República Bolivariana de Venezuela

Universidad Centroccidental Lisandro Alvarado

Decanato de Ciencias y Tecnología
Coordinación de Postgrado

SISTEMA DE GESTIÓN PARA LA

SEGURIDAD DE LA INFORMACIÓN.
CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN
Y COMUNICACIÓN.

Autor : Ing. Rosendo A. Mendoza.

Tutor : Msc. Ing. Euvis Piña Duin
 Contenido

• Planteamiento del problema

• Objetivos:
– General
– Específicos
• Alcance y limitaciones
• Antecedentes
• Bases Teóricas
• Marco Metodológico
• Descripción de la Propuesta
• Conclusiones y Recomendaciones
 Planteamiento del
Problema

Carencia de un Sistema Integral de Seguridad de la

Información en el Centro de Tecnología de Informa-
ción y Comunicación del DCyT, manifestado en las
siguientes situaciones:
• Carencia de políticas de seguridad.
• Falta de un control de acceso efectivo a las instalaciones.
• Hurto de bienes.
• Ausencia de un manual de funciones y procedimientos.
• Inexistencia de planes de capacitación.
• No continuidad en los planes de crecimiento.
 Planteamiento del
Problema

Interrogantes

• ¿Qué es lo que sucede en el CTIC en materia

de Seguridad de la Información?
• ¿Es viable técnica, operativa y económicamen-
te el mejoramiento de la Seguridad de la Infor-
mación en el CTIC?
• ¿Cómo podría mejorarse la Seguridad de la
Información que se maneja en el centro?
 Planteamiento del
Problema

“Un Sistema de Gestión de la Seguridad de la

Información (SGSI) ayuda a establecer políticas y

Alternativa
procedimientos en relación a los objetivos de
negocio de la organización, con objeto de mantener
un nivel de exposición menor al nivel de riesgo que
la propia organización ha decidido asumir.”

Agustín López. (1)

(1): Portal www.iso27000.es/sgsi.html

 Planteamiento del
Problema

Alternativa
La ISO/IEC 27001:2005 es un estándar
internacional que proporciona un modelo sólido
para implementar los principios y lineamientos de los
SGSI.
 Objetivos

General

Establecer un Sistema de Gestión para la Seguridad

de la Información para el Centro de Tecnología de
Información y Comunicación del Decanato de
Ciencias y Tecnología, de acuerdo al estándar
internacional ISO/IEC 27001:2005.
 Objetivos

Específicos
1. Diagnosticar la situación actual del CTIC en
relación a la Seguridad de la Información.
2. Determinar la factibilidad técnica, operativa y
económica del Establecimiento de un SGSI
para el CTIC, de acuerdo a la norma ISO/IEC
27001:2005.
3. Diseñar un SGSI para el CTIC, basado en la
norma ISO/IEC 27001:2005.
 Alcance y
Limitaciones

1. Análisis de la situación actual de la Seguridad

de la Información en base a 43 controles de la
norma ISO/IEC 27002:2005.
2. Desarrollo de la propuesta hasta la fase de
Planeación de la norma ISO/IEC 27001:2005.
3. Estimación de los resultados esperados por la
implementación de un subconjunto de contro-
les de la norma ISO/IEC 27002:2005
 Antecedentes

• Gutiérrez, Y (2003) : Proyecto Integral de Reacondi-

cionamiento de áreas, servicios y seguridad del
Centro de Computación como solución al problema
de funcionalidad del mismo.
• Angeli, J. (2005): Las Normas de Seguridad Informá-
tica y de Telecomunicaciones de la Universidad
Centroccidental Lisandro Alvarado.
• Corti, M. (2006): Análisis y Automatización de la
Implantación de SGSI en Empresas Uruguayas.
 Antecedentes

• Mujica, M. (2006): Diseño de un Plan de Seguridad

Informática para la Universidad Nacional Experimen-
tal Politécnica Antonio José de Sucre, Sede Rectoral.
• Tersek, Y. (2007): Sistema de Gestión de Seguridad
de la Información para un sistema de información.
Caso de estudio: Sistema Administrativo Integrado
SAI en la Red de datos de la UNEXPO – Puerto Ordaz.
 Bases Teóricas

Seguridad de la Análisis y Gestión

información del Riesgo

Serie de Normas Metodología

27000
 Bases Teóricas

Seguridad de la información
Es la preservación de la Información y de los
Sistemas que la gestionan en sus
dimensiones de Confidencialidad, Integridad y
Disponibilidad.
 Bases Teóricas

Seguridad de la información
Que la información no sea accesible por
personas, entidades o procesos no
autorizados
 Bases Teóricas

Seguridad de la información
Que la información sea exacta y completa
 Bases Teóricas

Seguridad de la información
Que la información, servicios y recursos sean
accesibles por las entidades autorizadas
cuando ellas lo requieran.
 Bases Teóricas

Análisis y Gestión del Riesgo

Uso sistemático de la información para
identificar amenazas y coordinar las
actividades para dirigir y controlar una
organización con relación al riesgo
 Bases Teóricas

Análisis y Gestión del Riesgo

Persigue identificar los sectores más
vulnerables de la organización y permitir
concentrar los esfuerzos de control en los
lugares críticos
 Bases Teóricas

Análisis y Gestión del Riesgo

Activo: Cualquier cosa - tangible o no - que tenga valor
para la organización.
Vulnerabilidad: Debilidad de un activo que puede ser
explotada por una amenaza.

Terminología
Amenaza: Causa potencial de un incidente no deseado,
que podría dañar uno o más activos.
Control ó Salvaguarda: Medios para manejar el riesgo;
incluyendo políticas, procedimientos, lineamientos,
prácticas o estructuras organizacionales.
Riesgo: Combinación de la probabilidad de materialización
de una amenaza y el daño que produciría sobre un activo.
 Bases Teóricas

Seguridad de la Información
Sistema de Gestión de la
Consiste en la planificación, ejecución,
verificación y mejora continua de un conjunto
de controles que permitan reducir el riesgo de
sufrir incidentes de seguridad
 Bases Teóricas

Norma ISO/IEC 27001:2005

Metodología que establece las especificaciones
para un SGSI, con el fin de garantizar que los
riesgos son conocidos, asumidos, gestionados y
minimizados, de una forma documentada,
sistemática, estructurada, continua, repetible y
eficiente.
ISO 27001: Fases
 Bases Teóricas

Norma ISO/IEC 27002:2005

Es un “Código de Buenas Prácticas” para la Seguridad
de la Información, que establece cientos de controles y
mecanismos de control, los cuales pueden ser
implementados y posteriormente chequeados por la
norma ISO/IEC 27001:2005
 Bases Teóricas

Metodología MAGERIT
1. Desarrollada por el Ministerio de Administración Pública
de España.
2. Método sistemático para el análisis de riesgos, que
facilita su evaluación y tratamiento, con el objeto de
mantenerlo bajo control.
 Bases Teóricas
• Definición del Alcance del SGSI.

Metodología MAGERIT
• Definición de una Política SGSI.
• Definición del enfoque de Evaluación de
Riesgos.
• Identificación de Riesgos.
• Análisis y Evaluación del Riesgo.
• Opciones para el Tratamiento del Riesgo.
• Selección de Objetivos de Control y Controles.
• Aprobación para los riesgos residuales.
• Autorización para implementar y operar el SGSI.
• Preparación del enunciado de aplicabilidad
(SOA).
 Marco Metodológico

Naturaleza de la investigación
Estudio de Proyecto factible, apoyado en la
investigación monográfica, documental y de
campo.
 Marco Metodológico

Objetivos del Diagnóstico

Evaluar la situación actual del CTIC, en
cuanto a Seguridad de la Información,
determinando su Nivel de Madurez en base
al cumplimiento de las cláusulas de seguridad
de la norma ISO/IEC 27002:2005.
(7 cláusulas y 43 controles)
 Resultados del Diagnóstico
Marco Metodológico
Marco Metodológico

Resultados del Diagnóstico

Fuente: López, F. y otros (2006).
 Marco Metodológico

Conclusiones del Diagnóstico

• Los controles existen, pero no se gestionan.
• El éxito es una cuestión de azar.
• Se exceden con frecuencia el presupuesto y el
tiempo de respuesta.
• El éxito depende de personal de alta calidad.

El Plan de Seguridad de la Información del CTIC

no es eficaz en el control de Incidentes de
Seguridad
 Marco Metodológico

Factibilidad Operativa
1. Existe una muy buena disposición, por parte de la
Jefatura del Centro, para mejorar la Seguridad del
CTIC.
2. Tanto el personal del CTIC como sus usuarios,
tienen experiencia en el área de computación y
están familiarizados con los aspectos de la
seguridad tecnológica.
 Marco Metodológico

Factibilidad Técnica
1. La norma ISO/IEC 27001:2005 es un modelo deta-
llado, el cual especifica las etapas que se deben
cumplir para la implantación de un SGSI.
2. El Decanato de Ciencias y Tecnología cuenta con
personal capacitado para liderar el proyecto.
3. El CTIC cuenta con el equipo informático adecua-
do para el desarrollo del proyecto.
 Marco Metodológico

Factibilidad Económica
1. Programas de ayuda económica que apoyan los
desarrollos tecnológicos, tales como el CDCHT y
los proyectos LOCTI.
2. Existencia de metodologías y herramientas gratui-
tas para llevar a cabo la instalación y operación
de un SGSI, como por ejemplo: EBIOS, MAGERIT
e ISO27001.
 Propuesta del Estudio

Establecimiento del SGSI para el CTIC

en base a la norma internacional
ISO/IEC 27001:2005
Definición del Alcance
del SGSI.
Definición de la Política
del SGSI.
Identificación de Riesgos
Identificación de Activos
 Propuesta de Estudio

Enfoque de Evaluación del

1. Modelo Cualitativo de Evaluación de Riesgos

Riesgo
propuesto en la metodología MAGERIT.
2. Riesgo Inicial aceptado: 15%
 Propuesta del Estudio

Identificación de Riesgos
Clasificación de Activos
• Servicios.
• Datos e Información.
Categoría

• Equipamiento.
• Aplicaciones.
• Soporte de Información.
• Equipamiento Auxiliar.
• Instalaciones.
• Personal

Fuente: Metodología MAGERIT

Propuesta del Estudio

Identificación de Riesgos
Valor propio del Activo
Fuente: ISO27001 Security home. www.iso27001security.com
Identificación de Riesgos
Valor acumulado del Activo
Identificación de Riesgos
Catálogo de Activos
Identificación de Riesgos
Identificación de Amenazas
Fuente: Metodología MAGERIT
 Propuesta del Estudio

Identificación de Riesgos
Determinación del Riesgo
Activo degradado
Activo/Vulnerabilidad Amenaza/Frecuencia

RIESGO

Riesgo = Valor_Activo x Degradación x Frecuencia

Fuente: ISO27001 Security home. www.iso27001security.com

Tablas de valor para Degradación y
Frecuencia

Fuente: ISO27001 Security home. www.iso27001security.com

 Bases Teóricas

Determinación del Riesgo

Nivel de Probabilidad de Riesgo
• Herramienta que facilita las tareas de Análisis y Gestión
del Riesgo.
• Desarrollada por especialistas en la materia.
• Configurada como una hoja de cálculo.

NPR = Riesgo x Probabilidad_Gestión

Fuente: ISO27001 Security home. www.iso27001security.com

Tablas de valor para Gestión del Riesgo

Fuente: ISO27001 Security home. www.iso27001security.com

Catálogo de activos: Tabla de amenazas: Tablas de Valor:
Presentación de Presentación de Presentación de
Microsoft PowerPoint Microsoft PowerPoint Microsoft PowerPoin

Documento completo:
 Propuesta del Estudio

Análisis y Evaluación
Resumen:

del Riesgos
• Total de Amenazas y Riesgos Detectados: 64
• Total de Riesgos con NPR en ROJO: 3
• Total de Riesgos con NPR en AMARILLO: 12
• Total de Riesgos con NPR en VERDE: 7
• Total de Riesgos con NPR en GRIS: 42
 Propuesta del Estudio

Opciones para el Tratamiento

Se seleccionan:

del Riesgo
• Aceptar el riesgo con NPR de hasta 15%
• Aplicar controles para los riesgos no
aceptados
 Propuesta del Estudio

Selección de Controles
Para cada Riesgo identificado se
proponen uno o más controles de
la Norma ISO/IEC 27002:2005.
Enlace al documento completo:
Presentación de
 Propuesta del Estudio

Enunciado de Aplicabilidad
Es un documento que tiene como finalidad la
observancia de todos los controles de
seguridad propuestos en la norma, con la
justificación de su inclusión o exclusión,
según sea el caso.
Enlace al documento completo:
Presentación de
 Conclusiones

• Madurez del SGSI actual del CTIC: Nivel

L1 (Inicial).
• Cumplimiento de los controles
propuestos en la norma ISO/IEC 27002 :
42.69 %
• Reducción del Nivel de Riesgo al
implantar los controles propuestos:
Menor a 23 puntos.
 Conclusiones

• Una metodología SGSI permite descubrir

los puntos vulnerables de un Sistema de
Información.
• Es relevante involucrar a todo el personal
en la Seguridad de la Información.
• Una herramienta AGR sólida permite
producir resultados comparables y
repetibles en el tiempo.
 Recomendaciones

• Tomar acciones inmediatas para gestionar

los Riesgos con un NPR en ROJO.
• Establecer formalmente el SGSI propuesto.
• Designar una persona encargada para la
Seguridad de la Información del CTIC
• Implementar el Plan propuesto para el
Tratamiento de los Riesgos detectados.
• Una vez ganada experiencia, aplicarlo a
otras unidades de la universidad.
 Recomendaciones
• Profundizar en el desarrollo de la
herramienta AGR utilizando Sistemas
Expertos.
• Profundizar el estudio de métricas y
técnicas para la determinación de la
eficacia de un SGSI.
• Promover la cátedra de Seguridad de la
Información en el programa de Ingeniería en
Informática.
• Confeccionar una metodología SGSI para la
universidad.
No hay seguridad total sino
seguridad gestionada.

Ing. Rosendo Mendoza