Concepto de Seguridad

Contenido

1. Concepto de Seguridad..............................................................................................................1

2. Historia de la seguridad..............................................................................................................1

3. Seguridad en Informática (Concepto)........................................................................................3

4. Objetivo de la seguridad en informática....................................................................................5

5. Ciclo de la seguridad en informática..........................................................................................7

6. Estándares de seguridad en informática....................................................................................9

1. Concepto de Seguridad

El concepto de seguridad es amplio y abarca la seguridad social, la ciudadana, la seguridad

respecto a los objetos que se poseen, aquella que tiene vinculación con la responsabilidad civil por
daños causados a terceros, etc.

Seguridad supone estar protegido a que cualquier acontecimiento futuro, de posible producción,
que afecte nuestros bienes, nuestra persona, nuestra responsabilidad por daños causados, todos
los efectos de estos eventos futuros y posibles, van a ser trasladados, en caso de que ocurran, a
otra persona que se responsabilizará de los mismos, en nuestro lugar.

Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. No siendo posible

la certeza absoluta, el elemento de riesgo está siempre presente, independiente de las medidas
que se tomen, por lo que se debe hablar de niveles de seguridad. La seguridad absoluta no es
posible.

De otra forma es el conjunto de medidas tomadas para protegerse contra robos, ataques,
crímenes y espionajes o sabotajes. La seguridad implica la cualidad o estado de estar seguro, es
decir, la evitación de exposiciones a situaciones de peligro y la actuación para quedar a cubierto
frente a contingencias adversas.

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o
actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible
de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.

2. Historia de la seguridad

El hombre primitivo en lucha permanente contra una tierra inhóspita se vio acosado por ciertos
fenómenos naturales y por instinto tuvo que satisfacer sus necesidades más elementales. Se
refugia en las cavernas y comienza a guardar sus alimentos para preservarse de las contingencias
en las épocas de escasez.

Desde entonces el término de seguridad se ha encontrado inscrito desde tiempos muy remotos,
donde el hombre ha pretendido prevenir las vicisitudes y a la imposibilidad de subsistir por sus
propios medios.

Desde la aparición del primer bug informático en 1945, causado por una polilla entre los contactos
de uno de los reguladores del Mark2, muchos fueron los que se dieron cuenta de la sensibilidad de
las máquinas para cometer errores, aun así han tenido que pasar muchos años para que la gente
se sensibilice de que los hackers no son personajes de ficción así como de que la seguridad de sus
equipos es algo en lo que invertir y no dejar descuidado

Uno de los primeros delitos informáticos podemos encontrarlo en el que puede ser el cargo más
importante del mundo. El expresidente de Estados Unidos, Ronald Reagan, filtró deliberadamente
tecnología defectuosa a la URSS para sabotear sus industrias clave. El código, oculto en el
programa, estropeaba el mecanismo que ponía en funcionamiento las bombas, turbinas y válvulas
y sometía a los oleoductos a una presión por encima de la que los materiales podían soportar. El
efecto fue espectacular. El virus provocó, ante el asombro de los soviéticos, la explosión de un
oleoducto siberiano en 1982, el estallido no nuclear más enorme de la historia. El fuego se vio
incluso desde los satélites espías de Estados Unidos y la avería, y subsiguiente falta de suministro,
afectó seriamente a la economía de la Unión Soviética.

Un hecho que conmocionó al mundo de la informática fue la historia de Kevin Mitnick, un hacker
que evadió a la policía, al FBI y a los US Marshalls durante 2 años. Su error fue invadir el ordenador
personal de Tsutomu Shimomura, un experto en seguridad informática, ya qué este último le
rastreó durante 2 meses hasta que fue detenido en Raleight, un pueblo de Carolina del Norte.

Siguiendo el ejemplo de este “Superhéroe” muchos jóvenes cogieron sus máquinas y empezaron a
investigar con más profundidad, lo cual conllevó a tratar el tema de la seguridad como una
especialidad.

En la otra cara de la moneda tenemos Carnivore un programa del FBI de los Estados Unidos que
espía a los usuarios de Internet y recientemente el Senado norteamericano le concedió la facultad
de utilizarlo sin autorización judicial.

Hoy en día las técnicas de espionaje se han perfeccionado tanto que cualquier medio puede ser
portador de un código maligno que amenace nuestra privacidad, desde recibir un e-mail hasta
recibir ataques premeditados son amenazas que ponen a prueba nuestra capacidad de respuesta
ante la peor situación.

Estos últimos años hemos sido sometidos a un ataque a nivel global derivado del llamado
Malware, software poco detectable que es capaz de cambiar la configuración del ordenador,
mostrarnos publicidad en la propia pantalla de nuestro navegador (adware), o robarnos
información personal para venderla a terceras personas (Spyware). Se estima que el volumen de
negocio generado por este tipo de prácticas alcanza los 2000 millones de dólares. Se estima que
en los próximos años este tipo de molesto software evolucione a un nivel superior, lo cual ha
supuesto a muchas compañías la creación de departamentos específicos para luchar contra este
mal.
3. Seguridad en Informática (Concepto)

La información es un activo que, como otros activos comerciales importantes, es esencial para el
negocio de una organización y en consecuencia necesita ser protegido adecuadamente. Como
resultado de la interconectividad, la información está expuesta a un número cada vez mayor y una
variedad más amplia de amenazas y vulnerabilidades.

La seguridad de la información es la protección de la información de un rango amplio de amenazas

para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el
retorno de las inversiones y las oportunidades comerciales.

La seguridad de la información se logra implementando un adecuado conjunto de controles;

incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de
software y hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar estos
controles cuando sea necesario para asegurar que se cumplan los objetivos de seguridad y
comerciales específicos. Esto se debiera realizar en conjunción con otros procesos de gestión del
negocio.

Conjunto de políticas y mecanismos que nos permiten garantizar la confidencialidad, la integridad

y la disponibilidad de los recursos de un sistema (entiéndase recursos de un sistema como
memoria de procesamiento, espacio de almacenamiento en algún medio físico, tiempo de
procesamiento, ancho de banda y por su puesto la información contenida en el sistema).

Un conjunto de métodos y herramientas destinados a proteger la información y por ende los

sistemas informáticos ante cualquier amenaza, un proceso en el cual participan además personas.

Se debe considerar otros aspectos, como:

 Cumplimiento de las regulaciones legales aplicables a cada sector o tipo de organización,

dependiendo del marco legal de cada país.
 Control en el acceso a los servicios ofrecidos y la información guardada por un sistema
informático.
 Control en el acceso y utilización de ficheros protegidos por la ley: contenidos digitales con
derechos de autor, ficheros con datos de carácter personal, etc.
 Identificación de los autores de la información o de los mensajes.
 Registro del uso de los servicios de un sistema informático, etc.

Dentro de esta disciplina podemos encontrar dos tipos de seguridad informática,

 Seguridad lógica: aplicaciones para seguridad, herramientas informáticas, etcétera.

 Seguridad física: mantenimiento eléctrico, anti-incendio, humedad, etc.
Con respecto a lo anterior, la seguridad en informática nos ayuda a protegernos de las siguientes
amenazas:

 Programas maliciosos: virus, espías, troyanos, gusanos, phishing, spamming, etc.

 Siniestros: robos, incendio, humedad, etc. pueden provocar pérdida de información.
 Intrusos: piratas informáticos pueden acceder remotamente (si está conectado a una red)
o físicamente a un sistema para provocar daños.
 Operadores: los propios operadores de un sistema pueden debilitar y ser amenaza a la
seguridad de un sistema no sólo por boicot, también por falta de capacitación o de interés.

Robert T. Morris y el caso del gusano de internet.

El Gusano MORRIS (1988) fue el primer ejemplar de malware auto replicable que afectó a Internet.
El 2 de noviembre de 1988 hizo su aparición el primer gusano (gusano informático) en Internet:
Morris Worm. Durante unas horas, aproximadamente el 10% de todas las máquinas de Internet se
vieron afectadas por ese gusano.

Se estima que en ese momento el tamaño de Internet era de unos 60.000 computadores, y el
gusano afectó cerca de 6.000 sistemas de ordenadores en los Estados Unidos (incluyendo el centro
de investigación de la NASA) y dejó casi inútiles algunos de ellos.

El programa intentaba averiguar las contraseñas de otras computadoras, usando una rutina de
búsqueda que permutaba los nombres de usuarios conocidos, una lista de las contraseñas más
comunes y también búsqueda al azar. Descubrieron que no todas las computadoras eran
afectadas, sino solo se propagó en las computadoras VAX de DEC (Digital Equipment Corp) y las
fabricadas por Sun Microsystems, que empleaban Unix.

El programa estaba aprovechando algunos defectos de la versión de la Universidad de Berkeley del

sistema UNIX. Integrantes de dicha Universidad y del MIT de Massachusetts y de Pardue,
intentaron trabajar en forma coordinada para capturar una copia del programa y analizarlo. Se
trataba de un ejemplo de 99 líneas de código que, aprovechándose de una debilidad de Sendmail,
se replicaba de una máquina a otra. Se estableció que la infección no fue realizada por un virus
sino por un programa gusano, diseñado para reproducirse así mismo indefinidamente y no para
eliminar datos.

No fue programado con intención de causar daño, pero a causa de un bug en su código, los efectos
fueron catastróficos para la época. Produjo fallos en cientos de computadoras en universidades,
corporaciones y laboratorios de gobierno en todo el mundo antes que fuera rastreado y
eliminado. Era el ataque del que fue llamado "Gusano de Internet", y la prensa cubrió el tema con
frases como "el mayor asalto jamás realizado contra los sistemas de la nación". Erradicarlo costó
casi un millón de dólares, sumado a las pérdidas por haberse detenido casi toda la red, siendo
estimadas las pérdidas totales en 96 millones de dólares (una cifra significativa en aquel
momento).

Este primer ataque a la infraestructura computacional de Internet llevó a la creación del CERT
(Computer Emergency Response Team), un equipo de respuesta a emergencias en computadores.

Caso Kevin Mitnick.

Kevin David Mitnick (nacido el 6 de agosto de 1963) es uno de los crackers y phreakers
estadounidense más famoso. Su nick o apodo fue Cóndor.

Su último arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunas de las
computadoras más seguras de los Estados Unidos. Ya había sido procesado judicialmente en 1981,
1983 y 1987 por diversos delitos electrónicos.

El caso de Kevin Mitnick (su último encarcelamiento) alcanzó una gran popularidad entre los
medios estadounidenses por la lentitud del proceso (hasta la celebración del juicio pasaron más de
dos años), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisló del
resto de los presos y se le prohibió realizar llamadas telefónicas durante un tiempo por su
supuesta peligrosidad).

Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en

materia de seguridad, a través de su compañía Mitnick Security (anteriormente llamada Defensive
Thinking).

4. Objetivo de la seguridad en informática

El objeto principal de la seguridad en informática es la de proteger los activos relacionados con la

informática, los cuales son: *
Los equipos e infraestructura. Es el conjunto de todos los equipos, redes, accesorios, medios de
almacenamiento, y cualquier otro medio físico utilizado para el procesamiento de la información.
Estos equipos se deben de proteger para que funciones adecuadamente frente a robos, incendios,
boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra
la infraestructura informática; o por lo menos tener algún plan de acción en caso de que suceda
cualquiera de las situaciones mencionadas.
La información. Se refiere a los datos que se encuentran almacenados en los discos, medios de
almacenamiento, bases de datos, información en nube, etcétera. Dicha información debe de ser
protegida de manera que solamente pueda ser vista, modificada o eliminada por aquellas personas
que tengan el permiso para hacerlo. De lo contrario, la información corre el riesgo de ser utilizada
de manera maliciosa para obtener ventajas o beneficios de ella.
Los usuarios. Son las personas que trabajan con los equipos tecnológicos y gestionan la
información. La seguridad en informática debe de proteger a los usuarios proporcionando normas
que permitan minimizar el impacto en el desempeño de los usuarios y la empresa
Los principales servicios de seguridad de la información son:

1) Confidencialidad. Se garantiza que cada mensaje transmitido o almacenado en un sistema

informático sólo podrá ser leído por su legítimo destinatario. Si el mensaje cae en manos
de terceras personas, éstas no podrán acceder al contenido del mensaje original.
Mecanismos: Criptografía de llave privada, Criptografía de llave pública e intercambio de
llaves.
2) Autentificación. Asegura que la identidad del creador de un mensaje o documento es
legítima, es decir, gracias a esta función, el destinatario de un mensaje podrá estar seguro
de que su creador es la persona que figura como remitente de dicho mensaje. También se
refiere a la autenticidad de un equipo que se conecta a una red o intenta acceder a un
determinado servicio.
Mecanismos: Funciones Hash, contraseñas.
3) Integridad. Se encarga de garantizar que un mensaje o fichero no ha sido modificado
desde su creación o durante su transmisión a través de una red informática. De este
modo, es posible detectar si se ha añadido o eliminado algún dato en un mensaje o fichero
almacenado, procesado o transmitido por un sistema o red informática.
Mecanismos: Funciones Hash, Firmas Digitales.
4) No repudiación. Consiste en implementar un mecanismo probatorio que permita
demostrar la autoría y envío de un determinado mensaje, de tal modo que el usuario que
lo ha creado y enviado a través del sistema no pueda posteriormente negar esta
circunstancia, situación que también se aplica al destinatario del envío.
Mecanismos: Huellas digitales.
5) Disponibilidad. Garantiza el cumplimiento de sus objetivos, ya que se debe diseñar un
sistema lo suficientemente robusto frente a ataques e interferencias como para garantizar
su correcto funcionamiento, de manera que pueda estar permanentemente a disposición
de los usuarios que deseen acceder a sus servicios.
Mecanismos: Redundancia, Clusters, DRP.
6) Autorización (Control de acceso a equipos y servicios). Se persigue controlar el acceso de
los usuarios a los distintos equipos y servicios ofrecidos por el sistema informático, una vez
superado el proceso de autentificación de cada usuario.
Mecanismos: Permisos, ACL.
5. Ciclo de la seguridad en informática

Evaluación

La primer fase del ciclo de la seguridad informática es la evaluación, en esta fase se analizan los
riesgos que pueden surgir con el sistema actual de seguridad, por lo cual se deben de determinar
las debilidades de seguridad.

Algunos métodos para la determinación de debilidades son:

• Auditorías

• Evaluación de vulnerabilidades

• Pruebas de penetración

• Revisión de aplicaciones.

Así mismo se debe de determinar el estado de la seguridad en dos áreas principales:

Técnica y No Técnica.

• No técnica: Evaluación de políticas y apego a las mismas.

• Técnica: Evaluación de Seguridad física, diseño de seguridad en redes, matriz de

habilidades.

Otras áreas que se deben revisar:

• Seguridad exterior

• Seguridad de la basura

• Seguridad en el edificio

• Passwords

• Ingeniería social

• Clasificación de los datos

Diseño
Una vez que se ha evaluado la empresa desde el punto de vista de la seguridad, se procede a
realizar un diseño sobre como llevar a cabo acciones para aminorar, disminuir y en algunos casos
eliminar los riesgos detectados en la fase anterior.

En primer lugar se deben de modificar las políticas débiles para fortalecerlas sobre lo que se hace
en la empresa, por ejemplo se pueden tomar en cuenta las siguientes preguntas:

• ¿Se necesita que los empleados accesen a internet?

• ¿Se han bloqueado los sitios potencialmente peligrosos?

• ¿Se requiere el uso de E-mail?

• ¿Las cuentas de E-mail se han entrega personas que las requieren?

• ¿Se necesita y se pueden enviar correctos hacia fuera de la empresa?

• ¿La información confidencial o privada se encuentra correctamente resguardada?

• ¿Se puede tener acceso remoto a la organización?

• ¿El acceso remoto se encuentra correctamente controlado?

• ¿Existen políticas que definen las prácticas que son y no son aceptadas?

Así mismo se deben de decidir los modos en los cuales se va a implantar la seguridad. Ya sea que
se trate en persona con cada uno de los trabajadores, por escrito a través de memorándums o a
través de la red en páginas internas o en el correo electrónico.

Así mismo se puede hacer uso de reuniones en salones de la empresa, utilizar medios de difusión
interna como artículos, boletines, noticias, vitrinas con información.

En su caso se puede crear un espacio virtual para sugerencias y comentarios.

En otros casos se puede dar premios a empleados o hacer exámenes en línea.

Implementar

Una vez que se ha determinado los planes y medios por medio de los cuales se va a llevar a cabo la
seguridad de informática, se procede a implantar, por lo cual este paso se denomina
implementación.

Dependiendo de lo que se vaya a realizar, algunas acciones son inmediatas como lo puede ser el
pegar carteles con consejos sobre seguridad.

Sin embargo otras acciones por su naturaleza deberán de realizarse de manera secuencial y por
bloques, por ejemplo en empresas grandes, las capacitaciones sobre seguridad informática
probablemente no se podrán dar a todo el personal en un solo momento, sino que deberán de
realizarse en bloques de departamentos.

Administración y Soporte

Esta es la última fase del ciclo y esta se da en aquellos casos en los cuales la seguridad en
informática no se ha dado a un punto que surge un incidente

Por lo anterior se debe de tener una política que indique la manera de actuar en determinado
incidente.

Dicho documento deberá de contener lo siguiente:

• Forma en que se trata el incidente.

• Manera de encontrar el problema y corregirlo.

• Prácticas forenses.

• Definir la responsabilidad y el causante del problema

Capacitación continua

A pesar de que la capacitación continua no forma parte de los pasos del ciclo de seguridad
informática, debe de estar en todos los pasos del mismo, es decir es un complemento
indispensable dentro del ciclo.

Lo anterior debido a que cada vez surgen más vulnerabilidades dentro de los programas o los
intrusos encuentran maneras para burlar las medidas de seguridad. Entre más capacitado se
encuentre el personal de la empresa, se tendrá una mejor seguridad informática.

La capacitación continua crea habilidades y experiencia en el trato de incidentes, y de esta manera

se tendrá un mejor conocimiento del mismo cuando suceda.

6. Estándares de seguridad en informática

ISO 27001.

Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del
sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.
Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas
empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos
de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005
desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo
de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados
en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los
controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en
España como UNE-ISO/IEC 27001:2007.

Contenido resumido:

1. Introducción. generalidades e introducción al método PDCA.

2. Objeto y campo de aplicación. se especifica el objetivo, la aplicación y el tratamiento de

exclusiones.

3. Normas para consulta. otras normas que sirven de referencia.

4. Términos y definiciones. breve descripción de los términos más usados en la norma.

5. Sistema de gestión de la seguridad de la información. cómo crear, implementar, operar,

supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la
misma.

6. Responsabilidad de la dirección. en cuanto a compromiso con el SGSI, gestión y provisión de

recursos y concienciación, formación y capacitación del personal.

7. Auditorías internas del SGSI. cómo realizar las auditorías internas de control y cumplimiento.

8. Revisión del SGSI por la dirección. cómo gestionar el proceso periódico de revisión del SGSI por
parte de la dirección.

9. Mejora del SGSI. mejora continua, acciones correctivas y acciones preventivas.

10. Objetivos de control y controles. anexo normativo que enumera los objetivos de control y
controles que se encuentran detallados en la norma ISO 27002:2005.

11. Relación con los Principios de la OCDE. anexo informativo con la correspondencia entre los
apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.

12. Correspondencia con otras normas. anexo informativo con una tabla de correspondencia de
cláusulas con ISO 9001 e ISO 14001.

ISO 27002.

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año
de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO
27002:2005.

Contenido resumido:

1. Introducción. Conceptos generales de seguridad de la información y SGSI.

2. Campo de aplicación. Se especifica el objetivo de la norma.

3. Términos y definiciones. Breve descripción de los términos más usados en la norma.

4. Estructura del estándar. Descripción de la estructura de la norma.

5. Evaluación y tratamiento del riesgo. Indicaciones sobre cómo evaluar y tratar los riesgos de
seguridad de la información.

6. Política de seguridad. Documento de política de seguridad y su gestión. Aspectos organizativos

de la seguridad de la información. Organización interna; terceros.

7. Gestión de activos. Responsabilidad sobre los activos; clasificación de la información.

8. Seguridad ligada a los recursos humanos. Antes del empleo; durante el empleo; cese del empleo
o cambio de puesto de trabajo.

9. Seguridad física y ambiental. Áreas seguras; seguridad de los equipos.

10. Gestión de comunicaciones y operaciones. Responsabilidades y procedimientos de operación;

gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección
contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes;
manipulación de los soportes; intercambio de información; servicios de comercio electrónico;
supervisión.

11. Control de acceso. Requisitos de negocio para el control de acceso; gestión de acceso de
usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema
operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y
teletrabajo.

12. Adquisición, desarrollo y mantenimiento de los sistemas de información. Requisitos de

seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles
criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y
soporte; gestión de la vulnerabilidad técnica.

13. Gestión de incidentes de seguridad de la información. Notificación de eventos y puntos débiles

de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras.
14. Gestión de la continuidad del negocio. Aspectos de la seguridad de la información en la gestión
de la continuidad del negocio.

15. Cumplimiento. Cumplimiento de los requisitos legales; cumplimiento de las políticas y normas
de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de
información.

ISO 17799

Este estándar internacional de alto nivel para la administración de la seguridad de la información,

fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad
sobre el cual trabajen las organizaciones.

El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la
seguridad de la información, se orienta a preservar los siguientes principios de la seguridad
informática:

Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información.

Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no
autorizadas.

Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la
requieran.

Estos principios en la protección de los activos de información constituyen las normas básicas
deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no
obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial
énfasis en algún dominio o área del estándar ISO 17799.

El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de la

organización, reducir al mínimo los daños causados por una contingencia, así como optimizar la
inversión en tecnologías de seguridad.

El ISO 17799 da la pauta en la definición sobre cuáles metodologías, normas o estándares técnicos
pueden ser aplicados en el sistema de administración de la seguridad de la información, se puede
entender que estos estándares son auxiliares y serán aplicados en algún momento al implementar
el mismo.

La aplicación de un marco de referencia de seguridad basado en el ISO 17799 proporciona

beneficios a toda organización que lo implemente, al garantizar la existencia de una serie de
procesos que permiten evaluar, mantener y administrar la seguridad de la información.
Las políticas, estándares locales y los procedimientos se encuentran adaptados a las necesidades
de la organización debido a que el proceso mismo de su elaboración integra mecanismos de
control y por último, la certificación permite a las organizaciones demostrar el estado de la
seguridad de la información, situación que resulta muy importante en aquellos convenios o
contratos con terceras organizaciones que establecen como requisito contractual la certificación
BS7799.

Antecedentes

Es importante entender los principios y objetivos que dan vida al ISO 17799, así como los
beneficios que cualquier organización, incluyendo las instituciones públicas, privadas y ambientes
educativos pueden adquirir al implementarlo en sus prácticas de seguridad de la información.

El estándar de seguridad de la información ISO 17799, descendiente del BS 7799 – Information

Security Management Standard – de la BSI (British Standard Institute) que publicó su primera
versión en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos
partes:

 Parte 1. Código de prácticas.

 Parte 2. Especificaciones del sistema de administración de seguridad de la información.

Por la necesidad generalizada de contar con un estándar de carácter internacional que permitiera
reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se
elaboró el estándar ISO17799:2000, basado principalmente en la primera parte del BS 7799
conocida como Código de Prácticas (BS 7799 Part 1: Code of Practice).

Los controles del ISO 17799

El éxito de la implementación del estándar de seguridad ISO 17799 requiere de una serie de
procedimientos donde, inicialmente, el análisis de riesgos identificará los activos de la información
y las amenazas a las cuales se encuentra expuesta.

El análisis de riesgos guiará en la correcta selección de los controles que apliquen a la

organización; este proceso se conoce en la jerga del estándar como Statement of

Applicability, que es la definición de los controles que aplican a la organización con objeto de
proporcionar niveles prácticos de seguridad de la información y medir el cumplimiento de los
mismos.

A continuación, se describirán cada una de las diez áreas de seguridad con el objeto de esclarecer
los objetivos de estos controles.
Políticas de seguridad. El estándar define como obligatorias las políticas de seguridad
documentadas y procedimientos internos de la organización que permitan su actualización y
revisión por parte de un Comité de Seguridad.

Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una
organización, tales como un foro de administración de la seguridad de la información, un contacto
oficial de seguridad (Information System Security Officer – ISSO), revisiones externas a la
infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos.

Clasificación y control de activos. El análisis de riesgos generará el inventario de activos que

deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de
información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.

Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del
personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del
personal que opera con los activos de información.

El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el riesgo
inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del
personal en materia de seguridad de la información.

Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que se puedan
establecer controles en el manejo de equipos, transferencia de información y control de los
accesos a las distintas áreas con base en el tipo de seguridad establecida.

Comunicaciones y administración de operaciones. Integrar los procedimientos de operación de la

infraestructura tecnológica y de controles de seguridad documentados, que van desde el control
de cambios en la configuración de los equipos, manejo de incidentes, administración de
aceptación de sistemas, hasta el control de código malicioso.

Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de
información, que incluyen los procedimientos de administración de usuarios, definición de
responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.

Desarrollo de sistemas y mantenimiento. La organización debe disponer de procedimientos que

garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la
organización.

Continuidad de las operaciones de la organización. El sistema de administración de la seguridad

debe integrar los procedimientos de recuperación en caso de contingencias, los cuales deberán ser
revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones
de los mismos.
Requerimientos legales. La organización establecerá los requerimientos de seguridad que deben
cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los
contratos o convenios.

Cada una de las áreas establece una serie de controles que serán seleccionados dependiendo de
los resultados obtenidos en el análisis de riesgos, además, existen controles obligatorios para toda
organización, como es el de las políticas de seguridad cuyo número dependerá más de la
organización que del estándar, el cual no establece este nivel de detalle.

BS 7799

La norma BS7799 es el estándar de seguridad de información de facto, creada por British

Standards Institution (BSI) como un conjunto de controles de seguridad y de metodologías para su
correcta aplicación. Esta norma es el resultado de la alta demanda de la industria, los gobiernos y
las empresas por obtener un marco común que permita a las empresas desarrollar, implementar y
medir eficazmente las prácticas de gestión de seguridad de la información.

Esta norma le ayuda a las empresas a proteger sus activos e información en todas sus formas,
electrónica y/o impresa, en términos de:

La confidencialidad, que asegura que sólo las personas autorizadas tengan acceso a la información.

La integridad, que salvaguarda la exactitud e integridad de la información y de los métodos de

procesamiento.

La disponibilidad, que asegura el acceso de los usuarios autorizados a la información y a los activos
relacionados cuando es necesario.

La norma BS7799 es un amplio plan para la implementación efectiva de los niveles y controles para
la seguridad de la información. El conjunto de controles requeridos por la norma brinda a los
profesionales de tecnología de la información un modelo eficaz para el desarrollo de políticas y
procesos de seguridad de la información en todo el ámbito de las organizaciones. Esta presenta los
requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). De esta forma,
ayuda a identificar, administrar y minimizar la variedad de amenazas a las cuales está expuesta
regularmente la información en las empresas.

Está dividida en dos partes: La parte 1, que surgió en 1995 y fue modificada en 1999, es un
conjunto de controles que incluye las buenas prácticas de gestión de seguridad de la información.
Desde su publicación por parte de la Organización Internacional de Normas (ISO) en Diciembre de
2000, la ISO 17799 surge como la norma técnica de seguridad de la información más reconocida a
nivel mundial. La parte 2, denominada BS7799-2, y modificada en 2002, contiene la especificación
para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y
mejora de un SGSI documentado y basado en los controles y objetivos de control establecidos en
la primera parte. Es precisamente esta segunda parte que permite que las organizaciones puedan
certificarse.
La correcta aplicación de los controles definidos en la norma BS7799 permite a las empresas
presentarse a una auditoria de certificación de seguridad de la información. La certificación les
asegurará a los clientes y asociados que los niveles de la información en las redes, sistemas
empresariales y la gestión de la información es segura y confiable.

La norma ha tenido gran aceptación en muchos países como Holanda, Reino Unido, Australia,
Nueva Zelandia y Noruega. En el Reino Unido, por ejemplo, el gobierno recomendó como parte de
su Ley de Protección a la Información de 1998, que entró en vigencia el 1 de Marzo de 2000, que
las compañías Británicas utilicen BS7799 como método de cumplimiento de la Ley. Actualmente,
esta norma está siendo evaluada y analizada por importantes compañías en Latinoamérica.

La certificación BS7799 permite muchas ventajas operativas y estratégicas para las empresas. Una
empresa certificada con la norma BS7799 puede marcar un factor diferenciador y estratégico
frente a sus competidores no certificados. Si un cliente potencial tiene que escoger entre dos
servicios diferentes y la seguridad es un aspecto importante, por lo general optará por la empresa
certificada. Entre sus beneficios específicos se encuentran los siguientes:

Mejoramiento de la seguridad empresarial. A través del proceso de certificación BS7799, las

empresas harán un manejo efectivo de sus riesgos, lo cual generará una mejora sustancial en los
niveles de seguridad y tratamiento de la información.

Planeación más efectiva de la seguridad. Esta norma reúne 127 controles de seguridad en diez
áreas o secciones. Estos controles permitirán que las iniciativas en materia de seguridad sean más
completas, manejables y prácticas por sus costos.

Menor responsabilidad civil. Con la acreditación a la norma, la responsabilidad civil de las

empresas en incidentes de seguridad podrá reducirse.

Mayor confianza del cliente. Los clientes con una alta sensibilidad o manejo de información
altamente crítica buscan apoyo concreto en organizaciones que mantienen un alto perfil en
seguridad, así estableciendo mejores niveles de confianza entre empresas que tienen sus procesos
de seguridad debidamente certificados.

Alianzas comerciales. Las compañías pueden utilizar la acreditación como un requisito de

seguridad para sus asociados y vendedores.

Auditorias de seguridad más precisas y confiables. La norma contempla un proceso de acreditación

con auditores externos que comprobarán y evaluarán las políticas de seguridad instauradas.

e-commerce más seguro. Esta normativa confiere a los vendedores una especie de compromiso
con la seguridad hacia los compradores que utilizan este tipo de tecnología para sus transacciones.

El funcionamiento de la seguridad para proteger la información es un aspecto importante para las

actuales empresas. Aunque el proceso de implantación de un sistema de gestión de seguridad
puede resultar algo complejo, la norma BS7799 puede facilitar y orientar a las empresas en la
administración efectiva de sus sistemas.