Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESUMEN ABSTRACT
1
organización, se hace necesario conocer que tan Por esto, hoy, para poder alcanzar los niveles
seguros y confiables son las aplicaciones y el deseados de calidad y mejorar la productividad
software con los cuales se cuenta en la empresa. de multitud de sistemas, se están desarrollando
Es por esto, que se hace importante realizar una estrategias de seguridad virtual basándose en el
investigación, que permita conocer como esta paradigma de ingeniería de Líneas de Producto
hoy en día las empresas en materia de seguridad Software (LPS), ya que las LPS ayudan a
virtual y que estrategias se deben tener en reducir significativamente el tiempo de puesta
cuenta por parte de los desarrolladores de en producción y los costes de desarrollo,
software ante las posibles vulnerabilidades de mediante la reutilización de todo tipo de
seguridad a las cuales pueden estar sujetos. artefactos.
Según la norma ISO/IEC 27001 [3], las
vulnerabilidades de software son la base de los Este artículo de investigación, pretende analizar
incidentes de seguridad. requerimientos que permitan darle a la
empresas soluciones y alternativas de seguridad
Por otra parte la norma ISO/IEC 27002 [4], para sus aplicaciones y software, para esto se
plantea que “la seguridad debe ser un requisito realizará el análisis de los requisitos de
básico en el desarrollo de software, debido a la seguridad en todo el ciclo de vida del software
necesidad de proteger las infraestructuras con el fin minimizar el número e impacto de las
importantes y preservar la confiabilidad en la vulnerabilidades en los desarrollos de la
computación. Para cumplir las fuertes aplicaciones utilizadas en la empresa y que se
exigencias de seguridad se deben implementar convierten en herramientas de uso diario por lo
procesos y desarrollos tecnológicos y virtuales que hace que sean mas vulnerables en lo que a
que se puedan medir, por tal razón se deben seguridad se refiere.
adoptar medidas más estrictas en seguridad. El
ciclo de vida de desarrollo de un aplicativo está Este artículo está diseñado a través de una
compuesto por planificación, diseño, desarrollo, estructura lógica y secuencial de los temas, con
pruebas, implementación y mantenimiento. el propósito de que el lector pueda realizar un
Para el desarrollo un software seguro es recorrido por el tema de las especificaciones de
fundamental la denominada Ingeniería de requerimientos de seguridad. Debido a esto, el
Requisitos de Seguridad, la cual suministra artículo inicia con una introducción del tema;
métodos, técnicas y normas para guiarnos en en segundo lugar se nombraran las normas
todas las fases de desarrollo” (p. 33). técnicas que hablan sobre seguridad y
tecnologías de información; en tercer lugar se
La referencia [5], muestra como en la analizara el concepto de seguridad informática
actualidad está ampliamente defendido el en la empresa; en cuarto punto se realizará una
principio que establece que la seguridad debería investigación de la importancia que debe tener
considerarse desde las primeras fases del la seguridad de la información; por último se
desarrollo y que los requisitos de seguridad desarrollarán las conclusiones obtenidas
deberían definirse junto con los demás después de concluida esta investigación.
requisitos del sistema de información, ya que
esto permite soluciones más eficientes y
robustas así como ayudar a reducir los 1. PLANTEAMIENTO DEL PROBLEMA
conflictos entre los requisitos de seguridad y los
demás requisitos. Como se muestra en la La información es el instrumento fundamental
referencia [6], asimismo, en los últimos años se para el funcionamiento de las empresas y la
está observando un incremento en la demanda operación de los negocios, esto hace que la
de software y en su complejidad requerida, lo información deba protegerse como el activo
cual aumenta la potencialidad de presentar más importante de la organización. Hoy en día
brechas de seguridad. y debido al aumento en el uso del internet, la
2
evolución de la tecnología y la falta de Debido a esto, las organizaciones deben invertir
conocimiento para mitigar riesgos de ataques, en aplicar herramientas que mejoren su
ha generado innumerables amenazas que seguridad, que les permitan proteger y evitar en
aprovechan vulnerabilidades de las empresas lo posible que los activos de mayor valor se
para materializar riesgos y generar un impacto pierdan ante cualquier eventualidad, y en
negativo en las organizaciones, ocasionando desarrollar e implementar enfoques y esquemas
que se pierdan alguna o todas las características para el control y gestión de las amenazas
que debe preservar la información: presentes y futuras.
disponibilidad, integridad, confidencialidad,
autenticidad y trazabilidad. Las empresas A continuación se analizará la aparición de las
colombianas no son ajenas a la problemática normas en seguridad informática y como estas
planteada anteriormente, dado que muchos de se han actualizado durante el tiempo debido a
estos ataques se realizan a través de Internet. las exigencias que se presentan día a día.
Teniendo como punto de referencia las 2.1 Descripción de la Norma ISO 17799
empresas que manejan sus procesos a través de
la web, y que por ende su información esta La primera norma fue aprobada oficialmente en
almacenada en línea, y que algunos de sus 1995 (BS 7799:95) y nace como un código de
trámites se realizan en línea a través de la buenas prácticas para la gestión de seguridad de
internet, se hace necesario la realización de un la información. Cronológicamente a este primer
análisis sobre el estado en que se encuentran las gran hito en la normalización de la gestión de la
empresas en lo que se refiere a políticas de seguridad de la información le han seguido las
seguridad y aplicación de normas como la ISO siguientes normas y etapas:
17799, 27001 y 27002, con la intención de
analizar el cumplimiento de estas. En 1998, tres años después, se publica la norma
BS 7799-2, en la que se recogen
Debido a lo anterior, se nota la necesidad de especificaciones para la gestión de la seguridad
analizar qué grado de vulnerabilidad pueden de la información y se “lanzan” requerimientos
llegar a tener las empresas que usan el internet certificables por primera vez.
dentro de sus procesos organizacionales, con el
propósito de identificar que falencias se tienen a En el año 1999, se lanza la segunda edición, en
la hora de protegerse contra posibles ataques e la que se añade “e-commence” al alcance de la
infiltraciones en sus sistemas de información. norma. En aquella época, la Organización
Internacional de Normalización (ISO) comienza
a interesarse ya por los trabajos publicados por
2. DESCRIPCIÓN DE LAS NORMAS DE el Instituto inglés.
SEGURIDAD INFORMÁTICA (ISO 17799,
27001 y 27002) La norma ISO 17799 es un estándar para la
seguridad de la información publicado por
Los Sistemas de Gestión de Seguridad de la primera vez como ISO 17799:2000 por
Información (SGSI), así como las redes de International Organization for Standardization y
trabajo de las organizaciones, se están viendo por la comisión International Electrotechnical
afectadas por amenazas de seguridad, ataques y Commission en el año 2000 y con el título de
fraudes informáticos, problemas de sabotajes, Information technology – Security techniques –
virus informáticos y otro tipo de contingencias, Code of practice for information security
imprevistos y catástrofes mayores, con el management. Tras un periodo de revisión y
posible riesgo de eliminación y pérdida de actualización de los contenidos del estándar se
información. publicó en el año 2005 el documento
actualizado denominado ISO 17799:2005.
3
La norma ISO/IEC 17799:2005 proporciona adecuado. Con la aprobación de la norma ISO
recomendaciones de las mejores prácticas en la 27001 en octubre de 2005 y la reserva de la
gestión de la seguridad de la información a numeración 27000 para la seguridad de la
todos los interesados y responsables en iniciar, información, la norma ISO 17799:2005 paso a
implantar o mantener sistemas de gestión de ser renombrada como ISO 27002 en la revisión
seguridad4de la información. La seguridad de la y actualización de sus contenidos en el año
información se define en la norma como “la 2007.
preservación de la confidencialidad
(asegurando que solo quienes estén autorizados 2.2 Descripción de la Norma ISO 27001
pueden acceder a la información), integridad
(asegurando que la información y sus métodos La norma ISO 27001:2005 (Information
de proceso son exactos y completos) y technology – Security techniques – Information
disponibilidad (asegurando que los usuarios security management systems – Requirements)
autorizados tienen acceso a la información y a si es certificable y especifica los requisitos para
sus activos asociados cuando lo requieran). un SGSI que permitirán a la organización
establecer, implantar, operar, supervisar o en
La versión de 2005 de la norma 17799, incluye términos de norma “monitorizar”, revisar,
dentro de su contenido once secciones mantener y mejorar un SGSI documentado en el
principales las cuales son: contexto de la actividad de la organización,
teniendo en cuenta sus problemáticas y riesgos
Política de seguridad. de seguridad o de otro tipo, intrínsecos a su
Aspectos organizativos para la negocio. La ISO 27001 se ha creado entre otras
seguridad. cuestiones para garantizar su adecuación y
Clasificación y control de activos. proporcionar controles de seguridad que
Seguridad física y del entorno. protejan adecuadamente los activos de la
Gestión de comunicaciones y información y proporcionar confianza a los
operaciones. consumidores, clientes y otras partes
Control de accesos. interesadas.
Desarrollo y mantenimiento de
Cabe aclarar que el tema de certificación en
sistemas.
aspectos de seguridad virtual, tal vez aún no ha
Gestión de incidentes de seguridad de la
sido considerado con la seriedad que merece en
información.
el ámbito empresarial. Cuando se analiza la
Gestión de continuidad de negocio. norma ISO 27001, se nota que este estándar
Conformidad. internacional ha sido desarrollado (por primera
vez con relación a la seguridad) con toda la
Dentro de cada sección, se especifican los fuerza y detalle que hacía falta para empezar a
objetivos de los distintos controles para la presionar al ámbito empresarial sobre su
seguridad de la información. Para cada uno de aplicación. Es decir, se puede prever, que la
los controles se indica asimismo una guía para certificación ISO-27001, será casi una
su implementación. El número total de obligación de cualquier empresa que desee
controles suma 133 entre todas las secciones competir en el mercado en el corto plazo, lo
aunque cada organización debe considerar cual es lógico, pues si se desea interrelacionar
previamente cuanto serán realmente los sistemas de clientes, control de stock,
aplicables y según sus propias necesidades. La facturación, pedidos, productos, etc. entre
norma ISO 17799 es una guía de buenas diferentes organizaciones, se deben exigir
prácticas y no especifica los requisitos mutuamente niveles concretos y adecuados de
necesarios que puedan permitir el seguridad informática, sino se abren brechas de
establecimiento de un sistema de certificación seguridad entre sí.
4
Los detalles que conforman el cuerpo de esta permitir la continua mejora del SGSI. Los
norma, se podrían agrupar en tres grandes requerimientos de este estándar internacional,
líneas: son genéricos y aplicables a la totalidad de las
organizaciones. La exclusión de los
SGSI. requerimientos especificados en las cláusulas 4,
Valoración de riegos (Risk Assessment) 5, 6, 7 y 8, no son aceptables cuando una
Controles organización solicite su conformidad con esta
norma.
Este estándar internacional adopta un proceso
para establecer, implementar, operar, Estas cláusulas son:
monitorizar, revisar, mantener y mejorar el
SGSI en una organización. Una organización 4. SGSI.
necesita identificar y administrar cualquier tipo 5. Responsabilidades de la Administración.
de actividad para funcionar eficientemente. 6. Auditoría Interna del SGSI.
Cualquier actividad que emplea recursos y es 7. Administración de las revisiones del
administrada para transformar entradas en SGSI.
salidas, puede ser considerada como un 8. Mejoras del SGSI.
“proceso”. A menudo, estas salidas son (Estas cláusulas realmente conforman el
aprovechadas nuevamente como entradas, cuerpo principal de esta norma)
generando una realimentación de los mismos.
Cualquier exclusión a los controles detallados
Este estándar internacional adopta también el por la norma y denominados como “necesarios”
modelo “Plan-Do-Check-Act” (PDCA), el cual para satisfacer los criterios de aceptación de
es aplicado a toda la estructura de procesos de riegos, debe ser justificada y se debe poner de
SGSI, y significa lo siguiente: manifiesto, o evidenciar claramente los criterios
por los cuales este riesgo es asumido y
Plan (Establecer el ISMS): Implica, establecer a aceptado. En cualquier caso en el que un
política SGSI, sus objetivos, procesos, control sea excluido, la conformidad con este
procedimientos relevantes para la estándar internacional, no será aceptable, a
administración de riesgos y mejoras para la menos que dicha exclusión no afecte a la
seguridad de la información, entregando capacidad y/o responsabilidad de proveer
resultados acordes a las políticas y objetivos de seguridad a los requerimientos de información
toda la organización. que se hayan determinado a través de la
evaluación de riesgos, y sea a su vez aplicable a
Do (Implementar y operar el SGSI): Representa las regulaciones y legislación vigente.
la forma en que se debe operar e implementar la
política, controles, procesos y procedimientos. Según la Asociación Española para la Calidad
[AEC] (2006), una de las fortalezas y claves del
Check (Monitorizar y revisar el SGSI): Analizar éxito de la nueva ISO 27001 es que la
y medir donde sea aplicable, los procesos estructura de la norma está relacionada,
ejecutados con relación a la política del SGSI, construida y documentada, como el resto de las
evaluar objetivos, experiencias e informar los siguientes normas ISO de gestión:
resultados a la administración para su revisión.
Serie ISO 9000, tanto la norma ISO
Act (Mantener y mejorar el SGSI): Realizar las 9001, como las Directrices de mejora
acciones preventivas y correctivas, basados en del desempeño (9004) como el
las auditorías internas y revisiones del SGSI o vocabulario y terminología (ISO 9000).
cualquier otra información relevante para
5
Norma ISO 14001 para Sistemas de 3.3.1 Objetivos de la seguridad informática
Gestión Medioambiental.
El objetivo de la seguridad informática es
Norma ISO 19011, que proporciona las proteger los recursos informáticos valiosos de
guías para auditores de sistemas de la organización, tales como la información, el
calidad y/o medio ambiente. hardware o el software. A través de la adopción
de las medidas adecuadas, la seguridad
Después de la breve descripción de las normas, informática ayuda a la organización cumplir sus
se nota claramente la importancia que tiene objetivos, protegiendo sus recursos financieros,
cada una en lo que a seguridad virtual se sus sistemas, su reputación, su situación legal, y
refiere, además se evidencia la forma como otros bienes tanto tangibles como inmateriales
estas permanecen en constante actualización [8].
con el propósito de estar vigente a las
necesidades que se presentan en el medio día a Desafortunadamente, en ocasiones se ve a la
día y teniendo en cuenta que los ataques a los seguridad informática como algo que dificulta
cuales se ven sometidas las empresas en su la consecución de los propios objetivos de la
seguridad informática son cambiantes y cada organización, imponiendo normas y
vez se presentan de formas distintas. procedimientos rígidos a los usuarios, a los
sistemas y a los gestores. Sin embargo debe
verse a la seguridad informática, no como un
3. SEGURIDAD INFORMÁTICA EN LA objetivo en sí mismo, sino como un medio de
EMPRESA apoyo a la consecución de los objetivos de la
organización [8].
Con lo mostrado en la referencia [8], desde la
consolidación de Internet como medio de En general el principal objetivo de las
interconexión global, los incidentes de empresas, es obtener beneficios y el de las
seguridad relacionados con sistemas organizaciones públicas, ofrecer un servicio
informáticos vienen incrementándose de eficiente y de calidad a los usuarios. En las
manera alarmante. Este hecho, unido a la empresas privadas, la seguridad informática
progresiva dependencia de la mayoría de debería apoyar la consecución de beneficios.
organizaciones hacia sus sistemas de Para ello se deben proteger los sistemas para
información, viene provocando una creciente evitar las potenciales pérdidas que podrían
necesidad de implantar mecanismos de ocasionar la degradación de su funcionalidad o
protección que reduzcan al mínimo los riesgos el acceso a los sistemas por parte de personas
asociados a los incidentes de seguridad. no autorizadas [8].
Con independencia del tipo o tamaño de la La organización debe asegurarse de que todos
empresa, todas las organizaciones son los miembros del personal con
vulnerables a las amenazas que ponen en responsabilidades específicas en el SGSI están
peligro la confidencialidad, integridad y debidamente formados, cualificados y
disponibilidad de la información importante. capacitados para realizar sus funciones. La
organización debe también asegurarse de que el
Cuanto antes se adopten las medidas personal necesario está concienciado de la
correctivas, la seguridad representará un menor importancia de sus actividades en la seguridad
coste y será más efectiva. Para poder realizar de la información y de cómo contribuyen ellos
una identificación y selección de controles más a alcanzar los objetivos del SGSI.
sencillos que permitan una mejor gestión de los
recursos humanos y financieros se debe conocer Es importante desarrollar un programa de
la fuente y naturaleza de las amenazas. formación y sensibilización con el fin de
“educar” a todos los empleados. Los empleados
Aplicabilidad de los controles de la ISO tienen que entender y respetar las buenas
17799: diagnóstico preliminar. prácticas de seguridad de la información.
10
4.3.7 Paso 7: Ajustes y preparación para la maneja. La política debe estar basada en la
Auditoría de Certificación premisa que “en general, todo está prohibido, a
menos que este expresamente permitido”,
El Diagnóstico es uno de los pasos “previos e siendo esta la regla más fuerte, ya que es más
imprescindibles” de toda organización que conveniente para la organización documentar lo
desee y tenga como objetivo la certificación de que se permite tanto lo lógico como físico
acuerdo a la norma ISO 27001, con el fin de considerándolos en conjunto.
validar si el sistema sigue las especificaciones
necesarias para la implantación de su marco de 4.4.1 Gestión del acceso a los usuarios
gestión. Otro de los pasos que es un requisito
sine qua non para el éxito de la auditoría es la Asegurar el acceso a los usuarios autorizados y
Declaración de Aplicabilidad, que deberá ser evitar el acceso a los usuarios no autorizados,
obligatoriamente realizada antes de la auditoría. teniendo en cuenta las fases del ciclo de vida
del acceso de usuario que empieza con el
Este documento (que se convertirá en un registro de usuario, definiendo los roles de
registro imprescindible del SGSI de cara a la acceso del usuario según el perfil de usuario. A
auditoría de certificación) proporciona la continuación se definen los privilegios del
justificación para la aplicabilidad o no usuario que es un factor determinante para
aplicabilidad de cada control ISO 27001 del prevenir fallas o vulnerabilidades del sistema.
SGSI en cuestión, incluyendo también dónde es Después se asigna la contraseña controlándola a
aplicable el estado de implantación de cada través de un proceso formal de gestión, es
control. conveniente tener diferentes tecnologías para la
identificación y autentificación de los usuarios.
En la Declaración de Aplicabilidad deben ser Por último la revisión de los derechos de acceso
explicados los objetivos, los controles de los usuarios manteniendo un control eficaz
seleccionados, y las razones para su selección, del acceso a los datos y sistemas de
como así también las razones para la exclusión información [7].
de cualquier medida de la norma ISO 27001.
4.4.2 Control al sistema operativo
4.3.8 Paso 8: Control y mejora continua
Continuando con el tema analizado en la
Control y mejora continua del SGSI de acuerdo referencia [7], es recomendable utilizar medios
al Ciclo de DEMING (P-D-C-A) establecido en de seguridad para el acceso de los usuarios al
la norma debiéndose realizar antes de la sistema operativo, los cuales deben de estar en
Auditoría de Certificación en función de los la capacidad de autenticar a usuarios de acuerdo
resultados del diagnóstico. con la política de seguridad, registrar los
intentos exitosos y los intentos fallidos de
A continuación se muestra una forma de control ingresos al sistema, registrar el uso de los
de acceso que puede llegar a ser de gran ayuda privilegios del usuario al ingreso del sistema,
para las empresas y podrán así evitar así generar alarmas cuando son violadas las
muchos dolores de cabeza en lo que a seguridad políticas de seguridad, y definir cuando sea
virtual se refiere. necesario restringir el tiempo de conexión a los
usuarios.
4.4 Control de acceso
4.4.3 Computación móvil y trabajo remoto
Como se analiza en la referencia [7], se debe
establecer, documentar y revisar una política de Continuando con la referencia [7], establecer la
control de acceso a la información teniendo en protección idónea para evitar el acceso o
cuenta la distribución e información que se divulgación a personas no autorizadas de la
11
información almacenada o procesada a través manera se asegura el éxito de la
de los dispositivos móviles o estaciones de implementación del sistema. En otras palabras,
trabajo remotas. El acceso remoto por medio de un sistema por sí solo no funciona para esto se
redes públicas a los sistemas de información de debe contar con el apoyo del personal de la
la organización debe contar con mecanismos empresa.
adecuados de control para de identificar y
autentificar a cada usuario. Los equipos móviles Teniendo en cuenta al alto grado de relevancia
se deben proteger físicamente contra el robo. que ha venido teniendo el tema de la seguridad
de la información en los últimos años y a la
Si el equipo cuenta con información sensible o dependencia que las empresas tienen de sus
critica de la organización no se debe dejar sin sistemas de seguridad informática, se hace
prestarle atención y ser bloqueado con un necesario garantizar su correcto funcionamiento
medio físico. El personal que porta este equipo mediante protección a los ataques internos y
debe ser informado de los riesgos, controles, externos. A su vez el análisis de riesgos se
obligaciones y deberes que se tienen. El trabajo convierte en un factor común en cualquier
remoto se debe autorizar si están satisfechos las metodología de desarrollo seguro, porque es
disposiciones y controles de seguridad que imperativo conocer cuáles son los activos
estén acordes con las políticas de seguridad. críticos de la organización y cuáles son las
Este trabajo debe ser autorizado por la dirección amenazas asociadas con ellos.
de la organización. Se deben emplear
tecnologías de comunicación que permitan a los Por último se concluye que cuando se desea
usuarios realizar el trabajo fijo desde un lugar desarrollar una aplicación segura que sea
fuera de la organización. aplicada a la seguridad informática, esta se
logra no solamente con buenos algoritmos de
Tomando como referencia lo anterior, se seguridad, sino que la seguridad de un producto
evidencia entonces que es de vital importancia final de software se siembra desde el mismo
controlar el acceso a los sistemas de momento en el que se gestiona el proyecto de
información de las empresas, teniendo en software y debe estar presente en todo el ciclo
cuenta que esta es la principal herramienta de de vida y de desarrollo del mismo para lograr
trabajo de las mismas, y es aquí donde reposa la que verdaderamente la seguridad en una
información más importante y a la cual se le herramienta sea una realidad por lo menos en
debe proteger de gran forma. No se trata de un alto grado, dado que la seguridad plena en
restringir el acceso totalmente, pero sí de ser software nunca existe.
selectivos con las personas que puedan hacer
uso de él, teniendo en cuenta hasta qué punto
pueden llegar a tener acceso y que información REFERENCIAS BIBLIOGRÁFICAS
pueden o no conocer.
[1] Asociación Española para la Calidad [AEC]
(2006). La gestión de la seguridad en la
5. CONCLUSIONES empresa. Recuperado el 20 de octubre de 2012
de
Para todas las empresas que deseen http://www.aec.es/c/document_library/get_file?
implementar programas de seguridad p_l_id=33948&folderId=195657&name=DLFE
informática, deben tener presente además de la -5965.pdf
implementación de un sistema de seguridad de
la información basado en la norma ISO 27000 [2] ISO/IEC 17799 (2000) .Tecnología de la
se hace importante contar con el recurso Información – Técnicas de seguridad – Código
humano que posea sentido de pertenencia y para la práctica de la gestión de la seguridad de
responsabilidad hacia la empresa; de esta la información.
12
[3] ISO/IEC 27001 (2005). Tecnología de la
información Técnicas de Seguridad / sistemas
de gestión de Seguridad de la información.
Requerimientos.
13