Qué es ITILDesarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL®) se ha convertido en el estándar mundial de de facto en la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL® es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización.

ITIL   le permite beneficiarse completamente de las mejores prácticas demostradas en la TI y es relevante para cualquier persona encargada de la entrega o apoyo de servicios de TI. 

ITIL se alinea con varias normas de calidad internacionales, incluyendo el ISO/IEC 20000 (Código de Prácticas de la Gestión de Servicios de TI) y ha sido aceptado por miles de organizaciones de todo el mundo, tales como la NASA, el Servicio de Salud del Reino Unido (NHS) y Disney™.

A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.

Seguridad informática: La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

Objetivos

La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.

La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

Principios de la Seguridad InformáticaDentro del libro “Cibercrimen”, se tocan temas importantes sobre los delitos

informáticos, definiendo este en la obra como “Acción u omisión, típica,

antijurídica y culpable, que se realiza por medio de un sistema que haga

uso de las tecnologías de la información o un componente de éste, o que

lesione la integridad, disponibilidad o confidencialidad de la información”.

Es por ello que estos tres atributos de la información: Integridad, Disponibilidad

y Confidencialidad, son considerados los pilares sobre los cuales se debe

basar la Seguridad Informática.

Para ilustrar el punto, desarrollé el concepto de estos atributos y cité algunos

ejemplos de delitos informáticos que violentan cada uno de estos atributos:

Integridad: Constituye un atributo de la información para asegurar que

ésta, al almacenarse o al ser trasladada, no sea modificada de ninguna

forma no autorizada. El Daño Informático, la Falsificación Informática y el

Fraude informático, el cual implica la alteración de datos o del sistema, son

claros ejemplos de la violación a la integridad de la información, ya que

pretenden en primer lugar la alteración, inutilización o modificación de datos

o información almacenada, sin autorización.

Disponibilidad: Constituye una característica de la información para

garantizar que ésta se encuentre disponible, en cualquier momento, para

quien tiene la autorización de acceder a ella, sean personas, procesos o

aplicaciones. Un ataque de Denegación de Servicio Distribuida (DDos), que

comúnmente es utilizada por grupos Hacktivistas, es el delito típico que se

puede encuadrar, ya que precisamente es lo que se pretende, que el sitio

hacia el cual es lanzado el ataque, deniegue las solicitudes de acceso o

que los usuarios del sistema tampoco puedan comunicarse, logrando con

ello la falta de disponibilidad del sistema.

Confidencialidad: Constituye un atributo de la información para prevenir

su divulgación a personas o usuarios no autorizados. En la actualidad se ha

hablado mucho sobre Espionaje Informático, esta acción, este delito

informático, es el ejemplo más claro de violación a la confidencialidad,

donde una organización, empresa o individuo es objeto de espionaje, y el

perpetrador por medio de diferentes medios o artefactos, logra obtener

acceso a información privada o no publica de la víctima.

ISO-27001:2013 ¿Qué hay de nuevo?

A mediados del mes de marzo de este año, BSI publicó en su sitio Web

el borrador del estándar internacional ISO/IEC-27001:2013 (DIS,  Draft

International Standard), así como la programación de una serie de

sesiones para dar a conocer algunas de las modificaciones más

significativas que incluirá dicho estándar.

En esta nueva versión no solo se establecen cambios en el contenido

sino también en la estructura, lo que se reflejará en otros documentos

que forman parte de la familia ISO-27000 (la versión final del estándar

se espera a finales de 2013).

Las principales modificaciones se ven reflejadas en la estructura y el

contenido de los controles que conforman el  Anexo “A”, donde el

número total de dominios era de 11 y ahora son 14 y se reduce el

número de controles de 133 a 113, todo como resultado de un proceso

de fusión, exclusión e incorporación de nuevos controles de seguridad .

Descripción de las principales secciones

 0.    Introducción

El cambio más significativo en todo el apartado fue la eliminación de la

sección “Enfoque del proceso” que contenía la  versión 2005, en donde se

describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la

Información (SGSI).  Además de la ya mencionada alineación con el Anexo SL

de la ISO/IEC, sección 1.

 1.    Alcance

En esta sección se establece la obligatoriedad de cumplir con los requisitos

especificados en los capítulos 4 a 10 del documento, para poder obtener la

conformidad de cumplimiento y certificarse.

 2.    Referencias normativas

El estándar ISO-27002 ya no es una referencia normativa para ISO-

27001:2013, aunque continúa considerándose necesario en el desarrollo de la

declaración de aplicabilidad (SOA, por sus siglas en inglés).

El estándar ISO 27000:2013 se convierte en una referencia normativa

obligatoria y única, ya que contiene todos los nuevos términos y definiciones.

3.    Términos y definiciones

Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y

agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo

cual se llevará a cabo en todos los documentos que forman parte de esta

familia), con el objetivo de contar con una sola guía de términos y definiciones

que sea consistente.

4.    Contexto de la organización

Esta cláusula hace hincapié en identificar los problemas externos e internos

que rodean a la organización.

Instituye los requerimientos para definir el contexto del SGSI sin importar

el tipo de organización y su alcance.

Introduce una nueva figura (las partes interesadas) como un elemento

primordial  para la definición del alcance del SGSI.

Establece la prioridad de identificar y definir formalmente las

necesidades de las partes interesadas con relación a la seguridad de la

información y sus expectativas con relación al SGSI, pues esto

determinará las políticas de seguridad de la información y los objetivos a

seguir para el proceso de gestión de riesgos.

5.    Liderazgo

Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI,

destacando de manera puntual cómo debe demostrar su compromiso, por

ejemplo:

Garantizando que los objetivos del SGSI y “La política de seguridad de

la información”, anteriormente definida como “Política del SGSI”, estén

alineados con los objetivos del negocio.

Garantizando la disponibilidad de los recursos para la implementación

del SGSI (económicos, tecnológicos, etcétera).

Garantizando que los roles y responsabilidades claves para la seguridad

de la información se asignen y se comuniquen adecuadamente.

 6.    Planeación

Esta es una nueva sección enfocada en la definición de los objetivos de

seguridad como un todo, los cuales deben ser claros y se debe contar con

planes específicos para alcanzarlos.

Se presentan grandes cambios en el proceso de evaluación de riesgos:

El proceso para la evaluación de riesgos ya no está enfocado en los

activos, las vulnerabilidades y las amenazas.

Esta metodología se enfoca en el objetivo de identificar los riesgos

asociados con la pérdida de la confidencialidad, integridad y

disponibilidad de la información.

El nivel de riesgo se determina con base en la probabilidad de

ocurrencia del riesgo y las consecuencias generadas (impacto), si el

riesgo se materializa.

Se ha eliminado el término “Propietario del activo” y se adopta el término

“Propietario del riesgo”.

Los requerimientos del SOA no sufrieron transformaciones

significativas.

7.    Soporte

Marca los requerimientos de soporte para el establecimiento, implementación y

mejora del SGSI, que incluye:

Recursos

Personal competente

Conciencia y comunicación de las partes interesadas

Se incluye una nueva definición “información documentada” que

sustituye a los términos “documentos” y “registros”;  abarca el proceso

de documentar, controlar, mantener y conservar la documentación

correspondiente al SGSI.

El proceso de revisión se enfoca en el contenido de los documentos y

no en la existencia de un determinado conjunto de estos.

8.     Operación

Establece los  requerimientos para medir el funcionamiento del SGSI, las

expectativas de la Alta Dirección y su realimentación sobre estas, así como el

cumplimiento con el del estándar.

Además, plantea que la organización debe planear y controlar las

operaciones y requerimientos de seguridad, erigiendo como el pilar de

este proceso la ejecución de evaluaciones de riesgos de seguridad de

la información de manera periódica por medio de un programa

previamente elegido.

Los activos, vulnerabilidades y amenazas ya no son la base de la

evaluación de riesgos. Solo se requiere para identificar los riesgos

asociados con la confidencialidad, integridad y disponibilidad.

9.    Evaluación del desempeño

La base para identificar y medir la efectividad y desempeño del SGSI continúan

siendo las auditorías internas y las revisiones del SGSI.

Se debe considerar para estas revisiones el estado de los planes de

acción para atender no conformidades anteriores y se establece la

necesidad de definir quién y cuándo se deben realizar estas

evaluaciones así como quién debe analizar la información recolectada.  

10. Mejora

El principal elemento del proceso de mejora son las no-conformidades

identificadas, las cuales tienen que contabilizarse y compararse con las

acciones correctivas para asegurar que no se repitan y que las acciones

correctivas sean efectivas.

Aquí se observa uno de los cambios más importantes porque las

medidas preventivas se fusionarán  con la evaluación y tratamiento del

riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y

las oportunidades con base en cuándo estos se identifican y cómo se

tratan. Además, se distingue entre las correcciones que se ejecutan

como una respuesta directa a una “no conformidad”, en oposición a las

acciones correctoras que se realizan para eliminar la causa de la no

conformidad.