Principales estándares para la seguridad de la información IT | F.N.

Díaz Piraquive

Principales estándares para la seguridad de la información IT
Alcances y consideraciones esenciales de los estándares ISO-IEC BS7799-IT, RFC2196, IT BASELINE, SSE-CMM y, ISO 27001 Flor Nancy Díaz Piraquive
Economista de la Universidad Católica de Colombia, especialista en Preparación y Desarrollo de Proyectos y especialista en Gerencia de Proyectos de Sistemas de Información, de la Universidad Colegio Mayor de Nuestra Señora del Rosario; candidata a doctor en Sociedad de la Información y el Conocimiento de la Universidad Pontificia de Salamanca con sede en Madrid, España. Larga experiencia en la empresa privada y pública, además de 20 años en la docencia universitaria. fndiazp@telmex.net.co.

RESUMEN El actual entorno económico y de competencia en el que se desenvuelven las empresas se caracteriza por el uso intensivo de la información y el conocimiento en las compañías, situación que enmarca un nuevo contexto empresarial donde la realidad propicia la incorporación de nuevas tecnologías de información y comunicaciones (TIC), lo que representa un cambio significativo para la organización. Dicho cambio hace necesaria una adecuada gestión de la información y el conocimiento, con el propósito de facilitar procesos asociados con la innovación, el desarrollo de productos o servicios, la eficiencia en el uso de los recursos, la calidad y la toma de decisiones acertadas. Sin embargo, en el afán de ingresar en el nuevo entorno, las empresas se ven enfrentadas a mayores riesgos que son cada vez más difíciles de controlar. Por tanto, se han iniciado planes que garantizan una adecuada gestión de la información, por considerarse que ésta forma parte de los activos fundamentales de las organizaciones, y se toma como base para diseñar la estrategia comercial y de competitividad en esta sociedad globalizada. Para garantizar el éxito en la gestión de la información, se toman en cuenta los referentes que brindan los estándares para su seguridad. Con esto se espera que la información se proteja celosamente y se garantice la implantación de las estrategias que propician la integridad, la confidencialidad y la disponibilidad de ésta hacia los clientes.
Revista Eos No.2 Enero-abril de 2008

77

Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

Por lo anterior, en este artículo se realiza un estudio sobre los cinco principales estándares de seguridad de la información adoptados por las empresas, teniendo presente que éstos cobijan todo tipo de organización (empresas, instituciones gubernamentales, organizaciones sin ánimo de lucro, etc.). Entre otros aspectos, se describen el alcance de cada uno de los estándares, las consideraciones esenciales, la forma como facilitan la administración, el apoyo en la definición de políticas, la facilitación para la adopción de modelos de gestión y la ingeniería de seguridad que se debe contemplar para la gestión de los procesos de seguridad. Finalmente, se describirá en una matriz la relación que hay entre los cinco estándares tratados, con lo cual los directivos tendrán un parámetro más para tomar decisiones de inversión alrededor del estándar que se va a implantar en los sistemas de gestión de seguridad de la información para la organización. Palabras claves: estándar, recomendación, sistema de seguridad de información, sistema de gestión de seguridad, seguridad de la información.

Introducción
La seguridad de la información se considera como la herramienta fundamental para implantar nuevas mejoras en las empresas, razón por la cual éstas deben realizar un esfuerzo cada día mayor para optimizar su nivel de seguridad en este aspecto. La organización debe mejorar continuamente la eficacia del Sistema de Gestión del Sistema de Información (SGSI), mediante el establecimiento de políticas y objetivos de seguridad de la información, tomando en cuenta los resultados de las auditorías, análisis de eventos, y acciones correctivas y preventivas de los mismos. De igual manera, deben establecer procedimientos argumentados para identificar documentos que ya no se requieran porque se actualizaron o porque se remplazaron por otros. En todo caso, entre las prioridades que hay que considerar en la seguridad de la información se cuentan la confidencialidad y la protección de los datos. Por la importancia que tiene la seguridad de la información en las organizaciones, y con el propósito de contrarrestar los intrusos maliciosos que ingresan en ella para hacer daño, se han identificado las mejores prácticas alrededor de la implantación de estándares de seguridad de la información relacionados con ISOIEC BS7799-IT, RFC2196, IT Baseline, SSE-CMM e ISO 27001, los más relevantes en seguridad de la información IT. En este artículo se abordarán los temas relacionados con el alcance de los cinco estándares mencionados anteriormente, considerados los más usados para la gestión de la seguridad de la

Revista Eos No. 2 Enero-abril de 2008

78

Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive

información, al igual que algunas observaciones esenciales sobre éstos, las formas de administración, cómo definir políticas y adoptar modelos de gestión, y cuál es la ingeniería de seguridad que se debe contemplar para la gestión de los procesos. Adicionalmente, se describirá en una matriz la relación que hay entre ellos.

Necesidad de la seguridad de la información
Seguridad de información es mucho más que establecer firewalls, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bóveda los backups. Seguridad de información es determinar qué hay que proteger y por qué, de qué se debe proteger y cómo protegerlo [1]. Antes de empezar a profundizar en los estándares de seguridad en la información, es muy importante establecer qué es la seguridad en la información; se escogió el anterior texto porque envuelve en una forma muy sencilla dicho concepto. La información de la empresa es uno de los activos más valiosos y debe protegerse al máximo usando los estándares de seguridad de la información que existen y son pertinentes. Los riesgos de pérdidas, hurtos o uso inadecuado de los datos pueden ocasionar daños representativos; dichos riesgos son latentes no sólo desde medios externos sino que internamente pueden ser aún más vulnerables. Para esto se han definido estándares que ayudan a la seguridad, minimizan el riesgo de fugas, fraudes, uso indebido de información, etc. Según la Citel1, el 35% de las empresas mencionan que el principal fraude detectado es el interno, el cual está directamente relacionado con la fuga de información [2]. El escenario que se tenía anteriormente, en el cual los sistemas operaban de manera aislada o en redes privadas, ha sido sustituido por computadores personales que cada vez tienen mayor capacidad de procesamiento y almacenamiento de información; de la misma manera, las tecnologías convergentes y la difusión masiva del uso de internet incrementan los riesgos. Hoy en día el

Revista Eos No.2 Enero-abril de 2008

1.

Comisión Interamericana de las Telecomunicaciones.

79

Establecer las especificaciones para la adopción de un Sistema de Gestión de la Seguridad de la Información. Díaz Piraquive mundo se encuentra cada vez más interconectado. motivo por el cual las empresas comienzan a aplican estándares de seguridad sobre la información orientados a todos los participantes de la nueva sociedad de la información. y desempeña un papel fundamental de modo tal que las empresas realizan sus transacciones comerciales. incluyendo elementos de tecnología fija. así como de la necesidad de desarrollar una cultura en torno a ésta. Las siguientes razones han dado muestra a las empresas de la necesidad de contar con un estándar de seguridad: • • Revista Eos No. 80 . se hace necesario el surgimiento de nuevos retos en materia de seguridad. donde es inminente tener una mayor conciencia y entendimiento de los aspectos de seguridad. y esta interconexión se extiende a mayor escala a ritmos acelerados. el volumen y la sensibilidad de la información que se intercambia a través de esta infraestructura han incrementado de modo significativo la forma de pensar. 2 Enero-abril de 2008 • Establecer un reglamento de prácticas favorables para la gestión de la seguridad. y la manera en que los ciudadanos se comunican e intercambian información individualmente también contribuye a la generación de riesgos reales y latentes. inalámbrica y móvil. La naturaleza y el tipo de tecnologías que constituyen la infraestructura de la información y comunicaciones también han cambiado de manera significativa. que se implemente en las entidades que administran la seguridad de la información.N. en cuanto a la gestión de riesgos se refiere. A consecuencia de todos estos cambios. el número y el tipo de dispositivos que integran la infraestructura de acceso se han multiplicado. Establecer un estándar de facto a nivel global. el gobierno proporciona servicios en línea a los ciudadanos y a las empresas. transportes y finanzas. internet forma parte de la infraestructura operativa de sectores estratégicos como energía. la naturaleza. así como también una proporción creciente de accesos que están conectados permanentemente. Al mismo tiempo. Por lo anterior.Principales estándares para la seguridad de la información IT | F.

Díaz Piraquive • • • Establecer un conjunto de normas que se apliquen en cualquier entorno y sector. • Revista Eos No. Alcances y aspectos esenciales de cada estándar tratado Estándar Británico ISO-IEC BS7799-IT [3] El Estándar Británico ISO-IEC BS7799-IT es un código aceptado internacionalmente en la práctica de la seguridad de la información. el mundo podrá hablar un mismo protocolo y la implementación de estos procesos se mejorará cada vez más con el aporte que puedan hacer las empresas de los sectores involucrados. cabe resaltar también que es importante generar un estándar de facto sobre el cual la empresa pueda converger y comunicarse en forma globalizada. Desarrollar un diseño de solución de sistemas de administración de seguridad de la información con recomendaciones específicas y un plan detallado para implementarla. a su vez. optimizando la seguridad y el funcionamiento de la empresa.Principales estándares para la seguridad de la información IT | F. que sean transferidos o difundidos por medios que garanticen el uso correcto para el cual están hechos. ya que los usuarios demandan que sus datos estén en un lugar seguro y. • Fase 1: evaluación. Promover servicios para que la empresa se incorpore más fácil y eficientemente a la sociedad de la información. Todas estas razones hacen indispensable contar con un sistema de gestión para garantizar la seguridad de la información en la empresa que quiera ser competitiva en el mercado. El estándar aplica un método de cuatro fases para implementar una solución de sistemas de administración de seguridad de la información.N. Determinar la situación de la seguridad actual y definir los requisitos para la seguridad de la información basada en un riesgo de negocio aceptable (deseada). Mejorar los niveles de competitividad.2 Enero-abril de 2008 81 . y que utilicen tecnologías de la información para lograr los objetivos propuestos. Fase 2: diseño.

optimizar y crear el documento de directiva de seguridad. para esto se deben incluir los objetivos de seguridad globales. crear pro- Revista Eos No. en la cual se describen y analizan los objetivos que sobre seguridad de TI tiene explícitos la empresa. la calidad y la confidencialidad de la información. incluidas las estrategias de auditoría y supervisión. Los objetivos de seguridad específicos se deben crear de acuerdo con la estrategia de la organización y el equipo de administración debe comunicarlos. un esquema del nivel global de la seguridad requerida. Definir y documentar las directrices. junto con la importancia de la seguridad. El primer parámetro establecido por el estándar es desarrollar la directiva de seguridad de TI. Establecer una arquitectura básica que sea posible de ampliar para proporcionar una plataforma de administración con todas las características. Probar el diseño y desarrollar una configuración de producción estándar. a todos los miembros de ésta. Adicionalmente. trabajar con el responsable de seguridad de la empresa. mantener el valor de los recursos de tecnología. 2 Enero-abril de 2008 82 . y las definiciones de formación y procesos para mantener la seguridad. Fase 4: administración. garantizar que la reputación de la empresa no se ponga nunca en tela de juicio. con lo que se garantizan las operaciones continuas en toda la empresa. los procesos y la propiedad. la propiedad intelectual y la información. los estándares de seguridad.N. estándares y procedimientos necesarios para implementar y administrar la solución de una manera efectiva. Para lograr el éxito en la implantación de la directiva de seguridad de IT. Díaz Piraquive • • Fase 3: implementación. evitar y prevenir los daños a la información. hay que tener en cuenta los parámetros que establece el estándar para desarrollar una directiva de seguridad de TI y garantizar que la seguridad se implementa y mantiene en toda la organización. Entre los ejemplos de objetivos de seguridad que se pueden utilizar están maximizar la confiabilidad. debe existir un comité de seguridad de TI. Estos objetivos de seguridad generales se pueden aplicar a la mayoría de las organizaciones.Principales estándares para la seguridad de la información IT | F. que como mínimo incluya las responsabilidades relacionadas con desarrollar.

N. Entre las características de la seguridad de la información. tiene que detectar fugas o errores. el RFC-2196 establece una serie de componentes incluidos en las políticas de seguridad.Principales estándares para la seguridad de la información IT | F. promover la cultura de la seguridad. debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad. se tienen las siguientes: se debe poder poner en práctica mediante procedimientos descritos de administración de sistemas. A continuación se mencionan sus características y sus aspectos más relevantes. Éstos son: • Guías de compras de tecnología de la información. Hay que definir las necesidades de personal y. que se ocupa de garantizar que dicha seguridad tiene el nivel adecuado de respaldo ejecutivo. asegurarse de que todos los miembros de la organización adquieran el compromiso y la capacitación necesarios para asumir la cultura de la seguridad. según el RFC2196. Otro parámetro que hay que tomar en cuenta dentro del estándar es definir el cargo de responsable de seguridad de la empresa. Muchas incursiones de seguridad se producen como consecuencia directa de una falta de formación o una deficiencia en el proceso de implantación. Especifica funciones de seguridad requeridas o preferiRevista Eos No. que la directiva se comprende claramente en todos los niveles de la organización y que se articula a éstos. administradores y dirección.2 Enero-abril de 2008 83 . Díaz Piraquive cesos para garantizar que se cumplen los objetivos de seguridad de TI. publicación de guías sobre el uso aceptable de los recursos informáticos o por medio de otros métodos prácticos apropiados. generar un proceso y un plan para implementar los estándares descritos en el documento de directiva de seguridad. Estándar RFC2196 [4] El Estándar RFC2196 es otro de los estándares usados en la práctica de la seguridad de la información. debe poder implantarse. debe definir claramente las áreas de responsabilidad de los usuarios. y tener un responsable para toda situación posible. determinar el presupuesto y las necesidades de recursos. Por otro lado.

así como reglas acerca de la comunicación de datos. Determina las expectativas razonables de privacidad sobre temas relacionados con monitoreo de correos electrónicos. Política de responsabilidad. Díaz Piraquive • • • • • • Revista Eos No. uso de herramientas de mensajería instantánea. escucha y control de llamadas telefónicas. Política de mantenimiento de los sistemas relacionados con la tecnología de la información. Define derechos o privilegios de acceso a activos o recursos de información protegidos. Política de privacidad. Política de autenticación. y proveer las guías para el registro y manejo de incidentes de seguridad. Debe establecerse si se admite o no algún tipo de mantenimiento remoto (por ejemplo. etc. Con base en la disponibilidad necesaria. y las reglas que aplican.Principales estándares para la seguridad de la información IT | F. 2 Enero-abril de 2008 das. Debe considerar. Declaración de disponibilidad. Política de acceso. Debe establecer los mecanismos de “confianza” mediante el uso de una política de contraseñas apropiadas. Define las responsabilidades de usuarios. podrán establecerse mecanismos de redundancia y procedimientos de recuperación. políticas de autenticación local y de acceso remoto. así como los mecanismos internos de control. 84 . si aplica. acceso a archivos y registro de teclados. Determina las expectativas de disponibilidad de los recursos de los sistemas e información. control de accesos a sitios web. Estas políticas deben complementar cualquier otra política de compra de la organización. Podría incluir también políticas acerca de registro. conexiones de dispositivos a las redes e inclusión de nuevas aplicaciones informáticas en los sistemas existentes. personal de mantenimiento y directivos. por internet o por módem). Debe incluir reglas respecto a las conexiones y accesos externos.N. Especifica comportamientos aceptables para usuarios. empleados soporte y directivos. Describe cómo deberá hacerse el mantenimiento realizado tanto por personal interno como externo a la organización. Debe especificar la capacidad de realizar auditorías y sus características.

bsi. En todos los casos.2 Enero-abril de 2008 2. sistemas (Windows. puede considerarse la inclusión de reportes anónimos. Estándar SSE-CMM [6] Se fundamenta en la presentación de una serie de actividades para desarrollar productos de software confiables y alcanzar un ciclo de vida para sistemas seguros. Disponible en http://www. Información de apoyo. módems). lo que seguramente redundará en una mayor probabilidad de que los incidentes sean efectivamente reportados. Establece qué tipo de incidentes o violaciones de seguridad deben reportarse y a quién reportar.htm. manejo de la web.bund. criptografía. redes (cortafuegos. establecidas por la Agencia Federal Alemana para la Seguridad en Tecnología de la Información. Estándar IT Baseline Protection Manual [5] El IT Baseline Protection Manual presenta un conjunto de recomendaciones de seguridad. 85 . unix). (edificaciones.de/fehler/index. novell. Revista Eos No.Principales estándares para la seguridad de la información IT | F. redes wifi). bases de datos. Díaz Piraquive • • Política de informes de incidentes o violaciones de seguridad. empleados y directivos con información de contacto y de referencia para usarla ante incidentes de seguridad. los aspectos legales deben tomarse en cuenta. Para no generar un ambiente “amenazante”. entre otros). y aplicaciones (correo electrónico. Este estándar plantea en forma detallada aspectos de seguridad en ámbitos relacionados con aspectos generales (organizacionales. Proveer a los usuarios. en especial de la ingeniería de sistemas y de software. gestión humana. aplicativos)2. infraestructura. manejo de virus. La propuesta se hace considerando que la ingeniería de seguridad no es una actividad que pueda desarrollarse de manera aislada de otras especialidades de la ingeniería.N.

seis empresas españolas poseen esta certificación declarada.N. 86 . Su título completo en realidad es BS 7799-2:2005 (ISO/IEC 27001:2005). La versión que se considerará en este texto es la primera edición. Estándar ISO 27001[7] Este es el nuevo estándar oficial. de fecha 15 de octubre de 2005.Principales estándares para la seguridad de la información IT | F. Ingeniería: trabaja con otras disciplinas para implantar soluciones sobre los peligros identificados. • • Riesgo: busca identificar y priorizar los peligros asociados al desarrollo de productos o sistemas. El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener en cuenta son: • • Revista Eos No. se relaciona con la ingeniería de software. Capacidades: se refiere a las prácticas genéricas que determinan la administración del proceso e institucionalizan la capacidad. Cerca de 1. Aseguramiento: tiene como objetivo certificar que las soluciones implementadas sean confiables.870 organizaciones en 57 países han reconocido la importancia y los beneficios de esta nueva norma. Publicado el 15 de octubre del 2005. SSE-CMM divide la ingeniería de seguridad en tres áreas básicas: riesgo. ISO/IEC 27001 ISMS . éste es el que mayor relación y adecuación tiene respecto al desarrollo de productos de software seguros. 3. ingeniería y aseguramiento. Comité Técnico Conjunto. • El modelo se estructura en dos dimensiones: • • Dominios: conjunto de prácticas básicas que definen la ingeniería de seguridad. 2 Enero-abril de 2008 ISO/IEC 27000 Fundamentals and vocabulary. En este caso. IT Security Techniques. Díaz Piraquive De todos los modelos presentados. También fue preparado por el JTC 31 y en el subcomité SC 27.Requirements (revised BS 7799 Part 2:2005). A fines de marzo de 2006.

sin embargo. Actualmente ISO/IEC 17799:2005. Presentar al ISO-27001:2005 como estándar de facto genera la posibilidad de tener un estándar mejorado y más robusto en el trayecto de la historia. y las recomendaciones de la IEFT con su RFC2196. Díaz Piraquive • • • • ISO/IEC 27002 Code of practice for information security management. ISO/IEC 27004 Information security management measurement (en desarrollo). tanto por su tamaño como por su actividad. basado en el IT Baseline Protection Manual. administración de seguridad de información y definición de políticas RFC2196 . ISO es el estándar de facto en la gerencia de la integridad de la información. Los demás estándares establecidos. Esta 4. ISO/IEC 27003 ISMS implementation guidance (en desarrollo). publicado el 15 de junio del 2005. luego de haber hecho las pruebas y haber tenido la experiencia. Revista Eos No. los entes que aplican estos procedimientos para garantizar la seguridad e integridad de la información mejorarán considerablemente el estándar.Site Security Handbook La recomendación del IETF4 conocida como la RFC2196 Site Security Handbook se estructuró y compendió en el año 1997. como el alemán. constituyen solamente orientaciones y guías para usuarios que deseen implementar gestión en la seguridad de la información.N. Estándares.2 Enero-abril de 2008 87 . El ISO-27001:2005 es el único estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones. queda demostrado que el estándar de ISO es el más adoptado por las empresas porque es más flexible y se acopla mejor a los procesos que normalmente se llevan a cabo en las organizaciones. ISO/IEC 27005 Information security risk management (basado en ISO/IEC 13335 MICTS Part 2 e incorporado a éste. Internet Engineering Taks Force.Principales estándares para la seguridad de la información IT | F. en desarrollo).

Debe ser lo bastante consistente para responder a las necesidades y al mismo tiempo liviano para que no sea un obstáculo en el normal desarrollo de las actividades de la empresa o institución. se procede a asegurar el sistema. personal involucrado. • Definición de objetivo. con lo cual estructurar un plan de seguridad tendrá como base el estudio de las vulnerabilidades para cada uno de ellos. y se enfoca en generar un marco conceptual para definir de manera integrada un esquema de seguridad basado en políticas a todo nivel en los temas referentes al manejo de la información. Los activos y los riesgos van de la mano a la hora de implantar las políticas de seguridad. documentación y consumibles [8]. Al analizar el riesgo es importante tener una visión sistémica de los componentes de la infraestructura de información. identificadas las amenazas. La respuesta a incidentes será la parte fundamental. 2 Enero-abril de 2008 88 . donde es vital identificar dos aspectos: assets (activos). y separar los servicios a los cuales pueden o deben acceder los usuarios e identificar las necesidades para cada uno de ellos ayudarán a la estructuración de los objetivos del sistema. Se enfoca en la identificación del plan de seguridad. De acuerdo con este enfoque es importante señalar que todo parte de la conceptualización del análisis de riesgo. Revista Eos No. La RFC2196 parte de esta premisa para que los responsables de las políticas de seguridad. tengan claro el alcance de la implantación. debilidades). Díaz Piraquive recomendación es un esfuerzo por dar cuerpo a las iniciativas de seguridad en el entorno de sistemas de cómputo y sistemas de información. con la estructura lógica que se presentará a continuación. ya que cada uno de los activos presentará sus propios riesgos. Hardware.Principales estándares para la seguridad de la información IT | F. software. partiendo de un esquema en el cual. y riesgos (vulnerabilidades. en lo que respecta a las tecnologías de información (TI).N. datos. información y personal. software. red. para así poder articular una política coherente que lleve a la organización a plasmar un sistema de seguridad a la medida de sus actividades. entre los que se destacan hardware.

FTP). cada vez más competitivos. servidores. La información es uno de los activos más valiosos de las empresas.Principales estándares para la seguridad de la información IT | F. las empresas han tenido que integrarse y compenetrarse en un mundo globalizado. La RFC2196 hace hincapié en los siguientes puntos con respecto a la conexión hacia redes externas [9]: proteger la infraestructura (hosts. es asegurar la operatividad de los componentes en caso de que algún evento o incidencia conduzca a su mal funcionamiento. Para ser más competitivas. • Firewalls. La mencionada recomendación hace alusión a este punto cuando enfatiza en que la seguridad no puede finalmente circunscribirse a los elementos hardware dispuestos en la red para Revista Eos No. Pero ¿cómo integrarse y cómo tomar ventaja de la globalización? Un componente importante para tomar ventaja de esta realidad conlleva la integración de operaciones a ese mundo globalizado a través de las tecnologías de información y comunicación. Proteger la infraestructura conduce a que el encargado de implantar el esquema de seguridad se imponga el reto de definir los componentes necesarios para conseguir el aseguramiento en estos dos frentes. password key servers. Dicho escenario plantea numerosos retos y es allí donde la seguridad. Díaz Piraquive • Configuración de servicios y red. equipos de comunicaciones. puesto que el analista de seguridad debe tomar en cuenta los costos asociados de tener elementos redundantes. “Proteger”. en este contexto.2 Enero-abril de 2008 89 . mail. Este tema es particular a cada organización. toma relevancia especial ya que presupone “exponer” la información interna al mundo externo. procesos. WWW Servers. listas de precios y demás informaciones relacionadas con la operación de la empresa hacen que éstas se diferencien en los mercados actuales. documentos.N. personal) y proteger los servicios (DNS. Es común encontrar falencias en lo que respecta a procesos de seguridad informática (seguridad lógica) en las organizaciones. De tal manera que tener control y seguridad sobre ésta se ha vuelto una necesidad imperativa en las organizaciones actuales. donde la información es el eje fundamental de las operaciones. al entrar en ese mundo virtual. Investigaciones.

esto es. Es decir. procedimientos y procesos forman en sí un sistema integrado de seguridad. • Procedimientos y seguridad en servicios. 2 Enero-abril de 2008 • 90 . la RFC2196 hace hincapié en los siguientes procesos al momento de estructurar los procedimientos. entendidos como la infraestructura de red que garantiza un entorno de seguridad al interconectar redes. El manejo de la seguridad no puede recaer sólo en estos elementos hardware/software y sus administradores. políticas.N. teniendo como base los elementos que componen el sistema de información [10]: • Autenticación [11]. Por otro lado. En este proceso se da permiso al solicitante de realizar o no acciones dentro de un sistema. El acceso de la información debe tener un esquema donde se puedan seguir ciertos procedimientos que han de estructurarse tomando como base las necesidades de la organización. La infraestructura de seguridad y el personal que hace uso de ella al acceder a la información dan forma a un esquema seguro cuando se articulan siguiendo procedimientos y procesos. Los esquemas de seguridad soportados en firewalls estarán articulados dentro del sistema completo de seguridad. identificar que quien utilice las plataformas o los recursos sea quien dice ser.Principales estándares para la seguridad de la información IT | F. mantener un ambiente seguro respetando las políticas que a nivel técnico se implanten en la organización. Díaz Piraquive permitir o no el acceso a los recursos e información de las organizaciones. plasmarán las políticas que cada entorno en específico requiera. Autorización [12]. Los firewalls. personal. las políticas toman relevancia nuevamente en este sentido. Éste será un esfuerzo continuo con todos los involucrados e interesados (stakeholders). Equipos. Este proceso está orientado a determinar si el solicitante del servicio o información es. Sin perder de vista el objetivo general del sistema de seguridad. Revista Eos No. No es sólo el administrador de seguridad el responsable de mantener un ambiente seguro para la infraestructura tecnológica en lo que atañe al manejo de información. de acuerdo con las necesidades. quien tiene derecho a usarla. de hecho.

deberá registrarse en algún sitio para tener control sobre los incidentes. sobre todo. Establecer los mecanismos por los cuales los solicitantes van a acceder a los recursos de información de la organización. La recomendación establece ciertos criterios para enmarcar los incidentes y así tener un plan de acción en caso de que ocurra [13]. evaluar sus alcances y. aconseja utilizar herramientas software especializadas para la detección de conductas anómalas de los usuarios de la red. Los procesos anteriores deben cobijarse mediante un procedimiento de auditoría. La RFC2196 continúa con la descripción de la estructura lógica. Así mismo. IDS). Circunscribir el fenómeno e identificar su espectro de acción serán de gran ayuda para identificar si la situación empeora o no.Principales estándares para la seguridad de la información IT | F. ¿Cómo identificar que una situación anómala es un incidente? Esta pregunta es importante. Díaz Piraquive • • • Integridad y confidencialidad. en qué momento y cuál fue la labor realizada sobre la información o sobre los sistemas. El esquema de seguridad se implanta con un objetivo primordial: evitar los problemas de seguridad de la información a través de la implantación de un sistema que incluya todos los activos involucrados en la organización. en este orden. Muchas veces los incidentes tienen una reacción en cadena que a partir de una situación anómala se convierten en verdaderos problemas que afectan a toda la organización. ya que dependiendo de los síntomas presentados en los subsistemas y en el entorno de la organización se puede determinar si el fenómeno presentado clasifica como incidente de seguridad. ya sea desde el interior o desde el exterior.N. Procesos que se encargan de asegurar que la información no sea alterada y que va a mantenerse en un entorno controlado para no difundir su contenido. ya sean internos o externos (Intrusion Detection Systems. Saber quién. Auditoría. Acceso.2 Enero-abril de 2008 91 . • Manejo de incidentes. seguir el plan de acción. En Revista Eos No. tratando el tema relacionado con la identificación de incidentes.

Revista Eos No. el esquema deberá responder de la mejor manera frente a los incidentes que afecten la información. Especification for Information Security Management Systems. minimizando su impacto. El manejo de incidentes de acuerdo con la RFC2196 presupone una etapa de preparación y planeación de incidentes. Teniendo como base esta premisa. En este trabajo sólo se hablará del primer documento. De igual manera. tener documentado el proceso que se debe seguir. ISO-IEC 17799. producto de la cual la versión original se dividió en dos partes: la primera. Conocer de antemano las vulnerabilidades del sistema ayudará a su corrección. de acuerdo con la recomendación. Prepararse en este contexto es orientar los esfuerzos de seguridad a implementar y fijar niveles de protección que involucren las políticas de seguridad establecidas. denominada Code of Practice for Information Security Management. para ello es importante. La norma británica fue propuesta en el año 2000 ante la ISO con algunos cambios y se presentó como la ISO/IEC 17799:2000.Principales estándares para la seguridad de la información IT | F. personal. Este código apunta a crear un marco de buenas prácticas para el manejo de seguridad de la información y su interoperatividad con los sistemas [16]. y la segunda. en 1999 se hizo una revisión.N. retroalimentación que resulta importante para mantener actualizados los procesos de seguridad y su continuidad en el tiempo. Díaz Piraquive caso de falla. infraestructura y procedimientos para evitar al máximo que los incidentes ocurran [14]. ya que éste sirvió como base para la norma ISO 1799. en el momento de actuar se debe tener en cuenta seguir una secuencia de pasos lógicos que ayuden a restablecer las condiciones normales de operación de la organización. el manejo de incidentes se debe preparar y planear para cumplir este objetivo. Código de Prácticas para el Manejo de Seguridad en Información Esta norma se estableció inicialmente en el entorno británico. se recomienda priorizar las acciones que hay que tomar cuando se presenten incidentes que vulneren la seguridad [15]. Sus comienzos se remontan al año 1992 y su primera versión compendiada se publicó en 1995. 2 Enero-abril de 2008 92 . Adicionalmente.

conocido como el PDCA (Plan-Do-Check-Act: Planear-Hacer-Chequear-Actuar). Sin una cabeza visible.N. en el Information Management Journal [18]. revisar. llevarse a la práctica. la implementación del sistema puede quedar a medias. Ya en la parte de implementación (DO) se deben formular los planes de tratamiento de riesgos y su implantación. probar y auditar cierran el ciclo de estructuración de políticas contenidas dentro del manejo de incidencias de seguridad de información. Planear (plan) en este entorno significa definir políticas de seguridad y su alcance. teniendo previamente un personal capacitado. En este esquema se requiere tener dentro de la organización personal responsable del esquema de seguridad. Díaz Piraquive La última versión del BS7799:2005 se enfoca en tener un esquema estructurado. Este estándar se enfoca en la identificación de riesgo y su tratamiento para asegurar la confidencialidad. A partir de este objetivo se organiza la estructura del estándar. • Estructura del estándar. las políticas de seguridad y su aplicabilidad Revista Eos No. Monitorear. De acuerdo con Rene Saint-Germain. Ellos estarán a cargo de la implementación y seguimiento de las políticas y procedimientos de seguridad. Identificar y evaluar opciones para tratar esos riesgos y seleccionar para cada riesgo la mejor opción de tratamiento son aspectos importantes durante la fase de planeación sugerida por el estándar [17]. ya sea de tiempo completo o parcial. Este acercamiento a la realidad en los entornos institucionales y empresariales permite tener un enfoque estructurado a la hora de implantar un sistema de manejo de seguridad en la información. • Verificar y auditar (Check. enfatizando en tener un marco conceptual que debe. disponibilidad e integridad de la información. De igual manera. • Esquema PDCA.2 Enero-abril de 2008 93 . se ha de implementar el esquema de procedimiento de detección y respuesta a los incidentes.Audit). ya que debe haber una visión general que tenga en cuenta los objetivos y el alcance de la implantación del estándar.Principales estándares para la seguridad de la información IT | F. en la medida de lo posible. Las políticas no podrán ser efectivas si no se articulan en torno a riesgos que deben evaluarse en la organización.

Principales estándares para la seguridad de la información IT | F. Cabe destacar la importancia de las políticas de seguridad. tecnología. People. pues depende de los directivos concientizarse sobre los potenciales efectos de las fallas en la seguridad de información. La IEC17799 desarrolla estos temas con mayor amplitud para poder llevarlos a un entorno práctico. que están estrechamente ligados a la organización donde éste se implante. Revista Eos No. Organization . Environment) las áreas de acción del 94 . el cual agrupa en las categorías de estrategia.N. Díaz Piraquive dentro de la organización deben ir de un nivel organizacional a un nivel operacional. Es importante la distribución piramidal. Dominios del IEC17799. organización. Figura 1. Partir de un enfoque gerencial donde se planean estrategias de seguridad e irlas traduciendo en temas a nivel táctico (operacionales) dará consistencia al modelo. personal y entorno (Strategy. Technology. son los lineamientos que a nivel semántico deben quedar claros para llevarlos a la práctica a través de toda la organización. 2 Enero-abril de 2008 Otro enfoque del estándar propuesto por Saad Haj Bakry en el International Journal of Network Management plantea integrar las diez áreas donde trabaja la IEC 17799 con base en el enfoque Stope [19]. Allí enmarca el estándar en diez (10) esferas de acción (dominios). que si bien es cierto están en la cumbre.

un modelo de referencia que no dicta normas estáticas en lo que concierne a la seguridad en los ambientes de información y tecnología (IT) que quie- Revista Eos No. System Security Engineering Capability Maturity Model (SSE-CMM) El SSE-CMM es.2 Enero-abril de 2008 5. generar puntos de control para cada una de las actividades. Measure. Para esto se apoya en una herramienta conceptual denominada Six-Sigma-Based [20]5. Enfoque Stope de la IEC17799. Analyze. de acuerdo con el autor. a generar un checklist que pueda certificar que se cumplieron las metas de la implantación del estándar. Esta iniciativa se apoya en el esquema Stope para darle más aplicabilidad a nivel práctico y poder definir las fronteras de acción de cada una de las áreas.N. Esto llevará. la cual básicamente consiste en seguir un proceso lógico para la implantación de la norma desde el punto de vista práctico. Improve. Este enfoque pretende. Control (DMAIC). Define. a partir de las categorías.Principales estándares para la seguridad de la información IT | F. Figura 2. Díaz Piraquive estándar. más que un estándar. 95 .

Éste se basa en la definición de conceptos como organización. Con ello se da forma a una matriz que pretende realizar un diagnóstico y establecer qué grado de madurez tiene la estrategia de seguridad en una organización. gerencia de proceso y capacidad de madurez del modelo (capability maturity model). a través del proceso de planeación. utilización. es tratar de identificar qué tan “maduro” se encuentra el esquema planteado para la seguridad de información en la organización. proceso. conocidas como las prácticas base (base practice).N. producción. sistema. proyecto. En el eje X se analizan todas las actividades inherentes a ingeniería de seguridad.Principales estándares para la seguridad de la información IT | F. soporte y retiro son etapas inherentes a las actividades que soportan el modelo mencionado. Concepto. se manejan conceptos generales para entender el modelo. producto de trabajo. implantación y mejoras. El modelo se enfoca en la ingeniería de seguridad como marco para desarrollar un esquema confiable alrededor de la temática de aseguramiento en entornos de información y tecnología (IT). cliente. Díaz Piraquive re enmarcar su radio de acción [21]. desarrollo. Este último concepto sirve para describir cómo. siendo los primeros once procesos (security engineering processes) los más relevantes y los que comúnmente se analizan en este eje [23]. Por ello es importante mencionar el ciclo de vida de ingeniería de seguridad. institucionalización. Revista Eos No. Como tal. el modelo se ajusta a cada situación particular. de acuerdo con el modelo [22]. ingeniería de seguridad y aseguramiento. 2 Enero-abril de 2008 96 . El modelo considera 129 prácticas que engloban el ejercicio de la ingeniería de seguridad y las divide en 22 procesos que agrupan las actividades (security engineering processes). Debido a que su alcance no restringe a una práctica especifica en la implantación de seguridad de la información. la arquitectura del sistema se basa en tres macroprocesos: evaluación de riesgo. Este modelo es un esfuerzo multilateral dirigido por la Universidad de Carnegie Mellon en Estados Unidos.

trata de graduar cada uno de los aspectos importantes a la hora de implantar un esquema de seguridad en una organización. de acuerdo con el documento que describe el modelo [24]: Figura 4. ayuda al diagnóstico y al mejoramiento continuo del esquema elegido. Revista Eos No. o tratar de medir en lo referente a madurez cada uno de los procesos.Principales estándares para la seguridad de la información IT | F.2 Enero-abril de 2008 97 .N. Matriz de evaluación de procesos. En el eje Y se agrupan actividades que se pueden aplicar a cada uno de los procesos de ingeniería. La vista genérica de la matriz sería de la siguiente manera. llamadas prácticas genéricas (generic practices). Vale la pena destacar que este modelo. Díaz Piraquive Figura 3. a diferencia de los demás. En este eje se articulan cinco niveles que son los que clasificaran la capacidad en cada uno de los aspectos de ingeniería de seguridad y gradúan la manera como se llevan a cabo los procesos. Describir. Determinación de la capacidad del sistema.

La función primaria de la administración de seguridad IT es preparar los conceptos de seguridad.Principales estándares para la seguridad de la información IT | F. los cuales son indispensables para la implantación de los procesos. Esto se divide en las siguientes subtareas: preparar el plan de red. determina qué tan maduro es el proceso y qué tan bien se va a llevar a cabo. • Procesos de seguridad IT. De la misma manera. recolectar información sobre los sistemas de IT. como lo anota John P. 2 Enero-abril de 2008 98 . reducir la complejidad identificando recursos similares. soporta y monitorea un proceso. IT Baseline Protection Manual (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) Los objetivos del estándar son asistir en forma rápida soluciones a problemas comunes en seguridad e identificar los riesgos de seguridad de TI. Hopkinson [25].N. “la manera en la cual una organización lleva a cabo. Díaz Piraquive Igualmente. define su alcance aduciendo que el IT Protection Manual contiene estándares de protección de seguridad de tecnologías de información e implanta conceptos de seguridad de IT. controla. para preparar el concepto del IT baseline protection security. El análisis de la estructura de IT [26] provee los medios para la realización de un estudio preliminar. por consiguiente. qué tan buenos y repetibles serán los resultados de ese proceso”. apuntando a la recolección de información que se necesitará después. El procedimiento general se describe a continuación: Revista Eos No. simplificando y economizando los recursos requeridos. y captar información sobre las aplicaciones de IT y relacionarla con ésta.

evaluación de los requerimientos de protección y modelamiento. El primero de todos es definir las categorías de requerimientos de protección.2 Enero-abril de 2008 99 . Modelo de protección IT Baseline. De este último se desprenden dos actividades: ejecutar el plan sobre los activos IT en uso y desarrollar el plan sobre los activos de IT planificados. • • • • Evaluación de requerimientos de protección. Chequeo de seguridad básica. Análisis de seguridad suplementario. Díaz Piraquive Figura 5. Comúnmente. así: activos de IT. Descripción del procedimiento de seguridad IT Baseline Protection Manual. Se enfoca de acuerdo con un orden descendente. análisis de la estructura de IT. Para evaluar modelos de protección de la estructura de IT se requieren cuatro pasos por separado.N. cuál estándar para salvaguardar la seguridad ha sido efectivo y cuál no se ha implementado efectivamente. Un análisis de seguridad de IT suplementario se debe entregar para Revista Eos No. El módulo de protección de IT se utiliza como un plan de prueba para establecer. los escenarios de daño se emplean para determinar los requerimientos de protección de varias aplicaciones de IT.Principales estándares para la seguridad de la información IT | F. usando un objetivo frente a la actual comparación.

pues el modelo está influenciado por sus necesidades y objetivos. Fija la política. Planear (establece el SGSI). así como por los requerimientos de seguridad. que incluyan análisis del riesgo. preparar un estimado de costos y esfuerzos requeridos. Implementación de modelo de protección de seguridad IT. La adopción del modelo SGSI obedece a una decisión estratégica de la organización. mantenimiento y mejora del SGSI. operación. Díaz Piraquive • puntos sensibles de la organización. Se pueden emplear varios métodos.N. Adoptado por la ISO/IEC 27001 [28]. Se destacan los siguientes pasos: examinar los resultados de la investigación.Principales estándares para la seguridad de la información IT | F. ISO 27001 Entre los objetivos primordiales del estándar se considera presentar un análisis ISO/IEC para cualquier empresa que desee planificar e implementar una política de seguridad orientada a obtener una futura certificación dentro de este estándar y conseguir como resultado final la evaluación del riesgo (análisis y valoración) sobre las políticas empresariales de una organización. 2 Enero-abril de 2008 Modelo PHCA. procesos y procedimientos del SGSI pertinentes para gestionar el riesgo y mejorar la seguridad de la información. el tamaño y la estructura de la empresa. pruebas de penetración y análisis diferencial de seguridad. monitorización. El alcance se concibe hasta proveer un modelo para el establecimiento. asignar responsabilidades e implantar medidas de acompañamiento. 100 . implementación. objetivos. Los requerimientos de la ISO 27001 son aplicables a todas las organizaciones. La dinámica que implica su aplicación ocasionará en muchos casos la escala del modelo. revisión. consolidar los salvaguardas. con el fin de entregar resultados conforme a las políticas y objetivos generales de la organización. determinar la secuencia de implementación. los procesos. • • Revista Eos No. por lo que se necesita una misma dinámica para las soluciones [27].

para lograr el mejoramiento continuo del SGSI. Actuar (mantener y mejorar el SGSI). objetivos y experiencia práctica del SGSI. controles. donde corresponda. seleccionar objetivos de control y controles. Figura 6.Principales estándares para la seguridad de la información IT | F. basado en los resultados de la auditoría interna del SGSI y el examen de la gerencia u otra información pertinente. Implementar y operar la política. Díaz Piraquive • Hacer (implementar y operar el SGSI). Evaluar y. Tomar medidas correctivas y preventivas.N. De la misma manera. • • Comprobar (monitorear y revisar el SGSI). para la implantación y operación del SGSI considera tener en cuenta el formular e implementar un Revista Eos No. PHCA aplicado a los procesos de SGSI (Sistemas de Gestión de Seguridad de la Información). definir política SGSI. identificar y evaluar opciones para el tratamiento del riesgo. El modelo PHCA establece para el SGSI un procedimiento que tenga en cuenta la definición del alcance de un enfoque sistemático para identificar y evaluar el riesgo. medir el desempeño del proceso según la política. procesos y procedimientos del SGSI. e informar los resultados a la gerencia para su examen. preparar un enunciado de aplicabilidad y obtener aprobación de la gerencia.2 Enero-abril de 2008 101 .

Las revisiones mencionadas en el punto anterior deberán llevarse a cabo al menos una vez al año para asegurar su vigencia. conducir las auditorías internas del SGSI y registrar todos los eventos que tienen un efecto en el desempeño del SGSI. ésta deberá incluir los registros de las decisiones de la gerencia. Revista Eos No. sus objetivos. tomar apropiadas acciones correctivas y preventivas. y con la política y objetivos del SGSI. poner en práctica programas de entrenamiento y toma de conciencia. Para monitorear y revisar el SGSI se recomienda ejecutar procedimientos de monitoreo. al igual que gestionar operaciones y recursos. comunicar los resultados a todas las partes interesadas y asegurar que las mejoras alcancen los objetivos deseados. ni cualquier otro que guarde relación con él. La organización realizará auditorías internas al SGSI con intervalos planeados para determinar si los controles. los informes resultantes y el mantenimiento de los registros se definirán en un procedimiento. adecuación y efectividad. incluyendo la política de seguridad de la información y sus objetivos.N. Es importante poder demostrar que los controles seleccionados se relacionan con los resultados del proceso de evaluación y tratamiento de riesgos. efectuar revisiones regulares de la eficacia del SGSI. 2 Enero-abril de 2008 102 . • Administración de las revisiones del SGSI. revisar el nivel de riesgo residual y del riesgo aceptable. La responsabilidad y los requerimientos para el planeamiento y la conducción de las actividades de auditoría.Principales estándares para la seguridad de la información IT | F. y que los resultados registrados sean reproducibles. En cuanto a documentación. Para mantener y mejorar el SGSI. asegurar que las acciones se deriven de las decisiones y políticas de los directivos. •Auditoría interna del SGSI. se necesita implantar las mejoras identificadas. los procesos y procedimientos continúan de conformidad con esta norma y para analizar y planificar acciones de mejora. Díaz Piraquive plan de tratamiento del riesgo. Estas revisiones incluirán valoración de oportunidades para mejorar o cambiar el SGSI. Ninguna persona podrá auditar su propio trabajo. aplicar todos los objetivos de control y los controles seleccionados.

la organización relacionada con la seguridad de la información tanto interna como aquella que involucre terceros y la gestión del riesgo. obteniendo en esta forma un fraude de aseguramiento requerido. y la gestión de comunicaciones y operaciones. Díaz Piraquive Esta actividad está constituida por la revisión de entradas y salidas. además de la formulación. • Acciones correctivas. la seguridad física y ambiental. el resultado de las auditorías. • Mejoras al SGSI. Para la elaboración de comienzo a fin de la implantación se requiere la participación activa de diferentes áreas de la empresa.Principales estándares para la seguridad de la información IT | F. entre las que se destacan: aseguramiento de ingresos.2 Enero-abril de 2008 103 . requieren contemplar la política de seguridad identificada para éste. control y prevención del fraude. • Objetivos de control y controles [31]. y las revisiones de administración. y dará como resultado el documento correspondiente. las acciones preventivas y correctivas. • Implantación [30]. el análisis y la monitorización de eventos. Cada una de estas acciones correctivas se deberá documentar [29]. La estructura de una entidad certificadora está regida fundamentalmente por el Foro Internacional Revista Eos No. se debe contemplar la seguridad de los recursos humanos. • Certificaciones [32].N. se deben analizar los riesgos que involucran las posibles amenazas y vulnerabilidades de los sistemas de información y procesamiento. Después de la definición del alcance del sistema de gestión de seguridad de la información. La organización deberá mejorar continuamente la eficiencia del SGSI a través del empleo de la política de seguridad de la información. sus objetivos. las cuales forman parte del plan concebido por el estándar de seguridad 27001. Los objetivos de control. seguridad de IT y facturación. La organización llevará a cabo acciones orientadas a eliminar las causas que no estén de conformidad con los requerimientos del SGSI para evitar la recurrencia de éstos. Así mismo. con el propósito de tomar las acciones correspondientes en el momento indicado. La implantación considera seis fases. Es importante gestionar el riesgo desde el punto de vista organizacional.

El certificado constituye una señal de aceptabilidad. que evita la necesidad de tener que demostrar constantemente las normas de seguridad de la empresa ante los clientes [33]. Políticas de seguridad de la información. European Co-operation for Acreditation. 2 Enero-abril de 2008 6. con este sistema se da constancia. disponible en http://www. 7. International Forum of Accreditation. Con el objetivo de contar con una guía para la protección de la información de la empresa. En esta etapa se hace una identificación cuidadosa de las amenazas frente a la vulnerabilidad y de los riesgos frente a las amenazas. Enterprise Security Architecture. Seguidamente se definen las razones por las cuales se debe aplicar un plan de seguridad y por último se determina el estándar o medida de seguridad que se va a adoptar. se elaboran las políticas y estándares de seguridad de la información tomando • Revista Eos No. El principal objetivo es aplicar el sistema de certificación a las empresas.com/errors/notfound. Para el diseño de la ingeniería de seguridad de la información se deben desarrollar las siguientes etapas: • Evaluación de riesgos.symantec. 104 .N. y el modelo PHCA aplicado a los procesos de SGSI (Sistemas de Gestión de Seguridad de la Información) apoya el logro de los resultados de certificación en las organizaciones. de la conformidad de un producto respecto a los requisitos establecidos o previamente especificados. por la Cooperación Europea para la Acreditación (EA)7 y por las entidades de acreditación (de España y de Reino Unido).jsp. 8.Principales estándares para la seguridad de la información IT | F. Díaz Piraquive de la Acreditación (IAF)6. mediante los procedimientos de validación contemplados para ello. Ingeniería de seguridad e implantación en las empresas [34] La implantación de un sistema de seguridad de la información se basa en la metodología ESA8. por un período de tiempo determinado. normas y procedimientos de seguridad con el fin de tener un posterior desarrollo de controles sobre la información de la empresa. amenazas y vulnerabilidades. cuyo marco general establece el diseño de políticas.

monitorea y mantiene sistemas de administración de seguridad IT 105 . Díaz Piraquive • • en cuenta el estándar de seguridad de información ISO 17799. los requerimientos sobre riesgos de tecnología de información y las normas establecidas en la compañía. con el propósito de alinear las medidas de seguridad implantadas para proteger la información de la compañía. se logran identificar las actividades más importantes que realizará la entidad. Este plan de alto nivel incluye una descripción de la actividad que se va a llevar a cabo. las etapas incluidas en su desarrollo y el tiempo estimado de ejecución. amenazas y vulnerabilidades relacionadas con la seguridad de la información de la empresa. implanta.2 Enero-abril de 2008 Identifica activos informáticos y vulnerabilidad Identifica recurso humano Se debe documentar Define claramente responsabilidades Establece. Matriz de comparación de los estándares estudiados En la siguiente matriz se recogen los aspectos esenciales de cada uno de los estándares tratados en este artículo: Tabla 1 Matriz de comparación de aspectos esenciales entre los estándares estudiados ISO-IEC BS7799IT Estándar No certificado RFC2196 IT BASE LINE SSE-CMM ISO 27001 Recomendación Certificado No certificado Estándar Certificado Internacional Revista Eos No. Plan de implementación. con las políticas de seguridad y estándares elaborados. Diseño de arquitectura de seguridad de red. la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspección de contenido. se elaborará una propuesta de arquitectura de red. De la identificación de riesgos. Con el objetivo de controlar las conexiones de la red de la empresa y monitorear la actividad realizada con otras entidades externas a las cuales deba comunicarse.N.Principales estándares para la seguridad de la información IT | F.

N. Díaz Piraquive De acuerdo con la consolidación de los aspectos esenciales estudiados y resumidos en la matriz de comparación. puede asegurarse que la implantación de cualquiera de los cinco estándares garantiza la seguridad de la información. • • Revista Eos No. operar. éstas no paran en su afán por diseñar estrategias que garanticen la seguridad de la información para mostrar una imagen de confiabilidad frente a sus clientes. sino también en entrenamiento y educación a los empleados. Las empresas invierten cifras considerables y significativas no solo en la adecuación de los sistemas. sabotaje.Principales estándares para la seguridad de la información IT | F. Conclusiones • La tendencia en materia de seguridad de la información ha hecho que las grandes empresas. más ambiciosas y más sofisticadas de lo que podría imaginarse. vandalismo incendios. espionaje. inundaciones. implantar. revisar. dicha inversión en seguridad se hace con el fin de garantizar el buen uso y seguridad de ésta. a las empresas que los adopten. códigos maliciosos. Los estándares estudiados en este artículo permiten especificar. volviéndose cada vez más comunes. ataques de piratería por computador o negación de servicios. mantener y mejorar el sistema de gestión de la seguridad de la información para la implementación de controles de seguridad adaptados a la necesidad de la organización. 2 Enero-abril de 2008 106 . tanto nacionales como multinacionales. monitorear. adoptando políticas serias que se transmiten a todo el personal para que cada miembro de la organización tome conciencia de la importancia que este tema tiene para la firma. o parte de ella. en relación con el contexto y los riesgos identificados. los requisitos para establecer. incluyendo fraudes asistidos por computador. A pesar de que las organizaciones y sus sistemas de información enfrentan amenazas de seguridad procedentes de variedad de fuentes. para lo cual se concibieron. inviertan cuantiosas sumas de dinero en asegurar adecuadamente la información.

requisitos de seguridad.2 Enero-abril de 2008 107 . ya que por medio de éstos se llega a la implantación efectiva del Sistema de Gestión de la Seguridad de la Información que certifica la calidad de sus productos o servicios. la adopción de un SGSI debería ser una decisión estratégica para toda organización. De la misma manera. Las mejores prácticas alrededor de los estándares de seguridad de la información estudiados en este artículo pusieron de manifiesto que toda la organización debe sensibilizarse con respecto a la protección y seguridad de sus activos para que la implantación del estándar seleccionado tenga éxito y garantice la imagen corporativa ante los clientes. El estudio de los estándares puso de manifiesto que los mecanismos de control en un SGSI deben ser muy estrictos en su cumplimiento. implantación. procesos empleados. mantenimiento y mejora del SGSI. operación. De la misma manera. Por tanto. el diseño es influenciado por las necesidades. Revista Eos No.Principales estándares para la seguridad de la información IT | F. Puede observarse que los estándares se han elaborado para facilitar el diseño del modelo de gestión en el establecimiento. tamaño y estructura de la organización. Díaz Piraquive • • • • • • El uso de estándares.N. recomendaciones y acuerdos internacionales para prevenir los riesgos asociados con la seguridad de la información ha logrado mitigar en un porcentaje considerable la solución a estos inconvenientes. garantizando la confiabilidad y seguridad en el manejo de la información El estudio evidenció también que las empresas deben cambiar sus sistemas tradicionales de gestión por la implantación de un SGSI que cumpla con los estándares establecidos para tal fin. la mitigación sólo llegará al 100% cuando se genere una cultura de seguridad de la información por parte de todos los funcionarios de las organizaciones. seguimiento. los estándares pusieron de manifiesto que los sistemas de gestión de seguridad de la información están orientados a establecer procedimientos que evitan los eventos clasificados como incidentes. revisión. objetivos. sin embargo.

html.org/rfc/rfc2196. Definitions [En línea]. [10] RFC2196. como también con las exigencias de controles para la seguridad. Centro de Negocios Centrum. por tanto. G. Site Security Handbook. Conferencia presentada el 21-Jun-07 en Citel. Consultado 06-Abril-08 en http://www.htm. Search Security.txt. [7] ISO/IEC 17799:2005 (E). Implantación del ISO 27001:2005. [8] RFC2196. [9] RFC2196.pdf.Principales estándares para la seguridad de la información IT | F. Consultado el 06-Abril-08 en http://www. p u c p .com. pp. 23]. [En línea].ihs. p.org/ rfc/rfc2196. p. p.de/fehler/index.txt. Impactos de fraude para la prestación de los servicios de telecomunicaciones para usuarios. Internet Engineering Task Force [En línea. [Documento ppt]. Consultado el 06-Abril-08 en http:/ / w w w. Information Technology-Security Techniques-Code of Practice for Information Security Management.txt.ietf. Pontificia Universidad Católica del Perú. [Documento pdf. Site Security Handbook.00.N.html.bsi. p. queda certificada con ISO 27001.techtarget. [6] SSE-CMM. e d u .org/ rfc/rfc2196.techtarget. 326. Revista Eos No. c e n t r u m . Díaz Piraquive • Por medio del análisis de los estándares se pudo identificar que una empresa que obtiene la certificación en su SGSI se considera cumplidora de la norma ISO 17799 y. [En línea]. Site Security Handbook. Referencias [1] Alberto. [5] Bundesamt fur Sicherit in der Informationstechnik. Consultada el 6-Abril-08 en http://searchsoftwarequality. Consultado el 06-Abril-08 en http:// searchsecurity. 2 Enero-abril de 2008 108 . operadores y estados. Internet Engineering Task Force [En línea. (2005). Systems Security Engineering Capability Maturity Model. The web's best security-specific information resorse for enterprise IT professionals. Consultado el 06Abril-08 en http://www.00. Project (2003). 4]. Site Security Handbook. página 9]. [2] Citel (2007).txt.bund.sid14_gci211621. los cuales se establecen según sus propias necesidades.-C. Consultado el 06-Abril-08 en http://uk. Model Description Document. [11] Search Security.com/. 1-10. Consultado 06-Abril-08 en http://www. S.ietf.ietf. p e / e x c e l e n c i a / e n s a y o s / Implantacion_del_ISO_27001_2005. [4] Network Working Group. Ginebra: International Standards Organization. 14]. Internet Engineering Task Force [En línea. Network Working Group.sid92_ gci211622.. Consultado el 06Abril-08 en http://www.com/sDefinition/0.com/sDefinition/0. [12] RFC2196.A. [En línea].com. Con la obtención de dicha certificación demuestra a sus socios que sus sistemas cumplen tanto con los estándares de la norma.ietf.org/ rfc/rfc2196. Network Working Group.. [3] The Source for Critical Information and Insight (IHS). "Sistema de Seguridad de Información". Network Working Group. [En línea].

Principales estándares para la seguridad de la información IT | F. [26] IT Baseline Protection Manual. Calidad y Competitividad Empresarial.A. [En línea].txt.N. 39]. Internet Engineering Task Force [En línea. Documento Análisis de ISO-27001:2050. (2006). (2006). p. Documento Análisis de ISO-27001:2050.A. 60. Site Security Handbook. [30] Nextel S. Londres: Kogan Page. [16] Calder. p. (2005).org/ rfc/rfc2196. p. 38. Information Security Management Best Practice Based on ISO/IEC 17799. Limited. International Journal of Network Management. p. Model Description Document V3. 61. p. Site Security Handbook.txt. Internet Engineering Task Force [En línea. Model Description Document V3. Network Working Group. R. [14] RFC2196. [20] Using ISO 17799-2005 Information security management a Stope view with six sigma approach. [34] http://www-935. 31. Madrid. [32] Nextel S.wss/itservice/so/a1000405.calidadycompetitividad.org/ rfc/rfc2196. Consultado 06-Abril-08 en http://www. Model Description Document V3.A. [33] Organismo Certificador de Sistemas de Gestión de Calidad. 40].0. 1. A. [25] The Relationship between the SSE-CMM and it Security Guidance Documentation V2. Madrid. 2004.com/services/us/index.A. Consultado el 06-Abril-08 en http://www. [15] RFC2196. Federal Office for Information Security BSI (apartes traducidos al español: Flor Nancy Díaz).ibm. IT Governance: A Manager's Guide to Data Security and BS 7799/ISO 17799. [23] Security Engineering Capability Maturity Model (SSE-CMM). p. p. [31] Norma ISO27001: 2005 versión en español. Sistemas de Gestión de Seguridad de la Información ISO 27001. Model Description Document V3. International Journal of Network Management.(2005). pp.ietf.txt. [28] Norma ISO27001:2005 versión en español. 61-64. [21] Security Engineering Capability Maturity Model (SSE-CMM). Londres. IT Governance: A Manager's Guide to Data Security and BS 7799/ISO 17799. [27] Corletti E. [22] Security Engineering Capability Maturity Model (SSE-CMM). 49]. 25. Limited.2 Enero-abril de 2008 109 . p. 93. Sistemas de Gestión de Seguridad de la Información ISO 27001. [29] Corletti E. Revista Eos No. pp. A. 40. 36. 93. Network Working Group.0. p.0. p. Site Security Handbook. p. pp. p. [17] Calder.0. p. p. 19-33. Internet Engineering Task Force [En línea.org/ rfc/rfc2196.com/. Network Working Group. Londres: Kogan Page.ietf. Díaz Piraquive [13] RFC2196. [24] Security Engineering Capability Maturity Model (SSE-CMM). 29-47. 10.ietf. Consultado el 06-Abril-08 en http://www. Consultada el 06-Abril-08 en http:// www. [19] Using ISO 17799-2005 Information security management a Stope view with six sigma approach. [18] Saint-Germain.0.

Sign up to vote on this title
UsefulNot useful