Principales estndares para la seguridad de la informacin IT | F.N.

Daz Piraquive

Principales estndares para la seguridad de la informacin IT

Alcances y consideraciones esenciales de los estndares ISO-IEC BS7799-IT, RFC2196, IT BASELINE, SSE-CMM y, ISO 27001 Flor Nancy Daz Piraquive
Economista de la Universidad Catlica de Colombia, especialista en Preparacin y Desarrollo de Proyectos y especialista en Gerencia de Proyectos de Sistemas de Informacin, de la Universidad Colegio Mayor de Nuestra Seora del Rosario; candidata a doctor en Sociedad de la Informacin y el Conocimiento de la Universidad Pontificia de Salamanca con sede en Madrid, Espaa. Larga experiencia en la empresa privada y pblica, adems de 20 aos en la docencia universitaria. fndiazp@telmex.net.co.

RESUMEN El actual entorno econmico y de competencia en el que se desenvuelven las empresas se caracteriza por el uso intensivo de la informacin y el conocimiento en las compaas, situacin que enmarca un nuevo contexto empresarial donde la realidad propicia la incorporacin de nuevas tecnologas de informacin y comunicaciones (TIC), lo que representa un cambio significativo para la organizacin. Dicho cambio hace necesaria una adecuada gestin de la informacin y el conocimiento, con el propsito de facilitar procesos asociados con la innovacin, el desarrollo de productos o servicios, la eficiencia en el uso de los recursos, la calidad y la toma de decisiones acertadas. Sin embargo, en el afn de ingresar en el nuevo entorno, las empresas se ven enfrentadas a mayores riesgos que son cada vez ms difciles de controlar. Por tanto, se han iniciado planes que garantizan una adecuada gestin de la informacin, por considerarse que sta forma parte de los activos fundamentales de las organizaciones, y se toma como base para disear la estrategia comercial y de competitividad en esta sociedad globalizada. Para garantizar el xito en la gestin de la informacin, se toman en cuenta los referentes que brindan los estndares para su seguridad. Con esto se espera que la informacin se proteja celosamente y se garantice la implantacin de las estrategias que propician la integridad, la confidencialidad y la disponibilidad de sta hacia los clientes.
Revista Eos No.2 Enero-abril de 2008

77

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Por lo anterior, en este artculo se realiza un estudio sobre los cinco principales estndares de seguridad de la informacin adoptados por las empresas, teniendo presente que stos cobijan todo tipo de organizacin (empresas, instituciones gubernamentales, organizaciones sin nimo de lucro, etc.). Entre otros aspectos, se describen el alcance de cada uno de los estndares, las consideraciones esenciales, la forma como facilitan la administracin, el apoyo en la definicin de polticas, la facilitacin para la adopcin de modelos de gestin y la ingeniera de seguridad que se debe contemplar para la gestin de los procesos de seguridad. Finalmente, se describir en una matriz la relacin que hay entre los cinco estndares tratados, con lo cual los directivos tendrn un parmetro ms para tomar decisiones de inversin alrededor del estndar que se va a implantar en los sistemas de gestin de seguridad de la informacin para la organizacin. Palabras claves: estndar, recomendacin, sistema de seguridad de informacin, sistema de gestin de seguridad, seguridad de la informacin.

Introduccin
La seguridad de la informacin se considera como la herramienta fundamental para implantar nuevas mejoras en las empresas, razn por la cual stas deben realizar un esfuerzo cada da mayor para optimizar su nivel de seguridad en este aspecto. La organizacin debe mejorar continuamente la eficacia del Sistema de Gestin del Sistema de Informacin (SGSI), mediante el establecimiento de polticas y objetivos de seguridad de la informacin, tomando en cuenta los resultados de las auditoras, anlisis de eventos, y acciones correctivas y preventivas de los mismos. De igual manera, deben establecer procedimientos argumentados para identificar documentos que ya no se requieran porque se actualizaron o porque se remplazaron por otros. En todo caso, entre las prioridades que hay que considerar en la seguridad de la informacin se cuentan la confidencialidad y la proteccin de los datos. Por la importancia que tiene la seguridad de la informacin en las organizaciones, y con el propsito de contrarrestar los intrusos maliciosos que ingresan en ella para hacer dao, se han identificado las mejores prcticas alrededor de la implantacin de estndares de seguridad de la informacin relacionados con ISOIEC BS7799-IT, RFC2196, IT Baseline, SSE-CMM e ISO 27001, los ms relevantes en seguridad de la informacin IT. En este artculo se abordarn los temas relacionados con el alcance de los cinco estndares mencionados anteriormente, considerados los ms usados para la gestin de la seguridad de la

Revista Eos No. 2 Enero-abril de 2008

78

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

informacin, al igual que algunas observaciones esenciales sobre stos, las formas de administracin, cmo definir polticas y adoptar modelos de gestin, y cul es la ingeniera de seguridad que se debe contemplar para la gestin de los procesos. Adicionalmente, se describir en una matriz la relacin que hay entre ellos.

Necesidad de la seguridad de la informacin

Seguridad de informacin es mucho ms que establecer firewalls, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bveda los backups. Seguridad de informacin es determinar qu hay que proteger y por qu, de qu se debe proteger y cmo protegerlo [1]. Antes de empezar a profundizar en los estndares de seguridad en la informacin, es muy importante establecer qu es la seguridad en la informacin; se escogi el anterior texto porque envuelve en una forma muy sencilla dicho concepto. La informacin de la empresa es uno de los activos ms valiosos y debe protegerse al mximo usando los estndares de seguridad de la informacin que existen y son pertinentes. Los riesgos de prdidas, hurtos o uso inadecuado de los datos pueden ocasionar daos representativos; dichos riesgos son latentes no slo desde medios externos sino que internamente pueden ser an ms vulnerables. Para esto se han definido estndares que ayudan a la seguridad, minimizan el riesgo de fugas, fraudes, uso indebido de informacin, etc. Segn la Citel1, el 35% de las empresas mencionan que el principal fraude detectado es el interno, el cual est directamente relacionado con la fuga de informacin [2]. El escenario que se tena anteriormente, en el cual los sistemas operaban de manera aislada o en redes privadas, ha sido sustituido por computadores personales que cada vez tienen mayor capacidad de procesamiento y almacenamiento de informacin; de la misma manera, las tecnologas convergentes y la difusin masiva del uso de internet incrementan los riesgos. Hoy en da el

Revista Eos No.2 Enero-abril de 2008

1.

Comisin Interamericana de las Telecomunicaciones.

79

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

mundo se encuentra cada vez ms interconectado, y esta interconexin se extiende a mayor escala a ritmos acelerados. Al mismo tiempo, internet forma parte de la infraestructura operativa de sectores estratgicos como energa, transportes y finanzas, y desempea un papel fundamental de modo tal que las empresas realizan sus transacciones comerciales, el gobierno proporciona servicios en lnea a los ciudadanos y a las empresas, y la manera en que los ciudadanos se comunican e intercambian informacin individualmente tambin contribuye a la generacin de riesgos reales y latentes. La naturaleza y el tipo de tecnologas que constituyen la infraestructura de la informacin y comunicaciones tambin han cambiado de manera significativa; el nmero y el tipo de dispositivos que integran la infraestructura de acceso se han multiplicado, incluyendo elementos de tecnologa fija, inalmbrica y mvil, as como tambin una proporcin creciente de accesos que estn conectados permanentemente. A consecuencia de todos estos cambios, la naturaleza, el volumen y la sensibilidad de la informacin que se intercambia a travs de esta infraestructura han incrementado de modo significativo la forma de pensar, en cuanto a la gestin de riesgos se refiere. Por lo anterior, se hace necesario el surgimiento de nuevos retos en materia de seguridad, motivo por el cual las empresas comienzan a aplican estndares de seguridad sobre la informacin orientados a todos los participantes de la nueva sociedad de la informacin, donde es inminente tener una mayor conciencia y entendimiento de los aspectos de seguridad, as como de la necesidad de desarrollar una cultura en torno a sta. Las siguientes razones han dado muestra a las empresas de la necesidad de contar con un estndar de seguridad:
Revista Eos No. 2 Enero-abril de 2008

Establecer un reglamento de prcticas favorables para la gestin de la seguridad. Establecer las especificaciones para la adopcin de un Sistema de Gestin de la Seguridad de la Informacin. Establecer un estndar de facto a nivel global, que se implemente en las entidades que administran la seguridad de la informacin.

80

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Establecer un conjunto de normas que se apliquen en cualquier entorno y sector, y que utilicen tecnologas de la informacin para lograr los objetivos propuestos. Mejorar los niveles de competitividad, optimizando la seguridad y el funcionamiento de la empresa. Promover servicios para que la empresa se incorpore ms fcil y eficientemente a la sociedad de la informacin.

Todas estas razones hacen indispensable contar con un sistema de gestin para garantizar la seguridad de la informacin en la empresa que quiera ser competitiva en el mercado, ya que los usuarios demandan que sus datos estn en un lugar seguro y, a su vez, que sean transferidos o difundidos por medios que garanticen el uso correcto para el cual estn hechos; cabe resaltar tambin que es importante generar un estndar de facto sobre el cual la empresa pueda converger y comunicarse en forma globalizada; el mundo podr hablar un mismo protocolo y la implementacin de estos procesos se mejorar cada vez ms con el aporte que puedan hacer las empresas de los sectores involucrados.

Alcances y aspectos esenciales de cada estndar tratado

Estndar Britnico ISO-IEC BS7799-IT [3] El Estndar Britnico ISO-IEC BS7799-IT es un cdigo aceptado internacionalmente en la prctica de la seguridad de la informacin. El estndar aplica un mtodo de cuatro fases para implementar una solucin de sistemas de administracin de seguridad de la informacin. Fase 1: evaluacin. Determinar la situacin de la seguridad actual y definir los requisitos para la seguridad de la informacin basada en un riesgo de negocio aceptable (deseada). Fase 2: diseo. Desarrollar un diseo de solucin de sistemas de administracin de seguridad de la informacin con recomendaciones especficas y un plan detallado para implementarla.

Revista Eos No.2 Enero-abril de 2008

81

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Fase 3: implementacin. Probar el diseo y desarrollar una configuracin de produccin estndar. Definir y documentar las directrices, estndares y procedimientos necesarios para implementar y administrar la solucin de una manera efectiva. Fase 4: administracin. Establecer una arquitectura bsica que sea posible de ampliar para proporcionar una plataforma de administracin con todas las caractersticas.

Adicionalmente, hay que tener en cuenta los parmetros que establece el estndar para desarrollar una directiva de seguridad de TI y garantizar que la seguridad se implementa y mantiene en toda la organizacin; para esto se deben incluir los objetivos de seguridad globales, un esquema del nivel global de la seguridad requerida, los estndares de seguridad, incluidas las estrategias de auditora y supervisin, y las definiciones de formacin y procesos para mantener la seguridad. El primer parmetro establecido por el estndar es desarrollar la directiva de seguridad de TI, en la cual se describen y analizan los objetivos que sobre seguridad de TI tiene explcitos la empresa. Entre los ejemplos de objetivos de seguridad que se pueden utilizar estn maximizar la confiabilidad, la calidad y la confidencialidad de la informacin; garantizar que la reputacin de la empresa no se ponga nunca en tela de juicio; mantener el valor de los recursos de tecnologa, la propiedad intelectual y la informacin; evitar y prevenir los daos a la informacin, los procesos y la propiedad, con lo que se garantizan las operaciones continuas en toda la empresa. Estos objetivos de seguridad generales se pueden aplicar a la mayora de las organizaciones. Los objetivos de seguridad especficos se deben crear de acuerdo con la estrategia de la organizacin y el equipo de administracin debe comunicarlos, junto con la importancia de la seguridad, a todos los miembros de sta. Para lograr el xito en la implantacin de la directiva de seguridad de IT, debe existir un comit de seguridad de TI, que como mnimo incluya las responsabilidades relacionadas con desarrollar, optimizar y crear el documento de directiva de seguridad; trabajar con el responsable de seguridad de la empresa; crear pro-

Revista Eos No. 2 Enero-abril de 2008

82

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

cesos para garantizar que se cumplen los objetivos de seguridad de TI; generar un proceso y un plan para implementar los estndares descritos en el documento de directiva de seguridad; promover la cultura de la seguridad; determinar el presupuesto y las necesidades de recursos. Otro parmetro que hay que tomar en cuenta dentro del estndar es definir el cargo de responsable de seguridad de la empresa, que se ocupa de garantizar que dicha seguridad tiene el nivel adecuado de respaldo ejecutivo, que la directiva se comprende claramente en todos los niveles de la organizacin y que se articula a stos. Hay que definir las necesidades de personal y, asegurarse de que todos los miembros de la organizacin adquieran el compromiso y la capacitacin necesarios para asumir la cultura de la seguridad. Muchas incursiones de seguridad se producen como consecuencia directa de una falta de formacin o una deficiencia en el proceso de implantacin.

Estndar RFC2196 [4] El Estndar RFC2196 es otro de los estndares usados en la prctica de la seguridad de la informacin. A continuacin se mencionan sus caractersticas y sus aspectos ms relevantes. Entre las caractersticas de la seguridad de la informacin, segn el RFC2196, se tienen las siguientes: se debe poder poner en prctica mediante procedimientos descritos de administracin de sistemas, publicacin de guas sobre el uso aceptable de los recursos informticos o por medio de otros mtodos prcticos apropiados; debe poder implantarse; debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad; tiene que detectar fugas o errores; debe definir claramente las reas de responsabilidad de los usuarios, administradores y direccin, y tener un responsable para toda situacin posible. Por otro lado, el RFC-2196 establece una serie de componentes incluidos en las polticas de seguridad. stos son: Guas de compras de tecnologa de la informacin. Especifica funciones de seguridad requeridas o preferiRevista Eos No.2 Enero-abril de 2008

83

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Revista Eos No. 2 Enero-abril de 2008

das. Estas polticas deben complementar cualquier otra poltica de compra de la organizacin. Poltica de privacidad. Determina las expectativas razonables de privacidad sobre temas relacionados con monitoreo de correos electrnicos, acceso a archivos y registro de teclados. Podra incluir tambin polticas acerca de registro, escucha y control de llamadas telefnicas, control de accesos a sitios web, uso de herramientas de mensajera instantnea, etc. Poltica de acceso. Define derechos o privilegios de acceso a activos o recursos de informacin protegidos. Especifica comportamientos aceptables para usuarios, empleados soporte y directivos. Debe incluir reglas respecto a las conexiones y accesos externos, as como reglas acerca de la comunicacin de datos, conexiones de dispositivos a las redes e inclusin de nuevas aplicaciones informticas en los sistemas existentes. Poltica de responsabilidad. Define las responsabilidades de usuarios, personal de mantenimiento y directivos. Debe especificar la capacidad de realizar auditoras y sus caractersticas, y proveer las guas para el registro y manejo de incidentes de seguridad. Poltica de autenticacin. Debe establecer los mecanismos de confianza mediante el uso de una poltica de contraseas apropiadas. Debe considerar, si aplica, polticas de autenticacin local y de acceso remoto. Declaracin de disponibilidad. Determina las expectativas de disponibilidad de los recursos de los sistemas e informacin. Con base en la disponibilidad necesaria, podrn establecerse mecanismos de redundancia y procedimientos de recuperacin. Poltica de mantenimiento de los sistemas relacionados con la tecnologa de la informacin. Describe cmo deber hacerse el mantenimiento realizado tanto por personal interno como externo a la organizacin. Debe establecerse si se admite o no algn tipo de mantenimiento remoto (por ejemplo, por internet o por mdem), y las reglas que aplican, as como los mecanismos internos de control.

84

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Poltica de informes de incidentes o violaciones de seguridad. Establece qu tipo de incidentes o violaciones de seguridad deben reportarse y a quin reportar. Para no generar un ambiente amenazante, puede considerarse la inclusin de reportes annimos, lo que seguramente redundar en una mayor probabilidad de que los incidentes sean efectivamente reportados. Informacin de apoyo. Proveer a los usuarios, empleados y directivos con informacin de contacto y de referencia para usarla ante incidentes de seguridad. En todos los casos, los aspectos legales deben tomarse en cuenta.

Estndar IT Baseline Protection Manual [5] El IT Baseline Protection Manual presenta un conjunto de recomendaciones de seguridad, establecidas por la Agencia Federal Alemana para la Seguridad en Tecnologa de la Informacin. Este estndar plantea en forma detallada aspectos de seguridad en mbitos relacionados con aspectos generales (organizacionales, gestin humana, criptografa, manejo de virus, entre otros); infraestructura, (edificaciones, redes wifi); sistemas (Windows, novell, unix); redes (cortafuegos, mdems), y aplicaciones (correo electrnico, manejo de la web, bases de datos, aplicativos)2.

Estndar SSE-CMM [6] Se fundamenta en la presentacin de una serie de actividades para desarrollar productos de software confiables y alcanzar un ciclo de vida para sistemas seguros. La propuesta se hace considerando que la ingeniera de seguridad no es una actividad que pueda desarrollarse de manera aislada de otras especialidades de la ingeniera, en especial de la ingeniera de sistemas y de software.

Revista Eos No.2 Enero-abril de 2008

2.

Disponible en http://www.bsi.bund.de/fehler/index.htm.

85

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

De todos los modelos presentados, ste es el que mayor relacin y adecuacin tiene respecto al desarrollo de productos de software seguros. SSE-CMM divide la ingeniera de seguridad en tres reas bsicas: riesgo, ingeniera y aseguramiento. Riesgo: busca identificar y priorizar los peligros asociados al desarrollo de productos o sistemas. Ingeniera: trabaja con otras disciplinas para implantar soluciones sobre los peligros identificados. En este caso, se relaciona con la ingeniera de software. Aseguramiento: tiene como objetivo certificar que las soluciones implementadas sean confiables.

El modelo se estructura en dos dimensiones: Dominios: conjunto de prcticas bsicas que definen la ingeniera de seguridad. Capacidades: se refiere a las prcticas genricas que determinan la administracin del proceso e institucionalizan la capacidad.

Estndar ISO 27001[7] Este es el nuevo estndar oficial. Su ttulo completo en realidad es BS 7799-2:2005 (ISO/IEC 27001:2005). Tambin fue preparado por el JTC 31 y en el subcomit SC 27, IT Security Techniques. La versin que se considerar en este texto es la primera edicin, de fecha 15 de octubre de 2005. Cerca de 1.870 organizaciones en 57 pases han reconocido la importancia y los beneficios de esta nueva norma. A fines de marzo de 2006, seis empresas espaolas poseen esta certificacin declarada. El conjunto de estndares que aportan informacin de la familia ISO-2700x que se puede tener en cuenta son:
Revista Eos No. 2 Enero-abril de 2008

ISO/IEC 27000 Fundamentals and vocabulary. ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005). Publicado el 15 de octubre del 2005.

3.

Comit Tcnico Conjunto.

86

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

ISO/IEC 27002 Code of practice for information security management. Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005. ISO/IEC 27003 ISMS implementation guidance (en desarrollo). ISO/IEC 27004 Information security management measurement (en desarrollo). ISO/IEC 27005 Information security risk management (basado en ISO/IEC 13335 MICTS Part 2 e incorporado a ste; en desarrollo).

El ISO-27001:2005 es el nico estndar aceptado internacionalmente para la administracin de la seguridad de la informacin y aplica a todo tipo de organizaciones, tanto por su tamao como por su actividad. Presentar al ISO-27001:2005 como estndar de facto genera la posibilidad de tener un estndar mejorado y ms robusto en el trayecto de la historia; los entes que aplican estos procedimientos para garantizar la seguridad e integridad de la informacin mejorarn considerablemente el estndar, luego de haber hecho las pruebas y haber tenido la experiencia. Los dems estndares establecidos, como el alemn, basado en el IT Baseline Protection Manual, y las recomendaciones de la IEFT con su RFC2196, constituyen solamente orientaciones y guas para usuarios que deseen implementar gestin en la seguridad de la informacin; sin embargo, queda demostrado que el estndar de ISO es el ms adoptado por las empresas porque es ms flexible y se acopla mejor a los procesos que normalmente se llevan a cabo en las organizaciones; ISO es el estndar de facto en la gerencia de la integridad de la informacin.

Estndares, administracin de seguridad de informacin y definicin de polticas

RFC2196 - Site Security Handbook La recomendacin del IETF4 conocida como la RFC2196 Site Security Handbook se estructur y compendi en el ao 1997. Esta
4. Internet Engineering Taks Force. Revista Eos No.2 Enero-abril de 2008

87

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

recomendacin es un esfuerzo por dar cuerpo a las iniciativas de seguridad en el entorno de sistemas de cmputo y sistemas de informacin, y se enfoca en generar un marco conceptual para definir de manera integrada un esquema de seguridad basado en polticas a todo nivel en los temas referentes al manejo de la informacin, entre los que se destacan hardware, software, datos, personal involucrado, documentacin y consumibles [8]. De acuerdo con este enfoque es importante sealar que todo parte de la conceptualizacin del anlisis de riesgo, donde es vital identificar dos aspectos: assets (activos). Hardware, software, red, informacin y personal, y riesgos (vulnerabilidades, debilidades). Los activos y los riesgos van de la mano a la hora de implantar las polticas de seguridad, ya que cada uno de los activos presentar sus propios riesgos, con lo cual estructurar un plan de seguridad tendr como base el estudio de las vulnerabilidades para cada uno de ellos. Al analizar el riesgo es importante tener una visin sistmica de los componentes de la infraestructura de informacin, para as poder articular una poltica coherente que lleve a la organizacin a plasmar un sistema de seguridad a la medida de sus actividades. Debe ser lo bastante consistente para responder a las necesidades y al mismo tiempo liviano para que no sea un obstculo en el normal desarrollo de las actividades de la empresa o institucin. La RFC2196 parte de esta premisa para que los responsables de las polticas de seguridad, en lo que respecta a las tecnologas de informacin (TI), tengan claro el alcance de la implantacin, con la estructura lgica que se presentar a continuacin. Definicin de objetivo. Se enfoca en la identificacin del plan de seguridad, partiendo de un esquema en el cual, identificadas las amenazas, se procede a asegurar el sistema. La respuesta a incidentes ser la parte fundamental, y separar los servicios a los cuales pueden o deben acceder los usuarios e identificar las necesidades para cada uno de ellos ayudarn a la estructuracin de los objetivos del sistema.

Revista Eos No. 2 Enero-abril de 2008

88

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Configuracin de servicios y red. La informacin es uno de los activos ms valiosos de las empresas. De tal manera que tener control y seguridad sobre sta se ha vuelto una necesidad imperativa en las organizaciones actuales. Investigaciones, procesos, documentos, listas de precios y dems informaciones relacionadas con la operacin de la empresa hacen que stas se diferencien en los mercados actuales, cada vez ms competitivos. Para ser ms competitivas, las empresas han tenido que integrarse y compenetrarse en un mundo globalizado, donde la informacin es el eje fundamental de las operaciones. Pero cmo integrarse y cmo tomar ventaja de la globalizacin? Un componente importante para tomar ventaja de esta realidad conlleva la integracin de operaciones a ese mundo globalizado a travs de las tecnologas de informacin y comunicacin. Dicho escenario plantea numerosos retos y es all donde la seguridad, al entrar en ese mundo virtual, toma relevancia especial ya que presupone exponer la informacin interna al mundo externo. La RFC2196 hace hincapi en los siguientes puntos con respecto a la conexin hacia redes externas [9]: proteger la infraestructura (hosts, servidores, equipos de comunicaciones, personal) y proteger los servicios (DNS, password key servers, mail, WWW Servers, FTP). Proteger la infraestructura conduce a que el encargado de implantar el esquema de seguridad se imponga el reto de definir los componentes necesarios para conseguir el aseguramiento en estos dos frentes. Proteger, en este contexto, es asegurar la operatividad de los componentes en caso de que algn evento o incidencia conduzca a su mal funcionamiento. Este tema es particular a cada organizacin, puesto que el analista de seguridad debe tomar en cuenta los costos asociados de tener elementos redundantes. Firewalls. Es comn encontrar falencias en lo que respecta a procesos de seguridad informtica (seguridad lgica) en las organizaciones. La mencionada recomendacin hace alusin a este punto cuando enfatiza en que la seguridad no puede finalmente circunscribirse a los elementos hardware dispuestos en la red para
Revista Eos No.2 Enero-abril de 2008

89

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

permitir o no el acceso a los recursos e informacin de las organizaciones. Los firewalls, entendidos como la infraestructura de red que garantiza un entorno de seguridad al interconectar redes, plasmarn las polticas que cada entorno en especfico requiera, de acuerdo con las necesidades. El manejo de la seguridad no puede recaer slo en estos elementos hardware/software y sus administradores. Los esquemas de seguridad soportados en firewalls estarn articulados dentro del sistema completo de seguridad. Sin perder de vista el objetivo general del sistema de seguridad, las polticas toman relevancia nuevamente en este sentido. No es slo el administrador de seguridad el responsable de mantener un ambiente seguro para la infraestructura tecnolgica en lo que atae al manejo de informacin. ste ser un esfuerzo continuo con todos los involucrados e interesados (stakeholders), esto es, mantener un ambiente seguro respetando las polticas que a nivel tcnico se implanten en la organizacin. Procedimientos y seguridad en servicios. La infraestructura de seguridad y el personal que hace uso de ella al acceder a la informacin dan forma a un esquema seguro cuando se articulan siguiendo procedimientos y procesos. Equipos, personal, polticas, procedimientos y procesos forman en s un sistema integrado de seguridad. El acceso de la informacin debe tener un esquema donde se puedan seguir ciertos procedimientos que han de estructurarse tomando como base las necesidades de la organizacin. Por otro lado, la RFC2196 hace hincapi en los siguientes procesos al momento de estructurar los procedimientos, teniendo como base los elementos que componen el sistema de informacin [10]: Autenticacin [11]. Este proceso est orientado a determinar si el solicitante del servicio o informacin es, de hecho, quien tiene derecho a usarla. Es decir, identificar que quien utilice las plataformas o los recursos sea quien dice ser. Autorizacin [12]. En este proceso se da permiso al solicitante de realizar o no acciones dentro de un sistema.

Revista Eos No. 2 Enero-abril de 2008

90

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Integridad y confidencialidad. Procesos que se encargan de asegurar que la informacin no sea alterada y que va a mantenerse en un entorno controlado para no difundir su contenido, en este orden. Acceso. Establecer los mecanismos por los cuales los solicitantes van a acceder a los recursos de informacin de la organizacin, ya sea desde el interior o desde el exterior. Auditora. Los procesos anteriores deben cobijarse mediante un procedimiento de auditora. Saber quin, en qu momento y cul fue la labor realizada sobre la informacin o sobre los sistemas, deber registrarse en algn sitio para tener control sobre los incidentes.

La RFC2196 contina con la descripcin de la estructura lgica, tratando el tema relacionado con la identificacin de incidentes. Cmo identificar que una situacin anmala es un incidente? Esta pregunta es importante, ya que dependiendo de los sntomas presentados en los subsistemas y en el entorno de la organizacin se puede determinar si el fenmeno presentado clasifica como incidente de seguridad. La recomendacin establece ciertos criterios para enmarcar los incidentes y as tener un plan de accin en caso de que ocurra [13]. As mismo, aconseja utilizar herramientas software especializadas para la deteccin de conductas anmalas de los usuarios de la red, ya sean internos o externos (Intrusion Detection Systems, IDS). Circunscribir el fenmeno e identificar su espectro de accin sern de gran ayuda para identificar si la situacin empeora o no, evaluar sus alcances y, sobre todo, seguir el plan de accin. Muchas veces los incidentes tienen una reaccin en cadena que a partir de una situacin anmala se convierten en verdaderos problemas que afectan a toda la organizacin. Manejo de incidentes. El esquema de seguridad se implanta con un objetivo primordial: evitar los problemas de seguridad de la informacin a travs de la implantacin de un sistema que incluya todos los activos involucrados en la organizacin. En
Revista Eos No.2 Enero-abril de 2008

91

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

caso de falla, el esquema deber responder de la mejor manera frente a los incidentes que afecten la informacin, minimizando su impacto. Teniendo como base esta premisa, el manejo de incidentes se debe preparar y planear para cumplir este objetivo. El manejo de incidentes de acuerdo con la RFC2196 presupone una etapa de preparacin y planeacin de incidentes. Prepararse en este contexto es orientar los esfuerzos de seguridad a implementar y fijar niveles de proteccin que involucren las polticas de seguridad establecidas, personal, infraestructura y procedimientos para evitar al mximo que los incidentes ocurran [14]. Conocer de antemano las vulnerabilidades del sistema ayudar a su correccin, retroalimentacin que resulta importante para mantener actualizados los procesos de seguridad y su continuidad en el tiempo. De igual manera, se recomienda priorizar las acciones que hay que tomar cuando se presenten incidentes que vulneren la seguridad [15]. Adicionalmente, en el momento de actuar se debe tener en cuenta seguir una secuencia de pasos lgicos que ayuden a restablecer las condiciones normales de operacin de la organizacin; para ello es importante, de acuerdo con la recomendacin, tener documentado el proceso que se debe seguir.

ISO-IEC 17799. Cdigo de Prcticas para el Manejo de Seguridad en Informacin Esta norma se estableci inicialmente en el entorno britnico. Sus comienzos se remontan al ao 1992 y su primera versin compendiada se public en 1995; en 1999 se hizo una revisin, producto de la cual la versin original se dividi en dos partes: la primera, denominada Code of Practice for Information Security Management, y la segunda, Especification for Information Security Management Systems. En este trabajo slo se hablar del primer documento, ya que ste sirvi como base para la norma ISO 1799. La norma britnica fue propuesta en el ao 2000 ante la ISO con algunos cambios y se present como la ISO/IEC 17799:2000. Este cdigo apunta a crear un marco de buenas prcticas para el manejo de seguridad de la informacin y su interoperatividad con los sistemas [16].

Revista Eos No. 2 Enero-abril de 2008

92

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

La ltima versin del BS7799:2005 se enfoca en tener un esquema estructurado, conocido como el PDCA (Plan-Do-Check-Act: Planear-Hacer-Chequear-Actuar). Este acercamiento a la realidad en los entornos institucionales y empresariales permite tener un enfoque estructurado a la hora de implantar un sistema de manejo de seguridad en la informacin. Esquema PDCA. Planear (plan) en este entorno significa definir polticas de seguridad y su alcance. Las polticas no podrn ser efectivas si no se articulan en torno a riesgos que deben evaluarse en la organizacin. Identificar y evaluar opciones para tratar esos riesgos y seleccionar para cada riesgo la mejor opcin de tratamiento son aspectos importantes durante la fase de planeacin sugerida por el estndar [17]. Ya en la parte de implementacin (DO) se deben formular los planes de tratamiento de riesgos y su implantacin. De igual manera, se ha de implementar el esquema de procedimiento de deteccin y respuesta a los incidentes, teniendo previamente un personal capacitado. Verificar y auditar (Check- Audit). Monitorear, revisar, probar y auditar cierran el ciclo de estructuracin de polticas contenidas dentro del manejo de incidencias de seguridad de informacin. En este esquema se requiere tener dentro de la organizacin personal responsable del esquema de seguridad, ya sea de tiempo completo o parcial. Ellos estarn a cargo de la implementacin y seguimiento de las polticas y procedimientos de seguridad. Sin una cabeza visible, la implementacin del sistema puede quedar a medias, ya que debe haber una visin general que tenga en cuenta los objetivos y el alcance de la implantacin del estndar. Estructura del estndar. Este estndar se enfoca en la identificacin de riesgo y su tratamiento para asegurar la confidencialidad, disponibilidad e integridad de la informacin. A partir de este objetivo se organiza la estructura del estndar, enfatizando en tener un marco conceptual que debe, en la medida de lo posible, llevarse a la prctica. De acuerdo con Rene Saint-Germain, en el Information Management Journal [18], las polticas de seguridad y su aplicabilidad

Revista Eos No.2 Enero-abril de 2008

93

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

dentro de la organizacin deben ir de un nivel organizacional a un nivel operacional. All enmarca el estndar en diez (10) esferas de accin (dominios), que estn estrechamente ligados a la organizacin donde ste se implante. Es importante la distribucin piramidal, pues depende de los directivos concientizarse sobre los potenciales efectos de las fallas en la seguridad de informacin. Partir de un enfoque gerencial donde se planean estrategias de seguridad e irlas traduciendo en temas a nivel tctico (operacionales) dar consistencia al modelo. Cabe destacar la importancia de las polticas de seguridad, que si bien es cierto estn en la cumbre, son los lineamientos que a nivel semntico deben quedar claros para llevarlos a la prctica a travs de toda la organizacin. La IEC17799 desarrolla estos temas con mayor amplitud para poder llevarlos a un entorno prctico.

Figura 1. Dominios del IEC17799.

Revista Eos No. 2 Enero-abril de 2008

Otro enfoque del estndar propuesto por Saad Haj Bakry en el International Journal of Network Management plantea integrar las diez reas donde trabaja la IEC 17799 con base en el enfoque Stope [19], el cual agrupa en las categoras de estrategia, tecnologa, organizacin, personal y entorno (Strategy, Technology, Organization , People, Environment) las reas de accin del

94

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

estndar. Esta iniciativa se apoya en el esquema Stope para darle ms aplicabilidad a nivel prctico y poder definir las fronteras de accin de cada una de las reas.

Figura 2. Enfoque Stope de la IEC17799.

Este enfoque pretende, a partir de las categoras, generar puntos de control para cada una de las actividades. Esto llevar, de acuerdo con el autor, a generar un checklist que pueda certificar que se cumplieron las metas de la implantacin del estndar. Para esto se apoya en una herramienta conceptual denominada Six-Sigma-Based [20]5, la cual bsicamente consiste en seguir un proceso lgico para la implantacin de la norma desde el punto de vista prctico.

System Security Engineering Capability Maturity Model (SSE-CMM) El SSE-CMM es, ms que un estndar, un modelo de referencia que no dicta normas estticas en lo que concierne a la seguridad en los ambientes de informacin y tecnologa (IT) que quie-

Revista Eos No.2 Enero-abril de 2008

5.

Define, Measure, Analyze, Improve, Control (DMAIC).

95

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

re enmarcar su radio de accin [21]. Este modelo es un esfuerzo multilateral dirigido por la Universidad de Carnegie Mellon en Estados Unidos. Debido a que su alcance no restringe a una prctica especifica en la implantacin de seguridad de la informacin, se manejan conceptos generales para entender el modelo. ste se basa en la definicin de conceptos como organizacin, proyecto, sistema, producto de trabajo, cliente, proceso, institucionalizacin, gerencia de proceso y capacidad de madurez del modelo (capability maturity model). Este ltimo concepto sirve para describir cmo, a travs del proceso de planeacin, implantacin y mejoras, el modelo se ajusta a cada situacin particular; es tratar de identificar qu tan maduro se encuentra el esquema planteado para la seguridad de informacin en la organizacin. El modelo se enfoca en la ingeniera de seguridad como marco para desarrollar un esquema confiable alrededor de la temtica de aseguramiento en entornos de informacin y tecnologa (IT). Por ello es importante mencionar el ciclo de vida de ingeniera de seguridad, de acuerdo con el modelo [22]. Concepto, desarrollo, produccin, utilizacin, soporte y retiro son etapas inherentes a las actividades que soportan el modelo mencionado. Como tal, la arquitectura del sistema se basa en tres macroprocesos: evaluacin de riesgo, ingeniera de seguridad y aseguramiento. Con ello se da forma a una matriz que pretende realizar un diagnstico y establecer qu grado de madurez tiene la estrategia de seguridad en una organizacin. En el eje X se analizan todas las actividades inherentes a ingeniera de seguridad, conocidas como las prcticas base (base practice). El modelo considera 129 prcticas que engloban el ejercicio de la ingeniera de seguridad y las divide en 22 procesos que agrupan las actividades (security engineering processes), siendo los primeros once procesos (security engineering processes) los ms relevantes y los que comnmente se analizan en este eje [23].

Revista Eos No. 2 Enero-abril de 2008

96

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Figura 3. Matriz de evaluacin de procesos.

En el eje Y se agrupan actividades que se pueden aplicar a cada uno de los procesos de ingeniera, llamadas prcticas genricas (generic practices). En este eje se articulan cinco niveles que son los que clasificaran la capacidad en cada uno de los aspectos de ingeniera de seguridad y gradan la manera como se llevan a cabo los procesos. La vista genrica de la matriz sera de la siguiente manera, de acuerdo con el documento que describe el modelo [24]:

Figura 4. Determinacin de la capacidad del sistema.

Vale la pena destacar que este modelo, a diferencia de los dems, trata de graduar cada uno de los aspectos importantes a la hora de implantar un esquema de seguridad en una organizacin. Describir, o tratar de medir en lo referente a madurez cada uno de los procesos, ayuda al diagnstico y al mejoramiento continuo del esquema elegido.

Revista Eos No.2 Enero-abril de 2008

97

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Igualmente, como lo anota John P. Hopkinson [25], la manera en la cual una organizacin lleva a cabo, controla, soporta y monitorea un proceso, determina qu tan maduro es el proceso y qu tan bien se va a llevar a cabo; por consiguiente, qu tan buenos y repetibles sern los resultados de ese proceso.

IT Baseline Protection Manual (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin) Los objetivos del estndar son asistir en forma rpida soluciones a problemas comunes en seguridad e identificar los riesgos de seguridad de TI. De la misma manera, define su alcance aduciendo que el IT Protection Manual contiene estndares de proteccin de seguridad de tecnologas de informacin e implanta conceptos de seguridad de IT, simplificando y economizando los recursos requeridos. El anlisis de la estructura de IT [26] provee los medios para la realizacin de un estudio preliminar, apuntando a la recoleccin de informacin que se necesitar despus, para preparar el concepto del IT baseline protection security. Esto se divide en las siguientes subtareas: preparar el plan de red, reducir la complejidad identificando recursos similares, recolectar informacin sobre los sistemas de IT, y captar informacin sobre las aplicaciones de IT y relacionarla con sta. Procesos de seguridad IT. La funcin primaria de la administracin de seguridad IT es preparar los conceptos de seguridad, los cuales son indispensables para la implantacin de los procesos. El procedimiento general se describe a continuacin:

Revista Eos No. 2 Enero-abril de 2008

98

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Figura 5. Descripcin del procedimiento de seguridad IT Baseline Protection Manual.

Evaluacin de requerimientos de proteccin. Para evaluar modelos de proteccin de la estructura de IT se requieren cuatro pasos por separado. El primero de todos es definir las categoras de requerimientos de proteccin. Comnmente, los escenarios de dao se emplean para determinar los requerimientos de proteccin de varias aplicaciones de IT. Modelo de proteccin IT Baseline. Se enfoca de acuerdo con un orden descendente, as: activos de IT, anlisis de la estructura de IT, evaluacin de los requerimientos de proteccin y modelamiento. De este ltimo se desprenden dos actividades: ejecutar el plan sobre los activos IT en uso y desarrollar el plan sobre los activos de IT planificados. Chequeo de seguridad bsica. El mdulo de proteccin de IT se utiliza como un plan de prueba para establecer, usando un objetivo frente a la actual comparacin, cul estndar para salvaguardar la seguridad ha sido efectivo y cul no se ha implementado efectivamente. Anlisis de seguridad suplementario. Un anlisis de seguridad de IT suplementario se debe entregar para

Revista Eos No.2 Enero-abril de 2008

99

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

puntos sensibles de la organizacin. Se pueden emplear varios mtodos, que incluyan anlisis del riesgo, pruebas de penetracin y anlisis diferencial de seguridad. Implementacin de modelo de proteccin de seguridad IT. Se destacan los siguientes pasos: examinar los resultados de la investigacin, consolidar los salvaguardas, preparar un estimado de costos y esfuerzos requeridos, determinar la secuencia de implementacin, asignar responsabilidades e implantar medidas de acompaamiento.

ISO 27001 Entre los objetivos primordiales del estndar se considera presentar un anlisis ISO/IEC para cualquier empresa que desee planificar e implementar una poltica de seguridad orientada a obtener una futura certificacin dentro de este estndar y conseguir como resultado final la evaluacin del riesgo (anlisis y valoracin) sobre las polticas empresariales de una organizacin. El alcance se concibe hasta proveer un modelo para el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI. La adopcin del modelo SGSI obedece a una decisin estratgica de la organizacin, pues el modelo est influenciado por sus necesidades y objetivos, as como por los requerimientos de seguridad, los procesos, el tamao y la estructura de la empresa. La dinmica que implica su aplicacin ocasionar en muchos casos la escala del modelo, por lo que se necesita una misma dinmica para las soluciones [27]. Los requerimientos de la ISO 27001 son aplicables a todas las organizaciones.
Revista Eos No. 2 Enero-abril de 2008

Modelo PHCA. Adoptado por la ISO/IEC 27001 [28]. Planear (establece el SGSI). Fija la poltica, objetivos, procesos y procedimientos del SGSI pertinentes para gestionar el riesgo y mejorar la seguridad de la informacin, con el fin de entregar resultados conforme a las polticas y objetivos generales de la organizacin.

100

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Hacer (implementar y operar el SGSI). Implementar y operar la poltica, controles, procesos y procedimientos del SGSI.

Figura 6. PHCA aplicado a los procesos de SGSI (Sistemas de Gestin de Seguridad de la Informacin).

Comprobar (monitorear y revisar el SGSI). Evaluar y, donde corresponda, medir el desempeo del proceso segn la poltica, objetivos y experiencia prctica del SGSI, e informar los resultados a la gerencia para su examen. Actuar (mantener y mejorar el SGSI). Tomar medidas correctivas y preventivas, basado en los resultados de la auditora interna del SGSI y el examen de la gerencia u otra informacin pertinente, para lograr el mejoramiento continuo del SGSI.

El modelo PHCA establece para el SGSI un procedimiento que tenga en cuenta la definicin del alcance de un enfoque sistemtico para identificar y evaluar el riesgo, definir poltica SGSI, identificar y evaluar opciones para el tratamiento del riesgo, seleccionar objetivos de control y controles, preparar un enunciado de aplicabilidad y obtener aprobacin de la gerencia. De la misma manera, para la implantacin y operacin del SGSI considera tener en cuenta el formular e implementar un

Revista Eos No.2 Enero-abril de 2008

101

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

plan de tratamiento del riesgo, aplicar todos los objetivos de control y los controles seleccionados, poner en prctica programas de entrenamiento y toma de conciencia, al igual que gestionar operaciones y recursos. Para monitorear y revisar el SGSI se recomienda ejecutar procedimientos de monitoreo, efectuar revisiones regulares de la eficacia del SGSI, revisar el nivel de riesgo residual y del riesgo aceptable, conducir las auditoras internas del SGSI y registrar todos los eventos que tienen un efecto en el desempeo del SGSI. Para mantener y mejorar el SGSI, se necesita implantar las mejoras identificadas, tomar apropiadas acciones correctivas y preventivas, comunicar los resultados a todas las partes interesadas y asegurar que las mejoras alcancen los objetivos deseados. En cuanto a documentacin, sta deber incluir los registros de las decisiones de la gerencia, asegurar que las acciones se deriven de las decisiones y polticas de los directivos, y que los resultados registrados sean reproducibles. Es importante poder demostrar que los controles seleccionados se relacionan con los resultados del proceso de evaluacin y tratamiento de riesgos, y con la poltica y objetivos del SGSI. Auditora interna del SGSI. La organizacin realizar auditoras internas al SGSI con intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continan de conformidad con esta norma y para analizar y planificar acciones de mejora. Ninguna persona podr auditar su propio trabajo, ni cualquier otro que guarde relacin con l. La responsabilidad y los requerimientos para el planeamiento y la conduccin de las actividades de auditora, los informes resultantes y el mantenimiento de los registros se definirn en un procedimiento. Administracin de las revisiones del SGSI. Las revisiones mencionadas en el punto anterior debern llevarse a cabo al menos una vez al ao para asegurar su vigencia, adecuacin y efectividad. Estas revisiones incluirn valoracin de oportunidades para mejorar o cambiar el SGSI, incluyendo la poltica de seguridad de la informacin y sus objetivos.

Revista Eos No. 2 Enero-abril de 2008

102

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Esta actividad est constituida por la revisin de entradas y salidas, y dar como resultado el documento correspondiente. Mejoras al SGSI. La organizacin deber mejorar continuamente la eficiencia del SGSI a travs del empleo de la poltica de seguridad de la informacin, sus objetivos, el resultado de las auditoras, el anlisis y la monitorizacin de eventos, las acciones preventivas y correctivas, y las revisiones de administracin. Acciones correctivas. La organizacin llevar a cabo acciones orientadas a eliminar las causas que no estn de conformidad con los requerimientos del SGSI para evitar la recurrencia de stos. Cada una de estas acciones correctivas se deber documentar [29]. Implantacin [30]. La implantacin considera seis fases, las cuales forman parte del plan concebido por el estndar de seguridad 27001. Para la elaboracin de comienzo a fin de la implantacin se requiere la participacin activa de diferentes reas de la empresa, entre las que se destacan: aseguramiento de ingresos, control y prevencin del fraude, seguridad de IT y facturacin. Despus de la definicin del alcance del sistema de gestin de seguridad de la informacin, se deben analizar los riesgos que involucran las posibles amenazas y vulnerabilidades de los sistemas de informacin y procesamiento. Es importante gestionar el riesgo desde el punto de vista organizacional, obteniendo en esta forma un fraude de aseguramiento requerido. Objetivos de control y controles [31]. Los objetivos de control, adems de la formulacin, requieren contemplar la poltica de seguridad identificada para ste, la organizacin relacionada con la seguridad de la informacin tanto interna como aquella que involucre terceros y la gestin del riesgo, con el propsito de tomar las acciones correspondientes en el momento indicado. As mismo, se debe contemplar la seguridad de los recursos humanos, la seguridad fsica y ambiental, y la gestin de comunicaciones y operaciones. Certificaciones [32]. La estructura de una entidad certificadora est regida fundamentalmente por el Foro Internacional
Revista Eos No.2 Enero-abril de 2008

103

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

de la Acreditacin (IAF)6, por la Cooperacin Europea para la Acreditacin (EA)7 y por las entidades de acreditacin (de Espaa y de Reino Unido). El principal objetivo es aplicar el sistema de certificacin a las empresas, mediante los procedimientos de validacin contemplados para ello; con este sistema se da constancia, por un perodo de tiempo determinado, de la conformidad de un producto respecto a los requisitos establecidos o previamente especificados. El certificado constituye una seal de aceptabilidad, que evita la necesidad de tener que demostrar constantemente las normas de seguridad de la empresa ante los clientes [33], y el modelo PHCA aplicado a los procesos de SGSI (Sistemas de Gestin de Seguridad de la Informacin) apoya el logro de los resultados de certificacin en las organizaciones.

Ingeniera de seguridad e implantacin en las empresas [34]

La implantacin de un sistema de seguridad de la informacin se basa en la metodologa ESA8, cuyo marco general establece el diseo de polticas, normas y procedimientos de seguridad con el fin de tener un posterior desarrollo de controles sobre la informacin de la empresa. Para el diseo de la ingeniera de seguridad de la informacin se deben desarrollar las siguientes etapas: Evaluacin de riesgos, amenazas y vulnerabilidades. En esta etapa se hace una identificacin cuidadosa de las amenazas frente a la vulnerabilidad y de los riesgos frente a las amenazas. Seguidamente se definen las razones por las cuales se debe aplicar un plan de seguridad y por ltimo se determina el estndar o medida de seguridad que se va a adoptar. Polticas de seguridad de la informacin. Con el objetivo de contar con una gua para la proteccin de la informacin de la empresa, se elaboran las polticas y estndares de seguridad de la informacin tomando

Revista Eos No. 2 Enero-abril de 2008 6. 7. 8.

International Forum of Accreditation. European Co-operation for Acreditation. Enterprise Security Architecture, disponible en http://www.symantec.com/errors/notfound.jsp.

104

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

en cuenta el estndar de seguridad de informacin ISO 17799, los requerimientos sobre riesgos de tecnologa de informacin y las normas establecidas en la compaa. Diseo de arquitectura de seguridad de red. Con el objetivo de controlar las conexiones de la red de la empresa y monitorear la actividad realizada con otras entidades externas a las cuales deba comunicarse, se elaborar una propuesta de arquitectura de red, la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspeccin de contenido. Plan de implementacin. De la identificacin de riesgos, amenazas y vulnerabilidades relacionadas con la seguridad de la informacin de la empresa, se logran identificar las actividades ms importantes que realizar la entidad, con el propsito de alinear las medidas de seguridad implantadas para proteger la informacin de la compaa, con las polticas de seguridad y estndares elaborados.

Este plan de alto nivel incluye una descripcin de la actividad que se va a llevar a cabo, las etapas incluidas en su desarrollo y el tiempo estimado de ejecucin.

Matriz de comparacin de los estndares estudiados

En la siguiente matriz se recogen los aspectos esenciales de cada uno de los estndares tratados en este artculo:
Tabla 1 Matriz de comparacin de aspectos esenciales entre los estndares estudiados
ISO-IEC BS7799IT Estndar No certificado RFC2196 IT BASE LINE SSE-CMM ISO 27001

Recomendacin Certificado No certificado

Estndar Certificado Internacional Revista Eos No.2 Enero-abril de 2008

Identifica activos informticos y vulnerabilidad Identifica recurso humano Se debe documentar Define claramente responsabilidades Establece, implanta, monitorea y mantiene sistemas de administracin de seguridad IT

105

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

De acuerdo con la consolidacin de los aspectos esenciales estudiados y resumidos en la matriz de comparacin, puede asegurarse que la implantacin de cualquiera de los cinco estndares garantiza la seguridad de la informacin, para lo cual se concibieron.

Conclusiones
La tendencia en materia de seguridad de la informacin ha hecho que las grandes empresas, tanto nacionales como multinacionales, inviertan cuantiosas sumas de dinero en asegurar adecuadamente la informacin; dicha inversin en seguridad se hace con el fin de garantizar el buen uso y seguridad de sta. Las empresas invierten cifras considerables y significativas no solo en la adecuacin de los sistemas, sino tambin en entrenamiento y educacin a los empleados, adoptando polticas serias que se transmiten a todo el personal para que cada miembro de la organizacin tome conciencia de la importancia que este tema tiene para la firma. A pesar de que las organizaciones y sus sistemas de informacin enfrentan amenazas de seguridad procedentes de variedad de fuentes, incluyendo fraudes asistidos por computador, espionaje, sabotaje, vandalismo incendios, inundaciones, cdigos maliciosos, ataques de piratera por computador o negacin de servicios, volvindose cada vez ms comunes, ms ambiciosas y ms sofisticadas de lo que podra imaginarse, stas no paran en su afn por disear estrategias que garanticen la seguridad de la informacin para mostrar una imagen de confiabilidad frente a sus clientes. Los estndares estudiados en este artculo permiten especificar, a las empresas que los adopten, los requisitos para establecer, implantar, operar, monitorear, revisar, mantener y mejorar el sistema de gestin de la seguridad de la informacin para la implementacin de controles de seguridad adaptados a la necesidad de la organizacin, o parte de ella, en relacin con el contexto y los riesgos identificados.

Revista Eos No. 2 Enero-abril de 2008

106

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

El uso de estndares, recomendaciones y acuerdos internacionales para prevenir los riesgos asociados con la seguridad de la informacin ha logrado mitigar en un porcentaje considerable la solucin a estos inconvenientes; sin embargo, la mitigacin slo llegar al 100% cuando se genere una cultura de seguridad de la informacin por parte de todos los funcionarios de las organizaciones. El estudio de los estndares puso de manifiesto que los mecanismos de control en un SGSI deben ser muy estrictos en su cumplimiento, ya que por medio de stos se llega a la implantacin efectiva del Sistema de Gestin de la Seguridad de la Informacin que certifica la calidad de sus productos o servicios. Las mejores prcticas alrededor de los estndares de seguridad de la informacin estudiados en este artculo pusieron de manifiesto que toda la organizacin debe sensibilizarse con respecto a la proteccin y seguridad de sus activos para que la implantacin del estndar seleccionado tenga xito y garantice la imagen corporativa ante los clientes. Puede observarse que los estndares se han elaborado para facilitar el diseo del modelo de gestin en el establecimiento, implantacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI. Por tanto, la adopcin de un SGSI debera ser una decisin estratgica para toda organizacin. De la misma manera, el diseo es influenciado por las necesidades, objetivos, requisitos de seguridad, procesos empleados, tamao y estructura de la organizacin. De la misma manera, los estndares pusieron de manifiesto que los sistemas de gestin de seguridad de la informacin estn orientados a establecer procedimientos que evitan los eventos clasificados como incidentes, garantizando la confiabilidad y seguridad en el manejo de la informacin El estudio evidenci tambin que las empresas deben cambiar sus sistemas tradicionales de gestin por la implantacin de un SGSI que cumpla con los estndares establecidos para tal fin.

Revista Eos No.2 Enero-abril de 2008

107

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

Por medio del anlisis de los estndares se pudo identificar que una empresa que obtiene la certificacin en su SGSI se considera cumplidora de la norma ISO 17799 y, por tanto, queda certificada con ISO 27001. Con la obtencin de dicha certificacin demuestra a sus socios que sus sistemas cumplen tanto con los estndares de la norma, como tambin con las exigencias de controles para la seguridad, los cuales se establecen segn sus propias necesidades.

Referencias
[1] Alberto, G.A. (2005). Pontificia Universidad Catlica del Per, Centro de Negocios Centrum. Implantacin del ISO 27001:2005, "Sistema de Seguridad de Informacin". [Documento pdf, pgina 9]. Consultado el 06-Abril-08 en http:/ / w w w. c e n t r u m . p u c p . e d u . p e / e x c e l e n c i a / e n s a y o s / Implantacion_del_ISO_27001_2005.pdf. [2] Citel (2007). Impactos de fraude para la prestacin de los servicios de telecomunicaciones para usuarios, operadores y estados. [Documento ppt]. Conferencia presentada el 21-Jun-07 en Citel. [3] The Source for Critical Information and Insight (IHS). [En lnea]. Consultado el 06-Abril-08 en http://uk.ihs.com/. [4] Network Working Group. Site Security Handbook. [En lnea]. Consultado el 06Abril-08 en http://www.ietf.org/rfc/rfc2196.txt. [5] Bundesamt fur Sicherit in der Informationstechnik. [En lnea]. Consultado el 06Abril-08 en http://www.bsi.bund.de/fehler/index.htm. [6] SSE-CMM, S.-C. Project (2003). Model Description Document, Systems Security Engineering Capability Maturity Model, p. 326. [7] ISO/IEC 17799:2005 (E). Information Technology-Security Techniques-Code of Practice for Information Security Management. Ginebra: International Standards Organization, pp. 1-10. [8] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering Task Force [En lnea, p. 4]. Consultado 06-Abril-08 en http://www.ietf.org/ rfc/rfc2196.txt. [9] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering Task Force [En lnea, p. 14]. Consultado 06-Abril-08 en http://www.ietf.org/ rfc/rfc2196.txt. [10] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering Task Force [En lnea, p. 23]. Consultado el 06-Abril-08 en http://www.ietf.org/ rfc/rfc2196.txt. [11] Search Security.com. The web's best security-specific information resorse for enterprise IT professionals. [En lnea]. Consultado el 06-Abril-08 en http:// searchsecurity.techtarget.com/sDefinition/0,,sid14_gci211621,00.html. [12] RFC2196. Search Security.com. Definitions [En lnea]. Consultada el 6-Abril-08 en http://searchsoftwarequality.techtarget.com/sDefinition/0,,sid92_ gci211622,00.html.

Revista Eos No. 2 Enero-abril de 2008

108

Principales estndares para la seguridad de la informacin IT | F.N. Daz Piraquive

[13] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering Task Force [En lnea, p. 49]. Consultado el 06-Abril-08 en http://www.ietf.org/ rfc/rfc2196.txt. [14] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering Task Force [En lnea, p. 39]. Consultado el 06-Abril-08 en http://www.ietf.org/ rfc/rfc2196.txt. [15] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering Task Force [En lnea, p. 40]. Consultado 06-Abril-08 en http://www.ietf.org/ rfc/rfc2196.txt. [16] Calder, A.(2005). IT Governance: A Manager's Guide to Data Security and BS 7799/ISO 17799. Londres: Kogan Page, Limited, p. 36. [17] Calder, A. (2005). IT Governance: A Manager's Guide to Data Security and BS 7799/ISO 17799. Londres: Kogan Page, Limited, p. 38. [18] Saint-Germain, R. Information Security Management Best Practice Based on ISO/IEC 17799. Londres, p. 60. [19] Using ISO 17799-2005 Information security management a Stope view with six sigma approach. International Journal of Network Management, p. 93. [20] Using ISO 17799-2005 Information security management a Stope view with six sigma approach. International Journal of Network Management, p. 93. [21] Security Engineering Capability Maturity Model (SSE-CMM). Model Description Document V3.0, p. 1. [22] Security Engineering Capability Maturity Model (SSE-CMM). Model Description Document V3.0, p. 31. [23] Security Engineering Capability Maturity Model (SSE-CMM). Model Description Document V3.0, p. 40. [24] Security Engineering Capability Maturity Model (SSE-CMM). Model Description Document V3.0, p. 61. [25] The Relationship between the SSE-CMM and it Security Guidance Documentation V2.0, p. 10. [26] IT Baseline Protection Manual, 2004, Federal Office for Information Security BSI (apartes traducidos al espaol: Flor Nancy Daz), pp. 29-47. [27] Corletti E.A. (2006). Documento Anlisis de ISO-27001:2050. Madrid. [28] Norma ISO27001:2005 versin en espaol. [29] Corletti E.A. (2006). Documento Anlisis de ISO-27001:2050. Madrid. [30] Nextel S.A. Sistemas de Gestin de Seguridad de la Informacin ISO 27001, p. 25. [31] Norma ISO27001: 2005 versin en espaol, pp. 19-33. [32] Nextel S.A. Sistemas de Gestin de Seguridad de la Informacin ISO 27001, pp. 61-64. [33] Organismo Certificador de Sistemas de Gestin de Calidad. Calidad y Competitividad Empresarial. [En lnea]. Consultada el 06-Abril-08 en http:// www.calidadycompetitividad.com/. [34] http://www-935.ibm.com/services/us/index.wss/itservice/so/a1000405.
Revista Eos No.2 Enero-abril de 2008

109