Está en la página 1de 33

Principales estándares para la seguridad de la información IT | F.N.

Díaz Piraquive

Principales estándares para la


seguridad de la información IT
Alcances y consideraciones esenciales de los estándares
ISO-IEC BS7799-IT, RFC2196, IT BASELINE, SSE-CMM y, ISO 27001

Flor Nancy Díaz Piraquive


Economista de la Universidad Católica de Colombia, especialis-
ta en Preparación y Desarrollo de Proyectos y especialista en
Gerencia de Proyectos de Sistemas de Información, de la Uni-
versidad Colegio Mayor de Nuestra Señora del Rosario;
candidata a doctor en Sociedad de la Información y el Conoci-
miento de la Universidad Pontificia de Salamanca con sede en
Madrid, España. Larga experiencia en la empresa privada y
pública, además de 20 años en la docencia universitaria.
fndiazp@telmex.net.co.

RESUMEN
El actual entorno económico y de competencia en el que se desenvuelven las empresas se
caracteriza por el uso intensivo de la información y el conocimiento en las compañías,
situación que enmarca un nuevo contexto empresarial donde la realidad propicia la incor-
poración de nuevas tecnologías de información y comunicaciones (TIC), lo que representa
un cambio significativo para la organización. Dicho cambio hace necesaria una adecuada
gestión de la información y el conocimiento, con el propósito de facilitar procesos asocia-
dos con la innovación, el desarrollo de productos o servicios, la eficiencia en el uso de los
recursos, la calidad y la toma de decisiones acertadas.
Sin embargo, en el afán de ingresar en el nuevo entorno, las empresas se ven enfrentadas
a mayores riesgos que son cada vez más difíciles de controlar. Por tanto, se han iniciado
planes que garantizan una adecuada gestión de la información, por considerarse que ésta
forma parte de los activos fundamentales de las organizaciones, y se toma como base
para diseñar la estrategia comercial y de competitividad en esta sociedad globalizada.
Revista Eos No.2
Para garantizar el éxito en la gestión de la información, se toman en cuenta los referentes Enero-abril de 2008
que brindan los estándares para su seguridad. Con esto se espera que la información se
proteja celosamente y se garantice la implantación de las estrategias que propician la
integridad, la confidencialidad y la disponibilidad de ésta hacia los clientes.

77
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

Por lo anterior, en este artículo se realiza un estudio sobre los cinco principales estándares
de seguridad de la información adoptados por las empresas, teniendo presente que éstos
cobijan todo tipo de organización (empresas, instituciones gubernamentales, organizacio-
nes sin ánimo de lucro, etc.). Entre otros aspectos, se describen el alcance de cada uno de
los estándares, las consideraciones esenciales, la forma como facilitan la administración,
el apoyo en la definición de políticas, la facilitación para la adopción de modelos de gestión
y la ingeniería de seguridad que se debe contemplar para la gestión de los procesos de
seguridad. Finalmente, se describirá en una matriz la relación que hay entre los cinco
estándares tratados, con lo cual los directivos tendrán un parámetro más para tomar
decisiones de inversión alrededor del estándar que se va a implantar en los sistemas de
gestión de seguridad de la información para la organización.
Palabras claves: estándar, recomendación, sistema de seguridad de información, sistema
de gestión de seguridad, seguridad de la información.

Introducción
La seguridad de la información se considera como la herra-
mienta fundamental para implantar nuevas mejoras en las em-
presas, razón por la cual éstas deben realizar un esfuerzo cada día
mayor para optimizar su nivel de seguridad en este aspecto. La
organización debe mejorar continuamente la eficacia del Sistema
de Gestión del Sistema de Información (SGSI), mediante el esta-
blecimiento de políticas y objetivos de seguridad de la informa-
ción, tomando en cuenta los resultados de las auditorías, análisis
de eventos, y acciones correctivas y preventivas de los mismos. De
igual manera, deben establecer procedimientos argumentados para
identificar documentos que ya no se requieran porque se actuali-
zaron o porque se remplazaron por otros. En todo caso, entre las
prioridades que hay que considerar en la seguridad de la informa-
ción se cuentan la confidencialidad y la protección de los datos.
Por la importancia que tiene la seguridad de la información
en las organizaciones, y con el propósito de contrarrestar los in-
trusos maliciosos que ingresan en ella para hacer daño, se han
identificado las mejores prácticas alrededor de la implantación de
estándares de seguridad de la información relacionados con ISO-
IEC BS7799-IT, RFC2196, IT Baseline, SSE-CMM e ISO 27001,
Revista Eos No. 2 los más relevantes en seguridad de la información IT.
Enero-abril de 2008
En este artículo se abordarán los temas relacionados con el
alcance de los cinco estándares mencionados anteriormente, con-
siderados los más usados para la gestión de la seguridad de la

78
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

información, al igual que algunas observaciones esenciales sobre


éstos, las formas de administración, cómo definir políticas y adop-
tar modelos de gestión, y cuál es la ingeniería de seguridad que se
debe contemplar para la gestión de los procesos. Adicionalmente,
se describirá en una matriz la relación que hay entre ellos.

Necesidad de la seguridad de la información


Seguridad de información es mucho más que establecer
firewalls, aplicar parches para corregir nuevas vulnerabilidades
en el sistema de software, o guardar en la bóveda los backups.
Seguridad de información es determinar qué hay que prote-
ger y por qué, de qué se debe proteger y cómo protegerlo [1].
Antes de empezar a profundizar en los estándares de seguri-
dad en la información, es muy importante establecer qué es la
seguridad en la información; se escogió el anterior texto porque
envuelve en una forma muy sencilla dicho concepto. La informa-
ción de la empresa es uno de los activos más valiosos y debe prote-
gerse al máximo usando los estándares de seguridad de la infor-
mación que existen y son pertinentes. Los riesgos de pérdidas,
hurtos o uso inadecuado de los datos pueden ocasionar daños re-
presentativos; dichos riesgos son latentes no sólo desde medios
externos sino que internamente pueden ser aún más vulnerables.
Para esto se han definido estándares que ayudan a la seguridad,
minimizan el riesgo de fugas, fraudes, uso indebido de informa-
ción, etc. Según la Citel1, el 35% de las empresas mencionan que
el principal fraude detectado es el interno, el cual está directa-
mente relacionado con la fuga de información [2].
El escenario que se tenía anteriormente, en el cual los siste-
mas operaban de manera aislada o en redes privadas, ha sido sus-
tituido por computadores personales que cada vez tienen mayor
capacidad de procesamiento y almacenamiento de información;
de la misma manera, las tecnologías convergentes y la difusión
masiva del uso de internet incrementan los riesgos. Hoy en día el Revista Eos No.2
Enero-abril de 2008

1. Comisión Interamericana de las Telecomunicaciones.

79
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

mundo se encuentra cada vez más interconectado, y esta interco-


nexión se extiende a mayor escala a ritmos acelerados. Al mismo
tiempo, internet forma parte de la infraestructura operativa de
sectores estratégicos como energía, transportes y finanzas, y
desempeña un papel fundamental de modo tal que las empresas
realizan sus transacciones comerciales, el gobierno proporciona
servicios en línea a los ciudadanos y a las empresas, y la manera
en que los ciudadanos se comunican e intercambian información
individualmente también contribuye a la generación de riesgos
reales y latentes.
La naturaleza y el tipo de tecnologías que constituyen la in-
fraestructura de la información y comunicaciones también han
cambiado de manera significativa; el número y el tipo de disposi-
tivos que integran la infraestructura de acceso se han multiplica-
do, incluyendo elementos de tecnología fija, inalámbrica y móvil,
así como también una proporción creciente de accesos que están
conectados permanentemente. A consecuencia de todos estos cam-
bios, la naturaleza, el volumen y la sensibilidad de la información
que se intercambia a través de esta infraestructura han incremen-
tado de modo significativo la forma de pensar, en cuanto a la ges-
tión de riesgos se refiere.
Por lo anterior, se hace necesario el surgimiento de nuevos
retos en materia de seguridad, motivo por el cual las empresas
comienzan a aplican estándares de seguridad sobre la informa-
ción orientados a todos los participantes de la nueva sociedad de
la información, donde es inminente tener una mayor conciencia y
entendimiento de los aspectos de seguridad, así como de la necesi-
dad de desarrollar una cultura en torno a ésta.
Las siguientes razones han dado muestra a las empresas de
la necesidad de contar con un estándar de seguridad:
• Establecer un reglamento de prácticas favorables para
la gestión de la seguridad.
• Establecer las especificaciones para la adopción de un
Revista Eos No. 2
Sistema de Gestión de la Seguridad de la Información.
Enero-abril de 2008 • Establecer un estándar de facto a nivel global, que se
implemente en las entidades que administran la seguri-
dad de la información.

80
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

• Establecer un conjunto de normas que se apliquen en


cualquier entorno y sector, y que utilicen tecnologías de
la información para lograr los objetivos propuestos.
• Mejorar los niveles de competitividad, optimizando la se-
guridad y el funcionamiento de la empresa.
• Promover servicios para que la empresa se incorpore
más fácil y eficientemente a la sociedad de la informa-
ción.
Todas estas razones hacen indispensable contar con un siste-
ma de gestión para garantizar la seguridad de la información en
la empresa que quiera ser competitiva en el mercado, ya que los
usuarios demandan que sus datos estén en un lugar seguro y, a su
vez, que sean transferidos o difundidos por medios que garanticen
el uso correcto para el cual están hechos; cabe resaltar también
que es importante generar un estándar de facto sobre el cual la
empresa pueda converger y comunicarse en forma globalizada; el
mundo podrá hablar un mismo protocolo y la implementación de
estos procesos se mejorará cada vez más con el aporte que puedan
hacer las empresas de los sectores involucrados.

Alcances y aspectos esenciales de cada estándar


tratado
Estándar Británico ISO-IEC BS7799-IT [3]
El Estándar Británico ISO-IEC BS7799-IT es un código acep-
tado internacionalmente en la práctica de la seguridad de la in-
formación. El estándar aplica un método de cuatro fases para
implementar una solución de sistemas de administración de se-
guridad de la información.
• Fase 1: evaluación. Determinar la situación de la segu-
ridad actual y definir los requisitos para la seguridad de
la información basada en un riesgo de negocio aceptable
(deseada).
• Fase 2: diseño. Desarrollar un diseño de solución de sis- Revista Eos No.2
temas de administración de seguridad de la información Enero-abril de 2008

con recomendaciones específicas y un plan detallado para


implementarla.

81
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

• Fase 3: implementación. Probar el diseño y desarrollar


una configuración de producción estándar. Definir y do-
cumentar las directrices, estándares y procedimientos
necesarios para implementar y administrar la solución
de una manera efectiva.
• Fase 4: administración. Establecer una arquitectura bá-
sica que sea posible de ampliar para proporcionar una pla-
taforma de administración con todas las características.
Adicionalmente, hay que tener en cuenta los parámetros que
establece el estándar para desarrollar una directiva de seguridad
de TI y garantizar que la seguridad se implementa y mantiene en
toda la organización; para esto se deben incluir los objetivos de
seguridad globales, un esquema del nivel global de la seguridad
requerida, los estándares de seguridad, incluidas las estrategias
de auditoría y supervisión, y las definiciones de formación y pro-
cesos para mantener la seguridad.
El primer parámetro establecido por el estándar es desarro-
llar la directiva de seguridad de TI, en la cual se describen y ana-
lizan los objetivos que sobre seguridad de TI tiene explícitos la
empresa. Entre los ejemplos de objetivos de seguridad que se pue-
den utilizar están maximizar la confiabilidad, la calidad y la
confidencialidad de la información; garantizar que la reputación
de la empresa no se ponga nunca en tela de juicio; mantener el
valor de los recursos de tecnología, la propiedad intelectual y la
información; evitar y prevenir los daños a la información, los pro-
cesos y la propiedad, con lo que se garantizan las operaciones con-
tinuas en toda la empresa.
Estos objetivos de seguridad generales se pueden aplicar a la
mayoría de las organizaciones. Los objetivos de seguridad especí-
ficos se deben crear de acuerdo con la estrategia de la organiza-
ción y el equipo de administración debe comunicarlos, junto con la
importancia de la seguridad, a todos los miembros de ésta.
Para lograr el éxito en la implantación de la directiva de se-
Revista Eos No. 2 guridad de IT, debe existir un comité de seguridad de TI, que como
Enero-abril de 2008
mínimo incluya las responsabilidades relacionadas con desarro-
llar, optimizar y crear el documento de directiva de seguridad;
trabajar con el responsable de seguridad de la empresa; crear pro-

82
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

cesos para garantizar que se cumplen los objetivos de seguridad


de TI; generar un proceso y un plan para implementar los
estándares descritos en el documento de directiva de seguridad;
promover la cultura de la seguridad; determinar el presupuesto y
las necesidades de recursos.
Otro parámetro que hay que tomar en cuenta dentro del
estándar es definir el cargo de responsable de seguridad de la
empresa, que se ocupa de garantizar que dicha seguridad tiene el
nivel adecuado de respaldo ejecutivo, que la directiva se compren-
de claramente en todos los niveles de la organización y que se
articula a éstos.
Hay que definir las necesidades de personal y, asegurarse de
que todos los miembros de la organización adquieran el compro-
miso y la capacitación necesarios para asumir la cultura de la se-
guridad. Muchas incursiones de seguridad se producen como con-
secuencia directa de una falta de formación o una deficiencia en el
proceso de implantación.

Estándar RFC2196 [4]


El Estándar RFC2196 es otro de los estándares usados en la
práctica de la seguridad de la información. A continuación se men-
cionan sus características y sus aspectos más relevantes.
Entre las características de la seguridad de la información,
según el RFC2196, se tienen las siguientes: se debe poder poner
en práctica mediante procedimientos descritos de administración
de sistemas, publicación de guías sobre el uso aceptable de los
recursos informáticos o por medio de otros métodos prácticos apro-
piados; debe poder implantarse; debe obligar al cumplimiento de
las acciones relacionadas mediante herramientas de seguridad;
tiene que detectar fugas o errores; debe definir claramente las
áreas de responsabilidad de los usuarios, administradores y di-
rección, y tener un responsable para toda situación posible.
Por otro lado, el RFC-2196 establece una serie de componen- Revista Eos No.2
Enero-abril de 2008
tes incluidos en las políticas de seguridad. Éstos son:
• Guías de compras de tecnología de la información.
Especifica funciones de seguridad requeridas o preferi-

83
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

das. Estas políticas deben complementar cualquier otra


política de compra de la organización.
• Política de privacidad. Determina las expectativas ra-
zonables de privacidad sobre temas relacionados con
monitoreo de correos electrónicos, acceso a archivos y
registro de teclados. Podría incluir también políticas acer-
ca de registro, escucha y control de llamadas telefónicas,
control de accesos a sitios web, uso de herramientas de
mensajería instantánea, etc.
• Política de acceso. Define derechos o privilegios de ac-
ceso a activos o recursos de información protegidos. Es-
pecifica comportamientos aceptables para usuarios, em-
pleados soporte y directivos. Debe incluir reglas respecto
a las conexiones y accesos externos, así como reglas acerca
de la comunicación de datos, conexiones de dispositivos
a las redes e inclusión de nuevas aplicaciones informá-
ticas en los sistemas existentes.
• Política de responsabilidad. Define las responsabili-
dades de usuarios, personal de mantenimiento y directi-
vos. Debe especificar la capacidad de realizar auditorías
y sus características, y proveer las guías para el registro
y manejo de incidentes de seguridad.
• Política de autenticación. Debe establecer los meca-
nismos de “confianza” mediante el uso de una política de
contraseñas apropiadas. Debe considerar, si aplica, polí-
ticas de autenticación local y de acceso remoto.
• Declaración de disponibilidad. Determina las expec-
tativas de disponibilidad de los recursos de los sistemas
e información. Con base en la disponibilidad necesaria,
podrán establecerse mecanismos de redundancia y pro-
cedimientos de recuperación.
• Política de mantenimiento de los sistemas relacio-
nados con la tecnología de la información. Descri-
be cómo deberá hacerse el mantenimiento realizado tan-
to por personal interno como externo a la organización.
Revista Eos No. 2
Enero-abril de 2008 Debe establecerse si se admite o no algún tipo de mante-
nimiento remoto (por ejemplo, por internet o por módem),
y las reglas que aplican, así como los mecanismos inter-
nos de control.

84
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

• Política de informes de incidentes o violaciones


de seguridad. Establece qué tipo de incidentes o viola-
ciones de seguridad deben reportarse y a quién reportar.
Para no generar un ambiente “amenazante”, puede con-
siderarse la inclusión de reportes anónimos, lo que segu-
ramente redundará en una mayor probabilidad de que
los incidentes sean efectivamente reportados.
• Información de apoyo. Proveer a los usuarios, emplea-
dos y directivos con información de contacto y de refe-
rencia para usarla ante incidentes de seguridad. En to-
dos los casos, los aspectos legales deben tomarse en
cuenta.

Estándar IT Baseline Protection Manual [5]


El IT Baseline Protection Manual presenta un conjunto de
recomendaciones de seguridad, establecidas por la Agencia Fede-
ral Alemana para la Seguridad en Tecnología de la Información.
Este estándar plantea en forma detallada aspectos de segu-
ridad en ámbitos relacionados con aspectos generales (organiza-
cionales, gestión humana, criptografía, manejo de virus, entre
otros); infraestructura, (edificaciones, redes wifi); sistemas
(Windows, novell, unix); redes (cortafuegos, módems), y aplicacio-
nes (correo electrónico, manejo de la web, bases de datos,
aplicativos)2.

Estándar SSE-CMM [6]


Se fundamenta en la presentación de una serie de activida-
des para desarrollar productos de software confiables y alcanzar
un ciclo de vida para sistemas seguros.
La propuesta se hace considerando que la ingeniería de se-
guridad no es una actividad que pueda desarrollarse de manera
aislada de otras especialidades de la ingeniería, en especial de la
ingeniería de sistemas y de software.
Revista Eos No.2
Enero-abril de 2008

2. Disponible en http://www.bsi.bund.de/fehler/index.htm.

85
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

De todos los modelos presentados, éste es el que mayor rela-


ción y adecuación tiene respecto al desarrollo de productos de soft-
ware seguros. SSE-CMM divide la ingeniería de seguridad en tres
áreas básicas: riesgo, ingeniería y aseguramiento.
• Riesgo: busca identificar y priorizar los peligros asocia-
dos al desarrollo de productos o sistemas.
• Ingeniería: trabaja con otras disciplinas para implan-
tar soluciones sobre los peligros identificados. En este
caso, se relaciona con la ingeniería de software.
• Aseguramiento: tiene como objetivo certificar que las
soluciones implementadas sean confiables.
El modelo se estructura en dos dimensiones:
• Dominios: conjunto de prácticas básicas que definen la
ingeniería de seguridad.
• Capacidades: se refiere a las prácticas genéricas que
determinan la administración del proceso e instituciona-
lizan la capacidad.

Estándar ISO 27001[7]


Este es el nuevo estándar oficial. Su título completo en reali-
dad es BS 7799-2:2005 (ISO/IEC 27001:2005). También fue pre-
parado por el JTC 31 y en el subcomité SC 27, IT Security
Techniques. La versión que se considerará en este texto es la pri-
mera edición, de fecha 15 de octubre de 2005.
Cerca de 1.870 organizaciones en 57 países han reconocido la
importancia y los beneficios de esta nueva norma. A fines de mar-
zo de 2006, seis empresas españolas poseen esta certificación de-
clarada. El conjunto de estándares que aportan información de
la familia ISO-2700x que se puede tener en cuenta son:
• ISO/IEC 27000 Fundamentals and vocabulary.
• ISO/IEC 27001 ISMS - Requirements (revised BS 7799
Part 2:2005). Publicado el 15 de octubre del 2005.
Revista Eos No. 2
Enero-abril de 2008

3. Comité Técnico Conjunto.

86
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

• ISO/IEC 27002 Code of practice for information security


management. Actualmente ISO/IEC 17799:2005, publi-
cado el 15 de junio del 2005.
• ISO/IEC 27003 ISMS implementation guidance (en de-
sarrollo).
• ISO/IEC 27004 Information security management mea-
surement (en desarrollo).
• ISO/IEC 27005 Information security risk management
(basado en ISO/IEC 13335 MICTS Part 2 e incorporado
a éste; en desarrollo).
El ISO-27001:2005 es el único estándar aceptado internacio-
nalmente para la administración de la seguridad de la informa-
ción y aplica a todo tipo de organizaciones, tanto por su tamaño
como por su actividad.
Presentar al ISO-27001:2005 como estándar de facto genera
la posibilidad de tener un estándar mejorado y más robusto en el
trayecto de la historia; los entes que aplican estos procedimientos
para garantizar la seguridad e integridad de la información mejo-
rarán considerablemente el estándar, luego de haber hecho las
pruebas y haber tenido la experiencia.
Los demás estándares establecidos, como el alemán, basado
en el IT Baseline Protection Manual, y las recomendaciones de la
IEFT con su RFC2196, constituyen solamente orientaciones y guías
para usuarios que deseen implementar gestión en la seguridad de
la información; sin embargo, queda demostrado que el estándar
de ISO es el más adoptado por las empresas porque es más flexi-
ble y se acopla mejor a los procesos que normalmente se llevan a
cabo en las organizaciones; ISO es el estándar de facto en la ge-
rencia de la integridad de la información.

Estándares, administración de seguridad de


información y definición de políticas
RFC2196 - Site Security Handbook
Revista Eos No.2
La recomendación del IETF4 conocida como la RFC2196 Site Enero-abril de 2008
Security Handbook se estructuró y compendió en el año 1997. Esta

4. Internet Engineering Taks Force.

87
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

recomendación es un esfuerzo por dar cuerpo a las iniciativas de


seguridad en el entorno de sistemas de cómputo y sistemas de
información, y se enfoca en generar un marco conceptual para
definir de manera integrada un esquema de seguridad basado en
políticas a todo nivel en los temas referentes al manejo de la infor-
mación, entre los que se destacan hardware, software, datos, per-
sonal involucrado, documentación y consumibles [8].
De acuerdo con este enfoque es importante señalar que todo
parte de la conceptualización del análisis de riesgo, donde es vital
identificar dos aspectos: assets (activos). Hardware, software, red,
información y personal, y riesgos (vulnerabilidades, debilidades).
Los activos y los riesgos van de la mano a la hora de implan-
tar las políticas de seguridad, ya que cada uno de los activos pre-
sentará sus propios riesgos, con lo cual estructurar un plan de
seguridad tendrá como base el estudio de las vulnerabilidades para
cada uno de ellos.
Al analizar el riesgo es importante tener una visión sistémica
de los componentes de la infraestructura de información, para así
poder articular una política coherente que lleve a la organización
a plasmar un sistema de seguridad a la medida de sus activida-
des. Debe ser lo bastante consistente para responder a las necesi-
dades y al mismo tiempo liviano para que no sea un obstáculo en
el normal desarrollo de las actividades de la empresa o institu-
ción.
La RFC2196 parte de esta premisa para que los responsables
de las políticas de seguridad, en lo que respecta a las tecnologías
de información (TI), tengan claro el alcance de la implantación,
con la estructura lógica que se presentará a continuación.
• Definición de objetivo. Se enfoca en la identificación del
plan de seguridad, partiendo de un esquema en el cual, identifica-
das las amenazas, se procede a asegurar el sistema. La respuesta
a incidentes será la parte fundamental, y separar los servicios a
los cuales pueden o deben acceder los usuarios e identificar las
Revista Eos No. 2
Enero-abril de 2008 necesidades para cada uno de ellos ayudarán a la estructuración
de los objetivos del sistema.

88
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

• Configuración de servicios y red. La información es


uno de los activos más valiosos de las empresas. De tal manera
que tener control y seguridad sobre ésta se ha vuelto una necesi-
dad imperativa en las organizaciones actuales. Investigaciones,
procesos, documentos, listas de precios y demás informaciones re-
lacionadas con la operación de la empresa hacen que éstas se dife-
rencien en los mercados actuales, cada vez más competitivos.
Para ser más competitivas, las empresas han tenido que in-
tegrarse y compenetrarse en un mundo globalizado, donde la in-
formación es el eje fundamental de las operaciones. Pero ¿cómo
integrarse y cómo tomar ventaja de la globalización?
Un componente importante para tomar ventaja de esta rea-
lidad conlleva la integración de operaciones a ese mundo
globalizado a través de las tecnologías de información y comuni-
cación. Dicho escenario plantea numerosos retos y es allí donde la
seguridad, al entrar en ese mundo virtual, toma relevancia espe-
cial ya que presupone “exponer” la información interna al mundo
externo.
La RFC2196 hace hincapié en los siguientes puntos con res-
pecto a la conexión hacia redes externas [9]: proteger la infraes-
tructura (hosts, servidores, equipos de comunicaciones, personal)
y proteger los servicios (DNS, password key servers, mail, WWW
Servers, FTP).
Proteger la infraestructura conduce a que el encargado de
implantar el esquema de seguridad se imponga el reto de definir
los componentes necesarios para conseguir el aseguramiento en
estos dos frentes. “Proteger”, en este contexto, es asegurar la
operatividad de los componentes en caso de que algún evento o
incidencia conduzca a su mal funcionamiento. Este tema es parti-
cular a cada organización, puesto que el analista de seguridad
debe tomar en cuenta los costos asociados de tener elementos
redundantes.
• Firewalls. Es común encontrar falencias en lo que respec-
Revista Eos No.2
ta a procesos de seguridad informática (seguridad lógica) en las Enero-abril de 2008
organizaciones. La mencionada recomendación hace alusión a este
punto cuando enfatiza en que la seguridad no puede finalmente
circunscribirse a los elementos hardware dispuestos en la red para

89
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

permitir o no el acceso a los recursos e información de las organi-


zaciones.
Los firewalls, entendidos como la infraestructura de red que
garantiza un entorno de seguridad al interconectar redes, plas-
marán las políticas que cada entorno en específico requiera, de
acuerdo con las necesidades. El manejo de la seguridad no puede
recaer sólo en estos elementos hardware/software y sus adminis-
tradores. Los esquemas de seguridad soportados en firewalls es-
tarán articulados dentro del sistema completo de seguridad.
Sin perder de vista el objetivo general del sistema de seguri-
dad, las políticas toman relevancia nuevamente en este sentido.
No es sólo el administrador de seguridad el responsable de man-
tener un ambiente seguro para la infraestructura tecnológica en
lo que atañe al manejo de información. Éste será un esfuerzo con-
tinuo con todos los involucrados e interesados (stakeholders), esto
es, mantener un ambiente seguro respetando las políticas que a
nivel técnico se implanten en la organización.
• Procedimientos y seguridad en servicios. La infraes-
tructura de seguridad y el personal que hace uso de ella al acceder
a la información dan forma a un esquema seguro cuando se arti-
culan siguiendo procedimientos y procesos. Equipos, personal,
políticas, procedimientos y procesos forman en sí un sistema inte-
grado de seguridad. El acceso de la información debe tener un
esquema donde se puedan seguir ciertos procedimientos que han
de estructurarse tomando como base las necesidades de la organi-
zación.
Por otro lado, la RFC2196 hace hincapié en los siguientes
procesos al momento de estructurar los procedimientos, tenien-
do como base los elementos que componen el sistema de infor-
mación [10]:
• Autenticación [11]. Este proceso está orientado a de-
terminar si el solicitante del servicio o información es,
de hecho, quien tiene derecho a usarla. Es decir, identifi-
Revista Eos No. 2
Enero-abril de 2008 car que quien utilice las plataformas o los recursos sea
quien dice ser.
• Autorización [12]. En este proceso se da permiso al so-
licitante de realizar o no acciones dentro de un sistema.

90
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

• Integridad y confidencialidad. Procesos que se en-


cargan de asegurar que la información no sea alterada y
que va a mantenerse en un entorno controlado para no
difundir su contenido, en este orden.
• Acceso. Establecer los mecanismos por los cuales los so-
licitantes van a acceder a los recursos de información de
la organización, ya sea desde el interior o desde el exte-
rior.
• Auditoría. Los procesos anteriores deben cobijarse me-
diante un procedimiento de auditoría. Saber quién, en
qué momento y cuál fue la labor realizada sobre la infor-
mación o sobre los sistemas, deberá registrarse en algún
sitio para tener control sobre los incidentes.
La RFC2196 continúa con la descripción de la estructura ló-
gica, tratando el tema relacionado con la identificación de inci-
dentes.
¿Cómo identificar que una situación anómala es un inciden-
te? Esta pregunta es importante, ya que dependiendo de los sínto-
mas presentados en los subsistemas y en el entorno de la organi-
zación se puede determinar si el fenómeno presentado clasifica
como incidente de seguridad.
La recomendación establece ciertos criterios para enmarcar
los incidentes y así tener un plan de acción en caso de que ocurra
[13]. Así mismo, aconseja utilizar herramientas software especia-
lizadas para la detección de conductas anómalas de los usuarios
de la red, ya sean internos o externos (Intrusion Detection Systems,
IDS).
Circunscribir el fenómeno e identificar su espectro de acción
serán de gran ayuda para identificar si la situación empeora o no,
evaluar sus alcances y, sobre todo, seguir el plan de acción. Mu-
chas veces los incidentes tienen una reacción en cadena que a par-
tir de una situación anómala se convierten en verdaderos proble-
mas que afectan a toda la organización.
Revista Eos No.2
• Manejo de incidentes. El esquema de seguridad se im- Enero-abril de 2008
planta con un objetivo primordial: evitar los problemas de seguri-
dad de la información a través de la implantación de un sistema
que incluya todos los activos involucrados en la organización. En

91
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

caso de falla, el esquema deberá responder de la mejor manera


frente a los incidentes que afecten la información, minimizando su
impacto. Teniendo como base esta premisa, el manejo de incidentes
se debe preparar y planear para cumplir este objetivo.
El manejo de incidentes de acuerdo con la RFC2196 presupo-
ne una etapa de preparación y planeación de incidentes. Prepa-
rarse en este contexto es orientar los esfuerzos de seguridad a
implementar y fijar niveles de protección que involucren las polí-
ticas de seguridad establecidas, personal, infraestructura y proce-
dimientos para evitar al máximo que los incidentes ocurran [14].
Conocer de antemano las vulnerabilidades del sistema ayu-
dará a su corrección, retroalimentación que resulta importante
para mantener actualizados los procesos de seguridad y su conti-
nuidad en el tiempo. De igual manera, se recomienda priorizar las
acciones que hay que tomar cuando se presenten incidentes que
vulneren la seguridad [15].
Adicionalmente, en el momento de actuar se debe tener en
cuenta seguir una secuencia de pasos lógicos que ayuden a resta-
blecer las condiciones normales de operación de la organización;
para ello es importante, de acuerdo con la recomendación, tener
documentado el proceso que se debe seguir.

ISO-IEC 17799. Código de Prácticas para el Manejo de


Seguridad en Información
Esta norma se estableció inicialmente en el entorno británico.
Sus comienzos se remontan al año 1992 y su primera versión com-
pendiada se publicó en 1995; en 1999 se hizo una revisión, producto
de la cual la versión original se dividió en dos partes: la primera,
denominada Code of Practice for Information Security Management,
y la segunda, Especification for Information Security Management
Systems. En este trabajo sólo se hablará del primer documento, ya
que éste sirvió como base para la norma ISO 1799. La norma británi-
ca fue propuesta en el año 2000 ante la ISO con algunos cambios y se
Revista Eos No. 2
Enero-abril de 2008 presentó como la ISO/IEC 17799:2000. Este código apunta a crear un
marco de buenas prácticas para el manejo de seguridad de la infor-
mación y su interoperatividad con los sistemas [16].

92
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

La última versión del BS7799:2005 se enfoca en tener un es-


quema estructurado, conocido como el PDCA (Plan-Do-Check-Act:
Planear-Hacer-Chequear-Actuar). Este acercamiento a la reali-
dad en los entornos institucionales y empresariales permite tener
un enfoque estructurado a la hora de implantar un sistema de
manejo de seguridad en la información.
• Esquema PDCA. Planear (plan) en este entorno significa
definir políticas de seguridad y su alcance. Las políticas no po-
drán ser efectivas si no se articulan en torno a riesgos que deben
evaluarse en la organización. Identificar y evaluar opciones para
tratar esos riesgos y seleccionar para cada riesgo la mejor opción
de tratamiento son aspectos importantes durante la fase de
planeación sugerida por el estándar [17].
Ya en la parte de implementación (DO) se deben formular
los planes de tratamiento de riesgos y su implantación. De igual
manera, se ha de implementar el esquema de procedimiento de
detección y respuesta a los incidentes, teniendo previamente un
personal capacitado.
• Verificar y auditar (Check- Audit). Monitorear, revisar,
probar y auditar cierran el ciclo de estructuración de políticas con-
tenidas dentro del manejo de incidencias de seguridad de infor-
mación.
En este esquema se requiere tener dentro de la organización
personal responsable del esquema de seguridad, ya sea de tiempo
completo o parcial. Ellos estarán a cargo de la implementación y
seguimiento de las políticas y procedimientos de seguridad. Sin
una cabeza visible, la implementación del sistema puede quedar a
medias, ya que debe haber una visión general que tenga en cuen-
ta los objetivos y el alcance de la implantación del estándar.
• Estructura del estándar. Este estándar se enfoca en la
identificación de riesgo y su tratamiento para asegurar la confiden-
cialidad, disponibilidad e integridad de la información. A partir
de este objetivo se organiza la estructura del estándar, enfatizando
en tener un marco conceptual que debe, en la medida de lo posi- Revista Eos No.2
Enero-abril de 2008
ble, llevarse a la práctica.
De acuerdo con Rene Saint-Germain, en el Information Ma-
nagement Journal [18], las políticas de seguridad y su aplicabilidad

93
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

dentro de la organización deben ir de un nivel organizacional a un


nivel operacional. Allí enmarca el estándar en diez (10) esferas de
acción (dominios), que están estrechamente ligados a la organiza-
ción donde éste se implante.
Es importante la distribución piramidal, pues depende de los
directivos concientizarse sobre los potenciales efectos de las fallas
en la seguridad de información. Partir de un enfoque gerencial
donde se planean estrategias de seguridad e irlas traduciendo en
temas a nivel táctico (operacionales) dará consistencia al modelo.
Cabe destacar la importancia de las políticas de seguridad,
que si bien es cierto están en la cumbre, son los lineamientos que a
nivel semántico deben quedar claros para llevarlos a la práctica a
través de toda la organización. La IEC17799 desarrolla estos temas
con mayor amplitud para poder llevarlos a un entorno práctico.

Figura 1. Dominios del IEC17799.

Otro enfoque del estándar propuesto por Saad Haj Bakry en


el International Journal of Network Management plantea inte-
Revista Eos No. 2
Enero-abril de 2008
grar las diez áreas donde trabaja la IEC 17799 con base en el en-
foque Stope [19], el cual agrupa en las categorías de estrategia,
tecnología, organización, personal y entorno (Strategy, Technology,
Organization, People, Environment) las áreas de acción del

94
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

estándar. Esta iniciativa se apoya en el esquema Stope para darle


más aplicabilidad a nivel práctico y poder definir las fronteras de
acción de cada una de las áreas.

Figura 2. Enfoque Stope de la IEC17799.

Este enfoque pretende, a partir de las categorías, generar


puntos de control para cada una de las actividades. Esto llevará,
de acuerdo con el autor, a generar un checklist que pueda certifi-
car que se cumplieron las metas de la implantación del estándar.
Para esto se apoya en una herramienta conceptual denominada
Six-Sigma-Based [20]5, la cual básicamente consiste en seguir un
proceso lógico para la implantación de la norma desde el punto de
vista práctico.

System Security Engineering Capability Maturity Model


(SSE-CMM)
El SSE-CMM es, más que un estándar, un modelo de refe-
rencia que no dicta normas estáticas en lo que concierne a la segu-
ridad en los ambientes de información y tecnología (IT) que quie- Revista Eos No.2
Enero-abril de 2008

5. Define, Measure, Analyze, Improve, Control (DMAIC).

95
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

re enmarcar su radio de acción [21]. Este modelo es un esfuerzo


multilateral dirigido por la Universidad de Carnegie Mellon en
Estados Unidos.
Debido a que su alcance no restringe a una práctica especifi-
ca en la implantación de seguridad de la información, se manejan
conceptos generales para entender el modelo. Éste se basa en la
definición de conceptos como organización, proyecto, sistema, pro-
ducto de trabajo, cliente, proceso, institucionalización, gerencia
de proceso y capacidad de madurez del modelo (capability maturity
model).
Este último concepto sirve para describir cómo, a través del
proceso de planeación, implantación y mejoras, el modelo se ajus-
ta a cada situación particular; es tratar de identificar qué tan
“maduro” se encuentra el esquema planteado para la seguridad
de información en la organización.
El modelo se enfoca en la ingeniería de seguridad como mar-
co para desarrollar un esquema confiable alrededor de la temáti-
ca de aseguramiento en entornos de información y tecnología (IT).
Por ello es importante mencionar el ciclo de vida de ingeniería de
seguridad, de acuerdo con el modelo [22].
Concepto, desarrollo, producción, utilización, soporte y reti-
ro son etapas inherentes a las actividades que soportan el modelo
mencionado. Como tal, la arquitectura del sistema se basa en tres
macroprocesos: evaluación de riesgo, ingeniería de seguridad y
aseguramiento. Con ello se da forma a una matriz que pretende
realizar un diagnóstico y establecer qué grado de madurez tiene
la estrategia de seguridad en una organización.
En el eje X se analizan todas las actividades inherentes a
ingeniería de seguridad, conocidas como las prácticas base (base
practice). El modelo considera 129 prácticas que engloban el ejer-
cicio de la ingeniería de seguridad y las divide en 22 procesos que
agrupan las actividades (security engineering processes), siendo
los primeros once procesos (security engineering processes) los más
Revista Eos No. 2
Enero-abril de 2008 relevantes y los que comúnmente se analizan en este eje [23].

96
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

Figura 3. Matriz de evaluación de procesos.

En el eje Y se agrupan actividades que se pueden aplicar a


cada uno de los procesos de ingeniería, llamadas prácticas genéri-
cas (generic practices). En este eje se articulan cinco niveles que
son los que clasificaran la capacidad en cada uno de los aspectos
de ingeniería de seguridad y gradúan la manera como se llevan a
cabo los procesos.
La vista genérica de la matriz sería de la siguiente manera,
de acuerdo con el documento que describe el modelo [24]:

Figura 4. Determinación de la capacidad del sistema.

Vale la pena destacar que este modelo, a diferencia de los


demás, trata de graduar cada uno de los aspectos importantes a la
Revista Eos No.2
hora de implantar un esquema de seguridad en una organización. Enero-abril de 2008
Describir, o tratar de medir en lo referente a madurez cada uno de
los procesos, ayuda al diagnóstico y al mejoramiento continuo del
esquema elegido.

97
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

Igualmente, como lo anota John P. Hopkinson [25], “la ma-


nera en la cual una organización lleva a cabo, controla, soporta y
monitorea un proceso, determina qué tan maduro es el proceso y
qué tan bien se va a llevar a cabo; por consiguiente, qué tan bue-
nos y repetibles serán los resultados de ese proceso”.

IT Baseline Protection Manual (Metodología de


Análisis y Gestión de Riesgos de los Sistemas de
Información)
Los objetivos del estándar son asistir en forma rápida solu-
ciones a problemas comunes en seguridad e identificar los riesgos
de seguridad de TI. De la misma manera, define su alcance adu-
ciendo que el IT Protection Manual contiene estándares de pro-
tección de seguridad de tecnologías de información e implanta con-
ceptos de seguridad de IT, simplificando y economizando los
recursos requeridos.
El análisis de la estructura de IT [26] provee los medios para
la realización de un estudio preliminar, apuntando a la recolec-
ción de información que se necesitará después, para preparar el
concepto del IT baseline protection security. Esto se divide en las
siguientes subtareas: preparar el plan de red, reducir la compleji-
dad identificando recursos similares, recolectar información so-
bre los sistemas de IT, y captar información sobre las aplicaciones
de IT y relacionarla con ésta.
• Procesos de seguridad IT. La función primaria de la
administración de seguridad IT es preparar los conceptos de se-
guridad, los cuales son indispensables para la implantación de los
procesos.
El procedimiento general se describe a continuación:

Revista Eos No. 2


Enero-abril de 2008

98
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

Figura 5. Descripción del procedimiento de seguridad IT Baseline


Protection Manual.

• Evaluación de requerimientos de protección. Para


evaluar modelos de protección de la estructura de IT se
requieren cuatro pasos por separado. El primero de to-
dos es definir las categorías de requerimientos de pro-
tección. Comúnmente, los escenarios de daño se emplean
para determinar los requerimientos de protección de
varias aplicaciones de IT.
• Modelo de protección IT Baseline. Se enfoca de acuer-
do con un orden descendente, así: activos de IT, análisis
de la estructura de IT, evaluación de los requerimientos
de protección y modelamiento. De este último se despren-
den dos actividades: ejecutar el plan sobre los activos IT
en uso y desarrollar el plan sobre los activos de IT plani-
ficados.
• Chequeo de seguridad básica. El módulo de protec-
ción de IT se utiliza como un plan de prueba para esta-
blecer, usando un objetivo frente a la actual compara-
Revista Eos No.2
ción, cuál estándar para salvaguardar la seguridad ha sido Enero-abril de 2008
efectivo y cuál no se ha implementado efectivamente.
• Análisis de seguridad suplementario. Un análisis de
seguridad de IT suplementario se debe entregar para

99
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

puntos sensibles de la organización. Se pueden emplear


varios métodos, que incluyan análisis del riesgo, prue-
bas de penetración y análisis diferencial de seguridad.
• Implementación de modelo de protección de segu-
ridad IT. Se destacan los siguientes pasos: examinar
los resultados de la investigación, consolidar los salva-
guardas, preparar un estimado de costos y esfuerzos re-
queridos, determinar la secuencia de implementación,
asignar responsabilidades e implantar medidas de acom-
pañamiento.

ISO 27001
Entre los objetivos primordiales del estándar se considera
presentar un análisis ISO/IEC para cualquier empresa que desee
planificar e implementar una política de seguridad orientada a
obtener una futura certificación dentro de este estándar y conse-
guir como resultado final la evaluación del riesgo (análisis y valo-
ración) sobre las políticas empresariales de una organización.
El alcance se concibe hasta proveer un modelo para el esta-
blecimiento, implementación, operación, monitorización, revisión,
mantenimiento y mejora del SGSI.
La adopción del modelo SGSI obedece a una decisión estraté-
gica de la organización, pues el modelo está influenciado por sus
necesidades y objetivos, así como por los requerimientos de segu-
ridad, los procesos, el tamaño y la estructura de la empresa. La
dinámica que implica su aplicación ocasionará en muchos casos la
escala del modelo, por lo que se necesita una misma dinámica para
las soluciones [27].
Los requerimientos de la ISO 27001 son aplicables a todas
las organizaciones.
• Modelo PHCA. Adoptado por la ISO/IEC 27001 [28].
• Planear (establece el SGSI). Fija la política, objeti-
Revista Eos No. 2 vos, procesos y procedimientos del SGSI pertinentes para
Enero-abril de 2008
gestionar el riesgo y mejorar la seguridad de la informa-
ción, con el fin de entregar resultados conforme a las po-
líticas y objetivos generales de la organización.

100
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

• Hacer (implementar y operar el SGSI). Implementar


y operar la política, controles, procesos y procedimientos
del SGSI.

Figura 6. PHCA aplicado a los procesos de SGSI (Sistemas de Gestión de


Seguridad de la Información).

• Comprobar (monitorear y revisar el SGSI). Evaluar


y, donde corresponda, medir el desempeño del proceso
según la política, objetivos y experiencia práctica del
SGSI, e informar los resultados a la gerencia para su
examen.
• Actuar (mantener y mejorar el SGSI). Tomar medi-
das correctivas y preventivas, basado en los resultados
de la auditoría interna del SGSI y el examen de la geren-
cia u otra información pertinente, para lograr el mejora-
miento continuo del SGSI.
El modelo PHCA establece para el SGSI un procedimiento
que tenga en cuenta la definición del alcance de un enfoque siste-
mático para identificar y evaluar el riesgo, definir política SGSI,
identificar y evaluar opciones para el tratamiento del riesgo, se-
leccionar objetivos de control y controles, preparar un enunciado Revista Eos No.2
de aplicabilidad y obtener aprobación de la gerencia. Enero-abril de 2008

De la misma manera, para la implantación y operación del


SGSI considera tener en cuenta el formular e implementar un

101
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

plan de tratamiento del riesgo, aplicar todos los objetivos de con-


trol y los controles seleccionados, poner en práctica programas de
entrenamiento y toma de conciencia, al igual que gestionar opera-
ciones y recursos.
Para monitorear y revisar el SGSI se recomienda ejecutar
procedimientos de monitoreo, efectuar revisiones regulares de la
eficacia del SGSI, revisar el nivel de riesgo residual y del riesgo
aceptable, conducir las auditorías internas del SGSI y registrar
todos los eventos que tienen un efecto en el desempeño del SGSI.
Para mantener y mejorar el SGSI, se necesita implantar las
mejoras identificadas, tomar apropiadas acciones correctivas y pre-
ventivas, comunicar los resultados a todas las partes interesadas
y asegurar que las mejoras alcancen los objetivos deseados.
En cuanto a documentación, ésta deberá incluir los registros
de las decisiones de la gerencia, asegurar que las acciones se deri-
ven de las decisiones y políticas de los directivos, y que los resulta-
dos registrados sean reproducibles. Es importante poder demos-
trar que los controles seleccionados se relacionan con los resultados
del proceso de evaluación y tratamiento de riesgos, y con la políti-
ca y objetivos del SGSI.
•Auditoría interna del SGSI. La organización realizará
auditorías internas al SGSI con intervalos planeados para deter-
minar si los controles, sus objetivos, los procesos y procedimientos
continúan de conformidad con esta norma y para analizar y plani-
ficar acciones de mejora. Ninguna persona podrá auditar su pro-
pio trabajo, ni cualquier otro que guarde relación con él.
La responsabilidad y los requerimientos para el planeamiento
y la conducción de las actividades de auditoría, los informes resul-
tantes y el mantenimiento de los registros se definirán en un pro-
cedimiento.
• Administración de las revisiones del SGSI. Las revi-
siones mencionadas en el punto anterior deberán llevarse a cabo
Revista Eos No. 2 al menos una vez al año para asegurar su vigencia, adecuación y
Enero-abril de 2008
efectividad. Estas revisiones incluirán valoración de oportunida-
des para mejorar o cambiar el SGSI, incluyendo la política de se-
guridad de la información y sus objetivos.

102
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

Esta actividad está constituida por la revisión de entra-


das y salidas, y dará como resultado el documento correspon-
diente.
• Mejoras al SGSI. La organización deberá mejorar conti-
nuamente la eficiencia del SGSI a través del empleo de la política
de seguridad de la información, sus objetivos, el resultado de las
auditorías, el análisis y la monitorización de eventos, las acciones
preventivas y correctivas, y las revisiones de administración.
• Acciones correctivas. La organización llevará a cabo ac-
ciones orientadas a eliminar las causas que no estén de conformi-
dad con los requerimientos del SGSI para evitar la recurrencia de
éstos. Cada una de estas acciones correctivas se deberá documen-
tar [29].
• Implantación [30]. La implantación considera seis fases,
las cuales forman parte del plan concebido por el estándar de se-
guridad 27001. Para la elaboración de comienzo a fin de la im-
plantación se requiere la participación activa de diferentes áreas
de la empresa, entre las que se destacan: aseguramiento de ingre-
sos, control y prevención del fraude, seguridad de IT y factura-
ción. Después de la definición del alcance del sistema de gestión
de seguridad de la información, se deben analizar los riesgos que
involucran las posibles amenazas y vulnerabilidades de los siste-
mas de información y procesamiento. Es importante gestionar el
riesgo desde el punto de vista organizacional, obteniendo en esta
forma un fraude de aseguramiento requerido.
• Objetivos de control y controles [31]. Los objetivos
de control, además de la formulación, requieren contemplar la
política de seguridad identificada para éste, la organización re-
lacionada con la seguridad de la información tanto interna como
aquella que involucre terceros y la gestión del riesgo, con el
propósito de tomar las acciones correspondientes en el momen-
to indicado.
Así mismo, se debe contemplar la seguridad de los recursos
humanos, la seguridad física y ambiental, y la gestión de comuni- Revista Eos No.2
Enero-abril de 2008
caciones y operaciones.
• Certificaciones [32]. La estructura de una entidad certi-
ficadora está regida fundamentalmente por el Foro Internacional

103
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

de la Acreditación (IAF)6, por la Cooperación Europea para la Acre-


ditación (EA)7 y por las entidades de acreditación (de España y de
Reino Unido). El principal objetivo es aplicar el sistema de certifi-
cación a las empresas, mediante los procedimientos de validación
contemplados para ello; con este sistema se da constancia, por un
período de tiempo determinado, de la conformidad de un producto
respecto a los requisitos establecidos o previamente especificados.
El certificado constituye una señal de aceptabilidad, que evi-
ta la necesidad de tener que demostrar constantemente las nor-
mas de seguridad de la empresa ante los clientes [33], y el modelo
PHCA aplicado a los procesos de SGSI (Sistemas de Gestión de
Seguridad de la Información) apoya el logro de los resultados de
certificación en las organizaciones.

Ingeniería de seguridad e implantación en las


empresas [34]
La implantación de un sistema de seguridad de la informa-
ción se basa en la metodología ESA8, cuyo marco general estable-
ce el diseño de políticas, normas y procedimientos de seguridad
con el fin de tener un posterior desarrollo de controles sobre la
información de la empresa.
Para el diseño de la ingeniería de seguridad de la informa-
ción se deben desarrollar las siguientes etapas:
• Evaluación de riesgos, amenazas y vulnerabilida-
des. En esta etapa se hace una identificación cuidadosa
de las amenazas frente a la vulnerabilidad y de los ries-
gos frente a las amenazas. Seguidamente se definen las
razones por las cuales se debe aplicar un plan de seguri-
dad y por último se determina el estándar o medida de
seguridad que se va a adoptar.
• Políticas de seguridad de la información. Con el
objetivo de contar con una guía para la protección de la
información de la empresa, se elaboran las políticas y
Revista Eos No. 2
Enero-abril de 2008
estándares de seguridad de la información tomando

6. International Forum of Accreditation.


7. European Co-operation for Acreditation.
8. Enterprise Security Architecture, disponible en http://www.symantec.com/errors/notfound.jsp.

104
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

en cuenta el estándar de seguridad de información ISO


17799, los requerimientos sobre riesgos de tecnología
de información y las normas establecidas en la compa-
ñía.
• Diseño de arquitectura de seguridad de red. Con el
objetivo de controlar las conexiones de la red de la em-
presa y monitorear la actividad realizada con otras enti-
dades externas a las cuales deba comunicarse, se elabo-
rará una propuesta de arquitectura de red, la cual incluye
dispositivos de monitoreo de intrusos y herramientas de
inspección de contenido.
• Plan de implementación. De la identificación de ries-
gos, amenazas y vulnerabilidades relacionadas con la se-
guridad de la información de la empresa, se logran iden-
tificar las actividades más importantes que realizará la
entidad, con el propósito de alinear las medidas de se-
guridad implantadas para proteger la información de la
compañía, con las políticas de seguridad y estándares
elaborados.
Este plan de alto nivel incluye una descripción de la activi-
dad que se va a llevar a cabo, las etapas incluidas en su desarrollo
y el tiempo estimado de ejecución.

Matriz de comparación de los estándares


estudiados
En la siguiente matriz se recogen los aspectos esenciales de
cada uno de los estándares tratados en este artículo:

Tabla 1
Matriz de comparación de aspectos esenciales entre los estándares
estudiados
ISO-IEC RFC2196 IT BASE LINE SSE-CMM ISO 27001
BS7799-
IT
Estándar Recomendación Estándar
No certificado Certificado No certificado Certificado Internacional
Revista Eos No.2
Identifica activos informáticos y vulnerabilidad
Enero-abril de 2008
Identifica recurso humano
Se debe documentar
Define claramente responsabilidades
Establece, implanta, monitorea y mantiene sistemas de administración de seguridad IT

105
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

De acuerdo con la consolidación de los aspectos esenciales


estudiados y resumidos en la matriz de comparación, puede ase-
gurarse que la implantación de cualquiera de los cinco estándares
garantiza la seguridad de la información, para lo cual se concibie-
ron.

Conclusiones
• La tendencia en materia de seguridad de la información
ha hecho que las grandes empresas, tanto nacionales
como multinacionales, inviertan cuantiosas sumas de di-
nero en asegurar adecuadamente la información; dicha
inversión en seguridad se hace con el fin de garantizar el
buen uso y seguridad de ésta. Las empresas invierten
cifras considerables y significativas no solo en la adecua-
ción de los sistemas, sino también en entrenamiento y
educación a los empleados, adoptando políticas serias que
se transmiten a todo el personal para que cada miembro
de la organización tome conciencia de la importancia que
este tema tiene para la firma.
• A pesar de que las organizaciones y sus sistemas de in-
formación enfrentan amenazas de seguridad proceden-
tes de variedad de fuentes, incluyendo fraudes asistidos
por computador, espionaje, sabotaje, vandalismo incen-
dios, inundaciones, códigos maliciosos, ataques de pira-
tería por computador o negación de servicios, volviéndo-
se cada vez más comunes, más ambiciosas y más
sofisticadas de lo que podría imaginarse, éstas no paran
en su afán por diseñar estrategias que garanticen la se-
guridad de la información para mostrar una imagen de
confiabilidad frente a sus clientes.
• Los estándares estudiados en este artículo permiten es-
pecificar, a las empresas que los adopten, los requisitos
para establecer, implantar, operar, monitorear, revisar,
mantener y mejorar el sistema de gestión de la seguri-
Revista Eos No. 2 dad de la información para la implementación de contro-
Enero-abril de 2008
les de seguridad adaptados a la necesidad de la organi-
zación, o parte de ella, en relación con el contexto y los
riesgos identificados.

106
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

• El uso de estándares, recomendaciones y acuerdos inter-


nacionales para prevenir los riesgos asociados con la se-
guridad de la información ha logrado mitigar en un por-
centaje considerable la solución a estos inconvenientes;
sin embargo, la mitigación sólo llegará al 100% cuando
se genere una cultura de seguridad de la información
por parte de todos los funcionarios de las organizacio-
nes.
• El estudio de los estándares puso de manifiesto que los
mecanismos de control en un SGSI deben ser muy es-
trictos en su cumplimiento, ya que por medio de éstos se
llega a la implantación efectiva del Sistema de Gestión
de la Seguridad de la Información que certifica la cali-
dad de sus productos o servicios.
• Las mejores prácticas alrededor de los estándares de se-
guridad de la información estudiados en este artículo
pusieron de manifiesto que toda la organización debe
sensibilizarse con respecto a la protección y seguridad
de sus activos para que la implantación del estándar se-
leccionado tenga éxito y garantice la imagen corporativa
ante los clientes.
• Puede observarse que los estándares se han elaborado
para facilitar el diseño del modelo de gestión en el esta-
blecimiento, implantación, operación, seguimiento, revi-
sión, mantenimiento y mejora del SGSI. Por tanto, la
adopción de un SGSI debería ser una decisión estratégi-
ca para toda organización. De la misma manera, el dise-
ño es influenciado por las necesidades, objetivos, requi-
sitos de seguridad, procesos empleados, tamaño y
estructura de la organización.
• De la misma manera, los estándares pusieron de mani-
fiesto que los sistemas de gestión de seguridad de la in-
formación están orientados a establecer procedimientos
que evitan los eventos clasificados como incidentes, ga-
rantizando la confiabilidad y seguridad en el manejo de
la información Revista Eos No.2
• El estudio evidenció también que las empresas deben Enero-abril de 2008

cambiar sus sistemas tradicionales de gestión por la im-


plantación de un SGSI que cumpla con los estándares
establecidos para tal fin.

107
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

• Por medio del análisis de los estándares se pudo identifi-


car que una empresa que obtiene la certificación en su
SGSI se considera cumplidora de la norma ISO 17799 y,
por tanto, queda certificada con ISO 27001. Con la ob-
tención de dicha certificación demuestra a sus socios que
sus sistemas cumplen tanto con los estándares de la nor-
ma, como también con las exigencias de controles para
la seguridad, los cuales se establecen según sus propias
necesidades.

Referencias
[1] Alberto, G.A. (2005). Pontificia Universidad Católica del Perú, Centro de Nego-
cios Centrum. Implantación del ISO 27001:2005, "Sistema de Seguridad de
Información". [Documento pdf, página 9]. Consultado el 06-Abril-08 en http:/
/ w w w. c e n t r u m . p u c p . e d u . p e / e x c e l e n c i a / e n s a y o s /
Implantacion_del_ISO_27001_2005.pdf.
[2] Citel (2007). Impactos de fraude para la prestación de los servicios de telecomu-
nicaciones para usuarios, operadores y estados. [Documento ppt]. Conferen-
cia presentada el 21-Jun-07 en Citel.
[3] The Source for Critical Information and Insight (IHS). [En línea]. Consultado el
06-Abril-08 en http://uk.ihs.com/.
[4] Network Working Group. Site Security Handbook. [En línea]. Consultado el 06-
Abril-08 en http://www.ietf.org/rfc/rfc2196.txt.
[5] Bundesamt fur Sicherit in der Informationstechnik. [En línea]. Consultado el 06-
Abril-08 en http://www.bsi.bund.de/fehler/index.htm.
[6] SSE-CMM, S.-C. Project (2003). Model Description Document, Systems Security
Engineering Capability Maturity Model, p. 326.
[7] ISO/IEC 17799:2005 (E). Information Technology-Security Techniques-Code of
Practice for Information Security Management. Ginebra: International
Standards Organization, pp. 1-10.
[8] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 4]. Consultado 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[9] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 14]. Consultado 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[10] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 23]. Consultado el 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[11] Search Security.com. The web's best security-specific information resorse for
enterprise IT professionals. [En línea]. Consultado el 06-Abril-08 en http://
Revista Eos No. 2
Enero-abril de 2008
searchsecurity.techtarget.com/sDefinition/0,,sid14_gci211621,00.html.
[12] RFC2196. Search Security.com. Definitions [En línea]. Consultada el 6-Abril-08
en http://searchsoftwarequality.techtarget.com/sDefinition/0,,sid92_
gci211622,00.html.

108
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

[13] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 49]. Consultado el 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[14] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 39]. Consultado el 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[15] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 40]. Consultado 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[16] Calder, A.(2005). IT Governance: A Manager's Guide to Data Security and BS
7799/ISO 17799. Londres: Kogan Page, Limited, p. 36.
[17] Calder, A. (2005). IT Governance: A Manager's Guide to Data Security and BS
7799/ISO 17799. Londres: Kogan Page, Limited, p. 38.
[18] Saint-Germain, R. Information Security Management Best Practice Based on
ISO/IEC 17799. Londres, p. 60.
[19] Using ISO 17799-2005 Information security management a Stope view with six
sigma approach. International Journal of Network Management, p. 93.
[20] Using ISO 17799-2005 Information security management a Stope view with six
sigma approach. International Journal of Network Management, p. 93.
[21] Security Engineering Capability Maturity Model (SSE-CMM). Model Description
Document V3.0, p. 1.
[22] Security Engineering Capability Maturity Model (SSE-CMM). Model Description
Document V3.0, p. 31.
[23] Security Engineering Capability Maturity Model (SSE-CMM). Model Description
Document V3.0, p. 40.
[24] Security Engineering Capability Maturity Model (SSE-CMM). Model Description
Document V3.0, p. 61.
[25] The Relationship between the SSE-CMM and it Security Guidance Documentation
V2.0, p. 10.
[26] IT Baseline Protection Manual, 2004, Federal Office for Information Security
BSI (apartes traducidos al español: Flor Nancy Díaz), pp. 29-47.
[27] Corletti E.A. (2006). Documento Análisis de ISO-27001:2050. Madrid.
[28] Norma ISO27001:2005 versión en español.
[29] Corletti E.A. (2006). Documento Análisis de ISO-27001:2050. Madrid.
[30] Nextel S.A. Sistemas de Gestión de Seguridad de la Información ISO 27001, p.
25.
[31] Norma ISO27001: 2005 versión en español, pp. 19-33.
[32] Nextel S.A. Sistemas de Gestión de Seguridad de la Información ISO 27001, pp.
61-64.
[33] Organismo Certificador de Sistemas de Gestión de Calidad. Calidad y
Competitividad Empresarial. [En línea]. Consultada el 06-Abril-08 en http://
www.calidadycompetitividad.com/.
[34] http://www-935.ibm.com/services/us/index.wss/itservice/so/a1000405.
Revista Eos No.2
Enero-abril de 2008

109