ESCUELA POLITÉCNICA NACIONAL

Transcripción

1 ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS PLAN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN EL ESTÁNDAR ISO APLICADO A UN CASO DE ESTUDIO. PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN VERÓNICA LUCIA CHAMORRO ALVARADO vchamorroalvarado@gmail.com DIRECTOR: ING. CARLOS MONTENEGRO Carlos.Montenegro@epn.edu.ec Quito, enero 2013

2 ii DECLARACIÓN Yo, Verónica Lucia Chamorro Alvarado, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentado para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedo mis derechos de propiedad intelectual correspondiente a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. Verónica Lucia Chamorro Alvarado

3 iii CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Verónica Lucia Chamorro Alvarado, bajo mi supervisión. Ing. Carlos Montenegro DIRECTOR DE PROYECTO

4 AGRADECIMIENTOS A ti por todo tu apoyo VERÓNICA CHAMORRO

5 DEDICATORIA A mi madre VERÓNICA CHAMORRO

6 Contenido 1 SEGURIDAD INFORMÁTICA ESTÁNDARES DE SEGURIDAD INFORMÁTICA SEGURIDAD INFORMÁTICA Confidencialidad Integridad Disponibilidad Autenticidad Valor de la Información AMENAZAS EN LA SEGURIDAD INFORMÁTICA Amenaza Tipos de amenazas La amenaza informática del futuro RIESGOS EN LA SEGURIDAD INFORMÁTICA Riesgo Riesgo e impacto Tipos de riesgo PRINCIPALES ESTÁNDARES DE SEGURIDAD INFORMÁTICA El Estándar ISO/IEC EL Estándar ISO/IEC 27001: BS :2006 Sistemas de Gestión de Seguridad de la Información - Parte 3: Guías para la gestión de riesgos de seguridad de la información DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN EL ESTÁNDAR ISO DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA Guía para la gestión de la seguridad de las TI según la ISO TR Gestión del riesgo de seguridad de la información según la ISO IEC 27005: Seguridad de la administración, operación y uso de redes de sistemas de información, y sus interconexiones según la ISO/IEC CONCEPTOS Y ASPECTOS FUNDAMENTALES DE UN PLAN DE SEGURIDAD INFORMÁTICA Elementos de seguridad Objetivos, Estrategias y Políticas de seguridad de la empresa Aspectos organizativos de la seguridad informática Gestión de la seguridad informática Análisis estratégico del riesgo Recomendaciones de seguridad TI Sistema de Políticas de seguridad TI Plan de seguridad TI Implementación de seguridades... 47

7 Importancia de la Seguridad del conocimiento Seguimiento PLAN DE SEGURIDAD DE LA INFORMACIÓN CONSIDERACIONES PARA EL DESARROLLO DE UN PLAN DE SEGURIDAD INFORMÁTICO ELABORACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA INTRODUCCIÓN ALCANCE DEL PLAN POLÍTICAS DE SEGURIDAD INFORMÁTICA ENFOQUE PARA LA GESTIÓN DEL RIESGO PROCESO DE CÁLCULO DE RIESGO Análisis de Riesgo Evaluación del riesgo ANÁLISIS DEL RIESGO Identificación de activos Identificación de requerimientos legales y comerciales Tasación de activos Identificación de amenazas y vulnerabilidades Cálculo de las Amenazas y Vulnerabilidades Análisis del Riesgo y su Evaluación Tratamiento del riesgo y el proceso de toma de decisión gerencial RIESGO RESIDUAL Seleccionar Objetivos de Control y Controles para el Tratamiento de Riesgos Preparación de la Declaración de Aplicabilidad Plan de Tratamiento del Riesgo Mantenimiento y Monitoreo del plan de seguridad de la información Revisión de los Riesgos y Evaluación VALIDACIÓN DEL PLAN DE SEGURIDAD EN UN CASO DE ESTUDIO DESCRIPCIÓN DEL CASO DE ESTUDIO SELECCIÓN DESCRIPCIÓN DE LA EMPRESA MISIÓN VISIÓN POLÍTICA DE CALIDAD VALORES-PRINCIPIOS ORGANIGRAMA APLICACIÓN DEL PLAN SITUACIÓN PREVIA DE LA SEGURIDAD INFORMÁTICA DEL CASO DE ESTUDIO... 77

8 3.2.2 ESTABLECIMIENTO DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN AL CASO DE ESTUDIO Alcance del plan de seguridad de la información Políticas del Plan de seguridad de la información Enfoque para la gestión del riesgo Aspectos a contemplar al efectuar el análisis del riesgo Riesgo Residual IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN AL CASO DE ESTUDIO Acuerdo de Confidencialidad Políticas de Seguridad Informática Asignación de Responsabilidades Uso Aceptable de los Activos de Información Inventario de Activos Instructivo para Etiquetado y Manejo de la Información Instructivo para Revisión de las Políticas de Seguridad Informática Registro de Compromiso de la Dirección con la Seguridad Informática Registro de Contacto con Grupos de Intereses Registro de Contacto con las Autoridades Registro de Revisión Independiente de la Seguridad Informática Registro de Seguimiento de las Políticas de Seguridad Informática ANÁLISIS DE RESULTADOS DEL CASO DE ESTUDIO CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES RECOMENDACIONES BIBLIOGRAFÍA ANEXOS CD ANEXO 1 ANALISIS PREVIO DE LA EMPRESA..CD

9 ÍNDICE DE TABLAS Tabla 1.1 Riesgo e impacto... 8 Tabla 2.1 Tasación de activos de información Tabla 2.2 Activos de Información y propietarios Tabla 2.3 Clasificación de amenazas Tabla 2.4 Escala de Likert Tabla 2.5 Método para el cálculo del riesgo Tabla 2.6 Escala de riesgo para evaluar significado del riesgo Tabla 2.7 Ejemplo de declaración de aplicabilidad de un proceso Tabla 3.1 Datos del caso de estudio Tabla 3.2 Situación previa de la Seguridad de la Información Tabla 3.3 Activos de Información y Propietarios Tabla 3.4 Tasación de activos de información Tabla 3.5 Activos de Información de Sistemas y Soporte Tabla 3.6 Amenazas y Vulnerabilidades Tabla 3.7 Escala de riesgo y su evaluación Tabla 3.8 Tratamiento del Riesgo Tabla 3.9 Estrategias de tratamiento del riesgo Tabla 3.10 Declaración de aplicabilidad Tabla 3.11 Comparación de la situación previa y actual de la seguridad de la información

10 ÍNDICE DE FIGURAS Ilustración 1.1 Amenazas para la Seguridad Informática... 6 Ilustración 1.2 Modelo PDCA aplicado a los procesos SGSI Ilustración 1.3 Modelo de procesos de gestión de riesgos de BS Ilustración 1.4 Modelo de procesos para la gestión de la Seguridad de la Información Ilustración 1.5 Proceso de análisis detallado de riesgos de ISO/IEC Ilustración 1.6 Proceso de gestión de riesgos de seguridad de la información de ISO/IEC 27005: Ilustración 1.7 Proceso General De Identificación Y Análisis Ilustración 1.8 Relación entre los elementos de seguridad Ilustración 2.1 Relación causa-efecto entre elementos del análisis de riesgo Ilustración 2.2 Proceso de toma de decisiones para el tratamiento del riesgo Ilustración 3.1 Organigrama... 76

11 INTRODUCCIÓN Aplicar un plan de seguridad informática es muy importante dado que en este se establecen las directrices principales para la gestión de la seguridad informática. En el capítulo 1 se describen los estándares de seguridad informática. Además se indican las directrices del estándar ISO IEC que serán utilizadas para realizar el plan de seguridad informática. En el capítulo 2 se realiza el plan de seguridad informática y las consideraciones que se deben tomar en cuenta para realizar dicho plan. En el capítulo 3 se realiza una validación del plan de seguridad de la información aplicado a un caso de estudio específico, al cual se lo describe, se evalúa y se analiza los resultados que se obtienen. En el capítulo 4 se da a conocer las conclusiones y recomendaciones del trabajo realizado.

12 RESUMEN El presente trabajo tiene como objetivo aplicar el estándar ISO para proponer un plan de seguridad de la información en un caso de estudio de una empresa mediana de Desarrollo de Software. El Plan de Seguridad de la Información es la definición de las políticas de seguridad informática y su alineación con la misión y visión de la empresa como se notó en este trabajo ya que las políticas son la parte medular de la seguridad de la información. Al obtener los resultados se pudo analizar cuáles son las políticas de seguridad que requieren más atención para que este plan se pueda implementar adecuadamente, el caso de estudio seleccionado permitió conocer las fortalezas y debilidades que existen en cuanto a la seguridad informática así como también que políticas se deben implementar para mejorar el nivel de seguridad de la información de las empresas de desarrollo software del Ecuador.

13 1 1 SEGURIDAD INFORMÁTICA 1.1 ESTÁNDARES DE SEGURIDAD INFORMÁTICA Actualmente, a consecuencia de los avances tecnológicos que las organizaciones tienen a su disposición y la cantidad de información que manejan, es necesaria que toda esta información sea tratada de la forma adecuada considerándola como uno de los activos de mayor valor para el progreso de la misma. Dado que el uso de Internet se encuentra en aumento, cada vez más organizaciones permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la organización necesitan protección para así controlar el acceso a los mismos y los permisos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la organización a través de Internet. Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la organización. La mayoría de las organizaciones de nuestro país no le dan la importancia que merece a la seguridad informática por lo que están expuestos a grandes riesgos, tales como pérdida y fuga de información confidencial, documentos adulterados, entre otras. Ser lo que soy, no es nada sin la seguridad William Shakespeare ( ) aplicándolo a nuestros días, en las organizaciones se puede afirmar que al igual que hace cientos de años era importante la seguridad más ahora que vivimos en un mundo globalizado; para que las organizaciones sean pioneras y competitivas deben asegurar su información SEGURIDAD INFORMÁTICA Antes de hablar sobre estándares de seguridad informática se debe tener claro que es y para qué sirve la seguridad informática, cuales sus campos de aplicación y sus ventajas. La seguridad informática se define como el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta

14 2 (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial. [1] La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema. Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a los distintos sistemas). [2] Entre las herramientas más usuales de la seguridad informática, se encuentran los programas antivirus, los cortafuegos o firewalls, la encriptación de la información y el uso de contraseñas (contraseñas). [2] Un sistema seguro debe ser íntegro (con información modificable sólo por las personas autorizadas), confidencial (los datos tienen que ser legibles únicamente para los usuarios autorizados), irrefutable (el usuario no debe poder negar las acciones que realizó) y tener buena disponibilidad (debe ser estable). De todas formas, como en la mayoría de los ámbitos de la seguridad, lo esencial sigue siendo la capacitación de los usuarios. Una persona que conoce cómo protegerse de las amenazas sabrá utilizar sus recursos de la mejor manera posible para evitar ataques o accidentes. [2] En base a las definiciones mencionadas se puede concluir que la Seguridad Informática se encarga de mantener la integridad, disponibilidad, control y autenticidad de los recursos informáticos tangibles e intangibles de una empresa u organización para cumplir sus propósitos, es decir, que no estén dañados o

15 3 alterados por circunstancias o factores tanto internos como externos. Además faculta a los usuarios para hacer un correcto uso de los medios a su disposición. Una vez que se ha definido la Seguridad Informática y notado su importancia para las organizaciones se debe conocer cuáles son los aspectos a tomar en cuenta en la Seguridad Informática CONFIDENCIALIDAD La confidencialidad ha sido definida por la Organización Internacional de Estandarización (ISO) en la norma ISO como: "garantizar que la información es accesible sólo para aquellos autorizados a tener acceso". Se debe proteger la información contra lecturas no autorizadas y que pueden ser utilizadas para inferir otros elementos de información confidencial Confidencialidad en Informática La confidencialidad se entiende en el ámbito de la seguridad informática, como la protección de datos y de información intercambiada entre un emisor y uno o más destinatarios frente a terceros. Esto debe hacerse independientemente de la seguridad del sistema de comunicación utilizado, de hecho un problema es garantizar la confidencialidad de la comunicación cuando el sistema es inherentemente inseguro (como Internet).[3] En un sistema que garantice la confidencialidad, un tercero que entra en posesión de la información intercambiada entre el remitente y el destinatario no es capaz de extraer cualquier contenido inteligible. Para garantizarla se utilizan mecanismos de cifrado y de ocultación de la comunicación. Digitalmente se puede mantener la confidencialidad de un documento con el uso de llaves asimétricas. Los mecanismos de cifrado garantizan la confidencialidad durante el tiempo necesario para descifrar el mensaje. Por esta razón, es necesario determinar durante cuánto tiempo el mensaje debe seguir siendo confidencial. No existe ningún mecanismo de seguridad absolutamente seguro Información confidencial Para las organizaciones, la tecnología Web se ha convertido en una forma de distribuir información con gran sencillez, tanto internamente, a sus propios

16 4 miembros, como de manera externa, a sus socios en todo el mundo. Esta información confidencial es un blanco atractivo para sus competidores y enemigos INTEGRIDAD Es necesario proteger la información mediante medios de respaldo, documentación, transito de red, etc., contra modificaciones sin permiso las cuales pueden ser producidas por errores de hardware, software y/o personas, de forma intencional o accidental DISPONIBILIDAD Se refiere a la continuidad operativa de la organización, la pérdida de disponibilidad puede implicar, la pérdida de productividad o de credibilidad de la organización. El sistema contiene información o proporciona servicios que deben estar disponibles a tiempo para satisfacer requisitos o evitar pérdidas importantes, como sistemas esenciales de seguridad y protección de la vida AUTENTICIDAD La autenticidad consiste en la confirmación de la identidad de quien hace uso de los recursos; es decir, la garantía para cada una de las partes son realmente quien dicen ser. Un control de acceso permite (por ejemplo gracias a una contraseña codificada) garantizar el acceso a recursos únicamente a los usuarios autorizados VALOR DE LA INFORMACIÓN Considerando la continuidad de la organización, lo mas critico que debería protegerse son los datos (la información). La información constituye un recurso que en muchos casos no se valora adecuadamente debido a su intangibilidad. Toda organización está expuesta a riesgos y peligros que la hacen vulnerable a sabotajes.

17 AMENAZAS EN LA SEGURIDAD INFORMÁTICA AMENAZA Se considera amenaza a cualquier evento que pueda provocar daños en los sistemas de información, produciendo a la empresa pérdidas materiales o financieras. Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía se debe tener en cuenta amenazas "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización por ejemplo mediante estructura de redes (en el caso de las comunicaciones).[4] Estos fenómenos pueden ser causados por: El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito). Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, entre otras.). Un siniestro (robo, incendio, inundación): una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos. El personal interno de sistemas: Las luchas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática. En la Ilustración 1.1 se muestra un resumen de las amenazas de seguridad.

18 6 Amenazas de la Seguridad Humanas Desastres Naturales Maliciosas No Maliciosas Incendios Inundaciones Terremotos Externas (hakers) Internas (Empleados inconformes) Empleados Ignorantes TIPOS DE AMENAZAS Ilustración 1.1 Amenazas para la Seguridad Informática Fuente: Varios Autores El hecho de conectar una red a un entorno externo nos da la posibilidad de sufrir un ataque, robo de información o alteración del funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la misma. De acuerdo con el Instituto de Seguridad Informática (CSI) de San Francisco aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados dentro de la misma. Basado en esto podemos decir que existen dos tipos de amenazas detalladas a continuación Amenazas internas Generalmente estas amenazas pueden ser más serias que las externas por varias razones como son: Los usuarios conocen la red y saben cómo es su funcionamiento.

19 7 Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo. Los IPS y Firewalls son mecanismos no efectivos en amenazas internas. Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las organizaciones a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar perdidas para la empresa de millones de dólares Amenazas externa Son aquellas amenazas que se originan del exterior de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos LA AMENAZA INFORMÁTICA DEL FUTURO Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnológicas ahora las tendencias cibercriminales indican que la nueva modalidad es manipular los significados de la información digital. El área semántica, era reservada para los humanos, se convirtió ahora en el núcleo de los ataques debido a la evolución de la Web 2.0 y las redes sociales, factores que llevaron al nacimiento de la generación 3.0. Se puede afirmar que la Web 3.0 otorga contenidos y significados de manera tal que pueden ser comprendidos por las computadoras, las cuales por medio de técnicas de inteligencia artificial son capaces de emular y mejorar la obtención de conocimiento, hasta el momento reservada a las personas. [1]

20 RIESGOS EN LA SEGURIDAD INFORMÁTICA RIESGO Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. El riesgo es una media de las posibilidades del incumplimiento o exceso del objetivo planeado. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas. En informática el riesgo solo tiene que ver con la amenaza que la información puede sufrir, determinando el grado de exposición y la pérdida de la misma. La ISO (Organización Internacional de Estándares) define el riesgo informático como: La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente en un activo o grupos de activos, generándose así pérdidas o daños. [6] Riesgo = vulnerabilidades * amenazas Si no hay amenazas no hay riesgo Si no hay vulnerabilidades no hay riesgo RIESGO E IMPACTO En la actualidad los riesgos informáticos pueden ser por distintas causas, como defectos tecnológicos, negligencia por parte de los usuarios, desastres naturales entre otros, los cuales se muestran en la Tabla 1.1 con los respectivos impactos que producen en las organizaciones. [6] Riesgo Robo de hardware Robo de información Vandalismo Fallas en los equipos Virus Informáticos Equivocaciones Impacto Alto Alto Medio Medio Medio Medio Accesos no autorizados Medio Fraude Fuego Terremotos Bajo Tabla 1.1 Riesgo e impacto Fuente: Varios Autores Muy Bajo Muy Bajo

21 TIPOS DE RIESGO Ataques híbridos Son ataques en los que se mezclan más de una técnica: DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones, entre otras. Suelen ser de muy rápida propagación y siempre se basan en alguna vulnerabilidad de algún sistema. Por ejemplo los gusanos Blaster, Sasser, o Slammer, Buffer Overflows, escaneado de direcciones, transmisión vía Internet, y mimetización en los sistemas, se propagaron por todo el planeta en cuestión de pocas horas gracias a una mezcla de técnicas de uso de vulnerabilidad Ingeniería social Son ataques en los que se intenta engañar a algún usuario para hacerle creer como cierto algo que no lo es. Como el ejemplo que se muestra a continuación: Buenos días, es la secretaria del Director del Departamento? Si dígame, que desea? Soy Pedro, técnico informático del Centro de Apoyo a Usuarios y me han informado para reparar un virus del ordenador del director pero la clave que me han indicado para entrar no es correcta, podría ayudarme, por favor? [9] Otros ataques de este tipo son: Farming, SPAM, Pishing, a los cajeros automáticos, entre otras PRINCIPALES ESTÁNDARES DE SEGURIDAD INFORMÁTICA Dentro de cada una de las organizaciones que tengan su operatividad basada en tecnologías de la información, es recomendable implementar buenas prácticas de seguridad informática, ya que en la mayoría de casos en que no se sigue un proceso de implementación adecuado, se pueden generar vulnerabilidades que aumenten la posibilidad de riesgos en la información. Para el efecto, se crean normas y estándares internacionales de alto nivel para la administración de la seguridad informática como son: la BS 7799, la ISO y la ISO/IEC 27001, entre otras EL ESTÁNDAR ISO/IEC ISO/IEC denominada también como ISO es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000

22 10 por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional en el año 2000, con el título de Técnicas de Seguridad: Código de buenas prácticas para la gestión de seguridad de la información. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC tiene su origen en el Estándar Británico BS que fue publicado por primera vez en Directrices del estándar ISO/IEC ISO/IEC proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)". La versión de 2005 del estándar incluye las siguientes once secciones principales: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica de

23 11 la misma forma una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades EL ESTÁNDAR ISO/IEC 27001:2005 El Estándar Internacional ISO/IEC 27001:2005 ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. Según el Estándar la adopción de un SGSI para una organización debe realizarse como parte de las decisiones estratégicas, para lo cual es necesario el compromiso de la gerencia para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejoramiento del SGSI. [1] El Estándar toma el modelo de procesos Planear Hacer Chequear Actuar (PDCA) que se muestra en la Ilustración 1.2. Partes Interesadas Mantener y mejorar el SGI Planear Establecer el SGSI Partes Interesadas Requerimientos y expectativas de la seguridad de la información Actuar Monitoriar y revisar el SGSI Desarrollar, mantener y mejorar el ciclo Chequear Implementar y operar el SGSI Hacer Ilustración 1.2 Modelo PDCA aplicado a los procesos SGSI Fuente: Estàndar ISO/IEC 27000: 2005 Seguridad de la información manejada También el Estándar utiliza los Lineamientos OECD19 que se aplican a las políticas para la seguridad de los Sistemas y Redes de Información. Estos principios son: Conciencia, Responsabilidad, Respuesta, Evaluación del Riesgo, Diseño e Implementación de la Seguridad, Gestión de la Seguridad y Reevaluación. Para la aplicación de este Estándar se necesita a su vez el estándar ISO/IEC 17799:2005 que es el Código de Práctica para la Gestión de la Seguridad de la

24 12 Información, el cual contiene un conjunto de objetivos de control y controles para desarrollar estándares de seguridad organizacional y prácticas de seguridad efectivas Beneficios El hecho de certificar un SGSI según la norma ISO/IEC puede aportar las siguientes ventajas a la organización[12]: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de la organización con la seguridad de la información. El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones que simplemente cumplen la norma ISO/IEC o las recomendaciones de la norma del código profesional, ISO/IEC no logran estas ventajas Implantación La implantación de ISO/IEC en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (por ejemplo, en España la conocida

25 13 LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC BS :2006 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN - PARTE 3: GUÍAS PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Se definió para soportar la implantación de Sistemas de Gestión de Seguridad de la Información basados en el estándar ISO/IEC 27001:2005 [BS ] [IS ]. Los principales procesos de análisis de riesgos que define son: o Identificación de activos. o Identificación de requerimientos legales y de negocio relevantes para los activos identificados. o Valoración de los activos teniendo en cuenta los requerimientos identificados y el impacto resultante de la pérdida de confidencialidad, integridad o disponibilidad. o Identificación de amenazas y vulnerabilidades relevantes para los activos identificados. o Valoración de la posibilidad de que ocurran las amenazas y vulnerabilidades. Evaluación de riesgos: o Calculo de riesgos o Evaluación de los riesgos teniendo en cuenta una escala de riesgos. Tratamiento de riesgos y decisiones de la dirección. o Determinación de la estrategia de gestión de los riesgos: Reducir Aceptar Transferir Evitar o Evaluación del riesgo residual

26 14 o Definición del plan de tratamiento de riesgos Actividades de gestión continuo del riesgo: o Mantenimiento y monitorización. o Revisiones de la dirección, o Revisiones y reevaluaciones de riesgos, o Auditorías. o Controles de documentación, o Acciones correctivas y preventivas, o Reporting y comunicaciones Los procesos propuestos para la gestión del riesgo definen un ciclo iterativo que se puede comprobar en la Ilustración 1.3. Actividades de gestión continúa de riesgos Mantener y mejorar los controles de riesgos Valoración de riesgos Monitorizar y revisar los riegos Valorar y evacuar los riesgos Seleccionar, implementar y operar controles para tratar los riesgos Tratamiento de riesgos y decisiones de dirección Ilustración 1.3 Modelo de procesos de gestión de riesgos de BS Fuente: Norma BS : DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN EL ESTÁNDAR ISO La ISO (Organización Internacional de Normalización) y el ICE (La Comisión Electrotécnica Internacional) forman el sistema especializado para el desarrollo de

27 15 las Normas Internacionales, a través de comités técnicos establecidos para hacer frente a determinados campos de la actividad técnica. Además en circunstancias excepcionales, una comisión técnica podrá proponer la publicación de un Informe Técnico de uno de los siguientes tipos: Tipo 1, cuando el apoyo necesario no se puede obtener por la publicación de una norma internacional, a pesar de los varios esfuerzos. Tipo 2, cuando el tema esté todavía en desarrollo técnico requiriendo una explicación detallada, o cuando por cualquier razón es el futuro, pero no una posibilidad inmediata de un acuerdo sobre una norma internacional. Tipo 3, cuando la comisión técnica ha recogido datos diferentes de los que normalmente se publican en un estándar internacional ("estado del arte", por ejemplo). Los informes técnicos de los tipos 1 y 2 están sujetos a revisión dentro de tres años posterior a la publicación, para decidir si se puede transformar en normas internacionales. Los informes técnicos del tipo 3 no necesariamente tienen que ser revisados, hasta que los datos que proporcionan son considerados como no válidos o inútiles. El propósito del ISO / IEC TR es proporcionar una guía, no soluciones, en aspectos de gestión de la seguridad informática. Los individuos dentro de una organización que son responsables de la seguridad de TI deben ser capaces de adaptar el material de este informe para satisfacer sus necesidades específicas. Sus principales objetivos son: Definir y describir los conceptos relacionados con la gestión de la seguridad informática Identificar las relaciones entre la seguridad de la gestión de las TI y la gestión de las TI en general Presentar varios modelos que se pueden utilizar para explicar la seguridad de TI Proporcionar una orientación general sobre la gestión de la seguridad informática. El documento se articula en las siguientes cinco partes:

28 16 ISO / IEC TR se compone de las siguientes partes, bajo el título de la tecnología de información general - Directrices para la gestión de la seguridad informática: Parte 1: Conceptos y modelos para la seguridad de las Tecnologías de la Información. (Publicada en 2004) [ISO ] Parte 2: Planificación y gestión de la seguridad de las Tecnologías de la Información. (Publicada en 1997, ha quedado obsoleta por la publicación de la última versión de la parte 1) [ISO ] Parte 3: Técnicas para la gestión de la seguridad de las Tecnologías de la Información. (Publicada en 1998, ha quedado obsoleta por la publicación de la norma ISO/IEC 27005:2008) [ISO ] Parte 4: Selección de salvaguardas. (Publicada en 2000, ha quedado obsoleta por la publicación de la norma ISO/IEC 27005:2008) [ISO ] Parte 5: Salvaguardas para conexiones externas. (Publicada en 2001, ha quedado obsoleta por la publicación de la norma ISO/IEC :2006) [ISO ][10] DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA GUÍA PARA LA GESTIÓN DE LA SEGURIDAD DE LAS TI SEGÚN LA ISO TR El modelo de procesos propuesto por el informe técnico ISO/IEC para la gestión de la Seguridad de la Información se resume en la Ilustración 1.4.

29 17 Política, estrategia y objetivos de seguridad de TI Objetivos y estrategias de seguridad de TI Política corporativa de Seguridad de TI Opciones de estrategia corporativa de análisis de riesgos Enfoque de Referencia Enfoque Informal Enfoque Detallado Enfoque Combinado Opciones de estrategia corporativa de análisis de riesgos Análisis de riesgos de alto nivel Análisis de riesgos detallado Enfoque de referencia Selección de salvaguardias Aceptación de riesgos Políticas de Seguridad de Sistemas de TI Plan de seguridad de TI Implementación de Salvaguardas Implementación del plan de seguridad TI Concienciación de seguridad Aprobación del Sistema TI Formación de seguridad Seguimiento Revisión de cumplimiento de seguridad Mantenimiento Gestión de cambios Monitoreo Gestión de Incidentes Ilustración 1.4 Modelo de procesos para la gestión de la Seguridad de la Información Fuente: ISO/IEC 13335

30 18 Los procesos de gestión de seguridad de la información incluyen el proceso de análisis detallado de riesgos, que se describe en la Ilustración 1.5. Análisis de riesgos Establecimiento del alcance de la revisión Identificación de activos Valoración de activos Establecimiento de dependencias Valoración de amenazas Valoración de vulnerabilidades Enfoque combinado Valoración de riesgos Selección de salvaguardas NO Identificación/revisió n de restricciones SI Aceptación de riesgos Política de seguridad de sistemas Plan de seguridad de TI Ilustración 1.5 Proceso de análisis detallado de riesgos de ISO/IEC Fuente: ISO/IEC GESTIÓN DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN SEGÚN LA ISO IEC 27005:2008 La norma ISO/IEC 27005:2008 está basada en los informes técnicos ISO/IEC TR :1998 [ISO ] e ISO/IEC TR :2000 [ISO ]. El proceso de gestión de riesgos se describe de la siguiente manera: Establecimiento del contexto, en el que se definen los objetivos, el alcance y la organización, para todo el proceso.

31 19 Valoración de riesgos, en el que se obtiene toda la información necesaria para conocer, valorar y priorizar los riesgos. Se divide en tres partes: 1. Identificación de riesgos, que consiste en determinar qué puede provocar pérdidas a la organización. 2. Estimación de riesgos, que consiste en utilizar métodos cuantitativos o cualitativos para obtener una cuantificación de los riesgos identificados, teniendo en cuenta los activos, las amenazas y las salvaguardas. 3. Evaluación de riesgos, que consiste en comparar los riesgos estimados con los criterios de evaluación y de aceptación de riesgos definidos en el establecimiento del contexto. Tratamiento de riesgos, en el que se define la estrategia para abordar cada uno de los riesgos valorados: reducción, aceptación, evitación o transferencia. Aceptación de riesgos, en el que se determinan los riesgos que se decide aceptar, y la justificación correspondiente a cada riesgo aceptado. Comunicación de riesgos, en la que todos los grupos de interés intercambian información sobre los riesgos. Monitorización y revisión de riesgos, en la que el análisis de riesgos se actualiza con todos los cambios internos o externos que afectan a la valoración de los riesgos. El proceso de gestión de riesgos definido por la norma ISO/IEC 27005:2008 puede resumirse en la Ilustración 1.6.

32 20 Establecimiento del contexto Comunicación de riesgos Valoración de riesgos Análisis de riesgos Identificación de riesgos Estimación de riesgos Evaluación de riesgos Valoración satisfactoria Tratamiento de riesgos Monitorización y revisión de riesgos Tratamiento satisfactorio Aceptación de riesgos Ilustración 1.6 Proceso de gestión de riesgos de seguridad de la información de ISO/IEC 27005:2008 Fuente: ISO/IEC 27005: SEGURIDAD DE LA ADMINISTRACIÓN, OPERACIÓN Y USO DE REDES DE SISTEMAS DE INFORMACIÓN, Y SUS INTERCONEXIONES SEGÚN LA ISO/IEC El propósito de ISO/IEC es proporcionar una guía detallada sobre los aspectos de seguridad de la administración, operación y uso de redes de sistemas de información, y sus interconexiones. La norma ISO / IEC es la referencia para definir, orientar y describir los conceptos asociados con la gestión de la seguridad de redes, incluida la forma de identificar y analizar las comunicaciones relacionadas con factores que deben tenerse en cuenta para establecer los requisitos de seguridad de red, con una introducción a las áreas de

33 21 control posibles y las áreas técnicas específicas (que se aborda en las diferentes partes de la norma ISO/IEC 18028). La norma ISO / IEC es relevante para cualquier persona involucrada en la posesión, explotación o uso de una red, incluyendo a los altos directivos, además de los gerentes y administradores que tienen responsabilidades específicas para la seguridad de la información. El documento ISO/IEC tiene las siguientes referencias de otras normas: ISO / IEC :2005, Tecnologías de la información- Técnicas de seguridad- La seguridad informática de la red- Parte 2: Arquitectura de seguridad de red. ISO / IEC :2005, Tecnologías de la información- Técnicas de seguridad- La seguridad informática de la red- Parte 3: Asegurar las comunicaciones entre redes que utilizan Gateway de seguridad. ISO / IEC :2005, Tecnologías de la información- Técnicas de seguridad- La seguridad informática de la red- Parte 4: Asegurar el acceso remoto. ISO / IEC :2006, Tecnologías de la información- Técnicas de seguridad- La seguridad informática de la red- Parte 5: Asegurar las comunicaciones a través de redes con VPN ISO / IEC :2004, Tecnologías de la información- Técnicas de seguridad- Gestión de la información y la seguridad de la tecnología de comunicaciones- Parte 1: Conceptos y modelos de información y tecnología de gestión de seguridad de las comunicaciones. ISO / IEC 17799:2005, Tecnología de la información- Técnicas de seguridad- Código de prácticas para gestión de seguridad de tecnologías de la información. ISO / IEC 18044:2004,- Técnicas de seguridad- Seguridad de la información de gestión de incidentes. ISO / IEC 18043:2006, Tecnología de la información- Técnicas de seguridad- Selección, despliegue y operaciones de sistemas de detección de intrusos. La norma tiene un proceso general de identificación y análisis de los factores relacionados con las comunicaciones que se debe tener en cuenta para establecer los requisitos de seguridad y control de red. La Ilustración 1.7 muestra los pasos de este proceso.

34 Ilustración 1.7 Proceso general de identificación y Análisis Fuente: ISO / IEC 18043:

35 23 En la Ilustración 1.7 las líneas de color negro solido representan el camino principal del proceso, y la línea de puntos negro indica donde los tipos de riesgo para la seguridad pueden ser determinados con la ayuda de una evaluación de riesgos y sus resultados CONCEPTOS Y ASPECTOS FUNDAMENTALES DE UN PLAN DE SEGURIDAD INFORMÁTICA ELEMENTOS DE SEGURIDAD Las organización debe definir los elementos de seguridad que se apliquen a su caso, a continuación se describen los elementos de seguridad Principios de Seguridad Los siguientes principios de alto nivel de seguridad son fundamentales para el establecimiento de un eficaz programa de Seguridad de TI La gestión del riesgo Los activos de la empresa deben ser protegidos mediante la adopción de garantías. Las garantías deben ser seleccionadas y gestionadas sobre la base de una adecuada metodología de gestión del riesgo, que evalúe a la organización, los bienes, las amenazas, las vulnerabilidades y el impacto que producen las amenazas, para atender los riesgos y tomar en cuenta las limitaciones Compromiso Se debe especificar los beneficios que obtendrá la empresa al comprometerse con la implementación de seguridad de TI Funciones y responsabilidades Los roles y responsabilidades para la seguridad de TI deben ser claramente comunicadas Objetivos, estrategias y políticas Los riesgos para la seguridad de TI deben ser manejados considerando los objetivos, estrategias y políticas de la organización.

36 Activos En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC :2004]: Se debe determinar los activos como cualquier cosa que tiene valor para la organización Bienes La gestión adecuada de los activos es vital para el éxito de la organización, y es una de las principales responsabilidad de todos los niveles de gestión. Los activos de una organización puede ser considerada lo suficientemente valioso como para justificar un cierto grado de protección. Estos pueden incluir, sin limitarse a: Los activos físicos (por ejemplo, equipos informáticos, instalaciones de comunicaciones, edificios). Información / datos (por ejemplo, documentos, bases de datos), software. La capacidad de proporcionar un producto o servicio, personas. Bienes intangibles (imagen de la empresa). Desde una perspectiva de seguridad, no es posible implementar y mantener un programa de seguridad con éxito si los activos de la organización no se identifican. El nivel de detalle para esta práctica se debe medir en términos de tiempo y costo en comparación con el valor de los bienes. El nivel de detalle de los bienes se determinará sobre la base de los objetivos de seguridad. Los atributos de los bienes a ser considerados incluyen su valor y / o sensibilidad, y las garantías que presentan Amenazas Los activos están sujetos a diversos tipos de amenazas. Una amenaza tiene el potencial de causar daño a un activo y por lo tanto a una organización. Este daño puede ocurrir a partir de un ataque a la información, causando destrucción no autorizada, divulgación, modificación, la corrupción y la falta de disponibilidad o pérdida. Una amenaza tiene que explotar una vulnerabilidad existente del activo con el fin de perjudicar a los activos. Las amenazas pueden ser de origen ambiental o humano y, en este último caso, puede ser accidental o deliberada. Amenazas tanto accidental como intencionada deben ser identificadas y su nivel y

37 25 probabilidad de ocurrencia evaluada. Los datos estadísticos disponibles sobre muchos tipos de las amenazas ambientales pueden ser obtenidos y utilizados por una organización, mientras se evalúa las amenazas. Las amenazas tienen características que definen sus relaciones con los elementos de seguridad. Al definir las amenazas se debe tomar en cuenta el entorno y la cultura en la que se encuentra la empresa. Las amenazas pueden ser calificados en términos tales como Alta, Media y Baja, en función del resultado de evaluación de amenazas Vulnerabilidades Una debilidad de un bien, o grupo de bienes, que puede ser explotado por una o más amenazas se conoce como una vulnerabilidad. Las vulnerabilidades asociadas con bienes incluyen debilidades en el diseño físico, organización, procedimientos, personal, gestión, administración, hardware, software o información. Una vulnerabilidad puede existir en ausencia de amenazas correspondiente. Una vulnerabilidad no es más que una condición o un conjunto de condiciones que pueden permitir que una amenaza afecte a un activo. Vulnerabilidades que surgen de diferentes fuentes deben ser consideradas, por ejemplo, los. Intrínsecos o extrínsecos al activo. Las vulnerabilidades deben ser evaluadas individualmente y en conjunto para considerar el contexto operacional. Dentro de un sistema u organización específica, no todas las vulnerabilidades serán susceptibles a una amenaza. Vulnerabilidades que tienen un peligro son de interés inmediato. Sin embargo, como el medio ambiente puede cambiar impredeciblemente, todas las vulnerabilidades deben ser controladas para identificar a los que se han expuesto a nuevas o re-emergentes amenazas. Evaluar las vulnerabilidades es el examen de las debilidades que pueden ser explotadas por las amenazas identificadas. Esta evaluación debe tener en cuenta el medio ambiente y las garantías existentes. La medida de una vulnerabilidad de un sistema particular o bien, es una declaración de la facilidad con la que el sistema o bien puede resultar perjudicado.

38 26 Las vulnerabilidades pueden ser calificados en términos tales como Alta, Media y Baja, en función del resultado de la evaluación de la vulnerabilidad Impacto El impacto es el resultado de un incidente de seguridad de la información, causada por una amenaza, que afecta a los bienes. El impacto podría ser la destrucción de ciertos activos, daños en el sistema de TI, y compromiso de confidencialidad, integridad, disponibilidad, no repudio, la rendición de cuentas, autenticidad o fiabilidad. Impacto indirecto incluye posibles pérdidas financieras, y la pérdida de cuota de mercado o imagen de la empresa. La medición del impacto permite un equilibrio que se hizo entre los resultados previstos de un incidente y el costo de las garantías de protección contra el incidente. Se debe tener en cuenta la probabilidad de ocurrencia de un incidente. Las mediciones cuantitativas y cualitativas del impacto se pueden lograr de varias formas, como: Establecer el costo financiero, Asignar una escala empírica de la gravedad, por ejemplo, del 1 al 10, y El uso de adjetivos seleccionados de una lista predefinida, por ejemplo, Alta, Media y Baja Riesgo El riesgo es la posibilidad de que una amenaza se aprovecha de las vulnerabilidades de un activo o grupo de activos y por lo tanto cause daño a la organización. Amenazas simples o múltiples pueden explotar una o múltiples vulnerabilidades. Para describir los riesgos dentro de la empresa se debe plantear escenarios mediante los cuales se pueda explotar una determinada vulnerabilidad o un grupo de vulnerabilidades que exponen los bienes de daño mediante una o varias amenazas, caracterizando al riesgo por una combinación de dos factores, la probabilidad de que el incidente que se produzca y sus consecuencias Cualquier cambio en los bienes, las amenazas, vulnerabilidades y garantías pueden tener efectos significativos sobre los riesgos. La detección temprana o el conocimiento de los cambios aumentan la oportunidad para tomar las medidas adecuadas para tratar los riesgos. Opciones para el