ANÁLISIS Y ESPECIFICACIONES DE REQUERIMIENTOS DE SEGURIDAD

INFORMÁTICA EN LAS EMPRESAS

Alexa Rodas Mira

alexarodas@gmail.com
arodas@qvision.com.co

Facultad de Ingeniería, Universidad San Buenaventura.

Medellín, Colombia.

RESUMEN ABSTRACT

En la actualidad, la tecnología y la informática Today, computer technology and have become

se han convertido en un elemento vital para los
procesos de toda organización, razón por la cual
deben tener presente los vacíos relacionados a
los delitos informáticos que son usados para
atacar las vulnerabilidades de los aplicativos de
cada organización. La seguridad en los
desarrollos de software es un área vital que está
cobrando gran auge dentro de la ingeniería de
software, teniendo en cuenta que con el
crecimiento acelerado que ha tenido el internet,
las posibilidades de ataques han aumentado en
un 70% según la empresa Kaspersky Lab
(2012). Este riesgo ayudó a que los dueños de
desarrollador de software y de procesos, tomen
conciencia de la importancia de crear nuevas
metodologías basadas en seguridad. Ante este
riego, se ha planteado solucionar este aspecto
mediante de una metodología de desarrollo que
permita no solo hacer desarrollos funcionales,
sino que a la vez integre funcionalidad con
seguridad.
A raíz de esto, en este artículo, se realiza una
investigación y análisis de varias Normas
internacionales relacionadas con la seguridad a
cada una de las fases del proceso de desarrollo
de software, con el propósito de identificar que
amenazas pueden llegar a tener las empresas en
este tema.
Palabras Clave: Seguridad Virtual,
Vulnerabilidad; Requerimientos, Normas ISO
(17799, 27001 y 27002).
a vital element of any organization's processes,
why should note gaps related to computer
crimes that are used to attack the vulnerabilities
of the applications of each organization.
Security in software development is a key area
that is gaining great height within software
engineering, considering that with the rapid
growth that has taken the internet; the
possibilities of attacks have increased by 70%
as the company Kaspersky Lab (2012). This
risk helped the owners and developer of
software processes, aware of the importance of
new methodologies based on safety. Given this
risk, has been raised around this issue by
developing a methodology that allows
developments do not only functional, but that
also integrates functionality safely.
Following this, in this paper, we make an
investigation and analysis of various
International standards related to safety to each
of the phases of the software development
process, in order to identify which threats can
have businesses in this topic.
Keywords: Virtual Security Vulnerability,
Requirements, ISO (17799, 27001 y 27002).
INTRODUCCIÓN
En esta nueva era, en la que el internet y las
aplicaciones informáticas están inmersos en
todos los procesos y aspectos de la

1
organización, se hace necesario conocer que tan
seguros y confiables son las aplicaciones y el
software con los cuales se cuenta en la empresa.
Es por esto, que se hace importante realizar una
investigación, que permita conocer como esta
hoy en día las empresas en materia de seguridad
virtual y que estrategias se deben tener en
cuenta por parte de los desarrolladores de
software ante las posibles vulnerabilidades de
seguridad a las cuales pueden estar sujetos.
Según la norma ISO/IEC 27001 [3], las
vulnerabilidades de software son la base de los
incidentes de seguridad.
Por otra parte la norma ISO/IEC 27002 [4],
plantea que “la seguridad debe ser un requisito
básico en el desarrollo de software, debido a la
necesidad de proteger las infraestructuras
importantes y preservar la confiabilidad en la
computación. Para cumplir las fuertes
exigencias de seguridad se deben implementar
procesos y desarrollos tecnológicos y virtuales
que se puedan medir, por tal razón se deben
adoptar medidas más estrictas en seguridad. El
ciclo de vida de desarrollo de un aplicativo está
compuesto por planificación, diseño, desarrollo,
pruebas, implementación y mantenimiento.
Para el desarrollo un software seguro es
fundamental la denominada Ingeniería de
Requisitos de Seguridad, la cual suministra
métodos, técnicas y normas para guiarnos en
todas las fases de desarrollo” (p. 33).
La referencia [5], muestra como en la
actualidad está ampliamente defendido el
principio que establece que la seguridad debería
considerarse desde las primeras fases del
desarrollo y que los requisitos de seguridad
deberían definirse junto con los demás
requisitos del sistema de información, ya que
esto permite soluciones más eficientes y
robustas así como ayudar a reducir los
conflictos entre los requisitos de seguridad y los
demás requisitos. Como se muestra en la
referencia [6], asimismo, en los últimos años se
está observando un incremento en la demanda
de software y en su complejidad requerida, lo
cual aumenta la potencialidad de presentar
brechas de seguridad.
Por esto, hoy, para poder alcanzar los niveles
deseados de calidad y mejorar la productividad
de multitud de sistemas, se están desarrollando
estrategias de seguridad virtual basándose en el
paradigma de ingeniería de Líneas de Producto
Software (LPS), ya que las LPS ayudan a
reducir significativamente el tiempo de puesta
en producción y los costes de desarrollo,
mediante la reutilización de todo tipo de
artefactos.
Este artículo de investigación, pretende analizar
requerimientos que permitan darle a la
empresas soluciones y alternativas de seguridad
para sus aplicaciones y software, para esto se
realizará el análisis de los requisitos de
seguridad en todo el ciclo de vida del software
con el fin minimizar el número e impacto de las
vulnerabilidades en los desarrollos de la
aplicaciones utilizadas en la empresa y que se
convierten en herramientas de uso diario por lo
que hace que sean mas vulnerables en lo que a
seguridad se refiere.
Este artículo está diseñado a través de una
estructura lógica y secuencial de los temas, con
el propósito de que el lector pueda realizar un
recorrido por el tema de las especificaciones de
requerimientos de seguridad. Debido a esto, el
artículo inicia con una introducción del tema;
en segundo lugar se nombraran las normas
técnicas que hablan sobre seguridad y
tecnologías de información; en tercer lugar se
analizara el concepto de seguridad informática
en la empresa; en cuarto punto se realizará una
investigación de la importancia que debe tener
la seguridad de la información; por último se
desarrollarán las conclusiones obtenidas
después de concluida esta investigación.
1. PLANTEAMIENTO DEL PROBLEMA
La información es el instrumento fundamental
para el funcionamiento de las empresas y la
operación de los negocios, esto hace que la
información deba protegerse como el activo
más importante de la organización. Hoy en día
y debido al aumento en el uso del internet, la
2
evolución de la tecnología y la falta de
conocimiento para mitigar riesgos de ataques,
ha generado innumerables amenazas que
aprovechan vulnerabilidades de las empresas
para materializar riesgos y generar un impacto
negativo en las organizaciones, ocasionando
que se pierdan alguna o todas las características
que debe preservar la información:
disponibilidad, integridad, confidencialidad,
autenticidad y trazabilidad. Las empresas
colombianas no son ajenas a la problemática
planteada anteriormente, dado que muchos de
estos ataques se realizan a través de Internet.
Teniendo como punto de referencia las
empresas que manejan sus procesos a través de
la web, y que por ende su información esta
almacenada en línea, y que algunos de sus
trámites se realizan en línea a través de la
internet, se hace necesario la realización de un
análisis sobre el estado en que se encuentran las
empresas en lo que se refiere a políticas de
seguridad y aplicación de normas como la ISO
17799, 27001 y 27002, con la intención de
analizar el cumplimiento de estas.
Debido a lo anterior, se nota la necesidad de
analizar qué grado de vulnerabilidad pueden
llegar a tener las empresas que usan el internet
dentro de sus procesos organizacionales, con el
propósito de identificar que falencias se tienen a
la hora de protegerse contra posibles ataques e
infiltraciones en sus sistemas de información.
2. DESCRIPCIÓN DE LAS NORMAS DE
SEGURIDAD INFORMÁTICA (ISO 17799,
27001 y 27002)
Los Sistemas de Gestión de Seguridad de la
Información (SGSI), así como las redes de
trabajo de las organizaciones, se están viendo
afectadas por amenazas de seguridad, ataques y
fraudes informáticos, problemas de sabotajes,
virus informáticos y otro tipo de contingencias,
imprevistos y catástrofes mayores, con el
posible riesgo de eliminación y pérdida de
información.
Debido a esto, las organizaciones deben invertir
en aplicar herramientas que mejoren su
seguridad, que les permitan proteger y evitar en
lo posible que los activos de mayor valor se
pierdan ante cualquier eventualidad, y en
desarrollar e implementar enfoques y esquemas
para el control y gestión de las amenazas
presentes y futuras.
A continuación se analizará la aparición de las
normas en seguridad informática y como estas
se han actualizado durante el tiempo debido a
las exigencias que se presentan día a día.
2.1 Descripción de la Norma ISO 17799
La primera norma fue aprobada oficialmente en
1995 (BS 7799:95) y nace como un código de
buenas prácticas para la gestión de seguridad de
la información. Cronológicamente a este primer
gran hito en la normalización de la gestión de la
seguridad de la información le han seguido las
siguientes normas y etapas:
En 1998, tres años después, se publica la norma
BS 7799-2, en la que se recogen
especificaciones para la gestión de la seguridad
de la información y se “lanzan” requerimientos
certificables por primera vez.
En el año 1999, se lanza la segunda edición, en
la que se añade “e-commence” al alcance de la
norma. En aquella época, la Organización
Internacional de Normalización (ISO) comienza
a interesarse ya por los trabajos publicados por
el Instituto inglés.
La norma ISO 17799 es un estándar para la
seguridad de la información publicado por
primera vez como ISO 17799:2000 por
International Organization for Standardization y
por la comisión International Electrotechnical
Commission en el año 2000 y con el título de
Information technology – Security techniques –
Code of practice for information security
management. Tras un periodo de revisión y
actualización de los contenidos del estándar se
publicó en el año 2005 el documento
actualizado denominado ISO 17799:2005.
3
La norma ISO/IEC 17799:2005 proporciona
recomendaciones de las mejores prácticas en la
gestión de la seguridad de la información a
todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestión de
seguridad4de la información. La seguridad de la
información se define en la norma como “la
preservación de la confidencialidad
(asegurando que solo quienes estén autorizados
pueden acceder a la información), integridad
(asegurando que la información y sus métodos
de proceso son exactos y completos) y
disponibilidad (asegurando que los usuarios
autorizados tienen acceso a la información y a
sus activos asociados cuando lo requieran).
La versión de 2005 de la norma 17799, incluye
dentro de su contenido once secciones
principales las cuales son:
 Política de seguridad.
 Aspectos organizativos para la
seguridad.
 Clasificación y control de activos.
 Seguridad física y del entorno.
 Gestión de comunicaciones y información y proporcionar confianza a los
operaciones.
 Control de accesos.
 Desarrollo y mantenimiento de
sistemas.
 Gestión de incidentes de seguridad de la
información.
 Gestión de continuidad de negocio.
 Conformidad.
Dentro de cada sección, se especifican los
objetivos de los distintos controles para la
seguridad de la información. Para cada uno de
los controles se indica asimismo una guía para
su implementación. El número total de
controles suma 133 entre todas las secciones
aunque cada organización debe considerar
previamente cuanto serán realmente los
aplicables y según sus propias necesidades. La
norma ISO 17799 es una guía de buenas
prácticas y no especifica los requisitos
necesarios que puedan permitir el
establecimiento de un sistema de certificación
adecuado. Con la aprobación de la norma ISO
27001 en octubre de 2005 y la reserva de la
numeración 27000 para la seguridad de la
información, la norma ISO 17799:2005 paso a
ser renombrada como ISO 27002 en la revisión
y actualización de sus contenidos en el año
2007.
2.2 Descripción de la Norma ISO 27001
La norma ISO 27001:2005 (Information
technology – Security techniques – Information
security management systems – Requirements)
si es certificable y especifica los requisitos para
un SGSI que permitirán a la organización
establecer, implantar, operar, supervisar o en
términos de norma “monitorizar”, revisar,
mantener y mejorar un SGSI documentado en el
contexto de la actividad de la organización,
teniendo en cuenta sus problemáticas y riesgos
de seguridad o de otro tipo, intrínsecos a su
negocio. La ISO 27001 se ha creado entre otras
cuestiones para garantizar su adecuación y
proporcionar controles de seguridad que
protejan adecuadamente los activos de la
consumidores, clientes y otras partes
interesadas.
Cabe aclarar que el tema de certificación en
aspectos de seguridad virtual, tal vez aún no ha
sido considerado con la seriedad que merece en
el ámbito empresarial. Cuando se analiza la
norma ISO 27001, se nota que este estándar
internacional ha sido desarrollado (por primera
vez con relación a la seguridad) con toda la
fuerza y detalle que hacía falta para empezar a
presionar al ámbito empresarial sobre su
aplicación. Es decir, se puede prever, que la
certificación ISO-27001, será casi una
obligación de cualquier empresa que desee
competir en el mercado en el corto plazo, lo
cual es lógico, pues si se desea interrelacionar
sistemas de clientes, control de stock,
facturación, pedidos, productos, etc. entre
diferentes organizaciones, se deben exigir
mutuamente niveles concretos y adecuados de
seguridad informática, sino se abren brechas de
seguridad entre sí.
4
Los detalles que conforman el cuerpo de esta
norma, se podrían agrupar en tres grandes
líneas:
 SGSI.
 Valoración de riegos (Risk Assessment)
 Controles
Este estándar internacional adopta un proceso
para establecer, implementar, operar,
monitorizar, revisar, mantener y mejorar el
SGSI en una organización. Una organización
necesita identificar y administrar cualquier tipo
de actividad para funcionar eficientemente.
Cualquier actividad que emplea recursos y es
administrada para transformar entradas en
salidas, puede ser considerada como un
“proceso”. A menudo, estas salidas son
aprovechadas nuevamente como entradas,
generando una realimentación de los mismos.
Este estándar internacional adopta también el
modelo “Plan-Do-Check-Act” (PDCA), el cual
es aplicado a toda la estructura de procesos de
SGSI, y significa lo siguiente:
Plan (Establecer el ISMS): Implica, establecer a
política SGSI, sus objetivos, procesos,
procedimientos relevantes para la
administración de riesgos y mejoras para la
seguridad de la información, entregando
resultados acordes a las políticas y objetivos de
toda la organización.
Do (Implementar y operar el SGSI): Representa
la forma en que se debe operar e implementar la
política, controles, procesos y procedimientos.
Check (Monitorizar y revisar el SGSI): Analizar
y medir donde sea aplicable, los procesos
ejecutados con relación a la política del SGSI,
evaluar objetivos, experiencias e informar los
resultados a la administración para su revisión.
Act (Mantener y mejorar el SGSI): Realizar las
acciones preventivas y correctivas, basados en
las auditorías internas y revisiones del SGSI o
cualquier otra información relevante para
permitir la continua mejora del SGSI. Los
requerimientos de este estándar internacional,
son genéricos y aplicables a la totalidad de las
organizaciones. La exclusión de los
requerimientos especificados en las cláusulas 4,
5, 6, 7 y 8, no son aceptables cuando una
organización solicite su conformidad con esta
norma.
Estas cláusulas son:
4. SGSI.
5. Responsabilidades de la Administración.
6. Auditoría Interna del SGSI.
7. Administración de las revisiones del
SGSI.
8. Mejoras del SGSI.
(Estas cláusulas realmente conforman el
cuerpo principal de esta norma)
Cualquier exclusión a los controles detallados
por la norma y denominados como “necesarios”
para satisfacer los criterios de aceptación de
riegos, debe ser justificada y se debe poner de
manifiesto, o evidenciar claramente los criterios
por los cuales este riesgo es asumido y
aceptado. En cualquier caso en el que un
control sea excluido, la conformidad con este
estándar internacional, no será aceptable, a
menos que dicha exclusión no afecte a la
capacidad y/o responsabilidad de proveer
seguridad a los requerimientos de información
que se hayan determinado a través de la
evaluación de riesgos, y sea a su vez aplicable a
las regulaciones y legislación vigente.
Según la Asociación Española para la Calidad
[AEC] (2006), una de las fortalezas y claves del
éxito de la nueva ISO 27001 es que la
estructura de la norma está relacionada,
construida y documentada, como el resto de las
siguientes normas ISO de gestión:
 Serie ISO 9000, tanto la norma ISO
9001, como las Directrices de mejora
del desempeño (9004) como el
vocabulario y terminología (ISO 9000).
5
  Norma ISO 14001 para Sistemas de
Gestión Medioambiental.
 Norma ISO 19011, que proporciona las
guías para auditores de sistemas de
calidad y/o medio ambiente.
Después de la breve descripción de las normas,
se nota claramente la importancia que tiene
cada una en lo que a seguridad virtual se
refiere, además se evidencia la forma como
estas permanecen en constante actualización
con el propósito de estar vigente a las
necesidades que se presentan en el medio día a
día y teniendo en cuenta que los ataques a los
cuales se ven sometidas las empresas en su
seguridad informática son cambiantes y cada
vez se presentan de formas distintas.
3. SEGURIDAD INFORMÁTICA EN LA
EMPRESA
Con lo mostrado en la referencia [8], desde la
consolidación de Internet como medio de
interconexión global, los incidentes de
seguridad relacionados con sistemas
informáticos vienen incrementándose de
manera alarmante. Este hecho, unido a la
progresiva dependencia de la mayoría de
organizaciones hacia sus sistemas de
información, viene provocando una creciente
necesidad de implantar mecanismos de
protección que reduzcan al mínimo los riesgos
asociados a los incidentes de seguridad.
La seguridad informática, de igual forma a
como sucede con la seguridad aplicada a otros
entornos, trata de minimizar los riesgos
asociados al acceso y utilización de
determinado sistema de forma no autorizada y
en general malintencionada. Esta visión de la
seguridad informática implica la necesidad de
gestión, fundamentalmente gestión del riesgo.
Para ello, se deben evaluar y cuantificar los
bienes a proteger, y en función de estos análisis,
implantar medidas preventivas y correctivas
que eliminen los riegos asociados o que los
reduzcan hasta niveles manejables [8].
3.3.1 Objetivos de la seguridad informática
El objetivo de la seguridad informática es
proteger los recursos informáticos valiosos de
la organización, tales como la información, el
hardware o el software. A través de la adopción
de las medidas adecuadas, la seguridad
informática ayuda a la organización cumplir sus
objetivos, protegiendo sus recursos financieros,
sus sistemas, su reputación, su situación legal, y
otros bienes tanto tangibles como inmateriales
[8].
Desafortunadamente, en ocasiones se ve a la
seguridad informática como algo que dificulta
la consecución de los propios objetivos de la
organización, imponiendo normas y
procedimientos rígidos a los usuarios, a los
sistemas y a los gestores. Sin embargo debe
verse a la seguridad informática, no como un
objetivo en sí mismo, sino como un medio de
apoyo a la consecución de los objetivos de la
organización [8].
En general el principal objetivo de las
empresas, es obtener beneficios y el de las
organizaciones públicas, ofrecer un servicio
eficiente y de calidad a los usuarios. En las
empresas privadas, la seguridad informática
debería apoyar la consecución de beneficios.
Para ello se deben proteger los sistemas para
evitar las potenciales pérdidas que podrían
ocasionar la degradación de su funcionalidad o
el acceso a los sistemas por parte de personas
no autorizadas [8].
De igual forma, las organizaciones públicas
deben proteger sus sistemas para garantizar la
oferta de sus servicios de forma eficiente y
correcta. En cualquier caso, los gestores de las
diferentes organizaciones deberían considerar
los objetivos de la propia organización e
incorporar la seguridad de los sistemas desde
un punto de vista amplio, como un medio con el
que gestionar los riesgos que pueden
comprometer la consecución de los propios
objetivos, donde la cuantificación de los
diferentes aspectos, muchas veces económica,
debe ser central [8].
6
3.3.2 Gestión del riesgo [8]
La protección de los sistemas y de la
información no suele eliminar completamente
la posibilidad de que estos bienes sufran daños.
En consecuencia, los gestores deben implantar
aquellas medidas de seguridad que lleven los
riesgos hasta niveles aceptables, contando para
ello con el coste de las medidas a implantar,
con el valor de los bienes a proteger y con la
cuantificación de las pérdidas que podrían
derivarse de la aparición de determinado
incidente de seguridad.
Los costes y beneficios de la seguridad deberían
observarse cuidadosamente para asegurar que el
coste de las medidas de seguridad no excedan
los beneficios potenciales. La seguridad debe
ser apropiada y proporcionada al valor de los
sistemas, al grado de dependencia de la
organización a sus servicios y a la probabilidad
y dimensión de los daños potenciales. Los
requerimientos de seguridad variarán por tanto,
dependiendo de cada organización y de cada
sistema en particular.
En cualquier caso, la seguridad informática
exige habilidad para gestionar los riesgos de
forma adecuada. Invirtiendo en medidas de
seguridad, las organizaciones pueden reducir la
frecuencia y la severidad de las pérdidas
relacionadas con violaciones de la seguridad en
sus sistemas. Por ejemplo, una empresa puede
estimar que está sufriendo pérdidas debidas a la
manipulación fraudulenta de sus sistemas
informáticos de inventariado, de contabilidad o
de facturación. En este caso puede que ciertas
medidas que mejoren los controles de acceso,
reduzcan las pérdidas de forma significativa.
Las organizaciones que implantan medidas
adecuadas de seguridad, pueden obtener un
conjunto de beneficios indirectos que también
deberían considerarse. Por ejemplo, una
organización que cuente con sistemas de
seguridad avanzados, puede desviar la atención
de potenciales intrusos hacia víctimas menos
protegidas, puede reducir la frecuencia de
aparición de virus, puede generar una mejor
percepción de los empleados y otros
colaboradores hacia la propia empresa,
aumentando la productividad y generando
empatía de los empleados hacia los objetivos
organizativos.
Sin embargo, los beneficios que pueden
obtenerse con medidas de seguridad presentan
costes tanto directos como indirectos. Los
costes directos suelen ser sencillos de evaluar,
incluyendo la compra, instalación y
administración de las medidas de seguridad.
Por su parte pueden observarse costes
indirectos, como decremento en el rendimiento
de los sistemas, pueden aparecer necesidades
formativas nuevas para la plantilla o incluso
determinadas medidas, como un excesivo celo
en los controles, pueden minar la moral de los
empleados. En muchos casos los costes
asociados a las medidas de seguridad pueden
exceder a los beneficios esperados por su
implantación, en cuyo caso una correcta gestión
llevaría a platearse su adopción frente a la
posibilidad de simplemente tolerar el problema.
Como se nombró anteriormente, la seguridad
informática es un factor clave para la
consecución de las metas organizacionales en
toda empresa, es por esto que una buena
política de seguridad es un empujón en la
búsqueda constante de beneficios y
oportunidades de posicionamiento y desarrollo
empresarial.
A continuación se plantea el tema de la
seguridad de la información, que de una forma
u otra es lo que en primera medida se pretende
proteger a través de la seguridad informática.
4. SEGURIDAD DE LA INFORMACIÓN
La información es un activo que, como otros
activos comerciales importantes, es esencial
para el negocio de una organización y en
consecuencia necesita ser protegido
adecuadamente. Esto es especialmente
importante en el ambiente comercial cada vez
más interconectado [2].
7
 Como resultado de esta creciente
interconectividad, la información ahora está
expuesta a un número cada vez mayor y una
variedad más amplia de amenazas y
vulnerabilidades (ver también los Lineamientos
OECD de la Seguridad de Sistemas y Redes de
Información). La información puede existir en
muchas formas. Puede estar impresa o escrita
en un papel, almacenada electrónicamente,
transmitida por correo o utilizando medios
electrónicos, mostrada en películas o hablada en
una conversación. Cualquiera que sea la forma
que tome la información, o medio por el cual
sea almacenada o compartida, siempre debiera
estar apropiadamente protegida [2].
La seguridad de la información es la protección
de la información de un rango amplio de
amenazas para poder asegurar la continuidad
del negocio, minimizar el riesgo comercial y
maximizar el retorno de las inversiones y las
oportunidades comerciales. La seguridad de la
información se logra implementando un
adecuado conjunto de controles; incluyendo
políticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y
hardware. Se necesitan establecer, implementar,
monitorear, revisar y mejorar estos controles
cuando sea necesario para asegurar que se
cumplan los objetivos de seguridad y
comerciales específicos. Esto se debiera realizar
en conjunción con otros procesos de gestión del
negocio [2].
4.1 ¿Por qué es importante la seguridad de
información?
La información y los procesos, sistemas y redes
de apoyo son activos comerciales importantes.
Definir, lograr, mantener y mejorar la seguridad
de la información puede ser esencial para
mantener una ventaja competitiva, el flujo de
caja, rentabilidad, observancia legal e imagen
comercial. Las organizaciones y sus sistemas y
redes de información enfrentan amenazas de
seguridad de un amplio rango de fuentes;
incluyendo fraude por computadora, espionaje,
sabotaje, vandalismo, fuego o inundación. Las
causas de daño como código malicioso, pirateo
computarizado o negación de ataques de
servicio se hacen cada vez más comunes, más
ambiciosas y cada vez más sofisticadas [2].
La seguridad de la información es importante
tanto para negocios del sector público como
privado, y para proteger las infraestructuras
críticas. En ambos sectores, la seguridad de la
información funcionará como un facilitador;
por ejemplo para lograr e-gobierno o e-negocio,
para evitar o reducir los riesgos relevantes. La
interconexión de redes públicas y privadas y el
intercambio de fuentes de información
incrementan la dificultad de lograr un control
del acceso. La tendencia a la computación
distribuida también ha debilitado la efectividad
de un control central y especializado. Muchos
sistemas de información no han sido diseñados
para ser seguros. La seguridad que se puede
lograr a través de medios técnicos es limitada, y
debiera ser apoyada por la gestión y los
procedimientos adecuados. Identificar qué
controles establecer requiere de una planeación
cuidadosa y prestar atención a los detalles. La
gestión de la seguridad de la información
requiere, como mínimo, la participación de los
accionistas, proveedores, terceros, clientes u
otros grupos externos. También se puede
requerir asesoría especializada de
organizaciones externas [2].
4.2 La necesidad de seguridad en la
información en las empresas
La información es el principal elemento a
proteger, recuperar y resguardar dentro de las
redes empresariales, esto genera una
dependencia a los sistemas de información
haciéndolas más vulnerables a las amenazas
concernientes a la seguridad informática. El uso
compartido de los recursos incrementa la
dificultad de lograr el control a los accesos y la
tendencia a los sistemas distribuidos ha
debilitado la eficiencia del control técnico
centralizado.
La información y los procesos dan apoyo
importante para los recursos de la empresa
brindando una brecha competitiva, una gran
8
rentabilidad, cumplimiento de las leyes, flujo a
los datos y teniendo una imagen comercial
impecable. Los datos que se tiene en el sistema
de información se pueden perder, modificar,
sustraer o divulgar debido a espionajes,
sabotajes, incendio, inundación, virus
informático y personas conocidas como hacker
o piratas informáticos que buscan el acceso o
violación de las redes de las empresas. Esto es
generado por los esquemas de seguridad que
son ineficientes para proteger los recursos
informáticos o que no existe un conocimiento
relacionado con la planeación de un esquema de
seguridad en las empresas.
En las empresas que cuentan con el uso del
internet dentro de sus procesos y actividades
diarias, se presentan un inconveniente que
puede servir de soporte para la vulnerabilidad
virtual, y es del acceso a los sistemas y al
sistema de información. Son pocas las
organizaciones que en verdad se preocupan por
el control y vigilancia a dicho acceso y este uno
de los inconvenientes que más se presentan a la
hora de un ataque o de una violación del
sistema.
4.3 Pasos para la implementación del
Sistema de Gestión de Seguridad de la
Información dentro la empresa
Según las referencias [3] y [4], a continuación
se describen los pasos para la implementación
del Sistema de Gestión de Seguridad de la
Información (SGSI), de modo sucinto y muy
práctico, el método que habitualmente han
venido utilizando las organizaciones.
4.3.1 Paso 1: Inicio del proyecto
En esta primera etapa se pretende asegurar para
el éxito de todo el proyecto, el compromiso de
la dirección general y seleccionar y formar a los
miembros del equipo inicial del proyecto.
Para reducir la duración del proceso, el apoyo
de la dirección debe estar presente a todos los
niveles: operativo, técnico y presupuestario, así
como en el de la planificación temporal. La
dirección general debe comprender que su
apoyo necesariamente conlleva un esfuerzo
continuo. La infraestructura establecida
requerirá con toda seguridad ajustes, así como
una mejora continua. Respecto al equipo inicial
del proyecto (coordinadores, grupos de trabajo,
etc.), se debe formar un comité de dirección del
proyecto que puede estar compuesto por un
director ejecutivo, el director del proyecto y
representantes de las diferentes unidades
operativas implicadas.
Es habitual que en algunas organizaciones
grandes, el responsable de seguridad pueda
llevar a cabo gran parte de las tareas del
director del proyecto. En la mayoría de los
casos, la implementación de la norma ISO
27001 en una organización requiere la
implicación de todas las unidades operativas.
4.3.2 Paso 2: Alcance del SGSI
Definición del alcance del SGSI, etapa clave
para el éxito posterior del proyecto:
 Alcance del SGSI: ¿qué unidades
operativas y actividades estarán dentro
del entorno de seguridad de la
información?
 Limitaciones del SGSI: características
específicas de la organización (tamaño,
campo de acción, etc.), ubicación de la
organización, activos (inventario de
todos los datos críticos), tecnología.
 Conexiones o Interfaces: se deberán
tener en cuenta por parte de la
organización las relaciones con otros
sistemas, otras organizaciones y
proveedores externos.
 Requerimientos de Seguridad del SGSI:
de naturaleza legal o del negocio.
 Exclusiones y justificación de las
exclusiones (Declaración de
aplicabilidad).
9
  Contexto estratégico: las medidas de
seguridad planificadas deben tener en
cuenta la posición actual y futura de la
organización para alcanzar las metas
fijadas por la dirección.
4.3.3 Paso 3: Evaluación de riesgos
Con independencia del tipo o tamaño de la
empresa, todas las organizaciones son
vulnerables a las amenazas que ponen en
peligro la confidencialidad, integridad y
disponibilidad de la información importante.
Cuanto antes se adopten las medidas
correctivas, la seguridad representará un menor
coste y será más efectiva. Para poder realizar
una identificación y selección de controles más
sencillos que permitan una mejor gestión de los
recursos humanos y financieros se debe conocer
la fuente y naturaleza de las amenazas.
 Aplicabilidad de los controles de la ISO
17799: diagnóstico preliminar.
 Identificación y evaluación de activos,
datos a proteger.
 Identificación y evaluación de amenazas
y vulnerabilidades.
4.3.4 Paso 4: Tratamiento y administración
del riesgo
En este paso es básico conocer cómo la
selección y la implantación de los controles
permiten reducir los riesgos a un nivel
aceptable por la organización. Esta gestión
generalmente es una función de la:
 Política de seguridad inicial.
 Nivel de seguridad requerido.
 Resultados de la evaluación de riesgos.
 Reglamentación y legislación aplicable.
 Regulaciones y restricciones del
negocio existentes.
En general existen cuatro opciones para el
tratamiento del riesgo: reducir el riesgo, aceptar
el riesgo, evitar el riesgo y transferencia del
riesgo.
4.3.5 Paso 5: Programa de Formación y
Sensibilización para el Personal
La organización debe asegurarse de que todos
los miembros del personal con
responsabilidades específicas en el SGSI están
debidamente formados, cualificados y
capacitados para realizar sus funciones. La
organización debe también asegurarse de que el
personal necesario está concienciado de la
importancia de sus actividades en la seguridad
de la información y de cómo contribuyen ellos
a alcanzar los objetivos del SGSI.
Es importante desarrollar un programa de
formación y sensibilización con el fin de
“educar” a todos los empleados. Los empleados
tienen que entender y respetar las buenas
prácticas de seguridad de la información.
4.3.6 Paso 6: Documentación e implantación
del SGSI
La documentación de un SGSI es una exigencia
necesaria y previa a la implantación del sistema
y se articula en torno a dos puntos
estratégicamente claves:
 La descripción de la estrategia de la
organización, sus objetivos, la
evaluación de riesgos y las medidas
adoptadas para evitar o atenuar los
mismos.
 El control y el seguimiento del
funcionamiento del SGSI. Es usual
plantear por lo menos cuatro niveles de
documentación.
Una vez realizado lo anterior, o en paralelo, se
lleva a cabo la implantación de los documentos
creados y se complementa con la formación del
personal en las etapas en que sea necesario.
10
4.3.7 Paso 7: Ajustes y preparación para la
Auditoría de Certificación
El Diagnóstico es uno de los pasos “previos e
imprescindibles” de toda organización que
desee y tenga como objetivo la certificación de
acuerdo a la norma ISO 27001, con el fin de
validar si el sistema sigue las especificaciones
necesarias para la implantación de su marco de
gestión. Otro de los pasos que es un requisito
sine qua non para el éxito de la auditoría es la
Declaración de Aplicabilidad, que deberá ser
obligatoriamente realizada antes de la auditoría.
Este documento (que se convertirá en un
registro imprescindible del SGSI de cara a la
auditoría de certificación) proporciona la
justificación para la aplicabilidad o no
aplicabilidad de cada control ISO 27001 del
SGSI en cuestión, incluyendo también dónde es
aplicable el estado de implantación de cada
control.
En la Declaración de Aplicabilidad deben ser
explicados los objetivos, los controles
seleccionados, y las razones para su selección,
como así también las razones para la exclusión
de cualquier medida de la norma ISO 27001.
4.3.8 Paso 8: Control y mejora continua
Control y mejora continua del SGSI de acuerdo
al Ciclo de DEMING (P-D-C-A) establecido en
la norma debiéndose realizar antes de la
Auditoría de Certificación en función de los
resultados del diagnóstico.
A continuación se muestra una forma de control
de acceso que puede llegar a ser de gran ayuda
para las empresas y podrán así evitar así
muchos dolores de cabeza en lo que a seguridad
virtual se refiere.
4.4 Control de acceso
Como se analiza en la referencia [7], se debe
establecer, documentar y revisar una política de
control de acceso a la información teniendo en
cuenta la distribución e información que se
maneja. La política debe estar basada en la
premisa que “en general, todo está prohibido, a
menos que este expresamente permitido”,
siendo esta la regla más fuerte, ya que es más
conveniente para la organización documentar lo
que se permite tanto lo lógico como físico
considerándolos en conjunto.
4.4.1 Gestión del acceso a los usuarios
Asegurar el acceso a los usuarios autorizados y
evitar el acceso a los usuarios no autorizados,
teniendo en cuenta las fases del ciclo de vida
del acceso de usuario que empieza con el
registro de usuario, definiendo los roles de
acceso del usuario según el perfil de usuario. A
continuación se definen los privilegios del
usuario que es un factor determinante para
prevenir fallas o vulnerabilidades del sistema.
Después se asigna la contraseña controlándola a
través de un proceso formal de gestión, es
conveniente tener diferentes tecnologías para la
identificación y autentificación de los usuarios.
Por último la revisión de los derechos de acceso
de los usuarios manteniendo un control eficaz
del acceso a los datos y sistemas de
información [7].
4.4.2 Control al sistema operativo
Continuando con el tema analizado en la
referencia [7], es recomendable utilizar medios
de seguridad para el acceso de los usuarios al
sistema operativo, los cuales deben de estar en
la capacidad de autenticar a usuarios de acuerdo
con la política de seguridad, registrar los
intentos exitosos y los intentos fallidos de
ingresos al sistema, registrar el uso de los
privilegios del usuario al ingreso del sistema,
generar alarmas cuando son violadas las
políticas de seguridad, y definir cuando sea
necesario restringir el tiempo de conexión a los
usuarios.
4.4.3 Computación móvil y trabajo remoto
Continuando con la referencia [7], establecer la
protección idónea para evitar el acceso o
divulgación a personas no autorizadas de la
11
información almacenada o procesada a través
de los dispositivos móviles o estaciones de
trabajo remotas. El acceso remoto por medio de
redes públicas a los sistemas de información de
la organización debe contar con mecanismos
adecuados de control para de identificar y
autentificar a cada usuario. Los equipos móviles
se deben proteger físicamente contra el robo.
Si el equipo cuenta con información sensible o
critica de la organización no se debe dejar sin
prestarle atención y ser bloqueado con un
medio físico. El personal que porta este equipo
debe ser informado de los riesgos, controles,
obligaciones y deberes que se tienen. El trabajo
remoto se debe autorizar si están satisfechos las
disposiciones y controles de seguridad que
estén acordes con las políticas de seguridad.
Este trabajo debe ser autorizado por la dirección
de la organización. Se deben emplear
tecnologías de comunicación que permitan a los
usuarios realizar el trabajo fijo desde un lugar
fuera de la organización.
Tomando como referencia lo anterior, se
evidencia entonces que es de vital importancia
controlar el acceso a los sistemas de
información de las empresas, teniendo en
cuenta que esta es la principal herramienta de
trabajo de las mismas, y es aquí donde reposa la
información más importante y a la cual se le
debe proteger de gran forma. No se trata de
restringir el acceso totalmente, pero sí de ser
selectivos con las personas que puedan hacer
uso de él, teniendo en cuenta hasta qué punto
pueden llegar a tener acceso y que información
pueden o no conocer.
5. CONCLUSIONES
Para todas las empresas que deseen
implementar programas de seguridad
informática, deben tener presente además de la
implementación de un sistema de seguridad de
la información basado en la norma ISO 27000
se hace importante contar con el recurso
humano que posea sentido de pertenencia y
responsabilidad hacia la empresa; de esta
manera se asegura el éxito de la
implementación del sistema. En otras palabras,
un sistema por sí solo no funciona para esto se
debe contar con el apoyo del personal de la
empresa.
Teniendo en cuenta al alto grado de relevancia
que ha venido teniendo el tema de la seguridad
de la información en los últimos años y a la
dependencia que las empresas tienen de sus
sistemas de seguridad informática, se hace
necesario garantizar su correcto funcionamiento
mediante protección a los ataques internos y
externos. A su vez el análisis de riesgos se
convierte en un factor común en cualquier
metodología de desarrollo seguro, porque es
imperativo conocer cuáles son los activos
críticos de la organización y cuáles son las
amenazas asociadas con ellos.
Por último se concluye que cuando se desea
desarrollar una aplicación segura que sea
aplicada a la seguridad informática, esta se
logra no solamente con buenos algoritmos de
seguridad, sino que la seguridad de un producto
final de software se siembra desde el mismo
momento en el que se gestiona el proyecto de
software y debe estar presente en todo el ciclo
de vida y de desarrollo del mismo para lograr
que verdaderamente la seguridad en una
herramienta sea una realidad por lo menos en
un alto grado, dado que la seguridad plena en
software nunca existe.
REFERENCIAS BIBLIOGRÁFICAS
[1] Asociación Española para la Calidad [AEC]
(2006). La gestión de la seguridad en la
empresa. Recuperado el 20 de octubre de 2012
de
http://www.aec.es/c/document_library/get_file?
p_l_id=33948&folderId=195657&name=DLFE
-5965.pdf
[2] ISO/IEC 17799 (2000) .Tecnología de la
Información – Técnicas de seguridad – Código
para la práctica de la gestión de la seguridad de
la información.
12
[3] ISO/IEC 27001 (2005). Tecnología de la
información Técnicas de Seguridad / sistemas
de gestión de Seguridad de la información.
Requerimientos.

[4] ISO/IEC 27002 (2005). Tecnología de la

información Técnicas de Seguridad / sistemas
de gestión de Seguridad de la información.
Requerimientos.

[5] Kim, H.K. (2005) automatic translation

form requirements model into use cases
modeling on UML. ICCSA'05 Proceedings of
the 2005 international conference on
Computational Science and Its Applications.
769-777

[6] Walton, J.P. (2002) Developing an

Enterprise Information Security Policy. New
York: ACM Press.

[7] Sierra Jaramillo, O.A. (2011). Estudio de

los procesos de seguridad de la información
digital en las empresas de departamento de
Risaralda. Pereira: Universidad Tecnológica de
Pereira.

[8] Actualidad TIC. (2007). Seguridad

informática. Recuperado el 20 de marzo de
2013 de
http://web.iti.upv.es/actualidadtic/2003/07/2003
-07-seguridad.pdf

[9] Dávila, A. (2006). Determinación de los

requerimientos de calidad del producto software
basados en normas internacionales. IEEE Latin
América Transactions. 4 (2), 100-106.

[10] De Freitas, V. (2009). Análisis y

evaluación del riesgo de la información: caso de
estudio Universidad Simón Bolívar. Revista
Venezolana de Información, Tecnología y
Conocimiento. 6 (1), 43-55.

[11] Mellado, D., Fernández, E., Piattini, M.

(2007). Un proceso de ingeniería de requisitos
de seguridad en la práctica. IEEE Latin
América Transactions. 5 (4), 211-217.

13