1

IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN (SGSI) EN LA COMUNIDAD NUESTRA SEÑORA DE GRACIA,

ALINEADO TECNOLÓGICAMENTE CON LA NORMA ISO 27001

Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz1, Gustavo Adolfo

Herazo Pérez

Resumen—

Éste artículo es el resultado de un proyecto de investigación, adelantado por un grupo

de estudiantes de ingeniería de sistemas con el fin de implementar un SGSI2 en la

Comunidad Nuestra Señora de Gracia. Este sistema se basa en las directrices

indicadas en la norma ISO/IEC 27001, y en el marco del mismo se generó un análisis

de gap3, que permitió evidenciar un nivel de brechas significativo en la mencionada

Comunidad, con base en el cual se establecieron políticas y controles de

mejoramiento de los procesos de seguridad de la información y se definieron las

declaraciones de aplicabilidad que fortalecieron todo el análisis de riesgos efectuado.

Índice de Términos— IEC: International Electrotechnical Commission. SOA:

Declaración de aplicabilidad.

I. INTRODUCCIÓN

La cantidad y la complejidad de la información siguen teniendo un aumento

considerable y los profesionales de TI4 se enfrentan cada día a retos inimaginables

para abordar las amenazas que persisten en la sociedad actual y que no muestran

signos de desaceleración. Amenazas representativas, tales como el troyano Hydraq5,

se pueden seguir presentando indefinidamente en los ámbitos computacionales,

causando pérdidas económicas significativas. [1]

1leidyj.ortiza@konradlorenz.edu.co 2 Sistema de Información para el Control de Gestión de Seguridad de la Información 3 Un análisis de gap, permite comparar los procesos actuales que tiene la organización con los lineamientos de cumplimiento de la norma

ISO/IEC 27001 y establecer en qué áreas o procesos se debe priorizar y enfocar el esfuerzo para permitir incrementar la seguridad de la

información. (Fuente: http://www.gapanalisis.com/) 4 Technology Information, Tecnología de Información

5 Reportes de Symantec, uno de los principales representantes de soluciones para la seguridad de la información. Acerca de Hydraq

disponible en: http://www.symantec.com/es/es/outbreak/index.jsp?id=trojan-hydraq

2

Debido a esto, las empresas necesitan proteger y reforzar su activo más valioso: “la

información”. Esta necesidad se ve agravada, debido a que los datos de una empresa

y su complejidad de análisis crecen exponencialmente, razón por la cual se requiere

establecer una disciplina de seguridad que determine un perímetro para las

debilidades del negocio6 [2]. Es claro que las organizaciones han sido conscientes

que la certificación representa un instrumento para demostrar que sus organizaciones

poseen un SGSI con el fin de asegurar y controlar sus procesos de negocios y de

misión crítica7.

El trabajo descrito en el presente artículo fue desarrollado en la Comunidad Nuestra

Señora de Gracia, de la ciudad de Bogotá, a la cual se realizó un proceso de

diagnóstico, a partir del cual se determinó que no poseía los mecanismos, ni los

procesos idóneos para proteger su información. Con base en esta situación, se

decidió realizar un plan piloto para implementar políticas que se ajustaran a la norma

ISO/IEC 27001, además de diseñar e implementar un sistema de información web que

ayudara al equipo de stakeholders8 al levantamiento inicial de información, al análisis

de brechas y de gap; y que ayudara al auditor de la comunidad al seguimiento y

gestión de cada uno de los procesos de la norma.

II. METODO

Desde el inicio del proyecto se utilizó una serie de pasos que permitieron una

adecuada ejecución del SGSI y un resultado exitoso del mismo, los cuales se

describen a continuación9.

1. Programación del proyecto con el personal de la dirección de la Comunidad.

Este proceso permitió que la alta gerencia de la Comunidad entendiera la importancia

del proyecto piloto y la necesidad del apoyo del recurso humano, factor vital para el

6 METODOLOGÍA PARA LA INCORPORACIÓN DE MEDIDAS DE SEGURIDAD EN SISTEMAS DE INFORMACIÓN DE

GRAN IMPLANTACIÓN Disponible en: http://oa.upm.es/323/1/09200430.pdf 7 ENTREGABLES 3, 4, 5 y 6: INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI

- MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA. 8 Es importante resaltar que el término stakeholders representa aquellas personas o colectivos que tienen algún tipo de interés sobre la

empresa con un fin en particular, generando diversos efectos en el mejoramiento de los procesos de negocios 9 CHECKLIST DE IMPLEMENTACIÓN DE ISO 27001.

3

inicio de la fase de levantamiento de información. Esta fase fue exitosa gracias a que

se mostraron puntos tales como: cumplimiento y rendimiento de la inversión de una

forma eficaz, haciéndoles entender que si una organización cumple con la

normatividad sobre protección de datos sensibles, privacidad y control de TI, los

resultados a futuro mejorarían de forma sustancial el impacto estratégico de la

compañía, y aunque represente un gasto considerable, genera así mismo a futuro un

ROI10

y una ganancia financiera representados en incidentes o desastres informáticos.

2. Definir el alcance.

Por la complejidad de la implementación de la norma, se recomendó a la Comunidad

definir de manera sistemática el alcance del proyecto, en las áreas de CONTROL DE

ACTIVOS y SEGURIDAD DE RECURSOS HUMANOS.

a) Control de activos: para este punto se sugirió realizar un inventario de los activos

para tener un control más riguroso de los mismos. Toda la información y activos

asociados a los recursos para el tratamiento de la información, deberían tener un

propietario y pertenecer a una parte designada de la Comunidad11

.

Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar

cuál era la situación actual de la Comunidad, se realizó un análisis de gap, cuyos

resultados se muestran en la figura 1, donde se puede apreciar que un 20% de los

activos de la Comunidad no tienen un procedimiento implantado, lo cual representa un

porcentaje bastante alto.

Figura 1. Análisis gestión de activos

10 Retorno de la Inversión 11 De acuerdo con la norma ISO/IEC 27001.

4

b) Seguridad de los recursos humanos: Tuvo como objetivo asegurar que los

empleados, contratistas y usuarios de terceras partes, entienden sus

responsabilidades y son aptos para ejercer las funciones para las cuales están siendo

considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las

instalaciones.

Para el análisis del control de activos y de la seguridad de los recursos humanos se

trabajó con la metodología MAGERIT12y13

[2].

En la Comunidad se aplicaron los siguientes pasos de MAGERIT:

Concientizar a los responsables de los SI14

respecto a la existencia de riesgos

Ofrecer un método sistemático para analizar los riesgos a los que se ve expuesta la

información.

Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos

bajo control.

Preparar a la organización para procesos de evaluación15

Siguiendo con el alcance del proyecto, adicionalmente se trabajaron las siguientes

capitulaciones:

c) Análisis de vulnerabilidades a nivel de acceso lógico: La seguridad lógica

concentra sus objetivos en la aplicación de procedimientos que resguarden el acceso

a los datos y permisos a las personas autorizadas16

.

Los procesos de esta capitulación se desarrollaron en el siguiente orden:

Realizar un análisis de brechas con el fin de definir la declaración de aplicabilidad

(SOA)17.

12 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, que está directamente relacionada con la

generalización del uso de las tecnologías de la información y que supone unos beneficios evidentes para los ciudadanos; pero también da

lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.(Fuente:

http://www.mpt.gob.es/publicaciones/centro_de_publicaciones_de_la_sgt/Monografias0/parrafo/01111111111111111115/text_es_files/fi

le/Magerit-v2_I-metodo.pdf) 13 Directamente relacionada con el uso de los medios electrónicos, informáticos y telemáticos 14 SI: sistemas de información

15 Auditoría, certificación o acreditación, según corresponda en cada caso. 16 Velando para que la confidencialidad, integridad y disponibilidad 17 SOA(Statement Of Applicability, Traducido como declaración de aplicabilidad): referenciado en la cláusula 4.2.1j del estándar ISO

27001 es un documento que lista los objetivos y controles que se van a implementar en una Organización, así como las justificaciones de

aquellos controles que no van a ser implementados.(Fuente: http://iso-17799.safemode.org/index.php?page=Statement_of_Applicability)

5

Definir políticas y procedimientos aplicados al cumplimiento de la norma ISO/IEC

27001, en sus dominios 10 y 11 de acuerdo a lo establecido en la Declaración de

aplicabilidad.

Aplicando la metodología OCTAVE18

, iniciar el proceso de análisis de riesgos,

abarcando los procesos de valoración de activos, identificación de amenazas y

vulnerabilidades, determinación de probabilidad de ocurrencia de una amenaza y

valoración del riesgo intrínseco.19

Entregar los resultados definitivos del análisis de riesgos, declaración de

aplicabilidad, políticas y procedimientos.

3. Gestión y tratamiento de los riesgos, selección de los controles.

La gestión de los riesgos es el proceso por el cual se controlan, minimizan o eliminan

los riesgos que afectan a los activos de la organización. En este caso, luego de haber

determinado los riesgos existentes en la organización, así como las medidas

adecuadas para hacer frente a los mismos, se dispuso de varias alternativas para

afrontar estos riesgos: Eliminar, Transferir, Asumir o Mitigar el riesgo.

Todas las medidas implantadas se documentaron para permitir la gestión por parte de

la organización. Una vez decididas las medidas que se aplicarían a los riesgos

identificados, se realizó un nuevo análisis, el cual expondría el registro residual20

de la

organización.

Se definieron dos tipos de controles que se complementan: técnicos y organizativos.

Los controles técnicos tienen que quedar perfectamente documentados a través de

procedimientos. Los controles organizativos pueden quedar documentados a través

de procedimientos o políticas de seguridad.

Los controles seleccionados por la Comunidad fueron organizados en el documento

de declaración de aplicabilidad (SOA). El SOA relaciona qué controles aplican en la

organización y cuáles no21

. Para aquellos controles que sí aplican, se debe incluir los

18 OCTAVE(Operationally Critical Threats Assets and Vulnerability Evaluation): Metodología de análisis de riesgos en seguridad de TI

que permite dirigir y evaluar riesgos, tomar decisiones basándose en sus riesgos y proteger los activos claves de información (Fuente:

http://www.cert.org/octave/) 19 INTRODUCCIÓN A OCTAVE. Disponible en: http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunoz-

IVJNSI.pdf 20 El nivel de riesgo aceptable por la organización bajo el cual estarán todos los riesgos de la misma 21 Para aquellos controles no seleccionados, porque simplemente no aplican, se debe indicar la razón de su exclusión de manera detallada.

Este punto es muy importante, ya que en la fase de certificación del sistema será uno de los documentos a revisar por los auditores.

6

objetivos del control, la descripción, la razón para su selección, aplicación y la

referencia al documento en el que se desarrolla su implementación.

Se realizó una evaluación del análisis de brechas, que permitió evidenciar puntos

críticos que se atacaron implementando control de riesgos, utilizando el estándar

OCTAVE-S22

, cuyo énfasis está en proveer técnicas de apoyo en soluciones lógicas

de acceso. [1]

En la aplicación de OCTAVE en la Comunidad, el grupo de stakeholders participó

integrando desde personal de áreas operativas y de negocios hasta el personal del

departamento de TI, balanceando los tres aspectos: RIESGOS OPERATIVOS,

PRÁCTICAS DE SEGURIDAD y PRÁCTICAS DE TECNOLOGÍA. Las fases

desarrolladas utilizando OCTAVE fueron las siguientes: a) Enfoque Estratégico de la

Comunidad, implementación de mejores prácticas y análisis de vulnerabilidades de la

organización. b) Creación del modelo de vista tecnológica. c) Estrategias de

protección y planes de mitigación

Finalizando esta parte del proceso, se procedió a la elaboración y definición de los

puntos de control de dominio de monitoreo para la capitulación de monitoreo, como se

muestra en la tabla 1:

Tabla 1. Definición de puntos de control del dominio de Monitoreo

Para el análisis de riesgo asociado con el capítulo de control de acceso, se

establecieron declaraciones de aplicabilidad como las que aparecen en la tabla 2.

22 Como herramienta aplicada para empresas pequeñas (menos de 100 empleados)

7

Tabla 2. Declaraciones de aplicabilidad para el Control de Acceso.

Otros de los temas tratados dentro de la investigación fueron el control de acceso a la

capa de aplicaciones y análisis de modelos criptográficos, y la capitulación de

protección contra código malicioso y gestión de seguridad de las redes, cuyo soporte

metodológico para el análisis de riesgos fue tratado con DLP23

y simultáneamente con

la norma NTC 5254.

III. SOPORTE METODOLÓGICO DEL SISTEMA DE INFORMACIÓN.

Como software de apoyo para todo el proceso anteriormente descrito se entregó a la

Comunidad, un sistema informático web que facilita la gestión y el control del sistema

de gestión de la seguridad de la información. Este sistema informático permite a los

grupos de stakeholders y auditores desarrollar un esquema de trabajo basado en

procesos, y enfatiza en las políticas y controles de seguridad por capa capitulación del

compendio de ISO 27001, la definición de la metodología de la evaluación del riesgo y

su respectiva evaluación, la declaración de aplicabilidad SOA y el plan del tratamiento

del riesgo y medición de la eficacia de los controles establecidos. Las pantallas

generales de este sistema de información se muestran en la figura 2.

23 Data Loss Prevention

8

Figura 2. Pantallas generales del sistema de información

IV. RESULTADOS

Gracias al proyecto desarrollado en la Comunidad Nuestra Señora de Gracia, se

definieron principios y políticas de control de información y de comunicación de

seguridad, los cuales produjeron los siguientes resultados:

1. Definición de roles y propuestas de asignación y estructura organizativa, políticas

de control, planificación de actividades, responsabilidades, prácticas, procesos y

recursos. (ver Figura 3).

9

Usuario

Autenticarse

Administrar eventos generados por AD

Administrar cambios de objetos de AD

Administración de usuarios

Generar reporte de incidentes de usuario

<<use>>

Administrador

<<use>>

<<use>>

<<use>>

<<use>>

Generar informe de cambios en objetos

<<use>>

<<use>>

Reporte de eventos del AD

<<include>>

Sincronización de objetos con AD<<include>>

Creación de usuario

Creación de grupo

Modificación de usuario

Modificación de grupo

Eliminación de usuario

Eliminación de grupo

<<extend>>

<<extend>>

<<extend>>

<<extend>>

<<extend>>

<<extend>>

Usuario

<<use>>

<<use>>

Figura 3. Roles y Actores descritos en el proyecto [3]

2. Propuesta de alineación tecnológica frente a los procesos estratégicos de la

organización.

3. Entrega de un sistema de información para una mayor seguridad integral.

4. Propuesta de un plan de continuidad del negocio permitiendo que la empresa

pueda recuperarse después de algún incidente que pudiese presentarse.

5. Capacitación y concientización al Departamento de Sistemas sobre el impacto

favorable que tendría el establecimiento de una política en ISO 27001.

6. Entrega y socialización de anexos donde se describen riesgos de inventarios de

servidores y estaciones de trabajo, declaraciones de aplicabilidad y la respectiva

matriz de riesgos, soportadas por su respectivo análisis de riesgos. Los riesgos

identificados [4] y analizados de acuerdo a la norma para la Comunidad, se pueden

revisar en la tabla 3 y 4, que se muestran a continuación.

1

0

Tabla 3. Identificación de riesgos de los activos de la Comunidad

Tabla 4. Identificación de riesgos

7. Adicionalmente, se entregaron procedimientos de gestión de contraseñas, gestión

de usuarios, políticas y establecimientos de gestión de monitoreo para la red LAN24

[5],

como para los enlaces dedicados con el proveedor de servicios de

telecomunicaciones, políticas de control de acceso físico y lógico, recursos humanos,

controles criptográficos y gestión de redes (se pueden apreciar en la figura 4).

Figura 4. Diagrama de casos de usos para la gestión de red.

V. CONCLUSIONES

Actualmente en la sociedad de la información, es necesario que todas las

organizaciones, sin tener en cuenta su tamaño, implementen mecanismos que

permitan mantenerla segura, donde una se use la norma internacional ISO/IEC 27001

como un sistema basado en procesos que busca garantizar la seguridad de la

24 Se trabajó con Wireshark

1

1

información, siguiendo una serie de pautas y controles que de aplicarse, minimizan los

riesgos a los cuales se ve expuesta.

Se realizó un análisis de brechas donde se identificaron los puntos de control

aplicables en la Comunidad, del cual se extrajo la Declaración de Aplicabilidad. De

igual forma, se elaboraron las políticas y procedimientos necesarios para iniciar el

proceso de implementación de controles del SGSI.

Se logró identificar y adaptar un software libre que permite realizar los procesos y

gestión de los objetivos de control de los dominios tratados en el desarrollo del

proyecto.

En el ambiente de la seguridad de la información ya existen normas y guías como

MAGERIT y OCTAVE que proveen los elementos necesarios para realizar análisis de

riesgo.

Para la seguridad de los recursos humanos, se hizo necesario definir de forma clara y

concisa a los colaboradores, detallar sus roles y responsabilidades, además de

establecer unas clausulas dentro de los contratos respecto a la confidencialidad y

responsabilidad de los activos y de la información.

La implementación del SGSI es beneficioso para la Comunidad en cuanto a:

seguridad efectiva en los sistemas de información; mejoras continuas en procesos de

auditorías internas dentro de la Comunidad; incremento de la confianza en la

Comunidad y mejora de su imagen.

VI. REFERENCIAS

[1] Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). Compendio:

Sistema de Gestión de la Seguridad de La Información: SGSI. Bogotá. 2006

[2] Alexander Marcombo. Diseño De Un Sistema De Seguridad Informática.

Alfaomega. México, 2007.

1

2

[3] Castro Alfonso Favián & Díaz Verano, Fabián A. Análisis De Vulnerabilidades A

Nivel De Acceso Lógico Basado En La Norma ISO/IEC 27001 En La Comunidad

Provincia De Nuestra Señora De Gracia De Colombia. Proyecto de Grado,

Ingeniería de Sistemas, Fundación Universitaria Konrad Lorenz. Bogotá, Colombia

2010.

[4] Ramírez Gaita, Andrés Camilo & Parra Amado, Gerardo. Control De Acceso A La

Capa De Aplicaciones Y Análisis De Modelos Criptográficos Basados En La

Norma ISO/IEC 27001 En La Comunidad Provincia De Nuestra Señora De Gracia

De Colombia. Proyecto de Grado, Ingeniería de Sistemas, Fundación Universitaria

Konrad Lorenz. Bogotá, Colombia 2010

[5] Collazos Muñoz, Gloria I. Protección Contra Código Malicioso Y Gestión De

Seguridad De Las Redes Basado En La Norma ISO/IEC 27001 en La Empresa

Provincia De Nuestra Señora De Gracia De Colombia. Proyecto de Grado,

Ingeniería de Sistemas, Fundación Universitaria Konrad Lorenz. Bogotá,

Colombia. 2010