1

IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN (SGSI) EN LA COMUNIDAD NUESTRA SEÑORA DE GRACIA,
ALINEADO TECNOLÓGICAMENTE CON LA NORMA ISO 27001
Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz1, Gustavo Adolfo
Herazo Pérez

Resumen—
Éste artículo es el resultado de un proyecto de investigación, adelantado por un grupo
de estudiantes de ingeniería de sistemas con el fin de implementar un SGSI2 en la
Comunidad Nuestra Señora de Gracia. Este sistema se basa en las directrices
indicadas en la norma ISO/IEC 27001, y en el marco del mismo se generó un análisis
de gap3, que permitió evidenciar un nivel de brechas significativo en la mencionada
Comunidad, con base en el cual se establecieron políticas y controles de
mejoramiento de los procesos de seguridad de la información y se definieron las
declaraciones de aplicabilidad que fortalecieron todo el análisis de riesgos efectuado.

Índice de Términos— IEC: International Electrotechnical Commission. SOA:

Declaración de aplicabilidad.

I. INTRODUCCIÓN

La cantidad y la complejidad de la información siguen teniendo un aumento

considerable y los profesionales de TI4 se enfrentan cada día a retos inimaginables
para abordar las amenazas que persisten en la sociedad actual y que no muestran
signos de desaceleración. Amenazas representativas, tales como el troyano Hydraq5,
se pueden seguir presentando indefinidamente en los ámbitos computacionales,
causando pérdidas económicas significativas. [1]

1
leidyj.ortiza@konradlorenz.edu.co
2
Sistema de Información para el Control de Gestión de Seguridad de la Información
3
Un análisis de gap, permite comparar los procesos actuales que tiene la organización con los lineamientos de cumplimiento de la norma
ISO/IEC 27001 y establecer en qué áreas o procesos se debe priorizar y enfocar el esfuerzo para permitir incrementar la seguridad de la
información. (Fuente: http://www.gapanalisis.com/)
4
Technology Information, Tecnología de Información
5 Reportes de Symantec, uno de los principales representantes de soluciones para la seguridad de la información. Acerca de Hydraq
disponible en: http://www.symantec.com/es/es/outbreak/index.jsp?id=trojan-hydraq
 2

Debido a esto, las empresas necesitan proteger y reforzar su activo más valioso: “la
información”. Esta necesidad se ve agravada, debido a que los datos de una empresa
y su complejidad de análisis crecen exponencialmente, razón por la cual se requiere
establecer una disciplina de seguridad que determine un perímetro para las
debilidades del negocio6 [2]. Es claro que las organizaciones han sido conscientes
que la certificación representa un instrumento para demostrar que sus organizaciones
poseen un SGSI con el fin de asegurar y controlar sus procesos de negocios y de
misión crítica7.
El trabajo descrito en el presente artículo fue desarrollado en la Comunidad Nuestra
Señora de Gracia, de la ciudad de Bogotá, a la cual se realizó un proceso de
diagnóstico, a partir del cual se determinó que no poseía los mecanismos, ni los
procesos idóneos para proteger su información. Con base en esta situación, se
decidió realizar un plan piloto para implementar políticas que se ajustaran a la norma
ISO/IEC 27001, además de diseñar e implementar un sistema de información web que
ayudara al equipo de stakeholders8 al levantamiento inicial de información, al análisis
de brechas y de gap; y que ayudara al auditor de la comunidad al seguimiento y
gestión de cada uno de los procesos de la norma.

II. METODO

Desde el inicio del proyecto se utilizó una serie de pasos que permitieron una
adecuada ejecución del SGSI y un resultado exitoso del mismo, los cuales se
describen a continuación9.

1. Programación del proyecto con el personal de la dirección de la Comunidad.

Este proceso permitió que la alta gerencia de la Comunidad entendiera la importancia
del proyecto piloto y la necesidad del apoyo del recurso humano, factor vital para el
6
METODOLOGÍA PARA LA INCORPORACIÓN DE MEDIDAS DE SEGURIDAD EN SISTEMAS DE INFORMACIÓN DE
GRAN IMPLANTACIÓN Disponible en: http://oa.upm.es/323/1/09200430.pdf
7
ENTREGABLES 3, 4, 5 y 6: INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI
- MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA.
8
Es importante resaltar que el término stakeholders representa aquellas personas o colectivos que tienen algún tipo de interés sobre la
empresa con un fin en particular, generando diversos efectos en el mejoramiento de los procesos de negocios
9
CHECKLIST DE IMPLEMENTACIÓN DE ISO 27001.
 3

inicio de la fase de levantamiento de información. Esta fase fue exitosa gracias a que
se mostraron puntos tales como: cumplimiento y rendimiento de la inversión de una
forma eficaz, haciéndoles entender que si una organización cumple con la
normatividad sobre protección de datos sensibles, privacidad y control de TI, los
resultados a futuro mejorarían de forma sustancial el impacto estratégico de la
compañía, y aunque represente un gasto considerable, genera así mismo a futuro un
ROI10 y una ganancia financiera representados en incidentes o desastres informáticos.

2. Definir el alcance.
Por la complejidad de la implementación de la norma, se recomendó a la Comunidad
definir de manera sistemática el alcance del proyecto, en las áreas de CONTROL DE
ACTIVOS y SEGURIDAD DE RECURSOS HUMANOS.

a) Control de activos: para este punto se sugirió realizar un inventario de los activos
para tener un control más riguroso de los mismos. Toda la información y activos
asociados a los recursos para el tratamiento de la información, deberían tener un
propietario y pertenecer a una parte designada de la Comunidad11.
Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar
cuál era la situación actual de la Comunidad, se realizó un análisis de gap, cuyos
resultados se muestran en la figura 1, donde se puede apreciar que un 20% de los
activos de la Comunidad no tienen un procedimiento implantado, lo cual representa un
porcentaje bastante alto.

Figura 1. Análisis gestión de activos

10
Retorno de la Inversión
11
De acuerdo con la norma ISO/IEC 27001.
 4

b) Seguridad de los recursos humanos: Tuvo como objetivo asegurar que los
empleados, contratistas y usuarios de terceras partes, entienden sus
responsabilidades y son aptos para ejercer las funciones para las cuales están siendo
considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las
instalaciones.
Para el análisis del control de activos y de la seguridad de los recursos humanos se
trabajó con la metodología MAGERIT12y13 [2].
En la Comunidad se aplicaron los siguientes pasos de MAGERIT:
14
 Concientizar a los responsables de los SI respecto a la existencia de riesgos
 Ofrecer un método sistemático para analizar los riesgos a los que se ve expuesta la
información.
 Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos
bajo control.
15
 Preparar a la organización para procesos de evaluación
Siguiendo con el alcance del proyecto, adicionalmente se trabajaron las siguientes
capitulaciones:

c) Análisis de vulnerabilidades a nivel de acceso lógico: La seguridad lógica

concentra sus objetivos en la aplicación de procedimientos que resguarden el acceso
a los datos y permisos a las personas autorizadas16.

Los procesos de esta capitulación se desarrollaron en el siguiente orden:

 Realizar un análisis de brechas con el fin de definir la declaración de aplicabilidad
(SOA)17.

12
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, que está directamente relacionada con la
generalización del uso de las tecnologías de la información y que supone unos beneficios evidentes para los ciudadanos; pero también da
lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.(Fuente:
http://www.mpt.gob.es/publicaciones/centro_de_publicaciones_de_la_sgt/Monografias0/parrafo/01111111111111111115/text_es_files/fi
le/Magerit-v2_I-metodo.pdf)
13
Directamente relacionada con el uso de los medios electrónicos, informáticos y telemáticos
14
SI: sistemas de información
15 Auditoría, certificación o acreditación, según corresponda en cada caso.
16
Velando para que la confidencialidad, integridad y disponibilidad
17
SOA(Statement Of Applicability, Traducido como declaración de aplicabilidad): referenciado en la cláusula 4.2.1j del estándar ISO
27001 es un documento que lista los objetivos y controles que se van a implementar en una Organización, así como las justificaciones de
aquellos controles que no van a ser implementados.(Fuente: http://iso-17799.safemode.org/index.php?page=Statement_of_Applicability)
 5

 Definir políticas y procedimientos aplicados al cumplimiento de la norma ISO/IEC

27001, en sus dominios 10 y 11 de acuerdo a lo establecido en la Declaración de
aplicabilidad.
18
 Aplicando la metodología OCTAVE , iniciar el proceso de análisis de riesgos,
abarcando los procesos de valoración de activos, identificación de amenazas y
vulnerabilidades, determinación de probabilidad de ocurrencia de una amenaza y
valoración del riesgo intrínseco.19
 Entregar los resultados definitivos del análisis de riesgos, declaración de
aplicabilidad, políticas y procedimientos.

3. Gestión y tratamiento de los riesgos, selección de los controles.

La gestión de los riesgos es el proceso por el cual se controlan, minimizan o eliminan

los riesgos que afectan a los activos de la organización. En este caso, luego de haber
determinado los riesgos existentes en la organización, así como las medidas
adecuadas para hacer frente a los mismos, se dispuso de varias alternativas para
afrontar estos riesgos: Eliminar, Transferir, Asumir o Mitigar el riesgo.

Todas las medidas implantadas se documentaron para permitir la gestión por parte de
la organización. Una vez decididas las medidas que se aplicarían a los riesgos
identificados, se realizó un nuevo análisis, el cual expondría el registro residual20 de la
organización.

Se definieron dos tipos de controles que se complementan: técnicos y organizativos.

Los controles técnicos tienen que quedar perfectamente documentados a través de
procedimientos. Los controles organizativos pueden quedar documentados a través
de procedimientos o políticas de seguridad.

Los controles seleccionados por la Comunidad fueron organizados en el documento

de declaración de aplicabilidad (SOA). El SOA relaciona qué controles aplican en la
organización y cuáles no21. Para aquellos controles que sí aplican, se debe incluir los

18
OCTAVE(Operationally Critical Threats Assets and Vulnerability Evaluation): Metodología de análisis de riesgos en seguridad de TI
que permite dirigir y evaluar riesgos, tomar decisiones basándose en sus riesgos y proteger los activos claves de información (Fuente:
http://www.cert.org/octave/)
19
INTRODUCCIÓN A OCTAVE. Disponible en: http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunoz-
IVJNSI.pdf
20
El nivel de riesgo aceptable por la organización bajo el cual estarán todos los riesgos de la misma
21
Para aquellos controles no seleccionados, porque simplemente no aplican, se debe indicar la razón de su exclusión de manera detallada.
Este punto es muy importante, ya que en la fase de certificación del sistema será uno de los documentos a revisar por los auditores.
 6

objetivos del control, la descripción, la razón para su selección, aplicación y la

referencia al documento en el que se desarrolla su implementación.

Se realizó una evaluación del análisis de brechas, que permitió evidenciar puntos
críticos que se atacaron implementando control de riesgos, utilizando el estándar
OCTAVE-S22, cuyo énfasis está en proveer técnicas de apoyo en soluciones lógicas
de acceso. [1]

En la aplicación de OCTAVE en la Comunidad, el grupo de stakeholders participó

integrando desde personal de áreas operativas y de negocios hasta el personal del
departamento de TI, balanceando los tres aspectos: RIESGOS OPERATIVOS,
PRÁCTICAS DE SEGURIDAD y PRÁCTICAS DE TECNOLOGÍA. Las fases
desarrolladas utilizando OCTAVE fueron las siguientes: a) Enfoque Estratégico de la
Comunidad, implementación de mejores prácticas y análisis de vulnerabilidades de la
organización. b) Creación del modelo de vista tecnológica. c) Estrategias de
protección y planes de mitigación

Finalizando esta parte del proceso, se procedió a la elaboración y definición de los

puntos de control de dominio de monitoreo para la capitulación de monitoreo, como se
muestra en la tabla 1:

Tabla 1. Definición de puntos de control del dominio de Monitoreo

Para el análisis de riesgo asociado con el capítulo de control de acceso, se

establecieron declaraciones de aplicabilidad como las que aparecen en la tabla 2.

22
Como herramienta aplicada para empresas pequeñas (menos de 100 empleados)
 7

Tabla 2. Declaraciones de aplicabilidad para el Control de Acceso.

Otros de los temas tratados dentro de la investigación fueron el control de acceso a la

capa de aplicaciones y análisis de modelos criptográficos, y la capitulación de
protección contra código malicioso y gestión de seguridad de las redes, cuyo soporte
metodológico para el análisis de riesgos fue tratado con DLP23 y simultáneamente con
la norma NTC 5254.

III. SOPORTE METODOLÓGICO DEL SISTEMA DE INFORMACIÓN.

Como software de apoyo para todo el proceso anteriormente descrito se entregó a la

Comunidad, un sistema informático web que facilita la gestión y el control del sistema
de gestión de la seguridad de la información. Este sistema informático permite a los
grupos de stakeholders y auditores desarrollar un esquema de trabajo basado en
procesos, y enfatiza en las políticas y controles de seguridad por capa capitulación del
compendio de ISO 27001, la definición de la metodología de la evaluación del riesgo y
su respectiva evaluación, la declaración de aplicabilidad SOA y el plan del tratamiento
del riesgo y medición de la eficacia de los controles establecidos. Las pantallas
generales de este sistema de información se muestran en la figura 2.

23
Data Loss Prevention
 8

Figura 2. Pantallas generales del sistema de información

IV. RESULTADOS

Gracias al proyecto desarrollado en la Comunidad Nuestra Señora de Gracia, se

definieron principios y políticas de control de información y de comunicación de
seguridad, los cuales produjeron los siguientes resultados:
1. Definición de roles y propuestas de asignación y estructura organizativa, políticas
de control, planificación de actividades, responsabilidades, prácticas, procesos y
recursos. (ver Figura 3).
 9

Autenticarse Reporte de eventos del AD

<<use>> <<include>>

<<use>>

Administrar eventos generados por AD

Usuario <<use>> Sincronización de objetos con AD
<<include>>
Usuario

<<use>>

Administrar cambios de objetos de AD <<use>>

<<use>> Creación de usuario
<<extend>>
<<use>>
Administración de usuarios <<extend>>
Administrador Creación de grupo
<<use>>
<<extend>>
<<use>>

Generar reporte de incidentes de usuario <<extend>> Modificación de usuario

<<extend>>
Modificación de grupo
Generar informe de cambios en objetos
<<extend>>

Eliminación de usuario

Eliminación de grupo

Figura 3. Roles y Actores descritos en el proyecto [3]

2. Propuesta de alineación tecnológica frente a los procesos estratégicos de la
organización.
3. Entrega de un sistema de información para una mayor seguridad integral.
4. Propuesta de un plan de continuidad del negocio permitiendo que la empresa
pueda recuperarse después de algún incidente que pudiese presentarse.
5. Capacitación y concientización al Departamento de Sistemas sobre el impacto
favorable que tendría el establecimiento de una política en ISO 27001.
6. Entrega y socialización de anexos donde se describen riesgos de inventarios de
servidores y estaciones de trabajo, declaraciones de aplicabilidad y la respectiva
matriz de riesgos, soportadas por su respectivo análisis de riesgos. Los riesgos
identificados [4] y analizados de acuerdo a la norma para la Comunidad, se pueden
revisar en la tabla 3 y 4, que se muestran a continuación.
 1
0

Tabla 3. Identificación de riesgos de los activos de la Comunidad

Tabla 4. Identificación de riesgos

7. Adicionalmente, se entregaron procedimientos de gestión de contraseñas, gestión
de usuarios, políticas y establecimientos de gestión de monitoreo para la red LAN24[5],
como para los enlaces dedicados con el proveedor de servicios de
telecomunicaciones, políticas de control de acceso físico y lógico, recursos humanos,
controles criptográficos y gestión de redes (se pueden apreciar en la figura 4).

Figura 4. Diagrama de casos de usos para la gestión de red.

V. CONCLUSIONES

Actualmente en la sociedad de la información, es necesario que todas las

organizaciones, sin tener en cuenta su tamaño, implementen mecanismos que
permitan mantenerla segura, donde una se use la norma internacional ISO/IEC 27001
como un sistema basado en procesos que busca garantizar la seguridad de la

24
Se trabajó con Wireshark
 1
1

información, siguiendo una serie de pautas y controles que de aplicarse, minimizan los
riesgos a los cuales se ve expuesta.

Se realizó un análisis de brechas donde se identificaron los puntos de control

aplicables en la Comunidad, del cual se extrajo la Declaración de Aplicabilidad. De
igual forma, se elaboraron las políticas y procedimientos necesarios para iniciar el
proceso de implementación de controles del SGSI.

Se logró identificar y adaptar un software libre que permite realizar los procesos y
gestión de los objetivos de control de los dominios tratados en el desarrollo del
proyecto.

En el ambiente de la seguridad de la información ya existen normas y guías como

MAGERIT y OCTAVE que proveen los elementos necesarios para realizar análisis de
riesgo.

Para la seguridad de los recursos humanos, se hizo necesario definir de forma clara y
concisa a los colaboradores, detallar sus roles y responsabilidades, además de
establecer unas clausulas dentro de los contratos respecto a la confidencialidad y
responsabilidad de los activos y de la información.

La implementación del SGSI es beneficioso para la Comunidad en cuanto a:

seguridad efectiva en los sistemas de información; mejoras continuas en procesos de
auditorías internas dentro de la Comunidad; incremento de la confianza en la
Comunidad y mejora de su imagen.

VI. REFERENCIAS

[1] Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). Compendio:

Sistema de Gestión de la Seguridad de La Información: SGSI. Bogotá. 2006
[2] Alexander Marcombo. Diseño De Un Sistema De Seguridad Informática.
Alfaomega. México, 2007.
 1
2

[3] Castro Alfonso Favián & Díaz Verano, Fabián A. Análisis De Vulnerabilidades A
Nivel De Acceso Lógico Basado En La Norma ISO/IEC 27001 En La Comunidad
Provincia De Nuestra Señora De Gracia De Colombia. Proyecto de Grado,
Ingeniería de Sistemas, Fundación Universitaria Konrad Lorenz. Bogotá, Colombia
2010.
[4] Ramírez Gaita, Andrés Camilo & Parra Amado, Gerardo. Control De Acceso A La
Capa De Aplicaciones Y Análisis De Modelos Criptográficos Basados En La
Norma ISO/IEC 27001 En La Comunidad Provincia De Nuestra Señora De Gracia
De Colombia. Proyecto de Grado, Ingeniería de Sistemas, Fundación Universitaria
Konrad Lorenz. Bogotá, Colombia 2010
[5] Collazos Muñoz, Gloria I. Protección Contra Código Malicioso Y Gestión De
Seguridad De Las Redes Basado En La Norma ISO/IEC 27001 en La Empresa
Provincia De Nuestra Señora De Gracia De Colombia. Proyecto de Grado,
Ingeniería de Sistemas, Fundación Universitaria Konrad Lorenz. Bogotá,
Colombia. 2010