SEGURIDAD DE LA INFORMACION - ISO 27003

TÉCNICAS DE SEGURIDAD. DIRECTRICES PARA LA IMPLEMENTACIÓN DE

UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

PARTE I. MARCO TEORICO

El Sistema de Gestión de Seguridad de la Información – ISMS es la parte del

sistema integral de gestión, basado en un enfoque del riesgo de la información
para establecer , implementar , operar, monitorear, revisar, mantener y
mejorar la seguridad de la información. [NTP-ISO/IEC 27001]

Este sistema de gestión incluye la estructura organizacional, políticas,

actividades de planificación, responsabilidades, practicas, procedimientos,
procesos y recursos, basado en el modelo PDCA (Figura 1).

Fuente: NTP 27001:2008

Figura 1 – Modelo PDCA aplicado al proceso ISMS
El Objetivo del ISO 27003 es proporcionar orientación práctica en el desarrollo
del plan de implementación para un Sistema de Gestión de Seguridad de
Información.

Para el presente desarrollo del tema se tomó como referencia el Proyecto de

Norma Peruana PNTP-ISO/IEC 27003:2012 TECNOLOGÍA DE LA INFORMACIÓN.
Técnicas de seguridad – Directrices para la implementación de un sistema de
gestión de la seguridad de la información, que es un equivalente de la ISO/IEC
27003:2010 Information technology -- Security techniques -- Information
security management system implementation guidance, esto debido a la falta
de documentación oficial en español del presente ISO.

Algunas restricciones a considerar es que PNTP-ISO/IEC 27003:2012 no cubre

las actividades de operación y otras actividades del ISMS, sino que abarca los
conceptos sobre cómo diseñar las actividades que tendrán lugar después de
que comiencen las operaciones del ISMS

Tiene como objeto y campo de aplicación los aspectos críticos necesarios para
el diseño e implementación exitosa de un Sistema de Gestión de la Seguridad
de la Información (SGSI) de acuerdo con NTP-ISO/IEC 27001:2008

1. ESTRUCTURA GENERAL DE CAPÍTULOS:

La PNTP-ISO/IEC 27003 explica la implementación de un SGSI enfocando
en la iniciación, planificación y definición del proyecto. El proceso de
planificación de la implementación final del SGSI contiene cinco fases y
cada fase está representada por un capítulo independiente. Todos los
capítulos tienen una estructura similar, las cinco fases son:
a) Obtener la aprobación gerencial para iniciar un proyecto SGSI
(Capítulo 5).
b) Definir el Alcance del SGSI y la Política del SGSI (Capítulo 6).
c) Realizar un Análisis de la Organización (Capítulo 7). d) Realizar una
Evaluación del
d) Riesgo y planificar el Tratamiento del Riesgo (Capítulo 8).
e) Diseñar el SGSI (Capítulo 9).

La Figura 2 ilustra las cinco fases de la planificación del proyecto SGSI

con las referencias a las normas ISO/IEC y los documentos de salida
principales.

F
uente: PNTP-ISO/IEC 27003
 Figura 2 – Fases del proyecto SGSI

2. FASES DE IMPLEMENTACION DEL SGSI

2.1DEFINIR EL ALCANCE, LÍMITES Y POLÍTICA DEL SGSI
El Objetivo de esta fase es definir detalladamente el alcance y los
límites del SGSI y desarrollar la política del SGSI, obteniendo el aval
de la dirección.
2.2REALIZAR UN ANÁLISIS DE REQUERIMIENTOS DE SEGURIDAD DE LA
INFORMACIÓN
El Objetivo de esta fase es definir los requerimientos relevantes a ser
soportados por el SGSI, identificar los activos de información y
obtener el estado actual de la seguridad dentro del alcance.
2.3REALIZAR UNA EVALUACIÓN DEL RIESGO Y PLANIFICAR EL
TRATAMIENTO DEL RIESGO
El Objetivo de esta fase es definir la metodología de evaluación del
riesgo, identificar, analizar y evaluar los riesgos de seguridad de
información para seleccionar las opciones de tratamiento del riesgo y
seleccionar los objetivos de control y los controles.
2.4DISEÑAR EL SGSI
El objetivo de esta fase es completar el plan final de implementación
del SGSI a través de: el diseño de seguridad de la organización
basado en las opciones seleccionadas para el tratamiento del riesgo,
así como los requisitos relativos a registro y documentación y el
diseño de los controles que integran las disposiciones de seguridad
en los procesos de TIC, físicos y organizacionales y del diseño de los
requisitos específicos del SGSI.

3. DESCRIPCION DE LA LISTA DE VERIFICACION

En el presente cuadro se muestra cada uno de los pasos a considerar
para la implementación de la SGSI en base a las fases descritas en el
punto 2. Su propósito es:
• Proveer una lista de verificación de actividades requeridas para
establecer e implementar un SGSI;
• Apoyar el seguimiento del progreso de la implementación de un SGSI;
• Relacionar las actividades de implementación de un SGSI con sus
respectivos requisitos en NTP-ISO/IEC 27001.

PASO
FASE DE NRO. PRE-
IMPLEMENTACIÓN DE ACTIVIDAD, REFERENCIA ISO/IEC REQUISI
ISO/IEC 27003 PASO 27003 TO DOCUMENTO DE SALIDA
5.Obtener la Obtener objetivos del negocio de Lista de objetivos de negocio de la
1 Ninguno
aprobación de la la organización organización
dirección para la Lograr la comprensión de los
implementación de 2 Ninguno Descripción de sistemas de
sistemas de gestión existentes gestión existentes
un SGSI
3 5.2 Definir objetivos, necesidades 1,2 Resumen de los objetivos,
de seguridad de información, necesidades de seguridad de
requerimientos del negocio para información y requerimientos de
un SGSI negocio para el SGSI
 Obtener las normas
reglamentarias, de cumplimiento y
4 Ninguno
de la industria aplicables a la
empresa
5.3 Definir alcance preliminar del
5 3,4
SGSI
5.4 Crear el caso de negocio y el
6 plan de proyecto para aprobación
de la dirección
5.5 Obtener aprobación de la
dirección y compromiso para
7 6
iniciar un proyecto para
implementar un SGSI
Definir límites organizacionales
6.3 Definir límites de las
6. Definir alcance y
9 tecnologías de la información y las
política de un SGSI
comunicaciones
10 6.4 Definir límites físicos
6.5 Finalizar límites para el alcance
11
del SGSI
12 6.6 Desarrollar la política del SGSI
7 Realizar un
análisis de la
organización
7.2 Definir los requerimientos de
13 seguridad de la información que
den soporte al SGSI
7.3 Identificar activos dentro del
14
alcance del SGSI
15 7.4 Generar una evaluación de
seguridad de la información
Resumen de las normas
reglamentarias, de cumplimiento y
de la industria aplicables a la
empresa
Descripción de alcance preliminar
del SGSI(5.3.1)
Definición de roles y
responsabilidades del SGSI (5.3.2)
5 Caso de negocio y plan de
proyecto propuesto
Aprobación de la dirección para
iniciar un proyecto para
implementar un SGSI
• Descripción de límites
organizacionales
• Funciones y estructura de la
organización
7 • Intercambio de información a
través de límites
• Procesos de negocio y
responsabilidad sobre los activos
de información dentro y fuera del
alcance
• Descripción de los límites de las
TIC
• Descripción de sistemas de
7
información y redes de
telecomunicación describiendo lo
comprendido y lo fuera del alcance
• Descripción de límites físicos
para el SGSI
• Descripción de la organización y
7
sus características geográficas
describiendo alcance interno y
externo
Un documento describiendo el
8,9,10
alcance y los límites del SGSI
Política del SGSI aprobada por la
11
dirección
Lista de las principales funciones,
ubicaciones, sistemas de
información, redes de
comunicación
Requerimientos de la organización
referentes a confidencialidad,
12 disponibilidad e integridad
Requerimientos de la organización
relacionados a requisitos legales y
reglamentarios, contractuales y de
seguridad de información del
negocio
Lista de vulnerabilidades
conocidas de la organización
Descripción de los principales
proceso de la organización
Identificación de activos de
13 información de los principales
procesos de la organización
Clasificación de proceso/activos
críticos
14 • Documento del estado actual de
seguridad de la información de la
organización y su evaluación
incluyendo controles de seguridad
existentes.
 • Documento de las deficiencias
de la organización evaluadas y
valoradas
• Alcance para la evaluación del
riesgo
• Metodología de evaluación del
8.2 Realizar una evaluación del riesgo aprobada, alineada con el
16 15
riesgo contexto de gestión de riesgos de
la organización.
• Criterio de aceptación del riesgo.
Evaluación del riesgo de alto nivel
documentada
Identificar la necesidad de una
8.3 Seleccionar objetivos de evaluación del riesgo más
17 16
control y controles detallada
8. Realizar una Evaluación de riesgos detallada
evaluación del Resultados totales de la evaluación
riesgo y Seleccionar de riesgos
Opciones de Riesgos y las opciones
Tratamiento del identificadas para el tratamiento
Riesgo 8.4 Obtener aprobación de la
del mismo
18 dirección para implementar un 17
Objetivos de control y controles
SGSI
para la reducción de riesgos
seleccionados.
Aprobación de la dirección
Aprobación de la dirección del documentada del riesgo residual
19 18
riesgo residual propuesto (debería ser la salida de
8.4)
Autorización de la dirección
Autorización de la dirección para documentada para implementar y
20 19
implementar y operar el SGSI operar SGSI (debería ser la salida
de 8.4)
Preparar declaración de
21 18
aplicabilidad Declaración de aplicabilidad
9 Diseñar el SGSI Estructura de la organización y
sus roles y responsabilidades
relacionados con la seguridad de la
información
• Identificación de documentación
relacionada al SGSI
• Plantillas para los registros del
9.2 Diseñar la seguridad de la SGSI e instrucciones para su uso y
22 20
organización almacenamiento
Documento de política de
seguridad de información
Línea base de políticas de
seguridad de la información y
procedimientos (y si es aplicable
planes para desarrollar políticas,
procedimientos, etc. específicos)
Implementación del plan de
proyecto para el proceso de
9.3 Diseñar la seguridad de la
23 20, 21 implementación para los controles
información física y de las TIC
de seguridad físicos y de las TIC
seleccionados
Procedimientos describiendo el
9.4 Diseñar la seguridad de la
24 22,23 reporte y los procesos de revisión
información específica del SGSI
por la dirección.
25 Descripciones para auditorías,
seguimientos y mediciones
26 Programa de entrenamiento y
concientización
27 9.5 Producir el plan final del 25 Plan de proyecto de
proyecto SGSI implementación aprobado por la
dirección para los procesos de
implementación

28 El plan final del proyecto SGSI
Fuente: PNTP-ISO/IEC 27003 – Anexo A / Descripción de
Lista de Verificación
Plan de proyecto de
implementación del SGSI
especifico de la organización
cubriendo el plan de ejecución de
las actividades para seguridad de
la información organizacional,
28
física y de las TIC, así como
también los Requerimientos
específicos para implementar un
SGSI de acuerdo al resultado de
las actividades incluidas en ISO/IEC
27003

PARTE II. CASO PRÁCTICO

CASO FICTICIO: Aplicación de la NTP/ISO 27003 en la Fábrica de Software

WANCA-SOFT

I. Obtención de la aprobación de la dirección para la implementación de un

SGSI

Esta parte permitió que la alta gerencia de la empresa entendiera la importancia del
proyecto y la necesidad del apoyo del recurso humano, factor vital para el inicio de la
fase de levantamiento de información. Esta fase fue exitosa gracias a que se mostraron
puntos tales como: cumplimiento y rendimiento de la inversión de una forma eficaz,
haciéndoles entender que si una organización cumple con la normatividad sobre
protección de datos sensibles, privacidad y control de TI, los resultados a futuro
mejorarían de forma sustancial el impacto estratégico de la compañía, y aunque
represente un gasto considerable, genera así mismo a futuro un Retorno de la Inversión
(ROI – Return Over Investment) y una ganancia financiera representados en incidentes
o desastres durante el proceso de desarrollo de software.

II. Definir alcance y política de un SGSI

Por la complejidad de la implementación de la norma, se recomendó definir de manera

sistemática el alcance del proyecto, en las áreas de DESARROLLO DE SOFTWARE y
SEGURIDAD DE RECURSOS HUMANOS.
Cualquier otro proceso que la organización considere incluir dentro del SGSI es válido,
lo que se recomienda es que la decisión de incluir más procesos sea con base en un
análisis que en efecto sugiera la importancia de incluir dicho proceso, no se quiere
hacer un SGSI muy robusto y poco efectivo, por el contrario, hacerlo lo más simple
posible es una buena práctica, más aun cuando la organización empieza desde ceros el
desarrollo del Sistema.

III. Realizar un análisis de la organización

a) Identificación de activos dentro del alcance del SGSI: Para este punto se
sugirió realizar un inventario de los activos para tener un control más riguroso de los
mismos. Toda la información y activos asociados a los recursos para el tratamiento
 de la información, deberían tener un propietario y pertenecer a una parte designada
de la Organización.
Para realizar un análisis de riesgos se parte del inventario de activos. Para
determinar cuál era la situación actual de la Organización, se realizó un análisis de
gap, cuyos resultados se muestran en la figura 1, donde se puede apreciar que un
20% de los activos de la Comunidad no tienen un procedimiento implantado, lo cual
representa un porcentaje bastante alto.

Figura 1. Análisis gestión de activos

b) Evaluación de seguridad de la información en relación a los recursos

humanos: Tuvo como objetivo evaluar si los empleados, contratistas y usuarios de
terceras partes, entienden sus responsabilidades y son aptos para ejercer las
funciones para las cuales fueron considerados, con el fin reducir el riesgo de hurto,
fraude o uso inadecuado de las instalaciones.

IV. Evaluación del riesgo y Selección de Opciones de Tratamiento del Riesgo

a) Se realizo una evaluación del riesgo en base a la metodología que cuenta

Wanka-Soft el cual se denomina MERWS (Metodología de Evaluación de Riesgos
Wanka-Soft), La evaluación de riesgo se dio sobre el proceso de Desarrollo de
Software y los Recursos Humanos. Esta metodología permitió:
- Identificar los riesgos
- Analizar y evaluar los riesgos encontrados
- Definir objetivos de Control y Controles para el tratamiento de riesgos
- Proponer opciones para el tratamiento de riesgos

b) Asimismo se realizo el análisis de las amenazas y vulnerabilidades, lo cual

requirió las siguientes actividades:
- Realizar una lista de las amenazas que puedan presentarse en forma
accidental o intencional con relación a los activos de información. Diferenciar
estas amenazas de las vulnerabilidades de los activos ya que el análisis debe
radicar en las amenazas.
- Identificar los riesgos internos de los procesos analizando tanto las
actividades que se desarrollan como las amenazas identificadas.
- Identificar los riesgos externos de los procesos. Es necesario analizar los
riesgos que se pueden presentar cuando se subcontrata un servicio o existe
personal externo a la organización.
- Realizar un análisis del ambiente organizacional, el ambiente tecnológico y
los aspectos socioculturales que rodea la Organización para definir las
amenazas a las que pueden estar expuestos los activos.
 EXTERNO INTERNO
- Acceso no autorizado al área de
- Suplantación de identidad desarrollo
- Virus informático o código - Hurto por colaboradores
malicioso - Alteración de resultados
AMENAZAS- Robo de información del área de - Divulgación de la información
desarrollo - Uso indebido de la imagen
- Hackers – espionaje corporativa
- Hurto por personal externo - Sabotaje
- Falla del servidor o sistema
- Emisión de informes de
- Perdida de información causada
resultados no confiables al ser
por virus o un código malicioso
alterados por conveniencia
- Plagio de informes de resultados
- Perdida de información por
- La filtración de información de
fallos en el servidor
RIESGOS los proceso de desarrollo de
- Perdida de confidencialidad
software
- Incoherencia en la información
- Perdida de estatus y
entregada al cliente
reconocimiento de la empresa
- Altos costos por reproceso de
en el mercado
análisis
Ilustración de Amenazas y riesgos identificados.

c) Aprobación de la dirección para implementar un SGSI El criterio de aceptación

estara

d)

V.