Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen—
Éste artículo es el resultado de un proyecto de investigación, adelantado por un grupo
de estudiantes de ingeniería de sistemas con el fin de implementar un SGSI2 en la
Comunidad Nuestra Señora de Gracia. Este sistema se basa en las directrices
indicadas en la norma ISO/IEC 27001, y en el marco del mismo se generó un análisis
de gap3, que permitió evidenciar un nivel de brechas significativo en la mencionada
Comunidad, con base en el cual se establecieron políticas y controles de
mejoramiento de los procesos de seguridad de la información y se definieron las
declaraciones de aplicabilidad que fortalecieron todo el análisis de riesgos efectuado.
I. INTRODUCCIÓN
1
leidyj.ortiza@konradlorenz.edu.co
2
Sistema de Información para el Control de Gestión de Seguridad de la Información
3
Un análisis de gap, permite comparar los procesos actuales que tiene la organización con los lineamientos de cumplimiento de la norma
ISO/IEC 27001 y establecer en qué áreas o procesos se debe priorizar y enfocar el esfuerzo para permitir incrementar la seguridad de la
información. (Fuente: http://www.gapanalisis.com/)
4
Technology Information, Tecnología de Información
5 Reportes de Symantec, uno de los principales representantes de soluciones para la seguridad de la información. Acerca de Hydraq
disponible en: http://www.symantec.com/es/es/outbreak/index.jsp?id=trojan-hydraq
2
Debido a esto, las empresas necesitan proteger y reforzar su activo más valioso: “la
información”. Esta necesidad se ve agravada, debido a que los datos de una empresa
y su complejidad de análisis crecen exponencialmente, razón por la cual se requiere
establecer una disciplina de seguridad que determine un perímetro para las
debilidades del negocio6 [2]. Es claro que las organizaciones han sido conscientes
que la certificación representa un instrumento para demostrar que sus organizaciones
poseen un SGSI con el fin de asegurar y controlar sus procesos de negocios y de
misión crítica7.
El trabajo descrito en el presente artículo fue desarrollado en la Comunidad Nuestra
Señora de Gracia, de la ciudad de Bogotá, a la cual se realizó un proceso de
diagnóstico, a partir del cual se determinó que no poseía los mecanismos, ni los
procesos idóneos para proteger su información. Con base en esta situación, se
decidió realizar un plan piloto para implementar políticas que se ajustaran a la norma
ISO/IEC 27001, además de diseñar e implementar un sistema de información web que
ayudara al equipo de stakeholders8 al levantamiento inicial de información, al análisis
de brechas y de gap; y que ayudara al auditor de la comunidad al seguimiento y
gestión de cada uno de los procesos de la norma.
II. METODO
Desde el inicio del proyecto se utilizó una serie de pasos que permitieron una
adecuada ejecución del SGSI y un resultado exitoso del mismo, los cuales se
describen a continuación9.
inicio de la fase de levantamiento de información. Esta fase fue exitosa gracias a que
se mostraron puntos tales como: cumplimiento y rendimiento de la inversión de una
forma eficaz, haciéndoles entender que si una organización cumple con la
normatividad sobre protección de datos sensibles, privacidad y control de TI, los
resultados a futuro mejorarían de forma sustancial el impacto estratégico de la
compañía, y aunque represente un gasto considerable, genera así mismo a futuro un
ROI10 y una ganancia financiera representados en incidentes o desastres informáticos.
2. Definir el alcance.
Por la complejidad de la implementación de la norma, se recomendó a la Comunidad
definir de manera sistemática el alcance del proyecto, en las áreas de CONTROL DE
ACTIVOS y SEGURIDAD DE RECURSOS HUMANOS.
a) Control de activos: para este punto se sugirió realizar un inventario de los activos
para tener un control más riguroso de los mismos. Toda la información y activos
asociados a los recursos para el tratamiento de la información, deberían tener un
propietario y pertenecer a una parte designada de la Comunidad11.
Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar
cuál era la situación actual de la Comunidad, se realizó un análisis de gap, cuyos
resultados se muestran en la figura 1, donde se puede apreciar que un 20% de los
activos de la Comunidad no tienen un procedimiento implantado, lo cual representa un
porcentaje bastante alto.
10
Retorno de la Inversión
11
De acuerdo con la norma ISO/IEC 27001.
4
b) Seguridad de los recursos humanos: Tuvo como objetivo asegurar que los
empleados, contratistas y usuarios de terceras partes, entienden sus
responsabilidades y son aptos para ejercer las funciones para las cuales están siendo
considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las
instalaciones.
Para el análisis del control de activos y de la seguridad de los recursos humanos se
trabajó con la metodología MAGERIT12y13 [2].
En la Comunidad se aplicaron los siguientes pasos de MAGERIT:
14
Concientizar a los responsables de los SI respecto a la existencia de riesgos
Ofrecer un método sistemático para analizar los riesgos a los que se ve expuesta la
información.
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos
bajo control.
15
Preparar a la organización para procesos de evaluación
Siguiendo con el alcance del proyecto, adicionalmente se trabajaron las siguientes
capitulaciones:
12
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, que está directamente relacionada con la
generalización del uso de las tecnologías de la información y que supone unos beneficios evidentes para los ciudadanos; pero también da
lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.(Fuente:
http://www.mpt.gob.es/publicaciones/centro_de_publicaciones_de_la_sgt/Monografias0/parrafo/01111111111111111115/text_es_files/fi
le/Magerit-v2_I-metodo.pdf)
13
Directamente relacionada con el uso de los medios electrónicos, informáticos y telemáticos
14
SI: sistemas de información
15 Auditoría, certificación o acreditación, según corresponda en cada caso.
16
Velando para que la confidencialidad, integridad y disponibilidad
17
SOA(Statement Of Applicability, Traducido como declaración de aplicabilidad): referenciado en la cláusula 4.2.1j del estándar ISO
27001 es un documento que lista los objetivos y controles que se van a implementar en una Organización, así como las justificaciones de
aquellos controles que no van a ser implementados.(Fuente: http://iso-17799.safemode.org/index.php?page=Statement_of_Applicability)
5
Todas las medidas implantadas se documentaron para permitir la gestión por parte de
la organización. Una vez decididas las medidas que se aplicarían a los riesgos
identificados, se realizó un nuevo análisis, el cual expondría el registro residual20 de la
organización.
18
OCTAVE(Operationally Critical Threats Assets and Vulnerability Evaluation): Metodología de análisis de riesgos en seguridad de TI
que permite dirigir y evaluar riesgos, tomar decisiones basándose en sus riesgos y proteger los activos claves de información (Fuente:
http://www.cert.org/octave/)
19
INTRODUCCIÓN A OCTAVE. Disponible en: http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunoz-
IVJNSI.pdf
20
El nivel de riesgo aceptable por la organización bajo el cual estarán todos los riesgos de la misma
21
Para aquellos controles no seleccionados, porque simplemente no aplican, se debe indicar la razón de su exclusión de manera detallada.
Este punto es muy importante, ya que en la fase de certificación del sistema será uno de los documentos a revisar por los auditores.
6
Se realizó una evaluación del análisis de brechas, que permitió evidenciar puntos
críticos que se atacaron implementando control de riesgos, utilizando el estándar
OCTAVE-S22, cuyo énfasis está en proveer técnicas de apoyo en soluciones lógicas
de acceso. [1]
22
Como herramienta aplicada para empresas pequeñas (menos de 100 empleados)
7
23
Data Loss Prevention
8
IV. RESULTADOS
<<use>>
<<use>>
<<extend>>
Modificación de grupo
Generar informe de cambios en objetos
<<extend>>
Eliminación de usuario
Eliminación de grupo
V. CONCLUSIONES
24
Se trabajó con Wireshark
1
1
información, siguiendo una serie de pautas y controles que de aplicarse, minimizan los
riesgos a los cuales se ve expuesta.
Se logró identificar y adaptar un software libre que permite realizar los procesos y
gestión de los objetivos de control de los dominios tratados en el desarrollo del
proyecto.
Para la seguridad de los recursos humanos, se hizo necesario definir de forma clara y
concisa a los colaboradores, detallar sus roles y responsabilidades, además de
establecer unas clausulas dentro de los contratos respecto a la confidencialidad y
responsabilidad de los activos y de la información.
VI. REFERENCIAS
[3] Castro Alfonso Favián & Díaz Verano, Fabián A. Análisis De Vulnerabilidades A
Nivel De Acceso Lógico Basado En La Norma ISO/IEC 27001 En La Comunidad
Provincia De Nuestra Señora De Gracia De Colombia. Proyecto de Grado,
Ingeniería de Sistemas, Fundación Universitaria Konrad Lorenz. Bogotá, Colombia
2010.
[4] Ramírez Gaita, Andrés Camilo & Parra Amado, Gerardo. Control De Acceso A La
Capa De Aplicaciones Y Análisis De Modelos Criptográficos Basados En La
Norma ISO/IEC 27001 En La Comunidad Provincia De Nuestra Señora De Gracia
De Colombia. Proyecto de Grado, Ingeniería de Sistemas, Fundación Universitaria
Konrad Lorenz. Bogotá, Colombia 2010
[5] Collazos Muñoz, Gloria I. Protección Contra Código Malicioso Y Gestión De
Seguridad De Las Redes Basado En La Norma ISO/IEC 27001 en La Empresa
Provincia De Nuestra Señora De Gracia De Colombia. Proyecto de Grado,
Ingeniería de Sistemas, Fundación Universitaria Konrad Lorenz. Bogotá,
Colombia. 2010