Universidad De Los Lagos

Campus Santiago
Carrera Ingeniera Informtica
Direccin: Repblica 517
Telfono: 56 (02) 675 3000

Asignatura: Bases de Datos

Profesor: Hctor Schulz Prez

Implementacin de un

Sistema de Seguridad de Informacin

Integrantes:

Francisco Bravo Pino

Carlos Pavez Cartagena

J. Alejandro Vilches Lastra

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Contenido
Introduccin...................................................................................................... 3
Definicin de informacin....................................................................................4
Sociedad e Informacin....................................................................................... 4
La informacin, un activo siempre expuesto al riesgo..............................................4
Informacin en las empresas................................................................................6
Qu es un SGSI?................................................................................................ 7
Para qu sirve un SGSI?..................................................................................... 7
Porqu implantar un sistema de seguridad de informacin?...................................8
Como establecer un Sistema de Gestin de Seguridad de Informacin (SGSI) para una empresa
...................................................................................................................... 12
Activos de informacin...................................................................................... 13
Tasacin de los activos de informacin................................................................13
Evaluacin de riesgo......................................................................................... 14
Desarrollo del plan de implementacin................................................................15
Monitoreo del sistema de seguridad....................................................................15
Conclusin Alejandro Vilches Lastra...................................................................17
Conclusin Francisco Bravo Pino........................................................................18
Conclusin Carlos Pavez Cartagena....................................................................19
Fuentes de informacin..................................................................................... 20

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Introduccin
El presente trabajo tiene por finalidad cubrir en un porcentaje mnimo el vaco
generado por la falta de un mtodo documentado sobre cmo proceder a
implantar en cualquier empresa un sistema de gestin de seguridad de
informacin (SGSI), que les permita a las organizaciones minimizar los riesgos y
asegurar una continuidad en sus operaciones. Mostramos una pequea
pincelada de cmo instaurar en cualquier firma un SGSI basado en la norma ISO
27001: 2005. las fases y las actividades de la metodologa sirven de gua a los
profesionales encargados de manejar proyectos de implantacin.
Al instaurar un SGSI, usualmente no se sabe con precisin cmo se procede a
documentar el modelo. Con qu clusula se debe iniciar la documentacin?
Cmo se documenta un procedimiento par que sea amigable y sea una
herramienta de trabajo? Hay muchos libros que resuelven con la debida
profundidad estas preguntas y en l se presenta la estructura piramidal de la
documentacin del modelo ISO 27001: 2005 y l mtodo de los 13 pasos para
documentar un SGSI, el cual debe convertirse en una gran asistencia para los
responsables de documentar los sistemas. Concreta y detalladamente, se
describen las fases y los pasos de la "metodologa para disear un Plan de
Continuidad del Negocio (PCN)". No existe un SGSI si no se tiene instaurado un
PCN.
Dicho estndar hace nfasis en que la tecnologa de informacin representa un
servicio de importancia estratgica, que debe ser adecuadamente administrado
y que cuenta con procesos estndares que permiten el logro de dicho objetivo
desde el desarrollo de los productos y servicios hasta su operacin permanente.

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Definicin de informacin
Para poder establecer un sistema de seguridad de informacin, primero
debemos definir lo que entendemos por informacin.
Se pueden encontrar variadas definiciones dependiendo de la fuente de
informacin y de los autores investigados, pero la mayora coincide en que la
informacin es un conjunto de datos acerca de algn suceso, hecho, fenmeno o
situacin, que organizados en un contexto determinado tienen un significado y
que tiene el propsito de reducir la incertidumbre o incrementar el conocimiento
de algo.

Sociedad e Informacin
Es difcil recrear en la mente un escenario de sociedad sin informacin. Vivimos
en una sociedad de fuertes transiciones, dimos el salto de la era mecnica e
industrial a la era de la informacin. El uso de los medios tecnolgicos y de
informacin ha afectado todos los mbitos sociales, ha modificado la forma de
interrelacionarnos y ha impactado los medios de produccin y las economas.
El mundo en el que vivimos est pletrico de datos, frases e conos. Hemos
aprendido a organizarlos y la informacin que de ellos deriva rige muchas de
nuestras decisiones. La percepcin que los seres humanos tenemos de nosotros
mismos ha cambiado, en vista de que se ha modificado la apreciacin que
tenemos de nuestro entorno. Nuestra circunstancia no es ms la del barrio o la
ciudad en donde vivimos, ni siquiera la del pas en donde nacemos. Nuestros
horizontes son, al menos en apariencia, de carcter planetario. Estas
caractersticas definen esta sociedad que conformamos, la sociedad de la
informacin.

La informacin, un activo siempre expuesto al riesgo

En los sistemas complejos siempre existirn riesgos que pueden poner en juego
la estabilidad y el futuro de las mismas y la informacin como nuevo factor
generador de ventajas competitivas no es la excepcin. Se establece que son
los datos y los medios de procesamiento, activos valiosos pero altamente
vulnerables, expuestos a riesgos, amenazas y a hechos que van en contra de la
seguridad de los mismos, que afectan su disponibilidad, su integridad y su
confidencialidad.
4

Universidad de los Lagos

Informacin

Siendo la informacin uno de sus

protegida de forma adecuada frente a
la continuidad del negocio. Esta
organizaciones respondan a tales
abriendo campo a nuevas disciplinas
minimizar tales riesgos.

Sistema de Gestin de Seguridad de

activos ms importantes, requiere ser

cualquier amenaza que ponga en peligro
situacin ha conllevado a que las
riesgos reordenando sus estructuras y
y habilidades gerenciales que ayuden a

Se inicia entonces, todo un proceso para gestionar la seguridad de la

informacin, se establecen normas internacionales y se definen polticas locales
que buscan garantizar integridad, confidencialidad y disponibilidad en la
informacin. Las organizaciones actuales estn llamadas a disear polticas
orientadas a gestionar el riesgo sobre la informacin y los sistemas que la
procesan y a disear sistemas eficientes para gerenciar el riesgo de tales
sistemas.
La informacin en la empresa es uno de los ms importantes activos que se
poseen. Las organizaciones tienen que desarrollar mecanismos que les permitan
asegurar la disponibilidad, integridad y confidencialidad en el manejo de la
informacin.
La informacin esta sujeta a muchas amenazas, tanto de ndole interna como
externa.
La informacin puede ser:

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Informacin en las empresas

En las empresas, la informacin puede ser de variados tipos y formas
dependiendo del rubro de la empresa y el nivel de tecnologa aplicada en ella.
La informacin puede estar

Impresa o escrita

Almacenada electrnicamente

Transmitida por medios electrnicos

Presentada en videos corporativos

Verbal - conversada formal / informalmente.

La informacin es considerada un activo ms para las empresas, debido a que

gran parte del registro necesario para su funcionamiento, se mantiene en
formatos digitales, como datos de clientes, datos ventas, datos de acreedores,
cuentas corrientes y todo dato que aporte informacin para el normal
funcionamiento de la empresa.
Por lo anterior, impera una proteccin adecuada a las informaciones
importantes.
Seguridad no es un producto, es un proceso que debe ser administrado.
Nada es esttico, la seguridad no es la excepcin. Mejora continua.
Seguridad total no existe, pero s existe la garanta de calidad en un
proceso de seguridad.
Segn la Cmara de Comercio estadounidense, casi el 80% de los valores
intelectuales de las corporaciones son electrnicos, y un competidor puede subir
hasta las nubes si roba secretos comerciales y listas de clientes.

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Qu es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la
Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,
siglas de Information Security Management System.
En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su
origen (de la propia organizacin o de fuentes externas) o de la fecha de
elaboracin.

Para qu sirve un SGSI?

La informacin, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organizacin. La confidencialidad, integridad y
disponibilidad de informacin sensible pueden llegar a ser esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e
imagen empresarial necesarios para lograr los objetivos de la organizacin y
asegurar beneficios econmicos.
Las organizaciones y sus sistemas de informacin estn expuestos a un nmero
cada vez ms elevado de amenazas que, aprovechando cualquiera de las
vulnerabilidades existentes, pueden someter a activos crticos de informacin a
diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus
informticos, el hacking o los ataques de denegacin de servicio son algunos
ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de
sufrir incidentes de seguridad causados voluntaria o involuntariamente desde
dentro de la propia organizacin o aquellos provocados accidentalmente por
catstrofes naturales y fallos tcnicos.
El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las
condiciones variables del entorno, la proteccin adecuada de los objetivos de
negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio, son algunos de los aspectos fundamentales en los
que un SGSI es una herramienta de gran utilidad y de importante ayuda para la
gestin de las organizaciones.

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Porqu implantar un sistema de seguridad de informacin?

Como se mencion anteriormente, la informacin en la empresa es uno de
activos ms importantes que se poseen y est sujeta a muchas amenazas, tanto
de ndole interna como externa, por lo tanto las organizaciones tienen que
desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y
confidencialidad en el manejo de la informacin.
La seguridad de informacin es mucho ms que establecer firewalls, aplicar
parches para corregir nuevas vulnerabilidades en el sistema de software o
guardar en una bveda los backups.
La seguridad de informacin es
determinar qu requiere ser protegido y por qu, de qu debe ser protegido y
cmo protegerlo.
La seguridad de informacin se caracteriza por la preservacin de:

CONFIDENCIALIDAD. La informacin est protegida de personas no

autorizadas.
INTEGRIDAD. La informacin est como se pretende, sin modificaciones
inapropiadas.
DISPONIBILIDAD. Los usuarios tienen acceso a la informacin y a los
activos asociados cuando lo requieran

Un sistema de seguridad de informacin, se encarga de protegerla de una serie

de amenazas para asegurar que la empresa pueda continuar operando,
minimizar daos a la gestin comercial, maximizando el retorno a la inversin y
oportunidades de negocios. Cada organizacin tendr un conjunto de
requerimientos diferentes de control y de niveles de confidencialidad, integridad
y disponibilidad.
De acuerdo con la normas ISO 27000, se considera amenaza aquella causa
potencial de un incidente no deseado, el cual puede causar dao a un sistema o
a una organizacin.
Al analizar las amenazas a las que se ve enfrentada la informacin podemos
clasificarlas en seis categoras, las que se pueden apreciar en el siguiente
diagrama:

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Amenazas Naturales. (Inundaciones, tsunamis, tornados, maremotos,

huracanes, sismos, tormentas, incendios forestales)

Amenazas a Instalaciones. (Fuego, explosiones, cadas de energa, dao

de agua, perdidas de acceso, fallas mecnicas)

Amenazas Humanas. (Huelgas, epidemias, materiales

problemas de transporte, prdidas de personal clave)

Amenazas Tecnolgicas. (Virus, hacking, prdida de datos, fallas de

hardware, fallas de software, fallas de red, fallas en lnea telefnica)

Amenazas Operacionales. (Crisis financiera, fallas en equipos, aspectos

regulatorios, mala publicidad)

Amenazas Sociales. (Motines, protestas, sabotaje vandalismo, violencia

laboral, terrorismo)

peligrosos,

Para que una amenaza cause dao a algn activo de informacin tendra que
explotar una o ms vulnerabilidades del sistema, aplicaciones o servicios
usados por la organizacin para ser exitosa en su intencin de hacer dao.
Una vez que se establecen las distintas amenazas que pueden afectar un activo,
se debe evaluar su posibilidad de ocurrencia.

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Junto con las amenazas, se debe estudiar las vulnerabilidades, que se definen
como debilidades de seguridad asociadas con los activos de informacin de una
organizacin.

Seguridad de los recursos humanos. (Falta de entrenamiento en

seguridad, falta de mecanismos de monitoreo, polticas para el uso
correcto de las telecomunicaciones, no eliminar los acceso al trmino del
contrato de trabajo, empleados desmotivados).

Control de acceso. (Segregacin inapropiada de redes, falta de polticas

de escritorio y pantalla limpia, polticas incorrectas de control de acceso,
claves de acceso sin modificaciones)

Seguridad fsica y ambiental. (Inadecuado control de acceso fsico a

oficinas, salones y edificios, ubicacin en reas propensas a inundaciones,
almacenes desprotegidos, carencia de programas de sustitucin de
equipos, equipos mal cuidados)

Gestin de operaciones y comunicacin. (Control de cambios

inadecuados, gestin de red inadecuada, carencia de mecanismos que
aseguren la emisin y recepcin de mensajes, carencia de tareas
segregadas, falta de proteccin en redes pblicas de comunicacin)

10

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Mantenimiento, desarrollo y mantencin de sistemas de

informacin. (Proteccin inapropiada de llaves criptogrficas, polticas
incompletas para el uso de criptografa, carencia de validacin de datos
procesados, falta de documentacin de software, mala seleccin de
pruebas de datos)

Una vez que se identifican las vulnerabilidades se debe evaluar la posibilidad

que sean explotadas por una amenaza.

11

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Como establecer un Sistema de Gestin de Seguridad de Informacin

(SGSI) para una empresa
Un sistema de seguridad de informacin se compone un conjunto de medidas,
procedimientos y herramientas tendientes a asegurar la informacin que la
organizacin considere importante para su funcionamiento.
Disear e implementar un SGSI depender de los objetivos estratgicos del
negocio y las necesidades de la empresa siendo estos los parmetros bsicos
para la definicin del alcance de su implementacin. Promover la ejecucin de
este proyecto proviene de las reas directivas responsables del buen
funcionamiento de la entidad y se convierte en un requisito indispensable para
garantizar el xito del proyecto.
Un SGSI vara segn el tipo de organizacin y el sector econmico en el que se
encuentre, sin embargo y de acuerdo con Alexander (2007), el procedimiento
para la implementacin y mantenimiento independiente del tipo de
organizacin, debe seguir un ciclo de mejora continua. Para el autor el crculo de
Deming2, es el mtodo ms adecuado para la implementacin de un SGSI ya
que propone una estrategia de mejora continua en 4 pasos: Planear, hacer
verificar y actuar. Las fases que a continuacin se describen, definidas por el
ciclo Deming, permiten entender todo el procedimiento de implementacin del
SGSI para cualquier empresa.

12

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Activos de informacin
Los activos de informacin que se encuentran dentro del alcance del SGSI son
fundamentales para su implementacin. El anlisis y evaluacin del riesgo y las
decisiones que se tomen en relacin al tratamiento de este riesgo, giran en
torno a los activos de informacin identificados.
Un activo es algo que tiene valor o utilidad
operaciones comerciales y su continuidad.

para la organizacin, sus

De esta forma, la organizacin debe proteger sus activos para una correcta
operacin del negocio.
Los activos de informacin pueden ser clasificados de la siguiente forma:

Activos de Informacin (Datos, manuales de usuario, etc.)

Documentos en Papel (contratos)

Activos de Software (aplicacin, software de sistema, etc.)

Activos fsicos (Computadores, medios magnticos, etc.)

Personal (clientes, trabajadores)

Imagen y reputacin de la organizacin

Servicios (comunicaciones, etc.)

Tasacin de los activos de informacin

Una vez que los activos se encuentran identificados, se debe proceder a
establecer el valor de cada uno de ellos, para lo que se puede utilizar una escala
de Likert, que define el valor 1 como muy bajo y el valor 5 muy alto. Para
definir el valor se debe realizar la pregunta Cmo una prdida o falla en un
determinado activo afecta la confidencialidad, integridad y disponibilidad?

Activos de
Informacin
Base de datos
Clientes
Equipos
computacionales

Confidencialida
d
5
5

Integridad
5
4

Disponibilida
d
5
3

Total
5
4
13

Universidad de los Lagos

Informacin
Lnea dedicada
Internet
Copias de respaldo
Switch
Disco duro

Sistema de Gestin de Seguridad de

3
3
4
2
1

3
4
4
2
2

4
4
4
4
5

3
4
4
3
3

Evaluacin de riesgo
Una vez que se ha realizado el anlisis y la evaluacin del riesgo, se deben
decidir las acciones que se tomarn con esos activos que se estn sujetos a
riesgo. Los riesgos descubiertos en las etapas anteriores, pueden manejarse con
una serie de controles para la deteccin y prevencin.
Los riesgos relacionados con la seguridad de informacin pueden ser difciles de
cuantificar en trminos de la probabilidad de ocurrencia.
Una vez que el riesgo se ha calculado, se debe tomar la decisin de cmo se
tratar el riesgo. Esta decisin estar influenciada por el tipo de negocio y el
escenario en que se desarrolla.
Estas decisiones sueles estar influenciadas por dos factores.

El posible impacto si el riesgo se pone de manifiesto.

Qu tan frecuente puede suceder.

Estos dos factores dan una idea de la prdida esperada si el riesgo ocurriera, si
nada se hace para mitigar el riesgo calculado.
Sin embargo, despus de haber tomado todas las acciones y decisiones dirigidas
a mitigar los riesgos, siempre queda un remante de ese riesgo. Este riesgo que
queda luego de implantado un sistema de Seguridad de informacin se llama
Riesgo Residual, que es difcil de calcular, pero se debe realizar una evaluacin
para asegurar que se logra una proteccin suficiente.

Desarrollo del plan de implementacin

Con todos los datos recogidos en las etapas de estudio, se debe desarrollar un
plan para implementar el SGSI, para lo que es posible utilizar las guas que
implantan las Normas ISO 27001:2005 e ISO 17799:2005.
Cabe sealar que la norma ISO 27001:2005 es una evolucin de la Norma ISO
17799:2005.
14

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

La estructura de la documentacin que exige la norma ISO es la siguiente:

Monitoreo del sistema de seguridad

Una vez que el sistema de encuentra en marcha, se deben ejecutar actividades
de monitoreo el SGSI que se ha implementado, con el objetivo de asegurar el
funcionamiento de todas las partes del plan. Es en esta etapa de monitoreo que
se detectarn las falencias de cobertura del plan, que debe ser corregido
contemplando la informacin resultante de los monitoreos.
Todo Sistema de Seguridad de Informacin debe ser revisado peridicamente,
con el objetivo de adaptarlo a los constantes cambios que sufren las
organizaciones y su entorno.

15

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Conclusin Alejandro Vilches Lastra

Conclusin.

16

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Conclusin Francisco Bravo Pino

-

La informacin se ha convertido un bien de incalculable valor para

las empresas y organizaciones.
Por tal motivo, stas no pueden darse el lujo por ser afectados por
prdida de informacin, filtracin de informacin o falta de
accesibilidad como de disponibilidad de sta.
Debido a la alta competitividad que existe entre las empresas es de
vital importancia contar con un Sistema de Seguridad de la
Informacin.
Implementar un eficiente SGSI no es algo trivial, hay que seguir una
metodologa que abarque todos los aspectos involucrados para que
no se escape ningn detalle y no quede ningn elemento
relacionado con la informacin vulnerable.
Una excelente forma para implementar un SGSI, es guiarse por las
normas de implementacin de la ISO 27001:2005, que es un
estndar internacional respecto al tema.

17

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Conclusin Carlos Pavez Cartagena

El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto
central sobre el que se construye ISO 27001.
La gestin de la seguridad de la informacin debe realizarse mediante un
proceso sistemtico, documentado y conocido por toda la organizacin.
Este proceso es el que constituye un SGSI, que podra considerarse, por analoga
con una norma tan conocida como ISO 9001, como el sistema de calidad para la
seguridad de la informacin.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el
caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
gestin de la seguridad de la informacin es, por tanto, garantizar que los
riesgos de la seguridad de la informacin sean conocidos, asumidos,
gestionados y minimizados por la organizacin de una forma documentada,
sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologas.

18

Universidad de los Lagos

Informacin

Sistema de Gestin de Seguridad de

Fuentes de informacin
Seguridad de Informacin de Alberto G. Alexander.
http://es.wikipedia.org/wiki/
http://www.eficienciagerencial.com/
http://www.iso27001certificates.com/
http://www.iso27000.es/archivo2.html
http://www.alfaomega.com.mx/

19