Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1.6 Investigación..............................................................................................................................6
22
Unidad III: Equipo de Respuesta ante Emergencias Informáticas (CERT)....12
4.4 Corea-SGSI..............................................................................................................................21
33
Unidad 1: Procedimientos de Respuesta a Incidentes Cibernéticos
Detección Respuesta
Establecimiento
de Recopilación Análisis Generación de
Preparación de
Inicial estrategias de datos de datos reporte
incidente de respuesta
Investigación
Restauración y Resolución
44
• Tiempo y fecha actual.
• Informe y fuentes del incidente.
• Características del incidente.
• Hora y fecha del incidente.
• Lista de Hardware y Software relacionados.
• Detección del incidente, punto de conexión de la red.
• Preparar la lista de respuesta inicial para dar respuesta rápida y veraz. Por lo tanto, el equi-
po de respuesta a intrusiones.
El establecimiento de una estrategia de respuesta tiene como objetivo determinar los protocolos
de respuesta más apropiados en un ambiente dado para el incidente. Al formularla, se tiene que
tomar en cuenta factores relacionados al incidente como las políticas, tecnologías, leyes y opera-
ciones.
• Importancia y riesgos de las computadoras usurpadas.
• Sensibilidad de la información usurpada o robada.
55
• Nivel de acceso no autorizado que el atacante explotó.
• Nivel de sofisticación del atacante.
• Duración del apagón del sistema y operación del usuario.
• Exento de daños económicos.
Los siguientes criterios deben ser las directrices para determinar si el incidente amerita una
respuesta legal con informe a las autoridades, incluyendo la policía:
• ¿El costo o daño del incidente es lo suficientemente masivo para llamar a los investi-
gadores de delitos?
• ¿La disposición legal o penal lleva al resultado que desea? (¿Es posible restablecer el daño
y puede la contraparte compensarlo?)
• ¿Tiene la organización experiencias con investigadores de actividades delictivas o conoce
sus métodos?
• ¿Es la apertura del incidente aceptable?
• ¿Fue legal el procedimiento de la recopilación de datos?
• ¿Cuál sería el impacto de los conflictos legales en el negocio?
1.6 Investigación
La investigación del incidente requiere determinar “quién, qué, cuándo, dónde, cómo y
porqué”. Para ello, debe abarcar la separación de datos del anfitrión y de las redes.
La recopilación de información es el paso en que se consigue las actividades y evidencias
delictivas para una revisión exhaustiva durante el análisis del incidente. Si se considera la posibi-
lidad de un juicio, se debe recopilar la información digital para que la evidencia mantenga la inte-
gridad y legalidad; Puede haber necesidad de recopilar y almacenar un enorme volumen de datos.
La tecnología forense de computación es necesaria para obtener información técnica e investigar
el incidente cumpliendo a la vez con dichos requisitos.
El análisis de información consiste en una investigación exhaustiva de los datos recopila-
dos; esta información incluye archivos de control diario, archivos de configuración del sistema,
archivos del historial de navegación, mensajes de correo electrónico y archivos adjuntos, aplica-
ciones instaladas y archivos de imágenes. Para la investigación, se debe implementar análisis de
software, análisis de marca de tiempo, búsqueda de palabras claves y otros análisis necesarios.
66
1.7 Resumen del documento
La elaboración del informe es el paso más difícil e importante. Dado que los ejecutivos o el
personal relacionado con los incidentes que leen el informe usualmente no están familiarizados
con el conocimiento avanzado de computadoras, se debe hacer de manera que ellos puedan leer
con facilidad. El proceso de la adquisición, custodia y análisis de datos debe ser claro y basado
objetivamente en las cinco W y el principio de una H. Además, los detalles del análisis se deben
describir con precisión y se debe explicar de tal manera que los que toman decisiones puedan
entenderlos sin dificultad. El análisis del aspecto legal debe ser lo suficientemente minucioso para
el que el análisis posibilite respuestas efectivas a posibles disputas durante el juicio.
Para ampliar sobre este tema, recomendamos leer un reporte del INCIBE sobre “Identifi-
cación y Reporte de Incidentes de Seguridad para los Operados Estratégicos”.
77
Unidad 2: Manejo de Amenazas y Equipo de Respuesta ante Emergen-
cias Informáticas (CERT)
En el año 2014 se aprobó el “National Cybersecurity Protection Act” (NCPA, por sus siglas
en inglés) la cual ordena al Departamento de Seguridad del Interior (DHS, por sus siglas en inglés)
en coordinación con las respectivas entidades e individuos, desarrollar, actualizar regularmente y
ejecutar planes de respuesta a incidentes cibernéticos que aborden los riesgos cibernéticos que
afectan las infraestructuras críticas. La Orden Presidencial PPD-41 “U.S. Cyber Incident Coordina-
tion” establece los principios que regulan las respuestas del gobierno federal a cualquier incidente
cibernético, y además da la arquitectura para coordinar la respuesta a incidentes significativos, y
además ordenó al DHS desarrollar un Plan Nacional de Respuesta a Incidentes (NCIRP, por sus
siglas en inglés) para abordar los riesgos cibernéticos a que están expuestas las infraestructuras
críticas. NCIRP es parte del Sistema Nacional de Preparación, y establecer el marco estratégico
y adoctrina el enfoque “a whole-of-nation” para mitigar, responder, y recuperarse de incidentes
cibernéticos. Este enfoque incluye y depende fuertemente de las alianzas público-privadas para
manejar los principales riesgos cibernéticos a las infraestructuras críticas.
88
2.2 Proceso de manejo en Corea del Sur
El NCSC fue establecido en 2004 para garantizar la seguridad de las redes nacionales
operando la sala de situación nacional para recolectar, analizar y transmitir información sobre
amenazas cibernéticas a las redes de comunicación 24 horas al día y evitar responder a diversos
ataques cibernéticos limitando la propagación de daños. Los deberes del NCSC se describen de la
siguiente manera:
Por otra parte, el Ministerio de Defensa dirige el Centro de Respuesta a la Guerra de Infor-
mación para realizar operaciones de seguridad cibernéticas en la defensa. El Ministerio de Cien-
cia, TIC y Planificación Futura (MSIP) conduce operaciones de seguridad cibernética en el sector
privado mediante el Centro de seguridad de Internet de Corea bajo la supervisión de la Agencia
de Seguridad de Internet de Corea (KISA).
99
2.3 Centro de Seguridad de Internet de Corea: Tareas y flujo de trabajo de
CERT Corea/CC
Para evitar la infección de las computadoras personales con códigos maliciosos distribui-
dos por medio de páginas de inicio en Corea, el centro brinda apoyo técnico a dos millones de
dominios coreanos para detectar códigos maliciosos escondidos y borrarlos, fortaleciendo así la
seguridad de los servidores de Internet.
10
10
2.6 Sistema de Respuesta DDoS (CERT Corea)
Como la prioridad de los Proveedores de Seguridad de Información (ISP) es proteger y
responder ante los ataques DDoS de sus propias redes, tienen menos incentivo para invertir en
la seguridad de las secciones vinculadas donde el tráfico de Internet entre los ISP se intercambia
de forma que las secciones vinculadas tienden a ser “lugares ciegos” en cuanto a la seguridad. En
vista de esto, el gobierno ha desarrollado y operado el sistema de respuesta a los ataques DDoS
en algunas de las secciones vinculadas por la Internet para responder de manera efectiva al tráfico
de ataque de DDoS generado en las secciones vinculadas por ISP e instar a los ISP a hacer inver-
siones en seguridad de información.
Al ser una detección de tráfico anormal y sistemas de bloqueo, el sistema de respuesta
monitorea los ataques DDoS y las secciones vinculadas a Internet en tiempo real y bloquea el
tráfico del ataque DDoS que se dirige a destinos específicos.
11
11
2.7 Operación de Refugio Cibernético de DDoS (CERT Corea)
Reconociendo la necesidad del sistema de defensa para reducir los daños a las pequeñas
empresas sin suficiente equipo o personal técnico contra los ataques DDoS, Corea introdujo el
servicio de refugio cibernético en septiembre de 2010.
El refugio cibernético DDos redirige el tráfico de ataque que van a los sitios de Internet
meta y lo filtra para que los usuarios en general puedan usar los sitios normalmente.
• Modelos de CERT
• www.cert.org
12
12
El CERT a cargo coordina la respuesta al incidente a lo largo de todas las organizaciones
internas y externas. Aunque tiene las características del CERT interno centralizado, generalmente
incluye la rama individual de una empresa, la agencia a cargo de un área específica o un país es-
pecífico. Usualmente tiene un alcance mayor e implica grupos de clientes más diversos. Aunque
en su mayor parte apoya y coordina la respuesta a incidentes, puede tener una gran autoridad si
las leyes o regulaciones lo establecen o reconocen. Generalmente, los gobiernos utilizan el tipo
de CERT coordinante donde algunos realizan actividades de seguridad cibernética además de la
función de coordinación.
La función más importante de un CERT nacional es coordinar el manejo los incidentes en
su país. También puede realizar varias funciones para mejorar el nivel de seguridad cibernética
según los intereses, la información o la capacidad de los CERT.
• CERT Nacionales.
• EEUU, Australia, Japón, China y Corea.
Hay muchos CERTs en el sector privado, en el sector académico, el gobierno y las fuerzas
militares. Se enfocan en proveer a sus clientes servicios de prevención y respuesta a incidentes de
seguridad cibernética.
No todos los CERTs realizan actividades de preparación ante emergencias, recuperación
de desastres y continuidad económica del país y la región ni participan en la formulación de políti-
cas nacionales. No obstante, pueden brindar a las agencias gubernamentales pericia técnica como
atención forense digital y apoyo para el análisis de códigos maliciosos para la investigación del
crimen cibernético. La situación será diferente si ellos participan directamente en el manejo de
incidentes cibernéticos o si la coordinación se necesita a nivel global. En ese caso, una agencia
con una función de coordinación a nivel nacional es necesaria para cooperar con otras agencias
dentro y fuera del país.
13
13
Para proteger los recursos claves y la infraestructura principal de los países y desarrol-
lar una comunidad de CERTs, se hizo énfasis en varios papeles nacionales y regionales y en la
necesidad de establecer un centro nacional para coordinar las respuestas a incidentes. El centro
permitió compartir bastante información de incidentes cibernéticos y fusionar información inte-
gral de análisis sobre amenazas que se dieron en varios dominios. Dicho centro es un CERT con
responsabilidad nacional, por ende, se llama CERT nacional.
El CERT nacional es operado y auspiciado por el gobierno. Si es establecido por el gobier-
no, usualmente existe como un departamento gubernamental o agencia púbica manejada por el
gobierno. Si no hay un CERT manejado por el gobierno, un CERT del sector académico o privado
normalmente asume el papel. La siguiente tabla muestra algunos ejemplos de CERT nacionales:
14
14
3.4 Cooperación Internacional para Respuesta a Incidentes de Seguridad
Cooperación internacional
• FIRST
En 1989, un año después de la creación del CERT/CC, el gusano Wankse propagó por
todo el mundo y la necesidad de comunicación y coordinación entre las agencias de respuesta a
incidentes aumentó. Por ello, se estableció FIRST como el órgano cooperativo entre los CERTs, se
estableció en 1990 como la plataforma global para compartir información entre los CERTs.
FIRST es el órgano cooperativo internacional más grande del mundo, compuesto por 289
equipos de 64 países (a partir de febrero del 2014). Las organizaciones internacionales normal-
mente presentan más o menos las características “uniformes” de sus miembros, pero FIRST aduce
ser una comunidad libre para cualquier tipo de CERT independientemente de sus orígenes - pú-
blico, privado, o académico – para compartir la información global. FIRST realiza reuniones ge-
nerales anuales y conferencias en junio de cada año y prepara coloquios técnicos por separado y
simposios de forma coordinada y a través del auspicio de los equipos locales.
15
15
Para Corea, el KrCERT/CC del KISA se convirtió en el primer miembro de FIRST en junio de
1998, al auspiciar la inscripción de seis organizaciones incluyendo a Infosec-CERT en 2005, KN-
CERT en 2006, ASEC en 2006, KFCERT en 2007, KF/ISAC en 2009, y ECSC en 2011. En 2003, se
convirtió en el primer miembro asiático en ser elegido para el comité ejecutivo. El país también ha
estado fungiendo como miembro del comité de programa desde el año 2013.
16
16
APCERT fue establecida en 2003 para fortalecer la cooperación mutual entre los CERT de
Asia del Pacífico. Limita la inscripción de los países de las Américas a diferencia de APEC, y sólo
los CERTs en las regiones definidas en APNIC (Centro de Información de Redes de Asia del Pacíf-
ico) pueden inscribirse.
APCERT comprende el comité ejecutivo, los miembros operativos, miembros de apoyo y
la secretaría. Siete miembros del comité ejecutivo eligen al presidente y vice presidente para un
período de un año. Para Corea, el KrCERT/CC de KISA es el único miembro. Fue electo vice pres-
idente en marzo de 2012, a la vez fungiendo como miembro del comité ejecutivo y secretario del
grupo de trabajo de la membresía.
17
17
Hasta febrero de 2012, era operada exclusivamente con miembros completes y miembros
generales sólo de la región de Asia del Pacífico. No obstante, se debe observar que había voces
de cambio como las siguientes:
• Los ataques cibernéticos no se limitan a la región del Pacífico de Asia, sino que ocurren de
forma simultánea en todo el mundo. Por lo tanto, la cooperación con varias agencias en
todo el mundo es importante.
• Como son agencias gubernamentales, principalmente la APCERT, su papel es limitado y
hay una necesidad de ideas frescas y estímulo desde afuera como el de las empresas que
trabajan en el ramo.
Al llegar APCERT a su décimo año, hay una necesidad de nuevos cambios para ponerse al
día con el mundo de rápido cambio.
Por estas razones, el APCERT sintió la necesidad de cambio; el grupo de trabajo de la mem-
bresía guiado por KrCERT/CC se formó para revisar la regulación general en el transcurso de un
año. La nueva organización, compuesta de miembros operativos y miembros de apoyo, entró en
vigencia en octubre de 2013. A enero de 2014, 26 equipos CERT de 19 países están fungiendo
como miembros operativos y no hay todavía miembros de apoyo.
Cooperación internacional
Se han realizado reuniones anuales de los CSIRTs con responsabilidad nacional los fines de
semana durante dos días de misma semana durante los cuales se lleva a cabo la reunión y confer-
encia anual de FIRST.
Aunque FIRST es una gran plataforma de varios CERT a nivel mundial, la Reunión Anual de
CSIRT se introdujo adicionalmente para resolver el problema de insuficientes discusiones sobre
respuestas a nivel nacional a incidentes de intrusiones. El CERT / CC invita a los CERT represen-
tantes contactándolos individualmente. La característica más importante de la reunión del CSIRT
es que sólo los equipos invitados y aprobados pueden participar. La reunión comparte infor-
mación de los CERT a nivel nacional, incluyendo incidentes mayores de intrusión, medidas para
compartir la información, proyectos de respuesta a nivel nacional e introducción del nuevo CERT
con responsabilidad nacional. Las agencias participantes difieren cada año y sólo dos personas de
cada agencia pueden participar. En 2013, 46 agencias de 39 países asistieron a la reunión.
En junio de 2005, hubo consenso para formar una organización de CERTs en los países
de la Organización de Cooperación Islámica (OIC) en la reunión anual del IDB (Banco Islámico de
Desarrollo). En consecuencia, se constituyó la OIC-CERT con seis agencias de seis países sobre
seguridad cibernética en Malasia, la Agencia Nacional de Seguridad Cibernética en Tunisia, Servi-
cios de Apoyo con Consultorías en Nigeria, Centro Nacional de Respuesta para Delitos Cibernéti-
cos en Pakistán, Comisión de Comunicaciones & Tecnología de la Información en Arabia Saudita y
18
18
Universidad de Sharjah en los Emiratos Árabes Unidos como miembros fundadores. A febrero de
2014 creció hasta ser una gran organización de 29 agencias de 19 países. Realiza sus reuniones
anuales y conferencias durante el cuarto trimestre de cada año.
El estatus de la OIC-CERT fue cambiado a organización internacional después que su afil-
iación a la OIC (Organización de Cooperación Islámica) fue aprobada en Siria en mayo de 2009.
• ¿Qué es el SGSI?
• Importancia del SGSI.
19
19
La certificación SGSI se refiere a un sistema donde una tercera parte de manera indepen-
diente evalúa si el SGSI de una organización se ha manejado apropiadamente para garantizar
la confidencialidad, integridad y disponibilidad de sus bienes de información. El sistema intenta
mejorar el conocimiento sobre seguridad de información, ampliar la seguridad y confiabilidad del
entorno de TIC.
Como las redes abiertas, incluyendo la Internet, se han ampliado rápidamente y se usan
ampliamente más que nunca en todas partes del mundo, el sector de TIC ha experimentado cam-
bios rápidos que comprenden el surgimiento del e-comercio, los e-gobiernos y los servicios ban-
carios por Internet. No obstante, en medio de estos cambios, están también proliferando algunos
efectos secundarios a causa de los avances de la TIC, como el pirateo y los virus informático, que
se están volviendo más complejos que nunca. En respuesta a estos efectos secundarios identi-
ficados en este entorno de cambio tan rápido, hay una necesidad cada vez mayor de que las or-
ganizaciones establezcan manejo de seguridad de información continuo, integrado y equilibrado
– SGSI o Sistema de Gestión de Seguridad de la Información.
ISO 27001
Desde que BSI creó el Código de Prácticas para Especificación del Manejo de Seguridad,
el SGSI ha evolucionado como una necesidad a medida que las necesidades industriales han cam-
biado. Como la norma internacional (ISO/IEC27001) había sido lanzado y luego revisado en 2013,
ISO27001 actualmente se compone de 14 dominios y 113 ítems de control. Mientras la versión
2005 se había enfocado más en el PDCA1 y en el ciclo de la Ley Planifica-Haz-Revisa para avanzar
en el proceso total, la versión de 2013 puso más énfasis en evaluar el desempeño de SGSI de las
organizaciones.
Los ítems de control incluyen requerimientos para establecer y operar efectivamente en las
organizaciones con los siguientes detalles:
1. Información sobre políticas de seguridad.
2. Organización de la seguridad de información.
3. Manejo de bienes.
4. Control de acceso.
5. Seguridad de las comunicaciones.
6. Seguridad física y ambiental.
7. Seguridad de operaciones.
8. Criptografía.
9. Relaciones de los proveedores.
10. Adquisición, desarrollo y mantenimiento del sistema.
1 Círculo PDCA (del inglés plan-do-check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua, es
una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. http://
www.pdcahome.com/5202/ciclo-pdca/
20
20
11. Aspectos de seguridad de información del manejo de continuidad de negocios.
12. Manejo de incidente de seguridad de información.
13. Seguridad de recursos humanos.
14. Cumplimiento.
4.4 Corea-SGSI
Marco
Dado el incremento en los incidentes relacionados con la seguridad de la información
como el pirateo y las fugas de información personal, enfrentar de forma efectiva esos problemas
se ha vuelto vital para los gobiernos, empresas e individuos que dependen del Internet. Esto es lo
que urgió al gobierno coreano a explorar la viabilidad de establecer un sistema para mejorar los
niveles de seguridad de información tanto en el sector privado como en el público. Con base en
esta investigación, el gobierno introdujo el SGSI (también conocido como K-SGSI) enmendando
la “Ley sobre la Utilización de la Red de Comunicaciones de Información y la Protección de Infor-
mación” en 2001 y decretó el K-SGSI. Para cumplir con los requisitos legales locales y responder
con flexibilidad al entorno de rápido cambio de Corea, después el gobierno estableció el K-SGSI
basado en la norma internacional (ISO 27001).
21
21
Como departamento a cargo del SGSI, el MSIT (Ministerio de Ciencias y TIC) asume la
responsabilidad de decidir en los asuntos relacionados con las mejoras institucionales y establecer
la dirección de política para la certificación de SGSI. También designa el órgano de certificación
SGSI.
K-SGSI
Órgano Certificador
Hasta el momento, el MSIP ha nombrado a KISA el órgano certificador de SGSI que ofrece
los siguientes servicios:
• Aceptar y examinar las solicitudes de SGSI que envían las organizaciones.
• Realizar evaluaciones que incluyan documentación e inspecciones técnicas.
• Manejar un comité de certificación.
• Emitir y manejar la certificación SGSI.
• Ofrecer consultoría gratuita sobre el establecimiento y manejo del SGSI.
• Ofrecer programas educativos para asesores SGSI.
Para ser nombrada órgano de certificación SGSI, una organización candidata debe cumplir
con los criterios que define el MSIP. Los criterios se pueden encontrar en el Artículo 53 (Criterios
de Selección para el Órgano Certificador SGSI) de la ordenanza de la Ley:
• Requerir más asesores SGSI certificados.
• Cumplir con los requisitos de manejo y operación de evaluaciones de certificación SGSI
como lo establece el MSIP.
Comité de Certificación
Al concluir una evaluación SGSI, se debe enviar un informe sobre los resultados de la
evaluación al comité certificador. El comité certificador está a cargo de decidir sobre los resulta-
dos de la evaluación SGSI, y de renovar y cancelar las certificaciones SGSI.
El comité certificador se compone de cinco a diez profesionales de TIC con experiencias
pertinentes en seguridad de información, auditoría de sistema de información, operaciones de
sistemas de información, entre otras. El director del órgano certificador los nombra y los miem-
bros del comité seleccionan al director del comité certificador.
22
22
consultoría y en consecuencia formulan políticas y actividades de control, entre otras. Para evitar
esta situación, el equipo de creación del SGSI debe jugar el papel principal en esta etapa y tomar
en cuenta las metas de negocio, estrategias y entornos de la organización para optimizar el SGSI
mediante manejo constante y mejoras.
Para crea el SGSI de forma efectiva, una organización debe analizar su nivel actual de se-
guridad de información. El análisis puede darse mediante entrevistas con el personal relacionado,
revisión de documentos, entre otros.
Mediante el análisis, la organización podrá comprender cuán grande es la brecha entre el
nivel actual de seguridad de información y el que se requiere. Además, identificar la brecha ayuda
a la organización a entender mejor qué tipos de vulnerabilidades tiene y qué medidas de respues-
ta tomar para reducir los riesgos de las vulnerabilidades identificadas. Esta información se usará
para calcular los recursos requeridos (p.ej., presupuesto, recursos humanos, entre otros.) para
formar el SGSI.
Las políticas de seguridad de información sirven como la base para realizar actividades
de control. Hay varios tipos de políticas basadas en el tamaño y las características de una orga-
nización. Las políticas de seguridad pueden clasificarse en “alto nivel” y “bajo nivel.” Para el alto
nivel, generalmente llamado “política”, se incluirá lo siguiente:
• Se definirán los objetivos de seguridad de información para garantizar la CID (Confiden-
cialidad, Integridad y Disponibilidad) de los bienes de información identificados.
• Voluntad de la alta dirección y enfoque para lograr los objetivos de seguridad: el director
de la organización (p. ej. el Director Ejecutivo) aprobará y anunciará la política.
En comparación con las políticas de alto nivel, las políticas de bajo nivel de seguridad de
información deben definir controles de seguridad detallados. Usualmente, las políticas de bajo
nivel cubren áreas específicas y un grupo de personas dentro de la organización. Los siguientes
son ejemplos de seguridad de información de bajo nivel:
• Clasificación de bienes de información.
• Seguridad física.
• Manejo de control diario.
• Control de acceso.
• Seguridad de red.
• Planificación de recuperación de desastres de TI, entre otros.
Al establecer un SGSI, es importante definir su alcance. El SGSI idealmente debe ser para
toda la organización. No obstante, este esfuerzo ocasionaría compromisos financieros y de mane-
jo significativos. Por ello, un buen inicio sería definir el alcance a nivel de servicio y extenderlo
23
23
a todos los servicios que la organización ofrece. Por ejemplo, una empresa de portal de Internet
con servicios de e-compras, e-juegos, e-boletos y e-periódicos primero establecerían un SGSI en
el servicio de e-compras. Una vez que la empresa obtiene experiencia en establecer y manejar el
SGSI, implementa el SGSI servicio por servicio; eventualmente, aplicará el SGSI a todos sus ser-
vicios. Con este proceso, podrá crear un SGSI de forma efectiva, minimizando los errores que se
pudieron haber cometido en la etapa inicial.
Responsabilidad y Organizaciones
• Participación de las altas autoridades administrativas.
• Asignación de unidades y adjudicación de recursos.
Manejo de Riesgos
• Metodología.
• Planificación.
24
24
el SGSI sean manejados apropiadamente
• Promoviendo mejoras continuas y optimización mediante seguimiento
Las responsabilidades de la alta dirección deben ser definidas en las políticas de seguridad
de información de alto nivel; a la vez se establecerá la estructura de rendición de informes para
cumplir con las responsabilidades.
Una organización debe designar una unidad de seguridad de información que se haga car-
go de las tareas del SGSI. Las características (responsabilidades exclusivas o compartidas) y tipos
(por ej., CISO, comité de seguridad de información, entre otros.) de la unidad serán definidas re-
specto de los recursos disponibles y el entorno de la organización.
La dirección superior como el Director Ejecutivo debe oficialmente asignar o anunciar quién
y cuál unidad está a cargo de las actividades generales de seguridad de información y de asignar
suficiente presupuesto, recursos humanos e instalaciones (incluyendo sistemas de información)
para que el SGSI logre los objetivos de seguridad de información.
• Identificación y evaluación.
• Selección de medidas de respuesta.
• Establecimiento de un plan de implementación.
El manejo de riesgo debe permitirnos identificar y evaluar riesgos en todas las áreas como
las áreas administrativas, técnicas, físicas y legales de la seguridad de información de la organi-
zación. Por ende, tiene que contener los detalles del personal, duraciones efectivas y objetivos, así
como una metodología de manejo de riesgo para garantizar la competencia técnica en el manejo
de riesgos. En estos casos, se debe tener en cuenta lo siguiente:
25
25
El oficial de manejo de riesgo debe manejar los bienes de información en la lista y definirlos
como la norma para la valoración de cada bien. Se recomienda reflejar la opinión de la persona a
cargo del manejo de los bienes. El análisis y la evaluación de riesgo se pueden agrupar en un todo
integrado para los sistemas de información como el equipo de servidor y de redes que tiene el
mismo uso, el departamento de manejo y la valoración.
• Los objetivos de manejo de riesgo debe contener todos los bienes y servicios claves dentro del
alcance de la certificación del Sistema de Gestión de Seguridad de la Información.
• La fuerza laboral que realiza el manejo de riesgos debe incluir no sólo personas expertas en
26
26
metodologías de manejo de riesgo y los sistemas u operaciones de la información, sino tam-
bién coordinadores a nivel de trabajo en los departamentos pertinentes. Si se necesita, con-
tratar terceras partes expertas podría ser una opción; y
• Al realizar tareas regulares de manejo de riesgo, uno debe revisar si la metodología de riesgo
en uso es apropiada.
Post Manejo
• Requisitos legales.
• Manejo de la situación.
27
27
Realización de Auditoría Interna
Existe una necesidad de auditoría interna para confirmar si las actividades de control de
seguridad de información están siendo realizadas para implementar políticas y requisitos legales
y medidas de seguridad de información como se establece en el SGSI.
La auditoría interna se puede ejecutar regularmente y debe ser realizada por la persona
o independencia pueda ser garantizada. Las áreas inadecuadas detectadas durante la auditoría
interna pueden se suplementadas estableciendo y reflejando medidas adicionales y el auditor
interno deben confirmar que de hecho están suplementadas.
Los planes de auditoría interna y los resultados consecuentes deben ser documentados y
reportado a la dirección, incluyendo el oficial director de seguridad de información. El documento
debe contener el alcance de la auditoría interna, los detalles de la auditoría (métodos, proced-
imientos, documentos revisados, entrevistados, entre otros.), recomendaciones, aspectos inadec-
uados y suplementación.
Requisitos
Remitirse a la norma de certificación de SGSI es esencial para seleccionar y operar las me-
didas de seguridad de información. Las medidas seleccionadas deben ser regularmente revisadas
para corroborar si cumplen con la norma de certificación; los formularios y procedimientos detal-
lados necesarios para operar el SGSI se debe establecer en este momento y la evidencia debe ser
manejada apropiadamente.
Procedimientos de Certificación
28
28
En 2007, KISA realizó una encuesta con 56 empresas certificadas K-SGSI para determinar
como la certificación afecta el desempeño de la empresa en áreas como la eficiencia económica,
la estabilidad de la seguridad de información, la confiabilidad y el conocimiento.
Treinta y cuatro empresas de las 56 encuestadas respondieron y los resultados son los
siguientes:
1. Se descubrió que la certificación SGSI ayuda a la empresa a obtener y mejorar la reputación
positiva que atrae más clientes lo cual desemboca en aumento de ventas. Además, el im-
plementar y manejar el SGSI produce ahorro de costos ya que se puede prevenir los daños
que habrían ocurrido por los incidentes de seguridad sin el sistema.
2. La certificación SGSI ayuda a la empresa a garantizar la confianza en la seguridad. El entor-
no seguro brinda estabilidad de transacciones que se traduce en un aumento en el valor
de la empresa.
3. Mantener la certificación SGSI evidencia la seguridad confiable de la empresa que además
mejora la confianza en la empresa en cuestión.
4. La mayor conciencia de la seguridad guía a una seguridad mejorada. La certificación SGSI
insta a la fuerza laboral de la empresa a tener un mejor entendimiento de la seguridad de
información.
29
29