Sistemas de Seguridad Informática

Universidad Nacional de IngenieríaFacultad de Ingeniería Eléctrica e

Informática

Sistemas de Seguridad

Implementación de un Sistema de Seguridad de Información

DIEGO ERNESTO CABELLO YAURIConsultor Informático Especializado

Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información

ContenidoIntroducción....................................................................................................3Definición de información...............................................................................4Sociedad e Información...................................................................................4La información, un activo siempre expuesto al riesgo....................................4Información en las empresas..........................................................................6¿Qué es un SGSI?............................................................................................7¿Para qué sirve un SGSI?................................................................................7¿Porqué implantar un sistema de seguridad de información?........................8Como establecer un Sistema de Gestión de Seguridad de Información (SGSI) para una empresa..................................................................................................12Activos de información..................................................................................13Tasación de los activos de información.........................................................13Evaluación de riesgo.....................................................................................14Desarrollo del plan de implementación.........................................................15Monitoreo del sistema de seguridad.............................................................15Conclusiones.................................................................................................17

2


Introducción

El presente trabajo tiene por finalidad cubrir en un porcentaje mínimo el vacío generado por la falta de un método documentado sobre cómo proceder a implantar en cualquier empresa un sistema de gestión de seguridad de información (SGSI), que les permita a las organizaciones minimizar los riesgos y asegurar una continuidad en sus operaciones. Mostramos una pequeña pincelada de cómo instaurar en cualquier firma un SGSI basado en la norma ISO 27001: 2005. las fases y las actividades de la metodología sirven de guía a los profesionales encargados de manejar proyectos de implantación.

Al instaurar un SGSI, usualmente no se sabe con precisión cómo se procede a documentar el modelo. “Con qué cláusula se debe iniciar la documentación? “Cómo se documenta un procedimiento par que sea amigable y sea una herramienta de trabajo? Hay muchos libros que resuelven con la debida profundidad estas preguntas y en él se presenta la estructura piramidal de la documentación del modelo ISO 27001: 2005 y él método de los 13 pasos para documentar un SGSI, el cual debe convertirse en una gran asistencia para los responsables de documentar los sistemas. Concreta y detalladamente, se describen las fases y los pasos de la "metodología para diseñar un Plan de Continuidad del Negocio (PCN)". No existe un SGSI si no se tiene instaurado un PCN.

Dicho estándar hace énfasis en que la tecnología de información representa un servicio de importancia estratégica, que debe ser adecuadamente administrado y que cuenta con procesos estándares que permiten el logro de dicho objetivo desde el desarrollo de los productos y servicios hasta su operación permanente.

3


Definición de informaciónPara poder establecer un sistema de seguridad de información, primero debemos definir lo que entendemos por información.

Se pueden encontrar variadas definiciones dependiendo de la fuente de información y de los autores investigados, pero la mayoría coincide en que la información es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo.

Sociedad e InformaciónEs difícil recrear en la mente un escenario de sociedad sin información. Vivimos en una sociedad de fuertes transiciones, dimos el salto de la era mecánica e industrial a la era de la información. El uso de los medios tecnológicos y de información ha afectado todos los ámbitos sociales, ha modificado la forma de interrelacionarnos y ha impactado los medios de producción y las economías.

El mundo en el que vivimos está pletórico de datos, frases e íconos. Hemos aprendido a organizarlos y la información que de ellos deriva rige muchas de nuestras decisiones. La percepción que los seres humanos tenemos de nosotros mismos ha cambiado, en vista de que se ha modificado la apreciación que tenemos de nuestro entorno. Nuestra circunstancia no es más la del barrio o la ciudad en donde vivimos, ni siquiera la del país en donde nacemos. Nuestros horizontes son, al menos en apariencia, de carácter planetario. Estas características definen esta sociedad que conformamos, la sociedad de la información.

La información, un activo siempre expuesto al riesgoEn los sistemas complejos siempre existirán riesgos que pueden poner en juego la estabilidad y el futuro de las mismas y la información como nuevo factor generador de ventajas competitivas no es la excepción. Se establece que son los datos y los medios de procesamiento, activos valiosos pero altamente vulnerables, expuestos a riesgos, amenazas y a hechos que van en contra de la seguridad de los mismos, que afectan su disponibilidad, su integridad y su confidencialidad.

4


Siendo la información uno de sus activos más importantes, requiere ser protegida de forma adecuada frente a cualquier amenaza que ponga en peligro la continuidad del negocio. Esta situación ha conllevado a que las organizaciones respondan a tales riesgos reordenando sus estructuras y abriendo campo a nuevas disciplinas y habilidades gerenciales que ayuden a minimizar tales riesgos.Se inicia entonces, todo un proceso para gestionar la seguridad de la información, se establecen normas internacionales y se definen políticas locales que buscan garantizar integridad, confidencialidad y disponibilidad en la información. Las organizaciones actuales están llamadas a diseñar políticas orientadas a gestionar el riesgo sobre la información y los sistemas que la procesan y a diseñar sistemas eficientes para gerenciar el riesgo de tales sistemas.La información en la empresa es uno de los más importantes activos que se poseen. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información.

La información esta sujeta a muchas amenazas, tanto de índole interna como externa.

La información puede ser:

5

Ciclo de información

Utilizada Para propósitos Apropiados o Inapropiados

CorrompidaPerdida

TransmitidaProcesada

Creada DestruidaAlmacenada


Información en las empresasEn las empresas, la información puede ser de variados tipos y formas dependiendo del rubro de la empresa y el nivel de tecnología aplicada en ella.

La información puede estar Impresa o escrita Almacenada electrónicamente Transmitida por medios electrónicos Presentada en videos corporativos Verbal - conversada formal / informalmente.

La información es considerada un activo más para las empresas, debido a que gran parte del registro necesario para su funcionamiento, se mantiene en formatos digitales, como datos de clientes, datos ventas, datos de acreedores, cuentas corrientes y todo dato que aporte información para el normal funcionamiento de la empresa.

Por lo anterior, impera una protección adecuada a las informaciones importantes.

Seguridad no es un producto, es un proceso que debe ser administrado.

Nada es estático, la seguridad no es la excepción. Mejora continua.

Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.

Según la Cámara de Comercio estadounidense, casi el 80% de los valores intelectuales de las corporaciones son electrónicos, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes.

6


¿Qué es un SGSI?SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.

En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

¿Para qué sirve un SGSI?La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.

El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.

7


¿Porqué implantar un sistema de seguridad de información? Como se mencionó anteriormente, la información en la empresa es uno de activos más importantes que se poseen y está sujeta a muchas amenazas, tanto de índole interna como externa, por lo tanto las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información.

La seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software o guardar en una bóveda los “backups”. La seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo.

La seguridad de información se caracteriza por la preservación de:

CONFIDENCIALIDAD. La información está protegida de personas no autorizadas.

INTEGRIDAD. La información está como se pretende, sin modificaciones inapropiadas.

DISPONIBILIDAD. Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran

Un sistema de seguridad de información, se encarga de protegerla de una serie de amenazas para asegurar que la empresa pueda continuar operando, minimizar daños a la gestión comercial, maximizando el retorno a la inversión y oportunidades de negocios. Cada organización tendrá un conjunto de requerimientos diferentes de control y de niveles de confidencialidad, integridad y disponibilidad.

De acuerdo con la normas ISO 27000, se considera amenaza aquella causa potencial de un incidente no deseado, el cual puede causar daño a un sistema o a una organización.

Al analizar las amenazas a las que se ve enfrentada la información podemos clasificarlas en seis categorías, las que se pueden apreciar en el siguiente diagrama:

8


Amenazas Naturales. (Inundaciones, tsunamis, tornados, maremotos, huracanes, sismos, tormentas, incendios forestales)

Amenazas a Instalaciones. (Fuego, explosiones, caídas de energía, daño de agua, perdidas de acceso, fallas mecánicas)

Amenazas Humanas. (Huelgas, epidemias, materiales peligrosos, problemas de transporte, pérdidas de personal clave)

Amenazas Tecnológicas. (Virus, hacking, pérdida de datos, fallas de hardware, fallas de software, fallas de red, fallas en línea telefónica)

Amenazas Operacionales. (Crisis financiera, fallas en equipos, aspectos regulatorios, mala publicidad)

Amenazas Sociales. (Motines, protestas, sabotaje vandalismo, violencia laboral, terrorismo)

Para que una amenaza cause daño a algún activo de información tendría que explotar una o más vulnerabilidades del sistema, aplicaciones o servicios usados por la organización para ser exitosa en su intención de hacer daño.

Una vez que se establecen las distintas amenazas que pueden afectar un activo, se debe evaluar su posibilidad de ocurrencia.

9

Amenazas

Amenazas

Amenazas

Amenazas

Amenazas

Amenazas

Tipos de Amenazas


Junto con las amenazas, se debe estudiar las vulnerabilidades, que se definen como debilidades de seguridad asociadas con los activos de información de una organización.

Seguridad de los recursos humanos. (Falta de entrenamiento en seguridad, falta de mecanismos de monitoreo, políticas para el uso correcto de las telecomunicaciones, no eliminar los acceso al término del contrato de trabajo, empleados desmotivados).

Control de acceso. (Segregación inapropiada de redes, falta de políticas de escritorio y pantalla limpia, políticas incorrectas de control de acceso, claves de acceso sin modificaciones)

Seguridad física y ambiental. (Inadecuado control de acceso físico a oficinas, salones y edificios, ubicación en áreas propensas a inundaciones, almacenes desprotegidos, carencia de programas de sustitución de equipos, equipos mal cuidados)

Gestión de operaciones y comunicación. (Control de cambios inadecuados, gestión de red inadecuada, carencia de mecanismos que aseguren la emisión y recepción de mensajes, carencia de tareas segregadas, falta de protección en redes públicas de comunicación)

10

Control de

Seguridad física y

Mantenimiento,

Seguridad de los recursos

Gestión operaciones y

Tipos de Vulnerabilidades


Mantenimiento, desarrollo y mantención de sistemas de información. (Protección inapropiada de llaves criptográficas, políticas incompletas para el uso de criptografía, carencia de validación de datos procesados, falta de documentación de software, mala selección de pruebas de datos)

Una vez que se identifican las vulnerabilidades se debe evaluar la posibilidad que sean explotadas por una amenaza.

11


Como establecer un Sistema de Gestión de Seguridad de Información (SGSI) para una empresaUn sistema de seguridad de información se compone un conjunto de medidas, procedimientos y herramientas tendientes a asegurar la información que la organización considere importante para su funcionamiento.

Diseñar e implementar un SGSI dependerá de los objetivos estratégicos del negocio y las necesidades de la empresa siendo estos los parámetros básicos para la definición del alcance de su implementación. Promover la ejecución de este proyecto proviene de las áreas directivas responsables del buen funcionamiento de la entidad y se convierte en un requisito indispensable para garantizar el éxito del proyecto.

Un SGSI varía según el tipo de organización y el sector económico en el que se encuentre, sin embargo y de acuerdo con Alexander (2007), el procedimiento para la implementación y mantenimiento independiente del tipo de organización, debe seguir un ciclo de mejora continua. Para el autor el círculo de Deming2, es el método más adecuado para la implementación de un SGSI ya que propone una estrategia de mejora continua en 4 pasos: Planear, hacer verificar y actuar. Las fases que a continuación se describen, definidas por el ciclo Deming, permiten entender todo el procedimiento de implementación del SGSI para cualquier empresa.

12

Partes InteresadasRequerimie

ntos y expectativas

de la seguridad

de información

Desarrollar

Mantener y Mejorar

el ciclo Chk

Monitorear y Revisar

DoImplementar y operar

ActMantener y mejorar

PLANEstablecer

SGSI Partes InteresadasSeguridad

de información manejada

Ciclo de un SGSI


Activos de informaciónLos activos de información que se encuentran dentro del alcance del SGSI son fundamentales para su implementación. El análisis y evaluación del riesgo y las decisiones que se tomen en relación al tratamiento de este riesgo, giran en torno a los activos de información identificados.

Un activo es algo que tiene valor o utilidad para la organización, sus operaciones comerciales y su continuidad.

De esta forma, la organización debe proteger sus activos para una correcta operación del negocio.

Los activos de información pueden ser clasificados de la siguiente forma:

Activos de Información (Datos, manuales de usuario, etc.)

Documentos en Papel (contratos)

Activos de Software (aplicación, software de sistema, etc.)

Activos físicos (Computadores, medios magnéticos, etc.)

Personal (clientes, trabajadores)

Imagen y reputación de la organización

Servicios (comunicaciones, etc.)

Tasación de los activos de informaciónUna vez que los activos se encuentran identificados, se debe proceder a establecer el valor de cada uno de ellos, para lo que se puede utilizar una escala de Likert, que define el valor 1 como “muy bajo” y el valor 5 “muy alto”. Para definir el valor se debe realizar la pregunta ¿Cómo una pérdida o falla en un determinado activo afecta la confidencialidad, integridad y disponibilidad?

Activos deInformación

Confidencialidad

Integridad Disponibilidad

Total

Base de datos Clientes

5 5 5 5

Equipos computacionales

5 4 3 4

Línea dedicada 3 3 4 3

13

Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de InformaciónInternet 3 4 4 4Copias de respaldo 4 4 4 4Switch 2 2 4 3Disco duro 1 2 5 3

Evaluación de riesgoUna vez que se ha realizado el análisis y la evaluación del riesgo, se deben decidir las acciones que se tomarán con esos activos que se están sujetos a riesgo. Los riesgos descubiertos en las etapas anteriores, pueden manejarse con una serie de controles para la detección y prevención.

Los riesgos relacionados con la seguridad de información pueden ser difíciles de cuantificar en términos de la probabilidad de ocurrencia.

Una vez que el riesgo se ha calculado, se debe tomar la decisión de cómo se tratará el riesgo. Esta decisión estará influenciada por el tipo de negocio y el escenario en que se desarrolla.

Estas decisiones sueles estar influenciadas por dos factores.

El posible impacto si el riesgo se pone de manifiesto. Qué tan frecuente puede suceder.

Estos dos factores dan una idea de la pérdida esperada si el riesgo ocurriera, si nada se hace para mitigar el riesgo calculado.

Sin embargo, después de haber tomado todas las acciones y decisiones dirigidas a mitigar los riesgos, siempre queda un remante de ese riesgo. Este riesgo que queda luego de implantado un sistema de Seguridad de información se llama Riesgo Residual, que es difícil de calcular, pero se debe realizar una evaluación para asegurar que se logra una protección suficiente.

Desarrollo del plan de implementaciónCon todos los datos recogidos en las etapas de estudio, se debe desarrollar un plan para implementar el SGSI, para lo que es posible utilizar las guías que implantan las Normas ISO 27001:2005 e ISO 17799:2005.

Cabe señalar que la norma ISO 27001:2005 es una evolución de la Norma ISO 17799:2005.

14


La estructura de la documentación que exige la norma ISO es la siguiente:

Monitoreo del sistema de seguridadUna vez que el sistema de encuentra en marcha, se deben ejecutar actividades de monitoreo el SGSI que se ha implementado, con el objetivo de asegurar el funcionamiento de todas las partes del plan. Es en esta etapa de monitoreo que se detectarán las falencias de cobertura del plan, que debe ser corregido contemplando la información resultante de los monitoreos.

Todo Sistema de Seguridad de Información debe ser revisado periódicamente, con el objetivo de adaptarlo a los constantes cambios que sufren las organizaciones y su entorno.

Conclusiones del Autor

- La información se ha convertido un bien de incalculable valor para las empresas y organizaciones.

15

RegistrosProvee evidencia objetiva de la conformidad con

Instrucciones de Trabajo

Describe tareas específicas y cómo se realizan

Procedimientos

Descripción de procesos,Quién hace qué y

Manual de Seguridad

Enfoque de la GerenciaPolítica, Alcance,

Nivel II

Nivel III

Nivel I

Nivel IV

Estructura de la Documentación Requerida


- Por tal motivo, éstas no pueden darse el lujo por ser afectados por pérdida de información, filtración de información o falta de accesibilidad como de disponibilidad de ésta.

- Debido a la alta competitividad que existe entre las empresas es de vital importancia contar con un Sistema de Seguridad de la Información.

- Implementar un eficiente SGSI no es algo trivial, hay que seguir una metodología que abarque todos los aspectos involucrados para que no se escape ningún detalle y no quede ningún elemento relacionado con la información vulnerable.

- Una excelente forma para implementar un SGSI, es guiarse por las normas de implementación de la ISO 27001:2005, que es un estándar internacional respecto al tema.

-El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.

Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

16

Sistemas de Seguridad Informática

Engineering

Transcript of Sistemas de Seguridad Informática