ADR 2 Cap01 SeguridadInformacion V201106

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS

Lic. Fabiana María Riva Junio de 2011 1

UNIDAD NRO. 2

SEGURIDAD DE LA INFORMACIÓN Y AUDITORIA

El objetivo de esta unidad es introducir al alumno en el manejo de los conceptos del Seguridad

de la Información y adquirir conocimientos, metodologías y herramientas para la implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales.

Objetivos específicos:

• Comprender los riesgos a los que están afectados los recursos a gestionar en áreas de sistemas y tecnologías de información

• Conocer marcos metodológicos actuales referentes a la Gestión de Riesgos de TI • Conocer normas actuales referidas a la Seguridad de la Información • Comprender la necesidad de los procesos de auditoría en áreas de Sistemas y Tecnologías de la

Información

Bibliografía utilizada:

• Guía de los Fundamentos de la Dirección de Proyectos (PMBOK). Cuarta Edición. Project Management Institute. Año 2009. Capítulo 11.

• MAGERIT V.2: Metodología Automatizada de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas. Ministerio de Administración Pública de España. Junio de 2006 disponible en: http://administracionelectronica.gob.es

• SERIE ISO 27000. Portal de ISO 27001 disponible en http://www.iso27000.es/ • COBIT V.4.1.: IT Governance Institute Information Systems Audit and Control Association

(ISACA) y el IT Governance Institute (ITGI). Estados Unidos. Año 2007. Disponible en: http://www.isaca.org/spanish/Pages/default.aspx

• Recursos de Control - Seguridad Informática. Apunte para la Cátedra de Administración de Recursos. Ing. Jorge Sessa. Año 2005.

• Publicaciones de diversos autores disponibles en: http://www.segu-info.com.ar/ • Plataforma educativa de ESSET Latinoamérica: http://edu.eset-la.com/ • Informes del Ing. Carlos Ormella Meyer disponibles en:

http://www.angelfire.com/la2/revistalanandwan/ • Capability Maturity Model Integration, Versión 1.3. Software Engineering Institute. Carnegie

Mellon University. Noviembre de 2010. Disponible en http://www.sei.cmu.edu/cmmi/tools/cmmiv1-3/

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría


CAPÍTULO 1:

SEGURIDAD DE LA INFORMACIÓN

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información


INDICE

SEGURIDAD DE LA INFORMACIÓN ........................................................... 5

SEGURIDAD INFORMÁTICA .................................................................................. 6

MARCO CONCEPTUAL DE LA GESTIÓN DE RIESGOS ....................................... 7

DEFINICIONES Y REFERENCIAS A RIESGOS ............................................................... 7

EL PROCESO DE GESTIÓN DE RIESGOS .................................................... 9

PLANIFICACIÓN DE LA GESTIÓN DE RIESGOS ............................................................. 9

IDENTIFICACIÓN DE RIESGOS .............................................................................. 9

ANÁLISIS DE RIESGOS .................................................................................... 10

ANÁLISIS CUALITATIVO DE RIESGOS ........................................................................... 10

ANÁLISIS CUALITATIVO DEL IMPACTO Y LA PROBABILIDAD .......................................................... 11

PRIORIZACIÓN DE RIESGOS ............................................................................................. 11

ANÁLISIS CUANTITATIVO DE RIESGOS ......................................................................... 12

PLANIFICACIÓN DE LA RESPUESTA A LOS RIESGOS .................................................... 12

ESTRATEGIAS DE RESPUESTA A RIESGOS NEGATIVOS (AMENAZAS) ....................................... 12

ESTRATEGIAS DE RESPUESTA A RIESGOS POSITIVOS (OPORTUNIDADES) ................................. 13

COSTO DE LA GESTIÓN DE RIESGOS ............................................................................ 13

SEGUIMIENTO Y CONTROL DE RIESGOS ................................................................. 14

GESTIÓN DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN ........................... 15

AMENAZAS Y VULNERABILIDADES EN SEGURIDAD INFORMÁTICA .......................................... 18

CLASIFICACIÓN DE ACTIVOS, DIMENSIONES Y CRITERIOS DE VALORACIÓN .......................... 21

REQUERIMIENTOS DE SEGURIDAD Y CONTROLES ...................................................... 23

SEGURIDAD FÍSICA ........................................................................................ 23

PROTECCIÓN CONTRA AMENAZAS CLIMATOLÓGICAS ......................................................... 23

PROTECCIÓN CONTRA INCENDIOS............................................................................... 24

CONTROL DE ACCESOS ........................................................................................... 24

SEGURIDAD LÓGICA ....................................................................................... 26

CONTROL DE ACCESOS ........................................................................................... 26

IDENTIFICACIÓN Y AUTENTIFICACIÓN .................................................................................. 26

EFICIENCIA EN LA AUTENTICACIÓN ..................................................................................... 27

CONTRASEÑAS SEGURAS ................................................................................................. 28

LÍMITES SOBRE LA INTERFAZ DE USUARIO ............................................................................ 28

TRANSMISIÓN Y ALMACENAMIENTO SEGURO DE INFORMACIÓN ............................................ 28

TÉCNICAS CRIPTOGRÁFICAS ............................................................................................. 29

APLICACIONES DE LA CRIPTOGRAFÍA ................................................................................... 30

SEGURIDAD PERIMETRAL ......................................................................................... 31

FIREWALLS ................................................................................................................. 32

DETECCIÓN DE INTRUSIONES ........................................................................................... 32

PRUEBAS DE PENETRACIÓN .............................................................................................. 33

CONFIGURACIONES DE LA INFRAESTRUCTURA TECNOLÓGICA .............................................. 33

ADMINISTRACIÓN DEL PERSONAL Y USUARIOS ............................................................... 34

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ............. 35

CICLO DE CALIDAD PARA EL SGSI ...................................................................... 38

ESTABLECER EL SGSI ............................................................................................ 38

POLÍTICA Y OBJETIVOS DE SEGURIDAD ................................................................................ 38

METODOLOGÍA DE EVALUACIÓN DEL RIESGO .......................................................................... 39

SELECCIÓN DE LOS OBJETIVOS DE CONTROL Y CONTROLES ........................................................ 39

DECLARACIÓN DE APLICABILIDAD ...................................................................................... 40

IMPLANTAR Y UTILIZAR EL SGSI ................................................................................ 40

MONITORIZAR Y REVISAR EL SGSI ............................................................................. 41

MANTENER Y MEJORAR EL SGSI ................................................................................ 41



DOCUMENTOS DE UN SGSI ............................................................................... 42

MANUAL DE SEGURIDAD DE LA INFORMACIÓN ................................................................ 43

PROCEDIMIENTOS ................................................................................................. 45

INSTRUCCIONES, FORMULARIOS Y CHECKLISTS .............................................................. 45

REGISTROS ......................................................................................................... 45

ANEXO I: MARCO NORMATIVO ............................................................ 46

SERIE ISO 27000 ........................................................................................ 46

MAGERIT V.2 ............................................................................................ 49



SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es el proceso de planear, organizar, coordinar, dirigir y

controlar las actividades relacionadas a asegurar la integridad, confidencialidad y

disponibilidad de la información de un sistema y sus usuarios y resguardar los activos de

la organización.

En esta definición se hace referencia a:

Información: conjunto de datos organizados en poder de una entidad que posean valor para

la misma, independientemente de la forma en que se guarde o transmita (escrita, en

imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,

fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de

fuentes externas) o de la fecha de elaboración.

Integridad de la Información: que la misma solo pueda ser modificada por las entidades

autorizadas y minimizando las posibilidades de corrupción por fallas físicas o lógicas, de hardware o

software, malware o alteraciones causadas por usuarios internos o intrusos con el fin de causar daño

o sin intención. Es decir, mantenimiento de la exactitud y completitud de la información y

sus métodos de proceso.

Confidencialidad de la Información: es la característica en cuanto a su almacenamiento y

transmisión que posibilita que la misma sea conocida sólo por personas autorizadas. Una falla

en la confidencialidad de la información puede dar lugar a graves daños para la organización, tales

como: pérdidas de clientes, usurpación de diseños de nuevos productos, etc.

Asegurar la confidencialidad de la información implica:

• Control de accesos requiere que el acceso a los recursos (información, capacidad de cálculo,

nodos de comunicación, etc.) sea controlado y limitado, protegiéndolos frente a usos no

autorizados o manipulación.

• Autenticación de origen característica de un proceso de transmisión que posibilita tener una

certeza razonable del origen de la información.

• No Repudio ofrece protección a una persona frente a que otra persona niegue posteriormente

que en realidad se realizó cierta comunicación. Esta protección se efectúa por medio de una

colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. El no

repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje,

mientras que el no repudio de recepción protege al emisor de que el receptor niegue haber

recibido el mensaje. Las firmas digitales constituyen el mecanismo más empleado para este fin.

Disponibilidad de la información, capacidad de estar siempre operativa para ser utilizada.

Requiere que los recursos (información y sistemas de tratamiento o almacenamiento de la misma)

sean accesibles y utilizables por individuos, entidades o procesos autorizados cuando los

requieran.

Se debe proponer un proceso que apunte a mantener la Continuidad Segura del Negocio

definiendo una estructura que mantenga presente los conceptos anteriores. Hablar de Continuidad



Segura significa prepararse formalmente a atender a las contingencias que pueden ocurrir

en un grado acorde a la criticidad del negocio.

SEGURIDAD INFORMÁTICA

Cuando hablamos de seguridad informática muchas veces creemos que es lo mismo que

seguridad de la información debido a que los términos se usan muchas veces de forma indistinta.

Sin embargo vale aclarar sus diferencias.

La seguridad informática (si) se encarga de la protección de los sistemas informáticos,

entendiéndose esto como la conjunción de la información almacenada en medios magnéticos, las

aplicaciones (software), los equipos que soportan la información (hardware) y las personas que

hacen uso de la misma (usuarios).

La seguridad de la información (SI) es un proceso mucho más amplio que implica la

protección no solo de la información almacenada en los sistemas informáticos sino que también

asegure la información sin discriminar donde se encuentra.



MARCO CONCEPTUAL DE LA GESTIÓN DE RIESGOS

Para atender a las contingencias que puedan presentarse en cuanto a la seguridad de la

información, es imprescindible conocer los riesgos a los que nos enfrentamos para poder

gestionarlos.

Las Organizaciones interactúan en un ambiente donde clientes, regulaciones gubernamentales,

competencia y tecnología cambian constantemente, hecho éste que las obliga a estar preparadas

para adaptarse a estos cambios. En este contexto el análisis de riesgos se considera una

herramienta básica para la toma de decisiones y para la elaboración del plan de auditoría de la

empresa, en el cual se determina la cantidad y extensión de los exámenes o procedimientos de

auditoría a ser aplicados a los efectos de contar con un adecuado sistema de Control Interno.

DEFINICIONES Y REFERENCIAS A RIESGOS

Según el diccionario de la Real Academia Española

(Del italiano risico o rischio, y este del árabe clásico rizq, lo que depara la providencia).

1. m. Contingencia o proximidad de un daño.

2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro

Un riesgo pude verse también como una variación de los resultados esperados, donde esa

variación es de carácter aleatorio y en muchas ocasiones fuera del control del tomador de decisiones

generándose el problema de la incertidumbre.

En el contexto de Proyectos, y según el PMI, el riesgo está relacionado con las Oportunidades

(resultados positivos) y las Amenazas (resultados negativos). Los objetivos de la Gestión de los

Riesgos del Proyecto son aumentar la probabilidad y el impacto de los eventos positivos, y

disminuir la probabilidad y el impacto de los eventos adversos para el proyecto.

El SEI (Software Engineering Institute), además de incluir la Gestión de Riesgos en su

Modelo de Madurez de capacidades (CMMi) como hemos visto en la Unidad Nro. 1, ha desarrollado

un método de evaluación de riesgos denominado OCTAVE (Operationally Critical Threat, Asset, and

Vulnerability Evaluation) cuya última versión es OCTAVE Allegro y además provee un método

sistemático de identificación de riesgos basados en taxonomías. En el contexto del SEI un riesgo se

define como la posibilidad de pérdida y como el precursor de un problema, en función de:

• Probabilidad de que ocurra un evento adverso.

• Impacto, manifestado en una combinación de pérdida económica, retraso temporal y pérdida de

rendimiento



En MAGERIT V2. (del Ministerio de Administración Pública de España) se tiene en cuenta que:

Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más

activos causando daños o perjuicios a la organización.

Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está

expuesta una organización.

Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir,

reducir o controlar los riesgos identificados.

Tipos de Activo: La metodología tiene en cuenta la tipificación de los siguientes activos: Datos e

Información, aplicaciones (software), soportes de Información, equipos Informáticos (hardware),

redes de comunicaciones, personal, instalaciones, equipamiento auxiliar y servicios

Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que encuadran en la

actividad continua de Gestión de la Seguridad. El análisis de riesgos permite determinar cómo es,

cuánto vale y cómo de protegidos se encuentran los activos. En coordinación con los objetivos,

estrategia y política de la organización, las actividades de gestión de riesgos permiten elaborar un

Plan de Seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de

riesgo que acepta la Dirección.

La Serie ISO/IEC 27000 provee por un lado una Norma certificable1 de Seguridad de la

Información y por otro una Guía de Buenas prácticas2 donde presenta una lista de controles de

seguridad recomendados y que, en la práctica, se seleccionan en base a una valorización de

riesgos.

COBIT es un estándar que combina la investigación el desarrollo y la promoción de un conjunto

actualizado de objetivos de control para las tecnologías de la información para el uso por parte de

gerentes y auditores. Asegura que las tecnologías de la información estén alineadas con los

objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de

forma apropiada. Organiza los objetivos de control en Dominios que responden a procesos dentro

de la organización. Para cada dominio define los requerimientos del negocio que satisface, los

estados del control que facilitan la satisfacción de los objetivos y los elementos que se pueden

considerar al evaluar. En cuanto a la Gestión de Riesgos de TI, la misma está especificada en el

Dominio: Planear y Organizar y Proceso: P09. Evaluar y Administrar los Riesgos de TI.

ITIL V.3. contempla el proceso de Gestión de la Continuidad del Servicio enunciando actividades

y funciones relacionadas directamente con la Gestión de Riesgos como hemos visto en el capitulo

anterior.

1 Ver anexo: Normas Serie ISO/IEC 27000 2 Ver anexo: SOA - Declaración de Aplicabilidad



EL PROCESO DE GESTIÓN DE RIESGOS

La Gestión de Riesgos es un proceso interactivo e iterativo basado en el conocimiento,

evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de

decisiones organizacionales. Aplicable a cualquier situación donde un resultado no deseado o

inesperado pueda ser significativo o donde se identifiquen oportunidades.

Se pueden resumir, de los marcos mencionados anteriormente, los siguientes procesos

involucrados en la gestión de riesgos:

1. Planificación de la Gestión de Riesgos: decidir cómo enfocar, planificar y ejecutar las

actividades de gestión de riesgos.

2. Identificación de Riesgos: determinar los riesgos existentes y documentar sus características.

3. Análisis Cualitativo de Riesgos: priorizar los riesgos para realizar otros análisis o acciones

posteriores, evaluando y combinando su probabilidad de ocurrencia y su impacto.

4. Análisis Cuantitativo de Riesgos: analizar numéricamente el efecto de los riesgos

5. Planificación de la Respuesta a los Riesgos: desarrollar opciones y acciones para mejorar las

oportunidades y reducir las amenazas.

6. Seguimiento y Control de Riesgos: realizar el seguimiento de los riesgos identificados,

supervisar los riesgos residuales, identificar nuevos riesgos, ejecutar planes de respuesta a los

riesgos y evaluar su efectividad.

PLANIFICACIÓN DE LA GESTIÓN DE RIESGOS

Objetivo: Cómo serán abordadas y planeadas las actividades de referidas a riesgos.

Resultado a obtener: El Plan de Gestión de Riesgos, que documente cómo serán

estructurados y realizados los procesos de identificación, análisis cualitativo, cuantitativo, planeación

de respuesta, monitoreo y control de riesgos. La empresa debe tener estandarizado el proceso para

acumular experiencia. El Plan de Gestión de Riesgos deberá incluir: Enfoque, herramientas y

fuentes de datos, los roles y las responsabilidades, el presupuesto, el calendario de manejo de

riesgos, métodos de evaluación e interpretación, los criterios de umbrales de riesgos sobre los

cuales se actúa y el formatos de los reportes.

IDENTIFICACIÓN DE RIESGOS

El tratar de identificar riesgos es un criterio proactivo que busca identificar posibles factores de

riesgo y tomar medidas de aseguramiento o planes de contingencia para contrarrestarlos a ellos y a

sus efectos.

Objetivo: Determinar los riesgos y documentar sus características.

Resultados a obtener:



Relación de Riesgos: Definiciones de eventos o condiciones inciertas que si ocurriesen tendrían

efectos negativos (o positivos).

Disparadores: Las señales de advertencia indicativas de que el riesgo se ha materializado o

está a próximo a ocurrir.

Las siguientes herramientas pueden ser utilizadas para identificar o analizar los riesgos:

• Revisiones de Documentación: en caso de proyectos: acta de proyecto, cronograma, técnicas

utilizadas para estimación de tiempos y costos, recursos asignados, en caso de adquisición: el

plan de compras y procesos asociados, en caso de servicios: los modelos de rendimiento de

procesos y productos.

• Técnicas de Recopilación de Información: Brainstorming, Técnica Delphi, discusiones de grupo,

entrevistas estructuradas y cuestionarios, análisis FODA, etc.

• Análisis mediante Check Lists: por ej. de inspecciones físicas y auditorias anteriores

• Análisis de asunciones o escenarios

• Técnicas de Diagramación: Diagramas Causa-Efecto, de sistemas, de influencias

• Experiencia personal de los involucrados

• Taxonomías de Riesgos

ANÁLISIS DE RIESGOS

Los diferentes estándares formulan que la Gestión de Riesgos tiene 2 dimensiones, la primera se

refiere a la incertidumbre, ya que un riesgo es algo que todavía no ha ocurrido y que bien puede

ocurrir o no (PROBABILIDAD), la segunda es acerca de lo que sucedería si el riesgo ocurriese, ya

que los riesgos se definen en términos de su efecto en los objetivos o las pérdidas (IMPACTO).

Cuando se evalúa el significado de un riesgo en particular, es necesario considerar ambas

dimensiones. Los procesos de gestión de riesgos incluyen técnicas para determinar la importancia de

un riesgo, basado tanto en la probabilidad como en su impacto.

Estableceremos el estado de riesgo, exposición o SEVERIDAD como PROBABILIDAD de

ocurrencia del riesgo por el IMPACTO que causa si sucede.

Aunque se puede desarrollar un marco que permita la evaluación del impacto, sin lugar a

ambigüedades, el cálculo de la probabilidad es mucho más confuso ya que muchas veces se

identifican riesgos cuyos detalles son desconocidos (dependen de influencias externas), no existen

registros anteriores y esto lleva a que solo es posible realizar una estimación de la misma.

ANÁLISIS CUALITATIVO DE RIESGOS

Realizar el Análisis Cualitativo de Riesgos es por lo general un medio rápido y económico de

establecer prioridades para la planificación de la respuesta a los riesgos y sienta las bases para

realizar el análisis cuantitativo de riesgos, si se requiere.

Objetivo: Realizar un análisis cualitativo y condiciones de los riesgos para priorizar sus efectos

sobre los activos de la organización o los objetivos del proyecto.



Resultado a obtener: Actualizar el registro de riesgos, realizado en la etapa de identificación,

determinando una lista priorizada de riesgos en función del impacto y probabilidad estimados,

riesgos agrupados en categorías, causas de riesgos o áreas que requieran mayor atención.

ANÁLISIS CUALITATIVO DEL IMPACTO Y LA PROBABILIDAD

Se deben dar valores a los riesgos listados existiendo para ello escalas lineales y no lineales. Para

un preciso análisis cualitativo de riesgos se requiere obtener información precisa y sin tendencia y

utilizar técnicas para evaluar la precisión de la información.

Se propone para la evaluación del impacto una escala de cinco niveles: 1-Muy bajo, 2-Bajo, 3-

Medio, 4-Alto, 5-Muy alto (establecida en función del más alto impacto detectado).

Para evaluar la probabilidad también se define una escala: 1-muy improbable (< 3%), 2-poco

probable (<10%), 3-probable (<30%), 4-altamente probable (<60%), 5-casi cierto (>60%)

La posibilidad de un evento frecuentemente no sólo depende de la estadística sino también de la

intervención humana.

• Probabilidad de ocurrencia: la probabilidad que ocurra si no tomamos ninguna acción; y

• Dificultad de intervención: el nivel de dificultad que experimentaríamos en prevenir que

ocurra el riesgo

En función a estas escalas se puede establecer una matriz para medir la magnitud del riesgo:

PRIORIZACIÓN DE RIESGOS

Clasificaremos los riesgos utilizando una lista con el siguiente formato: Nro. Categoría Riesgo Probabilidad Impacto Riesgo Total

Una vez obtenida la lista, la ordenamos en forma decreciente por Riesgo Total.



Dependiendo del análisis, es probable que puedan identificarse una gran cantidad de riesgos y,

por lo tanto, el Plan de gestión de riesgo puede convertirse en un proyecto en sí mismo. Por este

motivo, adaptamos la regla de Pareto 80-20 al riesgo del proyecto.

La experiencia dice que el 80 por ciento del riesgo total se debe solamente al 20 por ciento de los

riesgos identificados.

La lista Priorizada de riesgos ayudará a determinar qué riesgos pertenecen a ese 20 por ciento.

ANÁLISIS CUANTITATIVO DE RIESGOS

Objetivo: Establecer la probabilidad y consecuencias de riesgos y estimar sus implicaciones para los

objetivos del proyecto.

Resultados a Obtener: Lista priorizada de riesgos cuantificada.

Utilizando técnicas de recopilación y representación de datos, técnicas de análisis cuantitativo y

Modelado y juicio de expertos se debe:

• Cuantificar la exposición al riesgo y determinar, para un proyecto, el valor de reservas de

contingencias de costo y cronograma que puedan ser necesarias.

• Identificar los riesgos que requieren mayor atención cuantificando su relativa contribución al

riesgo total.

PLANIFICACIÓN DE LA RESPUESTA A LOS RIESGOS

Objetivo: Desarrollar opciones y determinar acciones que reduzcan las amenazas y aumenten las

oportunidades.

Resultados a Obtener: Plan de Respuestas a Riesgos, determinación de reservas de contingencia,

riesgos residuales y secundarios.

El Plan de Respuesta a Riesgos incluye la identificación y asignación de personas o grupos

responsables de las respuestas a cada riesgo. Debe ser apropiado a la severidad en cada riesgo,

efectivo en costos, oportuno, realista en función de los activos involucrados o en el contexto del

proyecto, acordado por las partes involucradas y asignado a la persona responsable de ejecutar la

respuesta.

ESTRATEGIAS DE RESPUESTA A RIESGOS NEGATIVOS (AMENAZAS)

Evitar: No se acepta de esa forma

Transferir: Estoy dispuesto a transferir a un tercero el riesgo y la gestión del mismo, soy

consciente de que no puedo eliminar todo el riesgo (Subcontratar, Asegurar)

Mitigar: Estoy consciente del riesgo y haré lo posible para minimizar su ocurrencia (probabilidad) y

consecuencias (impacto)

Aceptar: Estoy consciente del riesgo y estoy dispuesto a aceptar las consecuencias de su posible

ocurrencia



Contingencia: Tendré respuestas preparadas por si ocurre el evento (necesidad de señales

tempranas de advertencia)

Riesgo Nro.

Desarrollo de Estrategias de respuesta a amenazas

Evitar

Aceptar

Contingencia

o Reserva

Mitigación

Transferir Minimizar

Probabilidad

Minimizar

Impacto

Estrategia

Ventajas

Desventajas

ESTRATEGIAS DE RESPUESTA A RIESGOS POSITIVOS (OPORTUNIDADES)

Explotar: Haré lo posible para asegurarme que la oportunidad sea una realidad

Compartir: Estoy dispuesto a transferir a un tercero que está mejor capacitado para capturar la

oportunidad

Mejorar: Haré lo posible por maximizar su ocurrencia (probabilidad) y consecuencias (impacto)

Aceptar: Estoy dispuesto a aceptar las consecuencias de su posible ocurrencia

Contingencia: Tendré respuestas preparadas por si ocurre el evento (necesidad de señales

tempranas de advertencia)

De la misma forma que en las estrategias de respuestas a riesgos negativos podremos armar una

planilla para su descripción.

COSTO DE LA GESTIÓN DE RIESGOS

Deberemos balancear el costo de implementación de la Gestión de Riesgos contra los

beneficios derivados para obtener la mejor opción.

Costo de Gestión

Implementar medidas de reducción

Usar Juicio

Antieconómico

Nivel Total de Riesgos



Los imprevistos y los riesgos residuales más los planes de contingencia deben gestionarse a

través de reservas, que pueden ser:

Gerenciales: Atiende a los imprevistos

De Contingencia: Riesgos residuales más planes de contingencia

Cómo afectan las reservas a cualquier contrato puede verse en el siguiente cuadro

SEGUIMIENTO Y CONTROL DE RIESGOS

Objetivo: Definir un enfoque de seguimiento para monitorear los riesgos

Resultados a Obtener: Documentación de los resultados de las actividades de gestión de riesgos.

Procedimiento:

• Ejecutar el Plan de Gestión de Riesgos

o Riesgos con probabilidad moderada a alta: Continuar con el plan de EVITAR Y MITIGAR.

o Riesgos que se hayan materializado: Iniciar el PLAN DE CONTINGENCIAS

o Riesgos que se hayan evitado: Retirar de plan (pero documentar).

• Ejecutar las estrategias de respuesta a medida que los riesgos ocurran

• Documentar

• Evaluar los resultados

Precio total del contrato

Presupuesto total del Proyecto Honorarios o Ganancias

Presupuesto de realización del proyecto

Presupuesto de Reservas

Costo del Proyecto

Costo de respuesta a riesgos

Reservas Gerenciales

Reservas de Contingencias

CCoossttoo sseegguurroo CCoossttoo pprroobbaabbllee

UNIVERSIDAD TECNOLOGICA NACIONAL ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y AuditSeguridad de la Información

Lic. Fabiana María Riva

GESTIÓN DE R

Las amenazas en Seguridad de la Información

la integridad, confidencialidad y disponibilidad de la información y que muchas veces están

posibilitadas por vulnerabilidades en la infraestructura

recursos humanos afectados, el software, etc

Las listas de clasificación o categorías de riesgos, denominadas también taxonomías de riesgos,

permiten que el equipo encargado de identificar riesgos

mismos porque ya dispone de una lista de áreas

procedentes de diferentes situaciones.

taxonomía con preguntas orientadas a grupos de riesgos ya que trabajar con listas muy extensas

puede resultar complejo. También pueden emp

que el equipo puede utilizar para supervisar y notificar el estado de los

proyecto o en los momentos del control.

Existen clasificaciones o taxonomías

desarrollo de software entre las que

desarrollada por el SEI denominada

En este capítulo nos centraremos en algunas clasificaciones ge

identificación de riesgos en Proyectos o Áreas de

3 Reporte disponible en: http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN

Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información

Junio de 2011

RIESGOS EN SEGURIDAD DE LA INFORMACIÓN

en Seguridad de la Información son todos aquellos factores que p

confidencialidad y disponibilidad de la información y que muchas veces están

vulnerabilidades en la infraestructura, los procedimientos administrativos

, el software, etc.

o categorías de riesgos, denominadas también taxonomías de riesgos,

equipo encargado de identificar riesgos pueda pensar con mayor amplitud sobre los

porque ya dispone de una lista de áreas o activos susceptibles

de diferentes situaciones. En ocasiones se utiliza una lista de chequeo basada en una


También pueden emplearse para proporcionar una terminología unificada

que el equipo puede utilizar para supervisar y notificar el estado de los

proyecto o en los momentos del control.

o taxonomías que describen las fuentes de

entre las que se incluyen las realizadas por Barry Boehm, Caper Jones

denominada Software Development Risk Taxonomy

En este capítulo nos centraremos en algunas clasificaciones generales que afectan a la

Proyectos o Áreas de Sistemas y Tecnologías de Información.

http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm

EN SISTEMAS DE INFORMACION

15

NFORMACIÓN

son todos aquellos factores que ponen en peligro

confidencialidad y disponibilidad de la información y que muchas veces están

, los procedimientos administrativos, los

o categorías de riesgos, denominadas también taxonomías de riesgos,

pueda pensar con mayor amplitud sobre los

susceptibles de esconder riesgos

En ocasiones se utiliza una lista de chequeo basada en una


learse para proporcionar una terminología unificada

que el equipo puede utilizar para supervisar y notificar el estado de los riesgos a lo largo de un

riesgo de proyectos de

as por Barry Boehm, Caper Jones y la

Risk Taxonomy3.

nerales que afectan a la

ologías de Información.

http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm



Una clasificación para la identificación de riesgos de un Proyecto, puede ser:

o Riegos Genéricos: Son todos los riesgos que afectan a cualquier Proyecto.

o Riesgos Específicos: Son riesgos asociados a un Proyecto de Tecnología de Información en

particular o al producto de dicho proyecto. Dependerán en mayor medida de la tecnología que se

está utilizando, los procesos dentro del proyecto y las características de la organización.

El PMI propone la siguiente estructura de desglose de riesgos que pueden darse en Proyectos:

Los 9 procesos de la Gestión de Proyectos del PMI pueden ser utilizados para identificar riesgos

referidos a:

Integración

Alcance Tiempos

Costos

Calidad

RRHH

Comunicaciones

Gestión de Riesgos del Proyecto

Adquisiciones

Expectativas. Factibilidad Objetivos de Tiempo.

Restricciones

Requerimientos. Estándares

Disponibilidad. Productividad

Objetivos de Costos. Restricciones

Servicios. Materiales, performance

Variables del ciclo de vida y ambientales



El SEI propone una clasificación para riesgos de la operación de tecnologías de información

denominada Taxonomy of Operational Cyber Security Risks4. La clasificación identifica y

organiza la fuente de estos riesgos en cuatro clases:

1. Acciones (o inacción) de las personas: realizadas tanto deliberada como accidentalmente

2. Fallas de los sistemas y tecnología: fallas del hardware, software y sistemas de información

3. Fallas de los procesos internos: problemas en los procesos internos del negocio que impactan

en la habilidad para implementar, gestionar y sostener a la seguridad.

4. Eventos externos: cuestiones fuera del control de la organización.

Cada clase se descompone en subclases que se describen por los elementos que la componen:

1. Acciones de las Personas

2. Fallas de Sistemas y Tecnología

3. Fallas de Procesos Internos

4. Eventos externos

1.1 Involuntarias 2.1 Hardware 3.1. Diseño de Procesos y Ejecución

4.1 Desastres

1.1.1 Equivocación (acción incorrecta)

2.1.1 Capacidad 3.1.1 Flujo de Procesos 4.1.1 Climatológicos

1.1.2 Error (por desconocimiento)

2.1.2 Rendimiento 3.1.2 Documentación de Procesos

4.1.2 Incendios

1.1.3 Omisión (por apresuramiento)

2.1.3 Mantenimiento 3.1.3 Roles y responsabilidades

4.1.3 Inundaciones

1.2 Deliberadas 2.1.4 Obsolescencia 3.1.4 Notificaciones y alertas

4.1.4 Terremotos

1.2.1 Fraude 2.2 Software 3.1.5 Flujo de Información

4.1.5 Disturbios

1.2.2 Sabotaje 2.2.1 Compatibilidad 3.1.6 Escalado de problemas

4.1.6 Pandemias

1.2.3 Robo 2.2.2 Configuración 3.1.7 Acuerdo de Nivel de Servicio

4.2 Cuestiones Legales

1.2.4 Vandalismo 2.2.3 Control de Cambios 3.1.8 Tarea fuera de control

4.2.1 Regulaciones

1.3 Inacción 2.2.4 Parámetros de Seguridad

3.2 Control de Procesos

4.2.2 Legislación

1.3.1 Habilidad 2.2.5 Prácticas de Codificación

3.2.1 Monitorización del estado

4.2.3 Litigios

1.3.2 Conocimiento 2.2.6 Testing 3.2.2 Métricas 4.3 Cuestiones del Negocio

1.3.3 Guía 2.3 Sistemas 3.2.3 Revisiones Periódicas

4.3.1 Fallas del Suministro

1.3.4 Disponibilidad 2.3.1 Diseño 3.2.4 Dueño del Proceso 4.3.2 Condiciones del Mercado

2.3.2 Especificaciones 3.3 Procesos de Soporte

4.3.3 Condiciones Económicas

2.3.3 Integración 3.3.1 Dotación del Personal

4.4 Dependencias con Servicios

2.3.4 Complejidad 3.3.2 Recursos 4.4.1 Servicios Públicos

3.3.3 Entrenamiento y desarrollo

4.4.2 Servicios de Emergencia

3.3.4 Adquisición 4.4.3 Combustible

4.4.4 Transporte

4 Reporte Disponible en: http://www.sei.cmu.edu/library/abstracts/reports/10tn028.cfm



AMENAZAS Y VULNERABILIDADES EN SEGURIDAD INFORMÁTICA

Para explicar las amenazas y vulnerabilidades en Seguridad Informática desarrollaremos un

esquema para comprender en qué consiste un ataque informático.

1-RECONOCIMIENTO

2-EXPLORACIÓN

3-CONSOLIDACION

4-MANTENER ACCESO

5-BORRAR HUELLAS

Fase 1: Reconocimiento. Esta etapa involucra la obtención de información con respecto a una

potencial víctima que puede ser una persona u organización. Por lo general, durante esta fase se

recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del

objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster

Diving, el sniffing, el DNS snooping, etc.

Fase 2: Exploración. En esta segunda etapa se utiliza la información obtenida en la fase 1

para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP,

nombres de host, datos de autenticación, entre otros. Las herramientas que se utilizan se basan en

el escaneo de puertos y análisis de las redes para detectar servicios activos y vulnerabilidades

(network mappers, port mappers, network scanners, port scanners, y vulnerability scanners)

Fase 3: Consolidación. En esta instancia comienza a materializarse el ataque a través de la

explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante

las fases de reconocimiento y exploración. Algunas de las técnicas que el atacante puede utilizar son

ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos),

Password filtering y Session hijacking.

Fase 4: Mantener el acceso. Una vez que el atacante ha conseguido acceder al sistema,

buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar

donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.

Fase 5: Borrar huellas. Una vez que el atacante logró obtener y mantener el acceso al

sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser

detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará

eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).



Estas son algunas de las debilidades, recursos o técnicas en las que se basa un ataque

informático5:

Ingeniería Social: Consiste en la obtención de información sensible y/o confidencial de un

usuario cercano a un sistema u organización. Son estrategias de ataque que se basan en el engaño

y que están netamente orientadas a explotar las debilidades del factor humano. Ya sea por

ignorancia, negligencia o coacción, las personas pueden romper las reglas de seguridad de la

organización y permitir a un atacante obtener acceso no autorizado.

Dumpster Diving: es un recurso basado en la ingeniería social. Consiste en “husmear entre la

basura” para localizar notas y/o papeles de los que el usuario se ha deshecho: extractos bancarios,

claves personales, datos comprometidos, anotaciones personales. Muchos de estos datos pueden ser

utilizados para crear un perfil en un sitio web y actuar en su nombre, usurpar su identidad, abrir o

realizar movimientos en sus cuentas bancarias, utilizar servicios, pagar con su tarjeta de crédito o

incluso aparecer con su fotografía ante terceros en un foro de Internet.

Phishing: está basado en la ingeniería social. En general son falsos mensajes de correo

electrónico haciéndose pasar por entidades reales (generalmente financieras) pidiéndonos en

muchos casos confirmación de estos datos, en oportunidades también se utilizan llamados

telefónicos. Las características de un correo de phishing son las siguientes:

• Uso de nombres de reconocidas organizaciones.

• El correo electrónico del remitente simula ser de la compañía en cuestión.

• El cuerpo del correo, presenta el logotipo de la compañía u organización que firma el mensaje.

• El mensaje insta al usuario a reingresar algún tipo de información que, en realidad, el supuesto

remitente ya posee.

• El mensaje incluye un enlace que, aunque indique una dirección web válida, redirecciona al sitio

falsificado.

Como técnica de Ingeniería Social, el phishing utiliza el factor miedo, para inducir al usuario a

ingresar la información en el sitio del atacante. Un aviso legítimo de caducidad de información (como

contraseñas, cuentas de correo o registros personales), nunca alertará al usuario sin el suficiente

tiempo para que este, gestione las operaciones necesarias en tiempos prudenciales. Mensajes del

tipo "su cuenta caducará en 24hs." o "si no ingresa la información en las próximas horas..." son

frecuentemente utilizados en este tipo de ataques.

El sitio web falso es creado utilizando, no solo el logotipo, sino también la estructura, las

imágenes, las tipografías y los colores de la página original. El atacante intenta crear la página web

de forma idéntica a la original, para aumentar la eficacia del engaño.

Prácticamente todos los componentes, del mensaje enviado al usuario, son idénticos a un

mensaje legítimo del mismo tipo. Reconocer un mensaje de phishing no es una tarea simple para el

usuario. Cualquier usuario de correo, es una potencial víctima de estos ataques.

5 Ingresar a la plataforma : http://edu.eset-la.com y realizar el curso: Guía básica de utilización de medios informáticos en forma segura



Sniffing: es el mecanismo que permite monitorizar y analizar el tráfico en una red de

computadoras, detectando los cuellos de botella y problemas que existan pero también puede ser

utilizado para "captar", lícitamente o no, los datos que son transmitidos en la red.

Análisis de redes y escaneo de puertos: son aplicaciones que permiten verificar la seguridad

en una red mediante el análisis de los puertos abiertos en uno de los equipos o en toda la red a

partir de una serie o lista de direcciones de IP. El proceso de análisis utiliza solicitudes que permiten

determinar los servicios que se están ejecutando en un host remoto e identificar los riesgos de

seguridad. Mediante un análisis exhaustivo de la estructura de los paquetes TCP/IP recibidos pueden

identificar, por ejemplo, qué sistema operativo está utilizando el equipo remoto.

Configuraciones predeterminadas o por defecto: generalmente las configuraciones

predeterminadas hacen del ataque una tarea sencilla para quien lo ejecuta ya que es muy común

que las vulnerabilidades de un equipo sean explotadas a través de códigos exploit donde el

escenario que asume dicho código se basa en que el objetivo se encuentra configurado con los

parámetros por defecto. Muchas aplicaciones automatizadas están diseñadas para aprovechar estas

vulnerabilidades, incluso existen sitios web que almacenan bases de datos con información

relacionada a los nombres de usuario y sus contraseñas asociadas, códigos de acceso,

configuraciones, entre otras, de los valores por defecto de sistemas operativos, aplicaciones y

dispositivos físicos.

Ataques de Contraseña: consiste en la prueba metódica de contraseñas para lograr el acceso

a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo.

En un esquema de autenticación de factor simple (nombre de usuario + contraseña) la

seguridad radica inevitablemente en la fortaleza de la contraseña y en mantenerla en completo

secreto, siendo potencialmente vulnerable a técnicas de Ingeniería Social cuando los propietarios de

la contraseña no poseen un adecuado nivel de capacitación que permita prevenir este tipo de

ataques. Se suma a esto la existencia de herramientas automatizadas diseñadas para “romper” las

contraseñas a través de diferentes técnicas como ataques por fuerza bruta, por diccionarios o

híbridos en un plazo sumamente corto.

Código malicioso o malware: programas que causan algún tipo de daño o anomalía en el

sistema informático. Dentro de esta categoría se incluyen virus, gusanos, troyanos, adware,

spyware, ransomware, entre otros.



CLASIFICACIÓN DE ACTIVOS, DIMENSIONES Y CRITERIOS DE VALORACIÓN

La identificación de activos y componentes críticos es esencial para conocer qué debe protegerse

y así clasificarlos mediante criterios basados en su confidencialidad, integridad y disponibilidad.

La tipificación de los activos es tanto una información documental de interés como un criterio de

identificación de amenazas potenciales y controles apropiados a la naturaleza del activo.

A partir de esta tipificación se podrá generar el Inventario o Catálogo de Activos.

Sin ser una lista exhaustiva (ya que la misma puede variar significativamente con los avances

tecnológicos), los activos pueden agruparse en las siguientes categorías:

• Activos de información: archivos y bases de datos, documentación del sistema, manuales de

usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad,

configuración del soporte de recuperación, documentación histórica archivada.

• Activos de software: de aplicación, del sistema, herramientas y programas de desarrollo

• Activos físicos: equipos de tratamiento (procesadores, monitores, portátiles, módems), equipo

de comunicaciones (routers, centrales digitales, máquinas de fax), medios magnéticos (discos y

cintas), otro equipamiento técnico (suministro de energía, unidades de aire acondicionado), etc.

• Servicios: servicios de tratamiento y comunicaciones, servicios generales (calefacción,

alumbrado, energía, aire acondicionado).

• Otros activos: imagen de la organización, objetivos, servicios producidos, credibilidad, etc.

Dentro de la clasificación de activos, se podrá recurrir además a una sub-clasificación

dependiendo del acceso que pueda realizarse. Se podrán contemplarán los siguientes niveles:

• Desclasificado, considerado público y sin requisitos de control de acceso y confidencialidad

• Compartido, activos compartidos entre grupos o personas no pertenecientes a la organización

• Sólo para la organización, acceso restringido a los empleados de la organización

• Confidencial, acceso restringido a una lista específica de personas

La responsabilidad de cada activo deberá estar asignada sobre cada propietario por lo que se

procederá a designar un responsable para cada recurso o grupos de recursos el cual asumirá en un

futuro la tarea de mantener los controles apropiados.

Las características o atributos que hacen valioso un activo se denominan dimensiones de

valoración. Una dimensión es una faceta o aspecto de un activo que se podrá utilizar para valorar

las consecuencias de la materialización de una amenaza.

La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la

organización si el activo se ve dañado en dicha dimensión.

Las dimensiones de valoración que se siguen generalmente hacen mención a:



• Necesidad de disponibilidad del activo en función del número de personas afectadas por la

falta de disponibilidad, funcionamiento irregular y en la que estarán involucrados además los

tiempos de recuperación y la pérdida de imagen.

• Nivel de pérdida de integridad del activo los datos reciben una alta valoración desde el

punto de vista de integridad cuando su alteración, voluntaria o intencionada, causaría graves

daños a la organización

• Nivel de confidencialidad asociado a la información y derivado del marco regulador externo o

criterios internos. Los datos reciben una alta valoración desde este punto de vista cuando su

revelación causaría graves daños a la organización. En este sentido será necesario establecer:

o Aseguramiento de la identidad del origen: de los usuarios del servicio y de los datos

o Aseguramiento de que se podrá determinar quién hizo qué y en qué momento: trazabilidad

del Servicio y trazabilidad de Datos.

Para definir el criterio de valoración (o impacto) se podrá recurrir a una valoración económica

derivada de la inversión económica de reposición ante la pérdida o a escalas cualitativas como

las mencionadas anteriormente.



REQUERIMIENTOS DE SEGURIDAD Y CONTROLES

Los controles (o salvaguardas) permiten hacer frente a las amenazas. Hay diferentes aspectos

sobre los cuales puede actuar un control:

Seguridad física, de los locales y áreas de trabajo

Procedimientos, tanto para la operación de los controles preventivos como para la gestión de

incidentes y la recuperación tras los mismos. Los procedimientos deben cubrir aspectos tan diversos

como van del desarrollo de sistemas a la configuración del equipamiento.

Política de personal, necesaria cuando se consideran sistemas atendidos por personal. Debe

cubrir desde las fases de especificación del puesto y selección, hasta la formación continua.

Soluciones técnicas, que pueden ser aplicaciones (software), dispositivos físicos (hardware),

protección de las comunicaciones

La protección integral de un sistema de información requerirá una combinación de controles,

debiendo la solución final estar equilibrada en los diferentes aspectos, tener en cuenta los controles

adecuadas a cada tipo de activos, tener en cuenta los controles adecuados a la dimensión de valor

del activo y tener en cuenta los controles adecuados a la amenaza

Los controles, especialmente los técnicos, varían con el avance tecnológico.

SEGURIDAD FÍSICA

Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de

prevención y contramedidas ante amenazas a los recursos informáticos y a la información. Estos

mecanismos de seguridad deberán ser implementados para proteger el hardware y medios de

almacenamiento de datos dentro y alrededor de las áreas de sistemas así como a los medios de

acceso remoto al y desde el mismo. Se deberán identificar características que se deben respetar en

las áreas destinadas a la sala de servidores, al almacenamiento de los medios magnéticos, puestos

de usuarios, cableado y todos los recursos relacionados con el desempeño de las tecnologías de la

información y comunicación.

PROTECCIÓN CONTRA AMENAZAS CLIMATOLÓGICAS

En cuanto a prevención de inundaciones: construir un techo impermeable para evitar el paso de

agua desde un nivel superior al área de servidores y de almacenamiento de medios magnéticos.

Acondicionar las puertas para contener el agua que pudiera acceder al área.

En cuanto a la prevención de condiciones de temperatura y humedad no aconsejables: se debe

proveer un sistema de calefacción, ventilación y aire acondicionado separado con sensores para el

control de la temperatura adecuada y que se dedique al área de servidores en forma exclusiva.

Como estos aparatos son causa potencial de incendios e inundaciones, es recomendable instalar

redes de protección en todo el sistema de cañería al interior y al exterior, detectores y extinguidores

de incendio, monitores y alarmas efectivas.



PROTECCIÓN CONTRA INCENDIOS

• El área de servidores debe estar en un local que no sea combustible o inflamable

• El local no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o

almacenen materiales inflamables, explosivos, gases tóxicos o sustancias radioactivas.

• Las paredes y el techo deben hacerse de materiales incombustibles

• Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y

resistentes al fuego.

• No debe estar permitido fumar.

• Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los

materiales plásticos e inflamables.

• El piso y el techo en el recinto deben ser impermeables.

• Deben colocarse sensores de temperatura y de humo que detecten anomalías en las instalaciones

• Deben estar provistas de equipos para la extinción de incendios en relación al grado de riesgo y la

clase de fuego que sea posible en ese ámbito.

• Deben instalarse extintores manuales (portátiles) y/o automáticos (rociadores).

En cuanto a los procedimientos que debe respetar el personal:

• El personal designado para usar extinguidores de fuego debe ser entrenado en su uso.

• Si hay sistemas de detección de fuego que activan el sistema de extinción, todo el personal de

esa área debe estar entrenado para no interferir con este proceso automático.

• Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel.

• Suministrar información, del centro de cómputos, al departamento local de bomberos, antes de

que ellos sean llamados en una emergencia. Hacer que este departamento esté consciente de las

particularidades y vulnerabilidades del sistema, por excesivas cantidades de agua y la

conveniencia de una salida para el humo, es importante. Además, ellos pueden ofrecer excelentes

consejos como precauciones para prevenir incendios.

CONTROL DE ACCESOS

El control de acceso requiere de identificación y autenticación y está asociado, en el caso del acceso

físico, a implementar un mecanismo manual o electrónico mecánico que permita o no el acceso a

áreas o archivos físicos donde se encuentra documentación en papel, copias de seguridad o

recursos destinados a proveer servicios.

El proceso de identificación y autenticación implica la existencia de uno o más de los siguientes

indicadores:

1. Conocimiento: la persona tiene conocimiento (por ejemplo: un código),

2. Posesión: la persona posee un objeto (por ejemplo: una tarjeta), y

3. Característica: la persona tiene una característica que puede ser verificada (por ejemplo: una

de sus huellas dactilares).



Entre las ventajas y desventajas de estos indicadores podemos decir que es frecuente que las

claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los

controles que utilizan características de las personas (autenticación biométrica) serían los más

apropiados y fáciles de administrar, resultando ser también los más costosos por lo dificultoso de su

implementación eficiente.

En función del grado de seguridad que se desee establecer, la protección de accesos puede ser

provista mediante:

• Guardias de seguridad

• Sistemas basados en la lectura de tarjetas (de códigos de barra, bandas magnéticas o de

proximidad) o la introducción de claves de acceso mediante teclado

• Sistemas Biométricos: La Biometría (del griego “bios” vida y “metron” medida) es el estudio de

los métodos automáticos para identificación de personas basados en características físicas

estáticas o dinámicas (conductuales). La forma de identificación consiste en la comparación de

características físicas de cada persona con un patrón conocido y almacenado en una base de

datos.

o Entre las características físicas que se miden en forma estática se encuentran: imagen facial,

termograma del rostro, geometría de la mano, venas de la mano, huellas dactilares y

patrones oculares: retina o iris.

o Entre las características conductuales: la dinámica del teclado y la voz

o La firma es una característica que puede medirse tanto en forma estática (se suelen utilizar

una máquina de video o un scanner para capturar la imagen de la firma, con posterioridad a

la realización de la misma) y métodos dinámicos (que tienen en cuenta la velocidad con la

que se realizan los trazos y donde el dispositivo utilizado para capturar la firma es una

tableta digitalizadora).

Además, se puede acompañar el control de accesos con medidas de seguridad como:

• Utilización de Detectores de Metales

• Protección Electrónica como barreras infrarrojas o de microondas, detectores ultrasónicos de

movimiento, detectores pasivos sin alimentación (apertura de puertas, rotura de vidrios, detector

de vibraciones), sonorización y dispositivos lumínicos y circuitos cerrados de televisión.

• Control de apertura y cierre de cajas de seguridad por horarios

• Control de acceso por horarios y perfiles de acceso.



SEGURIDAD LÓGICA

Consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y

sólo lo permitan a las personas autorizadas.

CONTROL DE ACCESOS

Estos controles pueden implementarse a nivel Sistema Operativo, sobre los sistemas de

aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de

aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la

integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido)

y para resguardar la información confidencial de accesos no autorizados.

La Seguridad Informática se basa, en gran medida, en la efectiva administración de los

permisos de acceso a los recursos informáticos. Esta administración abarca:

• Procesos de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios.

• Políticas de identificación homogénea para toda la organización.

• Revisiones periódicas sobre la administración de las cuentas y los permisos de acceso

establecidos.

• Detección de actividades no autorizadas.

• Nuevas consideraciones relacionadas con cambios en la asignación de funciones del empleado.

• Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organización.

Para el control de accesos se deberán tener en cuenta:

IDENTIFICACIÓN Y AUTENTIFICACIÓN

La identificación y autenticación es la base para la mayor parte de los controles de acceso y

para el seguimiento de las actividades de los usuarios. Se denomina Identificación al momento en

que el usuario se da a conocer en el sistema y Autenticación a la verificación que realiza el sistema

sobre esta identificación. Las técnicas basadas en tarjetas, códigos o identificación biométrica que se

mencionaron en seguridad física pueden ser utilizadas individualmente o combinadas para el control

de acceso lógico.

La identificación puede variar en función de la criticidad del negocio y pueden utilizarse además

identificaciones por:

• Funciones y Roles En este caso los derechos de acceso pueden agruparse de acuerdo con el rol

de los usuarios.

• Transacciones: se pueden implementar controles, por ejemplo, solicitando una clave al requerir

el procesamiento de una transacción determinada.



• Limitaciones a los Servicios: se refieren a las restricciones que dependen de parámetros

propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un

ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea

de un determinado producto de software para cinco personas, en donde exista un control a nivel

sistema que no permita la utilización del producto a un sexto usuario.

• Modalidad de Acceso: definida por el tipo de acción que realizará el usuario

o Lectura: el usuario puede únicamente leer o visualizar la información pero no puede

alterarla. Debe considerarse que la información puede ser copiada o impresa.

o Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.

o Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.

o Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de

datos o archivos). El borrado es considerado una forma de modificación.

o Todas las anteriores.

o Acceso especiales: que generalmente se incluyen en los sistemas de aplicación:

• Creación: permite al usuario crear nuevos archivos, registros o campos.

• Búsqueda: permite listar los archivos de un directorio determinado.

• Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la

ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles

permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la

semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de

ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de

alguno de los controles anteriormente mencionados.

EFICIENCIA EN LA AUTENTICACIÓN

Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y

autenticados solamente una vez pudiendo acceder, a partir de allí, a todas las aplicaciones y datos a

los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en

forma remota. Esto se denomina "single login" o sincronización de passwords.

Podría pensarse que esta es una característica negativa para la seguridad de un sistema, ya que

una vez descubierta la clave de un usuario, se podría tener acceso a los múltiples sistemas a los que

tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente

suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los

fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas o a seleccionar

claves fácilmente deducibles, lo cual significa un riesgo aún mayor. Para implementar la

sincronización de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de

seguridad.

Una de las posibles técnicas para implementar esta única identificación de usuarios sería la

utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se

encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder.



Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener

sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de

carga de tareas.

CONTRASEÑAS SEGURAS

Para el control de contraseñas seguras se deberá tener en cuenta:

• Educar a los usuarios e implementar controles para la definición de contraseñas más robustas

que no sean fácilmente deducibles mediante ataques de contraseñas.

• Si los usuarios tienen la posibilidad de acceder a recursos que necesitan autenticación desde

lugares públicos, se debe implementar la posibilidad de ingresar las contraseñas desde teclados

virtuales ya que los atacantes pueden haber implantado programas o dispositivos físicos como

keyloggers que capturen la información ingresada.

• Implementar la ejecución de mecanismos de caducidad y control. Este mecanismo deberá

controlar cuándo pueden y/o deben cambiar sus passwords los usuarios. Se define el período

mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período

máximo que puede transcurrir para que éstas caduquen.

• Implementar mecanismos de autenticación más robustos como “autenticación fuerte de doble

factor”, donde no sólo se necesita contar con algo que se conoce (la contraseña) sino que

también es necesario contar con algo que “se tiene”, como por ejemplo una llave electrónica USB

o una tarjeta que almacene certificados digitales para que a través de ellos se pueda validar o no

el acceso de los usuarios a los recursos de la organización.

LÍMITES SOBRE LA INTERFAZ DE USUARIO

Estos límites son utilizados generalmente en conjunto con las listas de control de accesos (listas

de usuarios y modalidades de acceso a determinados recursos del sistema) y restringen a los

usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base

de datos y límites físicos sobre la interfaz de usuario.

TRANSMISIÓN Y ALMACENAMIENTO SEGURO DE INFORMACIÓN

Si la información original es transmitida o almacenada como texto claro o texto plano

cualquiera que consiga acceso al lugar donde están almacenados los datos o intercepte la red en un

punto podrá obtener la información y hacer uso de ella.

Las técnicas de criptografía que realizan el cifrado y descifrado de información (generalmente

conocidos por sus anglicismo: encriptado – encrypt – y desencriptado - decrypt) permiten proteger

la información almacenada o transmitida.

Las técnicas criptográficas aplican algoritmos de cifrado que se basan en la existencia de claves

para obtener un criptograma a partir del texto plano.



El conjunto de protocolos, algoritmos de cifrado, procesos de gestión de claves y actuaciones de

los usuarios, es lo que constituyen en conjunto un criptosistema, que es con lo que el usuario final

trabaja e interactúa.

TÉCNICAS CRIPTOGRÁFICAS

Existen los siguientes grupos de técnicas criptográficas:

• Criptografía simétrica, de clave simétrica o de clave privada: se refiere al conjunto de

métodos que permiten tener comunicación segura entre las partes siempre y cuando

anteriormente se hayan intercambiado la clave correspondiente que se denomina clave

simétrica. La simetría se refiere a que las partes tienen la misma clave tanto para cifrar como

para descifrar. Son la base de los algoritmos de cifrado clásico:

o Sustitución: supone el cambio de significado de los elementos básicos del mensaje: las

letras, los dígitos o los símbolos. La clave consiste en una tabla de equivalencias de

caracteres (o libro de códigos)

o Permutación o Transposición: Consiste en alterar el orden de las letras siguiendo una

regla determinada. Normalmente se utiliza una tabla de tamaño determinado en la que se

inserta el texto original que es transformado mediante la sustitución de las columnas por las

filas.

o Confusión intercalada: consiste en introducir, con una periodicidad determinada,

caracteres adicionales aleatorios. La esteganografía es un caso especial de confusión

intercalada. Consiste simplemente en camuflar el texto intercalándolo dentro de otro

mensaje. Podemos elaborar un mensaje de contenido irrelevante pero de forma que

siguiendo cierta pauta de eliminación podamos reconstruir el texto original.

Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el algoritmo. En

otras palabras, no debería ser de ninguna ayuda para un atacante conocer el algoritmo que se está

usando. Sólo si el atacante obtuviera la clave, le serviría conocer el algoritmo. Por lo tanto es

importante que sea difícil de adivinar el tipo de clave, para lo mismo el espacio de posibilidades de

clave debe ser amplio y esta es la razón por la que el tamaño de la misma es primordial.

El principal problema está ligado al intercambio de claves. Una vez que el remitente y el

destinatario hayan intercambiado la clave, pueden utilizarla para comunicarse con seguridad.

Entonces el problema radica en la seguridad del canal de comunicaciones utilizado para intercambiar

la clave. Sería mucho más fácil para un atacante intentar interceptar la clave que probar las posibles

combinaciones del espacio de claves.

• Criptografía asimétrica, de clave asimétrica o de clave pública: Resuelve el problema de

autenticación y de no repudio. Sus algoritmos utilizan dos claves, una pública y una privada. Las

dos claves pertenecen a la persona que ha enviado el mensaje. Los métodos criptográficos

garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede



asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de

claves.

Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo

la clave privada del destinatario podrá descifrar este mensaje, ya que es el único que la conoce.

Se logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo.

Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede

descifrarlo utilizando su clave pública. En este caso se consigue por tanto la identificación y

autentificación del remitente, ya que se sabe que sólo pudo haber sido él quien empleó su clave

privada (salvo que alguien se la hubiese podido robar).

No es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear.

Todo lo que se requiere es que, antes de iniciar la comunicación secreta, el remitente consiga

una copia de la clave pública del destinatario.

• Criptografía Híbrida: Es un método criptográfico que usa tanto un cifrado simétrico como un

asimétrico. Emplea el cifrado de clave pública para compartir una clave para el cifrado simétrico.

El mensaje que se esté enviando en el momento, se cifra usando la clave y enviándolo al

destinatario. Ya que compartir una clave simétrica no es seguro, la clave usada es diferente para

cada sesión

APLICACIONES DE LA CRIPTOGRAFÍA

Debemos tener en cuenta que el usuario final no conoce la existencia de técnicas criptográficas

por lo que deberemos seleccionar las aplicaciones que específicamente utilicen la seguridad

necesaria para la organización en función de los niveles de seguridad requeridos, teniendo en

cuenta que las técnicas deben ser utilizadas para la seguridad en:

• Cifrado de discos rígidos y particiones: para asegurar la información almacenada sobre todo

en equipos que pueden estar a disposición de muchos usuarios o que se trasladan.

• Protocolos para comunicaciones seguras: para asegurar las comunicaciones tanto de la red

interna como de internet. Estos protocolos pueden ser utilizados para tunelizar una red completa

y crear una red privada virtual (VPN)

• Transacciones electrónicas seguras: son protocolos estándar para proporcionar seguridad a

transacciones con tarjeta de crédito en redes de computadoras inseguras

• Firma digital: Es una tecnología que posibilita la equiparación de los documentos digitales con

los documentos en papel y, por ende, la realización, vía digital, de actos jurídicos plenamente

válidos. La firma digital cumple las funciones de autenticación, integridad y no repudio, pero no

implica avalar la confidencialidad del mensaje.

Nuestra normativa reconoce dos tipos de firma digital, y la diferencia entre ambos no radica en

lo tecnológico, sino, más bien, en lo jurídico

La firma digital, definida como el resultado de aplicar a un documento digital un procedimiento

matemático, requiere información de exclusivo conocimiento del firmante, encontrándose ésta

bajo su absoluto control. Pero, dado que la misma ley estipula que para asegurarse de que el



firmante es el único que conoce y controla el procedimiento matemático, se debe cumplir con

una serie de recaudos legales; la firma digital puede ser caracterizada por medio de la siguiente

fórmula: firma digital = documento digital + procedimiento matemático + requisitos legales.

La firma electrónica, en cambio, es definida en términos negativos como el conjunto de datos

electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos,

utilizado por el signatario como su medio de identificación, que carezca de alguno de los

requisitos legales para ser considerada firma digital. La fórmula, en este caso, es la siguiente

firma electrónica = firma digital – requisitos legales.

Esta diferencia en cuanto a los requisitos repercute en los efectos asignados a cada una:

Firma digital:

a) Equivale a la firma manuscrita,

b) Se presume que la firma pertenece al titular del certificado digital,

c) Se presume que el documento no ha sido modificado luego de la firma.

Firma electrónica:

a) En caso de ser desconocida corresponde a quien la invoca acreditar su validez

Ejemplo de Aplicaciones: transacciones bancarias, transacciones comerciales, declaraciones

impositivas, documento de identidad electrónico (e-DNI), voto electrónico, certificación de los

actos de gobierno (leyes, resoluciones, dictámenes, sentencias, etcétera), contrataciones

públicas (envío y recepción de ofertas, adjudicaciones, etc.), documentos relativos a operaciones

de seguro, historias clínicas, obtención del CUIL, solicitud de empleo público.

Ventajas y desventajas:

Las ventajas derivadas de la utilización del sistema de firma digital van desde el aumento de la

seguridad en las transacciones hasta la no necesidad de presencia o traslado físico, ventajas

éstas que se traducen en celeridad y ahorro de costos.

Entre las desventajas podemos mencionar la necesidad de contar con una autoridad certificadora

de confianza (tercera parte de confianza) y la responsabilidad que pesa sobre los propios

usuarios de generar un entorno adecuado que les permita mantener bajo su exclusivo control los

datos de creación de la firma y contar con un dispositivo de creación técnicamente confiable

SEGURIDAD PERIMETRAL

La seguridad perimetral es uno de los métodos posibles de defensa de una red, basado en el

establecimiento de recursos de segurización en el perímetro externo de la red y a diferentes niveles.

Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios

internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.



FIREWALLS

Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa.

Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que

previenen la intromisión de atacantes o malware a los sistemas de la organización.

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una

política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una

que no lo es (por ejemplo Internet).

Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.

2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.

En una arquitectura personal puede ser útil la utilización de firewalls por software, en la

arquitectura de una organización lo más conveniente es la implementación de firewalls por hardware

donde la política de seguridad de la organización sea implementada por el administrador de red

quien definirá una serie de reglas para permitir el acceso y detener los intentos de conexión no

permitidos.

La clasificación más clara de firewalls es la que los define en función al nivel de la capa OSI en

la que se implementa la política de seguridad:

o Firewalls a nivel de red o nivel de IP en redes TCP/IP (nivel 3 de la capa OSI). Pueden ser

considerados como filtros de paquetes ya que lo que realizan es un filtrado de los intentos de

conexión atendiendo a direcciones IP origen y destino y puerto de destino de los paquetes IP.

Esto quiere decir que en la política de seguridad de la empresa podremos indicar que sólo

dejaremos pasar paquetes destinados al puerto 25 (puerto de SMTP para correo electrónico) de

nuestro servidor corporativo. También podremos especificar desde qué direcciones IP origen

dejaremos acceso a nuestros servidores públicos. Este tipo de firewalls vienen implementados en

la mayoría de routers comerciales.

o Firewall a nivel de transporte o de TCP en redes TCP/IP (nivel 4 de OSI). En este nivel ya se

puede atender a aspectos de si los paquetes son de inicio de conexión o se corresponden con

paquetes cuyas conexiones están ya establecidas. A grandes rasgos tratan con números de

secuencias de paquetes TCP/IP.

o Firewall a nivel de aplicación (nivel 7 de la capa OSI). Actúan a modo de proxy para las

distintas aplicaciones que van a controlar.

DETECCIÓN DE INTRUSIONES

Un Sistema de detección de intrusiones (IDS) hace referencia a un mecanismo que, escucha el

tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el

riesgo de intrusión. Existen dos claras familias importantes de IDS:

o El grupo N-IDS (Sistema de detección de intrusiones de red)

o El grupo H-IDS (Sistema de detección de intrusiones en el host)



Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes

de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna

actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del

sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no tienen dirección

IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en

diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los

posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan

pasado a través del firewall o que se han realizado desde dentro.

PRUEBAS DE PENETRACIÓN

Puede recurrirse a este tipo de tests para reconocer los riesgos principales a los que está

sometida la organización. Entre las pruebas de penetración que pueden ejecutarse exiten:

o Pruebas externas: también denominadas de “caja negra”. Simulan un ataque sobre sistemas y

seguridad por medio de la información disponible desde Internet. Se concentran en pruebas de

seguridad del perímetro, análisis externo de nodos y topología; recolección de información

sensitiva y su explotación mediante ingeniería social; así como en revisión de la efectividad y

vulnerabilidades de aplicaciones Web, routers y firewalls; “war driving” para identificar y

penetrar redes inalámbricas, y “war dialing” para localizar módems abiertos.

o Pruebas internas o de “caja blanca”. Revisan las vulnerabilidades frente a un atacante interno,

mediante: análisis endógeno de nodos y topología; identificación de sistemas y equipo

vulnerable; búsqueda y explotación de vulnerabilidades en aplicaciones, servidores, dispositivos

de red, redes inalámbricas, directorios compartidos, relaciones de confianza, arquitectura de

redes y niveles de seguridad en servidores.

o Pruebas de carga especializada: Hacen énfasis en: arquitectura de red, revisión de

aplicaciones (auditoría de código), dispositivos inalámbricos, ingeniería social, acceso remoto,

redes privadas virtuales y relaciones de confianza.

CONFIGURACIONES DE LA INFRAESTRUCTURA TECNOLÓGICA

La práctica de fortalecer el ambiente informático configurando de manera segura la tecnología

para contrarrestar los vectores de ataque se denomina hardening.

La responsabilidad de realizar todo lo que se encuentre a su alcance para modificar los valores

predeterminados recae en quienes se encargan de la administración de los equipos. Es importante

que durante el proceso de hardening se verifiquen aspectos como las opciones que se configuran de

manera predeterminada al instalar sistemas operativos y demás recursos, como los nombres de

rutas, nombres de carpetas, componentes, servicios, configuraciones y otros ajustes necesarios, o

innecesarios, que brinden un adecuado nivel de protección.

En este sentido, es importante no sacrificar la disponibilidad de los recursos por ganar

seguridad. Se debe encontrar un equilibrio justo entre usabilidad y seguridad.



ADMINISTRACIÓN DEL PERSONAL Y USUARIOS

Este proceso lleva generalmente cuatro pasos:

Definición de puestos: debe contemplarse la máxima separación de funciones posibles y el

otorgamiento del mínimo permiso de acceso requerido por cada puesto para la ejecución de las

tareas asignadas.

Determinación de la sensibilidad del puesto: para esto es necesario determinar si la función

requiere permisos riesgosos que le permitan alterar procesos, perpetrar fraudes o visualizar

información confidencial.

Elección de la persona para cada puesto: requiere considerar los requerimientos de

experiencia y conocimientos técnicos necesarios para cada puesto. Asimismo, para los puestos

definidos como críticos puede requerirse una verificación de los antecedentes personales

Entrenamiento inicial y continuo del empleado: cuando la persona seleccionada ingresa a

la organización, además de sus responsabilidades individuales para la ejecución de las tares que se

asignen, deben comunicárseles las políticas organizacionales, haciendo hincapié en la política de

seguridad. El individuo debe conocer las disposiciones organizacionales, su responsabilidad en

cuanto a la seguridad informática y lo que se espera de él.

Esta capacitación debe orientarse a incrementar la conciencia de la necesidad de proteger los

recursos informáticos y a entrenar a los usuarios en la utilización de los sistemas y equipos para que

ellos puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores

(principal riesgo relativo a la tecnología informática).

Sólo cuando los usuarios están capacitados y tienen una conciencia formada respecto de la

seguridad pueden asumir su responsabilidad individual. Para esto, el ejemplo de la gerencia

constituye la base fundamental para que el entrenamiento sea efectivo: el personal debe sentir que

la seguridad es un elemento prioritario dentro de la organización.



SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)

La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser

esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen

empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios

económicos.

Las organizaciones y sus sistemas de información están expuestos a un número cada vez más

elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden

someter a activos críticos a diversas formas de fraude, espionaje, sabotaje o vandalismo. La

inseguridad de la información es un riesgo y como tal debe ser tratado, trabajando en las etapas de

análisis de la situación, implementación de medidas, definición de mecanismos de control de la

seguridad y monitoreo para evaluar los resultados y sus posibles mejoras y así, recomenzar el ciclo.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de

un presupuesto ilimitado.

Para que una organización pueda implementar un plan exitoso de seguridad de la información,

debe comprenderse a la misma como un proceso dinámico y debe considerarse la implementación

de un Sistema de Gestión de la Seguridad de la Información (SGSI).

El propósito de un SGSI será el de garantizar que los riesgos a la seguridad de la información

sean asumidos, gestionados y minimizados por la organización de una forma sistemática,

estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el

entorno y las tecnologías.

Este proceso debe ser conocido por toda la organización y por lo tanto debe ser documentado.

Para formalizar un SGSI debemos estar actualizados en las leyes y regulaciones que, en

materia de seguridad, rijan para la empresa donde se desea implementar, además de las normas

que puedan utilizarse como estándares de referencia.

En cuanto a las leyes y regulaciones argentinas6 en la materia deberemos referirnos a:

• Ley 25.326 de Protección de datos personales (conocida como Ley de Habeas Data), modificada

por Ley 26343 (incorpora artículo 47) y artículo 43 de la Constitución Nacional

• Ley 11.723 sobre Propiedad Intelectual y reglamentaciones relacionadas

• Comunicación “A” 4609 del BCRA para entidades Financieras. Requisitos mínimos de gestión,

implementación y control de los riesgos relacionados con tecnología informática y sistemas de

información.

• Ley 25506 de Firma Digital

En cuanto a las leyes y regulaciones en la materia que rigen para empresas internacionales o

de capitales extranjeros:

• Nuevo Acuerdo de Capital de Basilea (Basilea II) para entidades bancarias 6 Se puede acceder a Decretos, Regulaciones y Proyectos de Ley en: http://www.protecciondedatos.com.ar/legislacion.htm#legis7



• Ley Sarbanes-Oxley (SOX). Ley de Estados Unidos con el fin de monitorear a las empresas que

cotizan en bolsa

En cuanto a las normas7, es conveniente utilizar como referencia estándares aceptados para la

práctica de seguridad de la información y los procesos relacionados mencionados en el capítulo de

Riesgos y de los cuales haremos referencia en este capítulo a:

• Normas de la serie ISO 27000

• MAGERIT V.2 Metodología Automatizada de Análisis y Gestión de Riesgos de los Sistemas de

Información de las Administraciones Públicas. Ministerio de Administraciones Públicas de España.

La dirección debe asumir que un SGSI afecta fundamentalmente a la gestión del negocio y

requiere, por tanto, de decisiones y acciones que sólo puede tomar la gerencia de la organización.

No se debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada

a niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son

responsabilidad y decisión de la dirección.

Algunas de las tareas fundamentales del SGSI que la norma ISO 27001 asigna a la dirección:

Compromiso de la dirección: La dirección de la organización debe comprometerse con el

establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora

del SGSI. Para ello, debe tomar las siguientes iniciativas:

• Establecer una política de seguridad de la información.

• Asegurarse de que se establecen objetivos y planes del SGSI.

• Establecer roles y responsabilidades de seguridad de la información.

• Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la

información y de cumplir con la política de seguridad, como sus responsabilidades legales y la

necesidad de mejora continua.

• Asignar suficientes recursos al SGSI en todas sus fases.

• Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.

• Asegurar que se realizan auditorías internas.

• Realizar revisiones del SGSI

Asignación de recursos: Para el correcto desarrollo de todas las actividades relacionadas con

el SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la dirección

garantizar que se asignan los suficientes para:

• Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.

• Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de

negocio.

7 Ver Anexo: Marco Normativo.



• Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones

contractuales de seguridad.

• Aplicar correctamente todos los controles implementados, manteniendo de esa forma la

seguridad adecuada.

• Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de las

mismas.

• Mejorar la eficacia del SGSI donde sea necesario.

Formación y concientización: son elementos básicos para el éxito de un SGSI. Por ello, la

dirección debe asegurar que todo el personal de la organización al que se le asignen

responsabilidades definidas en el SGSI esté suficientemente capacitado. Se deberá:

• Determinar las competencias para el personal que realiza tareas para aplicar el SGSI.

• Satisfacer las necesidades de personal por medio de formación o de otras acciones como, p. ej.,

contratación de personal ya formado.

• Evaluar la eficacia de las acciones realizadas.

• Mantener registros de estudios, formación, habilidades, experiencia y calificación.

Además, la dirección debe asegurar que todo el personal relevante esté concientizado de la

importancia de sus actividades de seguridad de la información y de cómo contribuye a la

consecución de los objetivos del SGSI.

Revisión del SGSI: A la dirección de la organización se le asigna también la tarea de revisar el

SGSI para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de

informes que le ayuden a tomar decisiones, entre las que se pueden enumerar:

• Resultados de auditorías y revisiones del SGSI.

• Observaciones de todas las partes interesadas.

• Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y

eficacia del SGSI.

• Información sobre el estado de acciones preventivas y correctivas.

• Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos

anteriores.

• Resultados de las mediciones de eficacia.

• Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.

• Cualquier cambio que pueda afectar al SGSI.

• Recomendaciones de mejora.

Basándose en todas estas informaciones, la dirección debe revisar el SGSI y tomar decisiones

y acciones relativas a:

• Mejora de la eficacia del SGSI.

• Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.



• Modificación de los procedimientos y controles que afecten a la seguridad de la información, en

respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de

seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y

criterios de aceptación de riesgos.

• Necesidades de recursos.

• Mejora de la forma de medir la efectividad de los controles.

CICLO DE CALIDAD PARA EL SGSI

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a

ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

• Plan (planificar): establecer el SGSI.

• Do (hacer): implantar y utilizar el SGSI.

• Check (verificar): monitorizar y revisar el SGSI.

• Act (actuar): mantener y mejorar el SGSI.

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de mantener y mejorar el

SGSI lleva de nuevo a la fase de Planificar para iniciar un nuevo ciclo de las cuatro fases. Téngase

en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber

actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han

finalizado; o que se monitoricen controles que aún no están implantados en su totalidad.

ESTABLECER EL SGSI

Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y

tecnologías, incluyendo detalles y justificación de cualquier exclusión.

• Definir una política de seguridad

• Definir una metodología de evaluación del riesgo

• Seleccionar los objetivos de control y los controles para el tratamiento del riesgo que

cumplan con los requerimientos identificados en el proceso de evaluación del riesgo.

• Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del

SGSI.

• Definir una Declaración de Aplicabilidad (SOA).

POLÍTICA Y OBJETIVOS DE SEGURIDAD

Se define una política de seguridad como “una declaración de intenciones de alto nivel que

cubre la seguridad de los sistemas de información y que proporciona las bases para definir y

delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se

requerirán”. Una buena definición de la política de seguridad de la información deberá:

• incluir el marco general y los objetivos de seguridad de la información de la organización

determinando la clasificación de los activos



• considerar requerimientos legales o contractuales relativos a la seguridad de la información

• estar alineada con el contexto estratégico de gestión de riesgos de la organización en el

que se establecerá y mantendrá el SGSI

• establecer los criterios con los que se va a evaluar el riesgo

• estar aprobada por la dirección

Para ser completa, una política de seguridad debe detallar medidas para tres momentos de un

ataque: antes, durante y después.

El antes refiere a la prevención, que debe ser el eje de cualquier estrategia de seguridad, es

decir a cualquier medida dedicada a evitar que un incidente ocurra. En esta categoría se incluyen

medidas para el control de accesos autorizados como también instalación de software o hardware de

seguridad.

El después refiere a las herramientas y mecanismos existentes para recuperar la información

y el estado de los recursos en caso que ocurra un incidente. Por ejemplo, una copia de seguridad

no evita el incidente, pero en el caso que cierta información sea comprometida, ésta podrá

recuperarse en un estado razonable.

El durante refiere a aquellos controles dedicados a la detección de incidentes. En el caso que

cierta información sufra algún ataque, es importante poder detectarlo, y para ello es necesario

contar con controles de este tipo. En esta categoría se incluyen, por ejemplo, detectores de intrusos

o herramientas de auditoría y control de cambios sobre un sistema.

METODOLOGÍA DE EVALUACIÓN DEL RIESGO

La metodología de evaluación del riesgo debe ser apropiada para el SGSI y los requerimientos

del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de

riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean

comparables y repetibles.

SELECCIÓN DE LOS OBJETIVOS DE CONTROL Y CONTROLES

Se podrán seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 (norma

certificable) o de la lista más completa existente en la ISO 270028 (código de buenas prácticas) para

el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de

evaluación del riesgo.

En relación a los controles de seguridad, el estándar ISO 27002 proporciona una completa guía

de implantación que contiene 133 controles, según 39 objetivos de control agrupados en 11

dominios. Esta norma es referenciada en ISO 27001, en su segunda cláusula, en términos de

“documento indispensable para la aplicación de este documento” y deja abierta la posibilidad de

incluir controles adicionales en el caso de que la guía no contemplase todas las necesidades

particulares.

8 La lista completa de los Dominios-Objetivos y Controles del código de buenas prácticas ISO 27002:2005 se incluye en el Anexo de este capítulo.



DECLARACIÓN DE APLICABILIDAD

La Declaración de Aplicabilidad9 o SOA (por sus siglas en inglés: Statement of Aplicability) es un

documento que describe los objetivos de control y los controles que son relevantes para el SGSI de

la organización y aplicables al mismo.

Los objetivos de control y los controles se basan en los resultados y conclusiones de la

evaluación de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o

reglamentos, en las obligaciones contractuales y en las necesidades empresariales de la

organización en materia de seguridad de la información.

Debe incluir:

• los objetivos de control y controles seleccionados y los motivos para su elección

• los objetivos de control y controles que actualmente ya están implantados

• los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este

es un mecanismo que permite, además, detectar posibles omisiones involuntarias.

IMPLANTAR Y UTILIZAR EL SGSI

Para implantar y utilizar un SGSI será necesario:

• Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,

responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.

• Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control

identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.

• Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.

• Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para

medir la eficacia de los controles o grupos de controles.

• Procurar programas de formación y concienciación en relación a la seguridad de la información a

todo el personal.

• Gestionar las operaciones del SGSI.

• Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la

información.

• Implantar procedimientos y controles que permitan una rápida detección y respuesta a los

incidentes de seguridad.

9 Se incluye un ejemplo de SOA basado en la lista que propone ISO 2007:2005 en el Anexo de este capítulo



MONITORIZAR Y REVISAR EL SGSI

La organización deberá:

• Ejecutar procedimientos de monitorización y revisión para:

– detectar a tiempo los errores en los resultados generados por el procesamiento de la

información;

– identificar brechas e incidentes de seguridad;

– ayudar a la dirección a determinar si las actividades desarrolladas por las personas y

dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en

relación a lo previsto;

– detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;

– determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.

• Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y

objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las

mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.

• Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.

• Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales

y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse

en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas

identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos

legales, obligaciones contractuales, etc.-.

• Realizar periódicamente auditorías internas del SGSI en intervalos planificados.

• Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido

sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.

• Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados

durante las actividades de monitorización y revisión.

• Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento

del SGSI.

MANTENER Y MEJORAR EL SGSI

La organización deberá regularmente:

• Implantar en el SGSI las mejoras identificadas.

• Realizar las acciones preventivas y correctivas adecuadas en relación a la claúsula 8 de ISO

27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.

• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado

y acordar, si es pertinente, la forma de proceder.

• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.



DOCUMENTOS DE UN SGSI

De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes

documentos (en cualquier formato o tipo de medio):

• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una

identificación clara de las dependencias, relaciones y límites que existen entre el alcance y

aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de

influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones,

áreas, procesos, sistemas o tareas concretas).

• Política y objetivos de seguridad: documento de contenido genérico que establece el

compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la

información.

• Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos

que regulan el propio funcionamiento del SGSI.

• Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se

realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e

impactos en relación a los activos de información contenidos dentro del alcance seleccionado),

desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.

• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación

anteriormente mencionada a los activos de información de la organización.

• Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los

recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la

información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los

objetivos de control identificados, de los recursos disponibles, etc.

• Procedimientos documentados: todos los necesarios para asegurar la planificación, operación

y control de los procesos de seguridad de la información, así como para la medida de la eficacia

de los controles implantados.

• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del

funcionamiento eficaz del SGSI.

• Declaración de aplicabilidad10: (SOA -Statement of Applicability-, en sus siglas inglesas);

documento que contiene los objetivos de control y los controles contemplados por el SGSI,

basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando

inclusiones y exclusiones.

Basados en el estándar ISO 27001 un SGSI puede organizar los documentos mencionados de la

siguiente forma:

10 Puede utilizarse un formato de SOA como el que se incluye en el Anexo de este capítulo



Manual de Seguridad: documento que inspira y dirige todo el sistema. Expone y determina las

intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma

eficaz la planificación, operación y control de los procesos de seguridad de la información.

Instrucciones, checklists y formularios: documentos que describen los estándares técnicos

de cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la

información.

Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los

requisitos del SGSI; están asociados a los documentos anteriores y demuestran que se ha cumplido

lo indicado en los mismos.

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

La redacción de un manual de seguridad tiene el objetivo de identificar un conjunto de reglas

básicas que rijan el comportamiento de las personas que tengan acceso al uso de la información de

la organización y de responsabilidades en la salvaguarda y el control de las herramientas y

mecanismos para la detección de incidentes y para recuperación en caso de que el problema ocurra.

Las buenas prácticas indican que el mismo debe contener al menos las siguientes secciones:

1. Introducción

1.1. Objetivo del Manual de Seguridad de la Información

1.2. Medios de comunicación del Manual de Seguridad de la Información

1.3. Responsables del Cumplimiento

1.4. Incumplimientos

1.5. Marco Legal

1.6. Glosario

2. Sistema de Gestión de Seguridad de la Información

2.1. Objetivo

2.2. Alcance del SGSI

2.3. Control de cambios y aprobación



3. Política de Seguridad

3.1. Compromiso de la dirección

3.2. Política de seguridad de la organización

3.3. Revisión de la política

3.4. Conformidad con la política de seguridad y los estándares de control

3.5. Objetivos de la Gestión de Seguridad de Información

4. Aspectos Organizativos

4.1. Organización Interna

4.1.1. Grupo de Sistemas/IT

4.1.2. Usuario

4.1.3. Propietario de Información

4.1.4. Auditoría Interna

4.2. Relaciones con Terceros

4.2.1. Autoridades y entidades externas relevantes al Negocio

4.2.2. Compañías consultoras en SGSI

5. Determinación de requerimientos de seguridad de la información

5.1. Gestión de Activos

5.1.1. Directrices para la identificación de Activos

5.1.2. Inventario de Activos - Responsables

5.2. Descripción de la metodología de evaluación del riesgo

5.2.1. Descripción de Amenazas e Incidentes

5.2.2. Reporte de evaluación del riesgo

5.2.3. Plan de tratamiento del riesgo

6. Declaración de Aplicabilidad11

7. Normas y políticas del Sistema de Gestión de Seguridad de la Información12

(como mínimo las siguientes)

7.1. Recursos Humanos

7.2. Seguridad Física y Ambiental

7.3. Comunicaciones y Operaciones

7.4. Control de Acceso

7.5. Desarrollo de Software

7.6. Gestión Incidentes

7.7. Gestión de la Continuidad del Negocio

7.8. Cumplimiento

8. Bibliografía

11 Se adjunta como Anexo: SOA-Declaración de Aplicabilidad 12 Se realizarán ejemplos de práctica para alguna de las Normas indicadas



Debido a que este manual puede sufrir actualizaciones periódicas, ya sea por cambios

Normativos y Legales o modificaciones que deriven de los controles de cambio y aprobación surgidas

de la gestión de riesgos o modificaciones en la operatoria del negocio, es conveniente mantener los

distintos capítulos versionados.

En cuanto a las Normas y Políticas, el manual puede hacer referencia a Anexos.

Es conveniente que cada Norma (citada en el punto 7) detalle además: Objetivo, responsables

del cumplimiento, sanciones por incumplimiento, definiciones específicas de la Norma y

procedimientos relacionados

PROCEDIMIENTOS

Detalle de cursos de acción y tareas que deben realizar los responsables para hacer cumplir las

definiciones de las normas citadas en el Manual de Seguridad de la Información.

Cada procedimiento detallado deberá contener:

• Definiciones específicas del procedimiento

• Relación con las Normas y Políticas del Manual de Seguridad de la Información

• Relación con los dominios – objetivos de control y controles especificados en la Declaración de

Aplicabilidad para permitir luego su auditoría

• Activos y Responsables implicados (según la clasificación realizada en el Inventario de Activos)

• Amenazas e Incidentes relacionados (según el análisis de Riesgos realizado)

• Definición de los Procedimientos de auditoría relacionados

• Referencia a instrucciones, formularios y checklists utilizados para el procedimiento

• Referencia a los registros de información que derivan del procedimiento

Una buena especificación de procedimientos avalará que la información se encuentre

efectivamente clasificada, que cualquier cambio o creación de un activo de información reciba la

tipificación adecuada y que el tratamiento y la posterior destrucción de cualquier recurso sea

gestionado de forma acorde al nivel definido.

INSTRUCCIONES, FORMULARIOS Y CHECKLISTS

Conjunto de documentos que servirán para dar marco a los procedimientos. Pueden ser

especificaciones del fabricante o parámetros específicos de seguridad para cada una de las

tecnologías utilizadas.

REGISTROS

Para el registro de la información se deberán tener en cuenta:

• Registro de incidentes ocasionados, individualizados o no en el Manual de Seguridad o en la

Gestión de Riesgos

• Registro de Controles de auditoría relacionados con los estándares de control de la norma y los

procedimientos que deben efectuarse para el tratamiento de los riesgos.



ANEXO I: MARCO NORMATIVO

SERIE ISO 27000

En cuanto a las Normas de la serie ISO 27000 caben destacar los siguientes aspectos:

La Norma ISO 27001 establece los requisitos para construir un SGSI (Sistema de Gestión de

Seguridad de la Información o ISMS por sus siglas en inglés).

Esta norma se liberó en el año 2005 y fue tomada en su mayor parte de la BS 7799-2:2002

desarrollada por la entidad de normalización británica British Standards Institution pero con las

modificaciones introducidas en la ISO 27002:2005. Es una norma certificable ya que expresa

mandatos u obligaciones a cumplir lo que permite su auditoría y certificación.

La Norma ISO 27002 es una guía de buenas prácticas de seguridad de la información

que presenta una extensa serie de controles de seguridad recomendados (11 dominos – 39

objetivos de control y 133 controles) y que en la práctica se seleccionan en base a una valorización

de riesgos. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace

una aproximación holística a la seguridad de la información corporativa, abarcando todas las

funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este

concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino

convirtiendo en equivalente de seguridad de sistemas TI, mientras que la norma considera también

los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.

Esta norma tiene su origen en la norma ISO 17799:2000 prácticamente igual a la Primera Parte

de la norma BS 7799-1.

En resumen, la ISO 27001 muestra cómo aplicar los controles seleccionados de la ISO 27002,

estableciendo los requisitos para construir un Sistema de Gestión de Seguridad de la

Información (SGSI, o ISMS por sus siglas en inglés) que efectivamente se puede auditar y

certificar.

El SGSI de la ISO 27001 responde a la aplicación del ciclo Deming o modelo PDCA (Plan-Do-

Check-Act) de mejora continua también presente en otras normas. La aplicación del proceso PDCA

en el SGSI conforma el paradigma de gestión de riesgos que guía la estrategia del Corporate

Governance, incluyendo la gestión de riesgos de negocios.

De hecho, bajo el esquema común del modelo PDCA, la ISO 27001 ofrece un interesante

alineamiento con otras normas también de sistemas de gestión como la ISO 9001 de Calidad y la

ISO 14001 de Medio Ambiente, con el consiguiente beneficio de reducción de esfuerzos y costos en

una implementación semi-integrada.



La Serie ISO 27000 se completa con una serie de Normas que buscan dar un carácter

autoconsistente a la misma:

ISO 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra

en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de

acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la concepción

hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de

aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma

BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con

recomendaciones y guías de implantación.

ISO 27004: Publicada el 7 de Diciembre de 2009. No certificable. Es una guía para el

desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia

de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001

ISO 27005: Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la

gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados

en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad

de la información basada en un enfoque de gestión de riesgos. Su publicación revisa y retira las

normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.

ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación

de entidades de auditoría y certificación de SGSIs. Es una versión revisada de EA-7/03

(Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade

a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión)

los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los

criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO

27001, pero no es una norma de acreditación por sí misma

ISO 27007: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía

de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.

ISO 27008: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía

de auditoría de los controles seleccionados en el marco de implantación de un SGSI.

ISO/IEC 27010: En fase de desarrollo, con publicación prevista en 2012. Es una norma en 2

partes, que consistirá en una guía para la gestión de la seguridad de la información en

comunicaciones inter-sectoriales.



ISO 27011: Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la

implementación y gestión de la seguridad de la información en organizaciones del sector

de telecomunicaciones basada en ISO/IEC 27002.

ISO/IEC 27033: Norma dedicada a la seguridad en redes, consistente en 7 partes:

• 27033-1, conceptos generales (publicada el 10 de Diciembre de 2009);

Se encuentran en fase de desarrollo:

• 27033-2, directrices de diseño e implementación de seguridad en redes (prevista para

2011);

• 27033-3, escenarios de redes de referencia (prevista para 2011);

• 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de

seguridad (prevista para 2012);

• 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012);

• 27033-6, convergencia IP (prevista para 2012);

• 27033-7, redes inalámbricas (prevista para 2012).

ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para

apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la

seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que

las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215.

También se encuentran en fase de desarrollo:

ISO 27012: con publicación prevista en 2011. Consistirá en un conjunto de requisitos

(complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestión de

seguridad de la información en organizaciones que proporcionen servicios de e-Administración.

ISO 27013: con publicación prevista en 2012. Consistirá en una guía de implementación

integrada de ISO 27001 (gestión de seguridad de la información) y de ISO 20000-1

(gestión de servicios TI).

ISO 27014: con publicación prevista en 2012. Consistirá en una guía de gobierno

corporativo de la seguridad de la información.

ISO 27015: con publicación prevista en 2012. Consistirá en una guía de SGSI para

organizaciones del sector financiero y de seguros.

ISO 27031: con publicación prevista en 2011. Consistirá en una guía de continuidad de

negocio en cuanto a tecnologías de la información y comunicaciones.



ISO 27032: con publicación prevista en 2011. Consistirá en una guía relativa a la

ciberseguridad.

ISO 27034: con publicación prevista en 2010. Consistirá en una guía de seguridad en

aplicaciones informáticas.

ISO 27035: con publicación prevista en 2011. Consistirá en una guía de gestión de

incidentes de seguridad de la información.

ISO 27036: con publicación prevista en 2012. Consistirá en una guía de seguridad de

outsourcing (tercerización de servicios).

ISO 27037: con publicación prevista en 2012. Consistirá en una guía de identificación,

recopilación y preservación de evidencias digitales.

MAGERIT V.2

El Consejo Superior de Administración Electrónica del Ministerio de Administraciones Públicas

de España ha elaborado MAGERIT (Metodología Automatizada de Análisis y Gestión de Riesgos de

los Sistemas de Información) y promueve su utilización como respuesta a la percepción de que la

Administración (y en general toda la sociedad) depende de forma creciente de las tecnologías de la

información para el cumplimiento de su misión. La razón de ser de MAGERIT está directamente

relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que

supone beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben

minimizarse con medidas de seguridad que generen confianza

MAGERIT persigue los siguientes objetivos:

Directos:

1. concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la

necesidad de atacarlos a tiempo

2. ofrecer un método sistemático para analizar tales riesgos

3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control

Indirectos:

4. preparar a la Organización para procesos de evaluación, auditoria, certificación o acreditación,

según corresponda en cada caso



Libro I: Método: pasos para realizar un análisis del estado de riesgo y para gestionar su

mitigación; tareas básicas para realizar un proyecto de análisis y gestión de riesgos (roles,

actividades, hitos y documentación) y aplicación de la metodología al caso del desarrollo de sistemas

de información

Libro II: Catálogo de Elementos: tipos de activos, dimensiones de valoración de los activos,

criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y

salvaguardas a considerar para proteger sistemas de información

Libro III: Guía de Técnicas: empleadas para llevar a cabo proyectos de análisis y gestión de

riesgos: técnicas específicas para el análisis de riesgos, análisis mediante tablas, análisis

algorítmico, árboles de ataque, técnicas generales, análisis costo-beneficio, diagramas de flujo de

datos, diagramas de procesos, técnicas gráficas, planificación de proyectos, sesiones de trabajo

(entrevistas, reuniones y presentaciones) y valoración Delphi

Estos libros se pueden descargar de: http://www.csi.map.es/csi/pg5m20.htm

Busca, además, la uniformidad de los informes que recogen las evidencias y las conclusiones de un

proyecto de análisis y gestión de riesgos:

Modelo de valor: Caracterización del valor que representan los activos para la Organización así

como de las dependencias entre los diferentes activos.

Mapa de riesgos: Relación de las amenazas a que están expuestos los activos.

Evaluación de salvaguardas (controles): Evaluación de la eficacia de las salvaguardas existentes

en relación al riesgo que afrontan.

Estado de riesgo: Caracterización de los activos por su riesgo residual; es decir, por lo que puede

pasar tomando en consideración las salvaguardas desplegadas.

Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen como

oportunas para reducir los riesgos sobre el sistema.

Plan de seguridad: Conjunto de programas de seguridad que permiten materializar las decisiones

de gestión de riesgos

ADR 2 Cap01 SeguridadInformacion V201106

Documents

Transcript of ADR 2 Cap01 SeguridadInformacion V201106