Marco Teórico y Análisis conceptual.

6.1. Marco Teórico

6.1.1. Fundamentos de la Norma ISO/IEC 27001

El fundamento central sobre el cual fue construida la norma ISO/IEC 27001 es un SGSI

(Sistema de Gestión de Seguridad de la Información), el cual se encuentra definido como

un conjunto de políticas para gestionar o administrar eficientemente la información, con el

fin de garantizar confidencialidad, disponibilidad e integridad, minimizando así los

riesgos de Seguridad de la Información.

Debido a que un SGSI debe permanecer eficiente en el transcurso del tiempo, la ISO/IEC

27001 ha adoptado el denominado círculo o ciclo de Deming, PDCA (Plan, Do, Check,

Act) el cual es un enfoque de mejora continua que busca mantener la calidad y efectividad

de los procesos o políticas, optimizando además los recursos disponibles.

Es imposible proteger en forma total la información, sin embargo para poder garantizar un

nivel aceptable de Seguridad de la misma, es necesario conocer el ciclo de vida de cada

información considerada como crítica y definir un proceso sistemático, el cual debe estar

documentado y puesto en conocimiento de todos los miembros de la organización.

 Fig 1: Ciclo de vida de la Información. Fuente: iso27000.es

Los elementos de entrada del SGSI son los requisitos de Seguridad y lo esperado por los

stakeholders o interesados, el SGSI debe precisamente proveer resultados que cumplan

estas expectativas mediante la implementación de procesos, procedimientos y

actividades.

Ciclo de Deming de un SGSI

La implementación de un SGSI empieza con el compromiso de la Dirección, debido a que

contar con el apoyo de la Dirección es indispensable para la implementación de un SGSI,

pues para ello se necesita disponer de un sin número de recursos, entre ellos, recursos

económicos, humanos, tecnológicos, etc., los cuales deben ser aprobados y entregados en

el momento oportuno.

Planificar
En la fase de Planificación se define el alcance del SGSI en términos de activos,

localización, tecnologías, etc. Luego de ello se definen las políticas aplicables, así como

una metodología apropiada de análisis de riesgos, se genera el inventario de activos que

se encuentren dentro del alcance definidoy sus responsables directos, se identifican

amenazas y vulnerabilidades, se calcula el impacto y por último se seleccionan los

controles más adecuados para mitigar dichos riesgos identificados.

Hacer

En esta fase se define un plan de tratamiento del riesgo que permita identificar roles y

funciones en la gestión de los riesgos detectados en el tema de Seguridad de la

información, posteriormente se lo implementa en conjunto con los controles

seleccionados y se definen las métricas que permitirán evaluar la eficacia de los mismos.

También en esta Fase se define e implementa un plan de capacitación para todo el

personal de la organización en temas de Seguridad de la información.

Se gestiona ya la operación del SGSI como tal y los recursos necesarios para ella, se

implantan procedimientos y se desarrolla el marco normativo necesario.

Revisar

En esta fase se realizan revisiones para identificar errores en los resultados, brechas e

incidentes o eventos de seguridad, y determinar si las actividades se están realizando de

acuerdo a lo previsto y si son efectivas para prevenir o resolver cualquier incidente en el

caso que pudiera presentarse, es decir se revisa la efectividad de SGSI en cuanto al

cumplimiento de las políticas y objetivos planteados.

También se revisan los resultados de las evaluaciones de riesgos y auditorías internas

para verificar que el Plan de Seguridad con sus procesos y procedimientos, esté

actualizado en caso que se hubieran implementado cambios o existieran hallazgos

importantes.

Actuar

En esta etapa se deben implantar las mejoras identificadas y necesarias al SGSI

verificando que dichas mejoras se alinean al objetivo previsto, así como también tomar

medidas preventivas y correctivas que sean adecuadas para la prevención de incidentes.

Todas estas acciones, medidas o mejoras adoptadas deben ser comunicadas con un nivel

de detalle pertinente a todos los implicados

Fig 2: Ciclo de Gestión de Seguridad. Fuente: iso27000.es

Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

• Reducción del riesgo de pérdida, robo o corrupción de información.

• Los clientes tienen acceso a la información a través de medidas de seguridad.

• Los riesgos y sus controles son continuamente revisados.

• Confianza de clientes y socios estratégicos por la garantía de calidad y

confidencialidad comercial.

• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y

las áreas a mejorar.

• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001,

OHSAS 18001…).

• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

• Conformidad con la legislación vigente sobre información personal, propiedad

intelectual y otras.

• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

• Confianza y reglas claras para las personas de la organización.

• Reducción de costes y mejora de los procesos y servicio.

• Aumento de la motivación y satisfacción del personal.

• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra

sistemática de productos y tecnologías.

6.1.2. Auditoria de Seguridad de la información

La auditoría de seguridad ha sido definida como el estudio que comprende el análisis y

gestión de sistemas, llevado a cabo por profesionales para identificar, enumerar y

posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una

revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables

quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo

siempre un proceso secuencial que permita a los administradores mejorar la seguridad de

sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál

es la situación exacta de sus activos de información en cuanto a protección, control y

medidas de seguridad.

En el caso del presente proyecto, la Auditoría será de cumplimiento de la norma ISO/IEC

27002, la cual es un examen que valida el cumplimiento de los controles definidos en la

normativa, con el fin de determinar que controles están implementados y cuales no lo

están, así como también la validación de que los procesos asociados al cumplimiento de

dichos controles estén siendo correctamente ejecutados por los responsables.

6.1.2.1. Aspectos Relevantes de una Auditoria de Seguridad

Política de seguridad: Es relevante poseer políticas de seguridad, ya que éstas contienen

los objetivos de seguridad, así como también los requisitos de negocio, contractuales y

legales para cubrir el tema de Seguridad de la Información; dichas políticas deben estar

alineadas a la Gestión de Riesgos, estar aprobadas por la Dirección y ser difundidas a todo

el personal de la organización.

Asignación de roles y responsabilidades de seguridad: Es importante en procesos de

Seguridad, tener claramente definidos roles y responsabilidades de cada actividad, para

poder determinar en caso de un incidente al responsable e imponer sanciones en caso de

ser necesario.

Formación y capacitación en seguridad: Poseer una cultura en temas de Seguridad en una

organización es primordial, ya que el recurso humano es el recurso más importante y ha

sido definido como el eslabón más débil en la cadena de la Seguridad, por ello es

importante crear un plan de capacitación para todo el personal de la organización y

ejecutarlo al menos una vez al año.

Control de acceso a la información: Es primordial tener el control de accesos de todos los

miembros de la organización, esto se logra definiendo perfiles por cargo, los cuales deben

ser generados de acuerdo al manual de funciones de cada cargo y deben estar

debidamente documentados y aprobados por la Dirección.

 Gestión y registro de incidentes de seguridad: Es necesario poseer un proceso de Gestión

de incidentes, el cual debe estar documentado, y debe ser conocido por los responsables.

Este proceso debe además contemplar el registro de los eventos, incidentes o problemas,

su impacto y frecuencia, así como también la respuesta ante dichos incidentes.

Gestión de continuidad del negocio: Es importante que se mantenga la continuidad del

negocio, con el fin de mantener la imagen de la organización hacia sus clientes.

Respaldo y custodia de información: Como ya se conoce, la información es el activo más

valioso de una organización, por ello es imprescindible tener procedimientos de respaldo

y restauración así como procedimientos de custodia de dichos respaldos.

Cumplimiento: Es necesario cumplir con las leyes que protegen la propiedad intelectual

en el uso de software en la organización, es decir contar con licenciamiento de todo el

software utilizado en las operaciones.

6.2. Marco conceptual

6.2.1. Concepto de Seguridad de la Información

El concepto de Seguridad de la información es muy diverso entre los muchos autores que

han escrito acerca del tema, así como también es muy diverso el método de aplicación y

alcance de la misma en cada una de las organizaciones.

Para Areitio la Seguridad de la Información “es un proceso en el que se da cabida a un

creciente número de elementos como: aspectos tecnológicos, de gestión organizacionales,

de recursos humanos, de índole económica, de negocios, de tipo legal, de cumplimiento,

etc.; abarcando no sólo aspectos informáticos y de telecomunicaciones sino también

aspectos físicos, medioambientales, humanos, etc.”

Por otra parte Royer define a la Seguridad de la información como “La protección contra

todos los daños sufridos o causados por la herramienta informática y originados por el

acto voluntario y de mala fe de un individuo”

6.2.2. Importancia de la Seguridad de la Información

La información es de relevante importancia dentro de cualquier organización debido a que

su procesamiento es indispensable para la entrega de bienes o servicios. Por tal motivo

nace la necesidad de protegerla de cualquier acceso no autorizado, uso indebido,

alteraciones, robo, etc.

Para ello se crea la denominada Seguridad de la información la cual actualmente ha

tomado forma e importancia, tanto así que hace algunos años fue normada por algunos

estándares internacionales.

Para comenzar el análisis de la Seguridad de la Información se debe conocer algunos

conceptos relacionados a lo que se pretende proteger: la Información.

Así, se define Dato como “la representación simbólica de una variable o atributo que

reciben los sistemas mediante medios”. La Información “es una conjunto de datos que
tienen un mensaje específico”, y aportará un conocimiento particular según como y quien

la procese.

El valor de la información es un parámetro difícil de definir debido a su intangibilidad lo

que no ocurre en el caso de otros activos como equipos, personas, sistemas, etc.

Una clasificación de la información es indispensable para determinar qué información

puede ser publicada, y que información debe ser protegida contra accesos no autorizados

o mal uso de la misma. Para ello la información se podría clasificar en:

 Pública: es aquella información que puede ser de libre acceso y manipulación.

 Crítica: es aquella información que es indispensable para garantizar la continuidad

operativa.

 Sensible: debe ser conocida por las personas que la procesan y sólo por ellas.

¿Qué se debe proteger?

Se deben proteger los activos, que son los recursos de la Organización que procesan o

almacenan información, como los sistemas de información, Bases de datos, etc.

¿De qué se debe proteger?

De las amenazas que pueden afectar dichos activos informáticos y para manejar el riesgo

de cada amenaza habrá que delimitar su:

• Probabilidad de ocurrencia.
• Impacto de la situación generada.

• Costo de la medida de prevención.

• Riesgo residual.

Para con ello tomar decisiones y:

• Asumir el riesgo, en el caso de que las medidas sean más costosas que las

consecuencias de la amenaza o

• Evitarlo.

En consecuencia, cabe definir Amenaza, como cualquier elemento o acción que

comprometa la Seguridad de la información. Las amenazas nacen de la existencia de

vulnerabilidades, las cuales normalmente son aprovechadas.

Una vulnerabilidad es una debilidad o fallo que posee un sistema el cual puede ser

atacado con el fin de violar la confidencialidad, disponibilidad e integridad de la

información que procesa o almacena dicho sistema.

 Fig 3: Ciclo de Gestión de Riesgos. Fuente: iso27000.es

Adicionalmente es importante mencionar las propiedades de la información relacionadas a

la seguridad, las cuales son las siguientes:

La Integridad es la propiedad de la Información que permite que permanezca intacta en

su contenido y que su modificación sea realizada únicamente por personal autorizado

manteniendo además un registro para posteriores auditorías.

La Disponibilidad de la Información es la capacidad de estar disponible en cualquier

momento que requiera ser procesada por personal autorizado, para ello es necesario que se

encuentre debidamente almacenada y sea respaldada de manera regular.

La Privacidad o Confidencialidad es la propiedad de la Información que permite que la

misma sea únicamente conocida por personal autorizado, para ello es necesario resguardar

dicha información bajo un estricto control de accesos.

La Autenticidad es la propiedad de la información que permite asegurar su validezy su

origen, validando al emisor de la misma, evitando así suplantación de identidades.

Objetivo de la Seguridad de la Información

En consecuencia, de lo anteriormente analizado, elprincipal objetivo de la seguridad de la

informaciónes mantener en todo momento la Integridad, Disponibilidad y

Confidencialidad de la información procesada en sistemas de información, así como

también su Trazabilidad y Autenticidad.

6.2.3. Normas Relacionadas

La serie ISO 27000 es una serie de estándares publicados por la Organización

Internacional para la Estandarización y la Comisión Electrotécnica Internacional que

contiene las normas para la Seguridad de la Información. Los rangos de numeración

reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

6.2.3.1. Norma ISO/IEC 27001

Es la principal norma de la serie 27000 y contiene los requisitos para implantar un sistema

de seguridad de la información. Esta es la certificación que deben obtener las

organizaciones en cuanto se refiere a seguridad de la información.

La norma ISO/IEC 27001 se enfoca en la gestión de riesgos y la mejora de procesos de

acuerdo al ciclo de que se basa en planificar, hacer, verificar y actuar. Para implantación

la norma en la organización se requiere de un tiempo de 6 a 12 meses.

Para la certificación, una entidad externa y acreditada audita el sistema para comprobar su

validez y emitir el certificado a la organización. Para el éxito de dicho proceso es

recomendable la ayuda de consultores externos expertos en el tema de seguridad de la

información.

ISO/IEC 27001 es la única norma internacional auditable que por sus controles de

seguridad ayuda a proteger los activos de información y otorga confianza a cualquiera de

las partes interesadas, sobre todo a los clientes. Esta se aplica a todo tipo de

organizaciones, tanto por su tamaño como por su actividad.

6.2.3.2. Norma ISO/IEC 27002

Antes llamada ISO/IEC 17799, es una guía de buenas prácticas en la gestión de la

seguridad de la información. Esta contiene los dominios, objetivos de control y controles

para el proceso de diseño e implantación de sistemas de seguridad de la información.

ISO/IEC 27002 está conformada de 14 dominios, 35 objetivos de control en donde

constan los 114 controles recomendados para la seguridad de la información. Los

dominios son los siguientes:

• Política de seguridad
• Aspectos organizativos de la seguridad de la información

• Gestión de activos

• Seguridad ligada a los recursos humanos

• Seguridad física y ambiental

• Gestión de comunicaciones y operaciones

• Control de acceso

• Adquisición, desarrollo y mantenimiento de sistemas de información

• Gestión de incidentes de seguridad en la seguridad de la información

• Gestión de la continuidad del negocio

• Cumplimiento