 Registros del administrador regular los registros de
prevenir fallos de sistemas
y operador administrador y operador del
sistema.
Registrar las fallas
reportadas por los usuarios o
por los programas del
sistema relacionadas con los
Registro de fallas
problemas con el
procesamiento de la
informacin o los sistemas
de comunicacin
Colocar la hora del reloj de
Sincronizacin de relojes acuerdo a un estndar
acordado

12
DOMINIO 11: CONTROL DE ACCESO

OBJETIVO DE
CONTROL ACCIN RIESGO
No. CONTROL
Requerimiento para el Poltica de control del Establecer claramente en la poltica Posibles accesos no
11.1 control del acceso acceso de control de acceso las reglas de autorizados.
control del acceso y los derechos
para cada usuario o grupos de
usuarios.

Registro del usuario Definir el procedimiento de control

11.2 del acceso para el registro y des-
registro del usuario.
Gestin de privilegios Controlar la asignacin de
privilegios a travs de un proceso
de autorizacin formal para los
sistemas multi-usuario que
requieren proteccin contra el Posible
acceso no autorizado. otorgamiento
Gestin de acceso del inadecuado de
Gestin de las claves Definir polticas sobre la gestin de
usuario permisos
secretas de los las claves secretas, medio comn
usuarios para verificar la identidad del
usuario antes de otorgar acceso a
un sistema o servicio de
informacin en concordancia con la
autorizacin del usuario
Revisin de los Definir lineamientos para la revisin
derechos de acceso del de los derechos de acceso
usuario
Uso de claves secretas Formular poltica para la el uso de
11.3 claves secretas de los usuarios
Equipo del usuario Estar al tanto de los requerimientos
desatendido de seguridad y los procedimientos Posible perdida y
Responsabilidades
para proteger el equipo fuga de informacin
del usuario
desatendido por parte de los
usuarios.
Poltica de escritorio y Tomar en cuenta las clasificaciones
pantalla limpios de informacin para polticas de
escritorio limpio y pantalla limpia.
Poltica sobre el uso de Formular una poltica relacionada
11.4 los servicios de la red con el uso de las redes y los
servicios de la red.
Autenticacin del Utilizar tcnicas basadas en
usuario para las criptografa, dispositivos de
conexiones externas hardware o un protocolo de
desafo/respuesta para la
autenticacin de los usuarios
remotos.
Identificacin del Utilizar la identificacin del equipo Posible prdida y
Control de acceso a la
equipo en las redes si es importante que la fuga de informacin
red
comunicacin slo sea e interrupcin de
iniciada desde una ubicacin o actividades.
equipo especfico.
Proteccin del puerto Uso de un seguro y procedimientos
de diagnstico y de soporte para controlar el acceso
configuracin remoto fsico al puerto que incluya
controles potenciales para el
acceso a los puertos de diagnostico
y configuracin.

13
 OBJETIVO DE
CONTROL ACCIN RIESGO
No. CONTROL
Segregacin en redes Un mtodo para controlar la
seguridad de grandes redes es
dividirlas en dominios de red
lgicos separados
Control de conexin a Los derechos de acceso a la red de
la red los usuarios se debieran mantener
y actualizar conforme
lo requiera la poltica de control de
acceso
Control de routing de la Implementar controles de routing en
red las redes para asegurar que las
conexiones
de la computadora y los flujos de
informacin no violen la poltica de
control de acceso de las
aplicaciones
Procedimientos para un Diseo del procedimiento para
11.5 registro seguro registrarse en un sistema de
operacin de manera que minimice
la oportunidad de un acceso no
autorizado.
Identificacin y Aplicar este control a todos los tipos
autenticacin del de usuarios (incluyendo el personal
usuario de soporte tcnico, operadores,
administradores de redes,
programadores de sistemas y
administradores de bases de
datos).
Sistema de gestin de Los sistemas para el manejo de
Control del acceso al claves secretas claves secretas debieran ser Posible suspensin
sistema operativo interactivos y debieran asegurar de actividades y del
claves secretas adecuadas. servicio.
Uso de las utilidades Se debieran considerar
del sistema lineamientos para el uso de las
utilidades del sistema:
Cierre de una sesin Un dispositivo de cierre debiera
por inactividad borrar la pantalla de la sesin y
tambin, posiblemente ms
adelante, cerrar la aplicacin y las
sesiones en red despus de un
perodo de inactividad definido.
Limitacin del tiempo considerar controles sobre el
de conexin tiempo de conexin para las
aplicaciones de
cmputo sensibles,
Restriccin del acceso Las restricciones para el acceso se
11.6 a la informacin debieran basar en los
Control de acceso a la
requerimientos de las aplicaciones. Posible fuga y
aplicacin y la
Aislar el sistema considerar los siguientes prdida de
informacin
confidencial lineamientos para aislar el sistema informacin
sensible o
confidencial
Computacin y tele- Computacin y Establecer una poltica y adoptar
11.7 Posible
trabajo mvil comunicaciones las medidas de seguridad
suplantacin de
mviles apropiadas para proteger contra los
identidad y accesos
riesgos de utilizar medios de
no autorizados.
computacin y comunicacin mvil.

14
 DOMINIO 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIN

No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
Posible adquisicin e
implementacin de
Definir de lneas base de
Requisitos de sistemas que no
seguridad en aplicaciones e
seguridad de Anlisis y especificacin de cumplen con medidas
12.1 infraestructura de TI, de
los sistemas los requisitos de seguridad de seguridad
acuerdo a la necesidad de
de informacin reconocidas o
cada aplicacin.
aprobadas por la
Institucin.
Validar los datos de entrada
Validacin de los datos de para evitar errores por
entrada. captura de datos
incorrectos.
Revisar la seguridad de las
aplicaciones a nivel cdigo
para detectar cualquier
Control de procesamiento
corrupcin de la informacin
interno
a travs de errores de
procesamiento o actos Posible liberacin en
deliberados. ambiente productivo de
Tratamiento Evaluar los riesgos de aplicaciones con
12.2 correcto de las seguridad para determinar si vulnerabilidades de
aplicaciones Integridad de los mensajes se requiere la integridad del seguridad y
mensaje e identificar el procesamiento de datos
mtodo de implementacin incorrecto.
ms apropiado.
Validar los datos en el
procesamiento, para
asegurar que la informacin
almacenada sea la correcta
Validacin de los datos de
y la apropiada para las
salida
circunstancias. Ya que an
en los sistemas que han
sido probados se puede
producir output incorrecto.
Desarrollar e implementar
Poltica de uso de controles una Poltica para el uso de
criptogrficos controles criptogrficos, para
proteger la informacin.
Posible afectacin a la
Proteger las claves confidencialidad de la
criptogrficas contra una informacin mantenida
modificacin, prdida y en los sistemas y
destruccin. aplicaciones de la
Controles Proteger contra la Institucin.
12.3 divulgacin no-autorizada,
Criptogrficos
las claves secretas y Posible falsificacin de
Gestin de claves privadas. la firma digital,
Brindar seguridad fsica al reemplazndola con la
equipo utilizado para clave pblica de un
generar, almacenar y usuario.
archivar las claves.
A manera de ejemplo, los
dos tipos de tcnicas
criptogrficas son:

15
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
tcnicas de claves secretas
y tcnicas de claves
pblicas.

Minimizar el riesgo de
corrupcin de los sistemas
operacionales, considerando
lineamientos para controlar
los cambios como son:
actualizacin del software
operacional, los sistemas
Control del Software en operacionales slo deben
explotacin mantener cdigos
ejecutables aprobados, y no
cdigos de desarrollo o
compiladores. Establecer
una estrategia de regreso a
la situacin original
(rollback) antes de
implementar los cambios.
Para los propsitos de
pruebas, evitar el uso de
bases de datos
Posibles fugas y
operacionales conteniendo
prdidas de informacin
informacin personal o
Proteccin de los datos de confidencial en posesin
cualquier otra informacin
12.4 prueba del sistema de la Institucin, que
confidencial. Autorizar por
Seguridad de pueden ser utilizadas
separado cada vez que se
los archivos de para fines ajenos a la
copia informacin
sistema misma.
operacional en un sistema
de aplicacin de prueba.
El acceso al cdigo fuente
del programa y los tems
asociados (como diseos,
especificaciones, planes de
verificacin y planes de
validacin) se deben
controlar estrictamente para
evitar la introduccin de una
Control de acceso al cdigo
funcionalidad no-autorizada
fuente de los programas
y para evitar cambios no-
intencionados.
Implementar procedimientos
estrictos de control de
cambios para el
mantenimiento y copiado de
las bibliotecas fuentes del
programa.
Documentar y hacer cumplir
Posible introduccin de
los procedimientos formales
cambios no probados y
de control del cambio para
no autorizados en los
minimizar la corrupcin de
sistemas y aplicaciones
Seguridad en los sistemas de informacin.
de la Institucin.
los procesos Procedimientos de control La introduccin de sistemas
12.5 Posibles problemas de
de desarrollo y de cambios nuevos y los cambios
segregacin de
soporte importantes a los sistemas
funciones en desarrollo
existentes deben realizarse
y operacin.
despus de un proceso
Posible fuga de
formal de documentacin,
Informacin.
especificacin, prueba,

16
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
control de calidad e
implementacin manejada.
La buena prctica incluye la
prueba del software nuevo
en un ambiente segregado
de los ambientes de
produccin y desarrollo.
Revisar y probar las
aplicaciones comerciales
crticas, cuando se cambian
los sistemas de operacin,
para asegurar que no exista
un impacto adverso sobre
Revisin tcnica de las
las operaciones
aplicaciones tras efectuar
organizacionales o en la
cambios en el sistema
seguridad. Asignar a un
operativo
grupo o persona especfica
la responsabilidad de
monitorear las
vulnerabilidades, as como
los parches y arreglos que
lancen los vendedores.
Limitar los cambios
necesarios y controlarlos
estrictamente. Utilizar los
Restricciones a los cambios
paquetes de software
en los paquetes de software
suministrados por
vendedores sin
modificaciones.
Considerar puntos para
limitar la filtracin de la
informacin; por ejemplo, a
travs del uso y explotacin
de los canales encubiertos
Fugas de Informacin (covertchannels).
Tomar medidas para
protegerse contra cdigos
Troyanos reduce el riesgo
de la explotacin de los
canales encubiertos.
Supervisar y monitorear, el
desarrollo del software
abastecido externamente.
Externalizacin del Considerar puntos como
desarrollo de software contratos de licencias,
propiedad de cdigos,
derechos de propiedad
intelectual.
Obtener oportunamente la
informacin sobre las Posible incapacidad
vulnerabilidades tcnicas de para detectar problemas
los sistemas de informacin, de seguridad en los
la exposicin de la sistemas y aplicaciones
Gestin de la
Control de las organizacin a dichas de la Institucin.
12.6 vulnerabilidad
vulnerabilidades tcnicas vulnerabilidades evaluadas, Posible incapacidad
tcnica
y las medidas apropiadas para tomar las medidas
tomadas para tratar los necesarias de
riesgos asociados. Un contencin, y responder
inventario actual y completo oportunamente.
de los activos (ver 7.1) es un

17
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
prerrequisito para la gestin
efectiva de la vulnerabilidad
tcnica. La informacin
especfica necesaria para
apoyar la gestin de la
vulnerabilidad tcnica
incluye al vendedor del
software, nmeros de la
versin, estado actual del
empleo (por ejemplo, cul
software est instalado en
cul sistema), y la(s)
persona(s) dentro de la
organizacin responsable(s)
del software.

18
DOMINIO 13.GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN

No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
Reportar a travs de los
canales gerenciales
apropiados lo ms
rpidamente posible los
eventos de seguridad de
la informacin. Tomar la
conducta correcta en el
Notificacin de los eventos de
caso de un evento en la
seguridad de la informacin
seguridad de la
informacin; por ejemplo:
No llevar a cabo ninguna
Notificacin
accin por cuenta propia,
de eventos y
sino reportar
puntos dbiles
13.1 inmediatamente al punto
de seguridad
de contacto.
de la
Requerir que todos los
informacin
usuarios empleados,
contratistas y terceros de
los sistemas y servicios de
informacin tomen nota y
Notificacin de puntos dbiles reporten cualquier Posible incapacidad
de seguridad debilidad de seguridad para detectar
observada o sospechada problemas de
en el sistema o los seguridad en los
servicios. El mecanismo sistemas y
de reporte debe ser fcil y aplicaciones de la
estar disponible. Institucin.
Establecer las Incapacidad para
responsabilidades y los tomar las medidas
procedimientos de la necesarias de
gerencia para asegurar contencin, y
Responsabilidades y
una respuesta rpida, responder
procedimientos
efectiva y metdica ante oportunamente.
los incidentes de la
seguridad de la
informacin.
Establecer mecanismos
para permitir cuantificar y
Gestin de
monitorear los tipos,
incidentes y
volmenes y costos de los
13.2 mejoras de
Aprendizaje de los incidentes de incidentes en la seguridad
seguridad de
seguridad de la informacin de la informacin. Analizar
la informacin
la informacin obtenida
para identificar los
incidentes recurrentes o
de alto impacto.
Recolectar, mantener y
presentar evidencia para
cumplir con las reglas de
Recopilacin de evidencias evidencia establecidas en
la(s) jurisdiccin(es)
relevante(s). Desarrollar y
seguir los procedimientos

19
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
internos cuando se
recolecta y presenta
evidencia para propsitos
de una accin disciplinaria
manejada dentro de una
organizacin.
Realizar en las copias del
material de evidencia
cualquier trabajo forense.
Lo anterior aplica por
ejemplo, para una accin
de seguimiento contra una
persona u organizacin
despus de un incidente
en la seguridad de la
informacin involucra una
accin legal (ya sea civil o
criminal);

20
 4.3 Fases de desarrollo
La implementacin de dicha gua debe incluir el desarrollo de objetivos, polticas, procesos y
procedimientos, considerando las siguientes definiciones para su elaboracin:

OBJETIVO: Enunciado global sobre el resultado final que se

pretende alcanzar (qu?, dnde?, para qu?)

POLTICA: Conjunto de requisitos definidos por los

responsables de un sistema, especificando en trminos
generales qu est y qu no est permitido hacer.

PROCESO: Actividades organizadas e interrelacionadas,

orientadas a obtener un resultado especfico y
predeterminado, conformado por las fases que se llevan a
cabo por los responsables que desarrollan las funciones de
acuerdo con su estructura orgnica.

PROCEDIMIENTO (Mdulos que conforman un proceso):

Conjunto ordenado de operaciones o actividades
secuenciales desarrolladas por los responsables de la
ejecucin, que deben cumplir polticas y normas
establecidas, debiendo sealar la duracin o periodicidad y
el flujo de documentos.
Requiere identificar y sealar de cada uno de los pasos:
quin?, cundo?, cmo?, dnde?, para qu?, por qu?.

21
5. Tecnologa, dimensionamiento y sus costos

En general se recomienda que se adopten tecnologas para brindar seguridad en las siguientes
reas:

Esquemas de Seguridad
rea Aplicativo / Software
Escritorio Antivirus, Antispyware, FireWall Personal
IPS local, Filtro Web, Control de Acceso a Red, Dispositivos Mviles
Control de Aplicaciones / Listas Blancas/Negras
Datos Encripcin de disco, Encripcin de archivos, Control de Dispositivos
Prevencin de fuga de informacin local, Prevencin de fuga de informacin
en la red, Administracin de permisos, Respaldo y Restauracin,
Almacenamiento Empresarial (SAN)
Servidor Antivirus, Antispyware, FireWall local
IPS local, Filtro Web, Control de Acceso a Red,
Control de Aplicaciones / Listas Blancas/Negras, Virtualizacin
Red Firewall perimetrales, Prevencin de Intrusos, Firewall de Aplicaciones,
Control de Acceso a Red, Anlisis de Comportamiento, Anlisis Forense,
Control de Infraestructura.
Correo Antispam, Antivirus, Prevencin de Fuga de Informacin
Internet Filtro de Contenidos, Proxy, Antivirus, Antimalware.
Riesgo y Manejador de Vulnerabilidades, Remediador de Vulnerabilidades,
Cumplimiento Auditoria de Polticas, Anlisis y reporte de Riesgo,
Control de Cambios, Monitor de Integridad de Archivos, SIEM,
Manejador de Logs

22
5.1 Casos prcticos

CASO 1

Esquema de seguridad:

SERVIDORES DE SERVIDORES DE BASES

APLICACIONES DE DATOS

Firewall para Firewall para

servidores de servidores de Consola de
Aplicaciones Base de Datos Monitoreo

INTERNET
Sistema de
Proteccin de
Disponibilidad

ALTA SEGURIDAD - BENEFICIOS POR COMPONENTE:

Protege, desde Internet, las aplicaciones de amenazas de
seguridad, combinando en una defensa cohesiva diversos
mecanismos de seguridad.

Con esta herramienta se evita que ataques maliciosos

vulneren los sistemas y saturen los servidores con la
finalidad de bloquear el servicio.
Sistema de
Ofrece actualizaciones para garantizar proteccin ante
Proteccin de patrones de ataque y garantiza la disponibilidad de los
Disponibilidad servicios que se ofrecen en la organizacin.

23
 Ofrece el servicio de seguridad autoadaptable, sin
saturar los servidores de aplicaciones, entregando una
solucin de alta seguridad que garantiza la integridad de
la informacin y las aplicaciones web.

Con este componente es posible monitorear en tiempo

real, la informacin que se transmite a travs de las
aplicaciones web.

Automticamente aprende el comportamiento de las

aplicaciones y de sus usuarios, detectando
Firewall para comportamientos anormales y alertando de ellos en
servidores de tiempo real.
Aplicaciones Identifica el trfico que es originado por robots y
Fuentes maliciosas conocidas, para detener ataques
automatizados.

Previene fraudes va web con su funcionalidad

ThreatRadarFraudPrevention.

Protege a las Bases de Datos de ataques, prdida y

robo de informacin a travs de un monitoreo en tiempo
real con el cual, se emiten alertas y bloqueos de acceso
basados en polticas de seguridad preestablecidas y
que pueden ser configurables segn nuestras
necesidades.

Es posible controlar y monitorear quin tiene el acceso

Firewall para a las bases de datos y a la informacin que se accedi,
servidores de teniendo pleno control de la consulta de la informacin.
Base de Datos Con este componente de infraestructura se proteger
uno de los recursos ms valiosos de la Institucin que
es la informacin.

La consola de monitoreo alerta de posibles ataques en

cualquiera de los componentes de seguridad instalados
y ofrece informacin detallada de las acciones
realizadas en la detencin de ataques.

As mismo, recaba informacin forense de los intentos

de ataque a la infraestructura resguardada.

Consola de
Monitoreo

24
 PUNTOS CLAVE
OBJETIVO DE TECNOLOGAS
No. PARA PRECIO
CONTROL HW/SW
DIMENSIONAMIENTO
Herramientas de blindaje
para sistema operativo

Herramienta de Seguridad
en Control de Cambios
Requisitos de
Nmero de servidores
seguridad de los
12.1 Nmero de usuarios Herramientas de Pruebas (~520K USD)
sistemas de
Nmero de direcciones IP de Penetracin
informacin
automatizada

Herramienta Anlisis de
vulnerabilidades

Nmero de desarrolladores
de aplicaciones
Tratamiento Servidores de aplicaciones
Nmero de aplicaciones y
12.2 correcto de las
tamao de estas
aplicaciones Servidores de bases de
Nmero de direcciones IP
datos

Firewall para servidores de

aplicaciones
(~19,743,750USD)
Firewall para servidores de
bases de datos

Consola de monitoreo
Nmero de aplicaciones a
Sistema de proteccin de
integrar en el bus
disponibilidad
criptogrfico ya sean legacy
o de terceros.
Nmero de sistemas que
Controles manejan certificados
12.3
Criptogrficos digitales SSL o llaves de
SSH (F5, firewalls,
BlueCoat, web, servidores,
etc.)

25
 PUNTOS CLAVE
OBJETIVO DE TECNOLOGAS
No. PARA PRECIO
CONTROL HW/SW
DIMENSIONAMIENTO
Nmero de aplicaciones,
servidor(es) donde se
encuentra instalada la base
de datos, tamao de la
base de datos
Nmero de base de datos,
segmentos de red, nmero
de sites
12.4
Nmero de sistemas a
Seguridad de los integrar (Switches,
archivos de sistema Sistemas operativos, bases
de datos, etc.)
Nmero de servidores Unix
o Windows
Nmero de endpoints,
Nmero de usuarios

Nmero de servidores
virtuales y nmero de
hypervisors
Nmero de sistemas a
Seguridad en los
integrar (Switches,
12.5 procesos de
Sistemas operativos, bases
desarrollo y soporte
de datos, etc.)
Nmero de endpoints,
Nmero de salidas a
Internet

Gestin de la
Nmero de direcciones IP
12.6 vulnerabilidad
tcnica

Nmero de Segmentos de
red
Numero de bases de datos
y transacciones por base de
datos, Throughput
Notificacin de Nmero de aplicaciones
eventos y puntos web
13.1 dbiles de Nmero de correo saliente
seguridad de la en hora pico / Nmero y
informacin tamao de los enlaces a
Internet
Perodo de retencin,
Nmero de enlaces de red,
Nmero de dispositivos de
red con sus eventos por

26
 PUNTOS CLAVE
OBJETIVO DE TECNOLOGAS
No. PARA PRECIO
CONTROL HW/SW
DIMENSIONAMIENTO
segundo

Organigrama de la
institucin
Gestin de Perodo de retencin,
incidentes y Nmero de enlaces de red,
13.2 mejoras de Nmero de dispositivos de
seguridad de la red con sus eventos por
informacin segundo
Nmero de administradores
de servicios

27
CASO 2

El caso de xito ms importante ha sido la implementacin de un Data Center, en donde se centraliza

todo el equipamiento y la aplicacin de polticas de seguridad, de acuerdo a la recomendacin de
buenas prcticas, modelos y metodologas adoptadas en consultoras efectuadas para la
implementacin de la ISO 27000.
Se recomienda adoptar la estandarizacin de equipos en cada una de las regionales, lo que permite
que las polticas sean de fcil aplicacin, pues el manejo de protocolos comunes representa una gran
ventaja.
Adicionalmente se debe implementar un Data Center Alterno de iguales caractersticas en otra
regional, lo que permite la replicacin de toda la informacin y garantiza la alta disponibilidad de todas
las aplicaciones.
La inversin aproximada en equipamiento y Data Center ha sido de: USD 25000.000

SISTEMA DE SEGURIDAD INFORMATICA

Seguridad de acceso web
Seguridad de acceso web
Seguridad de correo
electrnico
Seguridad de autenticacin
Optimizacin de trfico
Autenticacin
Gestin de aplicaciones
Acceso a servidores de
aplicacin
Antivirus
Proteccin de equipos
Proteccin de equipos
Proteccin de equipos de
activos
Autenticacin de usuarios
Proteccin de red Cisco
inalmbrica
SEGURIDAD PERIMETRAL
Exinda Administrador de ancho de banda
Checkpoint Filtrado Web
IronPortmail - Cisco Antispam
ASA - Cisco Firewall, IPS
Cisco- Wave WASS - Acelerador de trfico
Cisco - ACS Autenticacin activos equipos de red
Cisco- ACE Balanceador de carga
SEGURIDAD INTERNA
Seguridad de acceso a aplicaciones en ambiente
Cisco - VCG virtual
MacAfee Proteccin antivirus
Microsoft - WSUS Distribucin de parches y actualizaciones
Red Hat-Satellite Distribucin de parches y actualizaciones
Configuracin de funcionalidades de seguridad en
Cisco - ACL equipos activos
Microsoft- GPO Active Configuracin de polticas de Grupo para la
Directory autenticacin de usuarios en el directorio activo
Configuracin de grupos y niveles de seguridad
para la autenticacin de usuarios a la red
- inalmbrica, configurando las funcionalidades de
WirelessLanController la controladora a la que se anexan los accesspoint

28
 TOPOLOGI SEGURIDAD DEL DATACENTER

ESQUEMA DE EQUIPAMIENTO SEGURIDAD DATACENTER

29
 COSTOS APROXIMADOS

Los valores descritos a continuacin son referenciales y estn ligados a otras soluciones de
tecnologa informtica, por ejemplo en los equipos activos adicionalmente a su funcionalidad de
brindar los elementos de conectividad, permiten la configuracin de polticas de seguridad como listas
de acceso y calidad de servicio para el trfico que pasa por la red como la telefona IP.

INVERSIN
SEGURIDAD
APROXIMADA
Equipamiento de seguridad
perimetral 5'000.000,00
Licenciamiento antivirus 1000.000,00
Consultoras de seguridad 500.000,00
Equipamiento activo y
comunicaciones 18'000.000,00
Equipamiento para servidores para
autenticacin y polticas de
seguridad 1'000.000,00

30