CAPITULO 1

DEFINICION DE LA NORMALIZACION A
EMPLEAR

1.1 TRMINOS Y DEFINICIONES DE SEGURIDAD

x Amenaza: es un evento que pueden desencadenar un incidente en la

organizacin, produciendo daos materiales o prdidas inmateriales en sus

activos.
x Impacto: consecuencia de la materializacin de una amenaza.

x Riesgo: posibilidad de que se produzca un impacto determinado en un Activo,

en un Dominio o en toda la Organizacin.

x Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una

amenaza sobre un Activo.

x Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del

sistema.
x Desastre o Contingencia: interrupcin de la capacidad de acceso a

informacin y procesamiento de la misma a travs de computadoras

necesarias para la operacin normal de un negocio.
x Disponibilidad

Es necesario garantizar que los recursos del sistema se encontrarn

disponibles cuando se necesitan, especialmente la informacin crtica.
x Integridad

La informacin del sistema ha de estar disponible tal y como se almacen por

un agente autorizado.
x Autenticidad

El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los

usuarios la del sistema.

x Confidencialidad

La informacin slo ha de estar disponible para agentes autorizados,

especialmente su propietario.
x SGSI (Sistema de Gestin de la Seguridad Informtica): Sistema de gestin

que comprende la poltica, la estructura organizativa, los procedimientos, los

procesos y los recursos necesarios para implantar la gestin de la seguridad
de la informacin.
x Seguridad Informtica (SI):
Se denomina seguridad informtica al conjunto de mtodos y herramientas
destinados a proteger la informacin y por ende los sistemas informticos
ante cualquier amenaza, se trata de un proceso en el cual participan personas.
x Seguridad Fsica:
Este tipo de seguridad se asocia a la proteccin del sistema ante las amenazas
fsicas, incendios, inundaciones, edificios, cables, control de accesos de
personas, etc.
x Seguridad Lgica
Es la proteccin de la informacin en su propio medio, mediante el
enmascaramiento de la misma usando tcnicas de criptografa.
x Mecanismo de Seguridad
Procedimiento, herramienta o mtodo para garantizar el cumplimiento de la
poltica de seguridad.

1.2 DEFINICIN DEL ALCANCE

La seguridad informtica es un campo muy extenso que involucra varias etapas

para su anlisis, desarrollo e implementacin, dentro de este contexto, nuestro
proyecto de tesina estar enfocado solamente a parte del anlisis, especficamente al

anlisis de los riesgos a los que la empresa esta expuesta y al diseo de las polticas
de seguridad.

El presente proyecto abarcar el anlisis de los dos componentes tradicionales de

la seguridad informtica, la seguridad fsica y la seguridad lgica.

El desarrollo de nuestro trabajo de seguridad informtica para la empresa

estudiada estar segmentado en seis reas de importancia que son:
x

Software

Telecomunicaciones

Hardware

Sistema Elctrico

Datos

Talento Humano

Todo nuestro anlisis se realizara sobre las seis dominios citados anteriormente,
dichos dominios definen los componentes del sistema informtico de la empresa.

Para la elaboracin del proyecto lo dividiremos en tres etapas fundamentales a

realizar: la primera es la recoleccin de informacin, en la cual, mediante la
informacin proporcionada por el personal de Sistemas y visitas de campo a las
instalaciones de la empresa, levantaremos los datos ms relevantes que denoten
vulnerabilidad en cualquiera de las seis dominios definidos; la segunda etapa es el
anlisis de la informacin recolectada en la que enumeraremos los riesgos a los que
esta expuesta la empresa, para luego evaluar y priorizar los riesgos identificados; la
tercera etapa seria la elaboracin de un informe que contenga las polticas de
seguridad, que serian las recomendaciones para reducir los riesgos y sus respectivos
impactos.

Con nuestra tesina pretendemos realizar la fase inicial del proceso de seguridad
informtica, es decir, nuestro trabajo establecer las bases sobre las que se asentara
la implementacin total del sistema de seguridad informtico.

1.3 ESTNDAR ISO 27001

Para el desarrollo de nuestro proyecto de anlisis de riesgos y diseo de

polticas de seguridad, utilizaremos como gua principal el estndar ISO 27001, ya
que esta normalizacin nos proporcionar las pautas y controles referentes para la
implementacin del sistema de seguridad informtica.

En la actualidad la norma internacional aplicada para la implantacin de un

Sistema de Gestin de la Seguridad de la Informacin (SGSI) es la norma ISO
27001. Este estndar proporciona: una base comn para la elaboracin de las normas
de seguridad de las organizaciones, un mtodo de gestin eficaz de la seguridad para
establecer informes de confianza en las transacciones y las relaciones entre empresas.

Esta

norma ha sido publicada en base al estndar ISO 17799 que es su

antecesor.

ISO 17799: Cdigo de buenas prcticas para la Gestin de la seguridad de la

informacin.
ISO 27001: Especificaciones relativas a la gestin de la seguridad de la
informacin.

Se trata de dos estndares que estn muy relacionados pero que desempean
papeles distintos, as mientras que la primera parte se aplica en la etapa de
normalizacin, la segunda parte es aplicable en la etapa de certificacin.

1.3.1 Qu es el Estndar ISO 27001?

El estndar ISO 27001 es una norma reconocida mundialmente para los

sistemas de Gestin de Seguridad de la Informacin (SGSI), la cual indica los
controles a seguir al momento de disear e implementar un sistema de seguridad
informtica.

La certificacin de los Sistemas de Gestin de Seguridad de la Informacin

(SGSI) de la norma ISO 27001 est orientada a establecer un sistema gerencial que
permita minimizar el riesgo y proteger la informacin en las empresas, de amenazas
externas o internas.
El estndar se compone de dos partes:
1. ISO 17799: Gua de controles y buenas prcticas.
2. ISO 27001: Estndar por el que se certifica el SGSI.

1.3.2 Para que sirve?

El estndar ISO 27001 esta formado por varios controles que ayudan a
administrar la proteccin de un activo (fsico o intelectual) de una organizacin,
asegurando as el continuo funcionamiento del negocio y la minimizacin de los
daos despus de un desastre.

Los controles de seguridad son parte de este estndar, y como cada

organizacin tiene sus propios requerimientos y riesgos podr escoger todos o
algunos de estos controles para lograr la certificacin ISO 27001.

Esta norma, no est orientada a despliegues tecnolgicos o de infraestructura,

sino a aspectos nicamente organizativos, es decir, organizar la seguridad de la
informacin, por ello se compone de una secuencia de acciones destinadas al
establecimiento,

implementacin,

operacin,

monitorizacin,

revisin,

mantenimiento y mejora del SGSI.

1.3.3 reas de Seguridad que comprende

Este estndar posee once reas de control, cada rea tiene objetivos de
controles y controles existentes.

A continuacin se detallarn las reas de ISO 27001 necesarias para cubrir los
dominios sugeridos por la empresa, as como tambin se justificarn los controles
9

que sern tomados en cuenta dentro del alcance de nuestro proyecto; la norma ISO
completa con sus dominios y controles se muestran en el ANEXO1.

1. POLITICA DE SEGURIDAD
Tomaremos en cuenta este dominio debido a que en la actualidad en esta
organizacin no existen polticas de seguridad adecuadas, por lo tanto nuestro trabajo
consistir en disear un documento de polticas de seguridad, con el fin de que exista
una normativa comn que regule a toda la organizacin.

1.1 Poltica de seguridad de la informacin

1.1.1 Documento de poltica de seguridad de la informacin

Este control es tomado en cuenta debido a que redactaremos un

documento con las polticas de seguridad informtica para la empresa
en estudio.

La direccin deber aprobar, publicar y comunicar de forma adecuada

un documento de polticas de seguridad a todos los empleados de la
empresa.

1.1.2 Revisin de la poltica de seguridad de la informacin

Las polticas de seguridad definidas debern tener un propietario que

sea responsable del mantenimiento y revisin de las mismas.

2. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

Este dominio se toma en cuenta debido a que es necesario definir Cmo se

llevar? y Quin estar a cargo? del control de la seguridad dentro de la empresa.

10

Este control es importante para llevar el Sistema de Gestin de Seguridad

Informtica a su correcta implementacin, este sera el primer paso ya que sin el
apoyo de la alta gerencia el proyecto fracasara, pues un sistema de esta magnitud
requiere gran cantidad de tiempo y recursos.

Debido a que nosotros no formamos parte del personal de la empresa en

estudio, esta actividad ser realizada por el, o las personas interesadas en llevar este
proyecto a la realidad.

2.1 Organizacin Interna

2.1.1 Compromiso de la alta direccin con la seguridad de la informacin

En este control se debera firmar un acuerdo en el cul la alta gerencia

se compromete a brindar su apoyo en el establecimiento,
implementacin, operacin, seguimiento, revisin, mantenimiento y
mejoras del SGSI.

2.1.2 Coordinacin de la seguridad de la informacin

En este control se definen las pautas a seguir para el manejo de la

informacin de acuerdo a los recursos y la disponibilidad de la
empresa.

2.1.3 Asignacin de responsabilidades para la seguridad de la informacin

En este punto se designan las tareas a todos los empleados de la

empresa que participaran en el proyecto.

2.1.4 Procesos de autorizacin de recursos para tratamiento de la informacin

Se debe definir una normativa a seguir con respecto a la asignacin de

recursos, es decir, un protocolo que deber seguir el director del
proyecto para solicitar los recursos necesarios.
11

2.1.5 Acuerdos de Confidencialidad

Se debe establecer una poltica de confidencialidad en la que los

integrantes del proyecto se comprometen a proteger la informacin
que se manejara durante la elaboracin del proyecto.

2.1.6 Contacto con las autoridades

Es importante establecer un vnculo entre la alta gerencia y el jefe del

proyecto, as los directivos se mantendrn al tanto del avance del
proyecto y mantendrn su inters en l.

2.1.7 Contactos con grupos de inters especial

Para la correcta implantacin del sistema de seguridad informtica es

importante que los integrantes del proyecto mantengan un contacto
con personas especializadas en el tema o que hayan desarrollado
sistemas similares para hacer uso de sus mejores prcticas.

2.1.8 Revisin independiente de la seguridad de la informacin

Es necesario contar con la colaboracin de personal independiente a la

empresa para que aporten con ideas y conocimientos desde otra
perspectiva.

2.2 Terceras partes

2.2.1 Identificacin de riesgos por el acceso de terceros

Si para el desarrollo del proyecto se necesitar de la colaboracin de

terceras personas, es importante considerar los riegos a los que se
expone la empresa al contar con ellos.

12

2.2.2 Consideracin de la seguridad en los tratos con clientes

En este punto podemos diferenciar dos aspectos, el primero es

considerar los mecanismos necesarios para proteger los activos de la
empresa frente a posibles ataques por parte de los clientes; y el
segundo aspecto es proteger la informacin de los clientes usada en
procesos de la empresa.

2.2.3 Consideracin de la seguridad en contratos con terceros

Al trabajar con terceros es primordial escribir detalles como: la

informacin a la que tendrn acceso y la que no, los lugares en los que
podrn estar, el equipo que podrn manejar, etc.

3. GESTION DE ACTIVOS

Este dominio ayuda a identificar cuales son los activos de mayor valor para la
organizacin, que nivel de proteccin requiere cada activo y quien es su responsable.

Una vez organizada la forma en la que se va a desarrollar el proyecto de

implementacin del SGSI y contando con la autorizacin y el apoyo de los directivos
de la empresa, podemos empezar con el anlisis de riesgos; dentro del anlisis de
riesgos la gestin de activos es el punto de partida.

3.1 Responsabilidad sobre los activos

3.1.1 Inventario de activos

Debemos hacer un listado de los activos de mayor valor con los que
cuenta la empresa en estudio.

3.1.2 Propiedad de los activos

13

Se tienen que relacionar los activos con sus propietarios, pues, por
cada activo identificado debe haber un responsable.

3.1.3 Uso adecuado de los activos

Al momento de disear las polticas de seguridad, se debe tomar en

cuenta el uso adecuado de los activos, pues el ochenta por ciento de
los ataques a una empresa son internos.

3.2 Clasificacin de la Informacin

Este control cubrir los activos de informacin en formatos fsico y electrnico.

3.2.1 Directrices de clasificacin

Dependiendo de la informacin que maneje la empresa, esta deber
ser clasificada para indicar la necesidad, prioridades y grados de
proteccin.

3.2.2 Marcado y tratamiento de la informacin

Se debe definir un conjunto de procedimientos para etiquetar y

manejar toda la informacin de acuerdo a la clasificacin realizada en
el control anterior.

4. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

En este dominio se establece la responsabilidad de los recursos humanos y su

participacin en la implementacin y mantenimiento del sistema de seguridad
informtica.

14

Con este control se debe asegurar que los usuarios tengan conciencia sobre las
amenazas y problemas de seguridad de la informacin y que estn preparados para
brindar apoyo a las polticas de seguridad en el curso de su trabajo normal.1

4.1 Previo a la contratacin

Esta parte del control no se contempla dentro del alcance definido, pues nuestro
proyecto se centra ms a la parte de los sistemas informticos, este punto deber ser
tratado con ms detalle con el departamento de RRHH.

4.1.1 Funciones y responsabilidades

4.1.2 Seleccin y verificacin de candidatos
4.1.3 Trminos y condiciones de la relacin laboral

4.2 Durante el desempeo de las funciones

4.2.1 Responsabilidades de la direccin

Los altos directivos deben estar comprometidos a apoyar el desarrollo

del proyecto en todas sus etapas.

4.2.2 Concienciacin y formacin en seguridad informtica

Todos los empleados de la organizacin y en donde sea pertinente

debern recibir formacin sobre los procedimientos de seguridad, as
como tambin entrenamientos sobre el uso correcto de los recursos y
tratamientos de la informacin. 2

NORMAS TECNICAS SOBRE SISTEMAS DE GESTION DE LA SEGURIDAD DE LA

INFROMACION, Instituto colombiano de normas tcnicas y certificacin INCONTEC, 2005
2
Idem.

15

4.2.3 Proceso disciplinario

Dentro de la empresa se debe formalizar un proceso disciplinario para

tratar a los empleados que violen las polticas y procedimientos de
seguridad.

4.3 Fin del contrato o cambio de funciones

4.3.1 Responsabilidades de fin de contrato

Es importante pensar en la continuidad del negocio, pues en el caso de

que un empleado sea removido de su cargo deber existir un
responsable que tome su lugar y sus responsabilidades, ya sea de
forma temporal o permanente.

4.3.2 Restitucin de activos

Al finalizar el contrato con un empleado se debern reasignar los

recursos, es decir, el equipamiento de un ex empleado tiene que ser
usado por otro que tome su lugar o en su defecto comprar uno nuevo
en el caso de ser necesario.

4.3.3 Eliminacin de los derechos de acceso

Una medida de proteccin es la eliminacin de los derechos de acceso

de los empleados que vayan a ser destituidos de su cargo, pues as se
evitan represaras por parte de ellos en el caso de su salida en malos
trminos, tambin es importante para mantener un orden en la
administracin de cuentas de usuarios.

16

5. SEGURIDAD FISICA Y DEL ENTORNO

Con este control se pretende evitar el acceso fsico no autorizado que produsca
dao o interferencia a las instalaciones e informacin de la empresa, creando reas
seguras donde se ubicaran los activos de mayor valor.

5.1 reas seguras

5.1.1 Permetro de seguridad fsica

Son importantes para incrementar la proteccin total de la

organizacin y sus instalaciones de procesamiento de informacin, un
rea de seguridad es un conjunto de barreras que evitan el acceso de
personas no autorizadas. 3

5.1.2 Controles fsicos de entrada

Son un conjunto de controles de entrada que aseguran nicamente el

acceso de personal autorizado, el acceso a las reas seguras debe ser
supervisado as como tambin deben registrarse la fecha y hora de
entrada y salida del personal.

5.1.3 Seguridad de oficinas, despachos y recursos

Se debe tomar en cuenta la seguridad de cada espacio fsico de dentro

de la empresa, podemos mencionar medidas de seguridad como:
armarios o cajas con candados, racks, etc.

5.1.4 Proteccin contra amenazas externas y ambientales

NORMAS TECNICAS SOBRE SISTEMAS DE GESTION DE LA SEGURIDAD DE LA

INFROMACION, Instituto colombiano de normas tcnicas y certificacin INCONTEC, 2005

17

La proteccin fsica tambin debe contemplar la posibilidad de daos

por incendios, inundacin, explosin, disturbio y tras formas de
desastres naturales o provocados.

5.1.5 El trabajo en reas seguras

Incluye controles para empleados o terceros en las actividades que

desarrollan dentro de la organizacin, es decir, una supervisin para
que realicen su trabajo con el equipamiento adecuado.

5.1.6 reas de acceso pblico, carga y descarga

Estas reas debern estar aisladas de las instalaciones de

procesamiento de informacin para evitar el acceso no autorizado.

5.2 Seguridad de los Equipos

5.2.1 Instalacin y proteccin de equipos

Este control deber ser considerado al momento de montar un

permetro de trabajo ya que se debe tomar en cuenta la ubicacin y
proteccin de los equipos para reducir as los riesgos a los que se
expone.

5.2.2 Suministros de energa

Mediante este control se tomar en cuenta que todos los equipos

debern estar protegidos contra fallas provenientes del suministro de
energa u otras anomalas elctricas, garantizando as que se cumplan
las especificaciones de los fabricantes de los equipos.4

NORMAS TECNICAS SOBRE SISTEMAS DE GESTION DE LA SEGURIDAD DE LA

INFROMACION, Instituto colombiano de normas tcnicas y certificacin INCONTEC, 2005

18

5.2.3 Seguridad de cableado

Todo tipo de cableado, ya sea de energa elctrica o de

telecomunicaciones debe estar protegido contra interceptacin o dao
y al mismo tiempo debe adoptarse medidas alternativas de proteccin.

5.2.4 Mantenimiento de equipos

Todo equipo que sea parte de la organizacin debe recibir un

mantenimiento adecuado y peridico para asegurar su disponibilidad e
integridad de acuerdo a las especificaciones de su proveedor.

5.2.5 Seguridad de equipos fuera de los locales de la organizacin

nicamente la direccin de la empresa esta en capacidad de autorizar

el uso de cualquier equipo para el tratamiento de la informacin fuera
de las instalaciones, para lo cual se deber proporcionar una seguridad
equivalente a la de los equipos que se manejan dentro de la empresa,
tomando en cuenta los riesgos de trabar fuera de las instalaciones.

5.2.6 Seguridad en la reutilizacin o eliminacin de equipos

La informacin puede exponerse a riegos si la reutilizacin o

eliminacin de los equipos se realiza sin precaucin. Los dispositivos
de almacenamiento con infamacin sensible deberan destruirse
fsicamente o sobrescribirse de manera segura. 5

5.2.7 Traslado de activos fuera de la organizacin

Al momento de movilizar un activo fuera del permetro de la

organizacin se debe realizar una valoracin de los riesgos a los que
esta expuesto y tomar las medidas que sean necesarias para protegerlo.
5

NORMAS TECNICAS SOBRE SISTEMAS DE GESTION DE LA SEGURIDAD DE LA

INFROMACION, Instituto colombiano de normas tcnicas y certificacin INCONTEC, 2005

19

6. GESTIN DE COMUNICACIONES Y OPERACIONES

En este dominio se definen las medidas de seguridad que la organizacin debe

tomar en cuenta para la gestin y operacin de todas las instalaciones de proceso de
informacin.
6.1 Procedimientos y responsabilidades de operacin

Este control no esta dentro del alcance definido para el desarrollo de la

presente tesina.

6.2 Gestin de la provisin de servicios contratados a terceros

Este control no esta dentro del alcance definido para el desarrollo de la

presente tesina.

6.3 Planificacin y aceptacin del sistema

6.3.1 Planificacin de capacidades

Este objetivo de control no esta dentro del alcance definido para el
desarrollo de la presente tesina.

6.3.2 Aceptacin del sistema

Es importante debido a que se deben establecer criterios de aceptacin
para sistemas de informacin nuevos, actualizaciones y nuevas
versiones, tambin se debe llevar a cabo las pruebas adecuadas del
sistema antes de su aceptacin.

6.4 Proteccin contra software malicioso y cdigo mvil

6.4.1 Medidas y controles contra software malicioso

El objetivo de este control es proteger la integridad del software y de

la informacin, tambin se deben tomar en cuenta las precauciones
para prevenir y detectar la introduccin de software malicioso.
20

6.4.2 Medidas y controles contra cdigo mvil

Entendemos por cdigo mvil cualquier tipo de software que puede

ser transportado fcilmente, como en las tan usadas memorias flash;
por este motivo se debera tomar en cuenta todas las medidas
pertinentes para evitar la circulacin de este cdigo malicioso.

6.5 Copia de Seguridad

6.5.1 Copia de Seguridad de la informacin

Es importante hacer regularmente copias de seguridad de toda la

informacin esencial de la empresa y del software. Con esto se
pretende apoyar la continuidad del negocio.

6.6 Gestin de la seguridad de red

6.6.1 Controles de red

Es necesaria la incorporacin de una serie de controles para lograr y

mantener la seguridad en las redes, as como tambin las medidas para
proteger la confidencialidad y la integridad de los datos que pasen a
travs de las redes pblicas.

6.6.2 Seguridad en los servicios de red

Es de gran importancia la proteccin de los equipos servidores y los

servicios

brindados

travs

de

la

red

para

proteger

la

confidencialidad, integridad y disponibilidad de la informacin.

6.7 Utilizacin de los soportes de informacin

6.7.1 Gestin de los soportes extrables

21

Se ve necesaria la incorporacin de procedimientos para la

administracin de los medios de computacin removibles comos
cintas, discos, memorias flash o reportes.

6.7.2 Eliminacin de medios

Este control es necesario para cuando ya no se requieren ciertos

medios, para ello se deberan establecer procedimientos formales que
minimicen riesgos como la posible filtracin de informacin por
personas externas, con la eliminacin segura de estos medios.

6.7.3 Procedimientos de utilizacin de la informacin

Es importante establecer procedimientos para el manejo y

almacenamiento de la informacin de forma correcta, con el fin de
protegerla contra la divulgacin o uso no autorizado, de acuerdo con
su soporte.

6.7.4 Seguridad de la documentacin de sistemas

La documentacin del sistema puede contener una variedad de

informacin sensible la cual debera administrarse con seguridad, para
as proteger a esta de accesos no autorizados.

6.8 Intercambio de informacin

6.8.1 Polticas y procedimientos para el intercambio de informacin

Es necesario tomar en cuenta un conjunto de polticas que se deben

implementar para evitar la prdida, modificacin o uso inadecuado de
la informacin intercambiada interna o externamente.

22

6.8.2 Acuerdos de intercambio de informacin

Se deben establecer acuerdos para los intercambios manuales o

electrnicos de informacin y software dentro y fuera de la
organizacin, el nivel de seguridad depender de la criticidad de la
informacin.
6.8.3 Soportes fsicos en trnsito

Es importante tomar en cuenta este control ya que previene el acceso

no autorizado, uso inadecuado o corrupcin durante el transporte
fsico de la informacin

6.8.4 Mensajera electrnica

Este control es muy critico para la empresa en estudio, debido a que la

mensajera electrnica participa en la mayora de sus procesos de
trabajo, por esta razn se le va a dar mucho nfasis a cierto tipo de
amenazas que llevan a divulgacin o modificacin de la informacin,
de esta manera se establecern polticas para el correcto uso de este
medio de comunicacin.

6.8.5 Sistemas de informacin corporativos

En los procesos de la empresa se ve necesaria la incorporacin de

controles para la proteccin de la informacin que circula a travs de
los sistemas.

6.9 Servicios de comercio electrnico

6.9.1 Comercio Electrnico

Es muy importante proteger el intercambio electrnico de datos ya sea

a travs de correo electrnico o transacciones en lnea, ante ciertos

23

tipos de amenazas que llevan a actividades fraudulentas, disputas por

contratos y divulgacin o modificacin de la informacin.

6.9.2 Transacciones en lnea

Es indispensable la proteccin de transacciones en lnea a travs de

redes pblicas como la Internet, ante ciertos tipos de amenazas que
llevan a actividades fraudulentas, que perjudican la imagen y seriedad
de la empresa.

6.9.3 Informacin de difusin pblica

Al momento de publicar informacin de la organizacin es importante

tomar en cuenta que la informacin a pesar de ser pblica debe ser
manejada correctamente, para evitar que se valgan de este medio para
acceder a otro tipo de informacin.

6.10 Seguimiento

Este control no esta dentro del alcance definido para el desarrollo de la presente
tesina.

7. CONTROL DE ACCESOS

El objetivo de este punto es controlar el acceso a la informacin y los procesos

de negocio.

7.1 Requisitos de negocio

7.1.1 Poltica de control de accesos

En este punto se deberan definir y documentar los requerimientos del

negocio para el control de acceso, tambin establecer claramente
24

polticas, reglas y derechos para los usuarios, y crear una

especificacin clara de los requisitos de negocio que sern cubiertos
por los controles de acceso.

7.2 Gestin de acceso de usuario

7.2.1 Registro de usuarios

Es importante que exista un procedimiento formal de registro y

cancelacin del registro o usuarios, para conceder acceso a todos los
sistemas o servicios de informacin multiusuarios.

7.2.2 Gestin de privilegios

Se deber restringir y controlar la asignacin y uso de privilegios o

recursos de un sistema de informacin multiusuarios.

7.2.3 Gestin de contraseas de usuario

Las contraseas son medios de uso corriente, que validan la identidad

de un usuario para acceder a un sistema o servicio de informacin, por
este motivo se debe crear un proceso de gestin formal, que las
controle. 6

7.2.4 Revisin de los derechos de acceso de los usuarios

Este punto es importante para mantener un control efectivo del acceso

a los datos y servicios de informacin.

NORMAS TECNICAS SOBRE SISTEMAS DE GESTION DE LA SEGURIDAD DE LA

INFROMACION, Instituto colombiano de normas tcnicas y certificacin INCONTEC, 2005

25

7.3 Responsabilidades del usuario

7.3.1 Uso de contrasea

Debido a que las contraseas ofrecen un medio para validar la

identidad de cada usuario, es importante seguir buenas prcticas de
seguridad en la seleccin y uso de las mismas.
7.3.2 Equipo informtico de usuario desatendido

Es importante asegurar que el equipo informtico desatendido est

debidamente protegido, todos los usuarios y proveedores de servicio
debern conocer los requisitos de seguridad y los procedimientos para
proteger tales equipos.

7.3.3 Poltica de puesto de trabajo despejado y bloqueo de pantalla

Es necesario que los usuarios conozcan la importancia de mantener

seguro su puesto de trabajo, ya que as se evitar el acceso de terceros
a sus equipos.

7.4 Control de acceso en red

7.4.1 Poltica de uso de servicios de red

Es importante el conocimiento de los usuarios acerca de los accesos

directos de los servicios para los que han sido autorizados
especficamente.

7.4.2 Autenticacin de usuario para conexiones externas

Las conexiones externas son una fuente potencial de accesos no

autorizados a la informacin de la empresa, es importante detectar que
nivel de proteccin se requiere a partir de una evaluacin de riesgos.

26

7.4.3 Identificacin de equipos en la red

Es importante tener una documentacin sobre la identificacin de

todos los equipos que componen la red de la empresa para facilitar la
ubicacin de los dispositivos y el anlisis de la red.

7.4.4 Proteccin de puertos de configuracin y diagnstico remotos

Es necesario llevar un control de los puertos ya que estos pueden

permitir accesos no autorizados si no estn protegidos, para lo cul se
los debera proteger con mecanismos de seguridad adecuados.

7.4.5 Segregacin en las redes

Debido a la gran extensin que puede llegar a tomar una red, se ve

necesaria la divisin o segmentacin de estas en asociaciones que
requieren compartir conexin o recursos informticos, estas
subdivisiones pueden incrementar los riesgos de acceso no autorizados
a los sistemas actuales.

7.4.6 Control de conexin a las redes

Es necesario incorporar controles que restrinjan las capacidades de

conexin de los usuarios, estos controles pueden establecerse
mediante pasarelas que filtren el trfico entre redes; las restricciones
que se impongan deben basarse en polticas de control de acceso.

7.4.7 Control de encaminamiento en la red

Estos tipos de controles suelen ser esenciales en redes compartidas

con usuarios ajenos a la organizacin, razn por la cual se deberan
crear especificaciones que protejan la red de la empresa.

27

7.5 Control de acceso al sistema operativo

7.5.1 Procedimientos de conexin segura

Se deben disear procedimientos para conectarse al sistema

informtico que minimice la posibilidad de accesos no autorizados.
Por lo tanto los procesos de conexin debern mostrar el mnimo
posible de informacin para no facilitar ayuda innecesaria a usuarios
no autorizados.

7.5.2 Identificacin y autenticacin de usuario

Todos los usuarios debern tener un identificador nico para su uso

personal y exclusivo, de manera que las actividades se puedan rastrear
hasta el individuo responsable.

7.5.3 Sistema de gestin de contraseas

En toda empresa es importante disear un conjunto de reglas o

polticas que sirvan como un medio eficaz para controlar y mantener
el uso de contraseas. Es necesario imponer el uso de contraseas
individuales con el fin de establecer responsabilidades a cada usuario
y validar su acceso a servicios informticos.

7.5.4 Uso de los servicios del sistema

Es importante limitar y controlar continuamente el uso de los sistemas

y aplicaciones por parte de los usuarios, para evitar que estos eludan
las medidas de seguridad al acceder a una instalacin informtica o
programas utilitarios.

28

7.5.5 Desconexin automtica de sesiones

Las terminales situadas en lugares de alto riesgo, en reas pblicas o

no seguras deben ser desactivadas despus de un periodo de
inactividad, para evitar el acceso de terceros.

7.5.6 Limitacin del tiempo de conexin

Es necesaria la aplicacin de restricciones en los tiempos de conexin,

es decir, limitar el periodo de tiempo durante el cual se aceptan
conexiones, de esta forma se reduce la oportunidad de accesos de
terceras personas no autorizadas.

7.6 Control de acceso a informacin y aplicaciones

7.6.1 Restriccin de acceso a la informacin

Es importante dar acceso a la informacin y a los servicios

nicamente a los usuarios que necesiten de esta para sus labores
diarias.

7.6.2 Aislamiento de sistemas sensibles

Es necesaria la incorporacin de entornos informticos dedicados

exclusivamente a sistemas y aplicaciones informticas muy sensibles,
para evitar as la prdida de informacin.

7.7 Informtica mvil y teletrabajo

7.7.1 Informtica y comunicaciones mviles

Se debe adoptar un cuidado muy especial para asegurar que la

informacin no se comprometa cuando se usan dispositivos de
computacin mvil (porttiles, agendas, telfonos, etc.), para ello
29

deben establecerse polticas que tomen en cuenta los posibles riesgos

de trabajar con este tipo de dispositivos.

7.7.2 Teletrabajo

El teletrabajo usa tecnologas de comunicacin para que el personal de

la empresa pueda trabajar de manera remota, se deben proteger estos
lugares remotos de robos, distribucin de autorizacin no autorizada,
accesos no permitidos, etc.

8. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE

SISTEMAS DE INFORMACION

El objetivo de est rea de control es garantizar que la seguridad se incorpore

en los sistemas de informacin, para lo cul se deber incluir la infraestructura, las
aplicaciones de negocio y las aplicaciones desarrolladas por los usuarios de la
empresa.

8.1 Requisitos de seguridad de los sistemas de informacin

8.1.1 Anlisis y especificacin de los requisitos de seguridad

Es importante especificar los requisitos de control que la organizacin

ha de seguir para desarrollar nuevos sistemas o mejorar los existentes,
se deben incorporar controles automticos o manuales, todo depender
del valor del activo.

8.2 Procesamiento correcto en aplicaciones

8.2.1 Validacin de los datos de entrada

Es importante validar estos datos para asegurar que son correctos y

apropiados.
30

8.2.2 Control de procesamiento interno

Para evitar que los datos introducidos correctamente puedan

comprometerse por errores de procesamiento deberan incorporarse a
los sistema comprobadores

o validadotes que detecten dicha

corrupcin; los controles requeridos dependern de la naturaleza de la

aplicacin y del impacto de la corrupcin.

8.2.3 Integridad de mensajes

Se debera establecer mecanismos para controlar la integridad de los

mensajes para as detectar cambios no autorizados o corrupcin del
contenido de un mensaje transmitido, estos controles pueden ser
implementados mediante hardware o software.

8.2.4 Validacin de los datos de salida

Este punto es importante para garantizar que el procesamiento de la

informacin almacenada sea correcto y apropiado, este control puede
incluir tareas de validacin, verificacin y pruebas adecuadas.

8.3 Controles criptogrficos

8.3.1 Poltica de uso de los controles criptogrficos

La incorporacin de estos procesos requiere un proceso de evaluacin

de riesgos y seleccin de medios de control que determinarn si se
debern o no usar este tipo de controles, tambin depender del nivel
de proteccin que la informacin requiera.

31

8.3.2 Gestin de claves

Este control es importante para el buen uso de las tcnicas

criptogrficas, un problema de este control puede llevar a debilitar la
autenticidad, confidencialidad o integridad de la informacin, por esta
razn es necesario instalar un sistema de administracin que de
soporte al uso de claves. La implementacin de este control debe
basarse en normas.

8.4 Seguridad de los ficheros del sistema

8.4.1 Control del software de explotacin

Es necesario controlar la implementacin de software en los sistemas

operativos para minimizar el riesgo de corrupcin de la informacin.

8.4.2 Proteccin de los datos de prueba del sistema

Es importante que la informacin utilizada en las pruebas del sistema

se acerquen a la realidad, pero al mismo tiempo se debe evitar el uso
de la base de datos real de la empresa.

8.4.3 Control de acceso al cdigo fuente de los programas

Se debe mantener un control estricto del acceso al cdigo fuente de los

programas, para as evitar copia, modificacin o divulgacin de los
mismos.

8.5 Seguridad en los procesos de desarrollo y soporte

8.5.1 Procedimientos de control de cambios

Se debe controlar estrictamente los cambios realizados en el software

para minimizar la corrupcin de los sistemas. Los programadores
32

debern tener acceso nicamente a la informacin que necesiten, todo

cambio de provendr de un acuerdo y aprobacin previa.

8.5.2 Revisin tcnica de aplicaciones por cambios a los paquetes de software

Es necesario realizar cambios peridicos en los sistemas operativos

utilizados en la empresa, sin embargo, se deber revisar y probar las
aplicaciones antes y despus de los cambios para asegurar que no
suceda ningn impacto adverso en su funcionamiento o seguridad.
8.5.3 Restricciones en los cambios a los paquetes de software

El software suministrado por los proveedores debe ser usado sin

realizar cambio alguno en la medida que sea posible y podran ser
modificarlos solo y exclusivamente cuando haya necesidad de hacerlo.
Si los cambios son necesarios es importante probar, documentar y
almacenar el software original y los cambios realizados en una copia
claramente identificada.

8.5.4 Fuga de informacin

Se debe controlar todo tipo de canal o medio, indirecto u oculto que

pueda comprometer la informacin

facilitando el acceso o su

modificacin.

8.5.5 Desarrollo externalizado del software

Al momento de contratar desarrolladores externos es importante

considerar aspectos sobre las licencias, derechos de propiedad,
requisitos de software y pruebas necesarias.

8.6 Gestin de vulnerabilidades tcnicas

33

8.6.1 Control de vulnerabilidades tcnicas

Es importante la incorporacin de procesos formales que controlen

las vulnerabilidades encontradas en dispositivos fsicos, se deber
documentar todos los resultados obtenidos y las posibles soluciones
que hayan sido probadas o no.

9. GESTION DE INSIDENTES DE SEGURIDAD DE LA

INFORMACION

Esta rea de control no esta dentro del alcance definido para el desarrollo de la
presente tesina.

10 GESTION DE CONTINUIDAD DEL NEGOCIO

Esta rea de control no esta dentro del alcance definido para el desarrollo de la
presente tesina.

11 CONFORMIDAD

Esta rea de control no esta dentro del alcance definido para el desarrollo de la
presente tesina.

1.3.4 Cmo implementar?

Para iniciar la implantacin de un Sistema de Gestin de la Seguridad de la

Informacin de acuerdo con la norma ISO 27001 se debe seguir el modelo PDCA
(Plan-Do-Check-Act) que quiere decir Planificar-Hacer-Verificar-Actuar.

34

Figura 1 MODELO PDCA

Fuente: MARTINEZ CRISTINA, Gua de implantacin de sistemas de gestin de la seguridad de
la informacin, 21 diciembre del 2005, http:// www.robotiker.com

De acuerdo con este modelo, la metodologa de implantacin de un SGSI en

una organizacin contempla los pasos que se detallan a continuacin:

1. Establecimiento del SGSI

Inicio del Proyecto: Esta fase implica

la aprobacin de la gerencia,

asegurando su compromiso en la implementacin del proyecto, as como

tambin la seleccin y entrenamiento de los miembros del equipo que
participarn en el proyecto.

Definicin del SGSI: Para esta fase se realiza una definicin del alcance del
SGSI, se recopilan los documentos de seguridad existentes en la
organizacin.

Evaluacin de Riesgos: Durante esta fase se crea un inventario de activos y

se define una metodologa para la clasificacin de los riesgos; mediante esta
metodologa se evalan los activos a ser protegidos, se realiza una
identificacin y evaluacin de amenazas y vulnerabilidades de los activos, as
como tambin se ponderan los riesgos.

35

Tratamiento de Riesgos: En esta fase se identifican y evalan algunas

alternativas para tratar los riesgos, y se prepara el plan de tratamiento de
riesgos para implantar los controles correctos.

Cabe recalcar que el desarrollo de nuestra tesina se realizar nicamente hasta

la fase descrita anteriormente, sin embargo es importante conocer todas las fases de
las que consta esta metodologa para futuras implementaciones.

2. Implantacin y Operacin

Formacin y sensibilizacin: En esta fase se busca comunicar y concientizar

a los empleados sobre los nuevos procedimientos que se van a implantar, as
como tambin la importancia que el proyecto de seguridad tiene para la
Organizacin.

Implantacin del SGSI: En esta fase se realiza la implementacin del plan

de tratamiento de riesgos, polticas y procedimientos del SGSI, y los
controles seleccionados.

3. Monitorizacin y Revisin

Monitorizacin del SGSI: Durante esta fase se ejecutan procedimientos de

monitorizacin para detectar errores de proceso, identificar fallos de
seguridad de forma rpida y las acciones a realizar.

Revisin del SGSI: En esta fase se realizan las revisiones peridicas de la

poltica y alcance del SGSI, su eficacia as como tambin riegos aceptables.

4. Mantenimiento y Mejora

Mantenimiento del SGSI: Durante esta fase se comunican los resultados de

las auditorias a las partes interesadas, as tambin como se adoptan acciones
correctivas y preventivas.

36

Mejora Continua: Se mide el rendimiento del SGSI y se implantan mejoras.

1.3.5 Requisitos y Reglamentos

El utilizar el estndar ISO 27001 como la base para la implementacin de un

Sistema de Gestin de Seguridad de la Informacin, esta norma ayuda a iniciar,
implementar, mantener y administrar la seguridad de la informacin dentro de
cualquier organizacin, siendo esta norma compatible con otros reglamentos
referentes a seguridad, lo cual implica que puede ser evaluada por terceros.

Al implementar un sistema de seguridad completo es recomendable contar con

un consejo de asesores legales para cumplir los requisitos necesarios y mantener la
calidad e integridad de la informacin as como tambin proteger los activos fsicos.

Si en una organizacin cumple con todos los requisitos del ISO 27001, puede
ser necesario ajustar ligeramente su sistema para cumplir con las necesidades
especficas de otros reglamentos, debido a su compatibilidad.

1.3.6 Certificacin

Una vez que el Sistema de Gestin de la Seguridad de la Informacin ha sido

implementado en una organizacin, se puede optar por su certificacin, siguiendo el
estndar ISO 27001, ante un Organismo Internacional de Acreditacin.

El propsito de una certificacin demuestra al mercado que la organizacin

tiene un adecuado Sistema de Gestin de da Seguridad de la Informacin. La
existencia del certificado no implica que la empresa este libre de riesgos, sino que la
empresa ha implantado un adecuado sistema de gestin de dichos riesgos y un
proceso de mejora continua.

La norma ISO 27001, es una gua de buenas prcticas y es certificable, es

consistente con las mejores prcticas descritas en ISO 17799 y tiene su origen en la
37

norma britnica British Standard BS 7799-2 publicada por primera vez en 1998, que
se elabor con el propsito de poder certificar los Sistemas de Gestin de la
Seguridad de la Informacin.

La certificacin de la norma internacional ISO 27001 incrementa la

credibilidad de cualquier organizacin, debido a que esta norma claramente
demuestra la validez de su informacin y un compromiso real de mantener la
seguridad de la informacin. La creacin de un SGSI puede innovar la cultura
corporativa interna y externa, incrementando las oportunidades de negocio con
clientes conscientes de la importancia de la seguridad, adems de mejorar el nivel
tico y profesional de los empleados.

Esta certificacin, permite reforzar la seguridad de la informacin y reducir el

posible riesgo de fraude, prdida de informacin o prdida de los bienes de la
organizacin.

El proceso de certificacin finaliza con la generacin de un informe, firmado

por un tercero (ajeno a la organizacin), en el que se define que, de acuerdo con su
criterio profesional, dicha organizacin CUMPLE o NO CUMPLE con los
requerimientos establecidos en la Normativa ISO 27001.

38

1.3.6.1 Proceso de certificacin de un Sistema de Gestin de la

Seguridad de la Informacin.

En el siguiente grfico se muestra el proceso que debe seguir una

organizacin para obtener su certificacin.

Figura 2 FASES DEL PROCESO DE CERTIFICACIN

Fuente: MARTINEZ CRISTINA, Gua de implantacin de sistemas de gestin de la seguridad de
la informacin, 21 diciembre del 2005, http:// www.robotiker.com

39