Marco teórico itil v3

Contenido

Marco teórico ....................................................................................................................................................................... 2

Gestión de los servicios IT .............................................................................................................................................. 2

ITIL V3................................................................................................................................................................................. 3

Gobierno IT................................................................................................................................................................... 4

El ciclo de vida de los servicios IT ............................................................................................................................. 5

Funciones, Procesos y Roles...................................................................................................................................... 7

Seguridad Informática..................................................................................................................................................... 8

Principios de seguridad de la información.............................................................................................................. 9

Enfoques de seguridad ............................................................................................................................................... 9

Servicios de seguridad informática ........................................................................................................................ 11

Evento de Seguridad de Información .................................................................................................................... 12

SGSI................................................................................................................................................................................... 12

La Organización Internacional de Normalización (ISO) ...................................................................................... 13

Normas ISO serie 27000........................................................................................................................................... 13

ISO/IEC 27001:2013 ................................................................................................................................................. 13

Estructura ................................................................................................................................................................... 14

Dominios de Seguridad ............................................................................................................................................ 17

Controles por Dominios ........................................................................................................................................... 17

Gestión de riesgos ......................................................................................................................................................... 26

Metodologías existentes.......................................................................................................................................... 26

1. Identificación de activos ...................................................................................................................................... 27

2. Identificación de amenazas y vulnerabilidades............................................................................................... 28

3. Cálculo del nivel de riesgo................................................................................................................................... 34

4. Establecimiento de controles ............................................................................................................................. 35

Marco teórico

Gestión de los servicios IT

Aunque todos tengamos una idea intuitivamente clara del concepto de servicio es difícil proponer una única

y sucinta definición del mismo.

ITIL nos ofrece la siguiente definición:

Un servicio es un medio para entregar valor a los clientes facilitándoles un resultado deseado sin la necesidad

de que estos asuman los costes y riesgos específicos asociados.

En otras palabras, el objetivo de un servicio es satisfacer una necesidad sin asumir directamente las

capacidades y recursos necesarios para ello.

Si deseamos, por ejemplo, mantener l impias las instalaciones de nuestra empresa disponemos de dos

opciones:

Contratar a todo el personal y recursos necesarios (l impiadores, productos de limpieza, etcétera)

asumiendo todos los costes y riesgos directos de su ges tión.

Contratar los servicios de una empresa especializada.

Si optamos por esta segunda opción cuál es el valor aportado por la prestadora de ese servicio:

Utilidad: las instalaciones de la empresa se mantendrán limpias.

Garantía: la empresa contratada será responsable de que se realice la l impieza de forma periódica y

según unos estándares de calidad predeterminados.

Es obvio que optar por otra opción dependerá de las circunstancias de cada empresa: su tamaño,

estructura, etcétera. Sin embargo, la tendenci a actual es a subcontratar todos aquellos servicios que

se alejen de la actividad principal de la empresa.

Un aspecto importante a destacar es que aún en el caso de que se adoptara la decisión de realizar las tareas

de limpieza por personal de la empresa estas podrían ser ofrecidas por un “proveedor interno” siempre que

las funciones y procesos involucrados se estructurarán consecuentemente.

En cualquier caso una correcta gestión de este servicio requerirá:

Conocer las necesidades del cliente

Estimar la capacidad y recursos necesarios para la prestación del servicio

Establecer los niveles de calidad del servicio

Supervisar la prestación del servicio

Establecer mecanismos de mejora y evolución del servicio

ITIL V3

ITIL ofrece toda una serie de definiciones de conceptos típicos de los Sistemas de Información para garantizar

que todos sus conocedores hablan de lo mismo, reduciendo así los tiempos de interpretación y minimizando

el riesgo a malas interpretaciones.

La Gestión de Servicios IT es la aproximación si stemática a la planificación, desarrollo, entrega, y soporte de

los servicios IT para las organizaciones. Une el espacio entre la comunidad dedicada al negocio y el

departamento de IT, a través de la facil itación de la comunicación y la creación de una aso ciación de y para el

negocio. Esta nueva actividad está cada día más madura, y prueba de esta madurez es la cantidad de marcos

de trabajo teóricos que surgen cada día. En la relativa corta historia de la actividad de la Gestión de Servicio

IT y para comprobar la dimensión que está tomando la gestión de servicios en las empresas basta con ver la

cantidad de conferencias, estudios y publicaciones que alrededor de este tema están surgiendo en los últimos

años.

ITIL define la Gestión de Servicios como un conjunto de capacidades organizativas especializadas para la

provisión de valor a los clientes en forma de servicios.

Los principios básicos para la gestión de servicios se resumen en:

Especialización y coordinación: los clientes deben especializarse en la gestión de su negocio y los

proveedores en la gestión del servicio. El proveedor debe garantizar la coordinación entre los

recursos y capacidades de ambos.

El principio de Agencia: los agentes actúan como intermediarios entre el cliente o usuario y el

proveedor de servicios y son los responsables de la correcta prestación de dichos servicios. Estos

deben de actuar siguiendo las indicaciones del cliente y protegiendo los intereses del cliente, los

usuarios y los suyos propios. Los agentes pueden ser empleados del proveedor de servicios o incluso

interfaces de interacción con el usuario en sistema gestionados automáticamente.

Encapsulación: los clientes y usuarios solo están interesados en la utilidad y garantía del servicio y no

en los detalles precisos para su correcta prestación. La encapsulación se consigue a través de la:

o Separación de conceptos complejos se en diferentes partes independientes que pueden ser

tratadas independientemente.

o Modularidad que permite agrupar funcionalidades similares en forma de módulos auto

contenidos.

o Acoplamiento flexible entre recursos y usuarios, mediante, por ejemplo, sistemas

redundantes, que evita que cambios o alteraciones en los recursos afecten negativamente

a la experiencia de usuario.

Sistemas: según ITIL los sistemas son grupos de componentes interrelacionados o interdependientes

que forman una unidad y colaboran entre sí para conseguir un objetivo común. Los aspectos clave

para el correcto rendimiento de un sistema son:

o Procesos de control

o Feedback y aprendizaje

En un entorno donde los periodos de disponibilidad de los servicios son cada vez más amplios, donde las

exigencias del cliente son cada vez más elevadas, donde los cambios en los negocios son cada vez más rápidos,

es muy importante que los Sistemas de Información estén adecuadamente organizados y alineados con

la estrategia del negocio.

Gobierno IT

Aunque no existe una única y universalmente adoptada definición de Gobierno TI sí existe un consenso

general sobre la importancia de disponer de un marco general de referencia para la dirección, administración

y control de las infraestructuras y servicios TI.

Aunque ITIL es a veces considerado como un marco para el Gobierno TI sus objetivos son más modestos pues

se l imitan exclusivamente a aspectos de gestión.

Para aclarar las diferencias quizá sea conveniente remitirnos a un ejemplo que se aparta del entorno de las TI

y del que todos somos buenos conocedores: gobierno versus administración pública.

El gobierno es el responsable de establecer políticas y directrices de actuación que recojan las inquietudes y

cubran las necesidades de los ciudadanos. Las administraciones públicas son las encargadas de asegurar que

esas políticas se implementen, ofreciendo los servicios correspondientes, asegurando el cumplimien to de las

normas establecidas, prestando apoyo, recogiendo reclamaciones y propuestas, etcétera.

ITIL sería en este caso el equivalente TI de un conjunto de buenas prácticas para la administración del estado

pero no para su gobierno (aunque algunas veces l as fronteras entre ambos no estén claramente delimitadas).

Es evidente la dificultad de establecer un conjunto de buenas prácticas para el buen gobierno, sin embargo,

estas existen de hecho y ejemplo de ello son la Declaración Universal de Derechos Humanos y todo el corpus

del derecho internacional.

El Gobierno TI es parte integrante del Gobierno Corporativo y como tal debe centrarse en las implicaciones

que los servicios e infraestructura TI tienen en el futuro y sostenibil idad de la empresa asegurando su

alineación con los objetivos estratégicos.

La creciente importancia de los servicios TI para las empresas nos hace creer que todos los aspectos

relacionados con el Gobierno TI serán un hot topic en los próximos años y que se realizarán importantes

desarrol los en este terreno.

El ciclo de vida de los servicios IT

ITIL v3 estructura la gestión de los servicios TI sobre el concepto de Ciclo de Vida de los Servicios.

Este enfoque tiene como objetivo ofrecer una visión global de la vida de un servicio desde su d iseño hasta su

eventual abandono sin por ello ignorar los detalles de todos los procesos y funciones involucrados en la

eficiente prestación del mismo.

El Ciclo de Vida del Servicio consta de cinco fases que se corresponden con los nuevos l ibros de ITIL:

1. Estrategia del Servicio: propone tratar la gestión de servicios no sólo como una capacidad sino como

un activo estratégico.

2. Diseño del Servicio: cubre los principios y métodos necesarios para transformar los objetivos

estratégicos en portafolios de servici os y activos.

3. Transición del Servicio: cubre el proceso de transición para la implementación de nuevos servicios o

su mejora.

4. Operación del Servicio: cubre las mejores prácticas para la gestión del día a día en la operación del

servicio.

5. Mejora Continua del Servicio: proporciona una guía para la creación y mantenimiento del valor

ofrecido a los clientes a través de un diseño, transición y operación del servicio optimizado.

1. Estrategia de Servicios (SE)

Diseña el plan de acción que permitirá desarrollar una estrategia en la Organización en cuanto a las

Tecnologías de la Información.

Desarrolla varias áreas; entre ellas se incluyen las siguientes: Estrategia general, competitividad y

posicionamiento de mercado, tipos de proveedores de servicio, gestión del servicio como un factor

estratégico, diseño organizacional y estratégico, procesos y actividades clave, gestión financiera,

dossier de servicios, gestión de la demanda, y responsabilidades y responsabilidades clave en la

estrategia de servicios.

El objetivo de la Estrategia de Servicio es el de incluir las TI en la Estrategia Empresarial de manera

que podamos calibrar nuestros objetivos según nuestra infraestructura TI y adaptar cada uno a las

necesidades del otro.

La Estrategia de Servicio en ITIL se encamina hacia el mismo sentido que la estrategia empresarial,

pero ahora incluyendo en ésta la componente TI. Integra pues a su análisis nuevos objetivos y la evolución

futura de las TI en la Organización. ITIL busca alinear e integrar la tecnología con el Negocio, que los

servicios tecnológicos que se implementan y se ofertan desde los departamentos de TI estén diseñados para

apoyar al negocio.

La idea que se trata de aportar a las organizaciones es que es necesario plantear objetivos pero teniendo en

cuenta qué tenemos, cómo lo tenemos y a dónde podemos l legar con lo que tenemos, es decir, planear el

futuro sabiendo que puede ser necesario invertir para mej orar nuestra infraestructura TI, o planificar

el futuro de la empresa dependiendo de nuestra capacidad actual en TI, y/o abrir nuevas l íneas de

negocio debido a que nos diferenciamos del resto de empresas en las características que ofrece nuestra

infraestructura TI. Con el fin de comenzar a integrar las TI en nuestra estrategia hemos de tener en cuenta

que uno de los principales defectos de toda organización (en todo el mundo) es que una vez tomada la

decisión de comenzar a gestionarse y planificar su futuro, lo normal es que nunca se hayan definido

exactamente qué tipo de servicios relacionados con la TI ofrece la empresa y a quién y cómo dirigir los

esfuerzos comerciales para ponerlos en el mercado.

Los pasos que ITIL establece en la definición e implantación de medidas para la puesta en marcha de la

estrategia de servicios se desarrollan a lo largo de una serie de apartados que proponen una estructura para

el diseño y definición de nuestra estrategia.

Existen muchas metodologías que acercan la idea de ITIL a la persona, empresa, organización o entidad

que se plantee comenzar con la definición de una Estrategia de Servicio, ya que, como se comentó

anteriormente, ITIL no pone las herramientas, sólo la idea y la estructura o contenido que ha de tener

nuestro plan. Así vamos a tratar de desarrollar el concepto a través de los siguientes apartados:

1. Creación de Valor a través del Servicio

2. Gestión del Portafolio de Servicios

3. Gestión de la Demanda

4. Gestión Financiera de los Servicios IT

2. Diseño de servicios (SD)

En este volumen se desarrollan los conceptos relativos al diseño de Servicios TI, como diseño de

arquitecturas, procesos, políticas, documentación. Se adentra además en la Gestión de niveles de

servicio, diseño para gestión de capacidad, continuidad en los servicios TI, gestión de proveedores, y

responsabilidades clave en diseño de servicios.

3. Operaciones de Servicios (SO)

En el l ibro de operaciones, se exponen las mejores prácticas a poner en marcha para conseguir ofrecer

un nivel de servicio de la Organización acorde a los requisitos y necesidades de los Clientes

(establecimiento del SLA – Service Level Agreement o Acuerdo de Nivel de Servicio).

Los temas incluyen objetivos de productividad/beneficios, gestión de eventos, gestión de incidentes,

caso de cumplimiento, gestión de activos, servicios de help desk, técnica y de gestión de las aplicaciones,

así como las principales funciones y responsabilidades para el personal de servicios que llevan a cabo los

procesos operativos.

4. Mejora Continua de Servicios (CSI)

En este volumen se explica la necesidad de la mejora continua como fuente de desarrollo y crecimiento en el

Nivel de Servicio de TI, tanto interno como con respecto al cliente.

De acuerdo con este concepto, las entidades han de estar en constante análisis de sus procesos de negocio, y

poner en marcha actuaciones una vez detectadas las necesidades con respecto a las TI de manera que estas

sean capaces de responder a los objetivos, la estrategia, la competitividad y la gestión de la estructura

y organización de las organizaciones que dispongan de infraestructura TI. De esta manera se trata de estar

al tanto de los cambios que se producen en el mercado y de las nuevas necesidades de este también en cuanto

a las TI.

5. Transición de Servicios (ST)

En el último l ibre se definen los temas relacionados a la transición de servicios, es decir, los cambios

que se han de producir en la prestación de servicios comunes (del trabajo diario) en las empresas.

Aspectos tales como la gestión de la configuración y servicio de activos, la planificación de la transición

y de apoyo, gestión y despliegue de los Servicios TI, Gestión del Cambio, Gestión del Conocimiento,

y por último las responsabi lidades y las funciones de las personas que participen en el Cambio o Transición

de Servicios.

Funciones, Procesos y Roles

ITIL marca una clara distinción entre funciones y procesos. Una función es una unidad especializada en la

realización de una cierta actividad y es la responsable de su resultado. Las funciones incorporan todos los

recursos y capacidades necesarias para el correcto desarrollo de dicha actividad.

Las funciones tienen como principal objetivo dotar a las organizaciones de una estructura acorde con el

principio de especialización. Sin embargo la falta de coordinación entre funciones puede resultar en la

creación de nichos contraproducentes para el rendimiento de la organización como un todo. En este último

caso un modelo organizativo basado en procesos puede ayudar a mejorar la productividad de la organización

en su conjunto.

Un proceso es un conjunto de actividades interrelacionadas orientadas a cumplir un objetivo específico. Los

procesos comparten las siguientes características:

Los procesos son cuantificables y se basan en el rendimiento.

Tienen resultados específicos.

Los procesos tienen un cliente final que es el receptor de dicho resultado.

Se inician como respuesta a un evento.

El Centro de Servicios y la Gestión del Cambio son dos c laros ejemplos de función y proceso respectivamente.

Sin embargo, en la vida real la dicotomía entre funciones y procesos no siempre es tan evidente pues puede

depender de la estructura organizativa de la empresa u organismo en cuestión.

Otro concepto ampl iamente util izado es el de rol.

Un rol es un conjunto de actividades y responsabilidades asignada a una persona o un grupo. Una persona o

grupo puede desempeñar simultáneamente más de un rol.

Hay cuatro roles genéricos que juegan un papel especialmente importante en la gestión de servicios TI:

Gestor del Servicio: es el responsable de la gestión de un servicio durante todo su ciclo de vida:

desarrollo, implementación, mantenimiento, monitorización y evaluación.

Propietario del Servicio: es el último respons able cara al cliente y a la organización TI de la prestación

de un servicio específico.

Gestor del Proceso: es el responsable de la gestión de toda la operativa asociada a un proceso en

particular: planificación, organización, monitorización y generación de informes.

Propietario del Proceso: es el último responsable frente a la organización TI de que el proceso cumple

sus objetivos. Debe estar involucrado en su fase de diseño, implementación y cambio asegurando en

todo momento que se dispone de las métricas necesarias para su correcta monitorización, evaluación

y eventual mejora.

Seguridad Informática

Se define según la norma ISO/IEC 17799:2005, como la preservación de la confidencialidad, integridad y

disponibilidad dela información, siendo estos sus princi pios, existen agentes externos que influyen en su

entendimiento, la misma involucra reglas y procedimientos que llevan al objetivo.

Principios de seguridad de la información

La seguridad de la información busca proteger la confidencialidad de la información contra accesos no

autorizados, evitar alteraciones indebidas que pongan en peligro la integridad de la información y garantizar

la disponibilidad de la misma. Por tal razón, la seguridad de la información se basa en los siguientes principios:

confidencialidad, integridad y disponibilidad.

Confidencialidad

Es una cualidad de la información en la que se garantiza que es accesible únicamente por el personal

autorizado a dicha información.

En consecuencia, la información catalogada como privada o confidencial deberá ser accesible sólo por las

personas autorizadas. El objetivo de la confidencialidad es prevenir la divulgación no autorizada de la

información, manteniéndola oculta o en secreto.

Integridad

La información tiene integridad cuando es oportuna, precisa, completa y coherente. Sin embargo, las

computadoras son incapaces de proporcionar o proteger todas éstas cualidades de la información. Por tanto,

en el campo de la seguridad de la información la integridad se define con base en dos aspectos: integridad de

los datos y la integridad del sistema.

La integridad de datos es un requisito para que la información y los programas sólo puedan ser alterados por

una entidad específica y autorizada para ello.

La integridad del sistema es el requisito de que un sistema se comporte con base en lo esperado, l ibre de

manipulaciones no autorizadas, deliberadas o imprevistas en el sistema.

Disponibilidad

Es la cualidad que garantiza que la información sea proporcionada por los sistemas de forma rápida y que el

servicio esté siempre accesible por los usuarios autoriza dos para acceder al recurso.

Los tres aspectos anteriores componen la tríada de la seguridad de la información, lo que significa que un

sistema es seguro o fiable si garantiza la confidencialidad, i ntegridad y disponibilidad.

Enfoques de seguridad

En la seguridad de la información se consideran los enfoques de seguridad física y lógica de los sistemas de

información, cabe destacar que la seguridad lógica es uno de los aspectos más vulnerados, la mayo ría de los

ataques son dirigidos especialmente hacia los principios de la seguridad informática (confidencialidad,

integridad y disponibilidad), los cuales tienen como propósito proteger la información almacenada y

procesada por los sistemas de información. Por lo general, la información es uno de los activos más

importantes para cualquier organización, por lo tanto, deben existir estrategias y técnicas que la protejan,

considerando aspectos de seguridad física y seguridad lógica.

La seguridad física es uno de los aspectos menos contemplados en el diseño de un sistema de información.

Para un atacante puede ser más fácil acceder y copiar información confidencial directamente del sistema que

la contiene, a través de un dispositivo USB (Universal Serial Bus – Bus Universal en Serie), que intenta acceder

vía lógica al sistema para substraer dicha información.

La seguridad física consiste en la aplicación de barreras físicas, procedimientos y mecanismos de control de

acceso, para reducir el riesgo de que las amena zas se materialicen sobre los recursos e información.

Es importante resaltar que cada sistema es único y por tanto la política de seguridad a implementar no debe

ser única. Este enfoque de seguridad física, debe contemplar amenazas ocasionadas por el hombr e y por la

propia naturaleza del medio físico en el que se encuentran ubicados los sistemas a proteger.

Las principales amenazas que se prevén en la seguridad física son:

Desastres naturales: incendios, tormentas, terremotos, inundaciones entre otros.

Amenazas ocasionadas por el hombre de forma no intencional: deficiente instalación eléctrica,

condiciones inadecuadas de funcionamiento, etcétera.

Disturbios, robo, fraude, sabotajes internos y externos.

Para evitar que las amenazas anteriores se materialicen sobre la información, se recomienda implementar

controles de acceso físico que contemplen:

Uso de guardias de seguridad.

Detectores de metales y o dispositivos de almacenamiento (escáner corporal).

Sistemas biométricos.

Uso de animales (caninos).

Protecciones físicas (rejas, candados, chapas, etcétera). [5]

La seguridad lógica consiste en la aplicación de barreras, procedimientos y mecanismos de control de acceso

a la información, dentro de los sistemas y aplicaciones que sólo permitan a las personas autori zadas el acceso

y manipulación de dicho activo.

La seguridad lógica debe garantizar como mínimo los siguientes aspectos para el aseguramiento de la

información:

Restringir el acceso a los archivos y software.

Asegurar que los custodios de la información tengan los permisos necesarios para desempeñar sus

funciones.

Tener supervisión y registro de la interacción de los usuarios con los sistemas.

Que la información transmitida sea enviada a través del medio adecuado para ello.

Asegurar que la información y programas, sean manipulados por los usuarios correctos con los

permisos adecuados (confidencialidad).

Asegurar que el destinatario al cual se le haya enviado la información, sea quien la reciba y no alguien

más.

Que la información recibida sea la misma que ha sido transmitida (integridad).

La existencia de sistemas secundarios (emergencia) para la transmisión de datos hacia y desde

diferentes puntos (disponibilidad).

El primer paso para proteger la información de cualquier sistema es identificar los aspectos físicos y lógicos

que se quieren proteger, para posteriormente reforzarlos con la implementación de mecanismos o controles.

Lo anterior no garantiza que la información no sufrirá algún tipo de ataque sobre su integridad, disponibilidad

o confidencialidad, sino que el riesgo de que ello suceda, disminuya considerablemente.

Servicios de seguridad informática

El objetivo de un servicio de seguridad es mejorar la funcionamiento de los sistemas de información y

comunicación en las organizaciones. Los servicios de seguridad están diseñados para mitigar los ataques a la

seguridad de la información y hacen uso de uno o más mecanismos de seguridad para proporcionar el servicio.

Los servicios son seis y se detallan a continuación:

Confidencialidad

Este servicio de seguridad garantiza que la información no pueda estar disponible o accesible a personas,

entidades o procesos no autorizados para que puedan leer, copiar o modificar la información.

Algunos de los métodos para garantizar la confidencialidad son:

Uso de listas de control de acceso a los recursos críticos.

Cifrado de la información almacenada y transmitida.

Autenticación

Servicio de seguridad que garantiza que la comunicación es auténtica, es decir, se encarga de verificar que el

origen de los datos sea el correcto, quién los envía, así como comprobar que los datos se enviaron y recibieron

de forma correcta. Algunos métodos de autenticación son:

Implementación de controles biométricos: huellas dactilares, retina, iris, geometría de mano, voz,

etcétera.

Tarjetas inteligentes (smart card) que guardan información del dueño de la misma.

Uso de contraseñas robustas.

Integridad

Servicio de seguridad que garantiza que la información sea modificada, creada y borrada, sólo por el personal

autorizado para ello. El principal problema de la integridad no se refiere a modificaciones malintencionadas,

sino a los cambios accidentales.

Algunos métodos para detectar la pérdida de integridad son: Algoritmos hash (MD5, Sha -1, etcétera).

No repudio

El no repudio previene a los emisores o receptores de negar un mensaje transmitido o recibido. Cuando un

mensaje es enviado, el receptor puede comprobar que el mensaje fue enviado por el presunto emisor. De la

misma forma, cuando un mensaje es recibido, el remitente puede comprobar que el mensaje fue recibido por

el receptor.

Los servicios de no repudio proporcionan evidencia que puede ser verificada por una tercera entidad. Los

siguientes servicios son los que pueden ser proporcionados con infraestructura de llave pública y privada, en

específico con el uso de firma electrónica:

No repudio de origen: garantiza al receptor que el emisor no pueda negar haber enviado el mensaje.

No repudio de envío: garantiza al emisor que el receptor no pueda negar haber recibido el mensaje.

Control de acceso

Servicio de seguridad que implementa controles de acceso, a fin de garantizar que un usuario sea identificado

y autenticado de manera exitosa, para que entonces le sea permitido el acceso al activo o recurso.

Disponibilidad

Servicio de seguridad que garantiza que los usuarios autorizados tengan acceso a los activos y recursos del

sistema, con base en los l ineamientos de forma y tiempo definidos por el proveedor del servicio.

Evento de Seguridad de Información

La norma ISO/IEC TR 18044:2004 define evento de SI como “Una ocurrencia identificada de un estado del

sistema, servicio o red que indica una brecha posible en la política de seguridad o falla de las salvaguardas, o

de una situación previamente desconocida que puede ser pertinente a la seguridad”.

SGSI

Tomando lo establecido por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), (s.f.): “Un

Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer políticas,

procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener

siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad

es una herramienta, alejada de tecnicismos, que les ofrece una visión global sobre el estado de sus sistemas

de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de

dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a

seguir”.

La Organización Internacional de Normalización (ISO)

ISO, conceptualizada por ellos mismos en su portal web (s.f.), es una organización independiente, no

gubernamental, su central se encuentra en Ginebra, Suiza. El nombre ISO, proviene del Griego, “isos” que

cuyo significado al español es igual. Creada en 1946, cuando los delegados de 25 países se reunieron en el

Instituto de Ingenieros Civiles en Londres y decidieron comenzar una nueva organización internacional que

facil itara la coordinación y unificación de estándares industriales.

Normas ISO serie 27000

La serie ISO 27000 es un conjunto de normas que velan por la Seguridad de la Información. Centrando su

planteamiento en la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI), el estándar,

especifica los requerimientos para establecerlo, implementarlo y mantenerlo, e incluye requerimientos para

la evaluación y tratamiento de riesgos de seguridad diseñados acorde a las necesidades de las diferentes

organizaciones. (ISO/IEC 27001:2013, 2013)

Descritas por Alexander, A (2005) a continuación un resumen de los componentes de la familia ISO 27000:

1. ISO 27000: Vocabulario y definiciones. Publicado en 2007, es un glosario de términos para un SGSI

2. ISO 27001: Se refiere al estándar certificable ya oficializado

3. ISO 27002: Es el relevo del ISO/IEC 17799:2005, el cual es el “Código de práctica de Seguridad en la

Gestión de la Información”, este modelo no puede usarse para la certificación.

4. ISO 27003: Guía para la Implementación, oficia lizado en el 2008.

5. ISO 27004: Métricas e Indicadores para la gestión de un SGSI, oficializado en 2008.

6. ISO 27005: Gestión de Riesgos, oficializado en 2008.

7. ISO 27006: Requerimientos para entidades que proveen servicios de auditoría y certificación en SGSI

ISO/IEC 27001:2013

La última versión es la ISO/IEC 27001:2013 que salió a mediados del mes de marzo del año 2013. Las

principales modificaciones se ven reflejadas en la estructura y el contenido de los controles que conforman el

Anexo “A”, donde el número total de dominios era de 11 y ahora son 14 y se reduce el número de controles

de 133 a 113, todo como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles

de seguridad.

Estructura

0. Introducción

En la norma ISO 27001:2013 el cambios más significativo es la eliminación de la sección “Enfoque del

proceso” que sí contenía la versión 2005, donde se describía el modelo PHVA, considerándose el corazón del

Sistema de Gestión de Seguridad de la Información (SGSI).

1. Alcance

En la norma ISO 27001:2013 se establece como obligatorio el cumplimiento de los requisitos especificados

entre los capítulos 4 a 10 de dicho documentos, para poder obtener una conformidad de cumplimiento y así

poder certificase.

2. Referencias normativas

El estándar ISO 27002 ya no será referencia normativa para la norma ISO 27001:2013, aunque se puede

considerar necesario el desarrollo de una declaración de aplicabilidad.

La norma ISO 27001:2013 se convierte en una referencia normativa obligatoria y única, ya que con tiene

todos los nuevos términos y definiciones.

3. Términos y definiciones

Los términos y las definiciones que se encontraban en la ISO 27001:2005 los trasladaron y fueron agrupados

en la sección 3 de la norma ISO 27001:2013 “Fundamento y vocabulario”, con el fin de contar con una sola

guía de términos y definiciones que sea consistente.

4. Contexto de la organización

Durante esta cláusula de la norma ISO 27001:2013 se identifican todos los problemas externos e internos

que rodean a la empresa:

Se intuyen todos los requisitos para definir el contexto del SGSI sin importar el tipo de empresa que

sea y el alcance que tenga.

Se introduce una nueva figura como un elemento primordial para definir el alcance del SGSI

Se establece la prioridad de identificar y definir todas las necesidades de las partes interesadas con

relación a la seguridad de la información y las expectativas creadas por el Sistema de Gestión de

Seguridad de la Información, ya que esto determinará las políticas de Seguridad de la Información y

todos los objetivos a seguir para el proceso de gestión de riesgos.

5. Liderazgo

Se realiza un ajuste de la relación y las responsabilidades de la gerencia de la organización con respecto al

Sistema de Gestión de Seguridad de la Información, destacando como se deberá demostrar el compromiso,

como por ejemplo:

Garantizar que los objetivos del SGSI y la política de seguridad de la información, antes se conocía

como la política del SGSI.

Se debe garantizar la disponibilidad de todos los recursos para la implantación del SGSI.

Se garantiza que los roles y las responsabilidades para la seguridad de la información se asignan y

se comunican de forma adecuada.

6. Planeación

En este apartado de la norma ISO 27001:2013 se enfoca a la definición de los objetivos de seguridad como

un todo, los cuales deben estar claros y se deben contar con planes específicos para conseguirlos.

Se puede presentar grandes cambios en el proceso de evaluación de riesgos:

El proceso para evaluar los riesgos ya no se encuentra enfocado a los activos, las vulnerabilidades y

las amenazas.

La metodología se enfoca con el objetivo de identificar todos los riesgos asociados con la pérdida

de confidencialidad, integridad y disponibilidad de la información.

El nivel de riesgos se determina con base a toda probabil idad de que ocurra un riego y las

consecuencias generadas, si el riesgo se materializa.

Se elimina el término propietario del activo y se adopta el término propietario del riesgo.

Los requisitos no han sufrido transformaciones significativas.

7. Soporte

Los requisitos del soporte para el establecimiento de la implementación y mejora del SGSI, que incluye:

Recursos

Personal competente

Conciencia y comunicación de todas las partes interesadas.

Se incluye una nueva definición que es “información documentada”, ésta sustituye a los términos

“documentos y registros”, establece el proceso de documentar, mantener, controlar y conservar la

documentación que corresponde al Sistema de Gestión de Seguridad de la Información.

La norma ISO 27001:2013 se enfoca en el contenido de los documentos y no en que existe un determinado

número de éstos.

8. Operación

Establece todos los requisitos para medir el funcionamiento del Sistema de Gestión de Seguridad de la

Información, todas las expectativas de la gerencia de la organización y l a retroalimentación sobre estas,

además de cumplir con la norma ISO 27001:2013.

Además, la organización se plantea y controla las operaciones y los requisitos de seguridad, el pilar de este

proceso se centra en realizar las evaluaciones de riesgos de segur idad de la información de forma periódica

por medio de un programa elegido.

Todos los activos, las vulnerabilidades y las amenazas ya no son la base principal de la evaluación de riesgos.

Solo se requiere para realizar la identificación de los riesgos, que están asociados a la confidencialidad, la

integridad y la disponibilidad.

9. Evaluación del desempeño

La base para poder realizar la identificación y la medición de la eficiencia y el desempeño que realiza el

Sistema de Gestión de Seguridad de la Información continúa siendo las auditorías internas y las revisiones

del SGSI.

Se tiene que considerar el estado en el que se encuentran los planes de acción para poder atender las no

conformidades como es debido, además se establece la necesidad de definir quién y cuándo realiza las

evaluaciones, además de quien tiene que analizar la información que se ha recolectado.

10. Mejora

El principal elemento del proceso de mejora son las no conformidades identificadas, las cuales tiene que

contabilizarse y compararse con las accione correctivas para asegurarse de que no se repitan y que las

acciones correctoras que se realicen sean efectivas.

Dominios de Seguridad

Controles por Dominios

Núm. Nombre Descripción / Justificación

1 Objeto y campo de aplicación Seleccionar los controles dentro del proceso de implementación del Sistema de

Gestión de Seguridad de la Información - SGSI

2 Referencias normativas La ISO/IEC 27000, es referenciada parcial o totalmente en el documento y es

indispensable para su aplicación.

3 Términos y definiciones Para los propósitos de este documento se aplican los términos y definiciones

presentados en la norma ISO/IEC 27000.

4 Estructura de la norma

La norma ISO/IEC 27000, contiene 14 numérales de control de seguridad de la

información que en su conjunto contienen más de 35 categorías de seguridad

principales y 114 controles.

5 Políticas de seguridad de la información

5.1

Directrices establecidas por la dirección para la

seguridad de la información

Objetivo: Brindar orientación y apoyo por parte de la dirección, para la seguridad

de la información de acuerdo con los requisitos del negocio y con las leyes y

reglamentos pertinentes.

5.1.1

Políticas para la seguridad de la información Control: Se debería definir un conjunto de políticas para la seguridad de la

información, aprobada por la dirección, publicada y comunicada a los empleados

y partes externas pertinentes.

5.1.2

Revisión de las políticas para seguridad de la

información

Control: Las políticas para seguridad de la información se deberían revisar a

intervalos planificados o si ocurren cambios significativos, para asegurar su

conveniencia, adecuación y eficacia continúas.

6 Organización de la seguridad de la información

6.1 Organización interna

Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la

implementación y la operación de la seguridad de la información dentro de la

organización.

6.1.1 Roles y responsabilidades para la seguridad de

información

Control: Se deberían definir y asignar todas las responsabilidades de la seguridad

de la información.

6.1.2 Separación de deberes

Control: Los deberes y áreas de responsabilidad en conflicto se deberían separar

para reducir las posibilidades de modificación no autorizada o no intencional, o el

uso indebido de los activos de la organización.

6.1.3 Contacto con las autoridades Control: Se deberían mantener los contactos apropiados con las autoridades

pertinentes.

6.1.4 Contacto con grupos de interés especial Control: Es conveniente mantener contactos apropiados con grupos de interés

especial u otros foros y asociaciones profesionales especializadas en seguridad.

6.1.5 Seguridad de la información en la gestión de

proyectos

Control: La seguridad de la información se debería tratar en la gestión de

proyectos, independientemente del tipo de proyecto.

6.2 Dispositivos móviles y teletrabajo Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.

6.2.1 Política para dispositivos móviles

Control: Se deberían adoptar una política y unas medidas de seguridad de

soporte, para gestionar los riesgos introducidos por e l uso de dispositivos

móviles.

6.2.2 Teletrabajo

Control: Se deberían implementar una política y unas medidas de seguridad de

soporte, para proteger la información a la que se tiene acceso, que es procesada

o almacenada en los lugares en los que se realiza teletrabajo.

7 Seguridad de los recursos humanos

7.1 Antes de asumir el empleo Objetivo: Asegurar que los empleados y contratistas comprenden sus

responsabilidades y son idóneos en los roles para los que se consideran.

7.1.1 Selección

Control: Las verificaciones de los antecedentes de todos los candidatos a un

empleo se deberían llevar a cabo de acuerdo con las leyes, reglamentos y ética

pertinentes, y deberían ser proporcionales a los requisitos de negocio, a la

clasificación de la información a que se va a tener acceso, y a los riesgos

percibidos.

7.1.2

Términos y condiciones del empleo Control: Los acuerdos contractuales con empleados y contratistas, deberían

establecer sus responsabilidades y las de la organización en cuanto a la

seguridad de la información.

7.2 Durante la ejecución del empleo Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de

sus responsabilidades de seguridad de la información y las cumplan.

7.2.1 Responsabilidades de la dirección

Control: La dirección debería exigir a todos los empleados y contratistas la

aplicación de la seguridad de la información de acuerdo con las políticas y

procedimientos establecidos por la organización.

7.2.2 Toma de conciencia, educación y formación

en la seguridad de la información

Control: Todos los empleados de la organización, y en donde sea pertinente, los

contratistas, deberían recibir la educación y la formación en toma de conciencia

apropiada, y actualizaciones regulares sobre las políticas y procedimientos

pertinentes para su cargo.

7.2.3 Proceso disciplinario

Control: Se debería contar con un proceso disciplinario formal el cual debería

ser comunicado, para emprender acciones contra empleados que hayan

cometido una violación a la seguridad de la información.

7.3 Terminación o cambio de empleo Objetivo: Proteger los intereses de la organización como parte del proceso de

cambio o terminación del contrato.

7.3.1

Terminación o cambio de

responsabilidades de empleo

Control: Las responsabilidades y los deberes de seguridad de la información que

permanecen validos después de la terminación o cambio de contrato se

deberían definir, comunicar al empleado o contratista y se deberían hacer

cumplir.

8 Gestión de activos

8.1 Responsabilidad por los activos Objetivo: Identificar los activos organizacionales y definir las responsabilidades

de protección apropiadas.

8.1.1 Inventario de activos

Control: Se deberían identificar los activos asociados con la información y las

instalaciones de procesamiento de información, y se debería elaborar y

mantener un inventario de estos activos.

8.1.2 Propiedad de los activos Control: Los activos mantenidos en el inventario deberían tener un propietario.

8.1.3 Uso aceptable de los activos

Control: Se deberían identificar, documentar e implementar reglas para el uso

aceptable de información y de activos asociados con información e

instalaciones de procesamiento de información.

8.1.4 Devolución de activos

Control: Todos los empleados y usuarios de partes externas deberían devolver

todos los activos de la organización que se encuentren a su cargo, al terminar su

empleo, contrato o acuerdo.

8.2 Clasificación de la información Objetivo: Asegurar que la información recibe un nivel apropiado de protección,

de acuerdo con su importancia para la organización.

8.2.1 Clasificación de la información Control: La información se debería clasificar en función de los requisitos legales,

valor, criticidad y susceptibilidad a divulgación o a modificación no autorizada.

8.2.2 Etiquetado de la información

Control: Se debería desarrollar e implementar un conjunto adecuado de

procedimientos para el etiquetado de la información, de acuerdo con el

esquema de clasificación de información adoptado por la organización.

8.2.3 Manejo de activos

Control: Se deberían desarrollar e implementar procedimientos para el manejo

de activos, de acuerdo con el esquema de clasificación de información

adoptado por la organización.

8.3.1

Gestión de medios removibles Control: Se deberían implementar procedimientos para la gestión de medios

removibles, de acuerdo con el esquema de clasificación adoptado por la

organización.

8.3.2 Disposición de los medios Control: Se debería disponer en forma segura de los medios cuando ya no se

requieran, utilizando procedimientos formales.

8.3.3 Transferencia de medios físicos Control: Los medios que contienen información se deberían proteger contra

acceso no autorizado, uso indebido o corrupción durante el transporte.

9 Control de acceso

9.1 Requisitos del negocio para control de

acceso

Objetivo: Limitar el acceso a información y a instalaciones de procesamiento de

información.

9.1.1 Política de control de acceso

Control: Se debería establecer, documentar y revisar una política de control de acceso con base en los requisitos del negocio y de seguridad de la información.

9.1.2 Política sobre el uso de los servicios de red Control: Solo se debería permitir acceso de los usuarios a la red y a los servicios

de red para los que hayan sido autorizados específicamente.

9.2 Gestión de acceso de usuarios Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el acceso no

autorizado a sistemas y servicios.

9.2.1 Registro y cancelación del registro de

usuarios

Control: Se debería implementar un proceso formal de registro y de cancelación

de registro de usuarios, para posibilitar la asignación de los derechos de acceso.

9.2.2

Suministro de acceso de usuarios Control: Se debería implementar un proceso de suministro de acceso formal de

usuarios para asignar o revocar los derechos de acceso a todo tipo de usuarios

para todos los sistemas y servicios.

9.2.3 Gestión de derechos de acceso privilegiado Control: Se debería restringir y controlar la asignación y uso de derechos de

acceso privilegiado.

9.2.4 Gestión de información de autenticación

secreta de usuarios

Control: La asignación de la información secreta se debería controlar por medio

de un proceso de gestión formal.

9.2.5 Revisión de los derechos de acceso de

usuarios

Control: Los propietarios de los activos deberían revisar los derechos de acceso

de los usuarios, a intervalos regulares.

9.2.6 Retiro o ajuste de los derechos de acceso

Control: Los derechos de acceso de todos los empleados y de usuarios externos

a la información y a las instalaciones de procesamiento de información se

deberían retirar al terminar su empleo, contrato o acuerdo, o se deberían

ajustar cuando se hagan cambios.

9.3 Responsabilidades de los usuarios Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su

información de autenticación.

9.3.1 Uso de la información de autenticación

secreta

Control: Se debería exigir a los usuarios que cumplan las prácticas de la

organización para el uso de información de autenticación secreta.

9.4 Control de acceso a sistemas y aplicaciones Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.

9.4.1

Restricción de acceso Información Control: El acceso a la información y a las funciones de los sistemas de las

aplicaciones se debería restringir de acuerdo con la política de control de

acceso.

9.4.2

Procedimiento de ingreso seguro Control: Cuando lo requiere la política de control de acceso, el acceso a

sistemas y aplicaciones se debería controlar mediante un proceso de ingreso

seguro.

9.4.3 Sistema de gestión de contraseñas Control: Los sistemas de gestión de contraseñas deberían ser interactivos y

deberían asegurar la calidad de las contraseñas.

9.4.4 Uso de programas utilitarios privilegiados

Control: Se debería restringir y controlar estrictamente el uso de programas utilitarios que pudieran tener capacidad de anular el sistema y los controles de las aplicaciones.

9.4.5 Control de acceso a códigos fuente de

programas

Control: Se debería restringir el acceso a los códigos fuente de los programas.

10 Criptografía

10.1 Controles criptográficos Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la

confidencialidad, la autenticidad y/o la integridad de la información.

10.1.1 Política sobre el uso de controles

criptográficos

Control: Se debería desarrollar e implementar una política sobre el uso de

controles criptográficos para la protección de la información.

10.1.2 Gestión de llaves

Control: Se debería desarrollar e implementar una política sobre el uso,

protección y tiempo de vida de las llaves criptográficas durante todo su ciclo de

vida.

11 Seguridad física y del entorno

11.1 Áreas seguras

Objetivo: Prevenir el acceso físico no autorizado, el daño y la interferencia a la

información y a las instalaciones de procesamiento de información de la

organización.

11.1.1

Perímetro de seguridad física Control: Se deberían definir y usar perímetros de seguridad, y usarlos para

proteger áreas que contengan información sensible o critica, e instalaciones de

manejo de información.

11.1.2 Controles físicos de entrada

Control: Las áreas seguras se deberían proteger mediante controles de entrada

apropiados para asegurar que solamente se permite el acceso a personal

autorizado.

11.1.3 Seguridad de oficinas, recintos e

instalaciones

Control: Se debería diseñar y aplicar seguridad física a oficinas, recintos e

instalaciones.

11.1.4 Protección contra amenazas externas y

ambientales

Control: Se debería diseñar y aplicar protección física contra desastres

naturales, ataques maliciosos o accidentes.

11.1.5 Trabajo en áreas seguras Control: Se deberían diseñar y aplicar procedimientos para trabajo en áreas

seguras.

11.1.6 Áreas de despacho y carga

Control: Se deberían controlar los puntos de acceso tales como áreas de

despacho y de carga, y otros puntos en donde pueden entrar personas no

autorizadas, y si es posible, aislarlos de las instalaciones de procesamiento de

información para evitar el acceso no autorizado.

11.2 Equipos Objetivo: Prevenir la perdida, daño, robo o compromiso de activos, y la

interrupción de las operaciones de la organización.

11.2.1

Ubicación y protección de los equipos Control: Los equipos deberían estar ubicados y protegidos para reducir los

riesgos de amenazas y peligros del entorno, y las oportunidades para acceso no

autorizado.

11.2.2 Servicios de suministro Control: Los equipos se deberían proteger contra fallas de energía y otras

interrupciones causadas por fallas en los servicios de suministro.

11.2.3 Seguridad del cableado

Control: El cableado de potencia y de telecomunicaciones que porta datos o

soporta servicios de información debería estar protegido contra interceptación,

interferencia o daño.

11.2.4 Mantenimiento de equipos Control: Los equipos se deberían mantener correctamente para asegurar su

disponibilidad e integridad continuas.

11.2.5 Retiro de activos Control: Los equipos, información o software no se deberían retirar de su sitio

sin autorización previa.

11.2.6

Seguridad de equipos y activos fuera de las

instalaciones

Control: Se deberían aplicar medidas de seguridad a los activos que se

encuentran fuera de las instalaciones de la organización, teniendo en cuenta

los diferentes riesgos de trabajar fuera de dichas instalaciones.

11.2.7 Disposición segura o reutilización de

equipos

Control: Se deberían verificar todos los elementos de equipos que contengan

medios de almacenamiento, para asegurar que cualquier dato sensible o

software con licencia haya sido retirado o sobrescrito en forma segura antes de

su disposición o reutilización.

11.2.8 Equipos de usuario desatendidos Control: Los usuarios deberían asegurarse de que a los equipos desatendidos se

les dé protección apropiada.

11.2.9

Política de escritorio limpio y pantalla

limpia

Control: Se debería adoptar una política de escritorio limpio para los papeles y

medios de almacenamiento removibles, y una política de pantalla limpia en las

instalaciones de procesamiento de información.

12 Seguridad de las operaciones

12.1 Procedimientos operacionales y

responsabilidades

Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de

procesamiento de información.

12.1.1 Procedimientos de operación

documentados

Control: Los procedimientos de operación se deberían documentar y poner a

disposición de todos los usuarios que los necesiten.

12.1.2 Gestión de cambios

Control: Se deberían controlar los cambios en la organización, en los procesos

de negocio, en las instalaciones y en los sistemas de procesamiento de

información que afectan la seguridad de la información.

12.1.3 Gestión de capacidad

Control: Para asegurar el desempeño requerido del sistema se debería hacer

seguimiento al uso de los recursos, hacer los ajustes, y hacer proyecciones de

los requisitos sobre la capacidad futura.

12.1.4

Separación de los ambientes de desarrollo,

pruebas y operación

Control: Se deberían separar los ambientes de desarrollo, prueba y operación,

para reducir los riesgos de acceso o cambios no autorizados al ambiente de

operación.

12.2 Protección contra códigos maliciosos

Objetivo: Asegurarse de que la información y las instalaciones de

procesamiento de información estén protegidas contra códigos maliciosos.

12.2.1

Controles contra códigos maliciosos Control: Se deberían implementar controles de detección, de prevención y de

recuperación, combinados con la toma de conciencia apropiada de los usuarios,

para proteger contra códigos maliciosos.

12.3 Copias de respaldo Objetivo: Proteger contra la perdida de datos.

12.3.1 Respaldo de información

Control: Se deberían hacer copias de respaldo de la información, del software e

imágenes de los sistemas, y ponerlas a prueba regularmente de acuerdo con

una política de copias de respaldo aceptada.

12.4 Registro y seguimiento Objetivo: Registrar eventos y generar evidencia.

12.4.1 Registro de eventos

Control: Se deberían elaborar, conservar y revisar regularmente los registros

acerca de actividades del usuario, excepciones, fallas y eventos de seguridad de

la información.

12.4.2 Protección de la información de registro Control: Las instalaciones y la información de registro se deberían proteger

contra alteración y acceso no autorizado.

12.4.3

Registros del administrador y del operador Control: Las actividades del administrador y del operador del sistema se

deberían registrar, y los registros se deberían proteger y revisar con

regularidad.

12.4.4 sincronización de relojes

Control: Los relojes de todos los sistemas de procesamiento de información

pertinentes dentro de una organización o ámbito de seguridad se deberían

sincronizar con una única fuente de referencia de tiempo.

12.5 Control de software operacional Objetivo: Asegurar la integridad de los sistemas operacionales.

12.5.1 Instalación de software en sistemas

operativos

Control: Se deberían implementar procedimientos para controlar la instalación

de software en sistemas operativos.

12.6 Gestión de la vulnerabilidad técnica Objetivo: Prevenir el aprovechamiento de las vulnerabilidades técnicas.

12.6.1 Gestión de las

vulnerabilidades técnicas

Control: Se debería obtener oportunamente información acerca de las

vulnerabilidades técnicas de los sistemas de información que se usen; evaluar la

exposición de la organización a estas vulnerabilidades, y tomar las medidas

apropiadas para tratar el riesgo asociado.

12.6.2 Restricciones sobre la instalación de

software

Control: Se deberían establecer e implementar las reglas para la instalación de

software por parte de los usuarios.

12.7 Consideraciones sobre auditorias de

sistemas de información

Objetivo: Minimizar el impacto de las actividades de auditoría sobre los

sistemas operacionales.

12.7.1 Información controles de auditoría de

sistemas

Control: Los requisitos y actividades de auditoría que involucran la verificación

de los sistemas operativos se deberían planificar y acordar cuidadosamente

para minimizar las interrupciones en los procesos del negocio.

13 Seguridad de las comunicaciones

13.1 Gestión de la seguridad de las redes Objetivo: Asegurar la protección de la información en las redes, y sus

instalaciones de procesamiento de información de soporte.

13.1.1 Controles de redes Control: Las redes se deberían gestionar y controlar para proteger la

información en sistemas y aplicaciones.

13.1.2 Seguridad de los servicios de red

Control: Se deberían identificar los mecanismos de seguridad, los niveles de

servicio y los requisitos de gestión de todos los servicios de red, e incluirlos en

los acuerdos de servicios de red, ya sea que los servicios se presten

internamente o se contraten externamente.

13.1.3 Separación en las redes Control: Los grupos de servicios de información, usuarios y sistemas de

información se deberían separar en las redes.

13.2 Transferencia de información Objetivo: Mantener la seguridad de la información transferida dentro de una

organización y con cualquier entidad externa.

13.2.1

Políticas y procedimientos de transferencia

de información

Control: Se debería contar con políticas, procedimientos y controles de

transferencia formales para proteger la transferencia de información mediante

el uso de todo tipo de instalaciones de comunicación.

13.2.2 Acuerdos sobre

transferencia de información

Control: Los acuerdos deberían tener en cuenta la transferencia segura de

información del negocio entre la organización y las partes externas.

13.2.3 Mensajería electrónica Control: Se debería proteger adecuadamente la información incluida en la

mensajería electrónica.

13.2.4

Acuerdos de

confidencialidad o de no divulgación

Control: Se deberían identificar, revisar regularmente y documentar los

requisitos para los acuerdos de confidencialidad o no divulgación que reflejen

las necesidades de la organización para la protección de la información.

14 Adquisición, desarrollo y mantenimientos

de sistemas

14.1.1 Requisitos de seguridad de los sistemas de

información

Objetivo: Asegurar que la seguridad de la información sea una parte integral de

los sistemas de información durante todo el ciclo de vida. Esto incluye también

los requisitos para sistemas de información que prestan servicios en redes

públicas.

14.1.1

Análisis y especificación de requisitos de


Control: Los requisitos relacionados con seguridad de la información se

deberían incluir en los requisitos para nuevos sistemas de información o para

mejoras a los sistemas de información existentes.

14.1.2

Seguridad de servicios de las aplicaciones

en redes publicas

Control: La información involucrada en los servicios de aplicaciones que pasan

sobre redes públicas se debería proteger de actividades fraudulentas, disputas

contractuales y divulgación y modificación no autorizadas.

14.1.3 Protección de transacciones de los servicios

de las aplicaciones

Control: La información involucrada en las transacciones de los servicios de las

aplicaciones se debería proteger para evitar la transmisión incompleta, el

enrutamiento errado, la alteración no autorizada de mensajes, la divulgación no

autorizada, y la duplicación o reproducción de mensajes no autorizada.

14.2

Seguridad en los procesos de desarrollo y

soporte

Objetivo: Asegurar de que la seguridad de la información esté diseñada e

implementada dentro del ciclo de vida de desarrollo de los sistemas de

información.

14.2.1 Política de desarrollo seguro Control: Se deberían establecer y aplicar reglas para el desarrollo de software y

de sistemas, a los desarrollos que se dan dentro de la organización.

14.2.2

Procedimientos de control de cambios en

sistemas

Control: Los cambios a los sistemas dentro del ciclo de vida de desarrollo se

deberían controlar mediante el uso de procedimientos formales de control de

cambios.

14.2.3

Revisión técnica de las aplicaciones después

de cambios en la plataforma de operación

Control: Cuando se cambian las plataformas de operación, se deberían revisar

las aplicaciones críticas del negocio, y ponerlas a prueba para asegurar que no

haya impacto adverso en las operaciones o seguridad de la organización.

14.2.4

Restricciones en los cambios a los paquetes

de software

Control: Se deberían desalentar las modificaciones a los paquetes de software,

que se deben limitar a los cambios necesarios, y todos los cambios se deberían

controlar estrictamente.

14.2.5

Principios de construcción de sistemas

seguros

Control: Se deberían establecer, documentar y mantener principios para la

construcción de sistemas seguros, y aplicarlos a cualquier actividad de

implementación de sistemas de información.

14.2.6 Ambiente de desarrollo seguro

Control: Las organizaciones deberían establecer y proteger adecuadamente los

ambientes de desarrollo seguros para las tareas de desarrollo e integración de

sistemas que comprendan todo el ciclo de vida de desarrollo de sistemas.

14.2.7 Desarrollo contratado externamente Control: La organización debería supervisar y hacer seguimiento de la actividad

de desarrollo de sistemas contratados externamente.

14.2.8 Pruebas de seguridad de sistemas Control: Durante el desarrollo se deberían llevar a cabo pruebas de funcionalidad

de la seguridad.

14.2.9

Prueba de aceptación de sistemas Control: Para los sistemas de información nuevos, actualizaciones y nuevas

versiones, se deberían establecer programas de prueba para aceptación y

criterios de aceptación relacionados.

14.3 Datos de prueba Objetivo: Asegurar la protección de los datos usados para pruebas.

14.3.1 Protección de datos de prueba

Control:Los datos de ensayo se deberían seleccionar, proteger y controlar

cuidadosamente.

15 Relación con los proveedores

15.1

Seguridad de la información en las

relaciones con los proveedores

Objetivo: Asegurar la protección de los activos de la organización que sean

accesibles a los proveedores.

15.1.1

Política de seguridad de la información para

las relaciones con proveedores

Control: Los requisitos de seguridad de la información para mitigar los riesgos

asociados con el acceso de proveedores a los activos de la organización se

deberían acordar con estos y se deberían documentar.

15.1.2 Tratamiento de la seguridad dentro de los

acuerdos con proveedores

Control: Se deberían establecer y acordar todos los requisitos de seguridad de

la información pertinentes con cada proveedor que pueda tener acceso,

procesar, almacenar, comunicar o suministrar componentes de infraestructura

de TI para la información de la organización.

15.1.3

Cadena de suministro de tecnología de

información y comunicación

Control: Los acuerdos con proveedores deberían incluir requisitos para tratar

los riesgos de seguridad de la información asociados con la cadena de

suministro de productos y servicios de tecnología de información y

comunicación.

15.2 Gestión de la prestación de servicios con los

proveedores

Objetivo: Mantener el nivel acordado de seguridad de la información y de

prestación del servicio en línea con los acuerdos con los proveedores.

15.2.1 Seguimiento y revisión de los servicios de

los proveedores

Las organizaciones deberían hacer seguimiento, revisar y auditar con

regularidad la prestación de servicios de los proveedores.

15.2.2 Gestión de cambios en los servicios de

proveedores

Control: Se deberían gestionar los cambios en el suministro de servicios por

parte de los proveedores, incluido el mantenimiento y la mejora de las políticas,

procedimientos y controles de seguridad de la información existentes ,

teniendo en cuenta la criticidad de la información, sistemas y procesos del

negocio involucrados, y la revaloración de los riesgos.

16 Gestión de incidentes de seguridad de la

información

16.1

Gestión de incidentes y mejoras en la


Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes

de seguridad de la información, incluida la comunicación sobre eventos de

seguridad y debilidades.

16.1.1

Responsabilidad y procedimientos Control: Se deberían establecer las responsabilidades y procedimientos de

gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes

de seguridad de la información.

16.1.2 Reporte de eventos de seguridad de la

información

Control: Los eventos de seguridad de la información se deberían informar a

través de los canales de gestión apropiados, tan pronto como sea posible.

16.1.3 Reporte de debilidades de seguridad de la

información

Control: Se debería exigir a todos los empleados y contratistas que usan los

servicios y sistemas de información de la organización, que observen e

informen cualquier debilidad de seguridad de la información observada o

sospechada en los sistemas o servicios.

16.1.4

Evaluación de eventos de seguridad de la

información y decisiones sobre ellos

Control: Los eventos de seguridad de la información se deberían evaluar y se

debería decidir si se van a clasificar como incidentes de seguridad de la

información.

16.1.5 Respuesta a incidentes de seguridad de la

información

Control: Se debería dar respuesta a los incidentes de seguridad de la

información de acuerdo con procedimientos documentados.

16.1.6

Aprendizaje obtenido de los incidentes de


Control: El conocimiento adquirido al analizar y resolver incidentes de seguridad

de la información se debería usar para reducir la posibilidad o el impacto de

incidentes futuros.

16.1.7 Recolección de evidencia

Control: La organización debería definir y aplicar procedimientos para la

identificación, recolección, adquisición y preservación de información que

pueda servir como evidencia.

17 Aspectos de seguridad de la información de

la gestión de continuidad de negocio

17.1 Continuidad de seguridad de la información Objetivo: La continuidad de seguridad de la información se debería incluir en los

sistemas de gestión de la continuidad de negocio de la organización.

17.1.1 Planificación de la continuidad de la


Control: La organización debería determinar sus requisitos para la seguridad de

la información y la continuidad de la gestión de la seguridad de la información

en situaciones adversas, por ejemplo, durante una crisis o desastre.

17.1.2

Implementación de la continuidad de la


Control: La organización debería establecer, documentar, implementar y

mantener procesos, procedimientos y controles para asegurar el nivel de

continuidad requerido para la seguridad de la información durante una

situación adversa.

17.1.3

Verificación, revisión y evaluación de la

continuidad de la seguridad de la

información

Control: La organización debería verificar a intervalos regulares los controles de

continuidad de la seguridad de la información establecidos e implementados,

con el fin de asegurar que son válidos y eficaces durante situaciones adversas.

17.2 Redundancias Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de

información.

17.2.1

Disponibilidad de instalaciones de

procesamiento de información.

Control: Las instalaciones de procesamiento de información se deberían

implementar con redundancia suficiente para cumplir los requisitos de

disponibilidad.

18 Cumplimiento

18.1

Cumplimiento de requisitos legales y

contractuales

Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de

reglamentación o contractuales relacionadas con seguridad de la información, y

de cualquier requisito de seguridad.

18.1.1 Identificación de la legislación aplicable y de

los requisitos contractuales

Control: Todos los requisitos estatutarios, reglamentarios y contractuales

pertinentes, y el enfoque de la organización para cumplirlos, se deberían

identificar y documentar explícitamente y mantenerlos actualizados para cada

sistema de información y para la organización.

18.1.2 Derechos de propiedad intelectual

Control: Se deberían implementar procedimientos apropiados para asegurar el

cumplimiento de los requisitos legislativos, de reglamentación y contractuales

relacionados con los derechos de propiedad intelectual y el uso de productos de

software patentados.

18.1.3 Protección de registros

Control: Los registros se deberían proteger contra perdida, destrucción,

falsificación, acceso no autorizado y liberación no autorizada, de acuerdo con

los requisitos legislativos, de reglamentación, contractuales y de negocio.

18.1.4

Privacidad y protección de datos personales Control: Cuando sea aplicable, se deberían asegurar la privacidad y la

protección de la información de datos personales, como se exige en la

legislación y la reglamentación pertinentes.

18.1.5 Reglamentación de controles criptográficos Control: Se deberían usar controles criptográficos, en cumplimiento de todos

los acuerdos, legislación y reglamentación pertinentes.

18.2 Revisiones de seguridad de la información Objetivo: Asegurar que la seguridad de la información se implemente y opere

de acuerdo con las políticas y procedimientos organizacionales.

18.2.1 Revisión independiente de la seguridad de

la información

Control: El enfoque de la organización para la gestión de la seguridad de la

información y su implementación (es decir, los objetivos de control, los

controles, las políticas, los procesos y los procedimientos para seguridad de la

información) se deberían revisar independientemente a intervalos planificados

o cuando ocurran cambios significativos.

18.2.2

Cumplimiento con las políticas y normas de

seguridad

Control: Los directores deberían revisar con regularidad el cumplimiento del

procesamiento y procedimientos de información dentro de su área de

responsabilidad, con las políticas y normas de seguridad apropiadas, y cualquier

otro requisito de seguridad.

18.2.3

Revisión del cumplimiento técnico Control: Los sistemas de información se deberían revisar periódicamente para

determinar el cumplimiento con las políticas y normas de seguridad de la

información.

Gestión de riesgos

El riesgo se define como la posibilidad de que se produzca un impacto en un Activo o en el Dominio. Gestionar

el riesgo significa que, en primer lugar es necesario identi ficar los riesgos que afectan a la Organización, y en

segundo lugar, es necesario establecer medidas de seguridad para reducir estos riesgos. Por tanto dentro de

la Gestión de riesgos podemos diferenciar principalmente 2 etapas: Análisis y Tratamiento

Para desarrollar todo el proceso de análisis y tratamiento de los riesgos, es imprescindible establecer una

Metodología, la cual definirá los pasos que se tienen que seguir para l levar a cabo la Gestión de Riesgos.

Actualmente existen muchas metodologías en el mercado pero todas tienen una serie de puntos en común,

los cuales veremos a continuación.

Metodologías existentes

MAGERIT

Se util iza mucho en España, sobre todo en Administraciones Públicas, ya que fue desarrollada por el Consejo

Superior de Administración Electrónica. Esta metodología no es muy conocida a nivel Internacional, aunque

su util ización puede ser interesante en cualquier tipo de empresa

CRAMM

Tuvo su origen en Reino Unido, ya que fue desarrollada por el CCTA (Central Computer and

Telecommunications Agency). Tiene reconocimiento a nivel Internacional, y su desarrollo es de los más

simples: Identificación y valoración de activos, valoración de amenazas y vulnerabilidades y selección de

contramedidas.

OCTAVE

Fue desarrollada por el SEI (Software Engineering Institute) en Estados Unidos, y también tiene un gran

reconocimiento internacional. Tiene una buena aceptación a nivel mundial, aunque las fases que la componen

son un poco diferentes de las metodologías habituales, lo cual suele implicar mayor di ficultad a la hora de

util izarla.

NIST 800-30

Fue desarrollada por el NIST (National Institute of Standards and Technology) en EEUU, y aunque tiene

reconocimiento Internacional, su uso se l imita sobre todo a EEUU (Administraciones Públicas). Aunque se

compone de un mayor número de fases que las anteriores metodologías, es muy intuitiva, sencilla de util izar.

ISO 27005

Es una norma ISO Internacional que no especi fica ningún método de análisis de riesgo concreto sino que,

contiene recomendaciones y directrices generales para la gestión de riesgos, por tanto, puede util izarse como

guía para elaborar una Metodología de gestión de riesgos propia.

ISO 31000

Al igual que la anterior, es una ISO Internacional que contiene una serie de buenas prácticas para gestionar

riesgos, aunque la diferencia con respecto la ISO 27005, es que esta no aplica solamente a la Seguridad de la

Información, sino que aplica a cualquier tipo de riesgo.

Conclusiones

Todos los activos de una Organización (sea grande o pequeña) están expuestos a riesgos, los cuales si no se

reducen pueden provocar un problema importante al negocio. Para reducir estos riesgos podemos implantar

controles util izando una metodología de análisis de riesgos. Una metodología de análisis de riesgos nos ayuda

a identificar activos, las amenazas/vulnerabilidades que les afectan, y calcular el nivel de riesgo, el cual tiene

que estar por debajo de un nivel aceptable para la Organización. Si el nivel de riesgo es superior al aceptable,

la Organización tiene que implantar controles de seguridad para reducirlo. Existen muchas metodologías, pero

todas tienen el mismo objetivo: calcular el riesgo asociado a los activos de la Organización y establecer

medidas para reducirlo.

1. Identificación de activos

Podemos considerar como activos: Impresoras, dispositivos de almacenamiento (discos duros externos,

pendrives), aplicaciones, ordenadores, servidores, personas, etc.)Todos estos elementos tienen información:

Impresora: Hojas que se imprimen

Pendrives: Información digital

Aplicaciones: Información digital

Servidores: Información digital

Empleados: Conocimiento, e información de la Organiza ción

No obstante también podemos identi ficar como activo elementos que no contienen información, pero que

son imprescindibles para otros activos que sí la tienen. Por ejemplo: Una consola de aire acondicionado no

contiene información, pero su funcionamiento implica que los servidores, que sí contienen información, no

se sobrecalienten y se averíen. También es importante identi ficar la dependencia que puede existir entre

activos: Una aplicación funciona en un servidor, por tanto, si el servidor deja de func ionar, la aplicación

también lo hará. Por último, además de identi ficar los activos, también puede ser necesario y/o interesante

valorarlos con respecto las 3 dimensiones de seguridad: Confidencialidad, Integridad y Disponibilidad

2. Identificación de amenazas y vulnerabilidades

Todos los activos de la Organización están expuestos a amenazas, y estas son explotadas por vulnerabilidades.

¿Qué es una amenaza?

Cualquier problema que pueda afectar al negocio: Ingeniería social, catástrofe natural, troyanos, v irus, etc.

Las amenazas son todo aquello que tiene el potencial de hacer daño. Dicho de otra forma una amenaza es

una condición del entorno del sistema de información, que dada la oportunidad, podría ocurrir una violación

a la seguridad. No se omite mencionar, que existen amenazas intencionales, las cuales buscan

deliberadamente causar un daño y las no intencionales, las cuales son producto del entorno, acciones u

omisiones no malintencionadas. En ambos casos, la presencia de la amenaza representa un riesgo potencial

de que ésta se materialice, sobre algún activo crítico de la organización.

Tipos de amenazas

En términos informáticos, la materialización de una amenaza no es más que la ejecución de un ataque, el cual

consiste en aprovechar las vulnerabilidades de los sistemas informáticos para comprometer la

confidencialidad, integridad y disponibilidad de la información. Estos ataques se dividen en dos, los pasivos y

los activos, y a su vez se clasifican en cuatro categorías: intercepción, interrupción, modificación, y fabricación.

Cada categoría puede afectar uno o más principios de la tríada de la información como se muestra en la Figura

siguiente.

Amenazas de software

Estas amenazas refieren a fallas asociadas al software instalado por defecto en los sistemas operativos,

software desarrollado, software mal implementado y al software malicioso diseñado para afectar

directamente al sistema. Las cuales según sus características podrían ser agrupadas en alguna de las cuatro

categorías mencionadas en la Figura 1.5.

A continuación se describen de forma genera l las amenazas más comunes que afectan a los sistemas de

información y comunicación.

Software desarrollado: Es el software creado por el propio usuario del sistema, el cual puede tener

errores o huecos de seguridad que pasaron desapercibidos por el programador durante la etapa de

desarrollo, un intruso podría aprovechar de estas deficiencias para comprometer la seguridad de

los sistemas donde sea ejecutado dicho software.

Software de aplicación: Este software no fue desarrollado con fines maliciosos, pero por sus

características y funcionalidades puede ser util izado por un usuario para realizar ataques a los

sistemas de información.

Cookies: Las cookies no son un archivo malicioso como tal, son archivos de texto que los

navegadores de Internet util izan para facilitar la conexión de un equipo informático con un sitio

Web, sin embargo, representan una amenaza para la privacidad de la información compartida por

los usuarios en Internet.

Phishing: Consiste en la suplantación de identidad de sitios Web, con la intención de engañar y

estafar a usuarios legítimos para que proporcionen datos confidenciales como: usuarios,

contraseñas, números de tarjetas de crédito, etcétera. Estas amenazas no sólo afectan a la víctima,

sino la imagen y reputación de la organización s uplantada.

Spam: Se refiere a la acción de envío de correo electrónico a quien no lo solicita y de forma masiva.

Estos correos representan uno de los principales focos de infección en la red.

Scams: Son los correos electrónicos que pretenden obtener datos confidenciales de los usuarios

con la intención de estafarlos económicamente u obtener un beneficio no legal de ello.

Malware: Proviene de la contracción de las palabras en inglés Malicious Software, es todo aquel

software diseñado y programado para afecta r uno o más de los aspectos de la seguridad de la

información. Las siguientes descripciones son referentes a las amenazas más comunes englobadas

dentro de la categoría de Malware:

o Virus: Son programas informáticos diseñados para infectar archivos y equipos de cómputo,

no requiere de la colaboración del usuario para su propagación, debido a que es código

que se replica uniéndose a otro objeto generalmente sin consentimiento ni conocimiento

del usuario, algunos toman el control de los programas de correo elec trónico, otros

adquieren control de los recursos del sistema infectado. Incluso algunos virus pueden

destruir o corromper archivos de datos, borrar programas o dañar el propio sistema

operativo.

o Gusanos: Los gusanos son programas parecidos a los virus, sól o que éstos realizan copias

de sí mismos aprovechándose de manera excesiva de los recursos del sistema

comprometido, su objetivo es replicarse a través de las redes de datos y así causar el

mayor impacto en los equipos de cómputo y redes de datos.

o Caballos de Troya: Conocidos como “troyanos”, es un tipo de malware que se hace pasar

por un programa inofensivo para vulnerar la seguridad de los sistemas, posteriormente se

activa de manera discreta y sin consentimiento del usuario cumpliendo así, su propósito

nocivo para el que fue creado.

o Adware: Son programas con fines de publicidad, muestran anuncios no deseados en los

equipos y sitios Web; muchos de estos anuncios redirigen a los usuarios a sitios maliciosos

para robar sus datos confidenciales o infectar sus equipos.

o Spyware: Son programas espías que recopilan información de la actividad en equipos de

cómputo y sitios Web sin el consentimiento ni conocimiento del usuario referente. Esta

información es enviada de forma remota a un tercero.

o Rootkits: Son programas especialmente diseñados para ocultar información de procesos,

archivos, conexiones red, etcétera. Comúnmente son instalados por los intrusos en

sistemas de información donde quieren que su actividad maliciosa pase desapercibida.

o Exploits: Son programas diseñados para crear accesos (abrir puertas) en los sistemas, se

aprovechan de huecos de seguridad existentes en los sistemas informáticos asociados a las

aplicaciones instaladas.

o Botnets: Son un conjunto de equipos infectados por un código malicioso (bots) que son

controlados por un servidor C&C (Command & Control – Comando y Control). Estas redes

de bots reciben intrucciones de forma remota para infectar más equipos vulnerables en la

red, y son usados para realizar ataques de denegación de servicio distr ibuido sobre sitios

Web o a equipos conectados a Internet.

Amenazas humanas

Al hablar de amenazas, no se debe omitir que el factor humano es la principal fuente de éstas ya que existen

en los sistemas de información y comunicación, en éste tipo de amenaza en el que se invierten más recursos

para controlarlos y contrarrestar sus efectos. De aquí la famosa frase de que “el eslabón más débil en la

seguridad informática es el humano”. Este tipo de amenazas pueden ser muy diversas, sin embargo, las más

comunes se describen a continuación:

Ingeniería social: Se compone de todas aquellas estrategias y acciones a fin de obtener información

confidencial mediante la manipulación de los custodios de la información, para que éstos la

proporcionen de forma voluntaria. Es ta amenaza se aprovecha de la debilidad natural de las

personas que tienden a confiar en la palabra de otras.

Sabotaje: Es común que éstas acciones sean realizadas por personal de la propia organización, ya

sea por un despido o inconformidad laboral o bien por un competidor directo de la organización.

Las acciones van dirigidas a dañar físicamente o lógicamente los equipos informáticos críticos y

causar así, una interrupción del servicio.

Fraude: Estas acciones se aprovechan de los privilegios y permisos que le permiten a una persona

malintencionada obtener un beneficio propio, ajeno al objetivo de la organización a través del

acceso a información y programas restringidos.

Robo: Son las actividades enfocadas a la extracción física o lógica de información mediante el

empleo de dispositivos de almacenamiento o uso de cuentas de correo electrónico.

Intrusos remunerados: se trata de personas con un grado elevado de conocimientos de Pen -testing,

los cuales son contratados para identificar las vulnerabilidades de l a seguridad de los sistemas de

información de una organización y realizar actividades malintencionadas como el copiado, borrado,

modificación y creación de información.

Curiosos: Se trata de personas que vulneran la seguridad de sistemas, de los cuales no están

autorizados para ingresar. Esto lo hacen por simple desafío a sus conocimientos y habilidades

informáticas o por el deseo de conocer la información que resguardan los sistemas.

Amenazas de hardware

Aunado a las amenazas antes mencionadas, también exi sten las amenazas inherentes a fallas físicas que

pueden ocurrir en alguno de los componentes que constituyen un equipo informático. De este tipo se

mencionan las siguientes:

De fabricación: Ocurre cuando los componentes del hardware no son compatibles ni cumplen con

los requerimientos para su correcto funcionamiento, por ejemplo, si se adquiere un módulo de

memoria RAM y está dañado, al colocarse en el equipo podría causar un daño físico irreversible en

la tarjeta madre del sistema.

Suministro de energía: las variaciones de voltaje y no tener una conexión trifásica correctamente

aterrizada, podría provocar daños en los dispositivos electrónicos. También al tener un voltaje de

abastecimiento por debajo del requerido podría provocar daños a los circuitos de forma

permanente.

Uso o desgaste: todos los componentes de un equipo de cómputo tienen una vida útil, si no se

implementan mantenimientos preventivos al hardware, la disponibilidad de la información se

podría ver afectada, por ejemplo, si la fuente de alimentación se dañara o si el disco duro sufriera

un daño físico, el usuario se vería imposibilitado para acceder a la información contenida en el

equipo.

¿Qué es una vulnerabilidad?

Situación que provoca que una amenaza pueda producirse. Una vulnerabilidad se refiere a la debilidad

existente en un sistema informático que permite que una entidad comprometa la confidencialidad, la

integridad y la disponibilidad de los sistemas e información que procesan y almacenan.

Al hablar de vulnerabilidad es importante no perder de vista el concepto de riesgo, el cual representa la

probabilidad de que una amenaza se materialice sobre un activo, explotando algún tipo vulnerabilidad. En un

sistema informático se deben proteger los activos, es decir, todos aquellos recursos que conforman al sistema

y se agrupan en activos de: hardware, software y datos. De los cuales, el más crítico de todos son los datos,

los demás tienen una mayor probabilidad de restablecerse.

Por ejemplo, imaginemos que en una Organización existe poca concienciación en seguridad de la información,

esto (la vulnerabilidad) ocasionará que exista más probabilidad de que alguno de sus empleados se descargue

un correo electrónico con un troyano o un virus (amenaza). Lo recomendable suele ser identi ficar

amenazas/vulnerabilidades por tipo de activo, lo cual nos ahorrará mucho trabajo, ya que todos los activos

que estén bajo el paraguas de una misma categoría podrán compartir amenazas/vulnerabilidades. No

obstante hay que hacer un análisis por cada activo y comproba r si las amenazas/vulnerabilidades que le

corresponden por su categoría son adecuadas. Casi todas las metodologías de gestión de riesgos, o al menos

las más importantes, incluyen un catálogo de amenazas de donde se pueden seleccionar las que apliquen a

cada activo.

Tipos de vulnerabilidades

A continuación se muestra la clasificación general de vulnerabilidades que contempla seis categorías.

Física: Se relaciona con la posibilidad de acceso físico al área en donde se ubica el sistema. Las

vulnerabilidades de este tipo son explotadas por falta o deficiencias en las políticas de acceso de

personal no autorizado a áreas físicas restringidas.

Natural: Se refieren a las deficiencias para enfrentar desastres naturales relacionados con la

humedad, polvo, agentes contaminantes, sismos, terremotos, inundaciones, incendios, etcétera. Las

cuales se pueden ver reflejadas por ejemplo, en la falta de extintores de fuego, no-breaks, mal

sistema de ventilación, entre otros.

De hardware: Este tipo de vulnerabilidades se relacionan con los defectos, fallas de fabricación, la no

verificación de las especificaciones técnicas, falta de mantenimiento.

De software: Se relaciona con las fallas y debilidades que hacen posible el acceso indebido a los

sistemas y en consecuencia a la información que éstos almacenan. Ejemplos: configuración e

instalación indebida de programas, protocolos de comunicación carentes de seguridad, mal diseño y

programación de una aplicación, etcétera.

De red: Al conectar un equipo a una red de datos se incrementa el riesgo de que sea comprometido,

pues la cantidad de personas que pudieran interactuar con el sistema es mayor, sin olvidar el riesgo

de que la información transmitida pueda ser interceptada por un ente no autorizado.

Humana: Esta vulnerabilidad se sustenta en el hecho de que el factor humano es el eslabón más débil

de la seguridad y se ve reflejado en el daño que las personas pueden causar a la información y a los

sistemas que la almacenan. Por ejemplo, las personas por su propia naturaleza son vulner ables a la

ingeniería social, ingeniería social inversa, lo anterior aunado a la falta de capacitación, cansancio,

aumentan el riesgo de explotación de esta vulnerabilidad.

Existe una clasificación más general de las vulnerabilidades la cual se menciona a continuación.

De diseño: Se presenta en el diseño de protocolos de red o comunicaciones, o bien en políticas de

seguridad deficientes que fueron diseñadas para proteger los activos de la organización.

De implementación: Se presenta cuando existen errores de programación en las aplicaciones, por

carencia o deficientes pruebas de “caja negra” y “caja blanca” en la fase de desarrollo y fase de

pruebas.

De uso: Mala configuración asociada a la interacción que tienen las aplicaciones y sistemas operativos

con el usuario.

Así mismo las vulnerabilidades se pueden clasificar en las siguientes dos categorías, esto en relación al tiempo

de detección, características y posibles soluciones de la vulnerabilidad.

Vulnerabilidad conocida: son vulnerabilidades que se presentan en las aplicaciones y sistemas

operativos de forma cotidiana debido a la naturaleza de su programación y funcionamiento. Su

afectación en los sistemas está ampliamente documentada y existe más de una solución.

Vulnerabilidad de día cero: son todas aquellas vulnerabilidades que no tienen una forma de

mitigación o erradicación conocida, pero sí se sabe cómo materializar una amenaza sobre ellas.

Existen sitios en Internet que se dedican a registrar y documentar las vulnerabilidades asociadas a versiones

y variantes de sistemas operativos, así como de las aplicaciones que interactúan con los mismos. Estos sitios

son útiles para identificar las vulnerabilidades asociadas a dicho software, así como las acciones que se pueden

implementar para erradicar di cha vulnerabilidad de los sistemas.

NIST (National Institute of Standards and Technology – Instituto Nacional de Estándares y Tecnología,

http://web.nvd.nist.gov/)

OSVDB (Open Source Vulnerability Database – Base de Datos Abierta e Independiente de

Vulnerabilidades, http://www.osvdb.org/)

CVE (Common Vulnerabilities and Exposures – Vulnerabilidades y Exposiciones Comunes,

http://cve.mitre.org/)

SecurityFocus (http://www.securityfocus.com)

3. Cálculo del nivel de riesgo

El cálculo del nivel de riesgo se realiza de manera distinta dependiendo de la metodología que se considere,

ya que cada una util iza una fórmula de cálculo distinta (probablemente esto sea lo que haga más distinta unas

metodologías de otras). No obstante aquí veremos una fórmula sencilla y rápida de entender, basada en 2

parámetros fundamentales en gestión de ries gos:

Probabilidad de que una amenaza se materialice.

Impacto en la Organización resultante de la materialización de una amenaza.

En algunos casos también se considerará la valoración del activo (basada en las 3 dimensiones:

Confidencialidad, Integridad y Disponibilidad).Tanto el Impacto como la Probabilidad se pueden medir en

valores porcentuales, lo cual nos resultará más sencillo a la hora de calcular el nivel de riesgo.

Impacto: Por ejemplo 0% si la amenaza no produce ningún daño, 50% si el daño es considerable y

100% si el daño es muy crítico para la Organización.

http://web.nvd.nist.gov/

http://www.osvdb.org/

http://cve.mitre.org/

http://www.securityfocus.com/

Probabilidad: Por ejemplo 0% si la probabilidad de que la amenaza se materialice es muy baja, 50%

si la probabilidad es considerable y 100% si la probabilidad es muy alta.

Al final, obtendremos un valor numéri co para el riesgo, el cual representará lo siguiente:

Probabilidad de que una amenaza se materialice e impacto en la Organización en caso de que se

materialice.

El siguiente paso será determinar si este nivel de riesgo es aceptable para la Organización, es decir, si el nivel

de riesgo detectado está por encima del nivel de riesgo aceptable.

¿Qué es el nivel de riesgo aceptable?

Es el nivel de riesgo que establece la Organización como permitido, es decir, si el nivel de riesgo aceptable por

ejemplo es medio, únicamente supondrá un peligro para la Organización aquellos riesgos que estén por

encima: Alto. Por tanto, si el nivel de riesgo está por encima del aceptable, tendremos que hacer un

tratamiento del mismo con el objetivo de reducirlo (a un nivel ac eptable)

4. Establecimiento de controles

Para aquellos riesgos que superen el nivel aceptable tendremos que aplicar controles. Para hacer esta

implantación de controles de manera ordenada, estructurada y plani ficada, estableceremos un Plan de

Tratamiento.El definir un Plan para la implantación de los controles también es fundamental, ya que existirán

muchos e implantarlos todos puede convertirse en un verdadero caos si no existe un orden, una estructura y

una planificación.El Plan de Tratamiento de Riesgos tiene que contener una serie de información básica:

Responsable del control: Persona que se responsabiliza de la correcta implantación del control

Recursos: Personas, técnicos, empresas externas o materiales que se util izarán para la implantación

del control

Acciones a l levar a cabo: Acciones que serán necesarias para la implantación del control

Prioridad: Todos los controles no tienen la misma prioridad, ya que por una parte el nivel de riesgo

no será el mismo, ni tampoco el valor de cada activo para la Organización. Por tanto es necesario

establecer prioridades. Esta prioridad puede venir determinada por la fecha de implantación de cada

control.

Después de implantar todos los controles de seguridad, tenemos que calcular el riesgo residual.

¿Qué es el riesgo residual?

Es el riesgo que sigue quedando después de implantar los controles de seguridad.

Cuando implantamos los controles reducimos el riesgo, pero este no dejará de existir, siempre quedará un

nivel, aunque sea mínimo.

¿Qué ocurre si el nivel de riesgo, reducido por la implantación de los controles de seguridad, sigue estando

por encima del nivel de riesgo aceptable?

Tendremos que tomar una decisión en cuanto al tratamiento, y deberá quedar formalmente establecido en

nuestra metodología de análisis y tratamiento de riesgos. Esta decisión se puede resumir en las siguientes

posibil idades:

Asumir el riesgo: La Organización conoce el riesgo y no puede establecer más recursos de los ya

establecidos para reducirlo.

Transferirlo a otra parte: Una compañía de seguros, una compañía externa, etc.

Marco teórico itil v3

Technology

Transcript of Marco teórico itil v3