¿Qué es ISO?
ISO es el acrónimo de International Organization for
Standardization. Aunque si se observan las iniciales para el
acrónimo, el nombre debería ser IOS, los fundadores
decidieron que fuera ISO, derivado del griego "isos",
que significa "igual". Por lo tanto, en cualquier país o
en cualquier idioma, el nombre de la institución es ISO, y
no cambia de acuerdo a la traducción de "International Organization
for Standardization" que corresponda a cada idioma. Se trata de
la
organización desarrolladora y publicadora de
Estándares Internacionales más grande en el mundo.
ISO es una red de
instituciones
de estándares nacionales de 157 países, donde hay
un miembro por país, con una Secretaría Central en
Geneva, Suiza, que es la que coordina el sistema.
ISO es una organización no gubernamental que forma un
puente entre los sectores públicos y privados.
Respecto al origen de la organización ISO, oficialmente
comenzó sus operaciones el 23
de febrero de 1947 en Geneva, Suiza. Nació con el objetivo de
"facilitar la coordinación internacional y la
unificación de los estándares industriales."
¿Qué es IEC?
IEC es el acrónimo de International Electrotechnical
Commission. Esta es una organización sin fines de lucro y
también no gubernamental. Se ocupa de preparar y publicar
estándares internacionales para todas las
tecnologías eléctricas o relacionadas a la electrónica.
IEC nace en 1906 en London, Reino Unido, y desde entonces ha
estado
proporcionando estándares globales a las industrias
electrotécnicas mundiales. Aunque como se acaba de decir,
IEC nació en el Reino Unido, en el año de 1948
movieron su sede a Geneva, Suiza, ciudad en la que también
se encuentra la sede de ISO.
ISO/IEC JTC1
ISO e IEC han establecido un comité técnico
conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical
Committee). Este comité trata con todos los asuntos de
tecnología
de la información. La mayoría del trabajo de
ISO/IEC JTC1 es hecho por subcomités que tratan con un
campo o área en particular. Específicamente el
subcomité SC 27 es el que se encarga de las técnicas
de seguridad de las
tecnologías de información. Dicho subcomité ha
venido desarrollando una familia de
Estándares Internacionales para el Sistema Gestión
y Seguridad de la Información. La familia
incluye Estándares Internacionales sobre requerimientos,
gestión de
riesgos, métrica y medición, y el lineamiento de
implementación del sistema de gestión de seguridad
de la información. Esta familia adoptó el esquema
de numeración utilizando las series del número
27000 en secuencia, por lo que a partir de julio de 2007, las
nuevas ediciones del ISO/IEC 17799 se encuentran bajo el esquema
de numeración con el nombre ISO/IEC 27002.
Seguridad de la
información
Debido a que la información es un activo no menos
importante que otros activos
comerciales, es esencial para cualquier negocio u
organización contar con las medidas adecuadas de
protección de la información, especialmente en la
actualidad, donde la información se difunde a
través de miles y miles de redes interconectadas. Esto
multiplica la cantidad de amenazas y vulnerabilidades a las que
queda expuesta la información.
La información puede existir en muchas formas, por
ejemplo puede estar impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo o utilizando
medios
electrónicos, hablada en una conversación, etc.
Sea cual sea la forma en la que se tenga la información,
debe estar en todo caso protegida.
La seguridad de la información se logra implementando
un conjunto adecuado de controles, políticas,
procesos,
procedimientos, estructuras
organizacionales, y otras acciones que
hagan que la información pueda ser accedida sólo
por aquellas personas que están debidamente autorizadas
para hacerlo.
Es importante y necesario para las empresas realizar
una evaluación
de riesgos para
identificar amenazas para los activos, así como
también para conocer y analizar la vulnerabilidad y la
probabilidad
de ocurrencia de accesos, robo o alteración de la
información, y el impacto potencial que esto
llegaría a tener. Una vez se hayan identificado los
riesgos, se procede a seleccionar controles apropiados a
implementar para asegurar que los riesgos se reduzcan a un nivel
aceptable.
Vulnerabilidad
Es una debilidad o agujero en la seguridad de la
información, que se puede dar por causas como las
siguientes, entre muchas otras:
Falta de mantenimiento
Personal sin los conocimientos adecuados o
necesariosDesactualización de los sistemas
críticos
Amenaza
Es una declaración intencionada de hacer un daño,
como por ejemplo mediante un virus, un acceso
no autorizado o robo. Pero no se debe pensar que
únicamente personas pueden ser los causantes de estos
daños, pues existen otros factores como los eventos
naturales, que son capaces de desencadenar daños materiales o
pérdidas inmateriales en los activos, y son también
consideradas como amenazas.
Ataque
Es una acción
intencional e injustificada (desde el punto de vista del
atacado). Consiste en un intento por romper la seguridad de un
sistema o de un componente del sistema.
Riesgo
Es una potencial explotación de una vulnerabilidad de
un activo de información por una amenaza. Se valora como
una función
del impacto, amenaza, vulnerabilidad y de la probabilidad de
un ataque exitoso.
Atacante
Es alguien que deliberadamente intenta hacer que un sistema de
seguridad falle, encontrando y explotando una vulnerabilidad.
Los atacantes pueden ser internos (que pertenecen a la
organización) o externos (que no pertenecen a la
organización). Respecto a los atacantes internos, son
difíciles de detener porque la organización
está en muchas maneras forzada a confiar en ellos. Estos
conocen cómo trabaja el sistema y cuáles son sus
debilidades. Quizás el error más común de
seguridad es gastar considerables recursos
combatiendo a los atacantes externos, ignorando las amenazas
internas.
Estándar
Internacional ISO/IEC 27002 (antiguamente ISO/IEC
17799)
Luego de haber definido algunos conceptos y conocimientos
preliminares y de hablar de manera general sobre la
organización ISO y el comité IEC, es momento de
entrar en detalle y profundizar específicamente en el tema
concerniente a esta investigación: el Estándar
Internacional ISO/IEC 27002).
El documento del Estándar Internacional ISO/IEC 27002,
después de la introducción, se divide en quince
capítulos. En este documento se presentará un
resumen y análisis de cada uno de los quince
capítulos, de manera breve, pues el objetivo no es plasmar
nuevamente lo que ya se encuentra en el documento original, sino
que resaltar las ideas básicas de forma muy resumida y con
un análisis propio sobre cada tema del cual se habla en
éste importante Estándar Internacional para la
seguridad en las tecnologías de información.
2.1. Alcance
Este Estándar Internacional va orientado a la seguridad
de la información en las empresas u organizaciones,
de modo que las probabilidades de ser afectados por robo,
daño o pérdida de información se minimicen
al máximo.
2.2. Términos y definiciones
En este apartado se habla de un conjunto de términos y
definiciones que se presentan al final de este documento, en el
Glosario, que son
las definiciones de:
Activo
Control
Lineamiento
Medios de procesamiento de la información
Seguridad de la información
Evento de seguridad de la información
Incidente de seguridad de la información
Política
Riesgo
Análisis de riesgo
Evaluación del riesgo
Gestión del riesgo
Tratamiento del riesgo
Tercera persona
Amenaza
Vulnerabilidad
2.3. Estructura de
este Estándar
Este Estándar contiene un número de
categorías de seguridad principales, entre las cuales se
tienen once cláusulas:
a) Política de seguridad.
b) Aspectos organizativos de la seguridad de la
información.c) Gestión de activos.
d) Seguridad ligada a los recursos humanos.
e) Seguridad física y ambiental.
f) Gestión de comunicaciones y
operaciones.g) Control de acceso.
h) Adquisición, desarrollo y mantenimiento de
los sistemas de información.i) Gestión de incidentes en la seguridad de la
información.j) Gestión de la continuidad del negocio.
k) Cumplimiento.
2.4. Evaluación de los riesgos de
seguridad
Se deben identificar, cuantificar y priorizar los riesgos de
seguridad. Posterior a ello se debe dar un tratamiento a cada uno
de los riesgos, aplicando medidas adecuadas de control para
reducir la probabilidad de que ocurran consecuencias negativas al
no tener una buena seguridad.
La reducción de riesgos no puede ser un proceso
arbitrario y regido por la voluntad de los dueños o
administradores de la empresa, sino
que además de seguir medidas adecuadas y eficientes, se
deben tener en cuenta los requerimientos y restricciones de la
legislación y las regulaciones nacionales e
internacionales, objetivos
organizacionales, bienestar de clientes y
trabajadores, costos de
implementación y operación (pues existen medidas de
seguridad de gran calidad pero
excesivamente caras, tanto que es más cara la seguridad
que la propia ganancia de una empresa,
afectando la rentabilidad).
Se debe saber que ningún conjunto de controles puede
lograr la seguridad completa, pero que sí es posible
reducir al máximo los riesgos que amenacen con afectar la
seguridad en una organización.
2.5. Política de
seguridad
Su objetivo es proporcionar a la gerencia la
dirección y soporte para la seguridad de la
información, en concordancia con los requerimientos
comerciales y las leyes y
regulaciones relevantes. Esto por supuesto debe ser creado de
forma particular por cada organización. Se debe redactar
un "Documento de la política de seguridad de la
información." Este documento debe ser primeramente
aprobado por la gerencia y luego publicado y comunicado a todos
los empleados y las partes externas relevantes.
El Documento de la Política de Seguridad de la
Información debe contar con un claro lineamiento de
implementación, y debe contener partes tales como una
definición de seguridad de la información, sus
objetivos y alcances generales, importancia, intención de
la gerencia en cuanto al tema de seguridad de la
información, estructuras de evaluación y
gestión de riesgos, explicación de las
políticas o principios de la
organización, definición de las responsabilidades
individuales en cuanto a la seguridad, etc. Se debe tener
especial cuidado respecto a la confidencialidad de este
documento, pues si se distribuye fuera de la organización,
no debería divulgar información confidencial que
afecte de alguna manera a la organización o a personas
específicas (por ejemplo que afecte la intimidad de
alguien al divulgar sus datos personales,
etc.)
Las políticas de seguridad de la información no
pueden quedar estáticas para siempre, sino que por el
contrario, tienen que ser continuamente revisadas y actualizadas
para que se mantengan en condiciones favorables y en concordancia
con los cambios tecnológicos o cualquier tipo de cambio
que se dé. Por ejemplo, si aparece un nuevo virus o
nuevas
tecnologías que representen riesgos, las
políticas de seguridad podrían cambiar o ser
mejoradas de acuerdo a las necesidades actuales. Un caso
práctico sería el aparecimiento de las memorias
USB.
Antiguamente esa tecnología no
existía, entonces no se esperaba que existieran robos de
información a través de puertos USB. Ahora las
memorias USB son de uso global y por lo tanto, las
políticas de seguridad deberían considerar bloquear
puertos USB o algo por el estilo, para no permitir que se
extraiga información de esa manera de forma ilícita
o por personas no autorizadas.
Otro problema sería tener excelentes políticas
de seguridad, pero que no sean implementadas correctamente o que
simplemente se queden a nivel teórico y que no se
apliquen. En la vida real se suelen dar casos donde las leyes
están muy bien redactadas, pero que no se cumplen. Sucede
en muchos países, que la legislación puede estar
estructurada muy bien, pero que no se respeta. Igualmente
podría darse que se tengan excelentes políticas,
pero que no se cumplan o que no se sepan implementar
correctamente. Por lo tanto, se requieren lineamientos de
implementación adecuados.
2.6. Aspectos organizativos de la seguridad
de la información
La organización de la seguridad de la
información se puede dar de dos formas:
organización interna y organización
con respecto a terceros.
En cuanto a la organización interna, se tiene como
objetivo manejar la seguridad de la información dentro de
la organización.
Se requiere un compromiso por parte de la gerencia para apoyar
activamente la seguridad dentro de la organización. La
gerencia debe invertir en seguridad, y no verlo como un aspecto
que no tiene relevancia. Algunas veces la seguridad requiere
inversión económica, y parte del
compromiso de la gerencia implica tener un presupuesto
especial para seguridad, por supuesto de una forma razonable que
no afecte la rentabilidad de la empresa. Por
ejemplo, implementar un método
carísimo de seguridad podría ser de gran beneficio,
pero representar un costo demasiado
elevado.
Es fundamental también asignar
responsabilidades. Es típica una tendencia humana el
echarle la culpa a otros. Entonces cuando la seguridad es
atacada, casi siempre las personas dentro de la
organización tratan de buscar un culpable y quedar libres
de todo cargo. Por esa razón se deben asignar claramente
responsabilidades para que cuando se den los problemas,
cada quien responda por sus actos y por lo que estaba bajo su
cargo. La asignación de responsabilidades no solamente
tiene que ser verbal, sino que escrita y en muchas ocasiones,
incluso bajo un contrato
legal.
Deben también existir acuerdos de confidencialidad.
También se debe tener en cuenta mantener los contactos
apropiados con las autoridades relevantes, por ejemplo con la
policía, departamento de bomberos, etc. También se
debe saber en qué casos se debe contactar a estas
instituciones. También se deben mantener contactos
apropiados con grupos de
interés
especial u otros foros de seguridad especializados y asociaciones
profesionales, así como contar con capacitaciones en
materia de
seguridad.
La organización en materia de seguridad de la
información debe también considerarse respecto a
terceros. El objetivo de esto es mantener la seguridad de la
información y los medios de
procesamiento de información de la organización que
son ingresados, procesados, comunicados a, o manejados por,
grupos externos. Para ello se debe comenzar por la
identificación de los riesgos relacionados con los grupos
externos. Se debe estudiar cómo a raíz de procesos
comerciales que involucran a grupos externos se les puede estar
otorgando acceso que afecte la seguridad. Esto se puede dar tanto
con clientes o con proveedores.
Se debe tener especial cuidado respecto a los contratos que se
hagan con terceros, para no afectar la seguridad de la
información.
2.7. Gestión de activos
Se deben asignar responsabilidades por cada uno de los activos
de la organización, así como poseer un inventario
actualizado de todos los activos que se tienen, a quien/quienes
les pertenecen, el uso que se les debe dar, y la
clasificación de todos los activos. Para esto el
departamento de contabilidad
tendrá que hacer un buen trabajo en cuanto a esta
clasificación y desglose de activos, y el departamento de
leyes de la empresa también tendrá que ser muy
metódico en estos procesos, ya que los activos son todos
los bienes y
recursos que posee una empresa, incluyendo bienes muebles e
inmuebles, dinero, etc.
Por lo tanto este es un asunto delicado y de gran
importancia.
2.8. Seguridad ligada a los recursos
humanos
El objetivo de esto es asegurar que los empleados,
contratistas y terceros entiendan sus responsabilidades, y sean
idóneos para los roles para los cuales son considerados,
reduciendo el riesgo de robo,
fraude y mal uso
de los medios. Es necesario definir claramente los roles y
responsabilidades de cada empleado. Todo esto no debe ser
simplemente mediante acuerdos verbales, sino que se debe plasmar
en el contrato de
trabajo. También deben existir capacitaciones
periódicas para concientizar y proporcionar
formación y procesos disciplinarios relacionados a la
seguridad y responsabilidad de los recursos
humanos en este ámbito.
También se deben especificar las responsabilidades
cuando se da el cese del empleo o
cambio de
puesto de trabajo, para que la persona no se
vaya simplemente y deje a la organización afectada de
alguna manera en materia de seguridad.
2.9. Seguridad física y
ambiental
La seguridad física y ambiental se divide en
áreas seguras y seguridad de los
equipos. Respecto a las áreas seguras, se refiere a
un perímetro de seguridad física que cuente con
barreras o límites
tales como paredes, rejas de entrada controladas por tarjetas o
recepcionistas, y medidas de esa naturaleza
para proteger las áreas que contienen información y
medios de procesamiento de información.
Se debe también contar con controles físicos de
entrada, tales como puertas con llave, etc. Además de eso,
es necesario considerar la seguridad física con respecto a
amenazas externas y de origen ambiental, como incendios
(para los cuales deben haber extintores adecuados y en los
lugares convenientes), terremotos,
huracanes, inundaciones, atentados terroristas, etc. Deben
también haber áreas de acceso público de
carga y descarga, parqueos, áreas de visita, entre otros.
Si hay gradas, deben ser seguras y con las medidas respectivas
como antideslizantes y barras de apoyo sobre la pared para
sujetarse.
En cuanto a la seguridad ambiental, se debe controlar la
temperatura
adecuada para los equipos, seguridad del cableado, mantenimiento
de equipos, etc. Para todo esto se requerirá de los
servicios de
técnicos o ingenieros especializados en el cuidado y
mantenimiento de cada uno de los equipos, así como en la
inmediata reparación de los mismos cuando sea necesario.
La ubicación de los equipos también debe ser
adecuada y de tal manera que evite riesgos. Por ejemplo si
algún equipo se debe estar trasladando con frecuencia,
quizá sea mejor dejarlo en la primera planta, en vez de
dejarlo en la última planta de un edificio, pues el
traslado podría aumentar los riesgos de que se caiga y
dañe, especialmente si no se cuenta con un ascensor. Se
debe igualmente verificar y controlar el tiempo de vida
útil de los equipos para que trabajen en condiciones
óptimas.
2.10. Gestión de comunicaciones
y operaciones
El objetivo de esto es asegurar la operación correcta y
segura de los medios de procesamiento de la
información.
En primer lugar, es necesario que los procedimientos de
operación estén bien documentados, pues no basta
con tener las ideas en la mente de los administradores, sino que
se deben plasmar en documentos que
por supuesto estén autorizados por la gerencia.
Otro aspecto fundamental es la gestión de cambios. Un
cambio relevante no se debe hacer jamás sin documentarlo,
además de la necesidad de hacerlo bajo la
autorización pertinente y luego de un estudio y
análisis de los beneficios que traerá dicho
cambio.
Se debe tener cuidado que nadie pueda tener acceso, modificar
o utilizar los activos sin autorización o
detección. Para ello debe haber una bitácora de
accesos, con las respectivas horas y tiempos de acceso, etc.
Es completamente necesario tener un nivel de separación
entre los ambientes de desarrollo, de
prueba y de operación, para evitar problemas
operacionales.
Si la organización se dedica a vender servicios, debe
implementar y mantener el nivel apropiado de seguridad de la
información y la entrega del servicio en
línea con los acuerdos de entrega de servicios de
terceros.
A la hora de aceptar un nuevo sistema, se debe tener especial
cuidado, verificando primeramente las capacidades y contando con
evaluadores capacitados para determinar la calidad o falta de
calidad de un sistema nuevo a implementar. Se tienen que
establecer criterios de aceptación de los sistemas de
información, actualizaciones o versiones nuevas, y se
deben realizar pruebas
adecuadas a los sistemas durante
su desarrollo y antes de su aceptación.
La protección contra el código
malicioso y descargable debe servir para proteger la integridad
del software y la
integración con los sistemas y
tecnologías con que ya se cuenta. Se deben también
tener controles de detección, prevención y
recuperación para proteger contra códigos
maliciosos, por ejemplo antivirus
actualizados y respaldos de información. De hecho, los
respaldos de información son vitales y deben realizarse
con una frecuencia razonable, pues de lo contrario, pueden
existir pérdidas de información de gran impacto
negativo.
En cuanto a las redes, es necesario asegurar la
protección de la información que se transmite y la
protección de la infraestructura de soporte. Los servicios
de red tienen que
ser igualmente seguros,
especialmente considerando cómo la tendencia de los
últimos años se encamina cada vez más a
basar todas las tecnologías de la información a
ambientes en red para transmitir y compartir la
información efectivamente. Los sistemas tienen que estar
muy bien documentados, detalle a detalle, incluyendo por supuesto
la arquitectura
de red con la que se cuenta.
Se tienen que establecer políticas, procedimientos y
controles de intercambio formales para proteger el intercambio de
información a través del uso de todos los tipos de
medios de
comunicación. Además de las medidas directas
para proteger el adecuado intercambio de información, se
le debe recordar al personal el tomar
las precauciones adecuadas, como no revelar información
confidencial al realizar una llamada telefónica para
evitar ser escuchado o interceptado por personas alrededor suyo,
intervención de teléfonos, personas en el otro lado
de la línea (en el lado del receptor), etc. Igualmente
para los mensajes electrónicos se deben tomar medidas
adecuadas, para evitar así cualquier tipo de problema que
afecte la seguridad de la información.
Cuando se haga uso del comercio
electrónico, debe haber una eficiente protección
cuando se pasa a través de redes públicas, para
protegerse de la actividad fraudulenta, divulgación no
autorizada, modificación, entro otros.
Debe haber un continuo monitoreo para detectar actividades de
procesamiento de información no autorizadas. Las auditorías son también
necesarias.
Las fallas deben ser inmediatamente corregidas, pero
también registradas y analizadas para que sirvan en la
toma de
decisiones y para realizar acciones necesarias.
Los relojes de todos los sistemas de procesamiento de
información relevantes dentro de una organización o
dominio de
seguridad deben estar sincronizados con una fuente que
proporcione la hora exacta acordada. Asimismo, todo acceso a la
información debe ser controlado.
2.11. Control de acceso
En primer lugar, se debe contar con una política de
control de acceso. Todo acceso no autorizado debe ser evitado y
se deben minimizar al máximo las probabilidades de que eso
suceda. Todo esto se controla mediante registro de
usuarios, gestión de privilegios, autenticación
mediante usuarios y contraseñas, etc.
Aparte de la autenticación correspondiente, los
usuarios deben asegurar que el equipo desatendido tenga la
protección apropiada, como por ejemplo la
activación automática de un protector de pantalla
después de cierto tiempo de inactividad, el cual
permanezca impidiendo el acceso hasta que se introduzca una
contraseña conocida por quien estaba autorizado para
utilizar la máquina desatendida.
Son necesarios controles de acceso a la red, al sistema
operativo, a las aplicaciones y a la información. Para
todo esto deben existir registros y
bitácoras de acceso.
Deben también existir políticas que contemplen
adecuadamente aspectos de comunicación móvil, redes
inalámbricas, control de acceso a ordenadores
portátiles, y teletrabajo,
en caso que los empleados de la empresa ejecuten su trabajo fuera
de las instalaciones de la organización.
2.12. Adquisición, desarrollo y
mantenimiento de los sistemas de información
Contemplar aspectos de seguridad es requerido al adquirir
equipos y sistemas, o al desarrollarlos. No solamente se debe
considerar la calidad y el precio, sino
que la seguridad que ofrecen.
Debe existir una validación adecuada de los datos de
entrada y de salida, controlando el procesamiento interno en las
aplicaciones, y la integridad de los mensajes.
La gestión de claves debe ser tal que ofrezca soporte
al uso de técnicas criptográficas en la
organización, utilizando técnicas seguras.
Garantizar la seguridad de los archivos del
sistema es fundamental, por lo que se debe controlar el acceso a
los archivos del sistema y el código fuente del programa, y los
proyectos de
tecnologías de información y las actividades de
soporte se deben realizar de manera segura.
Deben establecerse procedimientos para el control de la
instalación del software en los sistemas operacionales.
Con esto por ejemplo se evita el riesgo de realizar instalaciones
ilegales o sin las respectivas licencias.
Se debe restringir el acceso al código fuente para
evitar robos, alteraciones, o la aplicación de ingeniería inversa por parte de personas no
autorizadas, o para evitar en general cualquier tipo de
daño a la propiedad de
código fuente con que se cuente.
La seguridad en los procesos de desarrollo y soporte debe
considerar procedimientos de control de cambios, revisiones
técnicas de aplicaciones tras efectuar cambios en el
sistema operativo y también restricciones a los cambios en
los paquetes de software. No se tiene que permitir la fuga ni la
filtración de información no requerida.
Contar con un control de las vulnerabilidades técnicas
ayudará a tratar los riesgos de una mejor manera.
2.13. Gestión de incidentes en la
seguridad de la información
La comunicación es fundamental en todo proceso. Por lo
tanto, se debe trabajar con reportes de los eventos y debilidades
de la seguridad de la información, asegurando una
comunicación tal que permita que se realice una
acción correctiva oportuna, llevando la información
a través de los canales gerenciales apropiados lo
más rápidamente posible. De la misma manera se debe
contar con reportes de las debilidades en la seguridad,
requiriendo que todos los empleados, contratistas y terceros de
los sistemas y servicios de información tomen nota de y
reporten cualquier debilidad de seguridad observada o sospechada
en el sistema o los servicios.
Asegurar que se aplique un enfoque consistente y efectivo a la
gestión de los incidentes en la seguridad de la
información es elemental.
Aprender de los errores es sabio. Por ello, se deben
establecer mecanismos para permitir cuantificar y monitorear los
tipos, volúmenes y costos de los incidentes en la
seguridad de la información, siempre con la idea de no
volver a cometer los errores que ya se cometieron, y mejor
aún, aprender de los errores que ya otros cometieron.
A la hora de recolectar evidencia, cuando una acción de
seguimiento contra una persona u organización
después de un incidente en la seguridad de la
información involucra una acción legal (ya sea
civil o criminal); se debe recolectar, mantener y presentar
evidencia para cumplir con las reglas de evidencia establecidas
en la(s) jurisdicción(es) relevante(s).
2.14. Gestión de la continuidad del
negocio
Las consecuencias de los desastres, fallas en la seguridad,
pérdida del servicio y la disponibilidad del servicio
debieran estar sujetas a un análisis del impacto
comercial. Se deben desarrollar e implementar planes para la
continuidad del negocio para asegurar la reanudación
oportuna de las operaciones esenciales. La seguridad de la
información debiera ser una parte integral del proceso
general de continuidad del negocio, y otros procesos gerenciales
dentro de la organización.
Se debe contar con planes de continuidad del negocio que
incluyan la seguridad de la información. Estos planes no
deben ser estáticos, sino que deben ser actualizados y ser
sometidos a pruebas, mantenimiento y reevaluación.
Junto a la gestión de riesgos, debe aparecer la
identificación de eventos que pueden causar interrupciones
a los procesos comerciales, junto con la probabilidad y el
impacto de dichas interrupciones y sus consecuencias para la
seguridad de la información. Por supuesto se requieren
planes alternativos y de acción ante tales eventos,
asegurando siempre la protección e integridad de la
información y tratando de poner el negocio en su estado de
operación normal a la mayor brevedad posible.
2.15. Cumplimiento
Es una prioridad el buen cumplimiento de los requisitos
legales para evitar las violaciones a cualquier ley;
regulación estatutaria, reguladora o contractual; y
cualquier requerimiento de seguridad. La identificación de
la legislación aplicable debe estar bien definida.
Se deben definir explícitamente, documentar y
actualizar todos los requerimientos legales para cada sistema de
información y para la organización en
general.
Es necesario implementar los procedimientos apropiados para
asegurar el cumplimiento de los requerimientos legislativos,
reguladores y contractuales sobre el uso del material con
respecto a los cuales puedan existir derechos de propiedad
intelectual y sobre el uso de productos de
software patentado.
El cumplimiento de los requisitos legales se aplica
también a la protección de los documentos de la
organización, protección de datos y privacidad de
la información personal, prevención del uso
indebido de los recursos de tratamiento de la información,
y a regulaciones de los controles criptográficos.
Los sistemas de información deben estar bajo monitoreo
y deben chequearse regularmente para ver y garantizar el
cumplimiento de los estándares de implementación de
la seguridad.
En cuanto a las auditorías de los sistemas de
información, se tiene que maximizar la efectividad de y
minimizar la interferencia desde/hacia el proceso de auditoría del sistema de
información. Durante las auditorías de los sistemas
de información deben existir controles para salvaguardar
los sistemas operacionales y herramientas
de auditoría. También se requiere protección
para salvaguardar la integridad y evitar el mal uso de las
herramientas de auditoría.
Las actividades y requerimientos de auditoría que
involucran chequeos de los sistemas operacionales deben ser
planeados y acordados cuidadosamente para minimizar el riesgo de
interrupciones en los procesos comerciales.
Conclusión
Luego de estudiar el Estándar Internacional ISO/IEC
27002, se puede ver cómo muchos de los aspectos resaltados
por este Estándar son aspectos generales que muchas
organizaciones los toman en cuenta aún sin tener el
certificado ISO/IEC 27002. Pero también existen muchas
deficiencias en la gran mayoría de organizaciones en
materia de seguridad. Algunos podrían considerar que
apegarse a este tipo de estándares es en cierta forma caro
y complicado, pero en realidad resulta mucho más caro
sufrir las consecuencias que suele traer la falta de seguridad en
un importante sistema de información.
El hecho de cumplir a cabalidad con el Estándar
Internacional ISO/IEC 27002 no garantiza al 100% que no se
tendrán problemas de seguridad, pues la seguridad al 100%
no existe. Lo que sí se logra es minimizar al
máximo las probabilidades de sufrir impactos negativos y
pérdidas originados por la falta de seguridad.
Este documento proporciona una idea bastante clara de
cómo se debe trabajar en materia de seguridad de
tecnologías de información al apegarse a un
Estándar Internacional (y por lo tanto mundialmente
aceptado y conocido) como lo es el ISO/IEC 27002.
Recomendaciones
La primera recomendación es precisamente implementar el
Estándar Internacional ISO/IEC 27002 a la mayor brevedad
posible, o de no ser posible (por aspectos económicos, de
infraestructura, etc.), por lo menos estudiar el documento
oficial de este Estándar y estar conocedores de todos los
elementos que se pueden implementar y de cómo esto
podría beneficiar y minimizar la posibilidad de problemas
por falta de seguridad.
La segunda recomendación es tener en claro, como ya se
dijo, que la seguridad al 100% no existe pero que sí se
puede maximizar la seguridad y minimizar los riesgos por falta de
seguridad.
De ser posible, se debería considerar adquirir la
certificación de este Estándar Internacional, pues
esto representa un gran activo no sólo por los beneficios
que de por sí trae el tener excelentes mecanismos de
seguridad, sino también por el prestigio de contar con
certificaciones internacionales de calidad.
Se recomienda también tener un equipo de analistas que
evalúen las condiciones particulares de una
organización, pues cada caso es único, y lo que a
uno le funcionó, a otro podría no funcionarle
debido a los aspectos particulares de cada empresa. Por esa
razón, se debe estudiar cada caso en concreto,
aunque nunca está de más aprender de los errores o
del éxito
de otros.
Bibliografía
ISO/IEC 17799:2005, Documentación
– International standard book numbering (ISBN)
International Organization for
Standarization. About ISO. Extraído el 1 de
octubre, 2008, de http://www.iso.org/iso/about.htm
International Organization for
Standarization. Discover ISO. Extraído el 1
de octubre, 2008, de
http://www.iso.org/iso/about/discover-iso_isos-name.htm
IEC. IEC History. Extraído el
1 de octubre, 2008, de http://www.iec.ch/about/history/
Wikipedia. Electrotecnia.
Extraído el 1 de octubre, 2008, de
http://es.wikipedia.org/wiki/Electrotecnia
Wikipedia. International Electrotechnical
Commission. Extraído el 1 de octubre, 2008, de
http://en.wikipedia.org/wiki/International_Electrotechnical_Commission
Wikipedia. IEC JTC1. Extraído
el 1 de octubre, 2008, de
http://en.wikipedia.org/wiki/ISO/IEC_JTC1
Wikipedia. Métrica.
Extraído el 1 de octubre, 2008, de
http://es.wikipedia.org/wiki/M%C3%89TRICA
Wikipedia. Criptografía.
Extraído el 1 de octubre, 2008, de
http://es.wikipedia.org/wiki/Criptograf%C3%ADa
Glosario
Activo: cualquier cosa que tenga valor para la
organización.
Amenaza: una causa potencial de un incidente no
deseado, el cual puede resultar en daño a un sistema u
organización.
Análisis de riesgo: uso sistemático de la
información para identificar las fuentes y
calcular el riesgo.
Control: medios para manejar el riesgo, incluyendo
políticas, procedimientos, lineamientos, prácticas
o estructuras organizacionales, las cuales pueden ser
administrativas, técnicas, de gestión o de
naturaleza legal. El control también se utiliza como
sinónimo de salvaguarda o contramedida.
Criptografía: es el arte o ciencia de
cifrar y descifrar información utilizando técnicas
que hagan posible el intercambio de mensajes de manera segura que
sólo puedan ser leídos por las personas a quienes
van dirigidos.
Electrotecnia: es la ciencia que
estudia las aplicaciones técnicas de la electricidad.
Evaluación del riesgo: proceso de comparar el
riesgo estimado con un criterio de riesgo dado para determinar la
importancia del riesgo.
Evento de seguridad de la información: cualquier
evento de seguridad de la información es una ocurrencia
identificada del estado de un sistema, servicio o red, indicando
una posible falla en la política de seguridad de la
información o falla en las salvaguardas, o una
situación previamente desconocida que puede ser relevante
para la seguridad.
Gestión del riesgo: actividades coordinadas para
dirigir y controlar una organización con relación
al riesgo.
Incidente de seguridad de la información: un
incidente de seguridad de la información es indicado por
un solo evento o una serie de eventos inesperados de seguridad de
la información que tienen una probabilidad significativa
de comprometer las operaciones comerciales y amenazar la
seguridad de la información.
Lineamiento: descripción que aclara qué
se debiera hacer y cómo, para lograr los objetivos
establecidos en las políticas.
Medios de procesamiento de la información:
cualquier sistema, servicio o infraestructura de procesamiento de
la información, o los locales físicos que los
alojan.
Métrica: es una metodología de planificación, desarrollo y mantenimiento
de sistemas de información.
Política: intención y dirección
general expresada formalmente por la gerencia.
Riesgo: combinación de la probabilidad de un
evento y su ocurrencia.
Seguridad de la información: preservación
de confidencialidad, integración y disponibilidad de la
información; además, también puede
involucrar otras propiedades como autenticidad, responsabilidad,
no-reputación y confiabilidad.
Tercera persona: persona u organismo que es reconocido
como independiente de las partes involucradas, con
relación al ítem en cuestión.
Tratamiento del riesgo: proceso de selección
e implementación de medidas para modificar el riesgo.
Vulnerabilidad: la debilidad de un activo o grupo de
activos que puede ser explotada por una o más
amenazas.
Resumen general
del Estándar Internacional ISO/IEC 27002
El Estándar Internacional ISO/IEC 27002 nace bajo la
coordinación de dos organizaciones:
ISO: International Organization for
Standardization.IEC: International Electrotechnical
Commission.
ISO e IEC han establecido un comité técnico
conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical
Committee). Este comité trata con todos los asuntos de
tecnología
de información. La mayoría del trabajo de
ISO/IEC JTC1 es hecho por subcomités que tratan con un
campo o área en particular. Específicamente el
subcomité SC 27 es el que se encarga de las
técnicas de seguridad de las tecnologías de
información, que es en esencia de lo que trata el
Estándar Internacional ISO/IEC 27002 (antiguamente llamado
ISO/IEC 17799, pero a partir de julio de 2007, adoptó un
nuevo esquema de numeración y actualmente es ISO/IEC
27002).
El ISO/IEC 27002 se refiere a una serie de aspectos sobre la
seguridad de de las tecnologías de información,
entre los que se destacan los siguientes puntos:
Evaluación de los riesgos de de seguridad:
se deben identificar, cuantificar y priorizar los
riesgos.Política de seguridad: deben haber
políticas organizacionales claras y bien definidas que
regulen el trabajo que se estará realizando en materia
de seguridad de la información.Aspectos organizativos de la seguridad de la
información: cómo se trabajará en la
seguridad de la información organizativamente, tanto
de manera interna (empleados o personal de la
organización) como de forma externa o con respecto a
terceros (clientes, proveedores, etc.)Gestión de activos: se debe tener un
completo y actualizado inventario de los activos, su
clasificación, quiénes son responsables por los
activos, etc.Seguridad ligada a los recursos humanos:
especificar las responsabilidades del personal o recursos
humanos de una organización, así como los
límites que cada uno de ellos tiene con respecto al
acceso y manipulación de la información.Seguridad física y ambiental: consiste en
tener una infraestructura física (instalaciones) y
ambiental (temperaturas adecuadas, condiciones ideales de
operación ideales) adecuadas de modo que no pongan en
riesgo la seguridad de la información.Gestión de comunicaciones y operaciones:
asegurar la operación correcta de cada uno de los
procesos, incluyendo las comunicaciones y operaciones que se
dan en la organización. Esto también incluye la
separación entre los ambientes de desarrollo, de
prueba y de operación, para evitar problemas
operacionales.Control de acceso: deben existir medidas adecuadas
que controlen el acceso a determinada información,
únicamente a las personas que están autorizadas
para hacerlo, utilizando autenticaciones, contraseñas,
y métodos seguros para controlar el acceso a la
información.Adquisición, desarrollo y mantenimiento de los
sistemas de información: consiste en tomar medidas
adecuadas para adquirir nuevos sistemas (no aceptar sistemas
que no cumplan con los requisitos de calidad adecuados),
haciendo también un eficiente desarrollo y
mantenimiento de los sistemas.Gestión de incidentes en la seguridad de la
información: los incidentes se pueden dar tarde o
temprano, y la organización debe contar con registros
y bitácoras para identificar a los causantes y
responsables de los incidentes, recopilar evidencias,
aprender de los errores para no volverlos a cometer, etc.Gestión de la continuidad del negocio: se
deben tener planes y medidas para hacerle frente a los
incidentes, de modo que el negocio pueda continuar en marcha
gracias a medidas alternativas para que un incidente no
detenga las operaciones por tiempos prolongados, que no se
pierda información, que no se estanquen o detengan las
ventas o negocios, etc.Cumplimiento: debe darse el debido cumplimiento a
los requisitos legales, como derechos de propiedad
intelectual, derecho a la confidencialidad de cierta
información, control de auditorías, etc.
NOTA: la descarga de esta
presentación se encuentra disponible en http://jaimemontoya.com/systemsproductiontechniques/isoiec27002.php o en
http://jaimemontoya.com/systemsproductiontechniques/isoiec27002a.php
Jaime Montoya
webmaster[arroba]jaimemontoya.com
www.jaimemontoya.com
Santa Ana, 18 de enero de 2009
El Salvador
Autores:
Jennifer Esmeralda Chacón
Carranza
Ronald Antonio Erazo Ramos
Glenda Maritza España
Canalez
Jaime Oswaldo Montoya Guzmán
Krissia Carolina Portillo Valencia
Asignatura:
Técnicas y Producción de Sistemas
Catedrático:
Ing. Carlos Orellana
Universidad católica de El
Salvador
Facultad de ingeniería y
arquitectura
Santa Ana, 4 de octubre de 2008
 Página anterior | Volver al principio del trabajo | Página siguiente  |