Marco teórico itil v3
-
Upload
eizarra -
Category
Technology
-
view
636 -
download
1
Transcript of Marco teórico itil v3
Contenido
Marco teórico ....................................................................................................................................................................... 2
Gestión de los servicios IT .............................................................................................................................................. 2
ITIL V3................................................................................................................................................................................. 3
Gobierno IT................................................................................................................................................................... 4
El ciclo de vida de los servicios IT ............................................................................................................................. 5
Funciones, Procesos y Roles...................................................................................................................................... 7
Seguridad Informática..................................................................................................................................................... 8
Principios de seguridad de la información.............................................................................................................. 9
Enfoques de seguridad ............................................................................................................................................... 9
Servicios de seguridad informática ........................................................................................................................ 11
Evento de Seguridad de Información .................................................................................................................... 12
SGSI................................................................................................................................................................................... 12
La Organización Internacional de Normalización (ISO) ...................................................................................... 13
Normas ISO serie 27000........................................................................................................................................... 13
ISO/IEC 27001:2013 ................................................................................................................................................. 13
Estructura ................................................................................................................................................................... 14
Dominios de Seguridad ............................................................................................................................................ 17
Controles por Dominios ........................................................................................................................................... 17
Gestión de riesgos ......................................................................................................................................................... 26
Metodologías existentes.......................................................................................................................................... 26
1. Identificación de activos ...................................................................................................................................... 27
2. Identificación de amenazas y vulnerabilidades............................................................................................... 28
3. Cálculo del nivel de riesgo................................................................................................................................... 34
4. Establecimiento de controles ............................................................................................................................. 35
Marco teórico
Gestión de los servicios IT
Aunque todos tengamos una idea intuitivamente clara del concepto de servicio es difícil proponer una única
y sucinta definición del mismo.
ITIL nos ofrece la siguiente definición:
Un servicio es un medio para entregar valor a los clientes facilitándoles un resultado deseado sin la necesidad
de que estos asuman los costes y riesgos específicos asociados.
En otras palabras, el objetivo de un servicio es satisfacer una necesidad sin asumir directamente las
capacidades y recursos necesarios para ello.
Si deseamos, por ejemplo, mantener l impias las instalaciones de nuestra empresa disponemos de dos
opciones:
Contratar a todo el personal y recursos necesarios (l impiadores, productos de limpieza, etcétera)
asumiendo todos los costes y riesgos directos de su ges tión.
Contratar los servicios de una empresa especializada.
Si optamos por esta segunda opción cuál es el valor aportado por la prestadora de ese servicio:
Utilidad: las instalaciones de la empresa se mantendrán limpias.
Garantía: la empresa contratada será responsable de que se realice la l impieza de forma periódica y
según unos estándares de calidad predeterminados.
Es obvio que optar por otra opción dependerá de las circunstancias de cada empresa: su tamaño,
estructura, etcétera. Sin embargo, la tendenci a actual es a subcontratar todos aquellos servicios que
se alejen de la actividad principal de la empresa.
Un aspecto importante a destacar es que aún en el caso de que se adoptara la decisión de realizar las tareas
de limpieza por personal de la empresa estas podrían ser ofrecidas por un “proveedor interno” siempre que
las funciones y procesos involucrados se estructurarán consecuentemente.
En cualquier caso una correcta gestión de este servicio requerirá:
Conocer las necesidades del cliente
Estimar la capacidad y recursos necesarios para la prestación del servicio
Establecer los niveles de calidad del servicio
Supervisar la prestación del servicio
Establecer mecanismos de mejora y evolución del servicio
ITIL V3
ITIL ofrece toda una serie de definiciones de conceptos típicos de los Sistemas de Información para garantizar
que todos sus conocedores hablan de lo mismo, reduciendo así los tiempos de interpretación y minimizando
el riesgo a malas interpretaciones.
La Gestión de Servicios IT es la aproximación si stemática a la planificación, desarrollo, entrega, y soporte de
los servicios IT para las organizaciones. Une el espacio entre la comunidad dedicada al negocio y el
departamento de IT, a través de la facil itación de la comunicación y la creación de una aso ciación de y para el
negocio. Esta nueva actividad está cada día más madura, y prueba de esta madurez es la cantidad de marcos
de trabajo teóricos que surgen cada día. En la relativa corta historia de la actividad de la Gestión de Servicio
IT y para comprobar la dimensión que está tomando la gestión de servicios en las empresas basta con ver la
cantidad de conferencias, estudios y publicaciones que alrededor de este tema están surgiendo en los últimos
años.
ITIL define la Gestión de Servicios como un conjunto de capacidades organizativas especializadas para la
provisión de valor a los clientes en forma de servicios.
Los principios básicos para la gestión de servicios se resumen en:
Especialización y coordinación: los clientes deben especializarse en la gestión de su negocio y los
proveedores en la gestión del servicio. El proveedor debe garantizar la coordinación entre los
recursos y capacidades de ambos.
El principio de Agencia: los agentes actúan como intermediarios entre el cliente o usuario y el
proveedor de servicios y son los responsables de la correcta prestación de dichos servicios. Estos
deben de actuar siguiendo las indicaciones del cliente y protegiendo los intereses del cliente, los
usuarios y los suyos propios. Los agentes pueden ser empleados del proveedor de servicios o incluso
interfaces de interacción con el usuario en sistema gestionados automáticamente.
Encapsulación: los clientes y usuarios solo están interesados en la utilidad y garantía del servicio y no
en los detalles precisos para su correcta prestación. La encapsulación se consigue a través de la:
o Separación de conceptos complejos se en diferentes partes independientes que pueden ser
tratadas independientemente.
o Modularidad que permite agrupar funcionalidades similares en forma de módulos auto
contenidos.
o Acoplamiento flexible entre recursos y usuarios, mediante, por ejemplo, sistemas
redundantes, que evita que cambios o alteraciones en los recursos afecten negativamente
a la experiencia de usuario.
Sistemas: según ITIL los sistemas son grupos de componentes interrelacionados o interdependientes
que forman una unidad y colaboran entre sí para conseguir un objetivo común. Los aspectos clave
para el correcto rendimiento de un sistema son:
o Procesos de control
o Feedback y aprendizaje
En un entorno donde los periodos de disponibilidad de los servicios son cada vez más amplios, donde las
exigencias del cliente son cada vez más elevadas, donde los cambios en los negocios son cada vez más rápidos,
es muy importante que los Sistemas de Información estén adecuadamente organizados y alineados con
la estrategia del negocio.
Gobierno IT
Aunque no existe una única y universalmente adoptada definición de Gobierno TI sí existe un consenso
general sobre la importancia de disponer de un marco general de referencia para la dirección, administración
y control de las infraestructuras y servicios TI.
Aunque ITIL es a veces considerado como un marco para el Gobierno TI sus objetivos son más modestos pues
se l imitan exclusivamente a aspectos de gestión.
Para aclarar las diferencias quizá sea conveniente remitirnos a un ejemplo que se aparta del entorno de las TI
y del que todos somos buenos conocedores: gobierno versus administración pública.
El gobierno es el responsable de establecer políticas y directrices de actuación que recojan las inquietudes y
cubran las necesidades de los ciudadanos. Las administraciones públicas son las encargadas de asegurar que
esas políticas se implementen, ofreciendo los servicios correspondientes, asegurando el cumplimien to de las
normas establecidas, prestando apoyo, recogiendo reclamaciones y propuestas, etcétera.
ITIL sería en este caso el equivalente TI de un conjunto de buenas prácticas para la administración del estado
pero no para su gobierno (aunque algunas veces l as fronteras entre ambos no estén claramente delimitadas).
Es evidente la dificultad de establecer un conjunto de buenas prácticas para el buen gobierno, sin embargo,
estas existen de hecho y ejemplo de ello son la Declaración Universal de Derechos Humanos y todo el corpus
del derecho internacional.
El Gobierno TI es parte integrante del Gobierno Corporativo y como tal debe centrarse en las implicaciones
que los servicios e infraestructura TI tienen en el futuro y sostenibil idad de la empresa asegurando su
alineación con los objetivos estratégicos.
La creciente importancia de los servicios TI para las empresas nos hace creer que todos los aspectos
relacionados con el Gobierno TI serán un hot topic en los próximos años y que se realizarán importantes
desarrol los en este terreno.
El ciclo de vida de los servicios IT
ITIL v3 estructura la gestión de los servicios TI sobre el concepto de Ciclo de Vida de los Servicios.
Este enfoque tiene como objetivo ofrecer una visión global de la vida de un servicio desde su d iseño hasta su
eventual abandono sin por ello ignorar los detalles de todos los procesos y funciones involucrados en la
eficiente prestación del mismo.
El Ciclo de Vida del Servicio consta de cinco fases que se corresponden con los nuevos l ibros de ITIL:
1. Estrategia del Servicio: propone tratar la gestión de servicios no sólo como una capacidad sino como
un activo estratégico.
2. Diseño del Servicio: cubre los principios y métodos necesarios para transformar los objetivos
estratégicos en portafolios de servici os y activos.
3. Transición del Servicio: cubre el proceso de transición para la implementación de nuevos servicios o
su mejora.
4. Operación del Servicio: cubre las mejores prácticas para la gestión del día a día en la operación del
servicio.
5. Mejora Continua del Servicio: proporciona una guía para la creación y mantenimiento del valor
ofrecido a los clientes a través de un diseño, transición y operación del servicio optimizado.
1. Estrategia de Servicios (SE)
Diseña el plan de acción que permitirá desarrollar una estrategia en la Organización en cuanto a las
Tecnologías de la Información.
Desarrolla varias áreas; entre ellas se incluyen las siguientes: Estrategia general, competitividad y
posicionamiento de mercado, tipos de proveedores de servicio, gestión del servicio como un factor
estratégico, diseño organizacional y estratégico, procesos y actividades clave, gestión financiera,
dossier de servicios, gestión de la demanda, y responsabilidades y responsabilidades clave en la
estrategia de servicios.
El objetivo de la Estrategia de Servicio es el de incluir las TI en la Estrategia Empresarial de manera
que podamos calibrar nuestros objetivos según nuestra infraestructura TI y adaptar cada uno a las
necesidades del otro.
La Estrategia de Servicio en ITIL se encamina hacia el mismo sentido que la estrategia empresarial,
pero ahora incluyendo en ésta la componente TI. Integra pues a su análisis nuevos objetivos y la evolución
futura de las TI en la Organización. ITIL busca alinear e integrar la tecnología con el Negocio, que los
servicios tecnológicos que se implementan y se ofertan desde los departamentos de TI estén diseñados para
apoyar al negocio.
La idea que se trata de aportar a las organizaciones es que es necesario plantear objetivos pero teniendo en
cuenta qué tenemos, cómo lo tenemos y a dónde podemos l legar con lo que tenemos, es decir, planear el
futuro sabiendo que puede ser necesario invertir para mej orar nuestra infraestructura TI, o planificar
el futuro de la empresa dependiendo de nuestra capacidad actual en TI, y/o abrir nuevas l íneas de
negocio debido a que nos diferenciamos del resto de empresas en las características que ofrece nuestra
infraestructura TI. Con el fin de comenzar a integrar las TI en nuestra estrategia hemos de tener en cuenta
que uno de los principales defectos de toda organización (en todo el mundo) es que una vez tomada la
decisión de comenzar a gestionarse y planificar su futuro, lo normal es que nunca se hayan definido
exactamente qué tipo de servicios relacionados con la TI ofrece la empresa y a quién y cómo dirigir los
esfuerzos comerciales para ponerlos en el mercado.
Los pasos que ITIL establece en la definición e implantación de medidas para la puesta en marcha de la
estrategia de servicios se desarrollan a lo largo de una serie de apartados que proponen una estructura para
el diseño y definición de nuestra estrategia.
Existen muchas metodologías que acercan la idea de ITIL a la persona, empresa, organización o entidad
que se plantee comenzar con la definición de una Estrategia de Servicio, ya que, como se comentó
anteriormente, ITIL no pone las herramientas, sólo la idea y la estructura o contenido que ha de tener
nuestro plan. Así vamos a tratar de desarrollar el concepto a través de los siguientes apartados:
1. Creación de Valor a través del Servicio
2. Gestión del Portafolio de Servicios
3. Gestión de la Demanda
4. Gestión Financiera de los Servicios IT
2. Diseño de servicios (SD)
En este volumen se desarrollan los conceptos relativos al diseño de Servicios TI, como diseño de
arquitecturas, procesos, políticas, documentación. Se adentra además en la Gestión de niveles de
servicio, diseño para gestión de capacidad, continuidad en los servicios TI, gestión de proveedores, y
responsabilidades clave en diseño de servicios.
3. Operaciones de Servicios (SO)
En el l ibro de operaciones, se exponen las mejores prácticas a poner en marcha para conseguir ofrecer
un nivel de servicio de la Organización acorde a los requisitos y necesidades de los Clientes
(establecimiento del SLA – Service Level Agreement o Acuerdo de Nivel de Servicio).
Los temas incluyen objetivos de productividad/beneficios, gestión de eventos, gestión de incidentes,
caso de cumplimiento, gestión de activos, servicios de help desk, técnica y de gestión de las aplicaciones,
así como las principales funciones y responsabilidades para el personal de servicios que llevan a cabo los
procesos operativos.
4. Mejora Continua de Servicios (CSI)
En este volumen se explica la necesidad de la mejora continua como fuente de desarrollo y crecimiento en el
Nivel de Servicio de TI, tanto interno como con respecto al cliente.
De acuerdo con este concepto, las entidades han de estar en constante análisis de sus procesos de negocio, y
poner en marcha actuaciones una vez detectadas las necesidades con respecto a las TI de manera que estas
sean capaces de responder a los objetivos, la estrategia, la competitividad y la gestión de la estructura
y organización de las organizaciones que dispongan de infraestructura TI. De esta manera se trata de estar
al tanto de los cambios que se producen en el mercado y de las nuevas necesidades de este también en cuanto
a las TI.
5. Transición de Servicios (ST)
En el último l ibre se definen los temas relacionados a la transición de servicios, es decir, los cambios
que se han de producir en la prestación de servicios comunes (del trabajo diario) en las empresas.
Aspectos tales como la gestión de la configuración y servicio de activos, la planificación de la transición
y de apoyo, gestión y despliegue de los Servicios TI, Gestión del Cambio, Gestión del Conocimiento,
y por último las responsabi lidades y las funciones de las personas que participen en el Cambio o Transición
de Servicios.
Funciones, Procesos y Roles
ITIL marca una clara distinción entre funciones y procesos. Una función es una unidad especializada en la
realización de una cierta actividad y es la responsable de su resultado. Las funciones incorporan todos los
recursos y capacidades necesarias para el correcto desarrollo de dicha actividad.
Las funciones tienen como principal objetivo dotar a las organizaciones de una estructura acorde con el
principio de especialización. Sin embargo la falta de coordinación entre funciones puede resultar en la
creación de nichos contraproducentes para el rendimiento de la organización como un todo. En este último
caso un modelo organizativo basado en procesos puede ayudar a mejorar la productividad de la organización
en su conjunto.
Un proceso es un conjunto de actividades interrelacionadas orientadas a cumplir un objetivo específico. Los
procesos comparten las siguientes características:
Los procesos son cuantificables y se basan en el rendimiento.
Tienen resultados específicos.
Los procesos tienen un cliente final que es el receptor de dicho resultado.
Se inician como respuesta a un evento.
El Centro de Servicios y la Gestión del Cambio son dos c laros ejemplos de función y proceso respectivamente.
Sin embargo, en la vida real la dicotomía entre funciones y procesos no siempre es tan evidente pues puede
depender de la estructura organizativa de la empresa u organismo en cuestión.
Otro concepto ampl iamente util izado es el de rol.
Un rol es un conjunto de actividades y responsabilidades asignada a una persona o un grupo. Una persona o
grupo puede desempeñar simultáneamente más de un rol.
Hay cuatro roles genéricos que juegan un papel especialmente importante en la gestión de servicios TI:
Gestor del Servicio: es el responsable de la gestión de un servicio durante todo su ciclo de vida:
desarrollo, implementación, mantenimiento, monitorización y evaluación.
Propietario del Servicio: es el último respons able cara al cliente y a la organización TI de la prestación
de un servicio específico.
Gestor del Proceso: es el responsable de la gestión de toda la operativa asociada a un proceso en
particular: planificación, organización, monitorización y generación de informes.
Propietario del Proceso: es el último responsable frente a la organización TI de que el proceso cumple
sus objetivos. Debe estar involucrado en su fase de diseño, implementación y cambio asegurando en
todo momento que se dispone de las métricas necesarias para su correcta monitorización, evaluación
y eventual mejora.
Seguridad Informática
Se define según la norma ISO/IEC 17799:2005, como la preservación de la confidencialidad, integridad y
disponibilidad dela información, siendo estos sus princi pios, existen agentes externos que influyen en su
entendimiento, la misma involucra reglas y procedimientos que llevan al objetivo.
Principios de seguridad de la información
La seguridad de la información busca proteger la confidencialidad de la información contra accesos no
autorizados, evitar alteraciones indebidas que pongan en peligro la integridad de la información y garantizar
la disponibilidad de la misma. Por tal razón, la seguridad de la información se basa en los siguientes principios:
confidencialidad, integridad y disponibilidad.
Confidencialidad
Es una cualidad de la información en la que se garantiza que es accesible únicamente por el personal
autorizado a dicha información.
En consecuencia, la información catalogada como privada o confidencial deberá ser accesible sólo por las
personas autorizadas. El objetivo de la confidencialidad es prevenir la divulgación no autorizada de la
información, manteniéndola oculta o en secreto.
Integridad
La información tiene integridad cuando es oportuna, precisa, completa y coherente. Sin embargo, las
computadoras son incapaces de proporcionar o proteger todas éstas cualidades de la información. Por tanto,
en el campo de la seguridad de la información la integridad se define con base en dos aspectos: integridad de
los datos y la integridad del sistema.
La integridad de datos es un requisito para que la información y los programas sólo puedan ser alterados por
una entidad específica y autorizada para ello.
La integridad del sistema es el requisito de que un sistema se comporte con base en lo esperado, l ibre de
manipulaciones no autorizadas, deliberadas o imprevistas en el sistema.
Disponibilidad
Es la cualidad que garantiza que la información sea proporcionada por los sistemas de forma rápida y que el
servicio esté siempre accesible por los usuarios autoriza dos para acceder al recurso.
Los tres aspectos anteriores componen la tríada de la seguridad de la información, lo que significa que un
sistema es seguro o fiable si garantiza la confidencialidad, i ntegridad y disponibilidad.
Enfoques de seguridad
En la seguridad de la información se consideran los enfoques de seguridad física y lógica de los sistemas de
información, cabe destacar que la seguridad lógica es uno de los aspectos más vulnerados, la mayo ría de los
ataques son dirigidos especialmente hacia los principios de la seguridad informática (confidencialidad,
integridad y disponibilidad), los cuales tienen como propósito proteger la información almacenada y
procesada por los sistemas de información. Por lo general, la información es uno de los activos más
importantes para cualquier organización, por lo tanto, deben existir estrategias y técnicas que la protejan,
considerando aspectos de seguridad física y seguridad lógica.
La seguridad física es uno de los aspectos menos contemplados en el diseño de un sistema de información.
Para un atacante puede ser más fácil acceder y copiar información confidencial directamente del sistema que
la contiene, a través de un dispositivo USB (Universal Serial Bus – Bus Universal en Serie), que intenta acceder
vía lógica al sistema para substraer dicha información.
La seguridad física consiste en la aplicación de barreras físicas, procedimientos y mecanismos de control de
acceso, para reducir el riesgo de que las amena zas se materialicen sobre los recursos e información.
Es importante resaltar que cada sistema es único y por tanto la política de seguridad a implementar no debe
ser única. Este enfoque de seguridad física, debe contemplar amenazas ocasionadas por el hombr e y por la
propia naturaleza del medio físico en el que se encuentran ubicados los sistemas a proteger.
Las principales amenazas que se prevén en la seguridad física son:
Desastres naturales: incendios, tormentas, terremotos, inundaciones entre otros.
Amenazas ocasionadas por el hombre de forma no intencional: deficiente instalación eléctrica,
condiciones inadecuadas de funcionamiento, etcétera.
Disturbios, robo, fraude, sabotajes internos y externos.
Para evitar que las amenazas anteriores se materialicen sobre la información, se recomienda implementar
controles de acceso físico que contemplen:
Uso de guardias de seguridad.
Detectores de metales y o dispositivos de almacenamiento (escáner corporal).
Sistemas biométricos.
Uso de animales (caninos).
Protecciones físicas (rejas, candados, chapas, etcétera). [5]
La seguridad lógica consiste en la aplicación de barreras, procedimientos y mecanismos de control de acceso
a la información, dentro de los sistemas y aplicaciones que sólo permitan a las personas autori zadas el acceso
y manipulación de dicho activo.
La seguridad lógica debe garantizar como mínimo los siguientes aspectos para el aseguramiento de la
información:
Restringir el acceso a los archivos y software.
Asegurar que los custodios de la información tengan los permisos necesarios para desempeñar sus
funciones.
Tener supervisión y registro de la interacción de los usuarios con los sistemas.
Que la información transmitida sea enviada a través del medio adecuado para ello.
Asegurar que la información y programas, sean manipulados por los usuarios correctos con los
permisos adecuados (confidencialidad).
Asegurar que el destinatario al cual se le haya enviado la información, sea quien la reciba y no alguien
más.
Que la información recibida sea la misma que ha sido transmitida (integridad).
La existencia de sistemas secundarios (emergencia) para la transmisión de datos hacia y desde
diferentes puntos (disponibilidad).
El primer paso para proteger la información de cualquier sistema es identificar los aspectos físicos y lógicos
que se quieren proteger, para posteriormente reforzarlos con la implementación de mecanismos o controles.
Lo anterior no garantiza que la información no sufrirá algún tipo de ataque sobre su integridad, disponibilidad
o confidencialidad, sino que el riesgo de que ello suceda, disminuya considerablemente.
Servicios de seguridad informática
El objetivo de un servicio de seguridad es mejorar la funcionamiento de los sistemas de información y
comunicación en las organizaciones. Los servicios de seguridad están diseñados para mitigar los ataques a la
seguridad de la información y hacen uso de uno o más mecanismos de seguridad para proporcionar el servicio.
Los servicios son seis y se detallan a continuación:
Confidencialidad
Este servicio de seguridad garantiza que la información no pueda estar disponible o accesible a personas,
entidades o procesos no autorizados para que puedan leer, copiar o modificar la información.
Algunos de los métodos para garantizar la confidencialidad son:
Uso de listas de control de acceso a los recursos críticos.
Cifrado de la información almacenada y transmitida.
Autenticación
Servicio de seguridad que garantiza que la comunicación es auténtica, es decir, se encarga de verificar que el
origen de los datos sea el correcto, quién los envía, así como comprobar que los datos se enviaron y recibieron
de forma correcta. Algunos métodos de autenticación son:
Implementación de controles biométricos: huellas dactilares, retina, iris, geometría de mano, voz,
etcétera.
Tarjetas inteligentes (smart card) que guardan información del dueño de la misma.
Uso de contraseñas robustas.
Integridad
Servicio de seguridad que garantiza que la información sea modificada, creada y borrada, sólo por el personal
autorizado para ello. El principal problema de la integridad no se refiere a modificaciones malintencionadas,
sino a los cambios accidentales.
Algunos métodos para detectar la pérdida de integridad son: Algoritmos hash (MD5, Sha -1, etcétera).
No repudio
El no repudio previene a los emisores o receptores de negar un mensaje transmitido o recibido. Cuando un
mensaje es enviado, el receptor puede comprobar que el mensaje fue enviado por el presunto emisor. De la
misma forma, cuando un mensaje es recibido, el remitente puede comprobar que el mensaje fue recibido por
el receptor.
Los servicios de no repudio proporcionan evidencia que puede ser verificada por una tercera entidad. Los
siguientes servicios son los que pueden ser proporcionados con infraestructura de llave pública y privada, en
específico con el uso de firma electrónica:
No repudio de origen: garantiza al receptor que el emisor no pueda negar haber enviado el mensaje.
No repudio de envío: garantiza al emisor que el receptor no pueda negar haber recibido el mensaje.
Control de acceso
Servicio de seguridad que implementa controles de acceso, a fin de garantizar que un usuario sea identificado
y autenticado de manera exitosa, para que entonces le sea permitido el acceso al activo o recurso.
Disponibilidad
Servicio de seguridad que garantiza que los usuarios autorizados tengan acceso a los activos y recursos del
sistema, con base en los l ineamientos de forma y tiempo definidos por el proveedor del servicio.
Evento de Seguridad de Información
La norma ISO/IEC TR 18044:2004 define evento de SI como “Una ocurrencia identificada de un estado del
sistema, servicio o red que indica una brecha posible en la política de seguridad o falla de las salvaguardas, o
de una situación previamente desconocida que puede ser pertinente a la seguridad”.
SGSI
Tomando lo establecido por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), (s.f.): “Un
Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer políticas,
procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener
siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad
es una herramienta, alejada de tecnicismos, que les ofrece una visión global sobre el estado de sus sistemas
de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de
dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a
seguir”.
La Organización Internacional de Normalización (ISO)
ISO, conceptualizada por ellos mismos en su portal web (s.f.), es una organización independiente, no
gubernamental, su central se encuentra en Ginebra, Suiza. El nombre ISO, proviene del Griego, “isos” que
cuyo significado al español es igual. Creada en 1946, cuando los delegados de 25 países se reunieron en el
Instituto de Ingenieros Civiles en Londres y decidieron comenzar una nueva organización internacional que
facil itara la coordinación y unificación de estándares industriales.
Normas ISO serie 27000
La serie ISO 27000 es un conjunto de normas que velan por la Seguridad de la Información. Centrando su
planteamiento en la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI), el estándar,
especifica los requerimientos para establecerlo, implementarlo y mantenerlo, e incluye requerimientos para
la evaluación y tratamiento de riesgos de seguridad diseñados acorde a las necesidades de las diferentes
organizaciones. (ISO/IEC 27001:2013, 2013)
Descritas por Alexander, A (2005) a continuación un resumen de los componentes de la familia ISO 27000:
1. ISO 27000: Vocabulario y definiciones. Publicado en 2007, es un glosario de términos para un SGSI
2. ISO 27001: Se refiere al estándar certificable ya oficializado
3. ISO 27002: Es el relevo del ISO/IEC 17799:2005, el cual es el “Código de práctica de Seguridad en la
Gestión de la Información”, este modelo no puede usarse para la certificación.
4. ISO 27003: Guía para la Implementación, oficia lizado en el 2008.
5. ISO 27004: Métricas e Indicadores para la gestión de un SGSI, oficializado en 2008.
6. ISO 27005: Gestión de Riesgos, oficializado en 2008.
7. ISO 27006: Requerimientos para entidades que proveen servicios de auditoría y certificación en SGSI
ISO/IEC 27001:2013
La última versión es la ISO/IEC 27001:2013 que salió a mediados del mes de marzo del año 2013. Las
principales modificaciones se ven reflejadas en la estructura y el contenido de los controles que conforman el
Anexo “A”, donde el número total de dominios era de 11 y ahora son 14 y se reduce el número de controles
de 133 a 113, todo como resultado de un proceso de fusión, exclusión e incorporación de nuevos controles
de seguridad.
Estructura
0. Introducción
En la norma ISO 27001:2013 el cambios más significativo es la eliminación de la sección “Enfoque del
proceso” que sí contenía la versión 2005, donde se describía el modelo PHVA, considerándose el corazón del
Sistema de Gestión de Seguridad de la Información (SGSI).
1. Alcance
En la norma ISO 27001:2013 se establece como obligatorio el cumplimiento de los requisitos especificados
entre los capítulos 4 a 10 de dicho documentos, para poder obtener una conformidad de cumplimiento y así
poder certificase.
2. Referencias normativas
El estándar ISO 27002 ya no será referencia normativa para la norma ISO 27001:2013, aunque se puede
considerar necesario el desarrollo de una declaración de aplicabilidad.
La norma ISO 27001:2013 se convierte en una referencia normativa obligatoria y única, ya que con tiene
todos los nuevos términos y definiciones.
3. Términos y definiciones
Los términos y las definiciones que se encontraban en la ISO 27001:2005 los trasladaron y fueron agrupados
en la sección 3 de la norma ISO 27001:2013 “Fundamento y vocabulario”, con el fin de contar con una sola
guía de términos y definiciones que sea consistente.
4. Contexto de la organización
Durante esta cláusula de la norma ISO 27001:2013 se identifican todos los problemas externos e internos
que rodean a la empresa:
Se intuyen todos los requisitos para definir el contexto del SGSI sin importar el tipo de empresa que
sea y el alcance que tenga.
Se introduce una nueva figura como un elemento primordial para definir el alcance del SGSI
Se establece la prioridad de identificar y definir todas las necesidades de las partes interesadas con
relación a la seguridad de la información y las expectativas creadas por el Sistema de Gestión de
Seguridad de la Información, ya que esto determinará las políticas de Seguridad de la Información y
todos los objetivos a seguir para el proceso de gestión de riesgos.
5. Liderazgo
Se realiza un ajuste de la relación y las responsabilidades de la gerencia de la organización con respecto al
Sistema de Gestión de Seguridad de la Información, destacando como se deberá demostrar el compromiso,
como por ejemplo:
Garantizar que los objetivos del SGSI y la política de seguridad de la información, antes se conocía
como la política del SGSI.
Se debe garantizar la disponibilidad de todos los recursos para la implantación del SGSI.
Se garantiza que los roles y las responsabilidades para la seguridad de la información se asignan y
se comunican de forma adecuada.
6. Planeación
En este apartado de la norma ISO 27001:2013 se enfoca a la definición de los objetivos de seguridad como
un todo, los cuales deben estar claros y se deben contar con planes específicos para conseguirlos.
Se puede presentar grandes cambios en el proceso de evaluación de riesgos:
El proceso para evaluar los riesgos ya no se encuentra enfocado a los activos, las vulnerabilidades y
las amenazas.
La metodología se enfoca con el objetivo de identificar todos los riesgos asociados con la pérdida
de confidencialidad, integridad y disponibilidad de la información.
El nivel de riesgos se determina con base a toda probabil idad de que ocurra un riego y las
consecuencias generadas, si el riesgo se materializa.
Se elimina el término propietario del activo y se adopta el término propietario del riesgo.
Los requisitos no han sufrido transformaciones significativas.
7. Soporte
Los requisitos del soporte para el establecimiento de la implementación y mejora del SGSI, que incluye:
Recursos
Personal competente
Conciencia y comunicación de todas las partes interesadas.
Se incluye una nueva definición que es “información documentada”, ésta sustituye a los términos
“documentos y registros”, establece el proceso de documentar, mantener, controlar y conservar la
documentación que corresponde al Sistema de Gestión de Seguridad de la Información.
La norma ISO 27001:2013 se enfoca en el contenido de los documentos y no en que existe un determinado
número de éstos.
8. Operación
Establece todos los requisitos para medir el funcionamiento del Sistema de Gestión de Seguridad de la
Información, todas las expectativas de la gerencia de la organización y l a retroalimentación sobre estas,
además de cumplir con la norma ISO 27001:2013.
Además, la organización se plantea y controla las operaciones y los requisitos de seguridad, el pilar de este
proceso se centra en realizar las evaluaciones de riesgos de segur idad de la información de forma periódica
por medio de un programa elegido.
Todos los activos, las vulnerabilidades y las amenazas ya no son la base principal de la evaluación de riesgos.
Solo se requiere para realizar la identificación de los riesgos, que están asociados a la confidencialidad, la
integridad y la disponibilidad.
9. Evaluación del desempeño
La base para poder realizar la identificación y la medición de la eficiencia y el desempeño que realiza el
Sistema de Gestión de Seguridad de la Información continúa siendo las auditorías internas y las revisiones
del SGSI.
Se tiene que considerar el estado en el que se encuentran los planes de acción para poder atender las no
conformidades como es debido, además se establece la necesidad de definir quién y cuándo realiza las
evaluaciones, además de quien tiene que analizar la información que se ha recolectado.
10. Mejora
El principal elemento del proceso de mejora son las no conformidades identificadas, las cuales tiene que
contabilizarse y compararse con las accione correctivas para asegurarse de que no se repitan y que las
acciones correctoras que se realicen sean efectivas.
Dominios de Seguridad
Controles por Dominios
Núm. Nombre Descripción / Justificación
1 Objeto y campo de aplicación Seleccionar los controles dentro del proceso de implementación del Sistema de
Gestión de Seguridad de la Información - SGSI
2 Referencias normativas La ISO/IEC 27000, es referenciada parcial o totalmente en el documento y es
indispensable para su aplicación.
3 Términos y definiciones Para los propósitos de este documento se aplican los términos y definiciones
presentados en la norma ISO/IEC 27000.
4 Estructura de la norma
La norma ISO/IEC 27000, contiene 14 numérales de control de seguridad de la
información que en su conjunto contienen más de 35 categorías de seguridad
principales y 114 controles.
5 Políticas de seguridad de la información
5.1
Directrices establecidas por la dirección para la
seguridad de la información
Objetivo: Brindar orientación y apoyo por parte de la dirección, para la seguridad
de la información de acuerdo con los requisitos del negocio y con las leyes y
reglamentos pertinentes.
5.1.1
Políticas para la seguridad de la información Control: Se debería definir un conjunto de políticas para la seguridad de la
información, aprobada por la dirección, publicada y comunicada a los empleados
y partes externas pertinentes.
5.1.2
Revisión de las políticas para seguridad de la
información
Control: Las políticas para seguridad de la información se deberían revisar a
intervalos planificados o si ocurren cambios significativos, para asegurar su
conveniencia, adecuación y eficacia continúas.
6 Organización de la seguridad de la información
6.1 Organización interna
Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la
implementación y la operación de la seguridad de la información dentro de la
organización.
6.1.1 Roles y responsabilidades para la seguridad de
información
Control: Se deberían definir y asignar todas las responsabilidades de la seguridad
de la información.
6.1.2 Separación de deberes
Control: Los deberes y áreas de responsabilidad en conflicto se deberían separar
para reducir las posibilidades de modificación no autorizada o no intencional, o el
uso indebido de los activos de la organización.
6.1.3 Contacto con las autoridades Control: Se deberían mantener los contactos apropiados con las autoridades
pertinentes.
6.1.4 Contacto con grupos de interés especial Control: Es conveniente mantener contactos apropiados con grupos de interés
especial u otros foros y asociaciones profesionales especializadas en seguridad.
6.1.5 Seguridad de la información en la gestión de
proyectos
Control: La seguridad de la información se debería tratar en la gestión de
proyectos, independientemente del tipo de proyecto.
6.2 Dispositivos móviles y teletrabajo Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
6.2.1 Política para dispositivos móviles
Control: Se deberían adoptar una política y unas medidas de seguridad de
soporte, para gestionar los riesgos introducidos por e l uso de dispositivos
móviles.
6.2.2 Teletrabajo
Control: Se deberían implementar una política y unas medidas de seguridad de
soporte, para proteger la información a la que se tiene acceso, que es procesada
o almacenada en los lugares en los que se realiza teletrabajo.
7 Seguridad de los recursos humanos
7.1 Antes de asumir el empleo Objetivo: Asegurar que los empleados y contratistas comprenden sus
responsabilidades y son idóneos en los roles para los que se consideran.
7.1.1 Selección
Control: Las verificaciones de los antecedentes de todos los candidatos a un
empleo se deberían llevar a cabo de acuerdo con las leyes, reglamentos y ética
pertinentes, y deberían ser proporcionales a los requisitos de negocio, a la
clasificación de la información a que se va a tener acceso, y a los riesgos
percibidos.
7.1.2
Términos y condiciones del empleo Control: Los acuerdos contractuales con empleados y contratistas, deberían
establecer sus responsabilidades y las de la organización en cuanto a la
seguridad de la información.
7.2 Durante la ejecución del empleo Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de
sus responsabilidades de seguridad de la información y las cumplan.
7.2.1 Responsabilidades de la dirección
Control: La dirección debería exigir a todos los empleados y contratistas la
aplicación de la seguridad de la información de acuerdo con las políticas y
procedimientos establecidos por la organización.
7.2.2 Toma de conciencia, educación y formación
en la seguridad de la información
Control: Todos los empleados de la organización, y en donde sea pertinente, los
contratistas, deberían recibir la educación y la formación en toma de conciencia
apropiada, y actualizaciones regulares sobre las políticas y procedimientos
pertinentes para su cargo.
7.2.3 Proceso disciplinario
Control: Se debería contar con un proceso disciplinario formal el cual debería
ser comunicado, para emprender acciones contra empleados que hayan
cometido una violación a la seguridad de la información.
7.3 Terminación o cambio de empleo Objetivo: Proteger los intereses de la organización como parte del proceso de
cambio o terminación del contrato.
7.3.1
Terminación o cambio de
responsabilidades de empleo
Control: Las responsabilidades y los deberes de seguridad de la información que
permanecen validos después de la terminación o cambio de contrato se
deberían definir, comunicar al empleado o contratista y se deberían hacer
cumplir.
8 Gestión de activos
8.1 Responsabilidad por los activos Objetivo: Identificar los activos organizacionales y definir las responsabilidades
de protección apropiadas.
8.1.1 Inventario de activos
Control: Se deberían identificar los activos asociados con la información y las
instalaciones de procesamiento de información, y se debería elaborar y
mantener un inventario de estos activos.
8.1.2 Propiedad de los activos Control: Los activos mantenidos en el inventario deberían tener un propietario.
8.1.3 Uso aceptable de los activos
Control: Se deberían identificar, documentar e implementar reglas para el uso
aceptable de información y de activos asociados con información e
instalaciones de procesamiento de información.
8.1.4 Devolución de activos
Control: Todos los empleados y usuarios de partes externas deberían devolver
todos los activos de la organización que se encuentren a su cargo, al terminar su
empleo, contrato o acuerdo.
8.2 Clasificación de la información Objetivo: Asegurar que la información recibe un nivel apropiado de protección,
de acuerdo con su importancia para la organización.
8.2.1 Clasificación de la información Control: La información se debería clasificar en función de los requisitos legales,
valor, criticidad y susceptibilidad a divulgación o a modificación no autorizada.
8.2.2 Etiquetado de la información
Control: Se debería desarrollar e implementar un conjunto adecuado de
procedimientos para el etiquetado de la información, de acuerdo con el
esquema de clasificación de información adoptado por la organización.
8.2.3 Manejo de activos
Control: Se deberían desarrollar e implementar procedimientos para el manejo
de activos, de acuerdo con el esquema de clasificación de información
adoptado por la organización.
8.3.1
Gestión de medios removibles Control: Se deberían implementar procedimientos para la gestión de medios
removibles, de acuerdo con el esquema de clasificación adoptado por la
organización.
8.3.2 Disposición de los medios Control: Se debería disponer en forma segura de los medios cuando ya no se
requieran, utilizando procedimientos formales.
8.3.3 Transferencia de medios físicos Control: Los medios que contienen información se deberían proteger contra
acceso no autorizado, uso indebido o corrupción durante el transporte.
9 Control de acceso
9.1 Requisitos del negocio para control de
acceso
Objetivo: Limitar el acceso a información y a instalaciones de procesamiento de
información.
9.1.1 Política de control de acceso
Control: Se debería establecer, documentar y revisar una política de control de acceso con base en los requisitos del negocio y de seguridad de la información.
9.1.2 Política sobre el uso de los servicios de red Control: Solo se debería permitir acceso de los usuarios a la red y a los servicios
de red para los que hayan sido autorizados específicamente.
9.2 Gestión de acceso de usuarios Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el acceso no
autorizado a sistemas y servicios.
9.2.1 Registro y cancelación del registro de
usuarios
Control: Se debería implementar un proceso formal de registro y de cancelación
de registro de usuarios, para posibilitar la asignación de los derechos de acceso.
9.2.2
Suministro de acceso de usuarios Control: Se debería implementar un proceso de suministro de acceso formal de
usuarios para asignar o revocar los derechos de acceso a todo tipo de usuarios
para todos los sistemas y servicios.
9.2.3 Gestión de derechos de acceso privilegiado Control: Se debería restringir y controlar la asignación y uso de derechos de
acceso privilegiado.
9.2.4 Gestión de información de autenticación
secreta de usuarios
Control: La asignación de la información secreta se debería controlar por medio
de un proceso de gestión formal.
9.2.5 Revisión de los derechos de acceso de
usuarios
Control: Los propietarios de los activos deberían revisar los derechos de acceso
de los usuarios, a intervalos regulares.
9.2.6 Retiro o ajuste de los derechos de acceso
Control: Los derechos de acceso de todos los empleados y de usuarios externos
a la información y a las instalaciones de procesamiento de información se
deberían retirar al terminar su empleo, contrato o acuerdo, o se deberían
ajustar cuando se hagan cambios.
9.3 Responsabilidades de los usuarios Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su
información de autenticación.
9.3.1 Uso de la información de autenticación
secreta
Control: Se debería exigir a los usuarios que cumplan las prácticas de la
organización para el uso de información de autenticación secreta.
9.4 Control de acceso a sistemas y aplicaciones Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.
9.4.1
Restricción de acceso Información Control: El acceso a la información y a las funciones de los sistemas de las
aplicaciones se debería restringir de acuerdo con la política de control de
acceso.
9.4.2
Procedimiento de ingreso seguro Control: Cuando lo requiere la política de control de acceso, el acceso a
sistemas y aplicaciones se debería controlar mediante un proceso de ingreso
seguro.
9.4.3 Sistema de gestión de contraseñas Control: Los sistemas de gestión de contraseñas deberían ser interactivos y
deberían asegurar la calidad de las contraseñas.
9.4.4 Uso de programas utilitarios privilegiados
Control: Se debería restringir y controlar estrictamente el uso de programas utilitarios que pudieran tener capacidad de anular el sistema y los controles de las aplicaciones.
9.4.5 Control de acceso a códigos fuente de
programas
Control: Se debería restringir el acceso a los códigos fuente de los programas.
10 Criptografía
10.1 Controles criptográficos Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la
confidencialidad, la autenticidad y/o la integridad de la información.
10.1.1 Política sobre el uso de controles
criptográficos
Control: Se debería desarrollar e implementar una política sobre el uso de
controles criptográficos para la protección de la información.
10.1.2 Gestión de llaves
Control: Se debería desarrollar e implementar una política sobre el uso,
protección y tiempo de vida de las llaves criptográficas durante todo su ciclo de
vida.
11 Seguridad física y del entorno
11.1 Áreas seguras
Objetivo: Prevenir el acceso físico no autorizado, el daño y la interferencia a la
información y a las instalaciones de procesamiento de información de la
organización.
11.1.1
Perímetro de seguridad física Control: Se deberían definir y usar perímetros de seguridad, y usarlos para
proteger áreas que contengan información sensible o critica, e instalaciones de
manejo de información.
11.1.2 Controles físicos de entrada
Control: Las áreas seguras se deberían proteger mediante controles de entrada
apropiados para asegurar que solamente se permite el acceso a personal
autorizado.
11.1.3 Seguridad de oficinas, recintos e
instalaciones
Control: Se debería diseñar y aplicar seguridad física a oficinas, recintos e
instalaciones.
11.1.4 Protección contra amenazas externas y
ambientales
Control: Se debería diseñar y aplicar protección física contra desastres
naturales, ataques maliciosos o accidentes.
11.1.5 Trabajo en áreas seguras Control: Se deberían diseñar y aplicar procedimientos para trabajo en áreas
seguras.
11.1.6 Áreas de despacho y carga
Control: Se deberían controlar los puntos de acceso tales como áreas de
despacho y de carga, y otros puntos en donde pueden entrar personas no
autorizadas, y si es posible, aislarlos de las instalaciones de procesamiento de
información para evitar el acceso no autorizado.
11.2 Equipos Objetivo: Prevenir la perdida, daño, robo o compromiso de activos, y la
interrupción de las operaciones de la organización.
11.2.1
Ubicación y protección de los equipos Control: Los equipos deberían estar ubicados y protegidos para reducir los
riesgos de amenazas y peligros del entorno, y las oportunidades para acceso no
autorizado.
11.2.2 Servicios de suministro Control: Los equipos se deberían proteger contra fallas de energía y otras
interrupciones causadas por fallas en los servicios de suministro.
11.2.3 Seguridad del cableado
Control: El cableado de potencia y de telecomunicaciones que porta datos o
soporta servicios de información debería estar protegido contra interceptación,
interferencia o daño.
11.2.4 Mantenimiento de equipos Control: Los equipos se deberían mantener correctamente para asegurar su
disponibilidad e integridad continuas.
11.2.5 Retiro de activos Control: Los equipos, información o software no se deberían retirar de su sitio
sin autorización previa.
11.2.6
Seguridad de equipos y activos fuera de las
instalaciones
Control: Se deberían aplicar medidas de seguridad a los activos que se
encuentran fuera de las instalaciones de la organización, teniendo en cuenta
los diferentes riesgos de trabajar fuera de dichas instalaciones.
11.2.7 Disposición segura o reutilización de
equipos
Control: Se deberían verificar todos los elementos de equipos que contengan
medios de almacenamiento, para asegurar que cualquier dato sensible o
software con licencia haya sido retirado o sobrescrito en forma segura antes de
su disposición o reutilización.
11.2.8 Equipos de usuario desatendidos Control: Los usuarios deberían asegurarse de que a los equipos desatendidos se
les dé protección apropiada.
11.2.9
Política de escritorio limpio y pantalla
limpia
Control: Se debería adoptar una política de escritorio limpio para los papeles y
medios de almacenamiento removibles, y una política de pantalla limpia en las
instalaciones de procesamiento de información.
12 Seguridad de las operaciones
12.1 Procedimientos operacionales y
responsabilidades
Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de
procesamiento de información.
12.1.1 Procedimientos de operación
documentados
Control: Los procedimientos de operación se deberían documentar y poner a
disposición de todos los usuarios que los necesiten.
12.1.2 Gestión de cambios
Control: Se deberían controlar los cambios en la organización, en los procesos
de negocio, en las instalaciones y en los sistemas de procesamiento de
información que afectan la seguridad de la información.
12.1.3 Gestión de capacidad
Control: Para asegurar el desempeño requerido del sistema se debería hacer
seguimiento al uso de los recursos, hacer los ajustes, y hacer proyecciones de
los requisitos sobre la capacidad futura.
12.1.4
Separación de los ambientes de desarrollo,
pruebas y operación
Control: Se deberían separar los ambientes de desarrollo, prueba y operación,
para reducir los riesgos de acceso o cambios no autorizados al ambiente de
operación.
12.2 Protección contra códigos maliciosos
Objetivo: Asegurarse de que la información y las instalaciones de
procesamiento de información estén protegidas contra códigos maliciosos.
12.2.1
Controles contra códigos maliciosos Control: Se deberían implementar controles de detección, de prevención y de
recuperación, combinados con la toma de conciencia apropiada de los usuarios,
para proteger contra códigos maliciosos.
12.3 Copias de respaldo Objetivo: Proteger contra la perdida de datos.
12.3.1 Respaldo de información
Control: Se deberían hacer copias de respaldo de la información, del software e
imágenes de los sistemas, y ponerlas a prueba regularmente de acuerdo con
una política de copias de respaldo aceptada.
12.4 Registro y seguimiento Objetivo: Registrar eventos y generar evidencia.
12.4.1 Registro de eventos
Control: Se deberían elaborar, conservar y revisar regularmente los registros
acerca de actividades del usuario, excepciones, fallas y eventos de seguridad de
la información.
12.4.2 Protección de la información de registro Control: Las instalaciones y la información de registro se deberían proteger
contra alteración y acceso no autorizado.
12.4.3
Registros del administrador y del operador Control: Las actividades del administrador y del operador del sistema se
deberían registrar, y los registros se deberían proteger y revisar con
regularidad.
12.4.4 sincronización de relojes
Control: Los relojes de todos los sistemas de procesamiento de información
pertinentes dentro de una organización o ámbito de seguridad se deberían
sincronizar con una única fuente de referencia de tiempo.
12.5 Control de software operacional Objetivo: Asegurar la integridad de los sistemas operacionales.
12.5.1 Instalación de software en sistemas
operativos
Control: Se deberían implementar procedimientos para controlar la instalación
de software en sistemas operativos.
12.6 Gestión de la vulnerabilidad técnica Objetivo: Prevenir el aprovechamiento de las vulnerabilidades técnicas.
12.6.1 Gestión de las
vulnerabilidades técnicas
Control: Se debería obtener oportunamente información acerca de las
vulnerabilidades técnicas de los sistemas de información que se usen; evaluar la
exposición de la organización a estas vulnerabilidades, y tomar las medidas
apropiadas para tratar el riesgo asociado.
12.6.2 Restricciones sobre la instalación de
software
Control: Se deberían establecer e implementar las reglas para la instalación de
software por parte de los usuarios.
12.7 Consideraciones sobre auditorias de
sistemas de información
Objetivo: Minimizar el impacto de las actividades de auditoría sobre los
sistemas operacionales.
12.7.1 Información controles de auditoría de
sistemas
Control: Los requisitos y actividades de auditoría que involucran la verificación
de los sistemas operativos se deberían planificar y acordar cuidadosamente
para minimizar las interrupciones en los procesos del negocio.
13 Seguridad de las comunicaciones
13.1 Gestión de la seguridad de las redes Objetivo: Asegurar la protección de la información en las redes, y sus
instalaciones de procesamiento de información de soporte.
13.1.1 Controles de redes Control: Las redes se deberían gestionar y controlar para proteger la
información en sistemas y aplicaciones.
13.1.2 Seguridad de los servicios de red
Control: Se deberían identificar los mecanismos de seguridad, los niveles de
servicio y los requisitos de gestión de todos los servicios de red, e incluirlos en
los acuerdos de servicios de red, ya sea que los servicios se presten
internamente o se contraten externamente.
13.1.3 Separación en las redes Control: Los grupos de servicios de información, usuarios y sistemas de
información se deberían separar en las redes.
13.2 Transferencia de información Objetivo: Mantener la seguridad de la información transferida dentro de una
organización y con cualquier entidad externa.
13.2.1
Políticas y procedimientos de transferencia
de información
Control: Se debería contar con políticas, procedimientos y controles de
transferencia formales para proteger la transferencia de información mediante
el uso de todo tipo de instalaciones de comunicación.
13.2.2 Acuerdos sobre
transferencia de información
Control: Los acuerdos deberían tener en cuenta la transferencia segura de
información del negocio entre la organización y las partes externas.
13.2.3 Mensajería electrónica Control: Se debería proteger adecuadamente la información incluida en la
mensajería electrónica.
13.2.4
Acuerdos de
confidencialidad o de no divulgación
Control: Se deberían identificar, revisar regularmente y documentar los
requisitos para los acuerdos de confidencialidad o no divulgación que reflejen
las necesidades de la organización para la protección de la información.
14 Adquisición, desarrollo y mantenimientos
de sistemas
14.1.1 Requisitos de seguridad de los sistemas de
información
Objetivo: Asegurar que la seguridad de la información sea una parte integral de
los sistemas de información durante todo el ciclo de vida. Esto incluye también
los requisitos para sistemas de información que prestan servicios en redes
públicas.
14.1.1
Análisis y especificación de requisitos de
seguridad de la información
Control: Los requisitos relacionados con seguridad de la información se
deberían incluir en los requisitos para nuevos sistemas de información o para
mejoras a los sistemas de información existentes.
14.1.2
Seguridad de servicios de las aplicaciones
en redes publicas
Control: La información involucrada en los servicios de aplicaciones que pasan
sobre redes públicas se debería proteger de actividades fraudulentas, disputas
contractuales y divulgación y modificación no autorizadas.
14.1.3 Protección de transacciones de los servicios
de las aplicaciones
Control: La información involucrada en las transacciones de los servicios de las
aplicaciones se debería proteger para evitar la transmisión incompleta, el
enrutamiento errado, la alteración no autorizada de mensajes, la divulgación no
autorizada, y la duplicación o reproducción de mensajes no autorizada.
14.2
Seguridad en los procesos de desarrollo y
soporte
Objetivo: Asegurar de que la seguridad de la información esté diseñada e
implementada dentro del ciclo de vida de desarrollo de los sistemas de
información.
14.2.1 Política de desarrollo seguro Control: Se deberían establecer y aplicar reglas para el desarrollo de software y
de sistemas, a los desarrollos que se dan dentro de la organización.
14.2.2
Procedimientos de control de cambios en
sistemas
Control: Los cambios a los sistemas dentro del ciclo de vida de desarrollo se
deberían controlar mediante el uso de procedimientos formales de control de
cambios.
14.2.3
Revisión técnica de las aplicaciones después
de cambios en la plataforma de operación
Control: Cuando se cambian las plataformas de operación, se deberían revisar
las aplicaciones críticas del negocio, y ponerlas a prueba para asegurar que no
haya impacto adverso en las operaciones o seguridad de la organización.
14.2.4
Restricciones en los cambios a los paquetes
de software
Control: Se deberían desalentar las modificaciones a los paquetes de software,
que se deben limitar a los cambios necesarios, y todos los cambios se deberían
controlar estrictamente.
14.2.5
Principios de construcción de sistemas
seguros
Control: Se deberían establecer, documentar y mantener principios para la
construcción de sistemas seguros, y aplicarlos a cualquier actividad de
implementación de sistemas de información.
14.2.6 Ambiente de desarrollo seguro
Control: Las organizaciones deberían establecer y proteger adecuadamente los
ambientes de desarrollo seguros para las tareas de desarrollo e integración de
sistemas que comprendan todo el ciclo de vida de desarrollo de sistemas.
14.2.7 Desarrollo contratado externamente Control: La organización debería supervisar y hacer seguimiento de la actividad
de desarrollo de sistemas contratados externamente.
14.2.8 Pruebas de seguridad de sistemas Control: Durante el desarrollo se deberían llevar a cabo pruebas de funcionalidad
de la seguridad.
14.2.9
Prueba de aceptación de sistemas Control: Para los sistemas de información nuevos, actualizaciones y nuevas
versiones, se deberían establecer programas de prueba para aceptación y
criterios de aceptación relacionados.
14.3 Datos de prueba Objetivo: Asegurar la protección de los datos usados para pruebas.
14.3.1 Protección de datos de prueba
Control:Los datos de ensayo se deberían seleccionar, proteger y controlar
cuidadosamente.
15 Relación con los proveedores
15.1
Seguridad de la información en las
relaciones con los proveedores
Objetivo: Asegurar la protección de los activos de la organización que sean
accesibles a los proveedores.
15.1.1
Política de seguridad de la información para
las relaciones con proveedores
Control: Los requisitos de seguridad de la información para mitigar los riesgos
asociados con el acceso de proveedores a los activos de la organización se
deberían acordar con estos y se deberían documentar.
15.1.2 Tratamiento de la seguridad dentro de los
acuerdos con proveedores
Control: Se deberían establecer y acordar todos los requisitos de seguridad de
la información pertinentes con cada proveedor que pueda tener acceso,
procesar, almacenar, comunicar o suministrar componentes de infraestructura
de TI para la información de la organización.
15.1.3
Cadena de suministro de tecnología de
información y comunicación
Control: Los acuerdos con proveedores deberían incluir requisitos para tratar
los riesgos de seguridad de la información asociados con la cadena de
suministro de productos y servicios de tecnología de información y
comunicación.
15.2 Gestión de la prestación de servicios con los
proveedores
Objetivo: Mantener el nivel acordado de seguridad de la información y de
prestación del servicio en línea con los acuerdos con los proveedores.
15.2.1 Seguimiento y revisión de los servicios de
los proveedores
Las organizaciones deberían hacer seguimiento, revisar y auditar con
regularidad la prestación de servicios de los proveedores.
15.2.2 Gestión de cambios en los servicios de
proveedores
Control: Se deberían gestionar los cambios en el suministro de servicios por
parte de los proveedores, incluido el mantenimiento y la mejora de las políticas,
procedimientos y controles de seguridad de la información existentes ,
teniendo en cuenta la criticidad de la información, sistemas y procesos del
negocio involucrados, y la revaloración de los riesgos.
16 Gestión de incidentes de seguridad de la
información
16.1
Gestión de incidentes y mejoras en la
seguridad de la información
Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes
de seguridad de la información, incluida la comunicación sobre eventos de
seguridad y debilidades.
16.1.1
Responsabilidad y procedimientos Control: Se deberían establecer las responsabilidades y procedimientos de
gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes
de seguridad de la información.
16.1.2 Reporte de eventos de seguridad de la
información
Control: Los eventos de seguridad de la información se deberían informar a
través de los canales de gestión apropiados, tan pronto como sea posible.
16.1.3 Reporte de debilidades de seguridad de la
información
Control: Se debería exigir a todos los empleados y contratistas que usan los
servicios y sistemas de información de la organización, que observen e
informen cualquier debilidad de seguridad de la información observada o
sospechada en los sistemas o servicios.
16.1.4
Evaluación de eventos de seguridad de la
información y decisiones sobre ellos
Control: Los eventos de seguridad de la información se deberían evaluar y se
debería decidir si se van a clasificar como incidentes de seguridad de la
información.
16.1.5 Respuesta a incidentes de seguridad de la
información
Control: Se debería dar respuesta a los incidentes de seguridad de la
información de acuerdo con procedimientos documentados.
16.1.6
Aprendizaje obtenido de los incidentes de
seguridad de la información
Control: El conocimiento adquirido al analizar y resolver incidentes de seguridad
de la información se debería usar para reducir la posibilidad o el impacto de
incidentes futuros.
16.1.7 Recolección de evidencia
Control: La organización debería definir y aplicar procedimientos para la
identificación, recolección, adquisición y preservación de información que
pueda servir como evidencia.
17 Aspectos de seguridad de la información de
la gestión de continuidad de negocio
17.1 Continuidad de seguridad de la información Objetivo: La continuidad de seguridad de la información se debería incluir en los
sistemas de gestión de la continuidad de negocio de la organización.
17.1.1 Planificación de la continuidad de la
seguridad de la información
Control: La organización debería determinar sus requisitos para la seguridad de
la información y la continuidad de la gestión de la seguridad de la información
en situaciones adversas, por ejemplo, durante una crisis o desastre.
17.1.2
Implementación de la continuidad de la
seguridad de la información
Control: La organización debería establecer, documentar, implementar y
mantener procesos, procedimientos y controles para asegurar el nivel de
continuidad requerido para la seguridad de la información durante una
situación adversa.
17.1.3
Verificación, revisión y evaluación de la
continuidad de la seguridad de la
información
Control: La organización debería verificar a intervalos regulares los controles de
continuidad de la seguridad de la información establecidos e implementados,
con el fin de asegurar que son válidos y eficaces durante situaciones adversas.
17.2 Redundancias Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de
información.
17.2.1
Disponibilidad de instalaciones de
procesamiento de información.
Control: Las instalaciones de procesamiento de información se deberían
implementar con redundancia suficiente para cumplir los requisitos de
disponibilidad.
18 Cumplimiento
18.1
Cumplimiento de requisitos legales y
contractuales
Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de
reglamentación o contractuales relacionadas con seguridad de la información, y
de cualquier requisito de seguridad.
18.1.1 Identificación de la legislación aplicable y de
los requisitos contractuales
Control: Todos los requisitos estatutarios, reglamentarios y contractuales
pertinentes, y el enfoque de la organización para cumplirlos, se deberían
identificar y documentar explícitamente y mantenerlos actualizados para cada
sistema de información y para la organización.
18.1.2 Derechos de propiedad intelectual
Control: Se deberían implementar procedimientos apropiados para asegurar el
cumplimiento de los requisitos legislativos, de reglamentación y contractuales
relacionados con los derechos de propiedad intelectual y el uso de productos de
software patentados.
18.1.3 Protección de registros
Control: Los registros se deberían proteger contra perdida, destrucción,
falsificación, acceso no autorizado y liberación no autorizada, de acuerdo con
los requisitos legislativos, de reglamentación, contractuales y de negocio.
18.1.4
Privacidad y protección de datos personales Control: Cuando sea aplicable, se deberían asegurar la privacidad y la
protección de la información de datos personales, como se exige en la
legislación y la reglamentación pertinentes.
18.1.5 Reglamentación de controles criptográficos Control: Se deberían usar controles criptográficos, en cumplimiento de todos
los acuerdos, legislación y reglamentación pertinentes.
18.2 Revisiones de seguridad de la información Objetivo: Asegurar que la seguridad de la información se implemente y opere
de acuerdo con las políticas y procedimientos organizacionales.
18.2.1 Revisión independiente de la seguridad de
la información
Control: El enfoque de la organización para la gestión de la seguridad de la
información y su implementación (es decir, los objetivos de control, los
controles, las políticas, los procesos y los procedimientos para seguridad de la
información) se deberían revisar independientemente a intervalos planificados
o cuando ocurran cambios significativos.
18.2.2
Cumplimiento con las políticas y normas de
seguridad
Control: Los directores deberían revisar con regularidad el cumplimiento del
procesamiento y procedimientos de información dentro de su área de
responsabilidad, con las políticas y normas de seguridad apropiadas, y cualquier
otro requisito de seguridad.
18.2.3
Revisión del cumplimiento técnico Control: Los sistemas de información se deberían revisar periódicamente para
determinar el cumplimiento con las políticas y normas de seguridad de la
información.
Gestión de riesgos
El riesgo se define como la posibilidad de que se produzca un impacto en un Activo o en el Dominio. Gestionar
el riesgo significa que, en primer lugar es necesario identi ficar los riesgos que afectan a la Organización, y en
segundo lugar, es necesario establecer medidas de seguridad para reducir estos riesgos. Por tanto dentro de
la Gestión de riesgos podemos diferenciar principalmente 2 etapas: Análisis y Tratamiento
Para desarrollar todo el proceso de análisis y tratamiento de los riesgos, es imprescindible establecer una
Metodología, la cual definirá los pasos que se tienen que seguir para l levar a cabo la Gestión de Riesgos.
Actualmente existen muchas metodologías en el mercado pero todas tienen una serie de puntos en común,
los cuales veremos a continuación.
Metodologías existentes
MAGERIT
Se util iza mucho en España, sobre todo en Administraciones Públicas, ya que fue desarrollada por el Consejo
Superior de Administración Electrónica. Esta metodología no es muy conocida a nivel Internacional, aunque
su util ización puede ser interesante en cualquier tipo de empresa
CRAMM
Tuvo su origen en Reino Unido, ya que fue desarrollada por el CCTA (Central Computer and
Telecommunications Agency). Tiene reconocimiento a nivel Internacional, y su desarrollo es de los más
simples: Identificación y valoración de activos, valoración de amenazas y vulnerabilidades y selección de
contramedidas.
OCTAVE
Fue desarrollada por el SEI (Software Engineering Institute) en Estados Unidos, y también tiene un gran
reconocimiento internacional. Tiene una buena aceptación a nivel mundial, aunque las fases que la componen
son un poco diferentes de las metodologías habituales, lo cual suele implicar mayor di ficultad a la hora de
util izarla.
NIST 800-30
Fue desarrollada por el NIST (National Institute of Standards and Technology) en EEUU, y aunque tiene
reconocimiento Internacional, su uso se l imita sobre todo a EEUU (Administraciones Públicas). Aunque se
compone de un mayor número de fases que las anteriores metodologías, es muy intuitiva, sencilla de util izar.
ISO 27005
Es una norma ISO Internacional que no especi fica ningún método de análisis de riesgo concreto sino que,
contiene recomendaciones y directrices generales para la gestión de riesgos, por tanto, puede util izarse como
guía para elaborar una Metodología de gestión de riesgos propia.
ISO 31000
Al igual que la anterior, es una ISO Internacional que contiene una serie de buenas prácticas para gestionar
riesgos, aunque la diferencia con respecto la ISO 27005, es que esta no aplica solamente a la Seguridad de la
Información, sino que aplica a cualquier tipo de riesgo.
Conclusiones
Todos los activos de una Organización (sea grande o pequeña) están expuestos a riesgos, los cuales si no se
reducen pueden provocar un problema importante al negocio. Para reducir estos riesgos podemos implantar
controles util izando una metodología de análisis de riesgos. Una metodología de análisis de riesgos nos ayuda
a identificar activos, las amenazas/vulnerabilidades que les afectan, y calcular el nivel de riesgo, el cual tiene
que estar por debajo de un nivel aceptable para la Organización. Si el nivel de riesgo es superior al aceptable,
la Organización tiene que implantar controles de seguridad para reducirlo. Existen muchas metodologías, pero
todas tienen el mismo objetivo: calcular el riesgo asociado a los activos de la Organización y establecer
medidas para reducirlo.
1. Identificación de activos
Podemos considerar como activos: Impresoras, dispositivos de almacenamiento (discos duros externos,
pendrives), aplicaciones, ordenadores, servidores, personas, etc.)Todos estos elementos tienen información:
Impresora: Hojas que se imprimen
Pendrives: Información digital
Aplicaciones: Información digital
Servidores: Información digital
Empleados: Conocimiento, e información de la Organiza ción
No obstante también podemos identi ficar como activo elementos que no contienen información, pero que
son imprescindibles para otros activos que sí la tienen. Por ejemplo: Una consola de aire acondicionado no
contiene información, pero su funcionamiento implica que los servidores, que sí contienen información, no
se sobrecalienten y se averíen. También es importante identi ficar la dependencia que puede existir entre
activos: Una aplicación funciona en un servidor, por tanto, si el servidor deja de func ionar, la aplicación
también lo hará. Por último, además de identi ficar los activos, también puede ser necesario y/o interesante
valorarlos con respecto las 3 dimensiones de seguridad: Confidencialidad, Integridad y Disponibilidad
2. Identificación de amenazas y vulnerabilidades
Todos los activos de la Organización están expuestos a amenazas, y estas son explotadas por vulnerabilidades.
¿Qué es una amenaza?
Cualquier problema que pueda afectar al negocio: Ingeniería social, catástrofe natural, troyanos, v irus, etc.
Las amenazas son todo aquello que tiene el potencial de hacer daño. Dicho de otra forma una amenaza es
una condición del entorno del sistema de información, que dada la oportunidad, podría ocurrir una violación
a la seguridad. No se omite mencionar, que existen amenazas intencionales, las cuales buscan
deliberadamente causar un daño y las no intencionales, las cuales son producto del entorno, acciones u
omisiones no malintencionadas. En ambos casos, la presencia de la amenaza representa un riesgo potencial
de que ésta se materialice, sobre algún activo crítico de la organización.
Tipos de amenazas
En términos informáticos, la materialización de una amenaza no es más que la ejecución de un ataque, el cual
consiste en aprovechar las vulnerabilidades de los sistemas informáticos para comprometer la
confidencialidad, integridad y disponibilidad de la información. Estos ataques se dividen en dos, los pasivos y
los activos, y a su vez se clasifican en cuatro categorías: intercepción, interrupción, modificación, y fabricación.
Cada categoría puede afectar uno o más principios de la tríada de la información como se muestra en la Figura
siguiente.
Amenazas de software
Estas amenazas refieren a fallas asociadas al software instalado por defecto en los sistemas operativos,
software desarrollado, software mal implementado y al software malicioso diseñado para afectar
directamente al sistema. Las cuales según sus características podrían ser agrupadas en alguna de las cuatro
categorías mencionadas en la Figura 1.5.
A continuación se describen de forma genera l las amenazas más comunes que afectan a los sistemas de
información y comunicación.
Software desarrollado: Es el software creado por el propio usuario del sistema, el cual puede tener
errores o huecos de seguridad que pasaron desapercibidos por el programador durante la etapa de
desarrollo, un intruso podría aprovechar de estas deficiencias para comprometer la seguridad de
los sistemas donde sea ejecutado dicho software.
Software de aplicación: Este software no fue desarrollado con fines maliciosos, pero por sus
características y funcionalidades puede ser util izado por un usuario para realizar ataques a los
sistemas de información.
Cookies: Las cookies no son un archivo malicioso como tal, son archivos de texto que los
navegadores de Internet util izan para facilitar la conexión de un equipo informático con un sitio
Web, sin embargo, representan una amenaza para la privacidad de la información compartida por
los usuarios en Internet.
Phishing: Consiste en la suplantación de identidad de sitios Web, con la intención de engañar y
estafar a usuarios legítimos para que proporcionen datos confidenciales como: usuarios,
contraseñas, números de tarjetas de crédito, etcétera. Estas amenazas no sólo afectan a la víctima,
sino la imagen y reputación de la organización s uplantada.
Spam: Se refiere a la acción de envío de correo electrónico a quien no lo solicita y de forma masiva.
Estos correos representan uno de los principales focos de infección en la red.
Scams: Son los correos electrónicos que pretenden obtener datos confidenciales de los usuarios
con la intención de estafarlos económicamente u obtener un beneficio no legal de ello.
Malware: Proviene de la contracción de las palabras en inglés Malicious Software, es todo aquel
software diseñado y programado para afecta r uno o más de los aspectos de la seguridad de la
información. Las siguientes descripciones son referentes a las amenazas más comunes englobadas
dentro de la categoría de Malware:
o Virus: Son programas informáticos diseñados para infectar archivos y equipos de cómputo,
no requiere de la colaboración del usuario para su propagación, debido a que es código
que se replica uniéndose a otro objeto generalmente sin consentimiento ni conocimiento
del usuario, algunos toman el control de los programas de correo elec trónico, otros
adquieren control de los recursos del sistema infectado. Incluso algunos virus pueden
destruir o corromper archivos de datos, borrar programas o dañar el propio sistema
operativo.
o Gusanos: Los gusanos son programas parecidos a los virus, sól o que éstos realizan copias
de sí mismos aprovechándose de manera excesiva de los recursos del sistema
comprometido, su objetivo es replicarse a través de las redes de datos y así causar el
mayor impacto en los equipos de cómputo y redes de datos.
o Caballos de Troya: Conocidos como “troyanos”, es un tipo de malware que se hace pasar
por un programa inofensivo para vulnerar la seguridad de los sistemas, posteriormente se
activa de manera discreta y sin consentimiento del usuario cumpliendo así, su propósito
nocivo para el que fue creado.
o Adware: Son programas con fines de publicidad, muestran anuncios no deseados en los
equipos y sitios Web; muchos de estos anuncios redirigen a los usuarios a sitios maliciosos
para robar sus datos confidenciales o infectar sus equipos.
o Spyware: Son programas espías que recopilan información de la actividad en equipos de
cómputo y sitios Web sin el consentimiento ni conocimiento del usuario referente. Esta
información es enviada de forma remota a un tercero.
o Rootkits: Son programas especialmente diseñados para ocultar información de procesos,
archivos, conexiones red, etcétera. Comúnmente son instalados por los intrusos en
sistemas de información donde quieren que su actividad maliciosa pase desapercibida.
o Exploits: Son programas diseñados para crear accesos (abrir puertas) en los sistemas, se
aprovechan de huecos de seguridad existentes en los sistemas informáticos asociados a las
aplicaciones instaladas.
o Botnets: Son un conjunto de equipos infectados por un código malicioso (bots) que son
controlados por un servidor C&C (Command & Control – Comando y Control). Estas redes
de bots reciben intrucciones de forma remota para infectar más equipos vulnerables en la
red, y son usados para realizar ataques de denegación de servicio distr ibuido sobre sitios
Web o a equipos conectados a Internet.
Amenazas humanas
Al hablar de amenazas, no se debe omitir que el factor humano es la principal fuente de éstas ya que existen
en los sistemas de información y comunicación, en éste tipo de amenaza en el que se invierten más recursos
para controlarlos y contrarrestar sus efectos. De aquí la famosa frase de que “el eslabón más débil en la
seguridad informática es el humano”. Este tipo de amenazas pueden ser muy diversas, sin embargo, las más
comunes se describen a continuación:
Ingeniería social: Se compone de todas aquellas estrategias y acciones a fin de obtener información
confidencial mediante la manipulación de los custodios de la información, para que éstos la
proporcionen de forma voluntaria. Es ta amenaza se aprovecha de la debilidad natural de las
personas que tienden a confiar en la palabra de otras.
Sabotaje: Es común que éstas acciones sean realizadas por personal de la propia organización, ya
sea por un despido o inconformidad laboral o bien por un competidor directo de la organización.
Las acciones van dirigidas a dañar físicamente o lógicamente los equipos informáticos críticos y
causar así, una interrupción del servicio.
Fraude: Estas acciones se aprovechan de los privilegios y permisos que le permiten a una persona
malintencionada obtener un beneficio propio, ajeno al objetivo de la organización a través del
acceso a información y programas restringidos.
Robo: Son las actividades enfocadas a la extracción física o lógica de información mediante el
empleo de dispositivos de almacenamiento o uso de cuentas de correo electrónico.
Intrusos remunerados: se trata de personas con un grado elevado de conocimientos de Pen -testing,
los cuales son contratados para identificar las vulnerabilidades de l a seguridad de los sistemas de
información de una organización y realizar actividades malintencionadas como el copiado, borrado,
modificación y creación de información.
Curiosos: Se trata de personas que vulneran la seguridad de sistemas, de los cuales no están
autorizados para ingresar. Esto lo hacen por simple desafío a sus conocimientos y habilidades
informáticas o por el deseo de conocer la información que resguardan los sistemas.
Amenazas de hardware
Aunado a las amenazas antes mencionadas, también exi sten las amenazas inherentes a fallas físicas que
pueden ocurrir en alguno de los componentes que constituyen un equipo informático. De este tipo se
mencionan las siguientes:
De fabricación: Ocurre cuando los componentes del hardware no son compatibles ni cumplen con
los requerimientos para su correcto funcionamiento, por ejemplo, si se adquiere un módulo de
memoria RAM y está dañado, al colocarse en el equipo podría causar un daño físico irreversible en
la tarjeta madre del sistema.
Suministro de energía: las variaciones de voltaje y no tener una conexión trifásica correctamente
aterrizada, podría provocar daños en los dispositivos electrónicos. También al tener un voltaje de
abastecimiento por debajo del requerido podría provocar daños a los circuitos de forma
permanente.
Uso o desgaste: todos los componentes de un equipo de cómputo tienen una vida útil, si no se
implementan mantenimientos preventivos al hardware, la disponibilidad de la información se
podría ver afectada, por ejemplo, si la fuente de alimentación se dañara o si el disco duro sufriera
un daño físico, el usuario se vería imposibilitado para acceder a la información contenida en el
equipo.
¿Qué es una vulnerabilidad?
Situación que provoca que una amenaza pueda producirse. Una vulnerabilidad se refiere a la debilidad
existente en un sistema informático que permite que una entidad comprometa la confidencialidad, la
integridad y la disponibilidad de los sistemas e información que procesan y almacenan.
Al hablar de vulnerabilidad es importante no perder de vista el concepto de riesgo, el cual representa la
probabilidad de que una amenaza se materialice sobre un activo, explotando algún tipo vulnerabilidad. En un
sistema informático se deben proteger los activos, es decir, todos aquellos recursos que conforman al sistema
y se agrupan en activos de: hardware, software y datos. De los cuales, el más crítico de todos son los datos,
los demás tienen una mayor probabilidad de restablecerse.
Por ejemplo, imaginemos que en una Organización existe poca concienciación en seguridad de la información,
esto (la vulnerabilidad) ocasionará que exista más probabilidad de que alguno de sus empleados se descargue
un correo electrónico con un troyano o un virus (amenaza). Lo recomendable suele ser identi ficar
amenazas/vulnerabilidades por tipo de activo, lo cual nos ahorrará mucho trabajo, ya que todos los activos
que estén bajo el paraguas de una misma categoría podrán compartir amenazas/vulnerabilidades. No
obstante hay que hacer un análisis por cada activo y comproba r si las amenazas/vulnerabilidades que le
corresponden por su categoría son adecuadas. Casi todas las metodologías de gestión de riesgos, o al menos
las más importantes, incluyen un catálogo de amenazas de donde se pueden seleccionar las que apliquen a
cada activo.
Tipos de vulnerabilidades
A continuación se muestra la clasificación general de vulnerabilidades que contempla seis categorías.
Física: Se relaciona con la posibilidad de acceso físico al área en donde se ubica el sistema. Las
vulnerabilidades de este tipo son explotadas por falta o deficiencias en las políticas de acceso de
personal no autorizado a áreas físicas restringidas.
Natural: Se refieren a las deficiencias para enfrentar desastres naturales relacionados con la
humedad, polvo, agentes contaminantes, sismos, terremotos, inundaciones, incendios, etcétera. Las
cuales se pueden ver reflejadas por ejemplo, en la falta de extintores de fuego, no-breaks, mal
sistema de ventilación, entre otros.
De hardware: Este tipo de vulnerabilidades se relacionan con los defectos, fallas de fabricación, la no
verificación de las especificaciones técnicas, falta de mantenimiento.
De software: Se relaciona con las fallas y debilidades que hacen posible el acceso indebido a los
sistemas y en consecuencia a la información que éstos almacenan. Ejemplos: configuración e
instalación indebida de programas, protocolos de comunicación carentes de seguridad, mal diseño y
programación de una aplicación, etcétera.
De red: Al conectar un equipo a una red de datos se incrementa el riesgo de que sea comprometido,
pues la cantidad de personas que pudieran interactuar con el sistema es mayor, sin olvidar el riesgo
de que la información transmitida pueda ser interceptada por un ente no autorizado.
Humana: Esta vulnerabilidad se sustenta en el hecho de que el factor humano es el eslabón más débil
de la seguridad y se ve reflejado en el daño que las personas pueden causar a la información y a los
sistemas que la almacenan. Por ejemplo, las personas por su propia naturaleza son vulner ables a la
ingeniería social, ingeniería social inversa, lo anterior aunado a la falta de capacitación, cansancio,
aumentan el riesgo de explotación de esta vulnerabilidad.
Existe una clasificación más general de las vulnerabilidades la cual se menciona a continuación.
De diseño: Se presenta en el diseño de protocolos de red o comunicaciones, o bien en políticas de
seguridad deficientes que fueron diseñadas para proteger los activos de la organización.
De implementación: Se presenta cuando existen errores de programación en las aplicaciones, por
carencia o deficientes pruebas de “caja negra” y “caja blanca” en la fase de desarrollo y fase de
pruebas.
De uso: Mala configuración asociada a la interacción que tienen las aplicaciones y sistemas operativos
con el usuario.
Así mismo las vulnerabilidades se pueden clasificar en las siguientes dos categorías, esto en relación al tiempo
de detección, características y posibles soluciones de la vulnerabilidad.
Vulnerabilidad conocida: son vulnerabilidades que se presentan en las aplicaciones y sistemas
operativos de forma cotidiana debido a la naturaleza de su programación y funcionamiento. Su
afectación en los sistemas está ampliamente documentada y existe más de una solución.
Vulnerabilidad de día cero: son todas aquellas vulnerabilidades que no tienen una forma de
mitigación o erradicación conocida, pero sí se sabe cómo materializar una amenaza sobre ellas.
Existen sitios en Internet que se dedican a registrar y documentar las vulnerabilidades asociadas a versiones
y variantes de sistemas operativos, así como de las aplicaciones que interactúan con los mismos. Estos sitios
son útiles para identificar las vulnerabilidades asociadas a dicho software, así como las acciones que se pueden
implementar para erradicar di cha vulnerabilidad de los sistemas.
NIST (National Institute of Standards and Technology – Instituto Nacional de Estándares y Tecnología,
http://web.nvd.nist.gov/)
OSVDB (Open Source Vulnerability Database – Base de Datos Abierta e Independiente de
Vulnerabilidades, http://www.osvdb.org/)
CVE (Common Vulnerabilities and Exposures – Vulnerabilidades y Exposiciones Comunes,
http://cve.mitre.org/)
SecurityFocus (http://www.securityfocus.com)
3. Cálculo del nivel de riesgo
El cálculo del nivel de riesgo se realiza de manera distinta dependiendo de la metodología que se considere,
ya que cada una util iza una fórmula de cálculo distinta (probablemente esto sea lo que haga más distinta unas
metodologías de otras). No obstante aquí veremos una fórmula sencilla y rápida de entender, basada en 2
parámetros fundamentales en gestión de ries gos:
Probabilidad de que una amenaza se materialice.
Impacto en la Organización resultante de la materialización de una amenaza.
En algunos casos también se considerará la valoración del activo (basada en las 3 dimensiones:
Confidencialidad, Integridad y Disponibilidad).Tanto el Impacto como la Probabilidad se pueden medir en
valores porcentuales, lo cual nos resultará más sencillo a la hora de calcular el nivel de riesgo.
Impacto: Por ejemplo 0% si la amenaza no produce ningún daño, 50% si el daño es considerable y
100% si el daño es muy crítico para la Organización.
Probabilidad: Por ejemplo 0% si la probabilidad de que la amenaza se materialice es muy baja, 50%
si la probabilidad es considerable y 100% si la probabilidad es muy alta.
Al final, obtendremos un valor numéri co para el riesgo, el cual representará lo siguiente:
Probabilidad de que una amenaza se materialice e impacto en la Organización en caso de que se
materialice.
El siguiente paso será determinar si este nivel de riesgo es aceptable para la Organización, es decir, si el nivel
de riesgo detectado está por encima del nivel de riesgo aceptable.
¿Qué es el nivel de riesgo aceptable?
Es el nivel de riesgo que establece la Organización como permitido, es decir, si el nivel de riesgo aceptable por
ejemplo es medio, únicamente supondrá un peligro para la Organización aquellos riesgos que estén por
encima: Alto. Por tanto, si el nivel de riesgo está por encima del aceptable, tendremos que hacer un
tratamiento del mismo con el objetivo de reducirlo (a un nivel ac eptable)
4. Establecimiento de controles
Para aquellos riesgos que superen el nivel aceptable tendremos que aplicar controles. Para hacer esta
implantación de controles de manera ordenada, estructurada y plani ficada, estableceremos un Plan de
Tratamiento.El definir un Plan para la implantación de los controles también es fundamental, ya que existirán
muchos e implantarlos todos puede convertirse en un verdadero caos si no existe un orden, una estructura y
una planificación.El Plan de Tratamiento de Riesgos tiene que contener una serie de información básica:
Responsable del control: Persona que se responsabiliza de la correcta implantación del control
Recursos: Personas, técnicos, empresas externas o materiales que se util izarán para la implantación
del control
Acciones a l levar a cabo: Acciones que serán necesarias para la implantación del control
Prioridad: Todos los controles no tienen la misma prioridad, ya que por una parte el nivel de riesgo
no será el mismo, ni tampoco el valor de cada activo para la Organización. Por tanto es necesario
establecer prioridades. Esta prioridad puede venir determinada por la fecha de implantación de cada
control.
Después de implantar todos los controles de seguridad, tenemos que calcular el riesgo residual.
¿Qué es el riesgo residual?
Es el riesgo que sigue quedando después de implantar los controles de seguridad.
Cuando implantamos los controles reducimos el riesgo, pero este no dejará de existir, siempre quedará un
nivel, aunque sea mínimo.
¿Qué ocurre si el nivel de riesgo, reducido por la implantación de los controles de seguridad, sigue estando
por encima del nivel de riesgo aceptable?
Tendremos que tomar una decisión en cuanto al tratamiento, y deberá quedar formalmente establecido en
nuestra metodología de análisis y tratamiento de riesgos. Esta decisión se puede resumir en las siguientes
posibil idades:
Asumir el riesgo: La Organización conoce el riesgo y no puede establecer más recursos de los ya
establecidos para reducirlo.
Transferirlo a otra parte: Una compañía de seguros, una compañía externa, etc.