Escolar Documentos
Profissional Documentos
Cultura Documentos
ADMINISTRACIN DE RECURSOS
UNIDAD NRO. 2
SEGURIDAD DE LA INFORMACIN
Y AUDITORIA
El objetivo de esta unidad es introducir al alumno en el manejo de los conceptos del Seguridad
de la Informacin y adquirir conocimientos, metodologas y herramientas para la implementacin y
control de medidas de seguridad de la informacin de acuerdo con estndares internacionales.
Objetivos especficos:
Comprender los riesgos a los que estn afectados los recursos a gestionar en reas de sistemas y
tecnologas de informacin
Conocer marcos metodolgicos actuales referentes a la Gestin de Riesgos de TI
Conocer normas actuales referidas a la Seguridad de la Informacin
Comprender la necesidad de los procesos de auditora en reas de Sistemas y Tecnologas de la
Informacin
Bibliografa utilizada:
Junio de 2011
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
CAPTULO 1:
SEGURIDAD DE LA INFORMACIN
Junio de 2011
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
INDICE
SEGURIDAD DE LA INFORMACIN ...........................................................5
SEGURIDAD INFORMTICA .................................................................................. 6
Junio de 2011
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
DOCUMENTOS DE UN SGSI............................................................................... 42
MANUAL DE SEGURIDAD DE LA INFORMACIN ................................................................ 43
PROCEDIMIENTOS ................................................................................................. 45
INSTRUCCIONES, FORMULARIOS Y CHECKLISTS .............................................................. 45
REGISTROS ......................................................................................................... 45
ANEXO I: MARCO NORMATIVO ............................................................ 46
Junio de 2011
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
SEGURIDAD DE LA INFORMACIN
La seguridad de la informacin es el proceso de planear, organizar, coordinar, dirigir y
controlar las actividades relacionadas a asegurar la integridad, confidencialidad y
disponibilidad de la informacin de un sistema y sus usuarios y resguardar los activos de
la organizacin.
En esta definicin se hace referencia a:
Informacin: conjunto de datos organizados en poder de una entidad que posean valor para
la misma, independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organizacin o de
fuentes externas) o de la fecha de elaboracin.
Integridad de la Informacin: que la misma solo pueda ser modificada por las entidades
autorizadas y minimizando las posibilidades de corrupcin por fallas fsicas o lgicas, de hardware o
software, malware o alteraciones causadas por usuarios internos o intrusos con el fin de causar dao
o sin intencin. Es decir, mantenimiento de la exactitud y completitud de la informacin y
sus mtodos de proceso.
Confidencialidad de la Informacin: es la caracterstica en cuanto a su almacenamiento y
transmisin que posibilita que la misma sea conocida slo por personas autorizadas. Una falla
en la confidencialidad de la informacin puede dar lugar a graves daos para la organizacin, tales
como: prdidas de clientes, usurpacin de diseos de nuevos productos, etc.
Asegurar la confidencialidad de la informacin implica:
Control de accesos requiere que el acceso a los recursos (informacin, capacidad de clculo,
nodos de comunicacin, etc.) sea controlado y limitado, protegindolos frente a usos no
autorizados o manipulacin.
Autenticacin de origen caracterstica de un proceso de transmisin que posibilita tener una
certeza razonable del origen de la informacin.
No Repudio ofrece proteccin a una persona frente a que otra persona niegue posteriormente
que en realidad se realiz cierta comunicacin. Esta proteccin se efecta por medio de una
coleccin de evidencias irrefutables que permitirn la resolucin de cualquier disputa. El no
repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje,
mientras que el no repudio de recepcin protege al emisor de que el receptor niegue haber
recibido el mensaje. Las firmas digitales constituyen el mecanismo ms empleado para este fin.
Disponibilidad de la informacin, capacidad de estar siempre operativa para ser utilizada.
Requiere que los recursos (informacin y sistemas de tratamiento o almacenamiento de la misma)
sean accesibles y utilizables por individuos, entidades o procesos autorizados cuando los
requieran.
Se debe proponer un proceso que apunte a mantener la Continuidad Segura del Negocio
definiendo una estructura que mantenga presente los conceptos anteriores. Hablar de Continuidad
Junio de 2011
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Segura significa prepararse formalmente a atender a las contingencias que pueden ocurrir
en un grado acorde a la criticidad del negocio.
SEGURIDAD INFORMTICA
Cuando hablamos de seguridad informtica muchas veces creemos que es lo mismo que
seguridad de la informacin debido a que los trminos se usan muchas veces de forma indistinta.
Sin embargo vale aclarar sus diferencias.
Junio de 2011
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Un riesgo pude verse tambin como una variacin de los resultados esperados, donde esa
variacin es de carcter aleatorio y en muchas ocasiones fuera del control del tomador de decisiones
generndose el problema de la incertidumbre.
En el contexto de Proyectos, y segn el PMI, el riesgo est relacionado con las Oportunidades
(resultados positivos) y las Amenazas (resultados negativos). Los objetivos de la Gestin de los
Riesgos del Proyecto son aumentar la probabilidad y el impacto de los eventos positivos, y
disminuir la probabilidad y el impacto de los eventos adversos para el proyecto.
en su
Modelo de Madurez de capacidades (CMMi) como hemos visto en la Unidad Nro. 1, ha desarrollado
un mtodo de evaluacin de riesgos denominado OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) cuya ltima versin es
Junio de 2011
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
En MAGERIT V2. (del Ministerio de Administracin Pblica de Espaa) se tiene en cuenta que:
Riesgo: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms
activos causando daos o perjuicios a la organizacin.
Anlisis de riesgos: proceso sistemtico para estimar la magnitud de los riesgos a que est
expuesta una organizacin.
Gestin de riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados.
Tipos de Activo: La metodologa tiene en cuenta la tipificacin de los siguientes activos: Datos e
Informacin, aplicaciones (software), soportes de Informacin, equipos Informticos (hardware),
redes de comunicaciones, personal, instalaciones, equipamiento auxiliar y servicios
Las tareas de anlisis y gestin de riesgos no son un fin en s mismas sino que encuadran en la
actividad continua de Gestin de la Seguridad. El anlisis de riesgos permite determinar cmo es,
cunto vale y cmo de protegidos se encuentran los activos. En coordinacin con los objetivos,
estrategia y poltica de la organizacin, las actividades de gestin de riesgos permiten elaborar un
Plan de Seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de
riesgo que acepta la Direccin.
La Serie ISO/IEC 27000 provee por un lado una Norma certificable1 de Seguridad de la
Informacin y por otro una Gua de Buenas prcticas2 donde presenta una lista de controles de
seguridad recomendados y que, en la prctica,
riesgos.
que se pueden
ITIL V.3. contempla el proceso de Gestin de la Continuidad del Servicio enunciando actividades
y funciones relacionadas directamente con la Gestin de Riesgos como hemos visto en el capitulo
anterior.
Junio de 2011
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
IDENTIFICACIN DE RIESGOS
El tratar de identificar riesgos es un criterio proactivo que busca identificar posibles factores de
riesgo y tomar medidas de aseguramiento o planes de contingencia para contrarrestarlos a ellos y a
sus efectos.
Objetivo: Determinar los riesgos y documentar sus caractersticas.
Resultados a obtener:
Junio de 2011
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Relacin de Riesgos: Definiciones de eventos o condiciones inciertas que si ocurriesen tendran
efectos negativos (o positivos).
Disparadores: Las seales de advertencia indicativas de que el riesgo se ha materializado o
est a prximo a ocurrir.
Las siguientes herramientas pueden ser utilizadas para identificar o analizar los riesgos:
procesos y productos.
Anlisis mediante Check Lists: por ej. de inspecciones fsicas y auditorias anteriores
Taxonomas de Riesgos
ANLISIS DE RIESGOS
Los diferentes estndares formulan que la Gestin de Riesgos tiene 2 dimensiones, la primera se
refiere a la incertidumbre, ya que un riesgo es algo que todava no ha ocurrido y que bien puede
ocurrir o no (PROBABILIDAD), la segunda es acerca de lo que sucedera si el riesgo ocurriese, ya
que los riesgos se definen en trminos de su efecto en los objetivos o las prdidas (IMPACTO).
Cuando se evala el significado de un riesgo en particular, es necesario considerar ambas
dimensiones. Los procesos de gestin de riesgos incluyen tcnicas para determinar la importancia de
un riesgo, basado tanto en la probabilidad como en su impacto.
Estableceremos el estado de riesgo, exposicin o SEVERIDAD como PROBABILIDAD de
ocurrencia del riesgo por el IMPACTO que causa si sucede.
Aunque se puede desarrollar un marco que permita la evaluacin del impacto, sin lugar a
ambigedades, el clculo de la probabilidad es mucho ms confuso ya que muchas veces se
identifican riesgos cuyos detalles son desconocidos (dependen de influencias externas), no existen
registros anteriores y esto lleva a que solo es posible realizar una estimacin de la misma.
Junio de 2011
10
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Resultado a obtener: Actualizar el registro de riesgos, realizado en la etapa de identificacin,
determinando una lista priorizada de riesgos en funcin del impacto y probabilidad estimados,
riesgos agrupados en categoras, causas de riesgos o reas que requieran mayor atencin.
PRIORIZACIN DE RIESGOS
Clasificaremos los riesgos utilizando una lista con el siguiente formato:
Nro.
Categora
Riesgo
Probabilidad
Impacto
Riesgo Total
Una vez obtenida la lista, la ordenamos en forma decreciente por Riesgo Total.
Junio de 2011
11
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Dependiendo del anlisis, es probable que puedan identificarse una gran cantidad de riesgos y,
por lo tanto, el Plan de gestin de riesgo puede convertirse en un proyecto en s mismo. Por este
motivo, adaptamos la regla de Pareto 80-20 al riesgo del proyecto.
La experiencia dice que el 80 por ciento del riesgo total se debe solamente al 20 por ciento de los
riesgos identificados.
La lista Priorizada de riesgos ayudar a determinar qu riesgos pertenecen a ese 20 por ciento.
Identificar los riesgos que requieren mayor atencin cuantificando su relativa contribucin al
riesgo total.
Junio de 2011
12
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Contingencia: Tendr respuestas preparadas por si ocurre el evento (necesidad de seales
tempranas de advertencia)
Desarrollo de Estrategias de respuesta a amenazas
Mitigacin
Aceptar
Riesgo Nro.
Evitar
Contingencia
Minimizar
Minimizar
o Reserva
Probabilidad
Impacto
Transferir
Estrategia
Ventajas
Desventajas
Nivel Total de
Riesgos
Implementar medidas de
reduccin
Usar Juicio
Antieconmico
Costo
de
Gestin
Junio de 2011
13
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Los imprevistos y los riesgos residuales ms los planes de contingencia deben gestionarse a
travs de reservas, que pueden ser:
Gerenciales: Atiende a los imprevistos
De Contingencia: Riesgos residuales ms planes de contingencia
Cmo afectan las reservas a cualquier contrato puede verse en el siguiente cuadro
Honorarios o Ganancias
Presupuesto de Reservas
Reservas Gerenciales
Reservas de Contingencias
Costo seguro
Costo probable
Riesgos con probabilidad moderada a alta: Continuar con el plan de EVITAR Y MITIGAR.
Documentar
Junio de 2011
14
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Audit
Seguridad de la Informacin
p
en peligro
Las amenazas en Seguridad de la Informacin son todos aquellos factores que ponen
la integridad, confidencialidad y disponibilidad de la informacin y que muchas veces estn
posibilitadas por vulnerabilidades en la infraestructura,
infraestructura, los procedimientos administrativos,
administrativos los
recursos humanos afectados,, el software, etc.
etc
Las listas de clasificacin o categoras de riesgos, denominadas tambin taxonomas de riesgos,
permiten que el equipo encargado de identificar riesgos pueda pensar con mayor amplitud sobre los
mismos porque ya dispone de una lista de reas o activos susceptibles de esconder riesgos
procedentes de diferentes situaciones. En ocasiones se utiliza una lista de chequeo basada en una
taxonoma con preguntas orientadas a grupos de riesgos ya que trabajar con listas muy extensas
puede resultar complejo. Tambin pueden emplearse
emplearse para proporcionar una terminologa unificada
que el equipo puede utilizar para supervisar y notificar el estado de los riesgos a lo largo de un
proyecto o en los momentos del control.
Existen clasificaciones o taxonomas que describen las fuentes de riesgo de proyectos de
desarrollo de software entre las que se incluyen las realizadas
as por Barry Boehm, Caper Jones y la
desarrollada por el SEI denominada Software Development Risk Taxonomy3.
En este captulo nos centraremos en algunas clasificaciones generales
generales que afectan a la
identificacin de riesgos en Proyectos o reas de Sistemas y Tecnologas
ologas de Informacin.
Junio de 2011
15
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Una clasificacin para la identificacin de riesgos de un Proyecto, puede ser:
o Riegos Genricos: Son todos los riesgos que afectan a cualquier Proyecto.
o Riesgos Especficos: Son riesgos asociados a un Proyecto de Tecnologa de Informacin en
particular o al producto de dicho proyecto. Dependern en mayor medida de la tecnologa que se
est utilizando, los procesos dentro del proyecto y las caractersticas de la organizacin.
El PMI propone la siguiente estructura de desglose de riesgos que pueden darse en Proyectos:
Los 9 procesos de la Gestin de Proyectos del PMI pueden ser utilizados para identificar riesgos
referidos a:
Alcance
Tiempos
Expectativas. Factibilidad
Integracin
Objetivos de Tiempo.
Restricciones
RRHH
Disponibilidad.
Productividad
Gestin de Riesgos
del Proyecto
Objetivos de Costos.
Restricciones
Costos
Requerimientos. Estndares
Comunicaciones
Servicios. Materiales,
performance
Adquisiciones
Calidad
Junio de 2011
16
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
El SEI propone una clasificacin para riesgos de la operacin de tecnologas de informacin
denominada Taxonomy of Operational Cyber Security Risks4. La clasificacin identifica y
organiza la fuente de estos riesgos en cuatro clases:
1. Acciones (o inaccin) de las personas: realizadas tanto deliberada como accidentalmente
2. Fallas de los sistemas y tecnologa: fallas del hardware, software y sistemas de informacin
3. Fallas de los procesos internos: problemas en los procesos internos del negocio que impactan
en la habilidad para implementar, gestionar y sostener a la seguridad.
4. Eventos externos: cuestiones fuera del control de la organizacin.
Cada clase se descompone en subclases que se describen por los elementos que la componen:
1. Acciones de
Personas
1.1 Involuntarias
las
2. Fallas de Sistemas y
Tecnologa
2.1 Hardware
1.1.1 Equivocacin
(accin incorrecta)
1.1.2 Error (por
desconocimiento)
1.1.3 Omisin (por
apresuramiento)
1.2 Deliberadas
2.1.1 Capacidad
1.2.1 Fraude
2.2 Software
1.2.2 Sabotaje
2.2.1 Compatibilidad
1.2.3 Robo
2.2.2 Configuracin
1.2.4 Vandalismo
1.3 Inaccin
1.3.2 Conocimiento
2.2.4 Parmetros de
Seguridad
2.2.5 Prcticas de
Codificacin
2.2.6 Testing
1.3.3 Gua
2.3 Sistemas
1.3.4 Disponibilidad
2.3.1 Diseo
1.3.1 Habilidad
2.1.2 Rendimiento
2.1.3 Mantenimiento
2.1.4 Obsolescencia
2.3.2 Especificaciones
2.3.3 Integracin
2.3.4 Complejidad
3. Fallas de Procesos
Internos
3.1. Diseo de
Procesos y Ejecucin
3.1.1 Flujo de Procesos
3.1.2 Documentacin de
Procesos
3.1.3 Roles y
responsabilidades
3.1.4 Notificaciones y
alertas
3.1.5 Flujo de
Informacin
3.1.6 Escalado de
problemas
3.1.7 Acuerdo de Nivel de
Servicio
3.1.8 Tarea fuera de
control
3.2 Control de
Procesos
3.2.1 Monitorizacin del
estado
3.2.2 Mtricas
4. Eventos externos
4.1 Desastres
4.1.1 Climatolgicos
4.1.2 Incendios
4.1.3 Inundaciones
4.1.4 Terremotos
4.1.5 Disturbios
4.1.6 Pandemias
4.2 Cuestiones Legales
4.2.1 Regulaciones
4.2.2 Legislacin
4.2.3 Litigios
3.3 Procesos de
Soporte
3.3.1 Dotacin del
Personal
3.3.2 Recursos
3.3.3 Entrenamiento y
desarrollo
3.3.4 Adquisicin
4.4.2 Servicios de
Emergencia
4.4.3 Combustible
3.2.3 Revisiones
Peridicas
3.2.4 Dueo del Proceso
4.4.4 Transporte
Junio de 2011
17
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
1-RECONOCIMIENTO
2-EXPLORACIN
3-CONSOLIDACION
4-MANTENER ACCESO
5-BORRAR HUELLAS
Fase 1: Reconocimiento. Esta etapa involucra la obtencin de informacin con respecto a una
potencial vctima que puede ser una persona u organizacin. Por lo general, durante esta fase se
recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del
objetivo. Algunas de las tcnicas utilizadas en este primer paso son la Ingeniera Social, el Dumpster
Diving, el sniffing, el DNS snooping, etc.
Fase 2: Exploracin. En esta segunda etapa se utiliza la informacin obtenida en la fase 1
para sondear el blanco y tratar de obtener informacin sobre el sistema vctima como direcciones IP,
nombres de host, datos de autenticacin, entre otros. Las herramientas que se utilizan se basan en
el escaneo de puertos y anlisis de las redes para detectar servicios activos y vulnerabilidades
(network mappers, port mappers, network scanners, port scanners, y vulnerability scanners)
Fase 3: Consolidacin. En esta instancia comienza a materializarse el ataque a travs de la
explotacin de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante
las fases de reconocimiento y exploracin. Algunas de las tcnicas que el atacante puede utilizar son
ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos),
Password filtering y Session hijacking.
Fase 4: Mantener el acceso. Una vez que el atacante ha conseguido acceder al sistema,
buscar implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar
donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.
Fase 5: Borrar huellas. Una vez que el atacante logr obtener y mantener el acceso al
sistema, intentar borrar todas las huellas que fue dejando durante la intrusin para evitar ser
detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscar
eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).
Junio de 2011
18
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Estas son algunas de las debilidades, recursos
informtico5:
Ingeniera Social: Consiste en la obtencin de informacin sensible y/o confidencial de un
usuario cercano a un sistema u organizacin. Son estrategias de ataque que se basan en el engao
y que estn netamente orientadas a explotar las debilidades del factor humano. Ya sea por
ignorancia, negligencia o coaccin, las personas pueden romper las reglas de seguridad de la
organizacin y permitir a un atacante obtener acceso no autorizado.
Dumpster Diving: es un recurso basado en la ingeniera social. Consiste en husmear entre la
basura para localizar notas y/o papeles de los que el usuario se ha deshecho: extractos bancarios,
claves personales, datos comprometidos, anotaciones personales. Muchos de estos datos pueden ser
utilizados para crear un perfil en un sitio web y actuar en su nombre, usurpar su identidad, abrir o
realizar movimientos en sus cuentas bancarias, utilizar servicios, pagar con su tarjeta de crdito o
incluso aparecer con su fotografa ante terceros en un foro de Internet.
Phishing: est basado en la ingeniera social. En general son falsos mensajes de correo
electrnico hacindose pasar por entidades reales (generalmente financieras) pidindonos en
muchos casos confirmacin de estos datos, en oportunidades tambin se utilizan llamados
telefnicos. Las caractersticas de un correo de phishing son las siguientes:
El cuerpo del correo, presenta el logotipo de la compaa u organizacin que firma el mensaje.
El mensaje insta al usuario a reingresar algn tipo de informacin que, en realidad, el supuesto
remitente ya posee.
El mensaje incluye un enlace que, aunque indique una direccin web vlida, redirecciona al sitio
falsificado.
Como tcnica de Ingeniera Social, el phishing utiliza el factor miedo, para inducir al usuario a
ingresar la informacin en el sitio del atacante. Un aviso legtimo de caducidad de informacin (como
contraseas, cuentas de correo o registros personales), nunca alertar al usuario sin el suficiente
tiempo para que este, gestione las operaciones necesarias en tiempos prudenciales. Mensajes del
tipo "su cuenta caducar en 24hs." o "si no ingresa la informacin en las prximas horas..." son
frecuentemente utilizados en este tipo de ataques.
El sitio web falso es creado utilizando, no solo el logotipo, sino tambin la estructura, las
imgenes, las tipografas y los colores de la pgina original. El atacante intenta crear la pgina web
de forma idntica a la original, para aumentar la eficacia del engao.
Prcticamente todos los componentes, del mensaje enviado al usuario, son idnticos a un
mensaje legtimo del mismo tipo. Reconocer un mensaje de phishing no es una tarea simple para el
usuario. Cualquier usuario de correo, es una potencial vctima de estos ataques.
Junio de 2011
19
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Sniffing: es el mecanismo que permite monitorizar y analizar el trfico en una red de
computadoras, detectando los cuellos de botella y problemas que existan pero tambin puede ser
utilizado para "captar", lcitamente o no, los datos que son transmitidos en la red.
Anlisis de redes y escaneo de puertos: son aplicaciones que permiten verificar la seguridad
en una red mediante el anlisis de los puertos abiertos en uno de los equipos o en toda la red a
partir de una serie o lista de direcciones de IP. El proceso de anlisis utiliza solicitudes que permiten
determinar los servicios que se estn ejecutando en un host remoto e identificar los riesgos de
seguridad. Mediante un anlisis exhaustivo de la estructura de los paquetes TCP/IP recibidos pueden
identificar, por ejemplo, qu sistema operativo est utilizando el equipo remoto.
Configuraciones predeterminadas o
por
predeterminadas hacen del ataque una tarea sencilla para quien lo ejecuta ya que es muy comn
que las vulnerabilidades de un equipo sean explotadas a travs de cdigos exploit donde el
escenario que asume dicho cdigo se basa en que el objetivo se encuentra configurado con los
parmetros por defecto. Muchas aplicaciones automatizadas estn diseadas para aprovechar estas
vulnerabilidades, incluso existen sitios web que almacenan bases de datos con informacin
relacionada a los nombres de usuario y sus contraseas asociadas, cdigos de acceso,
configuraciones, entre otras, de los valores por defecto de sistemas operativos, aplicaciones y
dispositivos fsicos.
Ataques de Contrasea: consiste en la prueba metdica de contraseas para lograr el acceso
a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo.
En un esquema de autenticacin de factor simple (nombre de usuario + contrasea) la
seguridad radica inevitablemente en la fortaleza de la contrasea y en mantenerla en completo
secreto, siendo potencialmente vulnerable a tcnicas de Ingeniera Social cuando los propietarios de
la contrasea no poseen un adecuado nivel de capacitacin que permita prevenir este tipo de
ataques. Se suma a esto la existencia de herramientas automatizadas diseadas para romper las
contraseas a travs de diferentes tcnicas como ataques por fuerza bruta, por diccionarios o
hbridos en un plazo sumamente corto.
Cdigo malicioso o malware: programas que causan algn tipo de dao o anomala en el
sistema informtico. Dentro de esta categora se incluyen virus, gusanos, troyanos, adware,
spyware, ransomware, entre otros.
Junio de 2011
20
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Sin ser una lista exhaustiva (ya que la misma puede variar significativamente con los avances
tecnolgicos), los activos pueden agruparse en las siguientes categoras:
La responsabilidad de cada activo deber estar asignada sobre cada propietario por lo que se
proceder a designar un responsable para cada recurso o grupos de recursos el cual asumir en un
futuro la tarea de mantener los controles apropiados.
Junio de 2011
21
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Necesidad de disponibilidad del activo en funcin del nmero de personas afectadas por la
falta de disponibilidad, funcionamiento irregular y en la que estarn involucrados adems los
tiempos de recuperacin y la prdida de imagen.
Nivel de prdida de integridad del activo los datos reciben una alta valoracin desde el
punto de vista de integridad cuando su alteracin, voluntaria o intencionada, causara graves
daos a la organizacin
Aseguramiento de la identidad del origen: de los usuarios del servicio y de los datos
Para definir el criterio de valoracin (o impacto) se podr recurrir a una valoracin econmica
derivada de la inversin econmica de reposicin ante la prdida o a escalas cualitativas como
las mencionadas anteriormente.
Junio de 2011
22
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
SEGURIDAD FSICA
Consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de
prevencin y contramedidas ante amenazas a los recursos informticos y a la informacin. Estos
mecanismos de seguridad debern ser implementados para proteger el hardware y medios de
almacenamiento de datos dentro y alrededor de las reas de sistemas as como a los medios de
acceso remoto al y desde el mismo. Se debern identificar caractersticas que se deben respetar en
las reas destinadas a la sala de servidores, al almacenamiento de los medios magnticos, puestos
de usuarios, cableado y todos los recursos relacionados con el desempeo de las tecnologas de la
informacin y comunicacin.
Como estos aparatos son causa potencial de incendios e inundaciones, es recomendable instalar
redes de proteccin en todo el sistema de caera al interior y al exterior, detectores y extinguidores
de incendio, monitores y alarmas efectivas.
Junio de 2011
23
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
CONTROL DE ACCESOS
El control de acceso requiere de identificacin y autenticacin y est asociado, en el caso del acceso
fsico, a implementar un mecanismo manual o electrnico mecnico que permita o no el acceso a
reas o archivos fsicos donde se encuentra documentacin en papel, copias de seguridad o
recursos destinados a proveer servicios.
El proceso de identificacin y autenticacin implica la existencia de uno o ms de los siguientes
indicadores:
1.
2.
3.
Caracterstica: la persona tiene una caracterstica que puede ser verificada (por ejemplo: una
de sus huellas dactilares).
Junio de 2011
24
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Entre las ventajas y desventajas de estos indicadores podemos decir que es frecuente que las
claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los
controles que utilizan caractersticas de las personas (autenticacin biomtrica) seran los ms
apropiados y fciles de administrar, resultando ser tambin los ms costosos por lo dificultoso de su
implementacin eficiente.
En funcin del grado de seguridad que se desee establecer, la proteccin de accesos puede ser
provista mediante:
Guardias de seguridad
Sistemas basados en la lectura de tarjetas (de cdigos de barra, bandas magnticas o de
proximidad) o la introduccin de claves de acceso mediante teclado
Sistemas Biomtricos: La Biometra (del griego bios vida y metron medida) es el estudio de
los mtodos automticos para identificacin de personas basados en caractersticas fsicas
estticas o dinmicas (conductuales). La forma de identificacin consiste en la comparacin de
caractersticas fsicas de cada persona con un patrn conocido y almacenado en una base de
datos.
o
Entre las caractersticas fsicas que se miden en forma esttica se encuentran: imagen facial,
termograma del rostro, geometra de la mano, venas de la mano, huellas dactilares y
patrones oculares: retina o iris.
La firma es una caracterstica que puede medirse tanto en forma esttica (se suelen utilizar
una mquina de video o un scanner para capturar la imagen de la firma, con posterioridad a
la realizacin de la misma) y mtodos dinmicos (que tienen en cuenta la velocidad con la
que se realizan los trazos y donde el dispositivo utilizado para capturar la firma es una
tableta digitalizadora).
Junio de 2011
25
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
SEGURIDAD LGICA
Consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y
slo lo permitan a las personas autorizadas.
CONTROL DE ACCESOS
Estos controles pueden implementarse a nivel Sistema Operativo, sobre los sistemas de
aplicacin, en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de
aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la
integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso permitido)
y para resguardar la informacin confidencial de accesos no autorizados.
IDENTIFICACIN Y AUTENTIFICACIN
La identificacin y autenticacin es la base para la mayor parte de los controles de acceso y
para el seguimiento de las actividades de los usuarios. Se denomina Identificacin al momento en
que el usuario se da a conocer en el sistema y Autenticacin a la verificacin que realiza el sistema
sobre esta identificacin. Las tcnicas basadas en tarjetas, cdigos o identificacin biomtrica que se
mencionaron en seguridad fsica pueden ser utilizadas individualmente o combinadas para el control
de acceso lgico.
La identificacin puede variar en funcin de la criticidad del negocio y pueden utilizarse adems
identificaciones por:
Funciones y Roles En este caso los derechos de acceso pueden agruparse de acuerdo con el rol
de los usuarios.
Transacciones: se pueden implementar controles, por ejemplo, solicitando una clave al requerir
el procesamiento de una transaccin determinada.
Junio de 2011
26
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Limitaciones a los Servicios: se refieren a las restricciones que dependen de parmetros
propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Un
ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin simultnea
de un determinado producto de software para cinco personas, en donde exista un control a nivel
sistema que no permita la utilizacin del producto a un sexto usuario.
Modalidad de Acceso: definida por el tipo de accin que realizar el usuario
o
Escritura: este tipo de acceso permite agregar datos, modificar o borrar informacin.
Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de
datos o archivos). El borrado es considerado una forma de modificacin.
Ubicacin y Horario: El acceso a determinados recursos del sistema puede estar basado en la
ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios, este tipo de controles
permite limitar el acceso de los usuarios a determinadas horas de da o a determinados das de la
semana. De esta forma se mantiene un control ms restringido de los usuarios y zonas de
ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados de
alguno de los controles anteriormente mencionados.
EFICIENCIA EN LA AUTENTICACIN
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y
autenticados solamente una vez pudiendo acceder, a partir de all, a todas las aplicaciones y datos a
los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en
forma remota. Esto se denomina "single login" o sincronizacin de passwords.
Podra pensarse que esta es una caracterstica negativa para la seguridad de un sistema, ya que
una vez descubierta la clave de un usuario, se podra tener acceso a los mltiples sistemas a los que
tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente
suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los
fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas o a seleccionar
claves fcilmente deducibles, lo cual significa un riesgo an mayor. Para implementar la
sincronizacin de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de
seguridad.
Una de las posibles tcnicas para implementar esta nica identificacin de usuarios sera la
utilizacin de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se
encarga luego de autenticar al usuario sobre los restantes equipos a los que ste pueda acceder.
Junio de 2011
27
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener
sus funciones distribuidas tanto geogrfica como lgicamente, de acuerdo con los requerimientos de
carga de tareas.
CONTRASEAS SEGURAS
Para el control de contraseas seguras se deber tener en cuenta:
Si los usuarios tienen la posibilidad de acceder a recursos que necesitan autenticacin desde
lugares pblicos, se debe implementar la posibilidad de ingresar las contraseas desde teclados
virtuales ya que los atacantes pueden haber implantado programas o dispositivos fsicos como
keyloggers que capturen la informacin ingresada.
y restringen a los
usuarios a funciones especficas. Bsicamente pueden ser de tres tipos: mens, vistas sobre la base
de datos y lmites fsicos sobre la interfaz de usuario.
Junio de 2011
28
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
El conjunto de protocolos, algoritmos de cifrado, procesos de gestin de claves y actuaciones de
los usuarios, es lo que constituyen en conjunto un criptosistema, que es con lo que el usuario final
trabaja e interacta.
TCNICAS CRIPTOGRFICAS
Existen los siguientes grupos de tcnicas criptogrficas:
o Sustitucin: supone el cambio de significado de los elementos bsicos del mensaje: las
letras, los dgitos o los smbolos. La clave consiste en una tabla de equivalencias de
caracteres (o libro de cdigos)
Confusin
intercalada:
consiste
en
introducir,
con
una
periodicidad
determinada,
Junio de 2011
29
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de
claves.
Si el remitente usa la clave pblica del destinatario para cifrar el mensaje, una vez cifrado, slo
la clave privada del destinatario podr descifrar este mensaje, ya que es el nico que la conoce.
Se logra la confidencialidad del envo del mensaje, nadie salvo el destinatario puede descifrarlo.
Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede
descifrarlo utilizando su clave pblica. En este caso se consigue por tanto la identificacin y
autentificacin del remitente, ya que se sabe que slo pudo haber sido l quien emple su clave
privada (salvo que alguien se la hubiese podido robar).
No es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear.
Todo lo que se requiere es que, antes de iniciar la comunicacin secreta, el remitente consiga
una copia de la clave pblica del destinatario.
Criptografa Hbrida: Es un mtodo criptogrfico que usa tanto un cifrado simtrico como un
asimtrico. Emplea el cifrado de clave pblica para compartir una clave para el cifrado simtrico.
El mensaje que se est enviando en el momento, se cifra usando la clave y envindolo al
destinatario. Ya que compartir una clave simtrica no es seguro, la clave usada es diferente para
cada sesin
APLICACIONES DE LA CRIPTOGRAFA
Debemos tener en cuenta que el usuario final no conoce la existencia de tcnicas criptogrficas
por lo que deberemos seleccionar las aplicaciones que especficamente utilicen la seguridad
necesaria para la
cuenta que las tcnicas deben ser utilizadas para la seguridad en:
Cifrado de discos rgidos y particiones: para asegurar la informacin almacenada sobre todo
en equipos que pueden estar a disposicin de muchos usuarios o que se trasladan.
Protocolos para comunicaciones seguras: para asegurar las comunicaciones tanto de la red
interna como de internet. Estos protocolos pueden ser utilizados para tunelizar una red completa
y crear una red privada virtual (VPN)
Firma digital: Es una tecnologa que posibilita la equiparacin de los documentos digitales con
los documentos en papel y, por ende, la realizacin, va digital, de actos jurdicos plenamente
vlidos. La firma digital cumple las funciones de autenticacin, integridad y no repudio, pero no
implica avalar la confidencialidad del mensaje.
Nuestra normativa reconoce dos tipos de firma digital, y la diferencia entre ambos no radica en
lo tecnolgico, sino, ms bien, en lo jurdico
La firma digital, definida como el resultado de aplicar a un documento digital un procedimiento
matemtico, requiere informacin de exclusivo conocimiento del firmante, encontrndose sta
bajo su absoluto control. Pero, dado que la misma ley estipula que para asegurarse de que el
Junio de 2011
30
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
firmante es el nico que conoce y controla el procedimiento matemtico, se debe cumplir con
una serie de recaudos legales; la firma digital puede ser caracterizada por medio de la siguiente
frmula: firma digital = documento digital + procedimiento matemtico + requisitos legales.
La firma electrnica, en cambio, es definida en trminos negativos como el conjunto de datos
electrnicos integrados, ligados o asociados de manera lgica a otros datos electrnicos,
utilizado por el signatario como su medio de identificacin, que carezca de alguno de los
requisitos legales para ser considerada firma digital. La frmula, en este caso, es la siguiente
firma electrnica = firma digital requisitos legales.
Esta diferencia en cuanto a los requisitos repercute en los efectos asignados a cada una:
Firma digital:
a) Equivale a la firma manuscrita,
b) Se presume que la firma pertenece al titular del certificado digital,
c) Se presume que el documento no ha sido modificado luego de la firma.
Firma electrnica:
a) En caso de ser desconocida corresponde a quien la invoca acreditar su validez
Ventajas y desventajas:
Las ventajas derivadas de la utilizacin del sistema de firma digital van desde el aumento de la
seguridad en las transacciones hasta la no necesidad de presencia o traslado fsico, ventajas
stas que se traducen en celeridad y ahorro de costos.
Entre las desventajas podemos mencionar la necesidad de contar con una autoridad certificadora
de confianza (tercera parte de confianza) y la responsabilidad que pesa sobre los propios
usuarios de generar un entorno adecuado que les permita mantener bajo su exclusivo control los
datos de creacin de la firma y contar con un dispositivo de creacin tcnicamente confiable
SEGURIDAD PERIMETRAL
La seguridad perimetral es uno de los mtodos posibles de defensa de una red, basado en el
establecimiento de recursos de segurizacin en el permetro externo de la red y a diferentes niveles.
Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios
internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
Junio de 2011
31
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
FIREWALLS
Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa.
Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que
previenen la intromisin de atacantes o malware a los sistemas de la organizacin.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una
poltica de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una
que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l.
2. Slo el trfico autorizado, definido por la poltica local de seguridad, es permitido.
En una arquitectura personal puede ser til la utilizacin de firewalls por software, en la
arquitectura de una organizacin lo ms conveniente es la implementacin de firewalls por hardware
donde la poltica de seguridad de la organizacin sea implementada por el administrador de red
quien definir una serie de reglas para permitir el acceso y detener los intentos de conexin no
permitidos.
La clasificacin ms clara de firewalls es la que los define en funcin al nivel de la capa OSI en
la que se implementa la poltica de seguridad:
o Firewalls a nivel de red o nivel de IP en redes TCP/IP (nivel 3 de la capa OSI). Pueden ser
considerados como filtros de paquetes ya que lo que realizan es un filtrado de los intentos de
conexin atendiendo a direcciones IP origen y destino y puerto de destino de los paquetes IP.
Esto quiere decir que en la poltica de seguridad de la empresa podremos indicar que slo
dejaremos pasar paquetes destinados al puerto 25 (puerto de SMTP para correo electrnico) de
nuestro servidor corporativo. Tambin podremos especificar desde qu direcciones IP origen
dejaremos acceso a nuestros servidores pblicos. Este tipo de firewalls vienen implementados en
la mayora de routers comerciales.
o Firewall a nivel de transporte o de TCP en redes TCP/IP (nivel 4 de OSI). En este nivel ya se
puede atender a aspectos de si los paquetes son de inicio de conexin o se corresponden con
paquetes cuyas conexiones estn ya establecidas. A grandes rasgos tratan con nmeros de
secuencias de paquetes TCP/IP.
o Firewall a nivel de aplicacin (nivel 7 de la capa OSI). Actan a modo de proxy para las
distintas aplicaciones que van a controlar.
DETECCIN DE INTRUSIONES
Un Sistema de deteccin de intrusiones (IDS) hace referencia a un mecanismo que, escucha el
trfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el
riesgo de intrusin. Existen dos claras familias importantes de IDS:
o El grupo N-IDS (Sistema de deteccin de intrusiones de red)
o El grupo H-IDS (Sistema de deteccin de intrusiones en el host)
Junio de 2011
32
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Un N-IDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes
de informacin que viajan por una o ms lneas de la red para descubrir si se ha producido alguna
actividad maliciosa o anormal. El N-IDS pone uno o ms de los adaptadores de red exclusivos del
sistema en modo promiscuo. ste es una especie de modo "invisible" en el que no tienen direccin
IP. Tampoco tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en
diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los
posibles ataques, as como tambin se colocan sondas internas para analizar solicitudes que hayan
pasado a travs del firewall o que se han realizado desde dentro.
PRUEBAS DE PENETRACIN
Puede recurrirse a este tipo de tests para reconocer los riesgos principales a los que est
sometida la organizacin. Entre las pruebas de penetracin que pueden ejecutarse exiten:
o
Pruebas externas: tambin denominadas de caja negra. Simulan un ataque sobre sistemas y
seguridad por medio de la informacin disponible desde Internet. Se concentran en pruebas de
seguridad del permetro, anlisis externo de nodos y topologa; recoleccin de informacin
sensitiva y su explotacin mediante ingeniera social; as como en revisin de la efectividad y
vulnerabilidades de aplicaciones Web, routers y firewalls; war driving para identificar y
penetrar redes inalmbricas, y war dialing para localizar mdems abiertos.
Pruebas internas o de caja blanca. Revisan las vulnerabilidades frente a un atacante interno,
mediante: anlisis endgeno de nodos y topologa; identificacin de sistemas y equipo
vulnerable; bsqueda y explotacin de vulnerabilidades en aplicaciones, servidores, dispositivos
de red, redes inalmbricas, directorios compartidos, relaciones de confianza, arquitectura de
redes y niveles de seguridad en servidores.
Junio de 2011
33
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Junio de 2011
34
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
que, en
materia de seguridad, rijan para la empresa donde se desea implementar, adems de las normas
que puedan utilizarse como estndares de referencia.
En cuanto a las leyes y regulaciones argentinas6 en la materia deberemos referirnos a:
Ley 25.326 de Proteccin de datos personales (conocida como Ley de Habeas Data), modificada
por Ley 26343 (incorpora artculo 47) y artculo 43 de la Constitucin Nacional
Comunicacin A 4609 del BCRA para entidades Financieras. Requisitos mnimos de gestin,
implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de
informacin.
Junio de 2011
35
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Ley Sarbanes-Oxley (SOX). Ley de Estados Unidos con el fin de monitorear a las empresas que
cotizan en bolsa
En cuanto a las normas7, es conveniente utilizar como referencia estndares aceptados para la
La direccin debe asumir que un SGSI afecta fundamentalmente a la gestin del negocio y
requiere, por tanto, de decisiones y acciones que slo puede tomar la gerencia de la organizacin.
No se debe caer en el error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada
a niveles inferiores del organigrama; se estn gestionando riesgos e impactos de negocio que son
responsabilidad y decisin de la direccin.
Algunas de las tareas fundamentales del SGSI que la norma ISO 27001 asigna a la direccin:
Asignacin de recursos: Para el correcto desarrollo de todas las actividades relacionadas con
el SGSI, es imprescindible la asignacin de recursos. Es responsabilidad de la direccin
garantizar que se asignan los suficientes para:
Junio de 2011
36
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Identificar y tratar todos los requerimientos legales y normativos, as como las obligaciones
contractuales de seguridad.
Realizar revisiones cuando sea necesario y actuar adecuadamente segn los resultados de las
mismas.
Formacin y concientizacin: son elementos bsicos para el xito de un SGSI. Por ello, la
direccin debe asegurar que todo el personal de la organizacin al que se le asignen
responsabilidades definidas en el SGSI est suficientemente capacitado. Se deber:
Determinar las competencias para el personal que realiza tareas para aplicar el SGSI.
Satisfacer las necesidades de personal por medio de formacin o de otras acciones como, p. ej.,
contratacin de personal ya formado.
Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el rendimiento y
eficacia del SGSI.
Recomendaciones de mejora.
Basndose en todas estas informaciones, la direccin debe revisar el SGSI y tomar decisiones
y acciones relativas a:
Junio de 2011
37
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Necesidades de recursos.
SGSI lleva de nuevo a la fase de Planificar para iniciar un nuevo ciclo de las cuatro fases. Tngase
en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber
actividades de implantacin que ya se lleven a cabo cuando otras de planificacin an no han
finalizado; o que se monitoricen controles que an no estn implantados en su totalidad.
ESTABLECER EL SGSI
Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y
tecnologas, incluyendo detalles y justificacin de cualquier exclusin.
Seleccionar los objetivos de control y los controles para el tratamiento del riesgo que
cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo.
Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del
SGSI.
Junio de 2011
38
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
La lista completa de los Dominios-Objetivos y Controles del cdigo de buenas prcticas ISO
27002:2005 se incluye en el Anexo de este captulo.
Junio de 2011
39
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
DECLARACIN DE APLICABILIDAD
La Declaracin de Aplicabilidad9 o SOA (por sus siglas en ingls: Statement of Aplicability) es un
documento que describe los objetivos de control y los controles que son relevantes para el SGSI de
la organizacin y aplicables al mismo.
Los objetivos de control y los controles se basan en los resultados y conclusiones de la
evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o
reglamentos, en las obligaciones contractuales y en las necesidades empresariales de la
organizacin en materia de seguridad de la informacin.
Debe incluir:
los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusin; este
es un mecanismo que permite, adems, detectar posibles omisiones involuntarias.
Definir
un
plan
de
tratamiento
de
riesgos
que
identifique
las
acciones,
recursos,
Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control
identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades.
Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.
Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para
medir la eficacia de los controles o grupos de controles.
Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los
incidentes de seguridad.
Se incluye un ejemplo de SOA basado en la lista que propone ISO 2007:2005 en el Anexo de este
captulo
Junio de 2011
40
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales
y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse
en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas
identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos
legales, obligaciones contractuales, etc.-.
Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido
sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.
Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados
durante las actividades de monitorizacin y revisin.
Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento
del SGSI.
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado
y acordar, si es pertinente, la forma de proceder.
Junio de 2011
41
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
DOCUMENTOS DE UN SGSI
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una
identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y
aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de
influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones,
reas, procesos, sistemas o tareas concretas).
Plan de tratamiento de riesgos: documento que identifica las acciones de la direccin, los
recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la
informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los
objetivos de control identificados, de los recursos disponibles, etc.
Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del
funcionamiento eficaz del SGSI.
siguiente forma:
10
Puede utilizarse un formato de SOA como el que se incluye en el Anexo de este captulo
Junio de 2011
42
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Manual de Seguridad: documento que inspira y dirige todo el sistema. Expone y determina las
intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI.
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma
eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin.
Instrucciones, checklists y formularios: documentos que describen los estndares tcnicos
de cmo se realizan las tareas y las actividades especficas relacionadas con la seguridad de la
informacin.
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los
requisitos del SGSI; estn asociados a los documentos anteriores y demuestran que se ha cumplido
lo indicado en los mismos.
Junio de 2011
43
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
3. Poltica de Seguridad
4.
3.1.
Compromiso de la direccin
3.2.
3.3.
Revisin de la poltica
3.4.
3.5.
Aspectos Organizativos
4.1.Organizacin Interna
4.1.1. Grupo de Sistemas/IT
4.1.2. Usuario
4.1.3. Propietario de Informacin
4.1.4. Auditora Interna
4.2.Relaciones con Terceros
4.2.1. Autoridades y entidades externas relevantes al Negocio
4.2.2. Compaas consultoras en SGSI
Gestin de Activos
Recursos Humanos
7.2.
7.3.
Comunicaciones y Operaciones
7.4.
Control de Acceso
7.5.
Desarrollo de Software
7.6.
Gestin Incidentes
7.7.
7.8.
Cumplimiento
8. Bibliografa
11
12
Junio de 2011
44
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Debido a que este manual puede sufrir actualizaciones peridicas, ya sea por cambios
Normativos y Legales o modificaciones que deriven de los controles de cambio y aprobacin surgidas
de la gestin de riesgos o modificaciones en la operatoria del negocio, es conveniente mantener los
distintos captulos versionados.
En cuanto a las Normas y Polticas, el manual puede hacer referencia a Anexos.
Es conveniente que cada Norma (citada en el punto 7) detalle adems: Objetivo, responsables
del
cumplimiento,
sanciones
por
incumplimiento,
definiciones
especficas
de
la
Norma
procedimientos relacionados
PROCEDIMIENTOS
Detalle de cursos de accin y tareas que deben realizar los responsables para hacer cumplir las
definiciones de las normas citadas en el Manual de Seguridad de la Informacin.
Cada procedimiento detallado deber contener:
REGISTROS
Para el registro de la informacin se debern tener en cuenta:
Registro de Controles de auditora relacionados con los estndares de control de la norma y los
procedimientos que deben efectuarse para el tratamiento de los riesgos.
Junio de 2011
45
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
La Norma ISO 27001 establece los requisitos para construir un SGSI (Sistema de Gestin de
Seguridad de la Informacin o ISMS por sus siglas en ingls).
Esta norma se liber en el ao 2005 y fue tomada en su mayor parte de la BS 7799-2:2002
desarrollada por la entidad de normalizacin britnica British Standards Institution pero con las
modificaciones introducidas en la ISO 27002:2005. Es una norma certificable ya que expresa
mandatos u obligaciones a cumplir lo que permite su auditora y certificacin.
En resumen, la ISO 27001 muestra cmo aplicar los controles seleccionados de la ISO 27002,
estableciendo los requisitos para construir un Sistema de Gestin de Seguridad de la
Informacin (SGSI, o ISMS por sus siglas en ingls) que efectivamente se puede auditar y
certificar.
El SGSI de la ISO 27001 responde a la aplicacin del ciclo Deming o modelo PDCA (Plan-DoCheck-Act) de mejora continua tambin presente en otras normas. La aplicacin del proceso PDCA
en el SGSI conforma el paradigma de gestin de riesgos que gua la estrategia del Corporate
Governance, incluyendo la gestin de riesgos de negocios.
De hecho, bajo el esquema comn del modelo PDCA, la ISO 27001 ofrece un interesante
alineamiento con otras normas tambin de sistemas de gestin como la ISO 9001 de Calidad y la
ISO 14001 de Medio Ambiente, con el consiguiente beneficio de reduccin de esfuerzos y costos en
una implementacin semi-integrada.
Junio de 2011
46
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
La Serie ISO 27000 se completa con una serie de Normas que buscan dar un carcter
autoconsistente a la misma:
ISO 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra
en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de
acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin
hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de
aprobacin por la direccin para implementar un SGSI. Tiene su origen en el anexo B de la norma
BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con
recomendaciones y guas de implantacin.
ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditacin
de entidades de auditora y certificacin de SGSIs. Es una versin revisada de EA-7/03
(Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade
a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin)
los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los
criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO
27001, pero no es una norma de acreditacin por s misma
ISO 27007: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua
de auditora de un SGSI, como complemento a lo especificado en ISO 19011.
ISO 27008: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua
de auditora de los controles seleccionados en el marco de implantacin de un SGSI.
ISO/IEC 27010: En fase de desarrollo, con publicacin prevista en 2012. Es una norma en 2
partes, que consistir en una gua para la gestin de la seguridad de la informacin en
comunicaciones inter-sectoriales.
Junio de 2011
47
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
ISO 27011: Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la
implementacin y gestin de la seguridad de la informacin en organizaciones del sector
de telecomunicaciones basada en ISO/IEC 27002.
ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para
apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la
seguridad de la informacin sobre los datos de salud de los pacientes. Esta norma, al contrario que
las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215.
ISO 27013: con publicacin prevista en 2012. Consistir en una gua de implementacin
integrada de ISO 27001 (gestin de seguridad de la informacin) y de ISO 20000-1
(gestin de servicios TI).
ISO 27014: con publicacin prevista en 2012. Consistir en una gua de gobierno
corporativo de la seguridad de la informacin.
ISO 27015: con publicacin prevista en 2012. Consistir en una gua de SGSI para
organizaciones del sector financiero y de seguros.
ISO 27031: con publicacin prevista en 2011. Consistir en una gua de continuidad de
negocio en cuanto a tecnologas de la informacin y comunicaciones.
Junio de 2011
48
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
ISO 27032: con publicacin prevista en 2011. Consistir en una gua relativa a la
ciberseguridad.
ISO 27034: con publicacin prevista en 2010. Consistir en una gua de seguridad en
aplicaciones informticas.
ISO 27035: con publicacin prevista en 2011. Consistir en una gua de gestin de
incidentes de seguridad de la informacin.
ISO 27036: con publicacin prevista en 2012. Consistir en una gua de seguridad de
outsourcing (tercerizacin de servicios).
ISO 27037: con publicacin prevista en 2012. Consistir en una gua de identificacin,
recopilacin y preservacin de evidencias digitales.
MAGERIT V.2
El Consejo Superior de Administracin Electrnica del Ministerio de Administraciones Pblicas
de Espaa ha elaborado MAGERIT (Metodologa Automatizada de Anlisis y Gestin de Riesgos de
los Sistemas de Informacin) y promueve su utilizacin como respuesta a la percepcin de que la
Administracin (y en general toda la sociedad) depende de forma creciente de las tecnologas de la
informacin para el cumplimiento de su misin. La razn de ser de MAGERIT est directamente
relacionada con la generalizacin del uso de los medios electrnicos, informticos y telemticos, que
supone beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que generen confianza
MAGERIT persigue los siguientes objetivos:
Directos:
1. concientizar a los responsables de los sistemas de informacin de la existencia de riesgos y de la
necesidad de atacarlos a tiempo
2. ofrecer un mtodo sistemtico para analizar tales riesgos
3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
Indirectos:
4. preparar a la Organizacin para procesos de evaluacin, auditoria, certificacin o acreditacin,
segn corresponda en cada caso
Junio de 2011
49
ADMINISTRACIN DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Seguridad de la Informacin
Libro I: Mtodo: pasos para realizar un anlisis del estado de riesgo y para gestionar su
mitigacin; tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos (roles,
actividades, hitos y documentacin) y aplicacin de la metodologa al caso del desarrollo de sistemas
de informacin
Libro II: Catlogo de Elementos: tipos de activos, dimensiones de valoracin de los activos,
criterios de valoracin de los activos, amenazas tpicas sobre los sistemas de informacin y
salvaguardas a considerar para proteger sistemas de informacin
Libro III: Gua de Tcnicas: empleadas para llevar a cabo proyectos de anlisis y gestin de
riesgos: tcnicas especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis
algortmico, rboles de ataque, tcnicas generales, anlisis costo-beneficio, diagramas de flujo de
datos, diagramas de procesos, tcnicas grficas, planificacin de proyectos, sesiones de trabajo
(entrevistas, reuniones y presentaciones) y valoracin Delphi
Estos libros se pueden descargar de: http://www.csi.map.es/csi/pg5m20.htm
Busca, adems, la uniformidad de los informes que recogen las evidencias y las conclusiones de un
proyecto de anlisis y gestin de riesgos:
Modelo de valor: Caracterizacin del valor que representan los activos para la Organizacin as
como de las dependencias entre los diferentes activos.
Mapa de riesgos: Relacin de las amenazas a que estn expuestos los activos.
Evaluacin de salvaguardas (controles): Evaluacin de la eficacia de las salvaguardas existentes
en relacin al riesgo que afrontan.
Estado de riesgo: Caracterizacin de los activos por su riesgo residual; es decir, por lo que puede
pasar tomando en consideracin las salvaguardas desplegadas.
Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen como
oportunas para reducir los riesgos sobre el sistema.
Plan de seguridad: Conjunto de programas de seguridad que permiten materializar las decisiones
de gestin de riesgos
Junio de 2011
50