Académique Documents
Professionnel Documents
Culture Documents
493
Abstract. The article aims to develop the skills of software engineers to be able to conduct
diagnostic projects for implementation and implementation of information security - ISMS
aligned with ISO / IEC 27001 and the control system proposed ISO / IEC 27002 standard. The
article presents the results of applying the phases of audit and analysis methodology and risk
assessment with the design and implementation of various instruments such as questionnaires
applied to key security administrators experience interviewing staff users of information
technologies and systems, penetration testing and testing that allowed the diagnosis of current
security. Subsequently a checklist based on the rule applies to verify the existence of security
controls in the organizational processes. Finally, according to the results of analysis and risk
assessment security controls to be integrated into the future within an ISMS that meets the needs
of computer security and information according to your needs it is proposed.
Keywords: Audit, ISMS, standard ISO 27001, information security, analysis and risk
assessment.
1. Introduccin
Actualmente los sistemas de informacin, los datos contenidos en ellas y la informacin
son los activos ms valiosos para las organizaciones empresariales y se hace necesario
brindarles una proteccin adecuada frente a las posibles intrusiones derivadas de las
vulnerabilidades existentes en sus sistemas de seguridad. Una manera efectiva de
descubrir estas vulnerabilidades y amenazas existentes es iniciando los procesos
diagnsticos que permitan establecer el estado actual de la seguridad dentro de la
organizacin, teniendo en cuenta la normatividad vigente y los procesos de anlisis y
evaluacin de riesgos.
El anlisis y evaluacin de riesgos, la verificacin de la existencia de controles de
seguridad existentes, las pruebas con software y el monitoreo de los sistemas de
informacin permiten establecer el estado actual de la organizacin, identificar las
causas de vulnerabilidades y proponer soluciones de control que permitan su
mitigacin.
El diagnstico permitir en un futuro el diseo, implementacin e implantacin de
un Sistema de Gestin de Seguridad de la Informacin - SGSI alineado al estndar
ISO/IEC 27001, capaz de controlar las vulnerabilidades, amenazas y los riesgos de
seguridad a que se ve expuesta la organizacin.
Para lograr una adecuada proteccin de los activos informticos, los sistemas de
informacin, los datos y la informacin, es necesaria la intervencin de todo el personal
de la empresa, incluyendo a los directivos que deben avalar el proyecto y brindar el
apoyo a todo el personal que est involucrado en el manejo de los activos y sistemas
informticos. Estas acciones deben estar enmarcadas en un proceso lgico, sistemtico,
documentado, que pueda ser difundido internamente para garantizar la gestin correcta
de la seguridad informtica y de la informacin, siguiendo el ciclo de mejora continua
(planear, hacer, verificar y actuar - PHVA).
Inicialmente se trata de comprender la norma ISO/IEC27001 en cada uno de los
dominios, para determinar el alcance de su aplicabilidad. Una vez definidos los
494
2. Fundamentos Tericos
En el marco normativo de los estndares relacionados con la seguridad informtica y
de la informacin, est incluida la familia de estndares ISO/IEC 27000 e ISM3, que
son normas especficas para la gestin de seguridad de la informacin y pueden ser
aplicables a cualquier organizacin, independientemente de su tamao o actividad.
Otros estndares relacionados son los de calidad ISO 9001, medio ambientales como
ISO 14000, de TI como el estndar CobIT y de entrega de servicios ITIL.
495
496
497
De acuerdo a Urea len (2011), la norma ISO/IEC 27002 incluye los siguientes
apartes: la estructura del estndar y la descripcin de la estructura de la norma, la
evaluacin y tratamiento del riesgo, el documento de la Poltica de seguridad y su
gestin, los aspectos organizativos de la seguridad de la informacin, la gestin de
activos, la seguridad ligada al talento humano, la seguridad fsica y ambiental y
seguridad de los equipos, la gestin de comunicaciones y operaciones, la gestin de
servicios por terceros, la proteccin contra cdigo malicioso y descargable, las copias
de seguridad, la gestin de la seguridad de las redes, la manipulacin de los soportes,
el intercambio de informacin, la gestin de acceso de usuarios, el control de acceso a
la red, el control de acceso al sistema operativo, el control de acceso a las aplicaciones
y a la informacin, los controles criptogrficos, la seguridad de los archivos de sistema,
la gestin de incidentes de seguridad de la informacin y mejoras, la gestin de la
continuidad del negocio, el cumplimiento de requisitos legales, y el cumplimiento de
las polticas y normas de seguridad.
2.2 Seguridad informtica y de la informacin
La seguridad informtica: La seguridad informtica est relacionada con las
metodologas, procesos y procedimientos para mantener salvaguardada la informacin
y los datos confidenciales de una organizacin, al interior de los sistemas informticos.
Los procesos se estructuran con el uso de estndares, normas, protocolos y
metodologas para mitigar y minimizar los riesgos asociados a la infraestructura
tecnolgica.
Seguridad de la informacin: La seguridad de la informacin est relacionada con las
medidas preventivas aplicadas con el fin de salvaguardar y proteger la informacin bajo
la confidencialidad, disponibilidad e integridad. La informacin puede presentarse en
diversos formatos y medios tanto fsicos, como electrnicos. Por lo tanto, las
organizaciones deben adoptar y adaptar metodologas para proteger los archivos y
registros, mantener en funcionamiento una infraestructura tecnolgica adecuada que
sirva para la custodia y salvaguarda de la informacin.
2.3 Vulnerabilidad, amenaza y riesgo
Los conceptos de vulnerabilidad, amenaza y riesgo estn relacionados entre s haciendo
parte de la concepcin de la seguridad en distintos mbitos, que tambin han sido
aplicados en referencia a la seguridad informtica y de la informacin. En este artculo
se tomar las vulnerabilidades como las debilidades del sistema o activo informtico
en cuanto a seguridad, las amenazas son los posibles ataques que puede hacer una
persona (interna o externa) aprovechando las vulnerabilidades o los ataques que ya se
han presentado, y los riesgos como las diversas maneras en que se presenta la amenaza
y la posibilidad de que ese ataque llegue a presentarse en una organizacin especfica.
Vulnerabilidad informtica: Son las posibilidades que se dan en el mismo ambiente,
en el cual las caractersticas propician y se vuelven susceptibles a una potencial
amenaza, por lo tanto, se puede considerar como la capacidad de reaccin ante la
498
499
Dentro de los activos informticos se han establecido dos categoras que permiten
diferenciarlos de acuerdo con su naturaleza y existencia fsica, la primera categora
agrupa los activos intangibles y la segunda los activos tangibles. Dentro de los activos
intangibles estn los bienes inmateriales tales como: relaciones inter institucionales,
capacitaciones del personal, las habilidades y motivacin de los empleados, las bases
de datos, las herramientas tecnolgicas, el conocimiento y la experiencia, y los procesos
operativos. Los bienes tangibles son los de naturaleza material como: mobiliario,
infraestructura tecnolgica, espacios fsicos, materiales y elementos de trabajo, equipos
informticos, hardware de redes, equipos de proteccin elctrica, cableado
estructurado, telfonos y plantas telefnicas, entre otros.
3. Metodologa
Para realizar la auditora a la seguridad de la informacin, el proceso se dividi en
etapas sucesivas y sistemticas; en cada una de ellas se trata de establecer objetivos y
metas claras con productos entregables, donde los productos resultado de la primera
etapa servirn para adelantar la segunda y los de las segunda servirn para proseguir
con la tercera etapa y as sucesivamente, ya que se plantea que la auditora debe ser
peridica o permanente dependiendo de la organizacin y los cambios en la tecnologa
de informacin usada en el tratamiento y procesamiento de la informacin.
Fase I. Determinacin de vulnerabilidades, amenazas y riesgos: En esta fase se hace
el estudio de las vulnerabilidades, amenazas y riesgos para los procesos y sistemas
implementados actualmente en las organizaciones, que fueron objeto de la
investigacin.
Para recolectar la informacin se aplicaron las tcnicas de la observacin directa
mediante visitas programadas y entrevistas aplicadas a los profesionales de sistemas
encargados de la administracin del rea informtica, la seguridad informtica y
usuarios de los sistemas. Con el conocimiento claro del rea o sistema auditado, se
definen y describen las vulnerabilidades o debilidades encontradas, las amenazas por
parte de personal interno o externo al tratar de cometer un ilcito o un ataque, y los
riesgos naturales y no naturales a que est expuesta la organizacin.
Finalmente se selecciona los dominios y objetivos de control de la norma ISO/IEC
27001, que es la norma que se tendr en cuenta para la evaluacin de la seguridad en
los procesos, servicios, personal y sistemas de informacin de las organizaciones.
Mediante los instrumentos diseados se evala todos los dominios en cuanto a su
cumplimiento, pero el proceso de anlisis de riesgos se enfoca, teniendo en cuenta los
activos informticos disponibles en las organizaciones y a las vulnerabilidades,
amenazas y riesgos que puedan presentarse.
500
Falta de equipos
UPS's para
contingencias
Cortes de energa o
sobrecargas en los
equipos.
Software
V4
Software no
licenciado
V7
Software con
problemas de
seguridad en el
desarrollo
Virus informticos,
malware, utilizar
exploit.
Ataques
de
Inyeccin
SQL,
informacin
inconsistente,
errores
de
integridad de datos
501
V8
Actualizacin
del SO en los
equipos
Utilizacin de
ataques exploit
V11
No existe
control de
acceso fsico a
las oficinas y
equipos
informticos
Manipulacin de
Robo, destruccin, modificacin o
informacin sin
borrado
de
informacin,
control de acceso,
destruccin o desarticulacin fsica
ataques
de equipos.
intencionados a
equipos, desastres
provocados.
Seguridad lgica
V14
Deficiente
control de
acceso a los
sistemas
Suplantacin de
identidad
V15
Vulnerabilidad
de navegadores
utilizados
Inyeccin de cdigo
SSI, ataques con
cdigo XSS
Personal
Ataques no
Borrado, o eliminacin de archivos,
intencionados,
destruccin del S.O, robo de
ingeniera social,
informacin personal.
phishing.
Fase II. : Anlisis de riesgos y diagnstico de la seguridad de la informacin: En
esta fase se realizar el proceso de anlisis y evaluacin de riesgos de acuerdo al
estndar MAGERIT que permite valorar los riesgos en cada uno de los criterios de
informacin evaluados, identificando las posibles causas que los originan y que
posteriormente permitan definir un sistema de control de seguridad de acuerdo a los
hallazgos confirmados, lo que permitir disminuir el impacto en la organizacin y
probabilidad de ocurrencia de los mismos.
El proceso de anlisis y evaluacin de los riesgos se lleva a cabo teniendo en cuenta
el estndar MAGERIT versin 3.0, que permite hacer la clasificacin de amenazas y
riesgos, los activos informticos, muestra las escalas de valoracin y los criterios de
informacin que ser evaluados.
V17
Falta de una
poltica
de
seguridad clara
502
Posteriormente se aplican las listas de chequeo que son utilizadas para verificar y
determinar la existencia de controles de seguridad informtica y de la informacin,
diseadas de acuerdo a la norma ISO/IEC 27002.
Finalmente en el proceso se aplican cuestionarios que son aplicados al personal clave
que realmente posea la informacin, para confirmar la existencia de vulnerabilidades,
amenazas y riesgos; la aplicacin de listas de chequeo, permite establecer la existencia
de controles de seguridad, estos cuestionarios servirn como evidencia para confirmar
los hallazgos y definir los controles que sean necesarios.
Escala para cuantificar los activos informticos: Muy Alto (MA): valor > $
20.000.000; Alto (A): $ 20.000.000 <valor> $ 10.000.000; Medio (M): $ 10.000.000
<valor> $ 5.000.000; Bajo (B): $ 5.000.000 <valor> $ 1.000.000; Muy Bajo (MB): $
1.000.000 <valor> $ 500.000
Escala de valoracin de los activos informticos de acuerdo al dao que se pueda
causar en ellos: Dao catastrfico: 10; Dao grave: 7 9; Dao moderado: 4 6;
Dao Leve: 1 3; Dao Irrelevante: 0
Tabla 4. Dimensiones o criterios de evaluacin seguridad de la informacin
Dimensiones
Tipo de
Activo
Nombre de
Activo
Confide
ncialidad.
Dao: que
lo
conociera
quien no
debe
Integridad
Perjuicio:
que
estuviera
daado o
corrupto
Disponibilidad.
Perjuicio no
tenerlo o no
poder
utilizarlo
Autenticidad
Perjuicio: no
saber
exactament e
quien hace o
ha hecho cada
cosa
Trazabilidad
Dao: no
saber a quin
se le presta el
servicio?
Activo de
informacin
Datos de
clientes y
proveedores
[9][A]
[9][A]
[6][M]
[8][A]
-------------
Software o
aplicacin
software sin
licencia
---------------
---------------
[10][MA
]
--------------
-------------
Hardware
Servidor de
internet
[9][A]
[9][A]
[6][M]
[6][M]
-------------
Instalacin
elctrica
Cumplim
iento de
normas
Personal
usuario
sistemas
--------------
[7][M]
[7][M]
-------------
------------
[9][A]
[9][A]
[9][A]
[9][A]
[9][A]
Personal
503
Probabilidad
MA
Impacto
MB
M
O
20
65
Software no licenciado
100
R3
R5 Pocos
controles
de
restriccin acceso
R6
Falta de control ambiental
30
70
70
70
70
R7
R8
70
R9
Vulnerabilidades de los
navegadores
Uso de aplicaciones poco
70
R1
0
100
30
70
50
30
R1 1 Usuarios
no se
han
capacitado adecuadamente
R1 2 Personal de soporte sin
experiencia
70
30
50
70
504
Fase III. Definicin de controles para el diseo del SGSI que incluya polticas y
procedimientos para mitigar los riesgos: En esta fase se hace el estudio de las causas
que originan los hallazgos. Una vez confirmados, se define los controles apropiados de
acuerdo a la norma ISO/IEC 27002 se establece su tratamiento, y finalmente, se disean
las polticas y procedimientos dentro de las cuales se incluyen los controles, y que
finalmente irn en el diseo del SGSI.
Confirmados los hallazgos, se establecen los controles de seguridad como polticas
y procedimientos de acuerdo a la norma ISO/IEC 27002, se definen los ms apropiados
para mitigar los riesgos y se adaptan para la organizacin. Luego se determina el
tratamiento de los riesgos para aceptarlos, transferirlos a terceros o aplicar los controles
y posteriormente stos se integran a las polticas y a los procedimientos institucionales
si existen.
Al culminar, se elabora el informe final que servir de insumo para el diseo e
implementacin del SGSI teniendo en cuenta el ciclo de mejora contnua PHVA que
permita las actividades para planear, hacer, verificar y actuar, que intervengan y
permeen todos los procesos y servicios dentro de la organizacin.
4. Resultados
Dentro de los resultados generales ms importantes de la aplicacin de la metodologa
de anlisis y evaluacin de riesgos, y los instrumentos diseados estn:
Algunos de los problemas de seguridad en las organizaciones evaluadas estn
relacionados principalmente con: el desconocimiento sobre aplicacin de las normas
de seguridad de la informacin y las limitaciones en la administracin de seguridad
informtica y de la informacin que comprometen seriamente la imagen Institucional.
Las posibles causas origen de los problemas estn: mnima cultura en el tema de
seguridad de informacin, la organizacin no formal del rea informtica, la no
existencia de responsables de la seguridad, no existencia o falta de cumplimiento de
polticas y procedimientos de seguridad dentro de la organizacin, falencias en el
manejo de los inventarios de activos informticos, en general la competencia limitada
del personal para proteger los activos informticos y de informacin frente a las
amenazas y riesgos a que se ven enfrentadas.
505
4. Conclusiones
Del proceso diagnstico llevado a cabo, se puede concluir que no existe una cultura de
seguridad de la informacin dentro de las organizaciones, tampoco existe sistemas de
control de seguridad informtica y de informacin, y mucho menos, procesos y
procedimientos documentados para proteccin de la informacin.
506
5. Referencias bibliogrficas
Alexander, Alberto.: Diseo de un Sistema de Gestin de Seguridad de la Informacin
ptica ISO 27001:2005. Alfaomega. Bogot - Colombia (2007)
Alegsa.:
Definicin
http://www.alegsa.com.ar/Dic/vulnerabilidad.php
de
vulnerabilidad,
CobIT.
1.0,
507
ISO/IEC
27001,