SGSI 27001
-
Upload
anibal-ruben-mantilla -
Category
Documents
-
view
33 -
download
2
description
Transcript of SGSI 27001
TÍTULO
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN BASE
A ISO 27001
TITLE
DESIGNING A MANAGEMENT SYSTEM INFORMATION SECURITY BASED ON ISO 27001
ING. ANIBAL RUBEN MANTILLA GUERRA, MSc.
Quito, Ecuador
RESUMEN
En este trabajo, se presenta el Diseño de un Sistema de Gestión de Seguridad de la Información,
tomando como referencia de calidad, a la norma ISO 27001. En la sección 1 se estudian
conceptos fundamentales que deben conocerse antes de abordar el proceso de diseño, estos
refieren a: Seguridad Informática, Sistema de Gestión de Seguridad de la Información, ISO 27001.
La sección 2, presenta la Metodología para el Diseño del Sistema de Gestión de Seguridad de la
Información con ISO 27001; y por su especial trasncerdencia para la Organización, se estudia de
forma separa y detallada, la Metodología para la Gestión de la Continuidad de la Operaciones.
Una vez que se ha diseñado un Sistema de Gestión de Seguridad de la Información en base a la
norma ISO 27001, se procede a validarlo mediante la aplicación a un caso de estudio, los
resultados de dicha aplicación son presentados en al sección 3. El caso de estudio escogido es
una Cooperativa de Ahorro y Crédito, misma que no se identifica por razones de seguridad.
ABSTRACT
In this paper, it present the design of a Management System of Information Security, quality with
reference to ISO 27001. In Section 1 it study fundamental concepts that should be known before
boarding the design process, these relate to: Information Security Management System of
Information Security, ISO 27001. Section 2 presents the methodology for Design Management
System Information Security with ISO 27001 and its special trasncerdencia for the Organization, is
studied and detailed separates, the Methodology for Management Continuity operations. Once
designed a Management System Information Security based on ISO 27001, proceed to validate it
by applying to a case study, the results of this application are presented in the section 3. The case
study chosen is a Savings and Credit Cooperative, it is not identified for security reasons.
1
PALABRAS CLAVES
SEGURIDAD INFORMATICA, SISTEMA DE GESTION, ISO 27001
KEYWORDS
INFORMATION SECURITY, MANAGEMENT SYSTEM, ISO 27001
INTRODUCCIÓN
Manifestar que la seguridad de la información en última instancia busca la integridad,
confiabilidad, disponibilidad, y no repidio de la misma, es puntual y preciso, sin embargo una
expresión de esta naturaleza, no permitiría posiblemente alcanzar la profundad y extensión que
requiere este tema. Resulta por tanto más adecuado, indicar algunos de los efectos que la falta de
la seguridad informática pueden causar, por ejemplo, catástrofes aereas, colapso de sistemas de
semaforización, incapacidad para operar sistemas de manufactura computarizados, millones de
personas afectadas por ataques a Sistemas Financieros, incapacidad de estados para poder
defenderse de ataques militares, ciudades sin energía eléctrica. Estos son ejemplos de siniestros
con alto nivel de severidad en el impacto del ataque, debido entre otros, a la falta de seguridad en
la información. Pudiera pensarse en escenarios de catástrofe con un nivel severidad menor, como
por ejemplo la pérdida de una memeria flash, o quizá la pérdida de una computadora; sin
embargo, dependiendo de la información contenida en ellas, y de la forma en que ayudan a
soportar los procesos vitales de una organización, cualquiera de estas dos pérdidas pudiera
resultar enorme catástrofe para la organización.
El riesgo al que está expuesta una organización, depende de la probabilidad de que las amenazas
exploten sus vulnerabilidades y debilidades. En un tiempo en que el gobierno electrónico, el
comercio electrónico, y muchísimas otras actividades de la civilización actual, dependen del uso
Tecnologías de la Información y Comunicación, resulta de extremo riesgo operar sin Sistemas de
Gestión de Seguridad de la Información, pues atacantes organizados con equipos de alta
tecnonolgia y elevado conocimiento podrían hacer de las suyas. Pero no se debe pensar que solo
ese tipo de atacantes pueden constituir una amenaza, también lo son los empleados de una
organización que no manejan adecuadamente la información o que salieron resentidos de la
misma y buscan ahcer daño. También hay la probablidad de fallos eléctricos, terremotos,
incendios, erupciones volcánicas, vandalismo, entre otros.
La norma ISO 27001, estándar certificable, plantea el marco de referencia para poder establecer
un Sistema de Gestión de Seguridad de la Información basado en procesos, y con el enfoque de
de calidad basado en la planificación, ejecución, monitoreo y corrección, a través de la mejora
continua. La Subsecretaría de Tecnologías de Información, presenta a la Norma NTE INEN
2
ISO/IEC 27001, com,o estándar aprobado y vigente desde el 2010 para la Seguridad de la
Información. Al momento de realizar la introducción de este artículo, se encuentran certificadas
con ISO 27001, alrededor de todo el mundo, un total de 7940 organizaciones, de las cuales
apenas 2 son ecuatorianas. Se espera que con un acercamiento a los Sistemas de Gestión de
Seguridad de la Información, y a la ISO 27001, el lector de este artículo pueda desarrollar sus
actividades con mayor seguridad, y coadyuvar de esta manera, al desarrollo de la Patria.
1. MARCO CONCEPTUAL
1.1 SEGURIDAD INFORMÁTICA
La seguridad informática en una organización, es el conjunto de mecanismos implantados que
garantizan la confidencialidad, integridad, no repudio, y disponibilidad de la información y los
recursos relacionados con ella.
La seguridad del sistema informático depende de varios factores, entre ellos, se pueden
mencionar los siguientes:
- Recursos para la seguridad informática.
- Conocimientos y capacidades de los responsables del sistema informático
- Mentalización y formación de todos los usuarios del sistema.
- Instalación, configuración y mantenimiento del los equipos.
- Soporte técnico de los fabricantes de hardware y software
Los factores que pueden afectar a la seguridad informática, se clasifican en: Técnico, Humano,
Organizativo, Legal.
Las consecuencias de la falta de seguridad informática que afronta una organización, dependen
de la naturaleza de la misma, sus actividades y su volumen de sus operaciones; sin embargo,
deben considerarse consecuencias comunes a todas las organizaciones, entre ellas:
- Conflictos sociales y laborales con la consiguiente disminución del rendimiento laboral
- Cese de transacciones, retraso en entregas, interrupciones en procesos productivos
- Incumplimiento de contratos, pérdida de oportunidades de negocio, deterioro de la imagen
- Extorsiones y secuestros
- Daños a la salud y pérdida de vidas humanas
3
El riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad, la cual
no es sino, cualquier debilidad asociada a los activos de información, mientras que la amenaza es
cualquier evento accidental o intencionado que pueda ocasionar algún daño en el sistema
informático.
En consecuencia, un activo de información se encuentra en riesgo, cuando una amenaza
explota una vulnerabilidad.
Entre otras amenazas a la seguridad informática, pude considerarse la acción de hackers,
crackers, ex empleados y personal interno de una organización. Las motivaciones de los
atacantes pueden ser tan variadas que pueden responder a circunstancias económicas,
ideológicas, sicológicas (como por ejemplo búsqueda de autorrealización, reconocimiento social,
diversión), una combinación de las anteriores, o quizá alguna diferente. Sin embargo, es posible
establecer los tipos de ataque más comunes, estos se listan a continuación:
- Detección de vulnerabilidades de los sistemas
- Robos de información mediante la interceptación de mensajes
- Modificación del contenido y secuencia de los mensajes
- Suplantación de identidad
- Modificación del tráfico y de las tablas de enrutamiento
- Conexión no autorizada a equipos y servidores
- Introducción de malware
- Fraudes, engaños y extorsiones
- Denegación de servicio
Dentro del ámbito de la seguridad informática, el factor humano es el elemento más débil, por ello
es necesario analizar su rol con los sistemas y redes informáticas de la organización. El principio
básico es que todas las soluciones informáticas implantadas por la organización (firewall,
antivirus, servidores Proxy, planes, políticas), pueden resultar inútiles ante el desconocimiento, la
falta de información, desinterés o ánimo de causar daño por parte de algún empleado. Muchos
empleados con acceso a Internet en la organización, tienden a hacer un mal uso del mismo,
pudiendo incluso perjudicar a la organización.
Es común, que en las organizaciones se establezcan procesos, normativas y controles, que
intentan ser soluciones tecnológicas y de gestión, para enfrentar los problemas de seguridad
informática; pero en muy pocos casos se realiza esta actividad siguiente un enfoque sistémico en
la organización. En la siguiente tabla se presentan las acciones tecnológicas y de gestión más
usualmente implementadas.
4
TABLA 1 Acciones típicamente utilizadas para resolver problemas de seguridad
ACCIONES TECNOLOGICAS Y DE GESTION PARA ENFRENTAR LOS PROBLEMAS DE SEGURIDAD INFORMATICA
Limitación de los servicios a Internet Antivirus
Posibilidad de revisión del correo electrónico
del empleado
Servidores de autenticación
Acceso al ordenador de un trabajador, sus
archivos y sus carpetas
Gestores de contraseñas
Bloqueo de direcciones webCentros de respaldo de datos
Asignación de permisos de acceso en
función del perfil del usuarioImplantación de sistemas biométricos
Seguridad frente a egreso e ingreso de los
empleaos a la organización
Firma electrónica
Adquisición de productos Protocolos criptográficos
Relación con proveedores Servidores Proxy
Seguridad física de las instalaciones Cortafuegos (firewall)
Auditoria de la gestión de la seguridad Zona desmilitarizada
Protección de equipos e instalaciones Sistemas redes señuelos
Control de equipos que pueden salir de la
organización
Vigilancia de la red
Copias de seguridad Sistemas de detección de intrusos
Identificación y autenticación de usuarios Control de emisión electromagnética
Seguridad en el desarrollo, implantación y
mantenimiento de aplicaciones informáticasAnalizadores de registro de actividad
1.2 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Muchas organizaciones creen tener sistemas eficientes y eficaces para proteger y asegurar la
información, poseen controles y medios para aplicar estos controles, sin embargo los aplican solo
cuando aparecen problemas de seguridad; de manera que actúan solo de forma reactiva, no
proactiva, y aún más sin tener un enfoque claro y bien estructurado de un sistema para gestionar
la seguridad de la información. Para toda organización, es fundamental contar con un sistema de
gestión de seguridad de la información, que actúe tanto en forma proactiva como reactiva, y que
además al momento de aplicarlo no resulte caduco. Para poder ejecutar procesos de seguridad de
5
la información, es necesario saber qué debe ser protegido, de qué debe ser protegido, y cómo
debe ser protegido.
Un sistema en el que se pueden integrar los factores humano, legal, tecnológico, y
organizacional, con todos los requerimientos y objetivos institucionales, recibe el nombre de
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, conocido por sus siglas como
SGSI. Este sistema es parte del sistema de gestión global de la empresa, basado en un enfoque
del riesgo de la organización, que tiene por finalidad establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la información.
El sistema de gestión de seguridad de la información incluye a la estructura de la organización, las
políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos,
1.3 NORMA ISO 27001
La Norma ISO 27001, es un estándar desarrollado como modelo para el establecimiento,
implementación, operación, monitorización, revisión, mantenimiento y mejora de un SGSI para
cualquier tipo de organización. Permite diseñar e implantar un SGSI, se encuentra influenciado
por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados, el tamaño,
los sistemas de soporte y la estructura de la organización. Su origen es británico, fue en 1995 el
BS 7799-1: 1995, hasta que, en el año 2005, la Organización Internacional para la Normalización
(ISO) la oficializó como norma. Esta norma puede ser aplicada a todo tipo de organizaciones,
tanto por su tamaño como por su actividad.
Dada la importancia que tiene un SGSI para las empresas, en Ginebra, donde se encuentra la
sede de ISO, se ha establecido la necesidad de hacer las revisiones a las normas, cada cinco
años, para decidir las posibles modificaciones. Así, se ha creado la familia ISO 27000, en la que
se encuentra la norma ISO 27001:2005, estándar certificable, el código de buenas prácticas IS0
27002:2007, la guía para implantación ISO 27003:2008, entre otras.
Esta norma (ISO 27001), actúa bajo el enfoque de procesos. La aplicación de un sistema de
procesos, dentro de la organización, junto con la identificación y las interacciones de estos
procesos, así como su gestión, puede denominarse “como enfoque basado en procesos”.
El enfoque basado en procesos para la gestión de la seguridad de la información presentado en
esta norma, enfatiza a los usuarios, la importancia de:
A) Comprender los requisitos de seguridad de la información de una organización y la necesidad
de establecer la política y objetivos para la seguridad de la información.
B) Implementar y operar controles para dirigir los riesgos de seguridad de la información de una
6
organización en el contexto de los riesgos globales del negocio de la organización
C) Realizar seguimiento y revisar el desempeño y la eficacia del SGSI; y
D) Mejorar el sistema de forma continua en base a mediciones objetivas.
Esta Norma adopta el modelo "Planificar, Hacer, Verificar, Actuar" (PHVA), el cual se aplica para
estructurar todos los procesos del SGSI, y tiene por objeto: establecer, gestionar y documentar el
SGSI, responsabilizando a la Dirección, incluso en el monitoreo, auditoria y mejoramiento
continuo.
Los objetivos de control y sus controles respectivos (anexo A - normativo de la norma ISO 27001)
enfocan la Seguridad de la Información a través de 11 áreas fundamentales para toda
organización. Estas áreas fundamentales de control se muestran en la siguiente figura, que
además incluye a los objetivos finales de la seguridad de la información, que son: la disponibilidad,
la confidencialidad, la integridad, y el no repudio.
FIGURA 1 Enfoque de los controles de la norma ISO 27001 1
1 Fuente: www.nexusasesores.com7
2. METODOLOGIA PARA EL DISEÑO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION CON ISO 27001
2.1 METODOLOGIA PARA EL ESTABLECIMIENTO Y GESTION DEL SGSI
Para llegar a establecer y gestionar el SGSI, se debe ejecutar un proceso metodológico, cuyos
subprocesos se listan a continuación:
A) Definir el alcance y los límites del SGSI
B) Definir la política para el SGSI
C) Definir el enfoque para la evaluación del riesgo
D) Identificar, analizar y evaluar los riesgos
E) Identificar y evaluar las opciones para el tratamiento del riesgo, incluyendo al riesgo
residual
F) Seleccionar los objetivos de control para el tratamiento del riesgo
G) Obtener la aprobación de los riesgos residuales por la dirección
H) Obtener la autorización de la dirección para implementar y operar el SGSI
I) Preparar una declaración de aplicabilidad
En atención especial al literal (D), dada la importancia y la sensibilidad del subproceso de
identificación, análisis y evaluación de los riesgos, es necesario ejecutar una secuencia de
actividades que permitan alcanzar un resultado objetivo y confiable. La siguiente lista presenta
estas actividades:
- Identificación de activos de información
- Tasación de activos de información
- Identificación de amenazas y posibilidades de ocurrencia
- Identificación de vulnerabilidades y posibilidades de ser explotadas por las amenazas
- Estimación de la exposición al riesgo de los activos de información
- Priorización de las amenazas por su exposición al riesgo
Al momento de tratar el riesgo, se debe considerar que solo hay 4 posibilidades para tratarlo,
estas son: Reducirlo, Aceptarlo, Transferirlo, Evitarlo. Se debe tomar en consideración, que
sea cual fuere la decisión para tratar el riesgo, siempre existirá el riesgo residual, que es aquel
que queda, después de implantar el plan de tratamiento. Este riesgo puede ser crítico y difícil de
calcularlo.
8
2.2 METODOLOGIA PARA LA GESTION DE LA CONTINUIDAD DE LAS OPERACIONES
Al analizar los hechos ocurridos el 11 de septiembre del 2001 con la torres gemelas, fue posible
establecer que muchas organizaciones desaparecieron para siempre, otras reanudaron sus
operaciones con muchas dificultades al cabo de varios días, semanas y meses más tarde. Varias
de ellas nunca se recuperaron plenamente, y sin embargo, otras operaron con casi total
normalidad al cabo de varias horas y días. Esta rotunda diferencia, se debió no solo a que varias
organizaciones contaban con un Sistema de Gestión de Seguridad de la Información, sino que
disponían además, de un Plan para la Continuidad de las Operaciones.
Las organizaciones pueden contar con alta tecnología, sistemas de gestión ante problemas de
seguridad informática, personal altamente capacitado, pero si no están preparadas para afrontar
eventos que ponga en riesgo la continuidad de sus operaciones, simplemente pueden
desaparecer ante siniestros. El Plan de Continuidad de las Operaciones debe ser considerado en
cinco fases secuenciales distribuidas en actividades como se muestra en la siguiente figura:
FIGURA 2 Fases para el Plan de Continuidad de Operaciones2
Por la trascendencia que tiene el Plan para la Continuidad de la Operaciones, a continuación se
describen y detallan, cada una de las cinco Fases en que debe desarrollarse el Plan.
2.2.1 FASE I: GESTIONAR EL RIESGO
2 Fuente: Gestión del riesgo en el Business Continuity Planning, Alexander, P:hD
9
Analizar el impacto al negocio
FASE IIentregables Riesgo y Controles Amenazas, exposicio-
nes, niveles de riesgo y controles.
Gestionar el Riesgo
FASE I
entregablesImpacto al NegocioProcesos críticos, operacionales y
financierosRequerimientos de
recuperación
entregablesFASE III Estrategia de ContinuidadRecursos críticos,
opciones, servicios y métodos de recuperación
Desarrollar un Plan de
Continuidad del Negocio
FASE IV Plan de Continuidad del Negocio
Documentado Ensayar el Plan de Continuidad de
Negocio
FASE V
entregablesPlan de Continuidad
del NegocioValidado
Desarrollar el plan de reanudación de
operaciones
Las actividades de la gestión del riesgo evalúan las amenazas de un desastre, pormenorizan las
vulnerabilidades existentes, los potenciales impactos de un desastre, identifican e implementan los
controles necesarios para prevenir o reducir los riesgos de un desastre y terminan identificando
escenarios de amenazas para aquellos procesos considerados esenciales en el BIA.
Un programa de PCN no sólo debe atender la recuperación de las instalaciones frente a un
desastre, sino también contemplar las acciones preventivas a que haya lugar. Para este propósito,
en todo programa de PCN, se debe efectuar con regularidad un cálculo del riesgo que no sólo
contemple la identificación de amenazas significativas que afecten las operaciones de la empresa,
las vulnerabilidades y el grado de exposición al riesgo, sino que igualmente es necesario
identificar los controles a instaurar para minimizar el daño del impacto de un posible desastre en la
empresa. La metodología para la gestión del riesgo en un PCN, consta de varios pasos, los cuales
se muestran a continuación:
- Identificar las Amenazas
- Identificar las Vulnerabilidades
- Revisar los Controles Actuales y Mitigar el Riesgo
- Calcular el Nivel de Exposición al Riesgo
- Determinar los Escenarios de Amenazas
2.2.2 FASE II: ANALIZAR EL IMPACTO AL NEGOCIO (BIA)
Consiste en identificar aquellos procesos relacionados con apoyar la misión de la empresa, y
analizar con muchos detalles los impactos en la gestión comercial del negocio, si esos procesos
fuesen interrumpidos como resultado de un desastre. Es necesario analizar los impactos
financieros y operacionales de un desastre en la organización, sus áreas y procesos. A
continuación se presentan los pasos secuenciales a seguir en un proceso metodológico:
- Evaluar los impactos financieros
- Evaluar los impactos operacionales
- Identificar los procesos críticos
- Establecer los tiempos de recuperación
- Identificar los requerimientos de recursos
- Generar un informe del BIA
2.2.3 FASE III: DESARROLLAR ESTRATEGÍAS PARA EL PLAN DE CONTINUIDAD
10
Aquí se evalúan los requerimientos y se identifican las opciones para la recuperación de procesos
críticos y sus recursos, en el escenario en que fuesen interrumpidos por un desastre.
Por cada escenario de amenazas se elaboran estrategias que contemplen los escenarios de
amenazas identificados.
El propósito de esta fase del proceso del PCN es desarrollar estrategias de continuidad del
negocio, que satisfagan los requerimientos de recuperación identificados en la etapa del BIA, y en
los escenarios de amenazas.
El diseño de una estrategia de continuidad consiste de cuatro etapas secuenciales, estas son:
- Identificación de requerimientos de la recuperación.
- Identificación de opciones de la recuperación.
- Evaluación de disponibilidad del tiempo.
- Fase D: Evaluación de los costos.
2.2.4 FASE IV: DESARROLLAR EL PLAN DE REANUDACIÓN DE OPERACIONES
Basado en las fases previas, se establece los procedimientos y lineamientos concretos para la
recuperación y el restablecimiento de los recursos dañados, y los procesos cuyo desempeño se
ha interrumpido.
El objetivo del plan de reanudación de operaciones es la recuperación de procesos críticos en un
determinado tiempo.
Un plan de reanudación de operaciones son una serie de actividades documentadas, que
pudiesen requerir desempeñaran los grupos de continuidad del negocio, como respuesta a la
aparición de un escenario de amenazas. El plan de reanudación de operaciones lleva a cabo las
estrategias de continuidad.
Se debe tener equipos de trabajo para la reanudación de las operaciones, la estructura del equipo
es fundamental para ejecutar el plan, siendo los criterios más lógicos para su efecto, los
siguientes:
- Tamaño de la organización,
- Ubicación de las instalaciones y unidades operativas,
- Estructura organizacional,
- Cultura organizacional,
- Escenarios potenciales de amenazas,
- Estrategias de continuidad,
11
- Complejidad de los planes de continuidad del negocio,
- Conocimiento especializado requerido.
2.2.5 FASE V: ENSAYAR EL PLAN DE CONTINUIDAD DE OPERACIONES
En esta fase se efectúa el ensayo del plan, con miras a poder determinar su grado de precisión y
actualización. El valor de esta fase es ensayar el plan de reanudación de operaciones para que
pueda considerarse aceptable.
La fase del ensayo tiene dos objetivos fundamentales:
- Verificar si el plan de reanudación de operaciones es adecuado y confiable para la
recuperación del negocio dentro de un tiempo prudencial.
- Identificar debilidades y brechas que pudiesen existir en el plan de reanudación de
operaciones.
3. APLICACIÓN DEL DISEÑO A UN CASO DE ESTUDIO
Para poder determinar y posteriormente analizar la situación de la seguridad de la información en
la organización del caso de estudio de manera objetiva, fue necesario medir el nivel de seguridad
existente, tomando como marco de referencia a los 11 objetivos de control de la ISO 27001. A la
medida alcanzada en cada uno de los 11 aspectos evaluados se ha denomina Grado de
Cumplimiento.
Una vez que se procesó toda la información a la que se tuvo acceso, en la Cooperativa de Ahorro
y Crédito, fue posible realizar un diagnóstico cuyos resultados se presentan en la Tabla 3.1. Estos
resultados se presentan de forma gráfica para facilitar su interpretación.
En cada gráfico de pastel, el área de color azul muestra el grado de cumplimiento en referencia al
SGSI diseñado; mientras que el área blanca indica la brecha existente con el grado de
cumplimiento deseado.
Todos los indicadores están interrelacionaos entre sí, ya que obedecen al enfoque sistémico y por
procesos, se determinan desde perspectivas diferentes pero complementarias. Como puede verse
en forma gráfica, la Política de Seguridad de la Información que es la base fundamental para un
Sistema de Gestión de Seguridad de la Información, debe recibir especial atención, pues el nivel
alcanzado es mínimo, al igual que indicadores como los de Gestión de Incidentes de seguridad,
Gestión para la Continuidad del negocio, y el Cumplimiento normativo.
12
Cobertura alcanzada en Gestión de la Seguridad de la Información por la CAC
Medida de la brecha existente con relación al SGSI diseñado para CAC
TABLA 2 Indicadores de la situación actual de la CAC
13
Una vez que se han determinado los riesgos y su implicación a la seguridad de la información de
la Cooperativa del Caso de estudio, se debió buscar la manera de tratar el riesgo. Para que esto
suceda, fue necesario que todos los elementos de la organización, es decir, personas, equipos,
instalaciones, procesos, tareas, documentos, y más componentes de la misma, se alinearan a
directrices claras y bien documentadas, para enfocar la actividad de la seguridad de la información
de manera efectiva.
TABLA 3 Actividades a desarrollar en los diferentes ámbitos del SGSI
AREA ORGANIZACIONAL AREA PERSONAL
- Definir políticas de seguridad
- Clasificar la información
- Incorporar un departamento de
seguridad informática
- Registrar e inventariar los accesos a
los sistemas informáticos
- Adaptar contratos con proveedores
- Elaborar un manual de seguridad
- Contratar seguros
- Gestionar incidentes de seguridad
- Desarrollar Plan de Contingencias
contra incendios
- Concientizar a los funcionarios y empleados
de la cooperativa
- Capacitar al personal en uso seguro de los
servicios de internet
AREA TECNOLOGICA
- Adaptar los sistemas de comunicación
- Adaptar la arquitectura de red
- Estandarizar y actualizar el software
AREA LEGAL
- Cumplir la normativa legal interna
- Cumplir la normativa legal externa
4. DISCUSION
14
La ISO 27001 constituye por analogía con la ISO 9001, el estándar de calidad para la seguridad
de la información. Si bien es cierto que en la aplicación del proceso de diseño a la Cooparativa de
ahorro y crédito del caso de estudio, se encontró que en dicha Cooperativa hay falencias y
debilidades en cuanto a la seguridad de la información, también es cierto que alcanzar los niveles
requeridos por la ISO 27001 para certificación son realmente elevados, y que se necesita del
compromiso de la genrencia, inversión, arduo trabajo bien organizado, documentado, y
objetivamente alineado con las necesidades organizacionales. Un proceso de diseño e
implementación de un Sistema de Gestió de Seguridad de la Información, inadecuadamente
desarrollado no solo que no mejora a la Organización, sino que le causa muchos problemas, que
incluso pudieran llegar a poner en riesgo su existencia. El manejo seguro de la información en
base a un estándar de calidad como Iso 27001, pudiera evitar que esta Coopetativa, y muchas
otras Instituciones Financieras, afronten problemas que conduzcan a cierres, salvatajes e
intervenciones, que afecten a millones de ecuatorianos, como ya ha sucedido en el Sistema
Financiero Nacional, produciendo pérdidas económicas, dolor y sufrimiento.
5. CONCLUSIONES
- La función de la Seguridad de la Información en cualquier tipo de organización, debe ser
considerada como un factor básico empresarial fundamental, de la misma trascendencia que
los aspectos comercial, financiero, administrativo.
- La seguridad de la información es un aspecto, que debe ser parte de la cultura organizacional;
cursos, seminarios, y talleres no bastan, hay que interiorizar en las personas de la
organización, la necesidad y beneficios de dicha cultura, así como los riesgos de no tenerla.
- El Sistema de Gestión de Seguridad de la Información debe ser permanentemente revisado,
mejorado y actualizado, para que brinde la máxima utilidad que la organización espera.
- Una eficiente Gestión de la Seguridad de la Información, debe considerar los aspectos:
organizacional, personal, tecnológico y legal, en base a un enfoque sistémico, en el que cada
uno de sus componentes esta interrelacionado con los demás, en su operación y
funcionamiento; y cada uno de ellos como todo el sistema, obedece al principio fundamental
causa – efecto.
BIBLIOGRAFÍA
15
Abad, Alfredo,(2001). Redes de Área Local. España: McGraw Hill.
Gómez, Alvaro, (2007). Enciclopedia de la seguridad informática.España : Alfaomega.
Hill, Brian, (2002).Manual de referencia CISCO. España: McGraw Hill.
O’ Brien, James, (2003). Sistemas de Información Gerencial. Colombia: McGraw Hill.
Laudon ,Kenneth,(2006). Sistemas de Información Gerencial. México: Prentice Hall.
Ley de cooperativas ecuatorianas,(2008). Ecuador: Autor
Ochoa, José, (2004). 101 claves de Tecnologías de Información para Directivos.
España: Prentice Hall.
Piattini, Mario, (2008). Auditoria de Tecnologías y Sistemas de Información.
México: Alfaomega.
Pressman,Roger,(2005). Ingeniería del Software. México:McGraw Hill.
Render, (2004). Administración de Operaciones. México: Prentice Hall.
Robbins, Stephen, (2002). Fundamentos de Administración. México: Prentice Hall.
Tanembaum, Andrew,(2003). Redes de Computadoras. México:Prentice Hall.
INEN,(2013). Norma ISO 27001, Parte1, Parte 2.Ecuador: Autor
ACERCA DEL AUTOR
Aníbal Rubén Mantilla Guerra, obtuvo su Título de Ingeniero en Electrónica y
Control en la Facultad de Ingeniería Eléctrica, y el Grado de Máster en Gestión
de las Comunicacones y Tecnologías de la Información, MSc. en la Facultad
de Ingeniernería de Sistemas , los dos, en la Escuela Politécnica Nacional. Ha
ejercido su profesión, y también la catedrática universitaria. Ha desarrollado su
actividad en la Factultad de Ingeniería en Ciencias Aplicadas de la
Universidad Técnica del Norte; en la Facultad de Ingeniería en Geología,
Minas, Petróleos y Ambieltal, de Universidad Central del Ecuador; actualmente Profesor a Tiempo
Completo de la Carrera de Ingeniería Mecatrónica en la Facultad de Ciencias de la Ingeniería de
la Universidad Tecnológica Equinoccial. Participó en actividades de Investigación en el Proyecto
CONUEP 90-02, de la Facultad de Ingeniería Mecánica de la Escuela Politécnica Nacional.
16