INTRODUCCION A ESTANDARES Y NORMAS PARA LA IMPLEMENTACION DE

UN GOBIERNO DE SEGURIDAD DE LA INFORMACION

LEYDI JOHANNA TRULLO ECHEVERRY

JOHN BARRERA VALENCIA

FUNDACION UNIVERSITARIA CATOLICA LUMEN GENTIUM

FACULTAD DE INGENIERIA

SANTIAGO DE CALI

2011

INTRODUCCIÓN

El uso constante de diferentes tecnologías para manejo de la información hace que

ésta cada día se encuentre más expuesta a amenazas que generan perdida en la

misma o en muchos casos que no se encuentre disponible al momento de ser

requerida. La información y la infraestructura que la soporta son fundamentales en el

andamiaje de las empresas, por tanto la seguridad debe estar dada por directivos de

la compañía y encargados del área informática, los cuales deben adoptar modelos

para la implementación de políticas de seguridad practicas, mediante procesos de

mejora continua para que sean eficaces a largo plazo y mantenerse actualizado

frente a todos los tipo de ataques existentes.

RESUMEN

El presente artículo muestra la importancia del establecimiento de un Gobierno de la

seguridad de la información en las organizaciones, este debe estar conformado por

directivos responsables de emitir las diferentes políticas de seguridad y por oficiales

de seguridad los cuales son los responsables de implementar cada una de las

políticas emitidas por el comité directivo. Otros aspectos que trata este articulo son

los estándares internacionales, RFC2196, IT BASELINE, SSE-CMM y, ISO 27001,

ISO-IEC BS7799-IT y el conjunto de mejores prácticas COBIT, los cuales entregan a

directivos de las organizaciones una guía para desarrollar un plan de seguridad que

se ajuste a sus requerimientos y ayude a mitigar el riesgo al que se encuentra

expuesta la información.

Palabras claves: Gobierno de seguridad de la información, plan estratégico de

seguridad de la información, sistema de seguridad de gestión de la información.

COBIT, estándares.

ABSTRACT

This article shows how important is to establish a government of information safety in

the organizations. This government should be conformed by CEOS who are

responsible of issuing the different safety policies and by security officers who are

responsible of implementing each one of the policies issued by the main board.

Another aspects described in this article are the international standards RFC2196, IT

BASELINE, SSE-CMM y, ISO 27001, ISO-IEC BS7799-IT and the framework COBIT

which is a supporting toolset that allows managers to bridge the gap between control

requirements, technical issues and business risks.

Key words: Government of information safety, Strategic plan for information security,

Security system of information management, COBIT, Standards.

El objetivo de este artículo es el de dar conocer las normas que ayudan a

implementar un Gobierno de Seguridad de la Información, realizando una

introducción al modelo de proceso COBIT (Objetivos de Control para la Información

y la Tecnología relacionada), sus 4 dominios,32 procesos y relacionar los estándares

de Seguridad de la Información: ISO-IEC BS7799-IT, RFC2196,IT BASELINE, SSE-

CMM,ISO 27001 que ayudan a la elaboración de un plan de seguridad informática

adecuado para cada organización.

Un mundo globalizado como el actual, ha traído consigo una revolución informática

donde los datos que en ella se manejan son susceptibles a perdida, daño o robo.

Un estudio realizado por KASPERSKY LABS 1sobre ataques informáticos en

América Latina en 2010, nos muestra cuales fueron los países más afectados (figura

1) por estos ataques y cuáles son los sistemas operativos y aplicaciones más

vulnerables, (figura 2).

1Ataques informáticos en América Latina en el 2010 Disponible en http:///identidadesenpeligro.wordpress.com/2011/02/07/

Figura 1-Estadistica de Ataques Informáticos en América Latina

En esta grafica las estadísticas muestran como Brasil y México son los países que

presentan la más alta cantidad de ataques informáticos lo cual tiene relación directa

con la cantidad de población con acceso a internet, en el tercer lugar aparece

Colombia, que según los datos recogidos se debe a que es una economía muy

estable en la región por lo cual la mayoría de ataques son enfocados hacia este

objetivo.

Figura 2-Sistemas Operativos y Aplicaciones más vulnerables

Las estadísticas muestran que las aplicaciones de Microsoft son las más afectadas

debido a la gran cantidad de usuarios que utilizan un software ilegal por lo cual las

actualizaciones están deshabilitadas o incompletas.

Las vulnerabilidades de Adobe y Sun Java también son muy populares, ya que la

mayoría de los usuarios no buscan las actualizaciones periódicamente. En la

actualidad uno de los troyanos más poderosos en términos de robo de información

bancaria es, Zeus (Trojan-Spy.Win32.Zbot), se utiliza para la propagación de

vulnerabilidades en Java.

Los incidentes informáticos que ocurrieron con más frecuencia en el año 2010 según

datos suministrados por la Compañía Global de Soluciones de Software de

Seguridad ESET2, a través de su sistema de alerta temprana ThreatSense.net

provisto en su antivirus ESET NOD32 que le permite recopilar información de todos

los usuarios de su antivirus en el mundo, fueron los siguientes:

Ataques dirigidos:

Operación Aurora.

El ataque masivo contra varias corporaciones como Google, Adobe, Juniper, a

través de un exploit diseñado para la versión 6,7 y 8 de Internet Explorer.

Stuxnet.

Es un gusano informático que afecta a los equipos con Windows.

Botnet.

2 http://www.enter.co/seguridad/eset-anuncia-las-10-amenazas-mas-importantes-de-2010/

Red de equipos infectados por códigos maliciosos, controlados por un atacante.

Zeus.

Es la botnet más utilizada en todo el mundo, esta vinculado al robo de información

de credenciales bancarias.

Mariposa y Waledac.

Utilizados para dar de baja redes, esto se conoce como “takedown”. En este caso

fueron dos de las más importantes Mariposa y Waledac, las cuales estuvieron

asociadas al negocio delictivo.

Ataques regionales.

Mariachi Botnet.

Computadores zombis enfocadas específicamente en la región, como Mariachi, que

fue detectada en México y Argentina.

Técnicas de Ingeniería Social.

Noticias trágicas o de mucho interés ocurridas en América Latina, se utilizaron como

técnicas de ingeniería social para propagar malware.

Otras amenazas destacadas.

Conficker.

Gusano Conficker, infecta a cientos de organizaciones en todo el mundo.

Dispositivos móviles.

Malware para dispositivos móviles, en especial para sistemas operativos en

crecimiento como Android.

Las debilidades en las políticas de seguridad de la información y el creciente número

de ataques hacen que los datos y los sistemas se encuentren en constante riesgo,

teniendo en cuenta esto, es importante la implementación de un Gobierno de

seguridad de la Información (GSI), cuyo objetivo principal es reducir impactos

adversos sobre la organización a un nivel aceptable de riesgos y que se encargue

de definir las políticas de seguridad macro, los objetivos de alto nivel a alcanzar, las

reglas para clasificar la información, su asociación con los niveles de riesgo y las

acciones globales a implementar, con la finalidad de preservar la confidencialidad,

integridad y disponibilidad de los recursos objeto de riesgo.

Alrededor del Gobierno debe plantearse la existencia de un Comité de Seguridad,

donde participen la Gerencia y Directivas de las empresas; este comité es el

gobierno como tal, quien define políticas y normas, además debe contar con la

presencia de un Oficial de Seguridad, quien es el responsable de implementar las

políticas definidas por el Comité (Gobierno de Seguridad) y reportar el estado de la

seguridad de la información al mismo.

Estas políticas se desarrollaran considerando las características de la organización,

su actividad comercial, su infraestructura informática y mediante un Plan Estratégico

de Seguridad de la Información el cual debe estar basado en un conjunto de

políticas analizadas previamente, las cuales indicaran el nivel de riesgo en el que se

encuentre la empresa.

El Plan Estratégico de Seguridad debe ser implementado por el Oficial de Seguridad

y apoyado por las áreas de negocio que conozcan la información. Un componente

importante del Plan es el Sistema de Gestión de la Seguridad de la Información

(SGSI), que se basa en implementar, operar, monitorear, mantener y mejorar la

seguridad de los datos, este contiene procesos y controles cuyo fin es lograr cumplir

con los objetivos e indicadores, mantener y reducir los niveles de riesgos

planteados. En el Plan Estratégico de Seguridad los controles pueden ser

tecnológicos ó no. Los tecnológicos son implementados por expertos en seguridad

informática y son dirigidos por un centro de operaciones, que debe retroalimentar al

oficial de seguridad entregando los indicadores que se hayan establecido y que

obtengan de los elementos tecnológicos.

Los pasos a tener en cuenta en el desarrollo de un plan de seguridad de la

información son los siguientes:

1. Evaluación de los riesgos

A través de esta evaluación se identifican causas y se valoran los riesgos por los

cuales está expuesta la organización para que el gobierno de seguridad de la

Información pueda tener datos suficientes y opte por el diseño e implementación de

los controles adecuados.

Para realizar una valoración de riesgos se debe iniciar con:

Identificar los riesgos: En este paso se busca identificar cuál o cuáles son los

agentes que generan amenazas a la organización basándose en información

suministrada por el área de sistemas y de recursos humanos.

Determinar los controles: Una vez identificados los agentes o causas que

generan los riesgos, es necesario saber cuales están siendo controlados y

cuáles no, para determinar controles que ayuden a disminuir el campo de

acción y la probabilidad de estos.

Analizar los riesgos: Con los riesgos identificados el siguiente paso es

analizarlos y conocer el impacto que trae cada uno de ellos para poder

clasificarlos y determinar si son riesgos altos, medios o bajos.

2. Políticas de seguridad

Las políticas de seguridad deben ser fijadas mediante mecanismos y normas que

adopta la empresa para salvaguardar su infraestructura informática y la información

que contienen.

El diseño de las políticas de seguridad puede realizarse aplicando modelos de

procesos como COBIT3, (Objetivos de Control para la Información y la Tecnología

relacionada).

El marco de trabajo COBIT se basa en el siguiente principio (figura 3): Proporcionar

la información que la empresa requiere para lograr sus objetivos, la empresa

3 IT Governance Institute, 2005, COBIT 4.0, Rolling Meadows EE. UU.

Disponible en: http :// www.isaca.org

necesita administrar y controlar los recursos de TI usando un conjunto estructurado

de procesos que ofrezcan los servicios requeridos de información.

Figura 3-Principio Básico de COBIT

COBIT brinda buenas prácticas a través de un marco de trabajo de dominios y

procesos, y presenta las actividades en una estructura manejable y lógica, es una

herramienta para que el Gobierno de TI pueda administrar los riesgos asociados con

las tecnologías de información, por tanto su objetivo principal es desarrollar políticas

adecuadas para la seguridad y el control de las tecnologías de información.

Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección

debe implantar un sistema de control interno o un marco de trabajo. El marco de

trabajo de control COBIT (figura 4) contribuye a estas necesidades de la siguiente

manera:

Figura 4- Áreas Principales de Gobierno de TI

Alineación estratégica: Se enfoca en garantizar el vínculo entre los planes de

negocio y de TI; para definir, mantener, validar la propuesta de valor de TI; y alinear

las operaciones de TI con las operaciones de la empresa.

Entrega de valor: Se enfoca en ejecutar la propuesta de valor a todo lo largo del

ciclo de entrega, concentrándose en optimizar los costos y en brindar el valor de la

TI.

Administración de recursos: se encarga de la administración apropiada de los

recursos críticos de TI: Personas; aplicaciones, información, infraestructura.

Administración de riesgos: Requiere un claro entendimiento de los riesgos que

tiene la empresa y determina las responsabilidades de administración de riesgos

dentro de la organización.

Medición del desempeño: Monitorea la estrategia de implementación, terminación

del proyecto, uso de los recursos, desempeño de los procesos y la entrega del

servicio.

El enfoque de COBIT se ilustra con un modelo de 4 dominios, el cual subdivide TI en

34 procesos de acuerdo a las áreas de responsabilidad de planear, construir,

ejecutar y monitorear, ofreciendo una visión completa de la TI, ayudando a

identificar aquellos recursos esenciales para el éxito de los procesos, es decir,

aplicaciones, información, infraestructura y personas.

Para que un gobierno de TI sea eficiente, es prioritario determinar las actividades y

los riesgos que requieren ser administrados. Éstos se pueden resumir en los

siguientes dominios:

MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben

evaluarse de forma regular en el tiempo en cuanto a su calidad y

cumplimiento de los requerimientos de control. Este dominio abarca la

administración del desempeño, el monitoreo del control interno, el

cumplimiento regulatorio y la aplicación del gobierno.

PLANEAR Y ORGANIZAR (PO) Este dominio cubre las estrategias y las

tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir

de la mejor manera al logro de los objetivos del negocio.

ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en sí de

los servicios requeridos, lo que incluye la prestación del servicio, la

administración de la seguridad y de la continuidad, el soporte del servicio a

los usuarios, la administración de los datos y de las instalaciones

operacionales.

ADQUIRIR E IMPLEMENTAR (AI) Para llevar a cabo la estrategia de TI, las

soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así

como la implementación e integración en los procesos del negocio. Además,

el cambio y el mantenimiento de los sistemas existentes está cubierto por

este dominio para garantizar que las soluciones sigan satisfaciendo los

objetivos del negocio.

PROCESOS DE COBIT

MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el desempeño de TI.

ME2 Monitorear y evaluar el control interno

ME3 Garantizar cumplimiento regulatorio.

ME4 Proporcionar gobierno de TI.

PLANEAR Y ORGANIZAR

PO1 Definir el plan estratégico de TI.

PO2 Definir la arquitectura de la información

PO3 Determinar la dirección tecnológica.

PO4 Definir procesos, organización y relaciones de TI.

PO5 Administrar la inversión en TI.

PO6 Comunicar las aspiraciones y la dirección de la gerencia.

PO7 Administrar recursos humanos de TI.

PO8 Administrar calidad.

PO9 Evaluar y administrar riesgos de TI

PO10 Administrar proyectos.

ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

DS4 Garantizar la continuidad del servicio.

DS5 Garantizar la seguridad de los sistemas.

DS6 Identificar y asignar costos.

DS7 Educar y entrenar a los usuarios.

DS8 Administrar la mesa de servicio y los incidentes.

DS9 Administrar la configuración.

DS10 Administrar los problemas.

DS11 Administrar los datos.

DS12 Administrar el ambiente físico.

DS13 Administrar las operaciones.

ADQUIRIR E IMPLEMENTAR

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software aplicativo.

INFORMACIÓN

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

RECURSOS

Aplicaciones

Información

Infraestructura

Personas

AI3 Adquirir y mantener la infraestructura tecnológica

AI4 Facilitar la operación y el uso.

AI5 Adquirir recursos de TI.

AI6 Administrar cambios.

AI7 Instalar y acreditar soluciones y cambios

En detalle, el marco de trabajo general COBIT se muestra gráficamente en la figura

5, con el modelo de procesos de COBIT compuesto de cuatro dominios que

contienen 34 procesos genéricos, administrando los recursos de TI para

proporcionar información al negocio de acuerdo con los requerimientos del negocio y

de gobierno.

Figura5-Marco de Trabajo General de COBIT

3. Plan de seguridad informática.

Debe ser elaborado por la organización basándose en las políticas creadas cuando

se realicen los análisis de riesgos y se debe apoyar en los siguientes estándares.4

ISO-IEC BS7799-IT:

RFC2196:

IT BASELINE:

SSE-CMM:

ISO 27001:

Estándar ISO-IEC BS7799-IT

Este estándar define los requerimientos para el establecimiento de un Sistema de

Administración de la Seguridad de la Información (ISMS) en las organizaciones para

prevenir amenazas a la seguridad de la información que manejan. Aplica un método

de cuatro fases para implementar una solución de sistemas de administración de

seguridad de la información.

• Fase 1: Evaluación:

Determinar la situación de la seguridad actual y definir los requisitos para la

seguridad de la información basada en un riesgo de negocio deseado.

• Fase 2: Diseño:

Desarrollar un diseño de solución de sistemas de administración de seguridad de la

información con recomendaciones específicas y un plan detallado para su

implementación.

4 Díaz F (2008).2, Principales estándares para la seguridad de la información IT. EOS 2, 77-109. Disponible en http://www.escuelaing.edu.co/editorial/revistas/eos/revista_eos.htm

• Fase 3: Implementación:

Pruebas y desarrollo del diseño.

• Fase 4: Administración:

Establecer una arquitectura básica que sea dinámica para que pueda proporcionar

una plataforma de administración con todas las características.

Estándar RFC2196

El Estándar RFC2196 es una guía práctica para asegurar servicios e información,

debe poder poner en práctica mediante procedimientos descritos de administración

de sistemas, publicación de guías u otros métodos el uso aceptable de los recursos

informáticos, debe implantarse y obligar al cumplimiento de las acciones

relacionadas mediante herramientas de seguridad como también detectar errores y

fugas y determinar responsabilidades de cada uno de los usuarios.

El RFC-2196 establece una serie de componentes incluidos en las políticas de

seguridad:

• Guías de compras de tecnología de la información.

• Política de privacidad sobre temas relacionados con el control de correos

electrónicos, acceso a sitios web.

• Política de acceso: Define derechos o privilegios de acceso a activos o información.

• Política de responsabilidad: Define las responsabilidades de usuarios.

• Política de autenticación: Establecer el uso de una política de contraseñas.

• Declaración de disponibilidad: Determina las expectativas de disponibilidad de los

recursos de los sistemas e información.

• Política de informes de incidentes o violaciones de seguridad: Establece qué tipo

de incidentes o violaciones de seguridad deben reportarse.

• Información de apoyo. Proveer a los usuarios, empleados y directivos con

información de contacto y de referencia para usarla ante incidentes de seguridad.

Estándar IT Baseline

Este estándar plantea en forma detallada aspectos de seguridad en ámbitos

relacionados con aspectos generales como organizacionales, gestión humana,

criptografía, manejo de virus; infraestructura, sistemas operativos, redes y

aplicaciones.

Estándar SSE-CMM

Presentación una serie de actividades para desarrollar productos de software

confiables y alcanzar un ciclo de vida para sistemas seguros. Este estándar divide la

ingeniería de seguridad en tres áreas básicas: riesgo, ingeniería y aseguramiento.

• Riesgo: busca identificar y priorizar los peligros asociados al desarrollo de

sistemas.

• Ingeniería: Implanta soluciones sobre los peligros identificados.

• Aseguramiento: Certifica que las soluciones implementadas sean confiables.

Estándar ISO 270015

5 ISO27000 Disponible en http://www.ISO27000.ES

Es la norma principal de la serie ISO 27000 y contiene los requisitos del sistema de

gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la

norma con arreglo a la cual se certifican por auditores externos los SGSI de las

organizaciones.

Conclusiones:

La implementación de un Gobierno de Seguridad de la Información, basado en los

estándares y el modelo de mejores prácticas COBIT, ayuda a al comité a tomar las

decisiones adecuadas cuando se presenten las amenazas, ya que previamente se

han definido políticas, responsabilidades en las áreas críticas de manejo de

información, ayudando a reducir el impacto de un ataque generado por agentes

internos y/o externos.

se debe considerar a las personas que son el eslabón más débil en la cadena de la

seguridad, los procesos, la protección de los activos o recursos para que toda la

empresa impulse, gestione y se beneficie de las normas y políticas que implante el

gobierno de seguridad, ya que generan conciencia en usuarios de los recursos

informáticos de la compañía, para que den la importancia real a este activo y no

permitan la fuga de información a través de diferentes practicas como son la

ingeniería social, el mal manejo de contraseñas y otros métodos que día a día son

utilizados con el propósito de causar daño.

Referencias Bibliográficas

1Ataques informáticos en América Latina en el 2010

Disponible en http:///identidadesenpeligro.wordpress.com/2011/02/07/

2 http://www.enter.co/seguridad/eset-anuncia-las-10-amenazas-mas-importantes-de-

2010/

3 IT Governance Institute, 2005, COBIT 4.0, Rolling Meadows EE. UU.

Disponible en: http :// www.isaca.org

4 Díaz F (2008).2, Principales estándares para la seguridad de la información IT.

EOS 2, 77-109.

Disponible en http://www.escuelaing.edu.co/editorial/revistas/eos/revista_eos.htm

5 ISO27000

Disponible en http://www.ISO27000.ES

Las10amenazasmasimportantesde2010

Disponible en: http:///identidadesenpeligro.wordpress.com/2011/02/07

Disponible en: http://www.enter.co/seguridad/eset-anuncia- /

IT Governance Institute, 2007, COBIT 4.1, Rolling Meadows EE. UU.

Díaz F (2008).2, Principales estándares para la seguridad de la información

IT. EOS 2, 77-109. ISO27000

Ontoria S, (2011), Gobierno y Modelado de la Seguridad de la Información en

las Organizaciones: http://e archivo.uc3m.es

Citel (2007). Impactos de fraude para la prestación de los servicios de

telecomunicaciones para usuarios, operadores y estados.

Cano J, (2009), Computación Forense-Descubriendo Los Rastos

Informáticos, Alfaomega, Bogotá.

Cobit, estándar para el buen gobierno de los Sistemas de Información

Disponible en: http://www.marblestation.com/?p=645

Senén J. Pájaro Novoa, 2009, Gestión de riesgos en COBIT

Disponible en: http://www.revista-ays.com/DocsNum32/SISA/SISA32.pdf

Auditoria de Sistemas

Disponible en:http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/

COBIT: modelo para auditoría y control de sistemas de información, 10 de

Mayo 2007, Boletin 54. Universidad EAFIT.

Disponible en: http://www.eafit.edu.co/escuelas/administracion/consultorio-

contable/Documents/boletines/auditoria-control/b13.pdf

Manuel Arauz Montero, 2010, COBIT un estándar en gobierno de TI

Disponible en: http://tiaudiseg.com/download/Usando%20Cobit.pdf