taller comparativo y diseño de una política de seguridad de la información

Maestría en Seguridad y Gestión de Riesgos Informáticos Materia Gestión de la Seguridad Informática

1

Abstract—The ISO standards have a significant value as

pointers and guides. This article covers a series of workshops

based on the ISO 27001 for the establishment of a corporate

Information Security Management System. It goes from an initial

diagnostic, the elaboration of recommendations and the statement

of an Information Security Policy including its reach and

objectives.

I. INTRODUCCIÓN

Las normas ISO tienen valor indicativo y de guía. Actualmente,

su uso es cada vez mayor y hay un gran interés en seguir las

normas existentes porque desde el punto de vista económico

reduce costes, tiempo y trabajo. La ISO 27001 es uno de los

temas mencionados cuando se habla de la seguridad

informática, existen interpretaciones de esta ISO de parte de la

persona encargada de la seguridad de cada empresa, en el

presente trabajo se estudia a fondo la ISO 27001 trabajando en

dos talleres que nos permiten conocer a fondo dicha ISO.

Se aprendió a identificar los “debes” de la norma ISO 27001, y

a medida se desarrollaba dicho trabajo, evaluamos nuestras

empresas para poder conocer cuánto tiempo nos llevaría el

poder implementar la ISO.

II. OBJETIVOS

- Objetivo General

Conocer como generar un plan estratégico de

seguridad informática en una empresa.

- Objetivos Específicos

Conocer las “declarativas del debe” de la ISO

27001.

Establecer el alcance del SGSI de una empresa.

Realizar la declarativa de aplicabilidad.

III. DESARROLLO TALLERES

TALLER 1

Diseño de Herramienta de Evaluación Basada en Escala

LIKERT

Figura 1 Apartado 4 y 5.

Figura 2. Apartado 6 y 7.

Taller comparativo y Diseño de una Política de Seguridad de La Información

Cecilia Verónica Cáceres1, David Eliseo Martinez2, Luis Ernesto Perez3, Miguel Ángel Lopez4.


2

Figura 3. Apartado 8

RECOMENDACIONES PARA TALLER 1

Figura 4. Recomendaciones para los puntos débiles

encontrados.

Figura 5. Continuación de las recomendaciones para los

puntos débiles encontrados.

TALLER 2. Primera Parte

Figura 6. Taller 2


3

Figura 7. Continuación taller 2.






4

TALLER 2. Segunda parte

1- En base al BMK desarrollado y los requisitos de la

norma desarrollar un enunciado de la política de

Seguridad de la información para la empresa

seleccionada.

Enunciado:

Reconoce la importancia de identificar y proteger los activos

de información de la organización, evitando la destrucción,

divulgación, modificación y utilización no autorizada de toda

información relacionada con clientes, empleados, precios,

estrategia, gestión, y otros conceptos relacionados.

2- Establezca el alcance del SGSI.

Esta política aplica a todos los departamentos de la compañía

y sus colaboradores.

3- Declarativa de Aplicabilidad

Figura 12. Declarativa de Aplicabilidad

Estructura del SGSI. (Estratégico, operativo y de apoyo)

Figura 13. SGSI para empresa TBOX

Figura 14. Organigrama

Mapa de proceso. (Enunciar procedimientos, ejemplo

proceso de auditoría, que procedimientos se ejecutan en

auditoria entonces se enlistan)

Figura 15. Detalle de procedimientos


5

Figura 16. Detalle de procedimientos

POLITICA DE SEGURIDAD PARA EMPRESA TBOX

Política Sistema de Gestión de Seguridad de la

Información

La Dirección Ejecutiva TBOX Technology El Salvador

reconoce la importancia de identificar y proteger los activos de

información de la organización, evitando la destrucción,

divulgación, modificación y utilización no autorizada de toda

información relacionada con clientes, empleados, precios,

estrategia, gestión, y otros conceptos relacionados.

En consecuencia, autoriza y se compromete a desarrollar,

implantar, mantener y mejorar continuamente el Sistema de

Gestión de Seguridad de la Información (SGSI) con el objetivo

de asegurar la confidencialidad, disponibilidad e integridad de

la información.

Características de la política en base a la Seguridad de la

Información que se busca

a) Confidencialidad, asegurando que sólo quienes estén

autorizados pueden acceder a la información.

b) Integridad, asegurando que la información y sus métodos de

proceso son exactos y completos.

c) Disponibilidad, asegurando que los usuarios autorizados

tienen acceso a la información y a sus activos asociados cuando

lo requieran. La seguridad de la información se consigue

implantando un conjunto adecuado de controles, tales como

políticas, prácticas, procedimientos, estructuras organizativas y

funciones tecnológicas. Estos controles han sido establecidos

para asegurar que se cumplen los objetivos específicos de

seguridad de la institución.

Objetivos

Definir, implementar, operar y mejorar de forma continua un

Sistema de Gestión de Seguridad de la Información, soportado

en lineamientos claros alineados a las necesidades del negocio,

y a los requerimientos regulatorios.

Las responsabilidades frente a la seguridad de la información

serán definidas, compartidas, publicadas y aceptadas por cada

uno de los empleados, proveedores, socios de negocio o

terceros.

Proteger la información generada de la empresa, procesar y

resguardar los procesos del negocio, la infraestructura

tecnológica y los activos de información que se genera de los

accesos otorgados a terceros.

Marco Legal

La norma principal de la serie es la ISO/IEC 27001. Se puede

aplicar a cualquier tipo de organización, independientemente de

su tamaño y de su actividad.

La norma contiene los requisitos para establecer, implementar,

operar, supervisar, revisar, mantener y mejorar una política de

seguridad basada en un Sistema de Gestión de la Seguridad de

la Información.

Calculo de riesgo

Definir como se utilizará la información disponible, para

identificar peligros y estimar los riesgos, es necesario ajustarse

a las necesidades y los recursos de la organización para que se

puedan cubrir las expectativas, llegando al nivel de seguridad

requerido con los medios disponibles.

Se utilizará el método análisis de escenarios (Iso 31010,

apartado B10) para identificar y evaluar los peligros a los que

se enfrenta la organización y la importancia de cada uno de

ellos, esta información será el insumo para la toma de

decisiones bien fundamentadas acerca de qué medidas de

seguridad deben implantarse.

Este análisis debe incluir:

Amenaza: Es la causa potencial de un daño a un activo.

Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza.

Impacto: consecuencias de que la amenaza ocurra.

Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara desprotegido.

Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.

Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.

El equipo de trabajo asignado para ello y la metodología escogida, llevará a cabo el análisis de riesgos. Los participantes tendrán que valorar las amenazas y las vulnerabilidades que afectan a los activos escogidos para el análisis y el impacto que ocasionaría que alguna de las amenazas realmente ocurriera, sobre la base de su conocimiento y experiencia dentro de la organización. Se tendrá como resultado categorizar los riesgos e identificar cuáles deberían ser tratados primero o más exhaustivamente. Se debe escoger, a la vista de los resultados, cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera que por debajo de


6

ese nivel el riesgo es aceptable y por encima no lo será y se tomará alguna decisión al respecto. El equipo de trabajo asignado deberá identificar los tipos de decisiones para tratar los riesgos que se consideran no aceptables:

Transferirlo: El riesgo se traspasa a otra organización, por ejemplo mediante un seguro.

Eliminarlo: Se elimina el riesgo, que normalmente sólo se puede hacer eliminando el activo que lo genera, por ello esta opción no suele ser viable.

Mitigarlo: Es decir, reducir el riesgo, normalmente aplicando controles de seguridad. Es una de las opciones más habituales.

Asumirlo: Otra opción común es aceptar que no se puede hacer nada y por lo tanto se asume ese riesgo.

Toda esta información debe quedar documentada para justificar las acciones que se van a tomar para conseguir el nivel de seguridad que la organización quiere alcanzar y como referencia para posteriores análisis Método de evaluación y mejora continua

Se utilizará como método de evaluación y mejora continua el

descrito en la Norma ISO 27001, utilizando para ello el modelo

PDCA, tomado en sus apartados de análisis de riesgos, así como

un catálogo de amenazas, vulnerabilidades y técnicas para

valorarlos, los que más se acoplen a la situación de la compañía.

Aspectos generales de la seguridad de la información

Realizar anualmente una revisión de los objetivos con

relación a la Seguridad de la Información.

En base a los resultados de la revisión de objetivos, el

comité de seguridad debe desarrollar un proceso de

análisis del riesgo y de acuerdo a su resultado,

implementar las acciones correspondientes con el fin

de tratar los riesgos que se consideren inaceptables.

Se debe de establecerse los objetivos de control

correspondientes, en virtud de las necesidades que en

materia de riesgos surjan del proceso de Análisis de

riesgos manejado.

La ejecución de las políticas de seguridad no debe

incumplir ningún aspecto legal de la compañía.

Se debe brindar talleres de concientización y

entrenamiento en materia de seguridad de la

información a todo el personal, así como capacitación

en las políticas de

Se establezcan los medios necesarios para garantizar

la continuidad del funcionamiento de la institución.

Se sancione cualquier violación a esta política y a

cualquier política o procedimiento del SGSI.

Todos los gerentes son los responsable de registrar y

reportar las violaciones a la seguridad, confirmadas o

sospechadas.

Todos los gerentes son los responsable de preservar la

confidencialidad, integridad y disponibilidad de los

activos de información de sus departamentos en

cumplimiento de la presente política y de las políticas

y procedimientos inherentes al Sistema de Gestión de

la Seguridad de la Información.

El gerente de informática asignará al responsable

directo sobre el mantenimiento de esta política, el cual

brindará el plan y seguimiento para su

implementación, siendo responsable de investigar toda

violación reportada por el personal de la compañía.

Política de seguridad de la información

Identificación, clasificación y valoración de activos de

información. Cada dependencia, bajo supervisión del Comité de Seguridad

de la Información, debe elaborar y mantener un inventario de

los activos de información que poseen (procesada y producida).

Las características del inventario, valoración, ubicación y acc

eso de la información.

El Comité de Seguridad de la Información, brindará herramien

tas que permitan la administración

del inventario por departamento, garantizando la disponibilida

d, integridad y confidencialidad de los datos que lo componen.

Seguridad de la información en el Recurso Humano

El personal de la compañía, cualquiera que su condición contractual, la dependencia a la cual se encuentre adscrito y el nivel de las tareas que desempeñe deben tener asociado un perfil de uso de los recursos de información, incluyendo el hardware y software. El Comité de Seguridad de la Información debe tener asociado un perfil de uso de los recursos de información, incluyendo el hardware y software asociado.

El Comité de Seguridad de la Información debe elaborar,

mantener, actualizar, mejorar y difundir la Política de

Seguridad de la Información.

La responsabilidad de custodia de cualquier archivo mantenido,

usado o producido por el personal que se retira, o cambia de

cargo, recae en el jefe de departamento o supervisor del

contrato; en todo caso el proceso de cambio en la cadena de

custodia de la información debe hacer parte integral del

procedimiento de terminación de la relación contractual o de

cambio de cargo.

Responsabilidades del personal

Todo el personal de la compañía, cualquiera sea su situación

contractual, la dependencia a la cual se encuentre adscrito y las

tareas que desempeñe debe firmar un acuerdo que contenga los

términos y condiciones que regulan el uso de recursos de TI y

las reglas y perfiles que autorizan el uso de la información

institucional.

Responsabilidades de Usuarios Externos

Los usuarios externos deben aceptar por escrito los términos y

condiciones de uso de la información y recursos de TI


7

institucionales. Las cuentas de usuarios externos deben ser de

perfiles específicos y tener caducidad, renovables de acuerdo a

la naturaleza del usuario.

Usuarios invitados y servicios de acceso público.

El acceso de usuarios no registrados solo debe ser permitido al

sitio web de información institucional. El acceso y uso a

cualquier otro tipo de recurso de información y TI no es

permitido a usuarios invitados o no registrados.

Seguridad Física y del entorno

Se debe tener acceso controlado y restringido a los cuartos de

servidores principales, y a los cuartos de comunicaciones. El

Comité de Seguridad de la Información elaborará y mantendrá

las normas, controles y registros de acceso a dichas áreas.

Los servidores que contengan información y servicios de la

compañía deben ser mantenidos en un ambiente seguro y

protegido por los menos con:

• Controles de acceso y seguridad física.

• Detección de incendio y sistemas de extinción de

conflagraciones.

• Controles de humedad y temperatura.

• Bajo riesgo de inundación.

• Sistemas eléctricos regulados y respaldados por

fuentes de potencia ininterrumpida (UPS).

El Comité de Seguridad de la Información define el límite de

responsabilidades de las dependencias. No se permite el

alojamiento de información institucional en servidores externos

sin que medie una aprobación por escrito el Comité.

Equipos claves de comunicaciones deben se alimentados por s

istemas de potencia eléctrica regulados y estar protegidos por

UPS.

La infraestructura de servicios de TI debe estar cubierta por

mantenimiento y soporte adecuados de hardware y software.

Las estaciones de trabajo deben estar correctamente aseguradas

y operadas por personal de la institución el cual debe estar

capacitado acerca del contenido de esta política y de

las responsabilidades personales en el uso y administración de

la información institucional.

Los medios que alojan copias de seguridad deben ser

conservados de forma correcta de acuerdo a las políticas y

estándares que para tal efecto elabore y mantenga el Comité de

Seguridad en la Información.

Los departamentos tienen la responsabilidad de adoptar y

cumplir las normas definidas para la creación y el manejo de

copias de seguridad.

Administración de las comunicaciones y operaciones

El personal debe reportar con diligencia, prontitud y

responsabilidad presuntas violaciones de seguridad a través de

su jefe de departamento al comité de seguridad de la

información (CSI). En casos especiales dichos reportes podrán

realizarse directamente al CSI, la cual debe garantizar las

herramientas informáticas para que formalmente se realicen

tales denuncias.

El Comité de Seguridad de la Información debe preparar,

mantener y difundir las normas, procesos y guías para el reporte

e investigación de incidentes de seguridad.

El CSI mantendrá procedimientos escritos para la operación

de sistemas cuya no disponibilidad suponga un impacto alto en

el desarrollo normal de actividades. A dichos sistemas se debe

realizar seguimiento continuo del desempeño para asegurar la

confiabilidad del servicio que prestan.

Todos los sistemas informáticos deben ser protegidos teniendo

en cuenta un enfoque multinivel que involucre controles

humanos, físicos técnicos y administrativos. El Comité de

Seguridad de la Información elaborará y mantendrá un

conjunto de políticas, normas, estándares, procedimientos y

guías que garanticen la mitigación de riesgos asociados a

amenazas de software malicioso y técnicas de hacking.

En todo caso y como control mínimo, las estaciones de trabajo

de la compañía deben estar protegidas por software antivirus

con capacidad de actualización automática en cuanto a firmas

de virus. Los usuarios de la estaciones no están autorizados a

deshabilitar este control.

La compañía a través del CSI podrá hacer seguimiento al

tráfico de la red cuando se tenga evidencias de actividad inusual

o detrimentos en el desempeño. El departamento que realice

dicho seguimiento deberá informar a los empleados a través de

correo electrónico o noticias en el portal institucional de la

ejecución de esta tarea.

El CSI debe mantener actualizada una base de datos con alertas

de seguridad reportadas por organismos competentes y actuar

en conformidad cuando una alerta pueda tener un impacto

considerable en el desempeño de los sistemas informáticos.

Toda información que pertenezca a la matriz de activos de

información institucional o que sea de interés para un proceso

operativo o de misión crítica debe ser respaldada por copias de

seguridad tomadas de acuerdo a los procedimientos

documentados por el Comité de Seguridad de la Información.

Dicho procedimiento debe incluir las actividades de

almacenamiento de las copias en sitios seguros.

El departamento IT de la compañía debe realizar pruebas

controladas para asegurar que las copias de seguridad pueden

ser correctamente leídas y restauradas.

Los registros de copias de seguridad deben ser guardados en

una base de datos creada para tal fin. IT debe proveer las

herramientas para que las dependencias puedan administra la

información y registros de copias de seguridad. La Oficina de

Control Interno debe efectuar auditorías aleatorias que

permitan determinar el correcto funcionamiento de los procesos

de copia de seguridad.

Las copias de seguridad de información crítica deben ser

mantenidas de acuerdo a cronogramas definidos y publicados

por IT en conjunto con CSI.

La creación de copias de seguridad de archivos usados,

custodiados o producidos por usuarios individuales es

responsabilidad exclusiva de dichos usuarios. Los usuarios

deben entregar al respectivo jefe de dependencia las copias de

seguridad para su registro y custodia.

La configuración de enrutadores, switches, firewall, sistemas de

detección de intrusos y otros dispositivos de seguridad de red;

debe ser documentada, respaldada por copia de seguridad y

mantenida por el departamento de IT y CSI.

Todo equipo debe ser revisado, registrado y aprobado por IT

antes de conectarse a cualquier nodo de la Red de

comunicaciones y datos institucional. El CSI debe de verificar

en cada departamento que se desconecten aquellos dispositivos

que no estén aprobados y reportar tal conexión como un

incidente de seguridad a ser investigado.


8

Las peticiones de información por parte de entes externos de

control deben ser aprobadas por la Dirección ejecutiva, y

dirigida por dichos entes a los responsables de su custodia.

Las normas de uso de Internet y de los servicios de correo

electrónico serán elaboradas, mantenidas y actualizadas por el

Comité de Seguridad de la Información y en todo caso este

comité debe velar por el cumplimiento del código de ética

institucional y el manejo responsable de los recursos de

tecnologías de la información.

Todas las instalaciones de software que se realicen deben ser

aprobadas por el CSI, de acuerdo a los procedimientos

elaborados para tal fin. El departamento de IT definirá el

ámbito en el cual actuará cada dependencia.

No se permite la instalación de software que viole las leyes de

propiedad intelectual y derechos de autor. El CSI debe

desinstalar cualquier software ilegal y registrar este hecho como

un incidente de seguridad que debe ser investigado.

Corresponde al CSI mantener una base de datos actualizada

que contenga un inventario del software autorizado para su uso

e instalación en los sistemas informáticos de la compañía.

Control de Acceso

El acceso a los recursos de tecnologías de información de la

compañía deben estar restringidos según los perfiles de usuario

definidos por el Comité de Seguridad de la Información.

El acceso a información restringida debe estar controlado. Se

recomienda el uso de sistemas automatizados de autenticación

que manejen credenciales o firmas digitales.

Corresponde a CSI elaborar, mantener y publicar los

documentos de servicios de red que ofrece la institución a su

personal, estudiantes, docentes y terceros.

El CSI debe elaborar, mantener y publicar procedimientos de

administración de cuentas de usuario para el uso de servicios

de red.

El acceso a sistemas de cómputo y los datos que contienen es

responsabilidad exclusiva del personal encargado de tales

sistemas.

La empresa debe procurar mantener al mínimo la cantidad de

cuentas de usuario que el personal, y terceros deben poseer para

acceder a los servicios de red.

El control de las contraseñas de red y uso de equipos es

responsabilidad del departamento de IT. Dichas contraseñas

deben ser codificadas y almacenadas de forma segura.

Las claves de administrador de los sistemas deben ser

conservadas por el departamento IT y deben ser cambiadas en

intervalos regulares de tiempo y en todo caso cuando el

personal adscrito al cargo cambie. El departamento de IT en

coordinación con el CSI debe elaborar, mantener y actualizar

el procedimiento y las guías para la correcta definición, uso y

complejidad de claves de usuario.

La compañía reconoce el alto grado de exposición que presenta

la información y los datos almacenados en dispositivos

portátiles (computadores portátiles, notebooks, PDA, celulares,

etc). Corresponde a la Oficina de Recursos Humanos en

conjunto con el CSI elaborar, mantener e implementar planes

de capacitación que ayuden a la formación y mantenimiento de

la conciencia en cuestión de seguridad de la información.

Las redes inalámbricas potencialmente introducen nuevos

riesgos de seguridad que deben ser identificados, valorados y

tratados de acuerdo a los lineamientos de la Política de

Seguridad en redes inalámbricas que debe elaborar el Comité

de Seguridad de la Información.

Todo uso que se haga de los recursos de tecnologías de la

información en la compañía deben ser seguidos y auditados de

acuerdo con los lineamientos del Código de Ética y del Código

de Uso de Recursos de Tecnologías de la Información, el cual

debe ser elaborado por el Comité de Seguridad de la

Información.

Acceso Remoto

El acceso remoto a servicios de red ofrecidos por la empresa

debe estar sujeto a medidas de control definidas por el CSI, las

cuales deben incluir acuerdos escritos de seguridad de la

información.

Adquisición, Desarrollo y Mantenimiento de Sistemas

Software Para apoyar los procesos operativos y estratégicos la

Universidad debe hacer uso intensivo de las Tecnologías de la

Información y las Comunicaciones. Los sistemas de software

utilizados pueden ser adquiridos a través de terceras partes o

desarrollados por personal propio.

El Departamento de IT debe elegir, elaborar, mantener y

difundir el “Método de Desarrollo de Sistemas Software” que

incluya lineamientos, procesos, buenas prácticas, plantillas y

demás artefactos que sirvan para regular los desarrollos de

software internos en un ambiente de mitigación del riesgo y

aseguramiento de la calidad.

Todo proyecto de desarrollo de software interno debe contar

con un documento de Identificación y Valoración de Riesgos

del proyecto. La empresa no debe emprender procesos de

desarrollo – o mantenimiento – de sistemas software que

tengan asociados riesgos altos no mitigados.

Los sistemas software adquiridos a través de terceras partes

deben certificar el cumplimiento de estándares de calidad en el

proceso de desarrollo.

La Administración de Continuidad del Negocio debe ser parte

integral del Plan de Administración de Riesgo de la empresa.

Alcance/Aplicabilidad

Esta política aplica a todos los departamentos de la compañía

y sus colaboradores.

Nivel de cumplimiento

Todas las personas cubiertas por el alcance y aplicabilidad se

espera que se adhieran en un 100% de la política de seguridad

de la información.

IV. CONCLUSIONES

Con el desarrollo de los talleres realizados en clases, y

conociendo a fondo la ISO 27001 podemos concluir que el

implementar la ISO 27001 en una organización:

- Ayudará a conocer la información crítica sin la cual la

empresa no tendría razón de existir, se podrá preparar

al personal de la empresa para conocer los procesos

clave del negocio y definir la información crítica de

cada uno de los procesos.

- Ayudaría a identificar los posibles riesgos, los cuales

pueden ser informáticos, técnicos, jurídicos etc.


9

- Con la implementación de la ISO, se protege la

información y la continuidad del negocio, desde

diferentes puntos de vistas.

- La implementación de una norma ISO, conlleva a

tener dentro de cualquier organización ventajas, pero

uno de los retos, es el de convencer a la alta Dirección

de los beneficios que se obtienen.

REFERENCIAS

G. Marcos, 'Claves para Gerenciar Seguridad y Minimizar

Los Riesgos (2005)', Es.slideshare.net, 2015. [Online].

Available: http://es.slideshare.net/jarvel/claves-para-gerenciar-

seguridad-y-minimizar-los-riesgos-2005. [Accessed: 15- Nov-

2015].

Cecilia Verónica Cáceres

Graduada de la carrera de Ingeniería de

Sistemas Informáticos de la

Universidad Católica De El Salvador

actualmente cursando la maestría en

Seguridad y Gestión de Riesgos

Informáticos, en el centro de estudios y

postgrados de la Universidad Don

Bosco , Antiguo Cuscatlán , El

Salvador.

David E. Martínez

Ingeniero en Ciencias de la

Computación, graduado de la

Universidad Don Bosco en 2004 con

Especialidad en Desarrollo de

Aplicaciones con integración de

Información Geográfica y Sensores

Remotos obtenida en India (C-DAC

NOIDA 2013). Actualmente cursando

Maestría en Seguridad y Gestión de Riesgos Informáticos en la

Universidad Don Bosco

Luis Pérez Figueroa

Ingeniero en Ciencias de la

Computación, graduado de la

Universidad Francisco Gavidia 2007

con Especialidad en Virtualización e

infraestructura. Actualmente cursando

Maestría en Seguridad y Gestión de

Riesgos Informáticos en la Universidad

Don Bosco

Miguel Ángel López Rodríguez, Graduado en Licenciatura en Ciencias de la

Computación, Universidad Francisco

Marroquín, Guatemala (Magna Cum

Laude), actualmente cursando Maestría en

“Seguridad y Gestión de Riesgos

Informáticos” en el Centro de Estudios de

Postgrado en la Universidad Don Bosco, El

Salvador.