View
236
Download
2
Category
Preview:
Citation preview
ESCUELA POLITCNICA NACIONAL
FACULTAD DE INGENIERA ELCTRICA Y ELECTRNICA
DISEO DE UN SISTEMA DE GESTIN DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIN, ORIENTADO AL GOBIERNO DE TI EN BASE A LA NORMA NTE INEN-ISO/IEC 27005:2012, PARA LA
DIRECCIN NACIONAL DE DESARROLLO TECNOLGICO EN TELECOMUNICACIONES (DTT), DE LA SUPERINTENDENCIA DE
TELECOMUNICACIONES
PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN ELECTRNICA Y REDES DE INFORMACIN
SANDRA MARIELA ESCOBAR RIVERA sandyerivera@hotmail.com
STEFANIE CECIBEL LEN AGUIRRE
stefanielen167@hotmail.com
DIRECTOR: ING. MNICA VINUEZA RHOR
monica.vinueza@epn.edu.ec
Quito, Abril 2016
i
DECLARACIN
Nosotras, Escobar Rivera Sandra Mariela y Stefanie Cecibel Len Aguirre,
declaramos bajo juramento que el trabajo aqu descrito es de nuestra autora; que
no ha sido previamente presentado para ningn grado o calificacin profesional; y,
que hemos consultado las referencias bibliogrficas que se incluyen en este
documento.
A travs de la presente declaracin cedemos nuestros derechos de propiedad
intelectual correspondientes a este trabajo, a la Escuela Politcnica Nacional,
segn lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por
la normatividad institucional vigente.
Sandra Mariela Escobar Rivera Stefanie Cecibel Len Aguirre
ii
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Sandra Mariela Escobar
Rivera y Stefanie Cecibel Len Aguirre, bajo mi supervisin.
Ing. Mnica Vinueza Rhor
DIRECTOR DEL PROYECTO
iii
AGRADECIMIENTOS
Agradezco a Dios por cada da de mi vida y por cada una de las experiencias
que he vivido, por permitirme llegar a la culminacin de una meta tan importante
como es obtener mi profesin, y por haber puesto en mi camino a muchas personas
que me aprecian y apoyan siempre.
A mi madre por su amor, paciencia, consejos y apoyo incondicional en el
desarrollo de este proyecto y durante toda mi vida politcnica; a mi familia por su
cario y preocupacin; a mis amigos que me han enseado que la vida est hecha
para disfrutar y aprender de los buenos y malos momentos, especialmente a Verito
A., Yesse L., Cari M., Andre O., Dianita H., Carlita R., Jorgio F., Washo V., con los
que hemos compartido tantos momentos que han hecho que se ganen un lugar
muy especial en mi corazn y son mis hermanos de la vida.
A mi compaera de tesis Stefanie por su amistad, toda su paciencia,
confianza y apoyo en el desarrollo de este proyecto; a los chicos tesis, Alejita T. y
Andrs R., por su amistad y su ayuda, y por compartir con nosotras este complicado
proceso.
A nuestra directora de tesis por su gua y consejos que ahora permiten que
consiga esta meta.
A los funcionarios de la SUPERTEL, especialmente a los funcionarios de la
DTT por su total colaboracin durante el desarrollo de este proyecto.
Gracias a todos.
Sandra Escobar Rivera
iv
AGRADECIMIENTOS
A mi familia de cual recib todo el apoyo que a pesar de no pasar juntos
creyeron en m y supieron entenderme en momentos difciles profesionalmente y
personales.
A todas las personas que conoc a lo largo de mi formacin profesional en
cada uno de los semestres, en cada ao, cada historia vivida gracias por todo.
A mi compaera de tesis Sandrita por todo su apoyo, por ser constante y
estar presente cada da en el desarrollo del mismo, muchas gracias.
A nuestra directora de tesis Ing. Mnica Vinueza, por estar dispuesta a
escucharnos y ser parte de este proyecto, as como tambin por sus consejos
porque gracias a ella el desarrollo de este proyecto se logr hacer con ms facilidad.
A todos los funcionarios de la Direccin Nacional de Desarrollo Tecnolgico
en Telecomunicaciones, por su gran ayuda con el aporte de informacin y siempre
recibirnos amablemente.
Stefanie Len Aguirre
v
DEDICATORIA
Dedico el desarrollo de este proyecto a mi pilar fundamental, a la persona
que me ha dado su amor incondicional cada da de mi vida y que ha sido mi ejemplo
y soporte, que me ha apoyado en cada decisin que he tomado y que siempre me
demuestra que para una mujer luchadora no existen lmites, y que se puede
alcanzar todo lo que te propongas. A mi madre querida, que siempre ser mi fuerza
vital.
Sandra Escobar Rivera
vi
DEDICATORIA
El presente proyecto se lo dedico a mis padres Jorge Rogelio Len Mendoza
y Luz Victoria Aguirre Jaramillo, as como tambin a mi hermano Argenis Danilo
Len Aguirre, y mi hermosa sobrina Dharia Victoria, los cuales siempre creyeron en
m y supieron darme fuerza para continuar y poder llegar a lograr una meta ms en
vida.
Stefanie Len Aguirre :=)
vii
CONTENIDO
DECLARACIN ...................................................................................................... i
CERTIFICACIN .................................................................................................... ii
AGRADECIMIENTOS ............................................................................................ iii
AGRADECIMIENTOS ............................................................................................ iv
DEDICATORIA ....................................................................................................... v
DEDICATORIA ....................................................................................................... vi
CONTENIDO ......................................................................................................... vii
NDICE DE TABLAS .............................................................................................. xii
NDICE DE FIGURAS .......................................................................................... xiii
RESUMEN ............................................................................................................ xv
PRESENTACIN ................................................................................................ xvii
1. CAPTULO 1 ....................................................................................................... 1
MARCO TERICO ................................................................................................. 1
1.1. CONCEPTOS GENERALES DE SEGURIDAD DE LA INFORMACIN ..... 1
1.1.1. INTRODUCCIN ......................................................................................... 1
1.1.2. CONCEPTOS DE SEGURIDAD .................................................................. 2
1.2. INTRODUCCIN AL GOBIERNO DE TI ENFOCADO EN LA GESTIN DE
RIESGOS ............................................................................................................. 15
1.2.1. GOBIERNO DE TI ..................................................................................... 15
1.2.2. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS ... 16
1.2.3. ENFOQUE DE GOBIERNO ....................................................................... 16
1.2.4. CATALIZADORES DE COBIT 5 ................................................................ 18
1.2.5. DIMENSIONES DE LOS CATALIZADORES ............................................. 19
1.2.6. MODELO DE REFERENCIA DE PROCESOS DE COBIT 5 ..................... 19
1.2.7. MAPEO DE COBIT 5 CON LOS ESTNDARES Y MARCOS DE TRABAJO
RELACIONADOS MS RELEVANTES ................................................................ 21
viii
1.2.8. ESTRUCTURAS ORGANIZATIVAS ILUSTRATIVAS EN COBIT 5 ............ 21
1.3. DESCRIPCIN DE LA NORMA NTE INEN - ISO/IEC 27001:2011 ........... 26
1.3.1. INTRODUCCIN ....................................................................................... 26
1.3.2. OBJETIVO ................................................................................................. 28
1.3.3. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN ... 28
1.3.4. REQUISITOS DE LA DOCUMENTACIN ................................................. 30
1.3.5. RESPONSABILIDAD DE LA DIRECCIN ................................................. 30
1.3.6. AUDITORAS INTERNAS DEL SGSI ........................................................ 31
1.3.7. REVISIN DEL SGSI POR LA DIRECCIN ............................................. 31
1.3.8. MEJORA DEL SGSI .................................................................................. 31
1.4. DESCRIPCIN DE LA NORMA NTE INEN - ISO/IEC 27002:2009 ........... 32
1.4.1. INTRODUCCIN ....................................................................................... 32
1.4.2. OBJETIVO ................................................................................................. 36
1.4.3. ESTRUCTURA DE LA NORMA ................................................................. 36
1.4.4. EVALUACIN Y TRATAMIENTO DEL RIESGO ........................................ 36
1.5. ANLISIS DE LA NORMA NTE INEN-ISO/IEC 27005:2012 ..................... 38
1.5.1. INTRODUCCIN ....................................................................................... 38
1.5.2. OBJETIVO ................................................................................................. 38
1.5.3. REFERENCIAS NORMATIVAS ................................................................. 38
1.5.4. ESTRUCTURA DE LA NORMA ................................................................. 39
1.5.5. INFORMACIN GENERAL ....................................................................... 40
1.5.6. VISIN GENERAL DEL PROCESO DE GESTIN DEL RIESGO DE LA
SEGURIDAD DE LA INFORMACIN .................................................................. 40
1.5.7. Establecimiento del contexto ..................................................................... 42
1.5.8. Valoracin del riesgo de la seguridad de la informacin ............................ 46
1.5.9. Tratamiento del riesgo de la seguridad de la informacin ......................... 54
1.5.10. Aceptacin del riesgo de la seguridad de la informacin ....................... 57
ix
1.5.11. Comunicacin de los riesgos de la seguridad de la informacin ............... 57
1.5.12. Monitoreo y revisin del riesgo de la seguridad de la informacin ......... 58
1.6. COMPARACIN DE LA NORMA NTE INEN-ISO/IEC 27005:2012 CON
OTRAS NORMAS ................................................................................................ 60
1.6.1. Publicacin especial del NIST 800-160 (Borrador Pblico inicial), Ingeniera
de Sistemas de Seguridad, un enfoque integrado a la Construccin de Sistemas de
Confianza Resistentes, de mayo 2014. ................................................................ 60
1.6.2. IEC 31010:2009 - Tcnicas de evaluacin de riesgos - Gestin del riesgo 63
1.6.3. NORMAS RELACIONADAS AL MBITO FINANCIERO ........................... 66
2. CAPTULO 2 ..................................................................................................... 69
ANLISIS DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIN EN LA
DIRECCIN NACIONAL DE DESARROLLO TECNOLGICO EN
TELECOMUNICACIONES (DTT) ......................................................................... 69
2.1. INTRODUCCIN ....................................................................................... 69
2.2. DESCRIPCIN DE LA INFRAESTRUCTURA TECNOLGICA DE LA
DIRECCIN NACIONAL DE DESARROLLO TECNOLGICO EN
TELECOMUNICACIONES (DTT) ......................................................................... 71
2.2.1. ESTUDIO DE LA ORGANIZACIN ........................................................... 71
2.3. DESCRIPCIN DE LA EVALUACIN DE GOBIERNO DE TI PARA LA
DIRECCIN NACIONAL DE DESARROLLO EN TELECOMUNICACIONES (DTT)
.................................................................................................................. 88
2.3.1. Modelo de Gobierno DTT .......................................................................... 89
2.4. ANLISIS DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIN EN LA
DIRECCIN NACIONAL DE DESARROLLO TECNOLGICO EN
TELECOMUNICACIONES ................................................................................... 90
2.4.1. ESTABLECIMIENTO DEL CONTEXTO ..................................................... 90
2.4.2. VALORACIN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIN ..
.................................................................................................................. 99
3. CAPTULO 3 ................................................................................................... 208
x
TRATAMIENTO DE LOS RIESGOS PRESENTES EN LA DIRECCIN NACIONAL
DE DESARROLLO TECNOLGICO EN TELECOMUNICACIONES ................. 208
3.1. INTRODUCCIN ..................................................................................... 208
3.2. TRATAMIENTO DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIN
................................................................................................................ 209
3.2.1. Reduccin del riesgo ............................................................................... 209
3.2.2. Retencin del riesgo ................................................................................ 209
3.2.3. Evitacin del riesgo.................................................................................. 209
3.2.4. Transferencia del riesgo .......................................................................... 210
3.2.5. Identificacin de los controles de la Norma NTE INEN-ISO/IEC 27002:2009
para la DTT ........................................................................................................ 210
3.3. TRATAMIENTO DE LOS RIESGOS EN LA SEGURIDAD DE LA
INFORMACIN PRESENTES EN LA DTT, APLICANDO LOS CONTROLES DE LA
NORMA NTE INEN-ISO/IEC 27002:2009 .......................................................... 259
4. CAPTULO 4 ................................................................................................... 295
DISEO DEL SISTEMA PARA LA GESTIN DE LOS RIESGOS EN LA
SEGURIDAD DE LA INFORMACIN PARA LA DIRECCIN NACIONAL DE
DESARROLLO TECNOLGICO EN TELECOMUNICACIONES DE LA SUPERTEL
........................................................................................................................... 295
4.1. INTRODUCCIN ..................................................................................... 295
4.2. CONTROLES EXISTENTES EN LOS SERVICIOS DE LA DTT SEGN LA
NORMA NTE INEN-ISO/IEC 27002:2009 .......................................................... 296
4.3. RECOMENDACIONES PARA LOS CONTROLES A APLICAR EN LA DTT
SEGN LA NORMA NTE INEN-ISO/IEC 27002:2009 ....................................... 298
4.4. FUNCIONAMIENTO DE GOBIERNO DE TI ENFOCADO A LA GESTIN DE
RIESGOS EN LA SEGURIDAD DE LA INFORMACIN .................................... 382
4.4.1. Procesos relacionados al Gobierno de TI ................................................ 383
4.4.2. Procesos relacionados a la Gestin de TI ............................................... 383
5. CAPTULO 5 ................................................................................................... 390
xi
CONCLUSIONES Y RECOMENDACIONES ..................................................... 390
5.1. CONCLUSIONES .................................................................................... 390
5.2. RECOMENDACIONES ............................................................................ 393
REFERENCIAS BIBLIOGRFICAS ................................................................... 395
xii
NDICE DE TABLAS
Tabla 1.1. Alineamiento del SGSI y el proceso de Gestin del Riesgo de la
Seguridad de la Informacin................................................................................. 43
Tabla 1.2. Comparacin de la NTE INEN-ISO/IEC 27005:2012 con otras normas
............................................................................................................................. 67
Tabla 2.1. Nmero de puntos de datos utilizados en el Edificio matriz ................. 86
Tabla 2.2. Probabilidad de Ocurrencia de las vulnerabilidades ............................ 92
Tabla 2.3. Impacto de acuerdo al tiempo sin funcionamiento del servicio ............ 92
Tabla 2.4. Prdida de informacin por cada del servicio ..................................... 92
Tabla 2.5. Nivel de evaluacin del Riesgo ............................................................ 93
Tabla 2.6. Combinaciones de valores de los criterios bsicos ............................. 94
Tabla 2.7. Criterios de Aceptacin y Tratamiento del Riesgo................................ 98
Tabla 2.8. Identificacin de amenazas ............................................................... 134
Tabla 2.9. Identificacin de vulnerabilidades en la DTT y sus impactos ............. 138
Tabla 2.10. Valoracin del riesgo servicio Oracle ............................................... 153
Tabla 2.11. Valoracin del riesgo servicio Recursos Compartidos ..................... 159
Tabla 2.12. Valoracin del riesgo activos Servidores RISC e Intel ..................... 167
Tabla 2.13. Valoracin del riesgo Proyecto SICOEIR ......................................... 170
Tabla 2.14. Valoracin del riesgo servicios Virtualizacin RISC e Intel .............. 177
Tabla 2.15. Valoracin del riesgo servicio Antivirus ............................................ 184
Tabla 2.16. Valoracin del riesgo servicios DNS, DHCP, NTP ........................... 190
Tabla 2.17. Valoracin del riesgo servicio Switching y Routing .......................... 196
Tabla 2.18. Valoracin del riesgo servicio Telefona IP ....................................... 203
Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar ................. 261
Tabla 4.1. Controles aplicados en la DTT ........................................................... 296
Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la
DTT .................................................................................................................... 299
Tabla 4.3. Recomendaciones para los controles faltantes en la DTT ................. 356
xiii
NDICE DE FIGURAS
Figura 1.1. Posible certificado y su hash .............................................................. 10
Figura 1.2. Sistema que implementa IPSec ......................................................... 12
Figura 1.3. Forma general de un firewall .............................................................. 13
Figura 1.4. (a) Una red privada alquilada (b)Una red privada virtual............. 14
Figura 1.5. Marco de Referencia para el Gobierno y la Gestin de las TI de la
empresa ............................................................................................................... 16
Figura 1.6. Gobierno y Gestin en COBIT 5 ......................................................... 17
Figura 1.7. Roles Actividades y Relaciones Clave ............................................... 18
Figura 1.8. Las reas clave de Gobierno y Gestin de COBIT 5 ......................... 20
Figura 1.9. Proceso EDM03 y sus objetivos relacionados con TI ......................... 22
Figura 1.10.Proceso APO12 y sus objetivos relacionados con TI ........................ 23
Figura 1.11. Proceso APO 13 y sus objetivos relacionados con TI ...................... 24
Figura 1.12. Proceso DSS05 y sus objetivos relacionados con TI ....................... 25
Figura 1.13. Modelo PDCA aplicado a los procesos del SGSI ............................. 27
Figura 1.14. Proceso de gestin del riesgo de la seguridad de la informacin .... 41
Figura 1.15. Actividad para el tratamiento del riesgo ............................................ 56
Figura 1.16. Principales contribuciones de la Ingeniera de Sistemas de Seguridad
............................................................................................................................. 61
Figura 2.1. Secciones utilizadas de la Norma NTE INEN-ISO/IEC 27005:2012... 70
Figura 2.2. Estructura Organizacional de la Superintendencia de
Telecomunicaciones ............................................................................................. 76
Figura 2.3. Ubicacin geogrfica de la SUPERTEL (DTT) ................................... 76
Figura 2.4. Plano Topolgico del Centro de Cmputo en el Edificio Matriz
SUPERTEL .......................................................................................................... 81
Figura 2.5. Topologa de la red ............................................................................. 83
Figura 2.6. Plataformas utilizadas en los servidores ............................................ 85
Figura 2.7. Cuarto de UPS ................................................................................... 87
Figura 2.8. Obtencin de valores de nivel del riesgo ............................................ 97
Figura 2.9. Esquema para la valoracin de riegos en la seguridad de la informacin
........................................................................................................................... 151
Figura 3.1. Tratamiento de riesgos en la seguridad de la informacin ............... 208
xiv
Figura 4.1. Representacin de la aplicacin de controles a los servicios de la DTT
........................................................................................................................... 295
Figura 4.2. Proceso EDM03 y sus objetivos relacionados con Ti ....................... 385
Figura 4.3. Proceso APO12 y sus objetivos relacionados con TI ....................... 386
Figura 4.4. Proceso APO13 y sus objetivos relacionados con TI ...................... 387
Figura 4.5. Proceso DSS05 y sus objetivos relacionados con TI ....................... 388
xv
RESUMEN
El presente proyecto desarrolla un Sistema de Gestin de Riesgos en la
Seguridad de la Informacin, orientado al Gobierno de TI en base a la Norma NTE
INEN-ISO/IEC 27005:2012 para la Direccin Nacional de Desarrollo Tecnolgico en
Telecomunicaciones (DTT) de la Superintendencia de Telecomunicaciones.
La gestin de riesgos se realiza mediante la aplicacin de las diferentes
fases descritas en la Norma NTE INEN-ISO/IEC 27005:2012, a travs del
establecimiento del contexto, valoracin de los riesgos, tratamiento de los riesgos,
aceptacin y comunicacin de los riesgos, para los diferentes servicios a cargo de
la DTT.
Este proyecto toma en consideracin conceptos pertinentes a la parte de
seguridad de Gobierno de TI descritas en COBIT 5, centrndose especialmente en
los procesos que tratan la Gestin de Riesgos, estos criterios son enlazados con
los lineamientos contenidos en la Norma NTE INEN-ISO/IEC 27005:2012.
En el Captulo 1 se describen diferentes conceptos de la Seguridad de la
Informacin, se realiza la descripcin de las Normas NTE INEN-ISO/IEC
27001:2011, NTE INEN-ISO/IEC 27002:2009 y el anlisis de la Norma NTE INEN-
ISO/IEC 27005:2012, permitiendo tener una visin general de la Gestin de
Riesgos en la Seguridad de la Informacin, adems se presenta una breve
introduccin al Gobierno de TI basado en COBIT 5.
El Captulo 2 est dividido en dos grandes temticas, la primera es la
Descripcin de la Infraestructura Tecnolgica de la Direccin Nacional de Desarrollo
Tecnolgico en Telecomunicaciones (DTT), en la segunda parte del mismo se
elabora el Anlisis de Riesgos en la Seguridad de la Informacin de la
Infraestructura Tecnolgica de la DTT; la parte final de este captulo contiene la
valoracin de los riesgos en la seguridad de la informacin de acuerdo a la norma
NTE INEN-ISO/IEC 27005:2012.
El Captulo 3 describe el tratamiento para los Riesgos en la Seguridad de la
Informacin presentes en la DTT, que se encontraron en base al Anlisis de riesgos
en la seguridad de la informacin descritos en el Captulo 2.
En el Captulo 4 se presentan recomendaciones para la aplicacin de los
controles faltantes y recomendaciones para aquellos que actualmente son
xvi
utilizados en la DTT y que pueden ser mejorados, con la finalidad de que su
aplicacin sea la adecuada y de acuerdo a la realidad de la DTT; adems se
presenta una metodologa de trabajo enfocada a la seguridad de la informacin de
acuerdo a lo que establece COBIT 5, con la finalidad de definir buenas prcticas de
seguridad de la informacin y Gobierno de TI.
En el Captulo 5 se presentan las conclusiones y recomendaciones que se
obtuvieron en la realizacin de este trabajo. Adems se incluyen como anexos en
formato digital cada una de las normas utilizadas en el desarrollo de este proyecto.
xvii
PRESENTACIN
La Direccin Nacional de Desarrollo Tecnolgico en Telecomunicaciones
necesita contar con un Diseo de un Sistema que haga la Gestin de Riesgos en
la Seguridad de la Informacin, basndose en la gua de la Norma NTE INEN-
ISO/IEC 27005: 2012, ya que al ser una Institucin del Estado debe cumplir con los
mximos estndares de Seguridad en la Informacin.
La DTT es la encargada de manejar cuatro ejes fundamentales: soporte
informtico a funcionarios, desarrollo de software para la Institucin, infraestructura
de la red y levantamiento de requerimientos para proyectos, por lo cual, tener un
Sistema para la Gestin de Riesgos en la Seguridad de la Informacin es
indispensable, ya que esta direccin es el punto donde se concentra y manipula la
informacin de la red de la SUPERTEL.
La gestin del riesgo en la seguridad de la informacin debe tratarse como
un proceso continuo, que establezca el contexto, evale los riesgos y trate los
riesgos, con lo cual la gestin del riesgo analiza lo que puede suceder y cules
pueden ser las posibles consecuencias, con el fin de reducir el riesgo hasta un nivel
aceptable. La seguridad de la informacin se logra implementando los controles
apropiados, que permitan minimizar los riesgos existentes y prevenir la aparicin
de nuevos riesgos.
De acuerdo a la nueva Ley Orgnica de Telecomunicaciones, se establece
la creacin de la Agencia de Regulacin y Control de las Telecomunicaciones
(ARCOTEL), sustituyendo a la Superintendencia de Telecomunicaciones
(SUPERTEL), al Consejo Nacional de Telecomunicaciones (CONATEL) y a la
Secretara Nacional de Telecomunicaciones (SENATEL), por lo cual se propone que
para la lectura de este proyecto se use el trmino ARCOTEL en lugar de
SUPERTEL considerando que las funciones a cargo de la Direccin Nacional de
Desarrollo Tecnolgico en Telecomunicaciones (DTT) se siguen manteniendo
dentro de esta nueva Institucin.
1
1.CAPTULO 1
MARCO TERICO
1.1. CONCEPTOS GENERALES DE SEGURIDAD DE LA
INFORMACIN
1.1.1. INTRODUCCIN
En la actualidad la seguridad de la informacin es de gran importancia para
una empresa, tanto en lo que se refiere a la parte fsica que se encarga del
almacenamiento de la informacin, como en la parte administrativa que trabaja en
el manejo adecuado de la misma.
Considerando que en la actualidad la mayor parte de la informacin se tiende
a almacenar en forma digital, y que no solo se puede acceder a la misma de manera
local, sino que se tienen grandes redes que conectan a varias partes del mundo,
sta debe viajar grandes distancias hasta llegar a su destino, por lo que la seguridad
de la informacin trata de prevenir que pase algo que impida que llegue a su destino
de manera correcta.
Al tener una gran cantidad de equipos interconectados entre s con el fin de
intercambiar informacin, tambin se debe prevenir que solo puedan acceder a la
misma los usuarios que estn autorizados para hacerlo; y que el manejo que dichos
usuarios hacen durante su acceso sea controlado, es decir, que en la seguridad de
la informacin se debe detectar, corregir y prevenir errores en la transmisin de la
misma.
En el captulo 1 se describirn las nociones que se relacionan con la
seguridad de la informacin, que ayudaron a travs del tiempo a que se vaya
consolidando la idea de que sta es un bien de gran valor para las organizaciones
y que debe ser protegida y tratada correctamente. Se describen algunos
mecanismos para lograr esta seguridad en la informacin.
Se detallan los conceptos que se relacionan con la seguridad de la
informacin que se describen en COBIT 5.0, y que es considerado en el desarrollo
de este proyecto; tambin se tiene la descripcin de las normas NTE INEN-ISO/IEC
2
27001: 2011, NTE INEN-ISO/IEC 27002: 2009 y un anlisis de la norma NTE INEN-
ISO/IEC 27005: 2012, para la comprensin de lo que dichas normas plantean en el
tratamiento de los riesgos en la seguridad de la informacin.
1.1.2. CONCEPTOS DE SEGURIDAD
Del libro Network Security Essencials, Aplications and Standars de
Stallings [1, p. 3] se presenta una definicin de seguridad computacional: La
seguridad computacional es la que ofrece un sistema de informacin automatizado
con el fin de alcanzar los objetivos aplicables de preservacin de la integridad,
disponibilidad y confiabilidad de los recursos del sistema de informacin (incluido
hardware, software firmware, informacin/data y telecomunicaciones). Al tomar
como ejemplo esta definicin, se ve que al hablar de seguridad de la informacin
se deben definir otros trminos que permiten que se entiendan las acciones
necesarias para tener seguridad y tambin otros trminos que hablan de cmo se
vulnera la misma.
1.1.2.1. Vulnerabilidad
Se define como una debilidad que puede ser aprovechada para ser atacada,
la cual puede aparecer en elementos de hardware y software; pero una
vulnerabilidad no tendr importancia si no existe una amenaza hacia la misma, por
lo que estos dos conceptos estn estrechamente relacionados.
1.1.2.2. Amenaza
Tambin llamada threat (en ingls), es la posibilidad de que se aproveche
una vulnerabilidad. En [1, p. 9] se define una amenaza como: Una potencial
violacin de la seguridad, que existe cuando hay una circunstancia, la capacidad,
accin o evento que podra violar la seguridad y causar daos. Las amenazas se
pueden catalogar como accidentales o intencionales. Las amenazas accidentales
son las que aparecen de forma no premeditada, pueden aparecer a causa de un
incorrecto uso de recursos por parte de algn usuario o por fallas de software no
previstas. Las amenazas intencionales son las que aparecen de forma maliciosa
para hacer un uso incorrecto de los recursos de la red, por lo que a este tipo de
amenaza se le llama ataque.
3
Las amenazas se pueden clasificar en cuatro grupos:
1.1.2.2.1. Destruccin de la informacin
En este tipo de amenaza se busca destruir todo o parte de la informacin
para que no pueda ser utilizada.
1.1.2.2.2. Modificacin de la informacin
Se cambia el contenido de un mensaje, pudiendo modificar, quitar o aadir
partes del mismo, en busca de perjudicar las comunicaciones.
1.1.2.2.3. Robo de informacin
Se produce cuando se recepta la informacin de manera indebida, y tambin
cuando se divulga cierta informacin entre usuarios que no tenan permisos para
acceder a la misma.
1.1.2.2.4. Interrupcin de un servicio
Consiste en evitar que los usuarios de un servicio accedan al mismo,
evitando que cumplan con alguna tarea.
1.1.2.3. Riesgo
Se puede definir como la medida del costo de una vulnerabilidad; en
trminos ms comprensibles se puede decir que un riesgo indica qu tan efectivo
es un ataque. Tomando la definicin de Riesgo de la Seguridad de la Informacin
de la Norma 27005 [2] se define como: potencial de que una amenaza determinada
explote las vulnerabilidades de los activos o grupos de activos causando as dao
a la organizacin. Por medio de los riesgos se pueden realizar anlisis del sistema
y tomar decisiones que permitan un mejor manejo de la informacin.
1.1.2.4. Ataque
Cuando se ejecuta una amenaza intencionalmente, se le conoce como
ataque. En [1, p. 9] se define un ataque como: Un asalto a la seguridad del sistema
que se deriva de una amenaza inteligente. ste es un acto inteligente que es un
4
intento deliberado (sobre todo en el sentido de un mtodo o tcnica) para evadir los
servicios de seguridad y de violar la poltica de seguridad de un sistema.
Los ataques pueden ser vistos como internos a los que se producen dentro
de la organizacin, y como externos a los que provienen de lugares externos a la
organizacin. Los ataques tambin pueden clasificarse de dos formas: ataques
pasivos y ataques activos. Y adems se considera otro tipo de ataque conocido
como ataque lgico.
1.1.2.4.1. Ataques pasivos
Los ataques pasivos son lo que se realizan de manera que no afectan al
normal funcionamiento del sistema; el objetivo de estos ataques es obtener la
informacin que est siendo transmitida.
Estos ataques son difciles de detectar ya que el sistema contina
funcionando normalmente, y los mensajes enviados a determinado destinatario son
recibidos tanto por ste como por una tercera parte (el atacante).
1.1.2.4.2. Ataques activos
Los ataques activos son lo que buscan alterar el normal funcionamiento de
la red, ya sea atacando a los equipos o a la informacin directamente, para lo cual
se puede recurrir a modificar parte de la informacin o incluso crear falsos mensajes.
Estos ataques se pueden dividir en cuatro categoras, que resumen los principales
efectos de los mismos:
Suplantacin de identidad (Masquerade)
Repeticin del contenido (Reply)
Modificacin del mensaje (Modification)
Denegacin del servicio (Denial of Service)
1.1.2.4.3. Ataques Lgicos
Son otros tipos de ataques cuyo resultado es uno de los perjuicios descritos
anteriormente en los ataques activos; estn conformados por un grupo de
programas que pueden daar el sistema informtico, los cuales pueden haber sido
creados de forma malintencionada o por error, entre los cuales se tienen:
5
Virus: Es un programa desarrollado de tal forma que se reproduce a
s mismo, una vez que se instala en un equipo causa destruccin de
la informacin o en general de los recursos del sistema; pueden viajar
adjuntos a un correo electrnico, en una pgina web, o por algn otro
medio, y tratan de esparcirse hacia otras mquinas creando
autocopias.
Gusanos (Warms): Son programas auto replicables y se transmiten a
travs de las redes, pudiendo incluso llevar virus, y en general daar
los sistemas a donde llegan. Tienen la capacidad de mutacin, por los
equipos deben contar con un antivirus que se actualice
constantemente con el fin de que se prevengan infecciones contra las
diferentes mutaciones que vayan surgiendo.
Bacterias: Estos programas se derivan de los gusanos, porque
pueden reproducirse rpidamente y causan la saturacin de los
recursos del sistema, provocando una denegacin del servicio ya que
no se pueden gestionar peticiones de usuarios legtimos.
Bomba lgica: Es un programa en cuyo cdigo se crea una
determinada tarea en la que se especifica que si se cumple una
condicin determinada se producir un evento que puede provocar
una perturbacin en el sistema.
Caballo de Troya (Trojan Horse): Este tipo de programas tienen en su
cdigo instrucciones que ejecutan tareas adicionales a las propias de
sus funciones para que el atacante acte sin ser visto, obteniendo
informacin importante del sistema, o directamente asegurar la
entrada del atacante para causar daos en el sistema.
Puerta trasera: Este concepto se refiere a accesos que se crean en
una aplicacin en el entorno de desarrollo, que permiten una entrada
rpida a la misma evadiendo de alguna manera la autenticacin de la
aplicacin.
1.1.2.5. Intrusos
Se han detallado diferentes tipos de ataques, pero cabe describir algunas
definiciones sobre los encargados de realizar las diferentes irrupciones en las redes.
6
En general se puede decir que a los intrusos se los conoce comnmente como
hackers o crackers, que definen a las personas que tiene un amplio conocimiento
informtico, pero su diferencia radica en el uso que dan a sus conocimientos.
1.1.2.5.1. Hackers
Este trmino ha sido ampliamente usado para referirse a las personas que
irrumpen en la red de manera no autorizada, pero una aclaracin que se tiene en
la actualidad acerca de esta definicin es que, si bien un hacker provoca una
perturbacin en el normal funcionamiento de la red, no lo hace con la finalidad de
obtener un beneficio econmico, sino ms bien busca un reconocimiento a su
capacidad de irrumpir en la seguridad de un sistema; se puede concluir que los
hackers no buscan hacer dao en la red, sino ms bien detectar sus
vulnerabilidades para realizar mejoras en la seguridad; esto tambin es conocido
como hacking tico, o hacker de sombrero blanco.
1.1.2.5.2. Crackers
Se definen de esta manera a los individuos que buscan perjudicar el
funcionamiento de una red, ya sea por el robo de la informacin, descifrar claves y
algoritmos de cifrado o incluso la destruccin de informacin; ms conocido como
hacker de sombrero negro.
Se dedican a navegar en las redes y violan la seguridad de las mismas pero
con fines mal intencionados; por lo general los crackers buscan obtener un
beneficio econmico como resultado de sus acciones, ya sea por la venta de
informacin robada o perjudicando econmicamente a alguien al robar su
contrasea y retirar dinero de su cuenta, por ejemplo.
1.1.2.6. Servicios de seguridad
Un servicio de seguridad es un proceso (o dispositivo que realiza dicho
proceso) diseado para detectar, prevenir o recuperarse de un ataque a la
seguridad; los servicios de seguridad buscan proteger la informacin de ciertos
ataques. Se puede dividir a los servicios de seguridad en varias categoras
descritas a continuacin.
7
1.1.2.6.1. Autenticacin
El servicio de autenticacin se encarga de asegurar que la entidad que se
comunica sea realmente quien dice ser. En una comunicacin que se est llevando
a cabo, se deben considerar dos aspectos, el primero es asegurar que al momento
de iniciar la conexin entre dos entidades, stas sean autnticas, es decir que sean
quienes dicen ser; el segundo aspecto es que el servicio asegure que la
comunicacin no sea interferida por una tercera parte hacindose pasar por una de
las dos entidades originales, todo esto con el fin de trasmitir o recibir informacin
de forma no autorizada (ataque por suplantacin de identidad).
1.1.2.6.2. Control de acceso
Este servicio se refiere a la capacidad del sistema para limitar y controlar el
acceso por medio de los enlaces de comunicacin, para lo cual se necesita tambin
un servicio de autenticacin que permita dar los accesos autorizados para cada
usuario.
1.1.2.6.3. Confidencialidad de la informacin
La confidencialidad permite proteger la informacin que se transmite ante
ataques pasivos, pudiendo hacerse en diferentes niveles que permitan proteger
toda la comunicacin o solamente una parte de un mensaje. Se debe tomar en
cuenta que la confidencialidad busca evitar que se haga un anlisis de trfico de
una red por parte de un atacante que quiera conocer la fuente, destino, frecuencia
de envo o caractersticas de una comunicacin.
1.1.2.6.4. Integridad de la informacin
La integridad puede aplicarse tanto para un solo mensaje como para un
stream de mensajes. Un servicio de integridad para proteger un stream de
mensajes ser capaz de proteger contra ataques de modificacin, repeticin de
contenido, e incluso contra destruccin de la informacin. Si se usa una
comunicacin no orientada a la conexin, solamente se puede proteger a los
mensajes de forma individual y solamente de la modificacin de los mismos.
Este servicio puede implementarse con o sin recuperacin ante un ataque
activo; en el caso de un servicio sin recuperacin, ste solamente detectar la
8
violacin de la integridad, pero se necesitar que la recuperacin ante el ataque
sea hecha por una persona o por un software encargado de esta tarea, mientras
que un servicio con recuperacin ante un ataque incorporar algn mecanismo que
permita recuperar la prdida de integridad de la informacin, esta segunda opcin
es la ms utilizada.
1.1.2.6.5. No repudio
Este servicio busca que el emisor o receptor de un mensaje no nieguen
haberlo transmitido o recibido, de modo que el emisor/receptor de un mensaje
pueda comprobar que el mensaje fue recibido/transmitido.
1.1.2.6.6. Disponibilidad
Se define a la disponibilidad como la propiedad de un sistema o recursos de
un sistema de ser accesible y de poder ser utilizado el momento en el que se lo
necesite por las entidades autorizadas. Algunos tipos de ataques pueden provocar
la prdida de disponibilidad, pero la utilizacin de servicios de autenticacin y
control de acceso pueden hasta cierto nivel ayudar a evitar la falta de disponibilidad.
1.1.2.7. Mecanismos de Seguridad
Los mecanismos de seguridad hacen posible que se implementen los
servicios de seguridad, y cada mecanismo debe ser adaptado a las necesidades
de cada sistema, por lo que no se tiene un mecanismo genrico que asegure una
buena implementacin de algn servicio de seguridad para cualquier red. Se
describe el cifrado ya que es el mecanismo de seguridad ms utilizado.
1.1.2.7.1. Cifrado
Este mecanismo de seguridad debe aplicarse en la capa apropiada del
modelo OSI donde se tenga algn servicio de seguridad; consiste en usar
algoritmos matemticos que permitan transformar el mensaje que se desea
transmitir en algo que no sea entendible por otro usuario que no sea el destinatario
autorizado, el cual ser capaz de recuperar la forma original del mensaje. Algunos
de estos algoritmos son:
9
Algoritmos de Clave Simtrica: utilizan una misma clave para el
cifrado y descifrado; entre los algoritmos ms importantes
actualmente se tienen DES, Triple DES y AES.
Algoritmos de Clave Pblica: utiliza claves diferentes para cifrado y
descifrado, y la clave de descifrado no puede derivarse de la clave de
cifrado. Para esto, cada usuario debe tener una clave pblica y una
privada, la clave pblica es la que se utiliza para el cifrado, la clave
privada se utiliza para descifrado ya que con esto se asegura que solo
el destinatario legtimo pueda descifrar el mensaje. Como ejemplos
de estos algoritmos se tienen el algoritmo RSA y las firmas digitales;
se detalla lo relacionado a firmas digitales.
o Firmas Digitales: muchos documentos legales, financieros y de
otros tipos necesitan una firma autorizada; como se busca
reemplazar totalmente los papeles impresos, se necesita una
forma de que la firma de los documentos sea infalsificable; segn
lo dicho en el libro Redes de Computadoras de Tanenbaum [3,
p. 756] se busca que un origen enve un mensaje firmado a un
destino, de modo que se cumplan las siguientes condiciones:
1. El receptor pueda verificar la identidad del transmisor.
2. El transmisor no pueda repudiar (negar) despus el contenido
del mensaje.
3. El receptor no haya podido elaborar el mensaje l mismo.
Para cumplir con estos objetivos, se tiene la firma digital, que
consiste en tener datos adjuntos o una transformacin
criptogrfica de una porcin de datos determinada, por medio de
la cual el receptor puede verificar que el origen de esa informacin
no ha sido falsificado y que la integridad de la misma no se ha
quebrantado
Se tienen firmas de clave simtrica en donde se busca que una
sola autoridad central en la que todos confen tenga las claves de
todos; entonces cada usuario escoge una clave secreta y la
comparte solamente con esta autoridad, por lo que cuando la
autoridad central reciba un mensaje de determinado usuario, sta
10
lo descifrar con la clave de ese usuario y se asegura de que fue
ese usuario el que envi el mensaje. Y las firmas de clave pblica,
donde la firma de los documentos no requiera de una autoridad
confiable que la certifique.
Compendio del mensaje (Message digest - MD): Los sistemas de
firma digital combinan dos funciones desiguales: autenticacin y
confidencialidad, ya que se tiene casos en los que no se requiere
confidencialidad, pero s autenticacin. El uso de compendios de
mensaje puede acelerar los algoritmos de firma digital.
Administracin de Claves Pblicas: Al usar una clave pblica se da la
posibilidad de que dos personas que no comparten una clave secreta
se puedan comunicar con seguridad, y posibilita que los mensajes
sean firmados sin la presencia de un tercero confiable, y al usar
compendios de mensaje se puede verificar ms fcilmente la
integridad de mensajes recibidos. Aun as, se tiene el problema de
que se podra falsificar la identidad de la persona duea de esa clave
pblica, debido a que no se tiene una forma segura de intercambiar
claves pblicas; por esto se tienen formas de prevenir estas
situaciones, a continuacin, se describe una de ellas.
o Certificados: La solucin que se dio para asegurar las claves
pblicas es la creacin de una organizacin que certifique las
claves pblicas, conocido como CA (autoridad de certificacin),
que se encarga de certificar las claves pblicas que pertenecen a
personas, empresas y otras organizaciones. El CA emitir un
certificado como el que se ve en la Figura 1.1, y se le entregar a
la persona solicitante del certificado un disco flexible que contiene
el certificado y su hash firmado.
Figura 1.1. Posible certificado y su hash [3, p. 766]
11
Un certificado enlaza una clave pblica con un nombre principal
(persona, empresa, etc.), y cabe mencionar que los certificados
no son privados ya que si una persona desea puede ponerlo
disponible para otras.
Otra situacin a mencionarse es la revocacin de certificados,
esto puede darse cuando el que otorg el certificado decide
hacerlo, considerando factores como: la clave privada del sujeto
se ha expuesto o la clave del CA est en peligro.
1.1.2.8. Seguridad en la Comunicacin
Se debe mencionar cmo funciona la seguridad en una comunicacin, es
decir, qu mtodos se pueden utilizar para que los datos viajen sin modificarse y de
forma segura desde el origen hasta el destino, y adems evitando que se
introduzcan bits no deseados. Para ello se tienen algunos elementos que se
describen brevemente.
1.1.2.8.1. IPsec
En bsqueda de implementar seguridad en Internet, se pensaron diversas
alternativas, una era implementarla de extremo a extremo (es decir en la capa
aplicacin), pero esto requera que las aplicaciones cambien para que estn
conscientes de la seguridad, por lo que el siguiente enfoque era tener seguridad en
capa transporte y no tener que cambiar las aplicaciones; pero adems se tena otro
enfoque en la que los usuarios no entienden la seguridad y no la utilicen
correctamente, por lo que la capa red debe autenticar y/o cifrar los paquetes, es por
esto que se desarroll un estndar de seguridad de capa de red que aplique la
seguridad correctamente y que los usuarios no estn conscientes de ella hasta
cierto punto, el resultado de este anlisis fue IPsec (Seguridad IP). Los servicios
principales de IPSec son confidencialidad, integridad de datos y proteccin contra
ataques de repeticin, los cuales se basan en criptografa de base simtrica porque
necesitan tener alto rendimiento. IPsec puede trabajar de dos modos: modo
transporte y modo tnel.
Modo transporte: El encabezado IPsec se inserta despus del
encabezado IP y el campo protocolo de la cabecera IP se modifica
12
para indicar que un encabezado IPsec se encuentra despus del
encabezado IP.
Modo tnel: Todo el paquete IP se empaqueta en el cuerpo de un
nuevo paquete IP. Esto es til cuando un tnel termina en un punto
que no sea el destino final, con lo que los dispositivos intermedios
involucrados deben estar al tanto de IPsec y no los usuarios en la LAN.
Tambin se utiliza cuando se agrega un conjunto de conexiones TCP
y se las quiere manejar como un solo flujo cifrado para evitar que
atacantes vean la cantidad de trfico que est pasando; pero tiene
una desventaja y es el tener que encapsular en otro paquete IP,
aumentando el tamao del paquete. La Figura 1.2 muestra un sistema
implementado con IPsec.
Figura 1.2. Sistema que implementa IPSec [1, p. 272]
1.1.2.8.1. Firewalls
Existe gran cantidad de informacin confidencial que circula en la red que
debe ser protegida de fuga de informacin y del peligro de infiltracin de informacin,
13
como virus, gusanos, etc., los cuales pueden destruir datos y perjudicar el
funcionamiento de la red.
Los firewalls o tambin llamados servidores de seguridad, son dispositivos
por los cuales debe pasar todo el trfico entrante y saliente de diferentes LAN
externas conectadas al mismo para ser inspeccionado, y luego poder ingresar a
una LAN interna.
Los paquetes entrantes o salientes que cumplan con algn criterio
configurado en el firewall podrn pasar, caso contrario sern descartados. Los
criterios mencionados son conocidos como filtros de paquetes que son
configurados en forma de tablas por el administrador del sistema, es decir que lo
que un firewall hace es bsicamente evitar que pasen intrusos a la red y que salga
informacin confidencial, de forma general se puede representar al firewall como
se ve en la Figura 1.3.
Figura 1.3. Forma general de un firewall [1, p. 379]
1.1.2.8.1. Redes privadas virtuales
Una red privada se creaba cuando las compaas alquilaban lneas
telefnicas privadas para conectar algunas ubicaciones, pero su principal
inconveniente es el costo de alquilar una o ms lneas dedicadas; con el
surgimiento de las redes pblicas de datos, las compaas decidieron trasladar su
trfico de datos a estas redes, pero buscando mantener la seguridad. Las redes
privadas virtuales (VPN) son redes que se superponen en las redes pblicas a las
que se les configuran propiedades de las redes privadas.
El trmino virtual hace referencia a que no son reales sino solo una ilusin.
Las redes privadas virtuales pueden implementarse en la actualidad directamente
sobre Internet usando los firewalls donde empiezan y terminan los tneles,
14
estableciendo la separacin entre el Internet y la organizacin, como se observa en
la Figura 1.4 literal (b) [3, p. 779].
Figura 1.4. (a) Una red privada alquilada (b)Una red privada virtual
1.1.2.8.2. Seguridad inalmbrica
La seguridad inalmbrica surge de la idea de que un intruso que utilice una
conexin inalmbrica pueda pasar sobre la seguridad del firewall y capturar los
paquetes de informacin que circulan en la red, por ello se considera ms
importante proteger los sistemas inalmbricos, mencionando adems que en la
actualidad las comunicaciones inalmbricas son ampliamente utilizadas en todo el
mundo.
Seguridad 802.11: Este estndar establece un protocolo que da
seguridad a nivel de capa de enlace de datos llamado WEP (Wireless
Equivalent Privacy); el funcionamiento de este protocolo se basa en
compartir una clave secreta entre la estacin que se comunica y la
estacin base.
1.1.2.8.3. Seguridad de correo electrnico
Al contrario de lo que se piensa, un correo electrnico pasa por otras
mquinas antes de llegar a su destinatario, por lo que los usuarios que desean que
su correo pueda ser ledo solamente por el destinatario deben aplicar algoritmos
criptogrficos que permitan producir un correo electrnico seguro. Algunos
sistemas desarrollados para estos fines son:
PGP (Pretty Good Privacy)
PEM (Privacy Enhanced Mail)
15
1.2. INTRODUCCIN AL GOBIERNO DE TI ENFOCADO EN LA
GESTIN DE RIESGOS
El seguir una correcta estructura de acuerdo a los mandatos de Gobierno de
TI para la seguridad de la Informacin, permite desarrollar ordenadamente un
correcto diseo para la seguridad de la informacin. En el caso de este proyecto, el
diseo est enfocado en la norma 27005 [2], la cual describe de la Gestin de
Riesgos en la Seguridad de la Informacin.
Gobierno de TI presenta indicaciones para una correcta metodologa de
trabajo en lo referente a la seguridad de la informacin; se pueden citar ciertos
procesos enfocados en los catalizadores de Gobierno de TI: APO (Aling, Plan and
Organice), DSS (Deliver, Service and Support), EDM (Evaluate, Direct and Monitor).
Para todo esto se tiene un modelo de referencia realizado por la empresa ISACA1,
los cuales desarrollan COBIT 5, que abarca diferentes ramas que permiten un
correcto Gobierno de TI.
Este proyecto se basar en COBIT 5 para dar ciertas aclaraciones y emitir
criterios que llevarn a lograr una correcta estructura en todo lo referente a
seguridad de la informacin, y en los prximos captulos se establecer de forma
ms concreta la Gestin de Riesgos en la Seguridad de la Informacin. Se busca
promover el uso ptimo de los recursos que tiene la DTT enfocado en la Gestin
de Riesgos en la Seguridad de la Informacin, y una correcta administracin y uso
de los servicios prestados por esta Direccin.
1.2.1. GOBIERNO DE TI
Est basado en el Marco de COBIT 5, el cual ofrece una gua prctica para
la seguridad de la informacin a nivel empresarial. Al viajar la informacin a lo largo
de la Red, sta debe estar protegida para lograr una buena gestin de la misma.
COBIT 5 permite el desarrollo de polticas y prcticas, requeridas para el control de
las tecnologas de la informacin en toda la organizacin, dando como referencia
una familia para metodologas de trabajo, mostradas en la Figura 1.5.
1 ISACA (www.isaca.org) es un lder global proveedor de conocimiento, certificaciones,
comunidad, promocin y educacin sobre aseguramiento y seguridad de sistemas de informacin (SSII), gobierno empresarial y gestin de TI y riesgo relacionado con TI y cumplimiento.
16
En todas las empresas, sean stas pblicas o privadas, se maneja gran
cantidad de informacin, la misma que es manipulada por muchas personas, y debe
ser actualizada constantemente para su uso efectivo, por esto se estn usando las
tecnologas de informacin, para que todo este tipo de informacin se organice y
se distribuya de manera correcta entre las personas de inters y en su debido
momento.
Figura 1.5. Marco de Referencia para el Gobierno y la Gestin de las TI de la empresa [4, p. 11]
1.2.2. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS
Se puede llegar a satisfacer las necesidades de las partes interesadas
mejorando prcticas de seguridad para minimizar los riesgos, con lo cual las
empresas podrn conseguir beneficios a costos mnimos. COBIT 5 busca manejar
su entorno de aplicacin de manera ptima, para esto se aplica la creacin del valor,
dando como puntos importantes: la realizacin de beneficios, optimizacin del
riesgo y la optimizacin de recursos, mejorando las necesidades y requerimientos
de la Direccin Nacional de Desarrollo en Telecomunicaciones. La informacin es
una de las categoras catalizadoras de COBIT 5, definiendo requisitos exhaustivos
y complementos para la informacin, as como tambin el ciclo de vida para el
procesamiento de la informacin, dando soporte al negocio y al enfoque de contexto.
1.2.3. ENFOQUE DE GOBIERNO
En el enfoque de Gobierno para la Direccin Nacional de Desarrollo
Tecnolgico en Telecomunicaciones, abarcando todos sus servicios y riesgos
existentes, COBIT 5 muestra componentes claves para un buen sistema de
17
gobierno, de acuerdo a la Figura 1.6. Se tienen dos divisiones adicionales en la
Optimizacin del Riesgo: los Catalizadores de Gobierno y el Alcance de Gobierno,
las cuales tienen una misma finalidad formal, una buena metodologa de trabajo
siguiendo paso a paso lo que se enuncia en COBIT 5. Este proyecto est orientado
nicamente a la parte de Gestin de la Seguridad de la Informacin, pero por lo
mismo se tienen que hacer pequeas referencias a esta estructura hasta llegar a
los roles, actividades y relaciones, que justifican la aplicacin de la Norma 27005
[2].
Figura 1.6. Gobierno y Gestin en COBIT 5 [4, p. 23]
1.2.3.1. Catalizadores de Gobierno
Segn [4, p. 24]: Los catalizadores de gobierno son los recursos
organizativos para el gobierno, tales como marcos de referencia, principios,
estructuras, procesos y prcticas, a travs de los que o hacia los que las acciones
son dirigidas y los objetivos pueden ser alcanzados. Los catalizadores son la parte
ms importante para hacer una buena gestin de Gobierno de TI, pues dentro de
stos se encuentran todas las necesidades de la empresa y de qu manera se
puede mejorar el desempeo y optimizar los recursos para el bueno uso de la
informacin; adems los catalizadores forman parte de los recursos corporativos
para las aplicaciones, teniendo una buena estructura de gobierno de tecnologas
de informacin.
18
1.2.3.2. Alcance de Gobierno
Gobierno de TI puede ser aplicado a toda una empresa a o una parte de ella,
en el desarrollo de este proyecto ser aplicado a parte de la gestin de la seguridad
de la informacin, especficamente a la Gestin de Riesgos, de la Direccin
Nacional de Desarrollo Tecnolgico en Telecomunicaciones.
1.2.3.3. Roles, Actividades y Relaciones
Se define quin est involucrado en Gobierno, y a su vez de qu forma se
involucra, y cul ser su funcin dependiendo del alcance del sistema de gobierno;
estas relaciones se muestran en la Figura 1.7.
Figura 1.7. Roles Actividades y Relaciones Clave [4, p. 24]
De esta manera COBIT 5 da lineamientos para otros estndares y marcos
relevantes, como por ejemplo: ITIL, TOGAF y estndares ISO, el ltimo en particular
muy importante para la realizacin de este proyecto, puesto que se aplica la norma
27005 [2] (Gestin de Riesgo en la Seguridad de la Informacin).
1.2.4. CATALIZADORES DE COBIT 5
Estos catalizadores contendrn una cascada de metas y los principales
objetivos que tendr el Gobierno, de esta manera se definen siete diferentes
categoras de catalizadores:
Principios, polticas y marcos de referencia
Procesos
Estructuras organizativas
Cultura, tica y comportamiento
Informacin
Servicios, estructura y aplicaciones
19
Personas, habilidades y competencias
Estas categoras contemplan las metas propuestas y las necesidades de la
entidad, que son parte fundamental de la seguridad de la informacin, la misma que
requiere de la creacin y puesta en marcha de varias polticas y procedimientos,
para buscar la implantacin de varias prcticas relacionadas con la seguridad de la
informacin.
1.2.5. DIMENSIONES DE LOS CATALIZADORES
Las metas de los catalizadores dependern de las necesidades de la entidad
y los objetivos que se quieren obtener; para fines de este proyecto se quiere
dimensionar estos catalizadores de acuerdo a las necesidades de seguridad de la
informacin. Las metas pueden ser definidas en trminos de:
Resultados esperados del catalizador
Aplicacin u operacin del catalizado
Las metas del catalizador son el paso final en la cascada de metas de COBIT
5. Las metas pueden ser divididas a su vez en diferentes categoras, una de ellas
es la Accesibilidad y Seguridad. Los catalizadores y sus resultados son accesibles
y seguros, pues deben estar disponibles cuando se necesiten, de la misma manera
los resultados deben ser asegurados, y las personas autorizadas deben poder
acceder a esta informacin.
1.2.6. MODELO DE REFERENCIA DE PROCESOS DE COBIT 5
Las empresas definen procesos de gobierno y gestin de manera que las
reas fundamentales estn cubiertas. De esta manera se forman las reas claves
de Gobierno y Gestin de COBIT 5. En la Figura 1.8 se puede observar que una
empresa puede tener los procesos que crea conveniente, siempre y cuando los
objetivos que se planteen estn totalmente cubiertos.
COBIT 5 define un modelo de referencia de procesos donde se encuentran
las metas de gobierno y gestin, de esta manera cada empresa define su propio
conjunto de procesos, teniendo en cuenta su situacin particular.
La Gestin consta de cuatro dominios, que son: planificar, construir, ejecutar
y supervisar, los cuales proporcionan cobertura de extremo a extremo de las TI.
Evaluar, Orientar y Supervisar (Evaluate, Direct and Monitor, EDM)
20
Alinear, Planificar y Organizar (Aling, Plan and Organice, APO)
Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Cada uno de estos dominios contiene determinado nmero de procesos.
COBIT 5 en total tiene 37 procesos de gobierno y gestin, de los cuales, para la
seguridad de la informacin son importantes para este proyecto cuatro procesos
mencionados a continuacin:
EDM 03, Asegurar la optimizacin del riesgo
APO 12, Gestionar el riesgo
APO 13 Gestionar la seguridad
DSS 05, Gestionar los servicios de seguridad
Figura 1.8. Las reas clave de Gobierno y Gestin de COBIT 5 [4, p. 32]
De la figura Mapeo entre las Metas Relacionadas con las TI de COBIT 5 y
los Procesos [4, pp. 52,53] se toman los procesos de COBIT 5 referentes a
seguridad de la informacin, describiendo las metas relacionadas con las TI. Las
metas relacionadas con las TI y los procesos de COBIT 5 referentes a seguridad
de la informacin se relacionan entre s, y estas relaciones pueden ser definidas
21
como Primarias cuando hay una relacin importante, y cuando todava hay un
vnculo fuerte, pero menos importante se define como Secundaria.
Se describen los procesos relacionados a la seguridad de la informacin y a
la gestin de riesgos en la seguridad de la informacin que tienen que ver con el
Gobierno de TI y la Gestin de TI, mediante la Figura 1.9, Figura 1.10, Figura 1.11
y Figura 1.12.
1.2.7. MAPEO DE COBIT 5 CON LOS ESTNDARES Y MARCOS DE
TRABAJO RELACIONADOS MS RELEVANTES
COBIT 5 hace comparaciones con los estndares y marcos de trabajo ms
relevantes y ms utilizados en el mbito de gobierno. Se hace referencia a la serie
de estndares ISO/IEC 27000, que COBIT 5 menciona en las reas y dominios
relacionados con la seguridad de la informacin.
1.2.7.1. Dimensin de los Catalizadores
Tiene cuatro dimensiones ms comunes:
Ciclo de vida
Buenas prcticas
Partes Interesadas
Metas: stas se definen en trminos de resultados esperados del
catalizador y aplicacin u operativa del propio catalizador. Las metas
del catalizador son el ltimo paso de la cascada de metas de COBIT
5. Por esto las metas an se dividen en diferentes categoras:
o Calidad Intrnseca
o Calidad Contextual
o Accesibilidad y Seguridad
1.2.8. ESTRUCTURAS ORGANIZATIVAS ILUSTRATIVAS EN COBIT 5
Dentro del ciclo de vida de la informacin, la empresa deber ser evaluada
peridicamente para ver la evolucin de lo producido y qu cambios deben hacerse
en bien de la empresa dentro de los periodos establecidos.
22
Fig
ura
1.9
. P
roce
so E
DM
03
y s
us
ob
jetiv
os
rela
cio
nad
os
con
TI
23
Fig
ura
1.1
0.P
roce
so A
PO
12
y s
us
ob
jetiv
os
rela
cio
nad
os
con
TI
24
Fig
ura
1.1
1.
Pro
ceso
AP
O 1
3 y
sus
ob
jetiv
os
rela
cio
nad
os
con
TI
25
Fig
ura
1.1
2. P
roce
so D
SS
05
y s
us
ob
jetiv
os
rela
cio
nad
os
con
TI
26
1.2.8.1. Gestin
Incluye el uso juicioso de medios (recursos, personas, procesos, prcticas,
etc.) para conseguir un fin identificado. Es un medio o instrumento mediante el cual
el grupo que gobierna consigue un resultado u objetivo; la gestin es responsable
de la ejecucin, dentro de la direccin establecida, por el grupo que gobierna. La
gestin se refiere a las actividades operacionales de planificacin, construccin,
organizacin y control, que se alinean con la direccin que establece el grupo que
gobierna y la informacin sobre dichas actividades.
1.2.8.2. Gestin de riesgos
Es uno de los objetivos de gobierno. Requiere reconocer un riesgo, evaluar
su impacto y probabilidad, y desarrollar estrategias, como, por ejemplo, evitar el
riesgo, reducir el efecto negativo de riesgo y/o transferir el riesgo, para gestionarlo.
1.3. DESCRIPCIN DE LA NORMA NTE INEN - ISO/IEC
27001:2011
1.3.1. INTRODUCCIN
Esta norma proporciona un modelo para la creacin, implementacin,
operacin, supervisin, revisin, mantenimiento y mejora de un Sistema de Gestin
de la Seguridad de la Informacin (SGSI). La organizacin debe establecer cules
son las necesidades y objetivos del SGSI, as como tambin los requisitos de
seguridad, su proceso y estructura para la creacin del diseo y la implementacin
del SGSI, por lo que la responsabilidad de la organizacin es definir y gestionar sus
actividades para funcionar correctamente. Esta norma tiene un enfoque por
procesos para la gestin de la seguridad de la informacin dando importancia a los
siguientes aspectos:
La organizacin deber tener claramente especificado cules son los
requisitos de seguridad de la informacin y sus objetivos.
Hacer uso de los controles necesarios que administren los riesgos en
la seguridad de la informacin.
Supervisar y revisar el rendimiento y la eficacia del SGSI.
27
Esta norma se basa en el modelo "Planificar-hacer-verificar-actuar" (Plan-
Do-Check-Act conocido como modelo PDCA), que se aplica para estructurar todos
los procesos del SGSI, como se observa en la Figura 1.13.
Figura 1.13. Modelo PDCA aplicado a los procesos del SGSI [5, p. iv]
En [5, p. iv] se describen las actividades que se realizan en cada fase del
PDCA, las cuales se detallan a continuacin.
Planificar (creacin del SGSI): Se definen la poltica, objetivos,
procesos y procedimientos del SGSI ms importantes para gestionar
el riesgo y mejorar la seguridad de la informacin.
Hacer (implementacin y operacin del SGSI): Implementar y operar
la poltica, procesos, objetivos, controles, y procedimientos del SGSI.
Verificar (supervisin y revisin del SGSI): Monitorizar, Evaluar y el
medir el rendimiento del proceso basado en las polticas, los objetivos
informando los resultados a la direccin para su aprobacin.
Actuar (mantenimiento y mejora del SGSI): Una vez que se tengan los
resultados se debe proceder hacer una auditora interna del SGSI por
parte de la direccin. Esta norma est diseada para posibilitar a una
organizacin el adaptar su SGSI a los requisitos de los sistemas de
gestin mencionados.
28
1.3.2. OBJETIVO
Esta norma est diseada para todo tipo de organizaciones llmense stas
empresas, organismos y entes pblicos, entidades sin nimo de lucro, para lo cual
se especifican los requisitos para la creacin, implementacin, operacin,
supervisin, revisin, mantenimiento y mejora de un SGSI documentado.
Para este proyecto, el cual se fundamenta en la Norma 27005 [2], se trabaja
en la Gestin de Riesgos en la Seguridad de la Informacin, que es una parte de lo
que en la Norma [5] se describe como fase de planificacin (creacin del SGSI).
Los requisitos que se establecen en esta norma son genricos y aplicables a todas
las organizaciones y se tienen que considerar todos los controles existentes
necesarios para cumplir con los criterios de aceptacin del riesgo.
1.3.3. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN
La organizacin debe crear, implementar, operar, supervisar, revisar,
mantener y mejorar un SGSI documentado dentro del contexto de las actividades
empresariales generales de la organizacin y de los riesgos que sta afronta.
1.3.3.1. Creacin del SGSI
La organizacin est encargada de definir el alcance y los lmites del SGSI
en trminos de la organizacin, su ubicacin, sus activos y tecnologa, incluyendo
los detalles y la justificacin de cualquier exclusin del alcance. Para la creacin de
un SGSI se debe tomar en cuenta:
Definir el enfoque de la evaluacin de riesgos de la organizacin
Identificar los riesgos
Analizar y valorar los riesgos
Identificar y evaluar las opciones para el tratamiento de riesgos
Seleccionar los objetivos de control y los controles para el tratamiento
de los riesgos
Obtener la aprobacin, por parte de la Direccin, de los riesgos
residuales propuestos
Obtener la autorizacin de la Direccin para implementar y operar el
SGSI
29
Elaborar una declaracin de aplicabilidad
1.3.3.2. Implementacin y operacin del SGSI
Una vez establecidos los puntos importantes para la creacin del SGSI la
organizacin debe:
Formular un plan de tratamiento de riesgos que identifique las
acciones de la Direccin
Implementar el plan de tratamiento de riesgos para lograr los objetivos
de control identificados
Implementar los controles seleccionados
Definir el modo de medir la eficacia de los controles o de los grupos
de controles seleccionados
Implementar programas de formacin y de concienciacin
Gestionar la operacin del SGSI
Gestionar los recursos del SGSI
Implementar procedimientos y otros controles que permitan una
deteccin temprana de eventos de seguridad y una respuesta ante
cualquier incidente de seguridad
1.3.3.3. Supervisin y revisin del SGSI
Ejecutar procedimientos de supervisin y revisin
Realizar revisiones peridicas de la eficacia del SGSI
Medir la eficacia de los controles para verificar si se han cumplido los
requisitos de seguridad
Revisar las evaluaciones de riesgos en intervalos planificados y
revisar los riesgos residuales y los niveles de riesgo aceptables que
han sido identificados
Realizar las auditoras internas del SGSI
Actualizar los planes de seguridad teniendo en cuenta las
conclusiones de las actividades de supervisin y revisin
Registrar las acciones e incidencias que pudieran afectar a la eficacia
o al funcionamiento del SGSI
30
1.3.3.4. Mantenimiento y mejora del SGSI
Para mantener el SGSI planteado se deben aplicar medidas correctivas y
preventivas adecuadas para un mejoramiento del SGSI, comunicando las acciones
a tomarse, en caso de que existan, a las partes interesadas con un nivel de detalle
especfico para dichas futuras modificaciones.
1.3.4. REQUISITOS DE LA DOCUMENTACIN
1.3.4.1. Control de documentos
Los documentos exigidos por el SGSI deben estar protegidos y controlados.
Se debe establecer un procedimiento documentado para definir las acciones
de gestin necesarias para: revisar, actualizar y volver a aprobar los documentos
segn sea necesario, asegurar que estn identificados los cambios en los mismos,
asegurar que los documentos estn disponibles para todo aquel que los necesita,
asegurar que la distribucin de los documentos est controlada, entre otras
acciones.
1.3.4.2. Control de registros
Se deben crear y mantener registros para proporcionar evidencias de la
conformidad con los requisitos y del funcionamiento eficaz del SGSI. Dichos
registros deben estar protegidos y controlados. Los registros deben permanecer
legibles, fcilmente identificables y recuperables, adems de conservarse todos los
registros relativos al desarrollo del SGSI y de todos los sucesos relacionados a la
seguridad de la informacin que se presenten.
1.3.5. RESPONSABILIDAD DE LA DIRECCIN
La responsabilidad de la Direccin abarca los siguientes aspectos:
Compromiso de la Direccin: para suministrar evidencias de su
compromiso para crear, implementar, operar, supervisar, mantener y
mejorar el SGSI, mediante la formulacin de polticas, establecimiento
de roles y responsabilidades relacionadas a la seguridad de la
31
informacin, y comunicando la importancia de cumplir con los
objetivos y polticas de seguridad del SGSI.
Gestin de los recursos: determinando y proporcionando los recursos
necesarios para crear, implementar, operar, supervisar, mantener y
mejorar el SGSI, mantener la seguridad adecuada mediante la
aplicacin de los controles establecidos.
Adems se debe asegurar que cada persona de la direccin est
encargada de una funcin de acuerdo a las responsabilidades
establecidas.
1.3.6. AUDITORAS INTERNAS DEL SGSI
La organizacin debe realizar auditoras internas del SGSI en periodos
determinados, para un buen funcionamiento del SGSI.
Las auditoras se deben planificar tomando en cuenta el estado e
importancia de los procesos y reas a auditar, y garantizando que los auditores no
auditan su propio trabajo.
Las responsabilidades y requisitos para la planificacin, realizacin de
auditoras, informacin de resultados y mantenimiento de registros deben estar
definidas en un procedimiento documentado.
1.3.7. REVISIN DEL SGSI POR LA DIRECCIN
La Organizacin debe revisar el SGSI en intervalos de tiempo planificados
(al menos una vez al ao) para asegurar que se mantiene su conveniencia,
adecuacin y eficacia, los resultados de las revisiones deben estar debidamente
documentados.
En los resultados de la revisin se deben incluir decisiones y acciones sobre:
mejora de la eficacia del SGSI, actualizacin de la evaluacin de riesgos,
modificacin de procedimientos y controles que afectan a la seguridad de la
informacin, necesidades de recursos.
1.3.8. MEJORA DEL SGSI
32
1.3.8.1. Mejora continua
La organizacin debe mejorar de manera continua la eficacia del SGSI, esto
se hace con el uso de polticas, objetivos de seguridad de la informacin, resultados
de las auditoras, anlisis de la monitorizacin de eventos, acciones correctivas y
preventivas y de las revisiones realizadas.
1.3.8.2. Accin correctiva
Si se presentan no conformidades con la estructura del SGSI, la
organizacin debe realizar acciones correctivas, a fin de evitar que vuelvan a
producirse dichas no conformidades. Los procedimientos para tomar acciones
correctivas deben quedar debidamente documentados.
1.3.8.3. Accin preventiva
Se deben determinar las acciones necesarias para eliminar las causas de
las posibles no conformidades con la estructura del SGSI establecido, con la
finalidad de que estas se vuelvan a producir. Se deben priorizar las acciones
preventivas a aplicarse, dependiendo de los resultados de la evaluacin de riesgos
en la seguridad de la informacin. Los procedimientos para tomar acciones
preventivas deben estar documentados.
1.4. DESCRIPCIN DE LA NORMA NTE INEN - ISO/IEC
27002:2009
1.4.1. INTRODUCCIN
La norma establece un punto de vista sobre lo que trata la seguridad de la
informacin, por qu es importante considerar la seguridad de la informacin como
un factor crtico dentro de una organizacin y orienta en la forma en la que se
pueden evaluar los riesgos en la seguridad de la informacin, para luego pasar a la
seleccin de los respectivos controles para dichos riesgos. De [6, p. vi] se toma: La
seguridad de la informacin es la proteccin de la informacin contra una gran
variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar
33
el riesgo para el negocio y maximizar el retorno de inversiones y oportunidades del
negocio.
La Norma 27002 [6] establece que la seguridad de la informacin se logra
implementando una serie de controles apropiados, adems de polticas, procesos,
procedimientos, estructuras organizacionales y funciones de hardware y software,
y que dichos controles deben ser establecidos, implementados, monitoreados,
revisados y mejorados con el fin de cumplir con los objetivos especficos de
seguridad y del negocio. Un control representa un medio para gestionar el riesgo,
incluyendo polticas, procedimientos, directrices, prcticas o estructuras de una
organizacin que pueden ser de naturaleza administrativa, tcnica, de gestin o
legal.
Se debe proteger la informacin porque la misma, junto con los procesos,
sistemas y redes que la soportan, son activos importantes del negocio, y
generalmente se ven afectados por amenazas provenientes de diferentes fuentes
que incluyen espionaje, sabotaje, vandalismo, incendios, inundaciones, y ms
comnmente en la actualidad por cdigos maliciosos y ataques de piratera o
denegacin de servicio.
Otro problema que puede afectar la seguridad de la informacin es la
tendencia hacia la computacin distribuida que debilita la eficacia del servicio de
control de acceso central. Existen tres principales fuentes de requisitos de la
seguridad:
1. La evaluacin de los riesgos para la organizacin, con lo cual se
puede identificar las amenazas para los activos, se evalan las
vulnerabilidades y la probabilidad de ocurrencia para estimar el
impacto potencial.
2. Requisitos legales, estatutarios, reglamentarios y contractuales que
debe cumplir la organizacin, socios, proveedores de servicios.
3. Conjunto particular de principios, objetivos y requisitos del negocio
para el procesamiento de la informacin, que la organizacin ha
desarrollado para apoyar sus operaciones.
Esto es una parte importante para la seccin de Tratamiento del riesgo de la
Norma 27005 [2].
34
1.4.1.1. Evaluacin de los riesgos de la seguridad
Los requisitos de la seguridad se identifican mediante una evaluacin
metdica de los riesgos en la seguridad, y los resultados de esta evaluacin ayudan
a guiar y determinar la accin adecuada para hacer la gestin del riesgo. Esta
evaluacin de los riesgos se debe repetir peridicamente para tratar cambios que
puedan influir en los resultados de la evaluacin de los riesgos.
1.4.1.2. Seleccin de controles
La seleccin de controles es el siguiente paso despus de las decisiones
para tratamiento de los riesgos en la seguridad de la informacin, de modo que los
controles garanticen la reduccin de los riesgos encontrados hasta un nivel
aceptable.
Los controles se pueden seleccionar de esta norma, de otro grupo de
controles, o se pueden disear controles nuevos de acuerdo a las necesidades de
la organizacin, y la seleccin de los mismos debe ir de acuerdo a los criterios de
aceptacin, tratamiento y enfoque para la gestin general del riesgo aplicado en la
organizacin.
De todos los controles descritos en la norma, algunos se consideran
principios gua para la gestin de la seguridad de la informacin, estos controles se
basan en requisitos legales esenciales o se consideran una prctica comn para la
seguridad de la informacin. Los controles considerados esenciales para una
organizacin se describen a continuacin, indicando la seccin de la norma donde
se tratan los mismos:
a) Proteccin de datos y privacidad de la informacin personal (seccin
15.1.4)
b) Proteccin de los registros de una organizacin (seccin 15.1.3)
c) Derechos de propiedad intelectual (seccin 15.1.2)
Los controles que se consideran una prctica comn para la seguridad de la
informacin son los siguientes:
a) Documento de la poltica de la seguridad de la informacin (seccin
5.1.1)
b) Asignacin de responsabilidades para la seguridad de la informacin
(seccin 6.1.3)
35
c) Educacin, formacin y concienciacin sobre la seguridad de la
informacin (seccin 8.2.2)
d) Procesamiento correcto en las aplicaciones (seccin 12.2)
e) Gestin de la vulnerabilidad tcnica (seccin 12.6)
f) Gestin de la continuidad del negocio (seccin 14)
g) Gestin de los incidentes de la seguridad de la informacin y las
mejoras (seccin 13.2)
Se debe recalcar que, aunque todos los controles descritos en la norma son
importantes, no todos se aplicarn, porque depende de los riesgos especficos de
la organizacin, por lo que necesariamente se debe realizar la evaluacin de los
riesgos.
1.4.1.3. Factores crticos para el xito
Entre los factores ms importantes que permiten una exitosa implementacin
de la seguridad de la informacin de una organizacin estn:
a) Polticas, objetivos y actividades de la seguridad de la informacin que
reflejen los objetivos del negocio.
b) Una buena comprensin de los requisitos de la seguridad de la
informacin, una evaluacin de riesgos y la gestin del riesgo.
c) Distribucin de guas sobre la poltica y las normas de la seguridad de
la informacin entre todos los directores, empleados y otras partes.
d) Provisin de fondos para actividades de gestin de la seguridad de la
informacin.
1.4.1.4. Desarrollo de directrices propias
La norma NTE INEN-ISO/IEC 27002 se puede considerar como un punto de
partida para el desarrollo de directrices especficas para una organizacin
considerando que no todos los controles y directrices en esta norma se pueden
aplicar en una organizacin especfica, y tambin se pueden requerir de controles
y directrices adicionales a los contenidos en la norma. Una directriz se define como
una descripcin que aclara lo que se debera hacer y cmo hacerlo, para alcanzar
los objetivos establecidos en las polticas.
36
1.4.2. OBJETIVO
Esta norma establece directrices y principios generales para iniciar,
implementar, mantener y mejorar que gestin de la seguridad de la informacin en
una organizacin. Los objetivos de control y los controles de esta norma estn
destinados a ser implementados para satisfacer los requisitos identificados por una
evaluacin de riesgos.
1.4.3. ESTRUCTURA DE LA NORMA
Esta norma tiene 11 secciones o categoras sobre controles de la seguridad
de la informacin, que en total contiene 39 controles de la seguridad:
a) Poltica de la seguridad
b) Organizacin de la seguridad de la informacin
c) Gestin de activos
d) Seguridad de los recursos humanos
e) Seguridad fsica y del entorno
f) Gestin de operaciones y comunicaciones
g) Control del acceso
h) Adquisicin, desarrollo y mantenimiento de sistemas de informacin
i) Gestin de los incidentes de la seguridad de la informacin
j) Gestin de la continuidad del negocio
k) Cumplimiento
1.4.4. EVALUACIN Y TRATAMIENTO DEL RIESGO
1.4.4.1. Evaluacin de los riesgos de la seguridad
Con la evaluacin de riesgos se debe identificar, cuantificar y priorizar los
riesgos de acuerdo a los criterios de aceptacin del riesgo y los objetivos de la
organizacin, y de acuerdo a esto determinar la accin de gestin de los riesgos de
la seguridad de la informacin, para luego implementar los controles que se
seleccionen. Adems, se debe considerar que la evaluacin de los riesgos se debe
hacer peridicamente para que se vayan incluyendo los cambios en los requisitos
de la seguridad y en la situacin
Recommended