SEGURIDAD DE LA INFORMACION - ISO 27003

TÉCNICAS DE SEGURIDAD. DIRECTRICES PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

PARTE I. MARCO TEORICO

El Sistema de Gestión de Seguridad de la Información – ISMS es la parte del sistema integral de

gestión, basado en un enfoque del riesgo de la información para establecer , implementar ,
operar, monitorear, revisar, mantener y mejorar la seguridad de la información. [NTP-ISO/IEC
27001]

Este sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación,

responsabilidades, practicas, procedimientos, procesos y recursos, basado en el modelo PDCA
(Figura 1).

Fuente: NTP 27001:2008

Figura 1 – Modelo PDCA aplicado al proceso ISMS
El Objetivo del ISO 27003 es proporcionar orientación práctica en el desarrollo del plan de
implementación para un Sistema de Gestión de Seguridad de Información.

Para el presente desarrollo del tema se tomó como referencia el Proyecto de Norma Peruana
PNTP-ISO/IEC 27003:2012 TECNOLOGÍA DE LA INFORMACIÓN. Técnicas de seguridad – Directrices
para la implementación de un sistema de gestión de la seguridad de la información, que es un
equivalente de la ISO/IEC 27003:2010 Information technology -- Security techniques --
Information security management system implementation guidance, esto debido a la falta de
documentación oficial en español del presente ISO.
Algunas restricciones a considerar es que PNTP-ISO/IEC 27003:2012 no cubre las actividades de
operación y otras actividades del ISMS, sino que abarca los conceptos sobre cómo diseñar las
actividades que tendrán lugar después de que comiencen las operaciones del ISMS

Tiene como objeto y campo de aplicación los aspectos críticos necesarios para el diseño e
implementación exitosa de un Sistema de Gestión de la Seguridad de la Información (SGSI) de
acuerdo con NTP-ISO/IEC 27001:2008

1. ESTRUCTURA GENERAL DE CAPÍTULOS:

La PNTP-ISO/IEC 27003 explica la implementación de un SGSI enfocando en la iniciación,
planificación y definición del proyecto. El proceso de planificación de la implementación
final del SGSI contiene cinco fases y cada fase está representada por un capítulo
independiente. Todos los capítulos tienen una estructura similar, las cinco fases son:
a) Obtener la aprobación gerencial para iniciar un proyecto SGSI (Capítulo 5).
b) Definir el Alcance del SGSI y la Política del SGSI (Capítulo 6).
c) Realizar un Análisis de la Organización (Capítulo 7). d) Realizar una Evaluación del
d) Riesgo y planificar el Tratamiento del Riesgo (Capítulo 8).
e) Diseñar el SGSI (Capítulo 9).

La Figura 2 ilustra las cinco fases de la planificación del proyecto SGSI con las referencias a
las normas ISO/IEC y los documentos de salida principales.

Fuente: PNTP-ISO/IEC 27003

Figura 2 – Fases del proyecto SGSI

2. FASES DE IMPLEMENTACION DEL SGSI

2.1 DEFINIR EL ALCANCE, LÍMITES Y POLÍTICA DEL SGSI
El Objetivo de esta fase es definir detalladamente el alcance y los límites del SGSI y
desarrollar la política del SGSI, obteniendo el aval de la dirección.
 2.2 REALIZAR UN ANÁLISIS DE REQUERIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN
El Objetivo de esta fase es definir los requerimientos relevantes a ser soportados por
el SGSI, identificar los activos de información y obtener el estado actual de la
seguridad dentro del alcance.
2.3 REALIZAR UNA EVALUACIÓN DEL RIESGO Y PLANIFICAR EL TRATAMIENTO DEL RIESGO
El Objetivo de esta fase es definir la metodología de evaluación del riesgo, identificar,
analizar y evaluar los riesgos de seguridad de información para seleccionar las
opciones de tratamiento del riesgo y seleccionar los objetivos de control y los
controles.
2.4 DISEÑAR EL SGSI
El objetivo de esta fase es completar el plan final de implementación del SGSI a través
de: el diseño de seguridad de la organización basado en las opciones seleccionadas
para el tratamiento del riesgo, así como los requisitos relativos a registro y
documentación y el diseño de los controles que integran las disposiciones de
seguridad en los procesos de TIC, físicos y organizacionales y del diseño de los
requisitos específicos del SGSI.

3. DESCRIPCION DE LA LISTA DE VERIFICACION

En el presente cuadro se muestra cada uno de los pasos a considerar para la
implementación de la SGSI en base a las fases descritas en el punto 2. Su propósito es:
• Proveer una lista de verificación de actividades requeridas para establecer e
implementar un SGSI;
• Apoyar el seguimiento del progreso de la implementación de un SGSI;
• Relacionar las actividades de implementación de un SGSI con sus respectivos
requisitos en NTP-ISO/IEC 27001.

FASE DE
IMPLEMENTACIÓN NRO. DE PASO PRE-
ISO/IEC 27003 PASO ACTIVIDAD, REFERENCIA ISO/IEC 27003 REQUISITO DOCUMENTO DE SALIDA
Obtener objetivos del negocio de la Lista de objetivos de negocio de la
1 Ninguno
organización organización
Lograr la comprensión de los sistemas de Descripción de sistemas de gestión
2 Ninguno
gestión existentes existentes
5.2 Definir objetivos, necesidades de
Resumen de los objetivos, necesidades de
3 seguridad de información, requerimientos 1,2
seguridad de información y requerimientos
del negocio para un SGSI
de negocio para el SGSI
5.Obtener la aprobación Obtener las normas reglamentarias, de Resumen de las normas reglamentarias, de
de la dirección para la 4 cumplimiento y de la industria aplicables a Ninguno cumplimiento y de la industria aplicables a
implementación de un la empresa la empresa
SGSI Descripción de alcance preliminar del
SGSI(5.3.1)
5 5.3 Definir alcance preliminar del SGSI 3,4
Definición de roles y responsabilidades del
SGSI (5.3.2)
5.4 Crear el caso de negocio y el plan de Caso de negocio y plan de proyecto
6 5
proyecto para aprobación de la dirección propuesto
5.5 Obtener aprobación de la dirección y
7 compromiso para iniciar un proyecto para 6 Aprobación de la dirección para iniciar un
implementar un SGSI proyecto para implementar un SGSI
6. Definir alcance y Definir límites organizacionales 7 • Descripción de límites organizacionales
 política de un SGSI • Funciones y estructura de la organización
• Intercambio de información a través de
límites
• Procesos de negocio y responsabilidad
sobre los activos de información dentro y
fuera del alcance
• Descripción de los límites de las TIC
6.3 Definir límites de las tecnologías de la • Descripción de sistemas de información y
9 7
información y las comunicaciones redes de telecomunicación describiendo lo
comprendido y lo fuera del alcance
• Descripción de límites físicos para el SGSI
10 6.4 Definir límites físicos 7 • Descripción de la organización y sus
características geográficas describiendo
alcance interno y externo
Un documento describiendo el alcance y
11 6.5 Finalizar límites para el alcance del SGSI 8,9,10
los límites del SGSI
12 6.6 Desarrollar la política del SGSI 11 Política del SGSI aprobada por la dirección
Lista de las principales funciones,
ubicaciones, sistemas de información,
redes de comunicación
Requerimientos de la organización
referentes a confidencialidad,
7.2 Definir los requerimientos de
disponibilidad e integridad
13 seguridad de la información que den 12
soporte al SGSI Requerimientos de la organización
relacionados a requisitos legales y
reglamentarios, contractuales y de
seguridad de información del negocio
Lista de vulnerabilidades conocidas de la
7 Realizar un análisis de
organización
la organización
Descripción de los principales proceso de la
organización
7.3 Identificar activos dentro del alcance
14 13 Identificación de activos de información de
del SGSI los principales procesos de la organización
Clasificación de proceso/activos críticos
• Documento del estado actual de
seguridad de la información de la
7.4 Generar una evaluación de seguridad organización y su evaluación incluyendo
15 14
de la información controles de seguridad existentes.
• Documento de las deficiencias de la
organización evaluadas y valoradas
• Alcance para la evaluación del riesgo
• Metodología de evaluación del riesgo
16 8.2 Realizar una evaluación del riesgo 15 aprobada, alineada con el contexto de
gestión de riesgos de la organización.
• Criterio de aceptación del riesgo.
Evaluación del riesgo de alto nivel
documentada
8. Realizar una Identificar la necesidad de una evaluación
8.3 Seleccionar objetivos de control y
evaluación del riesgo y 17 16 del riesgo más detallada
controles
Seleccionar Opciones de Evaluación de riesgos detallada
Tratamiento del Riesgo Resultados totales de la evaluación de
riesgos
Riesgos y las opciones identificadas para el
8.4 Obtener aprobación de la dirección tratamiento del mismo
18 17
para implementar un SGSI Objetivos de control y controles para la
reducción de riesgos seleccionados.
Aprobación de la dirección documentada
Aprobación de la dirección del riesgo
19 18 del riesgo residual propuesto (debería ser
residual
la salida de 8.4)
 Autorización de la dirección documentada
Autorización de la dirección para
20 19 para implementar y operar SGSI (debería
implementar y operar el SGSI
ser la salida de 8.4)
21 Preparar declaración de aplicabilidad 18 Declaración de aplicabilidad
Estructura de la organización y sus roles y
responsabilidades relacionados con la
seguridad de la información
• Identificación de documentación
relacionada al SGSI
• Plantillas para los registros del SGSI e
instrucciones para su uso y
22 9.2 Diseñar la seguridad de la organización 20
almacenamiento
Documento de política de seguridad de
información
Línea base de políticas de seguridad de la
información y procedimientos (y si es
aplicable planes para desarrollar políticas,
procedimientos, etc. específicos)
Implementación del plan de proyecto para
9.3 Diseñar la seguridad de la información el proceso de implementación para los
23 20, 21
física y de las TIC controles de seguridad físicos y de las TIC
seleccionados
9 Diseñar el SGSI
9.4 Diseñar la seguridad de la información Procedimientos describiendo el reporte y
24 22,23
específica del SGSI los procesos de revisión por la dirección.

25 Descripciones para auditorías,

seguimientos y mediciones
Programa de entrenamiento y
26
concientización
Plan de proyecto de implementación
27 9.5 Producir el plan final del proyecto SGSI 25 aprobado por la dirección para los
procesos de implementación
Plan de proyecto de implementación del
SGSI especifico de la organización
cubriendo el plan de ejecución de las
actividades para seguridad de la
28 El plan final del proyecto SGSI 28 información organizacional, física y de las
TIC, así como también los Requerimientos
específicos para implementar un SGSI de
acuerdo al resultado de las actividades
incluidas en ISO/IEC 27003
Fuente: PNTP-ISO/IEC 27003 – Anexo A / Descripción de Lista de Verificación

PARTE II. CASO PRÁCTICO

CASO FICTICIO: Aplicación de la NTP/ISO 27003 en la Fábrica de Software WANCA-SOFT

I. Obtención de la aprobación de la dirección para la implementación de un SGSI

Esta parte permitió que la alta gerencia de la empresa entendiera la importancia del proyecto y la necesidad
del apoyo del recurso humano, factor vital para el inicio de la fase de levantamiento de información. Esta
fase fue exitosa gracias a que se mostraron puntos tales como: cumplimiento y rendimiento de la inversión
de una forma eficaz, haciéndoles entender que si una organización cumple con la normatividad sobre
protección de datos sensibles, privacidad y control de TI, los resultados a futuro mejorarían de forma
sustancial el impacto estratégico de la compañía, y aunque represente un gasto considerable, genera así
mismo a futuro un Retorno de la Inversión (ROI – Return Over Investment) y una ganancia financiera
representados en incidentes o desastres durante el proceso de desarrollo de software.
II. Definir alcance y política de un SGSI

Por la complejidad de la implementación de la norma, se recomendó definir de manera sistemática el

alcance del proyecto, en las áreas de DESARROLLO DE SOFTWARE y SEGURIDAD DE RECURSOS HUMANOS.
Cualquier otro proceso que la organización considere incluir dentro del SGSI es válido, lo que se recomienda
es que la decisión de incluir más procesos sea con base en un análisis que en efecto sugiera la importancia
de incluir dicho proceso, no se quiere hacer un SGSI muy robusto y poco efectivo, por el contrario, hacerlo lo
más simple posible es una buena práctica, más aun cuando la organización empieza desde ceros el
desarrollo del Sistema.

III. Realizar un análisis de la organización

a) Identificación de activos dentro del alcance del SGSI: Para este punto se sugirió realizar un inventario
de los activos para tener un control más riguroso de los mismos. Toda la información y activos asociados
a los recursos para el tratamiento de la información, deberían tener un propietario y pertenecer a una
parte designada de la Organización.
Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar cuál era la
situación actual de la Organización, se realizó un análisis de gap, cuyos resultados se muestran en la
figura 1, donde se puede apreciar que un 20% de los activos de la Comunidad no tienen un
procedimiento implantado, lo cual representa un porcentaje bastante alto.

Figura 1. Análisis gestión de activos

b) Evaluación de seguridad de la información en relación a los recursos humanos: Tuvo como objetivo
evaluar si los empleados, contratistas y usuarios de terceras partes, entienden sus responsabilidades y
son aptos para ejercer las funciones para las cuales fueron considerados, con el fin reducir el riesgo de
hurto, fraude o uso inadecuado de las instalaciones.

IV. Evaluación del riesgo y Selección de Opciones de Tratamiento del Riesgo

a) Se realizo una evaluación del riesgo en base a la metodología que cuenta Wanka-Soft el cual se
denomina MERWS (Metodología de Evaluación de Riesgos Wanka-Soft), La evaluación de riesgo se
dio sobre el proceso de Desarrollo de Software y los Recursos Humanos. Esta metodología permitió:
- Identificar los riesgos
- Analizar y evaluar los riesgos encontrados
- Definir objetivos de Control y Controles para el tratamiento de riesgos
- Proponer opciones para el tratamiento de riesgos
 b) Asimismo se realizo el análisis de las amenazas y vulnerabilidades, lo cual requirió las siguientes
actividades:
- Realizar una lista de las amenazas que puedan presentarse en forma accidental o intencional
con relación a los activos de información. Diferenciar estas amenazas de las vulnerabilidades de
los activos ya que el análisis debe radicar en las amenazas.
- Identificar los riesgos internos de los procesos analizando tanto las actividades que se
desarrollan como las amenazas identificadas.
- Identificar los riesgos externos de los procesos. Es necesario analizar los riesgos que se pueden
presentar cuando se subcontrata un servicio o existe personal externo a la organización.
- Realizar un análisis del ambiente organizacional, el ambiente tecnológico y los aspectos
socioculturales que rodea la Organización para definir las amenazas a las que pueden estar
expuestos los activos.

EXTERNO
- Suplantación de identidad
- Virus informático o código malicioso
- Robo de información del área de
AMENAZAS
desarrollo
- Hackers – espionaje
- Hurto por personal externo
INTERNO
- Acceso no autorizado al área de
desarrollo
- Hurto por colaboradores
- Alteración de resultados
- Divulgación de la información
- Uso indebido de la imagen corporativa
- Sabotaje
- Falla del servidor o sistema

- Emisión de informes de resultados no

- Perdida de información causada por
virus o un código malicioso
- Plagio de informes de resultados
RIESGOS - La filtración de información de los
proceso de desarrollo de software
- Perdida de estatus y reconocimiento
de la empresa en el mercado
confiables al ser alterados por
conveniencia
- Perdida de información por fallos en el
servidor
- Perdida de confidencialidad
- Incoherencia en la información
entregada al cliente
- Altos costos por reproceso de análisis

Ilustración de Amenazas y riesgos identificados.

c) Aprobación de la dirección para implementar un SGSI El criterio de aceptación estara

d)

V.