Recommended
More Related Content
What's hot
What's hot (15)
Viewers also liked
Viewers also liked (14)
Similar to Marco teórico itil v3
Similar to Marco teórico itil v3 (20)
Recently uploaded
Recently uploaded (12)
Marco teórico itil v3
- 1. Contenido Marco teórico.......................................................................................................................................................................2 Gestión de los servicios IT..............................................................................................................................................2 ITIL V3.................................................................................................................................................................................3 Gobierno IT...................................................................................................................................................................4 El ciclo de vida de los servicios IT.............................................................................................................................5 Funciones, Procesos y Roles......................................................................................................................................7 Seguridad Informática.....................................................................................................................................................8 Principios de seguridad dela información..............................................................................................................9 Enfoques de seguridad...............................................................................................................................................9 Servicios de seguridad informática........................................................................................................................11 Evento de Seguridad de Información....................................................................................................................12 SGSI...................................................................................................................................................................................12 La Organización Internacional de Normalización (ISO)......................................................................................13 Normas ISO serie 27000...........................................................................................................................................13 ISO/IEC 27001:2013.................................................................................................................................................13 Estructura...................................................................................................................................................................14 Dominios de Seguridad............................................................................................................................................17 Controles por Dominios ...........................................................................................................................................17 Gestión de riesgos .........................................................................................................................................................26 Metodologías existentes..........................................................................................................................................26 1. Identificación de activos......................................................................................................................................27 2. Identificación de amenazas y vulnerabilidades...............................................................................................28 3. Cálculo del nivel de riesgo...................................................................................................................................34 4. Establecimiento de controles .............................................................................................................................35
- 2. Marco teórico Gestión de los servicios IT Aunque todos tengamos una idea intuitivamente clara del concepto de servicio es difícil proponer una única y sucinta definición del mismo. ITIL nos ofrece la siguiente definición: Un servicio es un medio para entregar valor a los clientes facilitándoles un resultado deseado sin lanecesidad de que estos asuman los costes y riesgos específicos asociados. En otras palabras, el objetivo de un servicio es satisfacer una necesidad sin asumir directamente las capacidades y recursos necesarios para ello. Si deseamos, por ejemplo, mantener limpias las instalaciones de nuestra empresa disponemos de dos opciones: Contratar a todo el personal y recursos necesarios (limpiadores, productos de limpieza, etcétera) asumiendo todos los costes y riesgos directos de su gestión. Contratar los servicios de una empresa especializada. Si optamos por esta segunda opción cuál es el valor aportado por la prestadora de ese servicio: Utilidad: las instalaciones de la empresa se mantendrán limpias. Garantía:la empresa contratada será responsablede que se realicela limpieza deforma periódica y según unos estándares de calidad predeterminados. Es obvio que optar por otra opción dependerá de las circunstancias de cada empresa: su tamaño, estructura,etcétera. Sin embargo, la tendencia actual es a subcontratar todos aquellos serviciosque se alejen de la actividad principal de la empresa. Un aspecto importante a destacar es que aún en el caso de que se adoptara la decisión derealizar las tareas de limpieza por personal de la empresa estas podrían ser ofrecidas por un “proveedor interno” siempre que las funciones y procesos involucrados se estructurarán consecuentemente. En cualquier caso una correcta gestión de este servicio requerirá: Conocer las necesidades del cliente Estimar la capacidad y recursos necesarios para la prestación del servicio Establecer los niveles de calidad del servicio Supervisar la prestación del servicio Establecer mecanismos de mejora y evolución del servicio
- 3. ITIL V3 ITIL ofrece toda una seriede definiciones de conceptos típicos de los Sistemas deInformación para garantizar que todos sus conocedores hablan de lo mismo, reduciendo así los tiempos de interpretación y minimizando el riesgo a malas interpretaciones. La Gestión de Servicios ITes la aproximación sistemática a la planificación,desarrollo, entrega, y soporte de los servicios IT para las organizaciones. Une el espacio entre la comunidad dedicada al negocio y el departamento de IT, a través de la facilitación dela comunicación y la creación deuna asociación dey para el negocio. Esta nueva actividad está cada día más madura,y prueba de esta madurez es la cantidad de marcos de trabajo teóricos que surgen cada día. En la relativa corta historia dela actividad dela Gestión de Servicio IT y para comprobar la dimensión que está tomando la gestión de servicios en las empresas basta con ver la cantidad deconferencias,estudios y publicaciones quealrededor deeste tema están surgiendo en los últimos años. ITIL define la Gestión de Servicios como un conjunto de capacidades organizativas especializadas para la provisión de valor a los clientes en forma de servicios. Los principios básicos para la gestión de servicios se resumen en: Especialización y coordinación: los clientes deben especializarse en la gestión de su negocio y los proveedores en la gestión del servicio. El proveedor debe garantizar la coordinación entre los recursos y capacidades de ambos. El principio de Agencia: los agentes actúan como intermediarios entre el cliente o usuario y el proveedor de servicios y son los responsables de la correcta prestación de dichos servicios. Estos deben de actuar siguiendo las indicaciones del cliente y protegiendo los intereses del cliente, los usuarios y los suyospropios.Los agentes pueden ser empleados del proveedor de servicios o incluso interfaces de interacción con el usuario en sistema gestionados automáticamente. Encapsulación: los clientes y usuariossolo están interesados en la utilidad y garantía del servicio y no en los detalles precisos para su correcta prestación. La encapsulación se consigue a través de la: o Separación deconceptos complejos seen diferentes partes independientes que pueden ser tratadas independientemente. o Modularidad que permite agrupar funcionalidades similares en forma de módulos auto contenidos. o Acoplamiento flexible entre recursos y usuarios, mediante, por ejemplo, sistemas redundantes, que evita que cambios o alteraciones en los recursos afecten negativamente a la experiencia de usuario.
- 4. Sistemas:según ITIL los sistemas son grupos decomponentes interrelacionados o interdependientes que forman una unidad y colaboran entre sí para conseguir un objetivo común. Los aspectos clave para el correcto rendimiento de un sistema son: o Procesos de control o Feedback y aprendizaje En un entorno donde los periodos de disponibilidad de los servicios son cada vez más amplios, donde las exigencias del clienteson cada vezmás elevadas,dondelos cambiosen los negocios son cadavezmás rápidos, es muy importante que los Sistemas de Información estén adecuadamente organizados y alineados con la estrategia del negocio. Gobierno IT Aunque no existe una única y universalmente adoptada definición de Gobierno TI sí existe un consenso general sobrela importancia dedisponer deun marco general de referencia para la dirección,administración y control de las infraestructuras y servicios TI. Aunque ITIL es a veces considerado como un marco para el Gobierno TI sus objetivos son más modestos pues se limitan exclusivamente a aspectos de gestión. Para aclararlasdiferenciasquizá sea convenienteremitirnos a un ejemplo que se aparta del entorno de las TI y del que todos somos buenos conocedores: gobierno versus administración pública. El gobierno es el responsablede establecer políticas y directrices de actuación que recojan las inquietudes y cubran las necesidades delos ciudadanos.Las administraciones públicasson las encargadasdeasegurar que esas políticas seimplementen, ofreciendo los servicios correspondientes,asegurando el cumplimiento de las normas establecidas, prestando apoyo, recogiendo reclamaciones y propuestas, etcétera. ITIL sería en este caso el equivalente TI de un conjunto de buenas prácticaspara laadministración del estado pero no para su gobierno (aunque algunas veces lasfronteras entreambos no estén claramentedelimitadas). Es evidente la dificultad deestablecer un conjunto de buenas prácticas para el buen gobierno, sin embargo, estas existen de hecho y ejemplo de ello son la Declaración Universal deDerechos Humanos y todo el corpus del derecho internacional. El Gobierno TI es parte integrante del Gobierno Corporativo y como tal debe centrarse en las implicaciones que los servicios e infraestructura TI tienen en el futuro y sostenibilidad de la empresa asegurando su alineación con los objetivos estratégicos.
- 5. La creciente importancia de los servicios TI para las empresas nos hace creer que todos los aspectos relacionados con el Gobierno TI serán un hot topic en los próximos años y que se realizarán importantes desarrollos en este terreno. El ciclo de vida de los servicios IT ITIL v3 estructura la gestión de los servicios TI sobre el concepto de Ciclo de Vida de los Servicios. Este enfoque tiene como objetivo ofrecer una visión global dela vida de un servicio desdesu diseño hasta su eventual abandono sin por ello ignorar los detalles de todos los procesos y funciones involucrados en la eficiente prestación del mismo. El Ciclo de Vida del Servicio consta de cinco fases que se corresponden con los nuevos libros de ITIL: 1. Estrategia del Servicio:propone tratar la gestión de servicios no sólo como una capacidad sino como un activo estratégico. 2. Diseño del Servicio: cubre los principios y métodos necesarios para transformar los objetivos estratégicos en portafolios de servicios y activos. 3. Transición del Servicio:cubreel proceso de transición para laimplementación de nuevos servicioso su mejora. 4. Operación del Servicio: cubre las mejores prácticas para la gestión del día a día en la operación del servicio. 5. Mejora Continua del Servicio: proporciona una guía para la creación y mantenimiento del valor ofrecido a los clientes a través de un diseño, transición y operación del servicio optimizado. 1. Estrategia de Servicios (SE) Diseña el plan de acción que permitirá desarrollar una estrategia en la Organización en cuanto a las Tecnologías de la Información. Desarrolla varias áreas; entre ellas se incluyen las siguientes: Estrategia general, competitividad y posicionamiento de mercado, tipos de proveedores de servicio, gestión del servicio como un factor estratégico, diseño organizacional y estratégico, procesos y actividades clave, gestión financiera, dossier de servicios, gestión de la demanda, y responsabilidades y responsabilidades clave en la estrategia de servicios. El objetivo de la Estrategia de Servicio es el de incluir las TI en la Estrategia Empresarial de manera que podamos calibrar nuestros objetivos según nuestra infraestructura TI y adaptar cada uno a las necesidades del otro. La Estrategia de Servicio en ITIL se encamina hacia el mismo sentido que la estrategia empresarial, pero ahora incluyendo en ésta la componente TI. Integra pues a su análisis nuevos objetivos y la evolución
- 6. futura de las TI en la Organización. ITIL busca alinear e integrar la tecnología con el Negocio, que los servicios tecnológicos que seimplementan y seofertan desde los departamentos de TI estén diseñados para apoyar al negocio. La idea que se trata de aportar a las organizaciones es que es necesario plantear objetivos pero teniendo en cuenta qué tenemos, cómo lo tenemos y a dónde podemos llegar con lo que tenemos, es decir, planear el futuro sabiendo que puede ser necesario invertir para mejorar nuestra infraestructura TI, o planificar el futuro de la empresa dependiendo de nuestra capacidad actual en TI, y/o abrir nuevas líneas de negocio debido a que nos diferenciamos del resto de empresas en las características queofrece nuestra infraestructura TI. Con el fin de comenzar a integrar las TI en nuestra estrategia hemos de tener en cuenta que uno de los principales defectos de toda organización (en todo el mundo) es que una vez tomada la decisión de comenzar a gestionarse y planificar su futuro, lo normal es que nunca se hayan definido exactamente qué tipo de servicios relacionados con la TI ofrece la empresa y a quién y cómo dirigir los esfuerzos comerciales para ponerlos en el mercado. Los pasos que ITIL establece en la definición e implantación de medidas para la puesta en marcha de la estrategia de servicios sedesarrollan a lo largo de una seriede apartados queproponen una estructura para el diseño y definición de nuestra estrategia. Existen muchas metodologías que acercan la idea de ITIL a la persona, empresa, organización o entidad que se plantee comenzar con la definición de una Estrategia de Servicio, ya que, como se comentó anteriormente, ITIL no pone las herramientas, sólo la idea y la estructura o contenido que ha de tener nuestro plan. Así vamos a tratar de desarrollar el concepto a través de los siguientes apartados: 1. Creación de Valor a través del Servicio 2. Gestión del Portafolio de Servicios 3. Gestión de la Demanda 4. Gestión Financiera de los Servicios IT 2. Diseño de servicios (SD) En este volumen se desarrollan los conceptos relativos al diseño de Servicios TI, como diseño de arquitecturas, procesos, políticas, documentación. Se adentra además en la Gestión de niveles de servicio, diseño para gestión de capacidad, continuidad en los servicios TI, gestión de proveedores, y responsabilidades clave en diseño de servicios.
- 7. 3. Operaciones de Servicios (SO) En el libro de operaciones, se exponen las mejores prácticas a poner en marcha para conseguir ofrecer un nivel de servicio de la Organización acorde a los requisitos y necesidades de los Clientes (establecimiento del SLA – Service Level Agreement o Acuerdo de Nivel de Servicio). Los temas incluyen objetivos de productividad/beneficios, gestión de eventos, gestión de incidentes, caso decumplimiento, gestión de activos, servicios dehelp desk, técnica y de gestión de las aplicaciones, así como las principales funciones y responsabilidades para el personal de servicios que llevan a cabo los procesos operativos. 4. Mejora Continua de Servicios (CSI) En este volumen se explica la necesidad dela mejora continua como fuente de desarrollo y crecimiento en el Nivel de Servicio de TI, tanto interno como con respecto al cliente. De acuerdo con este concepto, las entidades han de estar en constanteanálisisdesus procesos denegocio,y poner en marcha actuaciones una vez detectadas las necesidades con respecto a las TI de manera que estas sean capaces de responder a los objetivos, la estrategia, la competitividad y la gestión de la estructura y organización de las organizaciones quedispongan de infraestructura TI. De esta manera se trata de estar al tanto de los cambios queseproducen en el mercado y de las nuevas necesidades deestetambién en cuanto a las TI. 5. Transición de Servicios (ST) En el último libre se definen los temas relacionados a la transición de servicios, es decir, los cambios que se han de producir en la prestación de servicios comunes (del trabajo diario) en las empresas. Aspectos tales como la gestión de la configuración y servicio de activos, la planificación de la transición y de apoyo, gestión y despliegue de los Servicios TI, Gestión del Cambio, Gestión del Conocimiento, y por último las responsabilidades y lasfunciones delaspersonasqueparticipen en el Cambio o Transición de Servicios. Funciones, Procesos y Roles ITIL marca una clara distinción entre funciones y procesos. Una función es una unidad especializada en la realización de una cierta actividad y es la responsable de su resultado. Las funciones incorporan todos los recursos y capacidades necesarias para el correcto desarrollo de dicha actividad. Las funciones tienen como principal objetivo dotar a las organizaciones de una estructura acorde con el principio de especialización. Sin embargo la falta de coordinación entre funciones puede resultar en la creación de nichos contraproducentes para el rendimiento de la organización como un todo. En este último
- 8. caso un modelo organizativo basado en procesos puede ayudar a mejorar la productividad dela organización en su conjunto. Un proceso es un conjunto de actividades interrelacionadas orientadas a cumplir un objetivo específico. Los procesos comparten las siguientes características: Los procesos son cuantificables y se basan en el rendimiento. Tienen resultados específicos. Los procesos tienen un cliente final que es el receptor de dicho resultado. Se inician como respuesta a un evento. El Centro de Servicios y la Gestión del Cambio son dos claros ejemplos defunción y proceso respectivamente. Sin embargo, en la vida real la dicotomía entre funciones y procesos no siempre es tan evidente pues puede depender de la estructura organizativa de la empresa u organismo en cuestión. Otro concepto ampliamente utilizado es el de rol. Un rol es un conjunto de actividades y responsabilidades asignadaa una persona o un grupo. Una persona o grupo puede desempeñar simultáneamente más de un rol. Hay cuatro roles genéricos que juegan un papel especialmente importante en la gestión de servicios TI: Gestor del Servicio: es el responsable de la gestión de un servicio durante todo su ciclo de vida: desarrollo, implementación, mantenimiento, monitorización y evaluación. Propietario del Servicio:es el último responsablecaraal clientey a la organización TI dela prestación de un servicio específico. Gestor del Proceso: es el responsable de la gestión de toda la operativa asociada a un proceso en particular: planificación, organización, monitorización y generación de informes. Propietario del Proceso:es el último responsablefrentea la organización TI dequeel proceso cumple sus objetivos.Debe estar involucrado en su fasede diseño,implementación y cambio asegurando en todo momento que sedisponedelas métricas necesariaspara su correcta monitorización,evaluación y eventual mejora. Seguridad Informática Se define según la norma ISO/IEC 17799:2005, como la preservación de la confidencialidad, integridad y disponibilidad dela información, siendo estos sus princi pios, existen agentes externos que influyen en su entendimiento, la misma involucra reglas y procedimientos que llevan al objetivo.
- 9. Principios de seguridad de la información La seguridad de la información busca proteger la confidencialidad de la información contra accesos no autorizados,evitar alteraciones indebidas quepongan en peligro la integridad de la información y garantizar la disponibilidad dela misma.Por tal razón,la seguridad dela información sebasaen los siguientes principios: confidencialidad, integridad y disponibilidad. Confidencialidad Es una cualidad de la información en la que se garantiza que es accesible únicamente por el personal autorizado a dicha información. En consecuencia, la información catalogada como privada o confidencial deberá ser accesible sólo por las personas autorizadas. El objetivo de la confidencialidad es prevenir la divulgación no autorizada de la información, manteniéndola oculta o en secreto. Integridad La información tiene integridad cuando es oportuna, precisa, completa y coherente. Sin embargo, las computadoras son incapaces deproporcionaro proteger todas éstas cualidades dela información.Por tanto, en el campo de la seguridad dela información la integridad sedefinecon baseen dos aspectos: integridad de los datos y la integridad del sistema. La integridad de datos es un requisito para que la información y los programas sólo puedan ser alterados por una entidad específica y autorizada para ello. La integridad del sistema es el requisito de que un sistema se comporte con base en lo esperado, libre de manipulaciones no autorizadas, deliberadas o imprevistas en el sistema. Disponibilidad Es la cualidad que garantiza que la información sea proporcionada por los sistemas deforma rápida y que el servicio esté siempre accesible por los usuarios autorizados para acceder al recurso. Los tres aspectos anteriores componen la tríada de la seguridad de la información, lo que significa que un sistema es seguro o fiable si garantiza la confidencialidad, i ntegridad y disponibilidad. Enfoques de seguridad En la seguridad de la información se consideran los enfoques de seguridad física y lógica de los sistemas de información,cabedestacar que la seguridad lógica es uno de los aspectos más vulnerados,la mayoría de los ataques son dirigidos especialmente hacia los principios de la seguridad informática (confidencialidad, integridad y disponibilidad), los cuales tienen como propósito proteger la información almacenada y procesada por los sistemas de información. Por lo general, la información es uno de los activos más
- 10. importantes para cualquier organización, por lo tanto, deben existir estrategias y técnicas que la protejan, considerando aspectos de seguridad física y seguridad lógica. La seguridad física es uno de los aspectos menos contemplados en el diseño de un sistema de información. Para un atacantepuede ser más fácil acceder y copiar información confidencial directamente del sistema que la contiene, a través de un dispositivo USB (Universal Serial Bus –Bus Universal en Serie), que intenta acceder vía lógica al sistema para substraer dicha información. La seguridad física consiste en la aplicación de barreras físicas, procedimientos y mecanismos de control de acceso, para reducir el riesgo de que las amenazas se materialicen sobre los recursos e información. Es importante resaltar que cada sistema es único y por tanto la política de seguridad a implementar no debe ser única. Este enfoque de seguridad física, debe contemplar amenazas ocasionadas por el hombr e y por la propia naturaleza del medio físico en el que se encuentran ubicados los sistemas a proteger. Las principales amenazas que se prevén en la seguridad física son: Desastres naturales: incendios, tormentas, terremotos, inundaciones entre otros. Amenazas ocasionadas por el hombre de forma no intencional: deficiente instalación eléctrica, condiciones inadecuadas de funcionamiento, etcétera. Disturbios, robo, fraude, sabotajes internos y externos. Para evitar que las amenazas anteriores se materialicen sobre la información, se recomienda implementar controles de acceso físico que contemplen: Uso de guardias de seguridad. Detectores de metales y o dispositivos de almacenamiento (escáner corporal). Sistemas biométricos. Uso de animales (caninos). Protecciones físicas (rejas, candados, chapas, etcétera). [5] La seguridad lógica consisteen la aplicación debarreras,procedimientos y mecanismos de control de acceso a la información,dentro de los sistemas y aplicaciones quesólo permitan a las personasautorizadas el acceso y manipulación de dicho activo. La seguridad lógica debe garantizar como mínimo los siguientes aspectos para el aseguramiento de la información: Restringir el acceso a los archivos y software. Asegurar que los custodios de la información tengan los permisos necesarios para desempeñar sus funciones.
- 11. Tener supervisión y registro de la interacción de los usuarios con los sistemas. Que la información transmitida sea enviada a través del medio adecuado para ello. Asegurar que la información y programas, sean manipulados por los usuarios correctos con los permisos adecuados (confidencialidad). Asegurar que el destinatario al cual selehaya enviado lainformación,sea quien larecibay no alguien más. Que la información recibida sea la misma que ha sido transmitida (integridad). La existencia de sistemas secundarios (emergencia) para la transmisión de datos hacia y desde diferentes puntos (disponibilidad). El primer paso para proteger la información de cualquier sistema es identificar los aspectos físicos y lógicos que se quieren proteger, para posteriormente reforzarlos con la implementación demecanismos o controles. Lo anterior no garantiza quela información no sufriráalgún tipo deataque sobresu integridad,disponibilidad o confidencialidad, sino que el riesgo de que ello suceda, disminuya considerablemente. Servicios de seguridad informática El objetivo de un servicio de seguridad es mejorar la funcionamiento de los sistemas de información y comunicación en las organizaciones.Los servicios deseguridad están diseñados para mitigar los ataques a la seguridad dela información y hacen uso deuno o más mecanismos deseguridad para proporcionarel servicio. Los servicios son seis y se detallan a continuación: Confidencialidad Este servicio de seguridad garantiza que la información no pueda estar disponible o accesible a personas, entidades o procesos no autorizados para que puedan leer, copiar o modificar la información. Algunos de los métodos para garantizar la confidencialidad son: Uso de listas de control de acceso a los recursos críticos. Cifrado de la información almacenada y transmitida. Autenticación Servicio de seguridad que garantiza que la comunicación es auténtica,es decir, se encarga de verificar queel origen de los datos sea el correcto,quién los envía,así como comprobar quelos datos seenviaron y recibieron de forma correcta. Algunos métodos de autenticación son: Implementación de controles biométricos: huellas dactilares, retina, iris, geometría de mano, voz, etcétera.
- 12. Tarjetas inteligentes (smart card) que guardan información del dueño de la misma. Uso de contraseñas robustas. Integridad Servicio de seguridad quegarantiza quela información sea modificada,creada y borrada,sólo por el personal autorizado para ello.El principal problema de la integridad no se refiere a modificaciones malintencionadas, sino a los cambios accidentales. Algunos métodos para detectar la pérdida de integridad son: Algoritmos hash (MD5, Sha -1, etcétera). No repudio El no repudio previene a los emisores o receptores de negar un mensaje transmitido o recibido. Cuando un mensaje es enviado, el receptor puede comprobar que el mensajefue enviado por el presunto emisor. De la misma forma, cuando un mensaje es recibido,el remitente puede comprobar que el mensaje fue recibido por el receptor. Los servicios de no repudio proporcionan evidencia que puede ser verificada por una tercera entidad. Los siguientes serviciosson los quepueden ser proporcionados con infraestructuradellavepública y privada,en específico con el uso de firma electrónica: No repudio de origen:garantiza al receptor que el emisor no pueda negar haber enviado el mensaje. No repudio de envío: garantiza al emisor queel receptor no pueda negar haber recibido el mensaje. Control de acceso Servicio deseguridad que implementa controles de acceso,a fin de garantizar queun usuario sea identificado y autenticado de manera exitosa, para que entonces le sea permitido el acceso al activo o recurso. Disponibilidad Servicio de seguridad que garantiza que los usuarios autorizados tengan acceso a los activos y recursos del sistema, con base en los lineamientos de forma y tiempo definidos por el proveedor del servicio. Evento de Seguridad de Información La norma ISO/IEC TR 18044:2004 define evento de SI como “Una ocurrencia identificada de un estado del sistema,servicio o red que indica una brecha posibleen la política de seguridad o falla delas salvaguardas,o de una situación previamente desconocida que puede ser pertinente a la seguridad”. SGSI Tomando lo establecido por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), (s.f.): “Un Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer políticas, procedimientos y controles en relación a los objetivosdenegocio de la organización,con objeto de mantener
- 13. siempreel riesgo por debajo del nivel asumiblepor la propia organización.Paralos responsables dela entidad es una herramienta, alejada de tecnicismos,que les ofrece una visión global sobreel estado de sus sistemas de información,las medidas deseguridad quese están aplicando y los resultados queseestán obteniendo de dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a seguir”. La Organización Internacional de Normalización (ISO) ISO, conceptualizada por ellos mismos en su portal web (s.f.), es una organización independiente, no gubernamental, su central se encuentra en Ginebra, Suiza. El nombre ISO, proviene del Griego, “isos” que cuyo significado al español es igual. Creada en 1946, cuando los delegados de 25 países se reunieron en el Instituto de Ingenieros Civiles en Londres y decidieron comenzar una nueva organización internacional que facilitara la coordinación y unificación de estándares industriales. Normas ISO serie 27000 La serie ISO 27000 es un conjunto de normas que velan por la Seguridad de la Información. Centrando su planteamiento en la implantación deun Sistema deGestión deSeguridad de la Información (SGSI),el estándar, especifica los requerimientos para establecerlo,implementarlo y mantenerlo, e incluye requerimientos para la evaluación y tratamiento de riesgos de seguridad diseñados acorde a las necesidades de las diferentes organizaciones. (ISO/IEC 27001:2013, 2013) Descritas por Alexander, A (2005) a continuación un resumen de los componentes de la familia ISO 27000: 1. ISO 27000: Vocabulario y definiciones. Publicado en 2007, es un glosario de términos para un SGSI 2. ISO 27001: Se refiere al estándar certificable ya oficializado 3. ISO 27002:Es el relevo del ISO/IEC 17799:2005,el cual es el “Código de práctica deSeguridad en la Gestión de la Información”, este modelo no puede usarse para la certificación. 4. ISO 27003: Guía para la Implementación, oficializado en el 2008. 5. ISO 27004: Métricas e Indicadores para la gestión de un SGSI, oficializado en 2008. 6. ISO 27005: Gestión de Riesgos, oficializado en 2008. 7. ISO 27006:Requerimientos para entidades que proveen servicios deauditoría y certificación en SGSI ISO/IEC 27001:2013 La última versión es la ISO/IEC 27001:2013 que salió a mediados del mes de marzo del año 2013. Las principales modificaciones seven reflejadas en la estructura y el contenido de los controles queconforman el Anexo “A”, donde el número total de dominios era de 11 y ahora son 14 y se reduce el número de controles de 133 a 113, todo como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles de seguridad.
- 14. Estructura 0. Introducción En la norma ISO 27001:2013 el cambios más significativo es la eliminación dela sección “Enfoque del proceso” que sí contenía la versión 2005,donde se describía el modelo PHVA, considerándoseel corazón del Sistema de Gestión de Seguridad de la Información (SGSI). 1. Alcance En la norma ISO 27001:2013 seestablece como obligatorio el cumplimiento de los requisitos especificados entre los capítulos 4 a 10 de dicho documentos, para poder obtener una conformidad de cumplimiento y así poder certificase.
- 15. 2. Referencias normativas El estándar ISO 27002 ya no será referencia normativa para la norma ISO 27001:2013,aunque se puede considerar necesario el desarrollo deuna declaración deaplicabilidad. La norma ISO 27001:2013 seconvierte en una referencia normativa obligatoriay única,ya que contiene todos los nuevos términos y definiciones. 3. Términos y definiciones Los términos y las definiciones queseencontraban en la ISO 27001:2005 los trasladaron y fueron agrupados en la sección 3 de la norma ISO 27001:2013 “Fundamento y vocabulario”,con el fin de contar con una sola guía de términos y definiciones quesea consistente. 4. Contexto de la organización Durante esta cláusuladela norma ISO 27001:2013 seidentifican todos los problemas externos e internos que rodean a la empresa: Se intuyen todos los requisitos paradefinirel contexto del SGSI sin importar el tipo de empresa que sea y el alcancequetenga. Se introduceuna nueva figura como un elemento primordial para definirel alcancedel SGSI Se establecela prioridad deidentificar y definir todas lasnecesidadesdelas partes interesadas con relación a la seguridad dela información y las expectativas creadaspor el Sistema de Gestión de Seguridad de la Información,ya que esto determinará las políticasdeSeguridad de la Información y todos los objetivos a seguir para el proceso de gestión de riesgos. 5. Liderazgo Se realiza un ajustede la relación y las responsabilidades dela gerencia de la organización con respecto al Sistema de Gestión de Seguridad de la Información,destacando como sedeberá demostrar el compromiso, como por ejemplo: Garantizar quelos objetivos del SGSI y la política deseguridad de la información,antes seconocía como la política del SGSI. Se debe garantizar la disponibilidad detodos los recursos parala implantación del SGSI. Se garantiza quelos roles y las responsabilidades parala seguridad dela información seasignan y se comunican de forma adecuada. 6. Planeación En este apartado de la norma ISO 27001:2013 seenfoca a la definición delos objetivos deseguridad como un todo, los cuales deben estar claros y sedeben contar con planes específicos para conseguirlos. Se puede presentar grandes cambios en el proceso de evaluación deriesgos:
- 16. El proceso para evaluar los riesgos ya no seencuentra enfocado a los activos,lasvulnerabilidadesy las amenazas. La metodología se enfoca con el objetivo de identificar todos los riesgosasociadoscon la pérdida de confidencialidad,integridad y disponibilidad dela información. El nivel de riesgos sedetermina con base a toda probabilidad deque ocurra un riego y las consecuencias generadas,si el riesgo sematerializa. Se elimina el término propietario del activo y se adopta el término propietario del riesgo. Los requisitos no han sufrido transformaciones significativas. 7. Soporte Los requisitos del soportepara el establecimiento de la implementación y mejora del SGSI, que incluye: Recursos Personal competente Conciencia y comunicación detodas las partes interesadas. Se incluyeuna nueva definición quees “información documentada”, ésta sustituyea los términos “documentos y registros”, estableceel proceso de documentar, mantener, controlar y conservar la documentación que corresponde al Sistema de Gestión de Seguridad de la Información. La norma ISO 27001:2013 seenfoca en el contenido de los documentos y no en que existeun determinado número de éstos. 8. Operación Establece todos los requisitos para medir el funcionamiento del Sistema de Gestión de Seguridad de la Información,todas las expectativas dela gerencia de la organización y l a retroalimentación sobreestas, además de cumplir con la norma ISO 27001:2013. Además, la organización seplantea y controla las operaciones y los requisitosdeseguridad,el pilar deeste proceso se centra en realizar lasevaluaciones deriesgos deseguridad de la información deforma periódica por medio de un programa elegido. Todos los activos,lasvulnerabilidades y las amenazas ya no son la baseprincipal dela evaluación deriesgos. Solo se requiere para realizar la identificación delos riesgos,que están asociados a laconfidencialidad,la integridad y la disponibilidad. 9. Evaluación del desempeño La basepara poder realizar la identificación y la medición dela eficiencia y el desempeño que realiza el Sistema de Gestión de Seguridad de la Información continúa siendo lasauditorías internasy las revisiones del SGSI.
- 17. Se tiene que considerar el estado en el que se encuentran los planes de acción para poder atender las no conformidades como es debido, además se establece la necesidad dedefinir quién y cuándo realiza las evaluaciones,además dequien tiene que analizar lainformación quese ha recolectado. 10. Mejora El principal elemento del proceso de mejora son las no conformidades identificadas,lascuales tieneque contabilizarsey compararsecon las accionecorrectivas paraasegurarsede que no se repitan y que las acciones correctoras queserealicen sean efectivas. Dominios de Seguridad Controles por Dominios Núm. Nombre Descripción / Justificación 1 Objeto y campo de aplicación Seleccionar los controles dentro delproceso de implementacióndel Sistema de Gestión de Seguridad de la Información -SGSI 2 Referencias normativas La ISO/IEC 27000, es referenciada parcial o totalmente en el documento y es indispensable para su aplicación.
- 18. 3 Términos y definiciones Para los propósitos de este documento se aplican los términos y definiciones presentados en la norma ISO/IEC 27000. 4 Estructura de la norma La norma ISO/IEC 27000, contiene 14 numérales de control de seguridadde la información que en su conjunto contienen más de 35 categorías de seguridad principales y 114 controles. 5 Políticas de seguridad de la información 5.1 Directrices establecidas por la dirección para la seguridad de la información Objetivo: Brindar orientación y apoyoporpartedela dirección, para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes. 5.1.1 Políticas para la seguridad de la información Control: Se debería definir un conjunto de políticas para la seguridad de la información, aprobada porla dirección, publicada y comunicada a los empleados y partes externas pertinentes. 5.1.2 Revisión de las políticas para seguridadde la información Control: Las políticas para seguridad de la información se deberían revisar a intervalos planificados o si ocurren cambios significativos, para asegurar su conveniencia, adecuación y eficacia continúas. 6 Organización de la seguridad dela información 6.1 Organización interna Objetivo: Establecerun marco dereferencia de gestión para iniciar y controlarla implementación y la operación de la seguridad de la información dentro de la organización. 6.1.1 Roles y responsabilidades para la seguridadde información Control: Se deberían definir y asignartodas las responsabilidades de la seguridad de la información. 6.1.2 Separación de deberes Control: Los deberes y áreas deresponsabilidaden conflicto sedeberíanseparar para reducir las posibilidades demodificación noautorizada ono intencional, o el uso indebido de los activos de la organización. 6.1.3 Contacto con las autoridades Control: Se deberían mantener los contactos apropiados con las autoridades pertinentes. 6.1.4 Contacto con grupos de interés especial Control: Es conveniente mantener contactos apropiados con grupos de interés especial u otros foros y asociaciones profesionales especializadas enseguridad. 6.1.5 Seguridad de la información en la gestión de proyectos Control: La seguridad de la información se debería tratar en la gestión de proyectos, independientemente del tipo de proyecto. 6.2 Dispositivos móviles y teletrabajo Objetivo: Garantizar la seguridad delteletrabajo y eluso dedispositivos móviles. 6.2.1 Política para dispositivos móviles Control: Se deberían adoptar una política y unas medidas de seguridad de soporte, para gestionar los riesgos introducidos por el uso de dispositivos móviles.
- 19. 6.2.2 Teletrabajo Control: Se deberíanimplementar una política y unas medidas de seguridadde soporte,para proteger la información a la quesetieneacceso,quees procesada o almacenada en los lugares en los que se realiza teletrabajo. 7 Seguridadde los recursos humanos 7.1 Antes de asumir elempleo Objetivo: Asegurar quelos empleados y contratistas comprenden sus responsabilidades y sonidóneos enlos roles para los queseconsideran. 7.1.1 Selección Control: Las verificaciones delos antecedentes de todos los candidatos a un empleo se deberían llevar a cabo deacuerdoconlas leyes, reglamentos y ética pertinentes, y deberíanser proporcionales a los requisitos denegocio,a la clasificaciónde la informacióna quese va a tener acceso, y a los riesgos percibidos. 7.1.2 Términos y condiciones del empleo Control: Los acuerdos contractuales conempleados y contratistas, deberían establecer sus responsabilidades y las de la organizaciónencuanto a la seguridad dela información. 7.2 Durantela ejecucióndelempleo Objetivo: Asegurarse dequelos empleados y contratistas tomen conciencia de sus responsabilidades de seguridad dela información y las cumplan. 7.2.1 Responsabilidades dela dirección Control: La direccióndebería exigir a todos los empleados y contratistas la aplicaciónde la seguridad dela información deacuerdoconlas políticas y procedimientos establecidos por la organización. 7.2.2 Toma de conciencia, educacióny formación en la seguridad dela información Control: Todos los empleados dela organización, y en donde sea pertinente, los contratistas, deberían recibir la educación y la formación entoma deconciencia apropiada, y actualizaciones regulares sobre las políticas y procedimientos pertinentes para sucargo. 7.2.3 Procesodisciplinario Control: Se debería contar con un proceso disciplinarioformalel cual debería ser comunicado,para emprender acciones contra empleados quehayan cometidouna violación a la seguridad dela información. 7.3 Terminacióno cambiode empleo Objetivo: Proteger los intereses dela organización comopartedel proceso de cambio o terminación del contrato. 7.3.1 Terminación o cambio de responsabilidades de empleo Control: Las responsabilidades y los deberes de seguridad dela información que permanecen validos después de la terminación o cambio decontrato se deberían definir,comunicaralempleadoo contratista y sedeberían hacer cumplir. 8 Gestiónde activos 8.1 Responsabilidad por los activos Objetivo: Identificar los activos organizacionales y definirlas responsabilidades de protección apropiadas. 8.1.1 Inventario deactivos Control: Se deberían identificarlos activos asociados con la información y las instalaciones deprocesamiento deinformación, y sedebería elaborar y mantener uninventario deestos activos. 8.1.2 Propiedad delos activos Control: Los activos mantenidos en elinventario deberían tener unpropietario. 8.1.3 Uso aceptable delos activos Control: Se deberían identificar, documentar eimplementar reglas para eluso aceptable deinformación y deactivos asociados con información e instalaciones deprocesamiento deinformación. 8.1.4 Devolución deactivos Control: Todos los empleados y usuarios departes externas deberían devolver todos los activos dela organización que se encuentrena su cargo, al terminarsu empleo,contratoo acuerdo. 8.2 Clasificaciónde la información Objetivo: Asegurar quela información recibe un nivelapropiado deprotección, de acuerdo con su importancia para la organización. 8.2.1 Clasificaciónde la información Control: La información sedebería clasificar en función delos requisitos legales, valor, criticidad y susceptibilidada divulgacióno a modificación no autorizada. 8.2.2 Etiquetado dela información Control: Se debería desarrollar eimplementar un conjunto adecuado de procedimientos para eletiquetadode la información,de acuerdo con el esquema declasificación deinformación adoptadopor la organización.
- 20. 8.2.3 Manejo de activos Control: Se deberían desarrollare implementar procedimientos para elmanejo de activos,de acuerdo con el esquema declasificación deinformación adoptado porla organización. 8.3.1 Gestiónde medios removibles Control: Se deberían implementar procedimientos para la gestióndemedios removibles, deacuerdo con elesquema de clasificaciónadoptado por la organización. 8.3.2 Disposiciónde los medios Control: Se debería disponer enforma segura delos medios cuando ya no se requieran, utilizandoprocedimientos formales. 8.3.3 Transferencia demedios físicos Control: Los medios quecontienen información se deberían proteger contra accesono autorizado, usoindebido o corrupción durante el transporte. 9 Control de acceso 9.1 Requisitos del negocio para control de acceso Objetivo: Limitar el accesoa información y a instalaciones de procesamiento de información. 9.1.1 Política decontrol deacceso Control: Se debería establecer,documentar y revisar una política decontrol de accesoconbaseenlos requisitos del negocioy de seguridad dela información. 9.1.2 Política sobre el uso delos servicios de red Control: Solosedebería permitiracceso delos usuarios a la redy a los servicios de red para los que hayansidoautorizados específicamente. 9.2 Gestiónde accesode usuarios Objetivo: Asegurar elacceso delos usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios. 9.2.1 Registro y cancelación del registro de usuarios Control: Se debería implementar un proceso formal deregistro y de cancelación de registro deusuarios, para posibilitarla asignaciónde los derechos deacceso. 9.2.2 Suministro deacceso deusuarios Control: Se debería implementar un proceso desuministrode accesoformalde usuarios para asignar o revocarlos derechos de accesoa todo tipode usuarios para todos los sistemas y servicios. 9.2.3 Gestiónde derechos deacceso privilegiado Control: Se debería restringir y controlar la asignación y uso de derechos de acceso privilegiado. 9.2.4 Gestiónde información deautenticación secreta deusuarios Control: La asignaciónde la informaciónsecreta sedebería controlarpor medio de un proceso degestiónformal. 9.2.5 Revisiónde los derechos deaccesode usuarios Control: Los propietarios de los activos deberían revisar los derechos deacceso de los usuarios, a intervalos regulares. 9.2.6 Retiro o ajustede los derechos deacceso Control: Los derechos deacceso detodos los empleados y de usuarios externos a la información y a las instalaciones de procesamientode información se deberían retirar al terminar suempleo,contrato o acuerdo, o se deberían ajustar cuandosehagancambios. 9.3 Responsabilidades delos usuarios Objetivo: Hacer que los usuarios rindan cuentas porla salvaguarda de su informaciónde autenticación. 9.3.1 Uso de la información de autenticación secreta Control: Se debería exigira los usuarios quecumplanlas prácticas de la organización para eluso deinformaciónde autenticación secreta. 9.4 Control de accesoa sistemas y aplicaciones Objetivo: Evitar elacceso no autorizado a sistemas y aplicaciones. 9.4.1 Restricción deacceso Información Control: El acceso a la informacióny a las funciones delos sistemas delas aplicaciones sedebería restringir deacuerdo con la política decontrol de acceso. 9.4.2 Procedimiento deingresoseguro Control: Cuando lorequiere la política decontrol de acceso,el accesoa sistemas y aplicaciones sedebería controlar mediante unprocesode ingreso seguro. 9.4.3 Sistema degestión decontraseñas Control: Los sistemas degestiónde contraseñas deberían serinteractivos y deberían asegurar la calidadde las contraseñas. 9.4.4 Uso de programas utilitarios privilegiados Control: Se debería restringiry controlar estrictamenteelusode programas utilitarios quepudieran tenercapacidad deanular elsistema y los controles de las aplicaciones. 9.4.5 Control de accesoa códigos fuentede programas Control: Se debería restringirel accesoa los códigos fuentedelos programas.
- 21. 10 Criptografía 10.1 Controles criptográficos Objetivo: Asegurar eluso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad dela información. 10.1.1 Política sobre el uso de controles criptográficos Control: Se debería desarrollar eimplementar una política sobreeluso de controles criptográficos para la protecciónde la información. 10.1.2 Gestiónde llaves Control: Se debería desarrollar eimplementar una política sobreeluso, protección y tiempode vida delas llaves criptográficas durantetodosuciclode vida. 11 Seguridadfísica y del entorno 11.1 Áreas seguras Objetivo: Prevenir el acceso físicono autorizado, eldañoy la interferencia a la informacióny a las instalaciones deprocesamiento deinformacióndela organización. 11.1.1 Perímetro deseguridad física Control: Se deberían definir y usar perímetros de seguridad,y usarlos para proteger áreas que contengan información sensibleo critica, e instalaciones de manejo deinformación. 11.1.2 Controles físicos deentrada Control: Las áreas seguras se deberían proteger mediantecontroles deentrada apropiados para asegurar que solamentese permite el accesoa personal autorizado. 11.1.3 Seguridadde oficinas, recintos e instalaciones Control: Se debería diseñar y aplicar seguridad física a oficinas, recintos e instalaciones. 11.1.4 Protección contra amenazas externas y ambientales Control: Se debería diseñar y aplicarprotecciónfísica contra desastres naturales,ataques maliciosos o accidentes. 11.1.5 Trabajo enáreas seguras Control: Se deberían diseñar y aplicar procedimientos para trabajo en áreas seguras. 11.1.6 Áreas de despacho y carga Control: Se deberían controlarlos puntos deacceso tales comoáreas de despacho y decarga, y otros puntos en dondepueden entrar personas no autorizadas, y sies posible,aislarlos delas instalaciones de procesamiento de informaciónpara evitar elacceso noautorizado. 11.2 Equipos Objetivo: Prevenir la perdida,daño,roboo compromiso deactivos, y la interrupción delas operaciones dela organización. 11.2.1 Ubicación y protección de los equipos Control: Los equipos deberían estar ubicados y protegidos para reducir los riesgos de amenazas y peligros delentorno,y las oportunidades para accesono autorizado. 11.2.2 Servicios desuministro Control: Los equipos se deberían proteger contra fallas deenergía y otras interrupciones causadas porfallas en los servicios desuministro. 11.2.3 Seguridaddelcableado Control: El cableado depotencia y detelecomunicaciones que porta datos o soporta servicios deinformacióndebería estar protegido contra interceptación, interferencia o daño. 11.2.4 Mantenimiento deequipos Control: Los equipos se deberían mantener correctamente para asegurar su disponibilidad e integridadcontinuas. 11.2.5 Retiro de activos Control: Los equipos,informacióno softwareno se deberían retirar desusitio sin autorizaciónprevia. 11.2.6 Seguridadde equipos y activos fuera delas instalaciones Control: Se deberían aplicarmedidas de seguridad a los activos que se encuentran fuera de las instalaciones de la organización, teniendoen cuenta los diferentes riesgos detrabajar fuera dedichas instalaciones. 11.2.7 Disposiciónsegura o reutilizaciónde equipos Control: Se deberían verificar todos los elementos deequipos que contengan medios dealmacenamiento, para asegurar quecualquier datosensible o softwarecon licencia haya sido retiradoo sobrescritoen forma segura antes de su disposicióno reutilización. 11.2.8 Equipos de usuariodesatendidos Control: Los usuarios deberían asegurarse dequea los equipos desatendidosse les dé protecciónapropiada. 11.2.9 Política deescritorio limpio y pantalla limpia Control: Se debería adoptar una política deescritorio limpiopara los papeles y medios dealmacenamientoremovibles,y una política depantalla limpia en las instalaciones deprocesamiento deinformación. 12 Seguridadde las operaciones
- 22. 12.1 Procedimientos operacionales y responsabilidades Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamientodeinformación. 12.1.1 Procedimientos deoperación documentados Control: Los procedimientos de operación se deberían documentary poner a disposiciónde todos los usuarios quelos necesiten. 12.1.2 Gestiónde cambios Control: Se deberían controlarlos cambios en la organización, enlos procesos de negocio, enlas instalaciones y en los sistemas de procesamientode informaciónqueafectanla seguridadde la información. 12.1.3 Gestiónde capacidad Control: Para asegurar eldesempeño requeridodelsistema se debería hacer seguimiento al usode los recursos,hacer los ajustes,y hacer proyecciones de los requisitos sobrela capacidadfutura. 12.1.4 Separación delos ambientes dedesarrollo, pruebas y operación Control: Se deberían separar los ambientes dedesarrollo, prueba y operación, para reducir los riesgos de accesoo cambios no autorizados al ambiente de operación. 12.2 Proteccióncontra códigos maliciosos Objetivo: Asegurarse dequela información y las instalaciones de procesamientodeinformaciónestén protegidas contra códigos maliciosos. 12.2.1 Controles contra códigos maliciosos Control: Se deberían implementar controles dedetección,de prevención y de recuperación, combinados conla toma de conciencia apropiada de los usuarios, para proteger contra códigos maliciosos. 12.3 Copias derespaldo Objetivo: Proteger contra la perdida de datos. 12.3.1 Respaldo deinformación Control: Se deberían hacer copias de respaldo dela información, delsoftwaree imágenes delos sistemas, y ponerlas a prueba regularmentedeacuerdocon una política decopias derespaldo aceptada. 12.4 Registro y seguimiento Objetivo: Registrar eventos y generarevidencia. 12.4.1 Registro deeventos Control: Se deberían elaborar, conservar y revisar regularmentelos registros acerca de actividades del usuario, excepciones, fallas y eventos deseguridadde la información. 12.4.2 Protección de la información de registro Control: Las instalaciones y la información deregistrosedeberíanproteger contra alteración y acceso no autorizado. 12.4.3 Registros del administradory deloperador Control: Las actividades deladministrador y deloperador delsistema se deberían registrar, y los registros se deberían proteger y revisar con regularidad. 12.4.4 sincronización derelojes Control: Los relojes de todos los sistemas de procesamientode información pertinentes dentro deuna organización o ámbito deseguridadsedeberían sincronizar conuna única fuentedereferencia detiempo. 12.5 Control de softwareoperacional Objetivo: Asegurar la integridad delos sistemas operacionales. 12.5.1 Instalación de software en sistemas operativos Control: Se deberían implementar procedimientos para controlarla instalación de software en sistemas operativos. 12.6 Gestiónde la vulnerabilidad técnica Objetivo: Prevenir el aprovechamiento delas vulnerabilidades técnicas. 12.6.1 Gestiónde las vulnerabilidades técnicas Control: Se debería obteneroportunamente información acerca de las vulnerabilidades técnicas delos sistemas deinformaciónqueseusen; evaluar la exposición dela organización a estas vulnerabilidades, y tomar las medidas apropiadas para tratarelriesgoasociado. 12.6.2 Restricciones sobrela instalaciónde software Control: Se deberían establecere implementar las reglas para la instalación de softwarepor parte delos usuarios. 12.7 Consideraciones sobre auditorias de sistemas de información Objetivo: Minimizar elimpacto delas actividades deauditoría sobrelos sistemas operacionales. 12.7.1 Información controles deauditoría de sistemas Control: Los requisitos y actividades de auditoría queinvolucranla verificación de los sistemas operativos sedeberían planificar y acordar cuidadosamente para minimizar las interrupciones enlos procesos del negocio. 13 Seguridadde las comunicaciones
- 23. 13.1 Gestiónde la seguridad delas redes Objetivo: Asegurar la protección dela informaciónen las redes, y sus instalaciones deprocesamiento deinformaciónde soporte. 13.1.1 Controles deredes Control: Las redes se deberían gestionar y controlar para proteger la informaciónen sistemas y aplicaciones. 13.1.2 Seguridadde los servicios dered Control: Se deberían identificarlos mecanismos de seguridad,los niveles de servicio y los requisitos degestión detodos los servicios de red,e incluirlos en los acuerdos de servicios de red,ya sea que los servicios sepresten internamente o se contraten externamente. 13.1.3 Separación enlas redes Control: Los grupos deservicios deinformación, usuarios y sistemas de informaciónsedeberían separar en las redes. 13.2 Transferencia deinformación Objetivo: Mantener la seguridad dela información transferida dentro deuna organización y concualquierentidad externa. 13.2.1 Políticas y procedimientos detransferencia de información Control: Se debería contar con políticas, procedimientos y controles de transferencia formales para protegerla transferencia de informaciónmediante el uso de todo tipode instalaciones de comunicación. 13.2.2 Acuerdos sobre transferencia de información Control: Los acuerdos deberían tener encuenta la transferencia segura de informacióndelnegocio entre la organizacióny las partes externas. 13.2.3 Mensajería electrónica Control: Se debería proteger adecuadamentela informaciónincluida en la mensajería electrónica. 13.2.4 Acuerdos de confidencialidado de nodivulgación Control: Se deberían identificar, revisar regularmentey documentarlos requisitos para los acuerdos de confidencialidado no divulgación que reflejen las necesidades de la organización para la protección dela información. 14 Adquisición, desarrolloy mantenimientos de sistemas 14.1.1 Requisitos deseguridaddelos sistemas de información Objetivo: Asegurar quela seguridad dela informaciónsea una parte integralde los sistemas deinformacióndurantetodoelciclode vida. Esto incluyetambién los requisitos para sistemas de informaciónqueprestan servicios en redes públicas. 14.1.1 Análisis y especificaciónderequisitos de seguridad dela información Control: Los requisitos relacionados con seguridad dela información se deberían incluir enlos requisitos para nuevos sistemas de información o para mejoras a los sistemas deinformaciónexistentes. 14.1.2 Seguridadde servicios de las aplicaciones en redes publicas Control: La información involucrada enlos servicios deaplicaciones quepasan sobre redes públicas se debería proteger deactividades fraudulentas,disputas contractuales y divulgación y modificaciónno autorizadas. 14.1.3 Protecciónde transacciones delos servicios de las aplicaciones Control: La información involucrada enlas transacciones de los servicios delas aplicaciones sedebería proteger para evitar la transmisiónincompleta,el enrutamiento errado,la alteración no autorizada de mensajes,la divulgación no autorizada, y la duplicación o reproducciónde mensajes noautorizada. 14.2 Seguridaden los procesos de desarrollo y soporte Objetivo: Asegurar dequela seguridadde la información estédiseñada e implementada dentro del ciclo devida dedesarrollo delos sistemas de información. 14.2.1 Política dedesarrolloseguro Control: Se deberían establecery aplicar reglas para eldesarrollo desoftware y de sistemas,a los desarrollos quesedan dentrode la organización. 14.2.2 Procedimientos decontrol decambios en sistemas Control: Los cambios a los sistemas dentrodelciclo devida dedesarrollose deberían controlar medianteeluso deprocedimientos formales de controlde cambios. 14.2.3 Revisióntécnica delas aplicaciones después de cambios en la plataforma deoperación Control: Cuando se cambian las plataformas deoperación, se deberían revisar las aplicaciones críticas del negocio, y ponerlas a prueba para asegurarqueno haya impactoadversoen las operaciones o seguridadde la organización. 14.2.4 Restricciones en los cambios a los paquetes de software Control: Se deberían desalentarlas modificaciones a los paquetes desoftware, que se debenlimitar a los cambios necesarios, y todos los cambios sedeberían controlar estrictamente. 14.2.5 Principios deconstrucciónde sistemas seguros Control: Se deberían establecer, documentar y mantener principios para la construcción desistemas seguros,y aplicarlos a cualquier actividadde implementación desistemas deinformación.
- 24. 14.2.6 Ambiente dedesarrollo seguro Control: Las organizaciones deberíanestablecer y protegeradecuadamentelos ambientes dedesarrolloseguros para las tareas dedesarrolloe integraciónde sistemas quecomprendan todo elciclo devida dedesarrollode sistemas. 14.2.7 Desarrollo contratadoexternamente Control: La organización debería supervisary hacer seguimientode la actividad de desarrollo desistemas contratados externamente. 14.2.8 Pruebas deseguridadde sistemas Control: Durante eldesarrollose deberíanllevar a cabo pruebas defuncionalidad de la seguridad. 14.2.9 Prueba deaceptación desistemas Control: Para los sistemas deinformación nuevos, actualizaciones y nuevas versiones, se deberían establecerprogramas de prueba para aceptación y criterios deaceptación relacionados. 14.3 Datos deprueba Objetivo: Asegurar la protección delos datos usados para pruebas. 14.3.1 Protecciónde datos de prueba Control:Los datos de ensayo se deberían seleccionar, proteger y controlar cuidadosamente. 15 Relación con los proveedores 15.1 Seguridadde la información en las relaciones conlos proveedores Objetivo: Asegurar la protección delos activos dela organización quesean accesibles a los proveedores. 15.1.1 Política deseguridad dela informaciónpara las relaciones con proveedores Control: Los requisitos deseguridadde la información para mitigar los riesgos asociados con el accesode proveedores a los activos dela organización se deberían acordar con estos y sedeberíandocumentar. 15.1.2 Tratamiento dela seguridaddentro delos acuerdos con proveedores Control: Se deberían establecery acordartodos los requisitos de seguridad de la informaciónpertinentes concada proveedor que pueda teneracceso, procesar,almacenar, comunicar o suministrar componentes deinfraestructura de TI para la información dela organización. 15.1.3 Cadena de suministro detecnología de informacióny comunicación Control: Los acuerdos con proveedores deberíanincluir requisitos para tratar los riesgos deseguridadde la información asociados con la cadena de suministro deproductos y servicios detecnología deinformación y comunicación. 15.2 Gestiónde la prestación deservicios con los proveedores Objetivo: Mantener el nivel acordadode seguridad dela información y de prestación delservicio enlínea con los acuerdos con los proveedores. 15.2.1 Seguimientoy revisiónde los servicios de los proveedores Las organizaciones deberían hacer seguimiento,revisar y auditar con regularidad la prestación deservicios delos proveedores. 15.2.2 Gestión de cambios en los servicios de proveedores Control: Se deberían gestionar los cambios enel suministro deservicios por parte de los proveedores,incluido elmantenimiento y la mejora de las políticas, procedimientos y controles de seguridad dela información existentes , teniendo encuenta la criticidad dela información, sistemas y procesos del negocio involucrados, y la revaloraciónde los riesgos. 16 Gestiónde incidentes deseguridaddela información 16.1 Gestiónde incidentes y mejoras en la seguridad dela información Objetivo: Asegurar un enfoquecoherentey eficaz para la gestión deincidentes de seguridad dela información, incluida la comunicación sobreeventos de seguridad y debilidades. 16.1.1 Responsabilidad y procedimientos Control: Se deberían establecerlas responsabilidades y procedimientos de gestión para asegurar una respuesta rápida,eficaz y ordenada a los incidentes de seguridad dela información. 16.1.2 Reporte deeventos deseguridadde la información Control: Los eventos deseguridad dela informaciónsedeberíaninformar a través delos canales de gestión apropiados, tanpronto comosea posible. 16.1.3 Reporte dedebilidades de seguridad dela información Control: Se debería exigira todos los empleados y contratistas queusanlos servicios y sistemas de información dela organización, queobserven e informen cualquier debilidadde seguridad dela información observada o sospechada enlos sistemas o servicios.
- 25. 16.1.4 Evaluación deeventos deseguridad dela informacióny decisiones sobreellos Control: Los eventos deseguridad dela informaciónsedeberíanevaluar y se debería decidir sisevan a clasificar comoincidentes de seguridad dela información. 16.1.5 Respuesta a incidentes de seguridad dela información Control: Se debería dar respuesta a los incidentes de seguridad dela informaciónde acuerdo con procedimientos documentados. 16.1.6 Aprendizaje obtenidode los incidentes de seguridad dela información Control: El conocimiento adquiridoalanalizary resolver incidentes de seguridad de la información se debería usarpara reducir la posibilidad o elimpacto de incidentes futuros. 16.1.7 Recolección deevidencia Control: La organización debería definir y aplicar procedimientos para la identificación,recolección, adquisición y preservacióndeinformaciónque pueda servir como evidencia. 17 Aspectos deseguridad dela información de la gestión decontinuidadde negocio 17.1 Continuidad deseguridadde la información Objetivo: La continuidad deseguridadde la información se debería incluiren los sistemas de gestión dela continuidadde negociode la organización. 17.1.1 Planificación dela continuidaddela seguridad dela información Control: La organización debería determinar sus requisitos para la seguridad de la informacióny la continuidad dela gestiónde la seguridad dela información en situaciones adversas, porejemplo, durante una crisis o desastre. 17.1.2 Implementación dela continuidadde la seguridad dela información Control: La organización debería establecer,documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel de continuidad requeridopara la seguridad dela informaciónduranteuna situaciónadversa. 17.1.3 Verificación, revisióny evaluación dela continuidad dela seguridad dela información Control: La organización debería verificar a intervalos regulares los controles de continuidad dela seguridad dela informaciónestablecidos eimplementados, con el fin de asegurar queson válidos y eficaces durantesituaciones adversas. 17.2 Redundancias Objetivo: Asegurar la disponibilidadde instalaciones de procesamiento de información. 17.2.1 Disponibilidad deinstalaciones de procesamientodeinformación. Control: Las instalaciones de procesamiento de información se deberían implementar con redundancia suficiente para cumplir los requisitos de disponibilidad. 18 Cumplimiento 18.1 Cumplimientode requisitos legales y contractuales Objetivo: Evitar elincumplimiento delas obligaciones legales, estatutarias,de reglamentación o contractuales relacionadas con seguridad dela información, y de cualquier requisito deseguridad. 18.1.1 Identificación dela legislación aplicable y de los requisitos contractuales Control: Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes, y elenfoquedela organización para cumplirlos, sedeberían identificar y documentar explícitamente y mantenerlos actualizados para cada sistema de información y para la organización. 18.1.2 Derechos depropiedadintelectual Control: Se deberían implementar procedimientos apropiados para asegurarel cumplimientode los requisitos legislativos, dereglamentación y contractuales relacionados conlos derechos de propiedad intelectualy el usode productosde softwarepatentados. 18.1.3 Protecciónde registros Control: Los registros sedeberían protegercontra perdida,destrucción, falsificación, accesono autorizado y liberación noautorizada,de acuerdo con los requisitos legislativos, dereglamentación,contractuales y denegocio. 18.1.4 Privacidad y protección dedatos personales Control: Cuando sea aplicable, sedeberían asegurar la privacidady la protección dela información dedatos personales, comoseexigeen la legislacióny la reglamentación pertinentes. 18.1.5 Reglamentación decontroles criptográficos Control: Se deberían usar controles criptográficos,en cumplimientode todos los acuerdos, legislación y reglamentaciónpertinentes. 18.2 Revisiones deseguridad dela información Objetivo: Asegurar quela seguridad dela informaciónseimplementey opere de acuerdo con las políticas y procedimientos organizacionales.
- 26. 18.2.1 Revisiónindependientedela seguridadde la información Control: El enfoquedela organización para la gestión dela seguridadde la informacióny su implementación (es decir, los objetivos decontrol, los controles,las políticas,los procesos y los procedimientos para seguridad dela información) se deberían revisarindependientemente a intervalos planificados o cuando ocurrancambios significativos. 18.2.2 Cumplimientocon las políticas y normas de seguridad Control: Los directores deberíanrevisar conregularidadel cumplimientodel procesamientoy procedimientos deinformacióndentro desu área de responsabilidad,conlas políticas y normas de seguridad apropiadas, y cualquier otro requisitode seguridad. 18.2.3 Revisióndelcumplimiento técnico Control: Los sistemas deinformación sedeberían revisar periódicamentepara determinar elcumplimiento con las políticas y normas deseguridadde la información. Gestión de riesgos El riesgo sedefine como la posibilidad deque seproduzca un impacto en un Activo o en el Dominio. Gestionar el riesgo significa que,en primer lugar es necesario identificar losriesgosqueafectan a la Organización,y en segundo lugar,es necesario establecer medidas de seguridad para reducir estos riesgos. Por tanto dentro de la Gestión de riesgos podemos diferenciar principalmente 2 etapas: Análisis y Tratamiento Para desarrollar todo el proceso de análisis y tratamiento de los riesgos, es imprescindible establecer una Metodología, la cual definirá los pasos que se tienen que seguir para llevar a cabo la Gestión de Riesgos. Actualmente existen muchas metodologías en el mercado pero todas tienen una serie de puntos en común, los cuales veremos a continuación. Metodologías existentes MAGERIT Se utiliza mucho en España,sobretodo en Administraciones Públicas,ya que fue desarrollada por el Consejo Superior de Administración Electrónica. Esta metodología no es muy conocida a nivel Internacional, aunque su utilización puede ser interesante en cualquier tipo de empresa CRAMM Tuvo su origen en Reino Unido, ya que fue desarrollada por el CCTA (Central Computer and Telecommunications Agency). Tiene reconocimiento a nivel Internacional, y su desarrollo es de los más simples: Identificación y valoración de activos, valoración de amenazas y vulnerabilidades y selección de contramedidas. OCTAVE Fue desarrollada por el SEI (Software Engineering Institute) en Estados Unidos, y también tiene un gran reconocimiento internacional.Tieneuna buena aceptación a nivel mundial,aunquelasfases quela componen son un poco diferentes de las metodologías habituales, lo cual suele implicar mayor di ficultad a la hora de utilizarla.
- 27. NIST 800-30 Fue desarrollada por el NIST (National Institute of Standards and Technology) en EEUU, y aunque tiene reconocimiento Internacional, su uso se limita sobre todo a EEUU (Administraciones Públicas). Aunque se compone de un mayor número de fases que las anteriores metodologías,es muy intuitiva,sencilla deutilizar. ISO 27005 Es una norma ISO Internacional que no especifica ningún método de análisis de riesgo concreto sino que, contiene recomendaciones y directrices generales para la gestión deriesgos,por tanto,puede utilizarsecomo guía para elaborar una Metodología de gestión de riesgos propia. ISO 31000 Al igual que la anterior, es una ISO Internacional que contiene una serie de buenas prácticas para gestionar riesgos,aunque la diferencia con respecto la ISO 27005, es que esta no aplicasolamente a la Seguridad de la Información, sino que aplica a cualquier tipo de riesgo. Conclusiones Todos los activos de una Organización (sea grande o pequeña) están expuestos a riesgos, los cuales si no se reducen pueden provocar un problema importante al negocio. Para reducir estos riesgos podemos implantar controles utilizando una metodología deanálisisderiesgos.Una metodología de análisisderiesgos nos ayuda a identificar activos,lasamenazas/vulnerabilidades queles afectan, y calcular el nivel de riesgo,el cual tiene que estar por debajo de un nivel aceptablepara la Organización.Si el nivel de riesgo es superior al aceptable, la Organización tienequeimplantar controles deseguridad parareducirlo.Existen muchas metodologías,pero todas tienen el mismo objetivo: calcular el riesgo asociado a los activos de la Organización y establecer medidas para reducirlo. 1. Identificación de activos Podemos considerar como activos: Impresoras, dispositivos de almacenamiento (discos duros externos, pendrives), aplicaciones,ordenadores,servidores,personas,etc.)Todos estos elementos tienen información: Impresora: Hojas que se imprimen Pendrives: Información digital Aplicaciones: Información digital Servidores: Información digital Empleados: Conocimiento, e información de la Organización
- 28. No obstante también podemos identificar como activo elementos que no contienen información, pero que son imprescindibles para otros activos que sí la tienen. Por ejemplo: Una consola de aire acondicionado no contiene información, pero su funcionamiento implica que los servidores, que sí contienen información, no se sobrecalienten y se averíen. También es importante identificar la dependencia que puede existir entre activos: Una aplicación funciona en un servidor, por tanto, si el servidor deja de funcionar, la aplicación también lo hará. Por último, además de identificar los activos, también puede ser necesario y/o interesante valorarlos con respecto las 3 dimensiones de seguridad: Confidencialidad, Integridad y Disponibilidad 2. Identificación de amenazas y vulnerabilidades Todos los activos dela Organización están expuestos a amenazas,y estas son explotadaspor vulnerabilidades. ¿Qué es una amenaza? Cualquier problema que pueda afectar al negocio: Ingeniería social, catástrofe natural, troyanos, virus, etc. Las amenazas son todo aquello que tiene el potencial de hacer daño. Dicho de otra forma una amenaza es una condición del entorno del sistema de información,que dada la oportunidad,podría ocurrir una violación a la seguridad. No se omite mencionar, que existen amenazas intencionales, las cuales buscan deliberadamente causar un daño y las no intencionales, las cuales son producto del entorno, acciones u omisiones no malintencionadas.En ambos casos,la presencia de la amenaza representa un riesgo potencial de que ésta se materialice, sobre algún activo crítico de la organización. Tipos de amenazas En términos informáticos,la materialización deuna amenaza no es más que la ejecución deun ataque, el cual consiste en aprovechar las vulnerabilidades de los sistemas informáticos para comprometer la confidencialidad,integridad y disponibilidad dela información.Estos ataques se dividen en dos, los pasivosy los activos,y a su vezseclasifican en cuatro categorías:intercepción,interrupción,modificación,y fabricación. Cada categoría puede afectar uno o más principiosdela tríada dela información como semuestra en la Figura siguiente.
- 29. Amenazas de software Estas amenazas refieren a fallasasociadasal softwareinstalado por defecto en los sistemas operativos, software desarrollado, softwaremal implementado y al software malicioso diseñado para afectar directamente al sistema.Las cuales según sus característicaspodrían ser agrupadasen alguna de las cuatro categorías mencionadas en la Figura 1.5. A continuación sedescriben de forma general las amenazas más comunes que afectan a los sistemas de información y comunicación. Software desarrollado:Es el software creado por el propio usuario del sistema,el cual puede tener errores o huecos de seguridad que pasaron desapercibidospor el programador durantela etapa de desarrollo,un intruso podría aprovechar deestas deficienciaspara comprometer la seguridad de los sistemas dondesea ejecutado dicho software. Software de aplicación:Estesoftware no fue desarrollado con fines maliciosos,pero por sus características y funcionalidades puede ser utilizado por un usuario para realizar ataques a los sistemas de información. Cookies: Las cookies no son un archivo malicioso como tal,son archivos detexto que los navegadores de Internet utilizan para facilitar laconexión deun equipo informático con un sitio Web, sin embargo, representan una amenaza para la privacidad dela información compartidapor los usuariosen Internet. Phishing:Consisteen la suplantación deidentidad de sitios Web,con la intención de engañar y estafar a usuarios legítimos para queproporcionen datos confidenciales como:usuarios, contraseñas,números de tarjetas de crédito, etcétera. Estas amenazas no sólo afectan a la víctima, sino la imagen y reputación de la organización suplantada. Spam: Se refiere a la acción deenvío de correo electrónico a quien no lo solicita y deforma masiva. Estos correos representan uno de los principales focos deinfección en la red. Scams: Son los correos electrónicos quepretenden obtener datos confidenciales delos usuarios con la intención de estafarlos económicamenteu obtener un beneficio no legal de ello. Malware: Proviene de la contracción delas palabrasen inglés Malicious Software,es todo aquel software diseñado y programado para afectar uno o más de los aspectos de la seguridad dela información.Las siguientes descripciones son referentes a las amenazas más comunes englobadas dentro de la categoría de Malware: o Virus:Son programas informáticos diseñadospara infectar archivosy equipos de cómputo, no requiere de la colaboración del usuario parasu propagación,debido a que es código que se replica uniéndosea otro objeto generalmente sin consentimiento ni conocimiento del usuario,algunostoman el control de los programas de correo electrónico,otros
- 30. adquieren control de los recursos del sistema infectado.Incluso algunos viruspueden destruir o corromper archivos dedatos,borrar programas o dañar el propio sistema operativo. o Gusanos:Los gusanos son programas parecidosa los virus,sólo queéstos realizan copias de sí mismos aprovechándosede manera excesiva de los recursos del sistema comprometido, su objetivo es replicarsea través de las redes de datos y así causar el mayor impacto en los equipos de cómputo y redes de datos. o Caballos deTroya: Conocidos como “troyanos”, es un tipo de malware que se hace pasar por un programa inofensivo para vulnerar laseguridad delos sistemas,posteriormente se activa de manera discreta y sin consentimiento del usuario cumpliendo así,su propósito nocivo para el que fue creado. o Adware: Son programas con fines de publicidad,muestran anunciosno deseados en los equipos y sitios Web;muchos de estos anuncios redirigen a los usuariosa sitiosmaliciosos para robar sus datos confidenciales o infectar sus equipos. o Spyware: Son programas espías que recopilan información dela actividad en equipos de cómputo y sitios Web sin el consentimiento ni conocimiento del usuario referente. Esta información es enviada de forma remota a un tercero. o Rootkits: Son programas especialmente diseñados para ocultar información deprocesos, archivos,conexiones red,etcétera. Comúnmente son instaladospor los intrusosen sistemas de información dondequieren que su actividad maliciosapasedesapercibida. o Exploits:Son programas diseñados paracrear accesos(abrir puertas) en los sistemas,se aprovechan de huecos de seguridad existentes en los sistemas informáticosasociadosa las aplicaciones instaladas. o Botnets: Son un conjunto de equipos infectados por un código malicioso (bots) que son controlados por un servidor C&C (Command & Control – Comando y Control). Estas redes de bots reciben intrucciones deforma remota para infectar más equipos vulnerables en la red, y son usados para realizarataques dedenegación de servicio distribuido sobresitios Web o a equipos conectados a Internet. Amenazas humanas Al hablar deamenazas,no se debe omitir que el factor humano es la principal fuente de éstas ya que existen en los sistemas de información y comunicación,en éste tipo de amenaza en el que se invierten más recursos para controlarlos y contrarrestar susefectos.De aquí la famosa frasedeque “el eslabón más débil en la seguridad informática es el humano”. Este tipo de amenazas pueden ser muy diversas,sin embargo,las más comunes se describen a continuación:
- 31. Ingeniería social:Secompone de todas aquellas estrategiasy acciones a fin deobtener información confidencial mediantela manipulación delos custodios dela información,para queéstos la proporcionen de forma voluntaria.Esta amenaza se aprovecha de la debilidad natural delas personas que tienden a confiar en la palabradeotras. Sabotaje: Es común que éstas acciones sean realizadas por personal dela propia organización,ya sea por un despido o inconformidad laboral o bien por un competidor directo de la organización. Las acciones van dirigidasa dañar físicamente o lógicamente los equipos informáticoscríticosy causar así,una interrupción del servicio. Fraude: Estas acciones seaprovechan de los privilegios y permisos quele permiten a una persona malintencionada obtener un beneficio propio,ajeno al objetivo de la organización a través del acceso a información y programas restringidos. Robo: Son las actividades enfocadasa la extracción física o lógicadeinformación medianteel empleo de dispositivosdealmacenamiento o uso de cuentas de correo electrónico. Intrusos remunerados:se trata de personas con un grado elevado de conocimientos de Pen-testing, los cuales son contratados paraidentificarlasvulnerabilidades del a seguridad delos sistemas de información deuna organización y realizar actividades malintencionadas como el copiado,borrado, modificación y creación deinformación. Curiosos:Se trata de personas que vulneran la seguridad desistemas,de los cuales no están autorizados para ingresar.Esto lo hacen por simpledesafío a sus conocimientos y habilidades informáticas o por el deseo de conocer la información queresguardan los sistemas. Amenazas de hardware Aunado a las amenazas antes mencionadas,también existen las amenazas inherentes a fallasfísicasque pueden ocurrir en alguno de los componentes que constituyen un equipo informático.De este tipo se mencionan las siguientes: De fabricación:Ocurrecuando los componentes del hardware no son compatibles ni cumplen con los requerimientos para su correcto funcionamiento,por ejemplo, si seadquiere un módulo de memoria RAM y está dañado,al colocarseen el equipo podría causar un daño físico irreversibleen la tarjeta madre del sistema. Suministro de energía: las variaciones devoltajey no tener una conexión trifásica correctamente aterrizada,podría provocar daños en los dispositivoselectrónicos.También al tener un voltajede abastecimiento por debajo del requerido podría provocar daños a los circuitos deforma permanente. Uso o desgaste: todos los componentes de un equipo de cómputo tienen una vida útil,si no se implementan mantenimientos preventivos al hardware,la disponibilidad dela información se
- 32. podría ver afectada, por ejemplo, si la fuente de alimentación sedañara o si el disco duro sufriera un daño físico,el usuario severía imposibilitado paraacceder a la información contenida en el equipo. ¿Qué es una vulnerabilidad? Situación que provoca que una amenaza pueda producirse. Una vulnerabilidad se refiere a la debilidad existente en un sistema informático que permite que una entidad comprometa la confidencialidad, la integridad y la disponibilidad de los sistemas e información que procesan y almacenan. Al hablar de vulnerabilidad es importante no perder de vista el concepto de riesgo, el cual representa la probabilidad deque una amenaza sematerialicesobreun activo,explotando algún tipo vulnerabilidad.En un sistema informático sedeben proteger los activos,es decir,todos aquellosrecursosqueconforman al sistema y se agrupan en activos de: hardware, software y datos. De los cuales,el más crítico de todos son los datos, los demás tienen una mayor probabilidad de restablecerse. Por ejemplo, imaginemos que en una Organización existepoca concienciación en seguridad dela información, esto (la vulnerabilidad) ocasionaráqueexista más probabilidad dequealguno de sus empleados sedescargue un correo electrónico con un troyano o un virus (amenaza). Lo recomendable suele ser identi ficar amenazas/vulnerabilidades por tipo de activo, lo cual nos ahorrará mucho trabajo, ya que todos los activos que estén bajo el paraguas de una misma categoría podrán compartir amenazas/vulnerabilidades. No obstante hay que hacer un análisis por cada activo y comprobar si las amenazas/vulnerabilidades que le corresponden por su categoría son adecuadas. Casi todas las metodologías de gestión de riesgos,o al menos las más importantes, incluyen un catálogo de amenazas de donde se pueden seleccionar las que apliquen a cada activo. Tipos de vulnerabilidades A continuación se muestra la clasificación general de vulnerabilidades que contempla seis categorías. Física: Se relaciona con la posibilidad de acceso físico al área en donde se ubica el sistema. Las vulnerabilidades de este tipo son explotadas por falta o deficiencias en las políticas de acceso de personal no autorizado a áreas físicas restringidas. Natural: Se refieren a las deficiencias para enfrentar desastres naturales relacionados con la humedad, polvo,agentes contaminantes, sismos,terremotos, inundaciones,incendios,etcétera. Las cuales se pueden ver reflejadas por ejemplo, en la falta de extintores de fuego, no-breaks, mal sistema de ventilación, entre otros. De hardware:Este tipo de vulnerabilidades serelacionan con losdefectos,fallasdefabricación,la no verificación de las especificaciones técnicas, falta de mantenimiento.
- 33. De software: Se relaciona con las fallas y debilidades que hacen posible el acceso indebido a los sistemas y en consecuencia a la información que éstos almacenan. Ejemplos: configuración e instalación indebidadeprogramas,protocolos decomunicación carentes deseguridad,mal diseño y programación de una aplicación, etcétera. De red: Al conectar un equipo a una red de datos seincrementa el riesgo de que sea comprometido, pues la cantidad de personas que pudieran interactuar con el sistema es mayor, sin olvidar el riesgo de que la información transmitida pueda ser interceptada por un ente no autorizado. Humana: Esta vulnerabilidad sesustenta en el hecho de que el factor humano es el eslabón más débil de la seguridad y se ve reflejado en el daño que las personas pueden causar a la información y a los sistemas que la almacenan.Por ejemplo, las personas por su propia naturaleza son vulnerables a la ingeniería social, ingeniería social inversa, lo anterior aunado a la falta de capacitación, cansancio, aumentan el riesgo de explotación de esta vulnerabilidad. Existe una clasificación más general de las vulnerabilidades la cual se menciona a continuación. De diseño: Se presenta en el diseño de protocolos de red o comunicaciones, o bien en políticas de seguridad deficientes que fueron diseñadas para proteger los activos de la organización. De implementación: Se presenta cuando existen errores de programación en las aplicaciones, por carencia o deficientes pruebas de “caja negra” y “caja blanca” en la fase de desarrollo y fase de pruebas. De uso:Mala configuración asociadaa la interacción quetienen las aplicaciones y sistemas operativos con el usuario. Así mismo las vulnerabilidades sepueden clasificar en lassiguientes dos categorías,esto en relación al tiempo de detección, características y posibles soluciones de la vulnerabilidad. Vulnerabilidad conocida: son vulnerabilidades que se presentan en las aplicaciones y sistemas operativos de forma cotidiana debido a la naturaleza de su programación y funcionamiento. Su afectación en los sistemas está ampliamente documentada y existe más de una solución. Vulnerabilidad de día cero: son todas aquellas vulnerabilidades que no tienen una forma de mitigación o erradicación conocida, pero sí se sabe cómo materializar una amenaza sobre ellas. Existen sitios en Internet que se dedican a registrar y documentar las vulnerabilidades asociadasa versiones y variantes de sistemas operativos,así como de las aplicaciones que interactúan con los mismos.Estos sitios son útiles para identificarlasvulnerabilidades asociadasa dicho software,así como las acciones quesepueden implementar para erradicar dicha vulnerabilidad de los sistemas.
- 34. NIST (National Instituteof Standards and Technology –Instituto Nacional deEstándares y Tecnología, http://web.nvd.nist.gov/) OSVDB (Open Source Vulnerability Database – Base de Datos Abierta e Independiente de Vulnerabilidades, http://www.osvdb.org/) CVE (Common Vulnerabilities and Exposures – Vulnerabilidades y Exposiciones Comunes, http://cve.mitre.org/) SecurityFocus (http://www.securityfocus.com) 3. Cálculo del nivel de riesgo El cálculo del nivel de riesgo se realiza de manera distinta dependiendo de la metodología que se considere, ya que cada una utiliza una fórmuladecálculo distinta(probablemente esto sea lo que haga más distinta unas metodologías de otras). No obstante aquí veremos una fórmula sencilla y rápida de entender, basada en 2 parámetros fundamentales en gestión de riesgos: Probabilidad de que una amenaza se materialice. Impacto en la Organización resultante de la materialización de una amenaza. En algunos casos también se considerará la valoración del activo (basada en las 3 dimensiones: Confidencialidad, Integridad y Disponibilidad).Tanto el Impacto como la Probabilidad se pueden medir en valores porcentuales, lo cual nos resultará más sencillo a la hora de calcular el nivel de riesgo. Impacto: Por ejemplo 0% si la amenaza no produce ningún daño, 50% si el daño es considerable y 100% si el daño es muy crítico para la Organización.
- 35. Probabilidad:Por ejemplo 0% si la probabilidad deque la amenaza se materialicees muy baja,50% si la probabilidad es considerable y 100% si la probabilidad es muy alta. Al final, obtendremos un valor numérico para el riesgo, el cual representará lo siguiente: Probabilidad de que una amenaza se materialice e impacto en la Organización en caso de que se materialice. El siguientepaso será determinar si este nivel de riesgo es aceptablepara la Organización,es decir,si el nivel de riesgo detectado está por encima del nivel de riesgo aceptable. ¿Qué es el nivel de riesgo aceptable? Es el nivel de riesgo que establecela Organización como permitido,es decir,si el nivel deriesgo aceptablepor ejemplo es medio, únicamente supondrá un peligro para la Organización aquellos riesgos que estén por encima: Alto. Por tanto, si el nivel de riesgo está por encima del aceptable, tendremos que hacer un tratamiento del mismo con el objetivo de reducirlo (a un nivel aceptable) 4. Establecimiento de controles Para aquellos riesgos que superen el nivel aceptable tendremos que aplicar controles. Para hacer esta implantación de controles de manera ordenada, estructurada y plani ficada, estableceremos un Plan de Tratamiento.El definir un Plan para la implantación delos controles también es fundamental,ya que existirán muchos e implantarlostodos puede convertirseen un verdadero caos si no existe un orden, una estructura y una planificación.El Plan de Tratamiento de Riesgos tiene que contener una serie de información básica: Responsable del control: Persona que se responsabiliza de la correcta implantación del control Recursos:Personas,técnicos,empresas externas o materiales que se utilizarán para la implantación del control Acciones a llevar a cabo: Acciones que serán necesarias para la implantación del control Prioridad:Todos los controles no tienen la misma prioridad,ya que por una parte el nivel de riesgo no será el mismo, ni tampoco el valor de cada activo para la Organización. Por tanto es necesario establecer prioridades.Esta prioridad puedevenir determinada por la fecha de implantación decada control. Después de implantar todos los controles de seguridad, tenemos que calcular el riesgo residual. ¿Qué es el riesgo residual? Es el riesgo que sigue quedando después de implantar los controles de seguridad.
- 36. Cuando implantamos los controles reducimos el riesgo, pero este no dejará de existir, siempre quedará un nivel, aunque sea mínimo. ¿Qué ocurre si el nivel de riesgo, reducido por la implantación de los controles de seguridad, sigue estando por encima del nivel de riesgo aceptable? Tendremos que tomar una decisión en cuanto al tratamiento, y deberá quedar formalmente establecido en nuestra metodología de análisis y tratamiento de riesgos. Esta decisión se puede resumir en las siguientes posibilidades: Asumir el riesgo: La Organización conoce el riesgo y no puede establecer más recursos de los ya establecidos para reducirlo. Transferirlo a otra parte: Una compañía de seguros, una compañía externa, etc.