UNIVERSIDAD TCNICA DE AMBATO FACULTAD DE INGENIERA EN SISTEMAS, ELECTRNICA E INDUSTRIAL Nombre: Diego Guzmn Nivel: Cuarto Electrnica IMPLEMENTACIN

DE NORMAS ISO 270001 La norma ISO 270001 es un estndar internacional publicado en octubre de 2005; dicha norma est dedicada a la seguridad de la informacin y se basa en un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este tipo de norma nos permite proteger los activos de informacin de una empresa mediante un modelo estructurado que evala los riesgos y las amenazas que la empresa puede sufrir. En nuestro pas varias instituciones como el IESS y la Universidad Politcnica estn realizando estudios para implementar esta norma en sus sistemas. Qu es una amenaza? Una amenaza es una violacin a la seguridad y por lo tanto representa la prdida de informacin. Las amenazas puedes ser de dos tipos: - Natural - Humana El tipo de amenaza natural se refiere a incendios, terremotos o inundaciones; mientras que la amenaza humana puede ser a su vez maliciosa o no maliciosa. Una amenaza maliciosa es interna cuando la violacin a la seguridad se da por parte de entes que pertenecen a la empresa, mientras que una amenaza externa se da por personas ajenas a la empresa u organizacin. Entre los beneficios de implementar la norma 270001 tenemos: - Establecimiento de una mejor metodologa para la seguridad - Reduce el robo de informacin - Se arregla los defectos de gestin de seguridad - Auditora interna y externa: permite detectar amenazas - Organizacin de la Informacin - Gestin de activos Cuando una empresa u organizacin implementa la norma ISO 270001 es necesario una certificacin en donde conste si la empresa cumple o no con todos los requerimientos. Para obtener esta certificacin se debe acudir a organizaciones capacitadas; en el caso de nuestro pas este tipo de certificaciones las otorga el INEN. Al implementar la norma en una empresa es necesario tomar en cuenta 16 pasos; lo cuales se explican a continuacin: 1. Obtener el apoyo del director.- todo el comit y las personas encargadas de la direccin de la empresa deben estar de acuerdo en la implementacin de la norma. 2. Tomarlo como un proyecto.- La implementacin de la norma debe ser considerada como un proyecto, es decir estructurar un cronograma de actividades y procesos.

3. Definir el alcance del proyecto.- este paso consiste en definir si la norma se implementar en todos los departamentos o nicamente en el departamento de sistemas. Esto depende si la empresa es grande o pequea. 4. Redactar una poltica acerca del SGSI.- al redactar esta poltica se debe incluir como se manejar la seguridad y adems como se va a implementar el sistema. 5. Definir la metodologa de evaluacin de riesgos.- este paso se refiere a determinar los activos y la informacin que se va a proteger as como las posibles amenazas que se pueden presentar. 6. Realizar la evaluacin y el tratamiento de riesgos.-se debe implementar lo que se defini en el paso anterior; es decir realizar una evaluacin de riesgos. 7. Redactar al declaracin de aplicabilidad.- En la norma ISO 270001 existen 133 controles por lo que en esta etapa se debe analizar que controles se van a emplear. 8. Redactar el plan de tratamiento de riesgos.- se lleva a cabo la implementacin de los controles de la ISO. 9. Determinar cmo medir la eficacia de los controles.- desarrollar una metodologa con la cual se evalu la efectividad de los controles aplicados. 10.Implementacin de los controles y procedimiento obligatorio.- esta etapa se refiere a concientizar y capacitar a todos los usuarios del sistema. 11.Implementar programas de capacitacin y concientizacin.- El empleado debe tener capacidad para manejar el sistema y usar adecuadamente los controles de la ISO. 12.Hacer funcionar el SGSI.- El usuario deber hacer uso del sistema de manera correcta de acuerdo a lo establecido en las normas. 13.Supervisin del SGSI.- se debe revisar la funcionalidad del SGSI; si este cumple o no con lo establecido. 14.Auditoria interna.- Sirve para averiguar quines estn haciendo mal uso del sistema; as como evaluar las amenazas y el funcionamiento. 15.Revisin por parte de la directiva.- resultados de la implementacin, objetivos cumplidos y por cumplir, as como analizar si se requieren controles adicionales. 16.Medidas correctivas y preventivas.- Analizar si los objetivos se han cumplido, qu pas con la implementacin y revisar si se necesitan nuevos controles.

Conclusin: - La norma ISO 270001 est orientada al tratamiento de la informacin y la seguridad mediante diferentes controles que permitirn a la empresa una eficaz gestin de su informacin. - Para implementar esta norma inicialmente se debe evaluar todos los riesgos y amenazas, adems se necesita crear una poltica de seguridad mediante estudios. 2

SEGURIDAD INFORMTICA Hace aproximadamente dos dcadas Norton desarroll un programa de computadora para detectar errores o posibles problemas que se presenten en el ordenador. Posteriormente vendi esta aplicacin a una gran empresa y en su presentacin le preguntaron si cree que en el futuro existiran virus de computadoras a lo cual respondi con un rotundo no. Sin embargo en la actualidad como podemos notar, Norton estaba muy equivocado ya que diariamente empresas dedicadas a la seguridad informtica como Karspersky detecta 73000 nuevas amenazas. Estas amenazas han evolucionado de tal manera que su objetivo ya no es nicamente infectar a un equipo y deshabilitarlo, sino que se han convertido en una eficaz herramienta para los cyber-delincuentes quienes actualmente se dedican a robar grandes cantidades de dinero e informacin confidencial. Adems en los ltimos aos la mayora de empresas, industrias, hidroelctricas, y centrales nucleares basan sus sistemas en estructuras complejas de red que emplean diferentes aplicaciones las cuales se han convertido en el nuevo objetivo de grupos terroristas o gobiernos que reclutan hackers altamente capacitados quienes pueden generar crisis energticas o desastres a gran escala. Con el desarrollo de los lenguajes de programacin tambin se han desarrollado nuevos virus y programas maliciosas los cuales aprovechan defectos en los cdigos y se infiltran en los diferentes sistemas. Como sabemos la mayora de virus y aplicaciones maliciosas se han desarrollado para la plataforma de Windows, ya que en aos anteriores se crea que las dems plataformas como Linux, Mac y Android eran inmunes a estas amenazas. Sin embargo hoy por hoy se ha concluido que ninguna plataforma est libre de riesgos pues todas usan aplicaciones como java o flash player; las cuales han servido como herramienta para que hackers y delincuentes puedan infectar los sistemas y robar informacin personal de los usuarios como nombres de usuario y contraseas. Al aparecer estas nuevas tecnologas y sistemas operativos tambin han aparecido otras amenazas; por ejemplo, para los celulares o tablets existen actualmente cientos de aplicaciones de las cuales no todas son confiables ya que un importante nmero de ellas estn desarrolladas para robar informacin personal que puede ser empleada con fines delictivos; estas amenazas estn disponibles para todas las plataformas existentes como por ejemplo Android, Symbian, iOS; entre otros. As mismo con el auge de la denominada cloud o nube los usuarios han confiado su informacin a este servicio sin pensar en los riesgos que esto conlleva; ya que su informacin puede ser interceptada por hackers no necesariamente desde la nube sino por otras entradas; por ejemplo el servicio iCloud que ofrece Apple permite a los usuarios que posean iPhone o iPad compartir toda su informacin personal e incluso su localizacin en tiempo real lo cual representa un importante riesgo ya que delincuentes pueden saber todo lo que la persona hace y en qu lugar se encuentra convirtindose en una vctima fcil de interceptar. Conclusin: - Como hemos podido ver ningn sistema est libre de riesgos o amenazas por lo que las empresas encargadas de la seguridad informtica tienen una tarea muy importante la cual debe centrarse en desarrollar aplicaciones que permitan filtrar todas estas amenazas y que la informacin de los usuarios no sea violada. - Adems es muy importante que los usuarios tomen conciencia al momento de compartir su informacin personal ya que pueden convertirse en una vctima ms de la cyberdelincuencia 3