Metodologia PSI NUEVAProyecto

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)
METODOLOGA
PARA LA GESTIN DE LA SEGURIDAD INFORMTICA
(Proyecto)
Oficina de Seguridad para las Redes Informticas
Pgina 1
INDICE
Sumario ................................................................................................................ 4
Introduccin .......................................................................................................... 5
Objeto ................................................................................................................... 6
Objetivos ............................................................................................................... 6
Alcance ................................................................................................................. 6
Trminos y definiciones ........................................................................................ 7
Documentos recomendados ................................................................................. 7
Aproximacin bsica... 8
Primera Parte: Sistema de Gestin de la Seguridad Informtica...... 9
Procesos de un Sistema de Gestin de la Seguridad Informtica.. 9
1. Proceso de Planificacin del SGSI .............................................................. 10
1.1 Preparacin ........................................................................................... 10
1.1.1. Compromiso de la direccin con la Seguridad Informtica ................ 10
1.1.2. Seleccionar y preparar a los miembros del equipo que participar en
el diseo e implementacin del SGSI .......................................................... 11
1.1.3. Recopilar informacin de seguridad .................................................. 11
1.2. Determinacin de las necesidades de proteccin ................................. 11
1.2.1 Caracterizacin del sistema informtico ............................................ 13
1.2.2. Identificacin de las amenazas sobre el sistema informtico ............ 16
1.2.3. Estimacin del riesgo sobre los bienes informticos ......................... 17
1.2.4. Evaluacin del estado actual de la Seguridad Informtica................. 18
1.3 Establecimiento de los requisitos de Seguridad Informtica ................. 19
1.4 Seleccin de los controles de Seguridad Informtica ............................ 19
1.4.1. Polticas de Seguridad Informtica .................................................... 21
1.4.2. Medidas y procedimientos de Seguridad Informtica ........................ 24
1.5. Organizacin de la Seguridad Informtica ............................................ 29
1.5.1. Organizacin interna .......................................................................... 29
1.5.2. Coordinacin de la Seguridad Informtica ......................................... 29
1.5.3. Asignacin de responsabilidades sobre Seguridad Informtica ......... 30
1.6. Elaboracin del Plan de Seguridad Informtica .................................... 31
2. Proceso de Implementacin del SGSI ......................................................... 32
2.1. Programa de Desarrollo de la Seguridad Informtica ........................... 33
2.2 Factores Crticos de xito ...................................................................... 34
3. Proceso de Verificacin del SGSI ............................................................... 35
3.1. Mtodos de Medicin ............................................................................ 36
3.2. Indicadores de medicin ....................................................................... 37
4. Proceso de Actualizacin del SGSI ............................................................. 40
Pgina 2
Segunda Parte: Estructura y contenido del Plan de Seguridad Informtica

43
Consideraciones Generales.43
Presentacin del Plan de Seguridad Informtica 43
Estructura del Plan de Seguridad Informtica...44
1. Alcance del Plan de Seguridad Informtica ................................................. 44
2. Caracterizacin del Sistema Informtico ..................................................... 45
3. Resultados del Anlisis de Riesgos ............................................................ 46
4. Polticas de Seguridad Informtica .............................................................. 47
5. Responsabilidades ...................................................................................... 48
6. Medidas y Procedimientos de Seguridad Informtica ................................. 50
6.1. Clasificacin y control de los bienes informticos ................................. 50
6.2. Del Personal ......................................................................................... 51
6.3. Seguridad Fsica y Ambiental ............................................................... 52
6.4. Seguridad de Operaciones ................................................................... 55
6.5. Identificacin, Autenticacin y Control de Acceso ................................ 56
6.6. Seguridad ante programas malignos .................................................... 62
6.7. Respaldo de la Informacin .................................................................. 63
6.8. Seguridad en Redes ............................................................................. 65
6.9. Gestin de Incidentes de Seguridad ..................................................... 66
7. Anexos del Plan de Seguridad Informtica ................................................. 67
7.1 Listado nominal de Usuarios con acceso a los servicios de red ............ 67
7.2 Registros...67
7.3 Control de Cambios.68
Pgina 3
Sumario
En esta metodologa se describe el contenido de las etapas en que se
estructura el proceso de diseo, implementacin y operacin de un Sistema de
Gestin de la Seguridad Informtica (SGSI), y se apoya para ello en el modelo
definido por la NC-ISO-IEC 27001 referida al establecimiento, implementacin,
operacin, seguimiento, revisin, mantenimiento y mejora de un SGSI. En su
elaboracin se han utilizado conceptos expresados en las normas ISO-IEC de la
serie 27000, en particular las normas cubanas NC-ISO-IEC 27001, Requisitos de
los Sistema de Gestin de la Seguridad de la Informacin y NC-ISO-IEC 17799
(27002), Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la
Informacin, por lo que se recomienda acceder a estas normas para profundizar
en la materia.
En la Primera Parte se describen los aspectos relacionados con la concepcin
del sistema de seguridad y su implantacin, especialmente la determinacin de
las necesidades de proteccin, el anlisis y la gestin de los riesgos que
gravitan sobre los sistemas informticos y los controles a implementar, que
incluyen polticas, procesos, procedimientos, estructuras organizativas,
mecanismos y funciones de seguridad que requieren
ser supervisados
sistemticamente y mejorados cuando fuera necesario para asegurar que se
cumplan los objetivos de seguridad de la organizacin.
La efectividad de un sistema de gestin de la seguridad informtica est
determinada por la dinmica de los cambios que inciden en su concepcin y por
la rapidez en que se vaya ajustando a las necesidades derivadas de esos
cambios, es por ello que esa tarea adquiere la mxima importancia, pues
continuamente aparecen tecnologas, sistemas y servicios que imponen
requerimientos no contemplados inicialmente. La presente metodologa
introduce los elementos bsicos necesarios para su realizacin.
La Segunda Parte est dedicada a la explicacin de la estructura y contenido
que debe tener el Plan de Seguridad Informtica (en lo adelante PSI), para lo
cual se explican cada uno de los acpites que lo conforman y se muestran
ejemplos en cada uno de ellos con el propsito de contribuir a su mejor
comprensin.
Pgina 4
Introduccin
La informacin y los procesos que la apoyan, los sistemas y las redes, son
bienes importantes de las entidades, por lo que requieren ser protegidos
convenientemente frente a amenazas que pongan en peligro la disponibilidad, la
integridad, la confidencialidad de la informacin, la estabilidad de los procesos,
los niveles de competitividad, la imagen corporativa, la rentabilidad y la
legalidad, aspectos necesarios para alcanzar los objetivos de la organizacin.
La informacin generalmente es procesada, intercambiada y conservada en
redes de datos, equipos informticos y soportes de almacenamiento, que son
parte de lo que se conoce como sistemas informticos. Los sistemas
informticos estn sometidos a potenciales amenazas de seguridad de diversa
ndole, originadas tanto desde dentro de la propia organizacin, como desde
fuera, procedentes de una amplia variedad de fuentes. A los riesgos fsicos,
entre ellos, accesos no autorizados a la informacin, catstrofes naturales,
sabotajes, incendios, y accidentes; hay que sumarle los riesgos lgicos como
contaminacin con programas malignos, ataques de denegacin de servicio y
otros. Fuentes de daos como cdigos maliciosos y ataques de intrusin o de
denegacin de servicios se estn volviendo cada vez ms comunes, ambiciosas
y sofisticadas.
Es posible disminuir el nivel de riesgo de forma significativa y con ello la
materializacin de las amenazas y la reduccin del impacto sin necesidad de
realizar elevadas inversiones ni contar con una gran estructura de personal.
Para ello se hace necesario conocer y gestionar de manera ordenada los
riesgos a los que est sometido el sistema informtico, considerar
procedimientos adecuados y planificar e implantar los controles de seguridad
que correspondan.
La elevacin de los niveles de seguridad informtica se consigue implantando un
conjunto de controles, que incluyan polticas, procesos, procedimientos,
estructuras organizativas y funciones de hardware y software, los que deben ser
establecidos, implementados, supervisados y mejorados cuando sea necesario
para cumplir los objetivos especficos de seguridad de la organizacin.
Existe la tendencia equvoca de considerar los aspectos relativos a la Seguridad
Informtica como tarea exclusiva de un especialista determinado de las reas de
informtica o de proteccin cuando es una responsabilidad de los principales
dirigentes de la organizacin y en la que debe participar todo el que utiliza las
tecnologas de la informacin.
El establecimiento de controles generales que se aplican por igual en todas las
reas y sistemas sin considerar su importancia y peculiaridades, producto como
regla a la ausencia de un anlisis de riesgos, conduce a que algunas reas
tengan un exceso de proteccin para las amenazas que enfrentan y otras no
estn suficientemente protegidas.
Pgina 5
La implementacin de un SGSI en una entidad ayuda a establecer la forma ms

adecuada de tratar los aspectos de seguridad mediante la conjugacin de los
recursos humanos y tcnicos, respaldados por medidas administrativas, que
garanticen la instauracin de controles efectivos para lograr el nivel de seguridad
necesario en correspondencia con los objetivos de la organizacin, de manera
que se mantenga siempre el riesgo por debajo del nivel asumible por la propia
entidad. Le proporciona a los directivos una herramienta, alejada de tecnicismos,
que les ofrece una visin global sobre el estado de sus sistemas informticos,
los controles de seguridad que se aplican y los resultados que se obtienen de
dicha aplicacin, para tomar decisiones acertadas sobre la estrategia aplicada
Objeto
La presente metodologa tiene por objeto determinar las acciones a realizar en
una entidad durante el diseo, la implementacin y posterior operacin de un
Sistema de Gestin de la Seguridad Informtica, en lo adelante SGSI.
Constituye un complemento a lo exigido en el Reglamento de Seguridad para las
Tecnologas de la Informacin vigente aprobado por el Ministro de la Informtica
y las Comunicaciones en cuanto a la obligacin de disear, implantar y mantener
actualizado un Sistema de Seguridad Informtica a partir de los bienes a
proteger y de los riesgos a que estn sometidos.
Objetivos
Esta metodologa establece los aspectos a tener en cuenta durante la
implantacin de un SGSI en cualquier entidad con relacin a los bienes
informticos que utiliza, independientemente de la cantidad y tipo de tecnologas
que posea, la conectividad que requieran o los servicios que ofrezcan. Cada
entidad tendr en cuenta sus especificidades y tomar las decisiones que
correspondan en cada caso.
El diseo y la implementacin del SGSI de una entidad estn influenciados por
sus necesidades y objetivos, los requisitos de seguridad, los procesos
empleados y el tamao y estructura de la organizacin, razn por la cual su
dimensin y complejidad se debe ajustar a lo requerido por la misma.
Los aspectos que se describen en esta metodologa establecen la elaboracin
del Plan de Seguridad Informtica, en lo adelante PSI, como constancia
documentada del SGSI diseado en cada entidad.
Alcance
Este documento est dirigido a todas las personas vinculadas con las
tecnologas de la informacin de una entidad, ya sea por la responsabilidad que
tienen asignadas con relacin a los bienes informticos o por los beneficios que
de ellos obtienen.
Pgina 6
Los primeros destinatarios de esta metodologa son los dirigentes y funcionarios

de los distintos niveles de una entidad que responden por el buen
funcionamiento de las tecnologas y la informacin que en ellas se procesa.
Trminos y definiciones
A los efectos de la presente metodologa se entienden por:
1. Amenaza: Es una situacin o acontecimiento que pueda causar dao a
los bienes informticos; puede ser una persona, un programa malicioso o
un suceso natural o de otra ndole y representan los posibles atacantes o
factores que inciden negativamente sobre las debilidades del sistema.
2. Anlisis de riesgo: el proceso dirigido a determinar la probabilidad de
que las amenazas se materialicen sobre los bienes informticos e implica
la identificacin de los bienes a proteger, las amenazas que actan sobre
ellos, su probabilidad de ocurrencia y el impacto que puedan causar
3. Bienes informticos: Los elementos componentes del sistema
informtico que deben ser protegidos en evitacin de que como resultado
de la materializacin de una amenaza sufran algn tipo de dao.
4. Impacto: Es el dao producido por la materializacin de una amenaza.
5. Riesgo: Es la probabilidad de que una amenaza se materialice sobre una
vulnerabilidad del sistema informtico, causando un impacto negativo en
la organizacin.
6. Riesgo residual: Es el riesgo remanente despus de aplicados controles
de seguridad para minimizarlo
7. Seguridad: Es usado en el sentido de minimizar los riesgos a que estn
sometidos los bienes informticos hasta llevarlos a niveles adecuados.
8. Sistema informtico: Es el conjunto de bienes informticos de que
dispone una entidad para su correcto funcionamiento y la consecucin de
los objetivos.
9. Vulnerabilidad: En un sistema informtico es un punto o aspecto
susceptible de ser atacado o de daar su seguridad; representan las
debilidades o aspectos falibles o atacables en el sistema informtico y
califican el nivel de riesgo del mismo.
Documentos Recomendados
Al aplicar esta metodologa deben ser considerados el Acuerdo No. 6058 de
2007 del Comit Ejecutivo del Consejo de Ministros Lineamientos para el
Perfeccionamiento de la Seguridad de las Tecnologas de la Informacin en el
Pas y la Resolucin No. 127 de 2007 del Ministro de la Informtica y las
Comunicaciones que pone en vigor el Reglamento de Seguridad para las
Tecnologas de la Informacin.
Pgina 7
En su elaboracin se han utilizado conceptos expresados en las normas ISOIEC de la serie 27000, en particular las normas cubanas NC-ISO-IEC 27001,
Requisitos de los Sistema de Gestin de la Seguridad de la Informacin y NCISO-IEC 17799 (27002), Cdigo de Buenas Prcticas para la Gestin de la
Seguridad de la Informacin, por lo que se recomienda acceder a estas normas
para profundizar en la materia.
Aproximacin bsica
El SGSI de una entidad se disea considerando el conjunto de sus bienes
informticos a partir de su importancia y el papel que representan para el
cumplimiento de su actividad, por lo que debe prestarse especial atencin a
aquellos que son crticos en virtud de la funcin que realizan o los servicios que
proporcionan, su importancia y el riesgo a que estn sometidos.
Un SGSI conlleva la conformacin de una estrategia sobre cmo tratar los
aspectos de seguridad e implica la implementacin de los controles necesarios
para garantizar el cumplimiento de lo establecido en esta materia, a partir de un
anlisis de riesgos que incluya:
1.
2.
3.
4.
Determinar qu se trata de proteger.

Determinar de qu es necesario protegerse.
Determinar cuan probables son las amenazas.
Implementar los controles que protejan los bienes informticos de una
manera rentable.
5. Revisar continuamente este proceso y perfeccionarlo cada vez que una
debilidad (vulnerabilidad) sea encontrada.
Los tres primeros aspectos son imprescindibles para tomar decisiones efectivas
sobre seguridad. Sin un conocimiento razonable de lo que se quiere proteger,
contra qu debemos protegerlo y cuan probables son las amenazas, seguir
adelante carece de sentido.
La presente metodologa promueve la adopcin de un enfoque basado en
procesos, con el fin de establecer, implementar, operar, dar seguimiento,
mantener y mejorar el SGSI de una organizacin, para ello adopta el modelo de
procesos Planificar-Hacer-Verificar-Actuar (PHVA), que se aplica para
estructurar todos los procesos del SGSI en correspondencia con la NC-ISO-IEC
27001.
Pgina 8
Primera Parte: Sistema de Gestin de la Seguridad Informtica

Procesos de un Sistema de Gestin de la Seguridad Informtica
El SGSI se compone de cuatro procesos bsicos:
Planificar
Requisitos y
expectativas
de seguridad
Seguridad
gestionada
Actuar
Hacer
Verificar
Modelo PHVA aplicado a los procesos del SGSI
Establecer las polticas, los objetivos, procesos y

procedimientos de seguridad necesarios para
Planificar
gestionar el riesgo y mejorar la seguridad
(Establecer el SGSI) informtica, con el fin de entregar resultados acordes
con las polticas y objetivos globales de la
organizacin.
Tiene como objetivo fundamental garantizar una
Hacer
adecuada implementacin de los controles
(Implementar y
seleccionados y la correcta aplicacin de los
operar el SGSI)
mismos.
Evaluar y, en donde sea aplicable, verificar el
Verificar
desempeo de los procesos contra la poltica y los
(Revisar y dar
objetivos de seguridad y la experiencia prctica, y
seguimiento al SGSI) reportar los resultados a la direccin, para su
revisin.
Emprender acciones correctivas y preventivas
Actuar
basadas en los resultados de la verificacin y la
(Mantener y mejorar
revisin por la direccin, para lograr la mejora
el SGSI)
continua del SGSI.
Pgina 9
1. Proceso de Planificacin del SGSI

Objetivo principal: La realizacin del anlisis y evaluacin de los riesgos
de seguridad y la seleccin de controles adecuados.
En esta primera etapa se crean las condiciones para la realizacin del diseo,
implementacin y gestin del Sistema de Seguridad Informtica, para lo cual se
realiza un estudio de la situacin del sistema informtico desde el punto de vista
de la seguridad, con el fin de determinar las acciones que se ejecutarn en
funcin de las necesidades detectadas y con ello establecer las polticas, los
objetivos, procesos y procedimientos de seguridad apropiados para gestionar el
riesgo y mejorar la seguridad informtica, posibilitando obtener resultados
conformes con las polticas y objetivos globales de la organizacin.
Los bienes informticos de que dispone una entidad no tienen el mismo valor, e
igualmente, no estn sometidos a los mismos riesgos, por lo que es
imprescindible la realizacin de un Anlisis de Riesgos que ofrezca una
valoracin de los bienes informticos y las amenazas a las que estn expuestos,
as como una definicin de la manera en que se gestionarn dichos riesgos para
reducirlos.
Como resultado, se establecern las prioridades en las tareas a realizar para
minimizar los riesgos. Puesto que los riesgos nunca desaparecen totalmente, la
direccin de la entidad debe asumir el riesgo residual, o sea el nivel restante de
riesgo despus de su tratamiento.
1.1 Preparacin
Durante la preparacin se crean las condiciones para el diseo
implementacin del SGSI, considerando los aspectos siguientes:
1. Asegurar el compromiso de la direccin.

2. Seleccionar y preparar a los miembros del equipo que participar en el
diseo e implementacin del SGSI.
3. Recopilar informacin de seguridad.
1.1.1. Compromiso de la direccin de la entidad con la Seguridad
Informtica
La direccin apoyar activamente la seguridad dentro de la organizacin
mediante una orientacin clara, compromiso demostrado y la asignacin
explcita de las responsabilidades de seguridad informtica y su reconocimiento,
para lo cual:
a) Asegura que los objetivos de seguridad informtica estn identificados,
cumplen los requisitos de la organizacin y estn integrados en los
procesos principales.
Pgina 10
b) Formula, revisa y aprueba las polticas de seguridad informtica.

c) Revisa la efectividad de la implementacin de las polticas de seguridad.
d) Provee una orientacin clara y apoyo visible hacia las iniciativas de
seguridad.
e) Proporciona los recursos necesarios para la seguridad.
f) Aprueba la asignacin de los roles especficos y responsabilidades en
seguridad informtica en la organizacin.
g) Inicia planes y programas para mantener la concienciacin en seguridad.
h) Asegura que la implementacin de los controles de seguridad informtica
sea coordinada en toda la organizacin.
1.1.2. Seleccionar y preparar a los miembros del equipo que participar en
el diseo e implementacin del SGSI
El proceso de diseo e implementacin del SGSI no debe ser realizado por una
sola persona o por un grupo de personas de una misma especialidad, sino que
debe ser el resultado de un trabajo multidisciplinario en el que participen todos
aquellos que de manera integral puedan garantizar el cumplimiento de los
objetivos planteados.
El equipo de diseo e implementacin se conformar con:
1. Dirigentes y funcionarios que a los diferentes niveles responden por la
informacin que se procesa en las tecnologas y por tanto son los garantes
de su proteccin.
2. personal de informtica, que domina los aspectos tcnicos necesarios para
la implementacin de los controles de seguridad.
3. profesionales de la proteccin, a partir de su responsabilidad en la custodia
de los bienes informticos y otros que se consideren de acuerdo a su perfil.
1.1.3. Recopilar informacin de seguridad
Durante el proceso de preparacin se reunir toda la informacin que facilite el
diseo e implementacin del SGSI, para lo cual se utilizan los documentos
normativos y metodolgicos que existan sobre el tema; documentacin de
aplicaciones y sistemas en explotacin en la organizacin; documentacin de
incidentes ocurridos en la entidad o en otras organizaciones afines; tendencias
de seguridad nacionales e internacionales, as como otros materiales que
faciliten su realizacin.
1.2. Determinacin de las necesidades de proteccin
Las necesidades de proteccin del sistema informtico se establecen mediante
la realizacin de un anlisis de riesgos, que es el proceso dirigido a determinar
la probabilidad de que las amenazas se materialicen sobre los bienes
Pgina 11
informticos e implica la identificacin de los bienes a proteger, las amenazas

que actan sobre ellos, su probabilidad de ocurrencia y el impacto que puedan
causar.
La realizacin del anlisis de riesgos debe proporcionar:
a) Una detallada caracterizacin del sistema informtico objeto de
proteccin.
b) La creacin de un inventario de bienes informticos a proteger.
c) La evaluacin de los bienes informticos a proteger en orden de su
importancia para la organizacin.
d) La identificacin y evaluacin de amenazas y vulnerabilidades.
e) La estimacin de la relacin importancia-riesgo asociada a cada bien
informtico (peso de riesgo).
En el proceso de anlisis de riesgos se pueden diferenciar dos aspectos:
1. La Evaluacin de Riesgos orientada a determinar los sistemas que, en su
conjunto o en cualquiera de sus partes, pueden verse afectados directa o
indirectamente por amenazas, valorando los riesgos y estableciendo sus
niveles a partir de las posibles amenazas, las vulnerabilidades existentes y
el impacto que puedan causar a la entidad. Consiste en el proceso de
comparacin del riesgo estimado con los criterios de riesgo, para as
determinar su importancia.
2. La Gestin de Riesgos que implica la identificacin, seleccin, aprobacin
y manejo de los controles a establecer para eliminar o reducir los riesgos
evaluados a niveles aceptables, con acciones destinadas a:
a) Reducir la probabilidad de que una amenaza ocurra.
b) Limitar el impacto de una amenaza, si esta se manifiesta.
c) Reducir o eliminar una vulnerabilidad existente.
d) Permitir la recuperacin del impacto o su transferencia a terceros.
La gestin de riesgos implica la clasificacin de las alternativas para manejar los

riesgos a que puede estar sometido un bien informtico dentro de los procesos
en una entidad. Implica una estructura bien definida, con controles adecuados y
su conduccin mediante acciones factibles y efectivas. Para ello se cuenta con
las tcnicas de manejo del riesgo siguientes:
1. Evitar: Impedir el riesgo con cambios significativos por mejoramiento,
rediseo o eliminacin, en los procesos, siendo el resultado de
adecuados controles y acciones realizadas.
Pgina 12
2. Reducir: Cuando el riesgo no puede evitarse por dificultades de tipo

operacional, la alternativa puede ser su reduccin hasta el nivel ms
bajo posible. Esta opcin es la ms econmica y sencilla y se consigue
optimizando los procedimientos y con la implementacin de controles.
3. Retener: Cuando se reduce el impacto de los riesgos pueden aparecer
riesgos residuales. Dentro de las estrategias de gestin de riesgos de la
entidad se debe plantear como manejarlos para mantenerlos en un nivel
mnimo.
4. Transferir: Es buscar un respaldo contractual para compartir el riesgo
con otras entidades, por ejemplo alojamiento, hospedaje, externalizacin
de servicios, entre otros. Esta tcnica se usa ya sea para eliminar un
riesgo de un lugar y transferirlo a otro, o para minimizar el mismo.
La necesidad de la actualizacin permanente del anlisis de riesgos estar
determinada por las circunstancias siguientes:
a) Los elementos que componen un sistema informtico en una entidad
estn sometidos a constantes variaciones: cambios de personal, nuevos
locales, nuevas tecnologas, nuevas aplicaciones, reestructuracin de
entidades, nuevos servicios, etc.
b) La aparicin de nuevas amenazas o la variacin de la probabilidad de
ocurrencia de alguna de las existentes.
c) Pueden aparecer nuevas vulnerabilidades o variar o incluso desaparecer
alguna de las existentes, originando, modificando o eliminando posibles
amenazas.
En resumen, durante la determinacin de las necesidades de proteccin del
sistema informtico es necesario:
1. Caracterizar el sistema informtico.
2. Identificar las amenazas potenciales y estimar los riesgos sobre los
bienes informticos.
3. Evaluar el estado actual de la seguridad.
1.2.1 Caracterizacin del sistema informtico
Para el diseo e implementacin de cualquier sistema es imprescindible el
conocimiento pleno del objeto sobre el cual se quiere disear o implantar el
mismo. Para ello lo ms apropiado es precisar los elementos que permitan
identificar las especificidades de ste.
La caracterizacin del sistema informtico incluye la determinacin de los bienes
informticos que requieren ser protegidos, su valoracin y clasificacin segn su
importancia.
Pgina 13
Se precisarn los datos que permitan determinar como fluye la informacin entre
los diferentes elementos de la entidad, as como entre la entidad y otras
instituciones considerando el carcter de la informacin y su nivel de
clasificacin de acuerdo con lo establecido en el pas.
Durante la caracterizacin del sistema informtico es necesario establecer
adems las caractersticas de las edificaciones y locales donde estn instalados
los equipos, tipo de construccin y estructura, lugares o puntos de acceso
(ventanas y puertas), visibilidad desde el exterior, la ubicacin de las tecnologas
de la informacin, tipos de tecnologas, software instalado, nivel de clasificacin
de la informacin que se procesa, documentacin de software, preparacin y
conocimiento del personal que opera los equipos, as como cualquier otro
aspecto que haga ms precisa su descripcin.
Una buena caracterizacin del sistema informtico permite conocerlo a plenitud
y evita prdida de tiempo e imprecisiones.
Una posible agrupacin por categoras que puede ayudar a la identificacin de
los bienes informticos a proteger, podra ser la siguiente:
1. Hardware: redes de diferente tipo, servidores y estaciones de trabajo,
computadoras personales (incluyendo porttiles), soportes magnticos y
pticos, medios informticos removibles, lneas de comunicaciones,
mdems, ruteadores, concentradores, entre otros.
2. Software: programas fuentes, programas ejecutables, programas de
diagnstico, programas utilitarios, sistemas operativos, programas de
comunicaciones, entre otros.
3. Datos: durante la ejecucin, almacenados en discos, informacin de
respaldo, bases de datos, trazas de auditora, en trnsito por los medios
de comunicaciones, entre otros.
4. Personas: usuarios, operadores, programadores, personal de
mantenimiento, entre otros.
5. Documentacin: de programas, de sistemas, de hardware, de
procedimientos de administracin, entre otros.
Una vez identificados los bienes informticos que necesitan ser protegidos se
determinar su importancia dentro del sistema informtico y se clasificarn
segn la misma.
La valoracin de los bienes informticos posibilita mediante su categorizacin,
determinar en que medida uno es ms importante que otro (grado de
importancia) y se realiza teniendo en cuenta aspectos tales como: la funcin
que realizan, su costo, la repercusin que ocasionara la prdida y posibilidad de
recuperacin de los mismos; as como la preservacin de la confidencialidad, la
integridad y la disponibilidad.
Pgina 14
Al estimar la repercusin que ocasionara la prdida de un bien informtico se

debe tener en cuenta el tiempo que la entidad puede seguir trabajando sin el
mismo, lo que puede ser vital para su funcionamiento. Este tiempo puede oscilar
entre escasas horas, hasta das y semanas. Por ejemplo: una agencia bancaria
no puede prescindir de su Plan de Cuentas por un nmero considerable de
horas, porque sera imposible su funcionamiento.
Se da el caso que un bien informtico puede estar hasta tres semanas daado.
Esto depende del ciclo de utilizacin del mismo, por ejemplo: si la nmina de una
entidad se daa das antes del pago a los trabajadores pondra a la entidad en
un serio aprieto, si se da despus del cobro habra ms tiempo para su
recuperacin.
La determinacin de la importancia de cada bien informtico puede ser realizada
de forma descriptiva (por ejemplo, valor alto, medio, bajo) o de forma numrica
asignando valores entre cero y diez (0 si tiene poca importancia y 10 s es
mxima).
Un resultado inmediato de la caracterizacin del sistema informtico debe
ser la conformacin de un listado que contenga la relacin de los bienes
informticos identificados y clasificados segn su importancia.
Bienes informticos crticos
Como resultado de la evaluacin anterior se determinarn los bienes
informticos crticos para la gestin de la entidad en virtud de la funcin que
realizan o los servicios que proporcionan, su importancia y el riesgo a que estn
sometidos. Se consideran bienes informticos crticos aquellos sin los cuales el
trabajo de la entidad no tuviera sentido o no puede ser ejecutado. Por ejemplo:
a) El servidor principal de una red.
b) Los medios de comunicaciones de un centro de cobros y pagos remoto.
c) El sistema de control de trfico areo de un aeropuerto.
d) El sistema contable de una entidad.
Los bienes informticos crticos tienen carcter relativo segn la entidad de que
se trate, por ejemplo: la destruccin o modificacin de una base de datos en
una escuela secundaria probablemente no tenga la misma connotacin que si
ocurre en un centro de investigaciones cientficas.
Un aspecto de vital importancia es la concatenacin, o sea, la dependencia entre
un bien informtico y otro. En la prctica se da el caso que un bien informtico
resulta no ser importante tratado individualmente, para el correcto
funcionamiento de una tarea cualquiera, pero como elemento de un sistema, es
Pgina 15
el prembulo o paso anterior obligado para el funcionamiento de otro bien

informtico que ha sido marcado como importante. En este caso todos los
activos que cumplen con esa condicin han de ser considerados como
importantes.
Por otra parte, puede que un recurso sea muy costoso y por ello considerado de
importancia alta, y sin embargo no es imprescindible para la gestin de la
entidad. Estas circunstancias pueden elevar de forma artificial el nivel de
importancia con que ha sido catalogado.
El equipo de trabajo debe velar porque las distintas estructuras que conforman la
entidad no declaren importantes aquellos bienes informticos que en realidad no
lo son. Esto evitara gastos innecesarios. Existe la tendencia de declarar como
importantes (crticos) a bienes informticos que en realidad no lo son. A la hora
de tratar este aspecto el equipo de trabajo debe ser lo suficientemente paciente
y persuasivo para evitar esta perjudicial prctica.
Lo anterior implica un anlisis complementario de los datos obtenidos en el
listado de bienes informticos, que se realizar de la forma siguiente:
1. Seale adecuadamente aquellos bienes informticos que fueron
valorados de importancia significativa.
2. Seale aquellos bienes informticos, que no habiendo sido valorados de
importancia significativa, tienen una incidencia directa con algn otro
bien informtico crtico.
3. Seale, despus de un estudio riguroso y detallado, aquellos bienes
informticos que no teniendo una valoracin significativa, ni incidencia
directa en el trabajo de bienes informticos crticos, resulta necesario
que sean marcados como tales, por razones prcticas.
4. Ordene el listado de bienes informticos a partir de las consideraciones
anteriores.
1.2.2. Identificacin de las amenazas sobre el sistema informtico
Una vez que los bienes informticos que requieren proteccin son identificados y
valorados segn su importancia es necesario identificar las amenazas sobre
stos y estimar el dao (impacto) que puede producir su materializacin.
Para cada bien informtico a proteger los objetivos fundamentales de seguridad
son la confidencialidad, la integridad y la disponibilidad, por lo que hay que
determinar cada amenaza sobre la base de como pueda afectar a estas
caractersticas de la informacin. El peso que cada una de estas caractersticas
tiene para los bienes informticos vara de una entidad a otra, en dependencia
de la naturaleza de los procesos informticos que se llevan a cabo en funcin de
su objeto social. Algunas de las amenazas ms comunes son las siguientes:
Pgina 16
a) Prdida de informacin.
b) Corrupcin o modificacin de informacin.
c) Sustraccin, alteracin o prdida de equipos o componentes.
d) Divulgacin de informacin.
e) Interrupcin de servicios.
La realizacin de un anlisis de riesgos implica el examen de cada una de las
amenazas sobre los bienes informticos y su clasificacin por niveles, a partir de
la probabilidad de su ocurrencia y la severidad del impacto que puedan producir.
1.2.3. Estimacin del riesgo sobre los bienes informticos
La estimacin del riesgo sobre cada bien informtico se determina considerando
las probabilidades de materializacin de las amenazas que actan sobre el
mismo. Esto puede ser realizado de forma descriptiva (por ejemplo: riesgo alto,
medio, bajo) o de forma numrica asignando valores entre cero y uno (0 s la
probabilidad de que se materialice la amenaza es nula y 1 s es mxima).
Una amenaza puede incidir sobre varios bienes informticos con la misma
probabilidad y sin embargo sus consecuencias no necesariamente sern
iguales, dependiendo en cada caso de la importancia del bien en cuestin. La
interrelacin entre la probabilidad de materializacin de las amenazas que
actan sobre un bien informtico y la importancia estimada para el mismo
determinan el peso del riesgo. De esta manera se puede determinar el peso del
riesgo para cada bien informtico.
La evaluacin de los riesgos posibilita conocer que bienes informticos, o que
reas en particular estn sometidas a un mayor peso de riesgo y su naturaleza,
lo que permite la seleccin adecuada de los controles de seguridad que deben
ser establecidos en cada uno de los casos, garantizndose de esta manera una
correcta proporcionalidad por medio de una adecuada relacin entre costos y
beneficios.
Es necesario precisar de una manera exhaustiva los riesgos a que est
sometido el sistema en cada una de sus partes componentes, a partir de lo cual
se pueden determinar con racionalidad los controles de seguridad que deben ser
implementados.
La aplicacin de los elementos aqu expuestos puede ser realizada con mayor o
menor rigor, en dependencia de la composicin y preparacin del equipo de
trabajo designado para acometer esta tarea y de la participacin que se d a
otras personas, que sin formar parte del equipo, puedan brindar los elementos
que se requieran.
Por otra parte, desde el momento que los resultados dependen de valores
estimados, las conclusiones a que se arribe deben ser tomadas como una
Pgina 17
aproximacin al problema, que puede ser ajustada en sucesivas versiones, en

correspondencia con la prctica diaria. Los conceptos anteriormente expresados
pueden ser aplicados en diversas variantes, pero de alguna forma es
imprescindible utilizarlos.
1.2.4. Evaluacin del estado actual de la Seguridad Informtica
Generalmente las entidades que emplean las tecnologas de la informacin en el
desarrollo de su actividad, aunque no hayan diseado un sistema de seguridad
informtica que considere de forma integral todos los factores que deben tenerse
en cuenta, tienen implementadas determinadas normas, medidas y
procedimientos de seguridad, generalmente de forma emprica a partir de
incidentes que han ocurrido o de las experiencias de otras entidades, lo cual por
supuesto es insuficiente y da lugar a la existencia de vulnerabilidades.
Es necesario evaluar de manera crtica la efectividad de los controles existentes,
sobre la base de los resultados del anlisis de riesgos realizado, con el objetivo
de perfeccionarlos o sustituirlos por aquellos que brinden la respuesta adecuada.
Los resultados de esta evaluacin ayudarn a orientar y a determinar una
apropiada accin gerencial y las prioridades para gestionar los riesgos de
seguridad informtica, as como la implementacin de los controles
seleccionados para protegerse.
La determinacin de las necesidades de proteccin examinada en este apartado
debe dar como resultado la definicin de los aspectos principales siguientes:
1. Cuales son los bienes informticos ms importantes a proteger.
2. Que amenazas tienen mayor probabilidad de actuar sobre los bienes
informticos y su posible impacto sobre la entidad.
3. Que reas estn sometidos a un mayor peso de riesgo y que amenazas
los motivan.
4. Que controles de seguridad deben ser perfeccionados o sustituidos y en
que caso se requiere definir e implementar alguno nuevo.
Llegado a este punto es necesario:
1. Identificar y evaluar alternativas posibles para tratar los riesgos.
2. Seleccionar e implantar los controles que permitan reducir el riesgo a un
nivel aceptable.
3. Identificar los riesgos residuales que han quedado sin cubrir.
4. Preparar un plan para el tratamiento de los riesgos.
5. Preparar procedimientos para implantar los controles.
Pgina 18
1.3 Establecimiento de los requisitos de Seguridad Informtica

Parte esencial del proceso de planificacin consiste en la identificacin de los
requisitos de seguridad de la organizacin. Existen tres fuentes principales:
1. La determinacin de las necesidades de proteccin de la organizacin,
durante la cual se identifican los bienes informticos ms importantes;
las amenazas a que estn sometidos; se evala la vulnerabilidad y la
probabilidad de ocurrencia de las amenazas y se estima su posible
impacto.
2. El conjunto de requisitos instituidos por obligaciones contractuales,
normas legales y tcnicas que debe satisfacer la organizacin.
3. Los principios, objetivos y requisitos que forman parte del procesamiento
de la informacin que la organizacin ha desarrollado para apoyar sus
operaciones.
Necesidades de
proteccin
Exigencias
superiores
Requisitos de
seguridad
Necesidades del
procesamiento
Los requisitos de seguridad se identifican mediante la evaluacin de los riesgos.

El gasto en controles debe equilibrarse con el perjuicio para la organizacin
resultante de los fallos de seguridad (costo - beneficio).
1.4 Seleccin de los controles de Seguridad Informtica
Antes de considerar el tratamiento de los riesgos, la organizacin decidir los
criterios para determinar si pueden ser aceptados o no. Un riesgo puede ser
aceptado si, por ejemplo, se determina que es bajo o que el costo de su
tratamiento no es rentable para la organizacin.
Para cada uno de los riesgos identificados se tomar una decisin sobre su
tratamiento. Las opciones posibles para el tratamiento del riesgo incluyen:
a) Aplicar controles apropiados para reducir los riesgos.
b) Aceptar riesgos de manera consciente y objetiva, siempre que
satisfagan claramente la poltica y los criterios de la organizacin para la
aceptacin de riesgos.
c) Evitar riesgos, no permitiendo las acciones que propicien los riesgos.
Pgina 19
d) Transferir los riesgos a otras partes, por ejemplo, aseguradores o

proveedores.
Para aquellos riesgos donde se decida aplicar controles apropiados, estos se
seleccionarn e implantarn para lograr los requisitos identificados mediante la
evaluacin de riesgos. Los controles deben asegurar que los mismos son
reducidos a un nivel aceptable teniendo en cuenta:
a) Requisitos y restricciones de la legislacin y de las regulaciones
nacionales e internacionales.
b) Objetivos de la organizacin.
c) Requisitos y restricciones operacionales.
d) Costo de la implementacin y de la operacin.
e) La necesidad de balancear la inversin en la implementacin y la
operacin de controles contra el dao probable como resultado de fallas
de la seguridad.
Los controles de seguridad que se seleccionen para la reduccin de los riesgos
a un nivel aceptable cubrirn adecuadamente las necesidades especficas de la
organizacin. La seleccin de los controles de seguridad depende de una
decisin organizacional basada en los criterios para la aceptacin del riesgo, las
opciones para el tratamiento del mismo, y el acercamiento a su gestin general
aplicada a la organizacin, y tambin estar conforme a toda la legislacin y
regulaciones nacionales e internacionales vigentes.
Los objetivos de control y los controles se basan en: los resultados y
conclusiones de la evaluacin de riesgos y en los procesos de tratamiento del
riesgo; en los requisitos legales, o reglamentarios; en las obligaciones
contractuales y en las necesidades orgnicas de la entidad en materia de
seguridad informtica.
Los controles de seguridad informtica sern considerados en las etapas de
especificacin de requisitos y de diseo de sistemas y aplicaciones. El no
hacerlo puede dar lugar a costos adicionales y a soluciones menos eficaces, y
en el peor de los casos, imposibilidad de alcanzar la seguridad adecuada. Estos
controles sern establecidos, implementados, supervisados y mejorados cuando
sea necesario para asegurar que se cumplen los objetivos especficos de
seguridad de la organizacin.
Hay que tener presente que ningn sistema de controles puede alcanzar la
seguridad completa y que acciones adicionales de gestin deben implementarse
para supervisar, evaluar, y mejorar la eficiencia y la eficacia de los controles de
seguridad para apoyar las metas de la organizacin.
La seguridad informtica se logra implantando un conjunto adecuado de
controles, que incluyen polticas, procesos, medidas, procedimientos, estructuras
Pgina 20
organizativas y funciones de hardware y software. Nos referiremos a

continuacin especficamente a las polticas y a las medidas y procedimientos de
1.4.1. Polticas de Seguridad Informtica
El objetivo fundamental de la definicin de las Polticas de Seguridad Informtica
consiste en proporcionar orientacin y apoyo de la direccin para la seguridad
informtica, de acuerdo con los requisitos de la organizacin y con las
regulaciones y leyes vigentes.
La direccin establecer polticas de seguridad en correspondencia con los
objetivos de la entidad y demostrar su apoyo y compromiso a la seguridad
informtica, publicando y manteniendo esas polticas en toda la organizacin, las
cuales se comunicarn a todos los usuarios de manera apropiada, accesible y
comprensible.
Las polticas de seguridad definen los QUE: qu debe ser protegido, qu es
ms importante, qu es ms prioritario, qu est permitido y qu no lo est y
qu tratamiento se le darn a los problemas de seguridad. Las polticas de
seguridad en si mismas no dicen COMO las cosas son protegidas. Esto es
funcin de las medidas y procedimientos de seguridad.
Las polticas de seguridad conforman la estrategia general. Las medidas y
procedimientos establecen en detalle los pasos requeridos para proteger el
sistema informtico. No puede haber medidas y procedimientos que no
respondan a una poltica, al igual que no puede concebirse una poltica que no
este complementada con las medidas y procedimientos que le correspondan.
Comenzar con la definicin de las polticas de seguridad a partir de los
riesgos estimados debe asegurar que las medidas y procedimientos
proporcionen un adecuado nivel de proteccin para todos los bienes
informticos.
Desde que las polticas de seguridad pueden afectar a todo el personal en una
entidad es conveniente asegurar tener el nivel de autoridad requerido para su
establecimiento. La creacin de las polticas de seguridad ser avalada por la
mxima direccin de la organizacin que tiene el poder de hacerlas cumplir. Una
poltica que no se puede implementar y hacer cumplir es intil.
Uno de los objetivos bsicos al desarrollar las polticas de seguridad consiste en
definir que se considera uso apropiado de los sistemas informticos; as como
la forma en que se tratarn los incidentes de seguridad. Para esto sern
considerados los criterios siguientes:
Pgina 21
1. Tener en cuenta el objeto social de la entidad y sus caractersticas. Por

ejemplo la seguridad de una entidad comercial es muy diferente a la de un
organismo central o a la de una universidad.
2. Las polticas de seguridad que se desarrollen deben estar en
correspondencia con las polticas, reglas, regulaciones y leyes a la que la
entidad est sujeta.
3. A menos que el sistema informtico a proteger est completamente
aislado e independiente, habr que considerar las implicaciones de
seguridad en un contexto ms amplio. Las polticas deben manejar los
asuntos derivados de un problema de seguridad que tiene lugar por causa
de un sitio remoto, as como un problema que ocurre en el mismo como
resultado de un usuario o computadora local.
Algunas de las interrogantes que deben ser resueltas al disear una poltica de
seguridad son las siguientes:
1.
2.
3.
4.
5.
6.
7.
8.
9.
Qu estrategia se adoptar para la gestin de la seguridad informtica?

A quin se le permite utilizar los bienes informticos?
Qu se entiende por uso correcto de los recursos?
Quin est autorizado para garantizar el acceso y aprobar el uso de los
bienes informticos?
Quin debe tener privilegios de administracin de los sistemas?
Cules son los derechos y responsabilidades de los usuarios?
Cules son los derechos y responsabilidades de los administradores de
sistemas frente a los de los usuarios?
Qu hacer con la informacin clasificada y limitada?
Qu hacer ante la ocurrencia de un incidente de seguridad?
Estas no son las nicas interrogantes que deben ser resueltas en el diseo de
las polticas. En la prctica surgen otras no menos importantes.
Las principales caractersticas que debe tener una buena poltica de seguridad
son:
1. Poder implementarse a travs de medidas y procedimientos, la
publicacin de principios de uso aceptable u otros mtodos apropiados.
2. Poder hacerse cumplir por medio de herramientas de seguridad, donde
sea apropiado y con sanciones, donde su prevencin no sea
tcnicamente posible.
3. Definir claramente las reas de responsabilidad de los usuarios,
administradores y dirigentes.
Entre los componentes que deben formar parte de las polticas de seguridad se
incluyen:
Pgina 22
a) El tratamiento que requiere la informacin oficial que se procese,

intercambie, reproduzca o conserve a travs de las tecnologas de
informacin, segn su categora.
b) El empleo conveniente y seguro de las tecnologas instaladas y cada uno
de los servicios que stas pueden ofrecer.
c) La definicin de los privilegios y derechos de acceso a los bienes
informticos para garantizar su proteccin contra modificaciones no
autorizadas, prdidas o revelacin, mediante la especificacin de las
facultades y obligaciones de los usuarios, especialistas y dirigentes.
d) Los aspectos relacionados con la conexin a redes de alcance global y la
utilizacin de sus servicios.
e) El establecimiento de los principios que garanticen un efectivo control de
acceso a las tecnologas (incluyendo el acceso remoto) y a los locales
donde stas se encuentren.
f) Las normas generales relacionadas con la informacin de respaldo y su
conservacin.
g) Los principios a tener en cuenta sobre los requerimientos de Seguridad
Informtica que deban ser considerados en la adquisicin de nuevas
tecnologas.
h) Los aspectos relacionados con la adquisicin por cualquier va de
software y documentos de fuentes externas a la entidad y la conducta a
seguir en estos casos.
i) La definicin de las responsabilidades de los usuarios, especialistas y
dirigentes, sus derechos y obligaciones con respecto a la Seguridad
Informtica.
j) La definicin de los principios relacionados con el monitoreo del correo
electrnico, la gestin de las trazas de auditora y el acceso a los ficheros
de usuario, entre otros.
k) Las normas a tener en cuenta con relacin al mantenimiento, reparacin y
traslado de las tecnologas y del personal tcnico (interno y externo) que
requiere acceso a las mismas por esos motivos.
l) Los principios generales para el tratamiento de incidentes y violaciones de
seguridad, qu se considera incidente de seguridad y a quin debe
reportarse.
Las polticas de seguridad informtica sern revisadas a intervalos programados
o ante el surgimiento de cambios significativos para asegurar su actualizacin,
adecuacin y efectividad.
A continuacin se muestran dos ejemplos de polticas:
1. El acceso a las reas o zonas controladas se permite exclusivamente al
personal autorizado.
2. El acceso a los medios informticos ser expresamente autorizado por el
jefe facultado.
Pgina 23
Obsrvese que en el primer ejemplo la poltica expresada limita explcitamente al

personal autorizado el acceso a las reas o zonas controladas, pero no
especfica cuales son las reas o zonas definidas como controladas, cmo se
garantizar el control en cada una de ellas, que personal es autorizado, quin
est facultado para otorgar las autorizaciones, cuando se requieren estas
autorizaciones y qu forma tendr la autorizacin (por escrito, verbal, etc.). Es
aplicable en todas las reas controladas de la entidad independientemente de su
categora (limitada, restringida o estratgica) y de la forma de su implementacin
en cada caso.
De igual manera en el segundo ejemplo, no se menciona cmo se realizar la
autorizacin de los usuarios para acceder a los medios informticos, cuando se
realizar, ni quin es la persona facultada para hacerlo.
Todas esas aparentes insuficiencias corresponden ser despejadas con
medidas y procedimientos ajustados a las caractersticas propias de cada lugar
donde corresponda aplicar esas polticas, que por supuesto no tienen por que
ser iguales en cada caso. Por ello las medidas y procedimientos si tienen que
especificar en detalle lo que hay que hacer, pues al contrario de las polticas que
estn destinadas para toda la entidad, son especficas en funcin de las
necesidades de cada rea.
De lo anterior se infiere que cualquier poltica que se establezca necesita ser
instrumentada mediante las medidas y procedimientos que garanticen su
cumplimiento en cada rea que lo necesite y viceversa. Debido a esto, se
requiere contrastar las medidas y procedimientos que se implanten con las
polticas definidas para comprobar que no existan unas sin respaldo de las otras.
1.4.2. Medidas y procedimientos de Seguridad Informtica

Las medidas y procedimientos de seguridad que se implementen en
correspondencia con las polticas definidas, conforman el cuerpo del sistema de
seguridad diseado y representan la lnea de defensa bsica de proteccin de
los bienes informticos, por lo cual es sumamente importante su seleccin
adecuada, de forma tal que cubran las amenazas identificadas durante el
proceso de evaluacin de riesgos, implementndolas de una manera rentable.
Si la mayor amenaza al sistema es un acceso remoto, tal vez no tenga mucha
utilidad el empleo de dispositivos tcnicos de control de acceso para usuarios
locales. Por otro lado si la mayor amenaza es el uso no autorizado de los bienes
informticos por los usuarios habituales del sistema, probablemente ser
necesario establecer rigurosos procedimientos de monitoreo y de gestin de
auditora.
Pgina 24
Las medidas y procedimientos que se establezcan sern definidas de

manera suficientemente clara y precisa, evitando interpretaciones
ambiguas por parte de los responsabilizados con su cumplimiento.
La seguridad ser implementada mediante el establecimiento de mltiples
barreras de proteccin, seleccionando controles de diferentes tipos de forma
combinada y concntrica, logrando con ello una determinada redundancia que
garantice que si una medida falla o resulta vulnerada, la siguiente medida entra
en accin continuando la proteccin del activo o recurso. No es conveniente que
el fallo de un solo mecanismo comprometa totalmente la seguridad.
La implementacin de mltiples medidas simples puede en muchos casos ser
ms seguro que el empleo de una medida muy sofisticada. Esto cobra mayor
validez cuando determinada medida no puede ser aplicada por alguna limitacin
existente, como pueden ser, por ejemplo: las insuficiencias del equipamiento,
que impiden la implementacin de una medida tcnica. En este caso sern
consideradas medidas o procedimientos complementarios de otro tipo que
garanticen un nivel de seguridad adecuado.
Hay que tener en cuenta tambin que el uso del sentido comn y una buena
gestin son las herramientas de seguridad ms apropiadas. De nada vale
disear un sistema de medidas muy complejo y costoso si se pasan por alto los
controles ms elementales. Por ejemplo, independientemente de cuan
sofisticado sea un sistema de control de acceso, un simple usuario con una
clave pobre o descuidada puede abrir las puertas del sistema.
Otro elemento importante a considerar al implementar las medidas y
procedimientos es aplicar el principio de proporcionalidad o racionalidad, que
consiste en ajustar la magnitud de las mismas al riesgo presente en cada caso.
Por ejemplo la salva de la informacin puede tener diferentes requerimientos en
distintas reas y en una misma rea para distintos tipos de datos o programas.
Las medidas de Seguridad Informtica se clasifican de acuerdo a su origen en:
administrativas; de seguridad fsica, tcnica o lgica; de seguridad de
operaciones; legales y educativas. A su vez, por su forma de actuar, las medidas
pueden ser: preventivas, de deteccin y de recuperacin.
Medidas administrativas
Las medidas administrativas, frecuentemente no son apreciadas en toda su
importancia, a pesar de que la prctica ha demostrado que un elevado por ciento
de los problemas de seguridad se puede evitar con medidas de esta naturaleza.
Se establecen por la direccin de cada entidad mediante las regulaciones
comprendidas dentro de sus facultades y por tanto son de obligatorio
cumplimiento por todo el personal hacia el cual estn dirigidas.
Pgina 25
Medidas de seguridad fsica

Constituyen la primera barrera de proteccin en un Sistema de Seguridad
Informtica e introducen un retardo que incrementa el tiempo de materializacin
de un acto doloso o accidental.
Se aplican a los locales donde se encuentran las tecnologas de informacin y
directamente a estas mismas tecnologas e incluyen: medios fsicos, medios
tcnicos de deteccin y alarma y el personal que forma parte de las fuerzas
especializadas.
Medidas tcnicas o lgicas
Son las de mayor peso dentro de un sistema de Seguridad Informtica. Pueden
ser implementadas por software, a nivel de sistemas operativos y de
aplicaciones o por hardware. El uso combinado de tcnicas de software y
hardware aumenta la calidad y efectividad en la implementacin de este tipo de
medidas.
Algunos tipos de medidas tcnicas son empleadas para identificar y autentificar
usuarios, proteccin criptogrfica, proteccin contra virus y otros programas
dainos y registro de auditora, entre otros.
Medidas de seguridad de operaciones
Estn dirigidas a lograr una eficiente gestin de la seguridad mediante la
ejecucin de procedimientos definidos y deben garantizar el cumplimiento de las
regulaciones establecidas por cada entidad y por las instancias superiores a la
misma.
Medidas legales
Representan un importante mecanismo de disuasin que contribuye a prevenir
incidentes de seguridad y sancionar adecuadamente a los violadores de las
polticas establecidas por la entidad.
Se establecen mediante disposiciones jurdicas y administrativas, en los cuales
se plasman: deberes, derechos, funciones, atribuciones y obligaciones, as como
se tipifican las violaciones y tipos de responsabilidad administrativas, civiles,
penales u otras.
Medidas educativas
Estn dirigidas a inculcar una forma mental de actuar, mediante la cual el
individuo est consciente de la existencia de un Sistema de Gestin de la
Pgina 26
Seguridad Informtica en el que le corresponde una forma de actuar. Se

sustentan en dos elementos fundamentales:
1. La existencia de un Sistema de Gestin de la Seguridad Informtica.
2. La participacin consciente del hombre en el xito de los objetivos de
seguridad planteados.
Medidas de recuperacin
Estn dirigidas a garantizar la continuidad, el restablecimiento y la recuperacin
de los procesos informticos ante cualquier eventualidad que pueda ocurrir, que
afecte o ponga en peligro el normal desarrollo de los mismos.
Se establecen a partir de la identificacin de los posibles incidentes o fallos que
puedan causar la interrupcin o afectacin de los procesos informticos y
garantizan las acciones de respuesta a realizar, la determinacin de los
responsables de su cumplimiento y los recursos necesarios para ello.
Procedimientos de Seguridad Informtica
La implementacin de las polticas de seguridad informtica requiere
generalmente la realizacin de un conjunto de acciones para garantizar su
cumplimiento. La descripcin de esta secuencia de acciones constituye un
procedimiento de seguridad. Los procedimientos, al igual que las medidas, se
clasifican en procedimientos de prevencin, de deteccin y de recuperacin.
Los procedimientos de prevencin tienen el objetivo de asegurar las acciones
que se requieren para evitar que una amenaza se materialice y los de deteccin
se dirigen a identificar cualquier tipo de indicio que revele la posible
materializacin de una amenaza, una amenaza en desarrollo o una
vulnerabilidad en los sistemas.
La funcin de los procedimientos de recuperacin, por el contrario, no es la de
prevenir ni la de detectar la materializacin de determinadas amenazas, sino la
de establecer las acciones que se deben ejecutar cuando una amenaza ya se
ha materializado, afectando parcial o totalmente los bienes informticos.
En el desarrollo de los procedimientos se usar un lenguaje preciso y una
cuidadosa redaccin, deben quedar claras las ideas principales, de forma tal que
resulten comprensibles a quienes corresponda su aplicacin. Los
procedimientos deben ser autosuficientes.
La importancia del establecimiento de procedimientos correctamente definidos
garantiza, adems de la uniformidad en la aplicacin de las polticas, la
seguridad del cumplimiento de las mismas y su sistematicidad. Algunos
procedimientos de seguridad que pueden ser implementados son:
Pgina 27
a) De administracin de cuentas de usuarios.

b) De asignacin y cancelacin de permisos de acceso a las tecnologas y
sus servicios.
c) De asignacin y cancelacin de derechos y privilegios.
d) De gestin de incidentes.
e) De gestin de contraseas.
f) De gestin de salvas.
g) De realizacin de auditoras.
h) De acceso a las reas.
i) De entrada y salida de las tecnologas y sus soportes.
Ejemplo de una poltica y de algunas medidas y procedimientos para su
implementacin.
Poltica: "La informacin ser salvada en soportes magnticos u pticos con la
periodicidad requerida en cada caso a fin de garantizar su
restablecimiento en caso de incidentes de seguridad".
Medidas:
1. La informacin que se comparte en los servidores de la red se salvar en
los casetes de cinta habilitados al efecto, diariamente en dos versiones.
2. Las bases de datos de contabilidad sern salvadas en discos
reescribibles en dos versiones. Diariamente se salvarn las
modificaciones realizadas y mensualmente toda la informacin.
Procedimientos:
a) En los servidores.
1. Realizar la salva de la informacin que se comparte en los servidores
en dos casetes numerados, alternndolos diariamente, una hora antes
de concluir la jornada de trabajo. Utilizar el casete marcado con el No.
1 los das impares y con el No. 2 los das pares.
Responsable: Administrador de la red
2. Anotar en el modelo de registro establecido (anexo N) la fecha, la hora
y el casete utilizado.
3. Verificar integridad de la informacin salvada.
Responsable: Jefe de Departamento de Redes
4. Guardar la salva bajo llave en el archivo metlico ubicado en la oficina
del Jefe del Departamento de Redes.
Responsable: Jefe del Departamento de Redes
Pgina 28
b) En el Departamento de Contabilidad.
1. Realizar la salva de las bases de datos en discos compactos,
alternndolos diariamente, al finalizar la jornada de trabajo y el ltimo
da hbil de cada mes. Los discos para la salva diaria estn marcados
con una franja, utilizndose los de la franja roja para los das impares y
los de la franja azul para los das pares. Los discos para la salva
mensual sern numerados del 1 al 12 en correspondencia con cada
mes.
Responsable: Administrador de la aplicacin
2. Anotar en el modelo de registro establecido (anexo M) la fecha, la hora
y el disco utilizado.
Responsable: Administrador de la aplicacin
3. Verificar integridad de la informacin salvada
Responsable: Jede de Departamento de Contabilidad
4. Guardar la salva bajo llave en el archivo metlico ubicado en la oficina
del Jefe del Departamento de Contabilidad.
Responsable: Jefe del Departamento de Contabilidad
1.5. Organizacin de la Seguridad Informtica
Con el objetivo de gestionar la seguridad informtica se establecer un marco
apropiado para iniciar y controlar su implementacin dentro de la organizacin.
1.5.1. Organizacin interna
La direccin aprobar las polticas de seguridad informtica de la entidad,
asignar roles de seguridad, coordinar y revisar la implementacin de la
seguridad a travs de la organizacin.
Si es necesario, gestionar una fuente de asesoramiento especializada en
seguridad informtica. Sern establecidos contactos con especialistas de
seguridad o grupos externos a la organizacin, incluyendo autoridades
pertinentes, para mantenerse al da con tendencias de la industria, seguimiento
de normas, mtodos de evaluacin y proveer puntos de enlace adecuados
cuando se deban manejar incidentes de seguridad informtica. Se propiciar un
enfoque multidisciplinario hacia la seguridad informtica.
1.5.2. Coordinacin de la Seguridad Informtica
Las actividades referentes a la seguridad informtica sern coordinadas por los
Consejos de Direccin de los rganos, organismos y entidades, pudiendo incluir
personal de diferentes partes de la organizacin con funciones y roles
especfico. Esta coordinacin deber:
Pgina 29
a) Asegurar que las actividades referentes a la seguridad son ejecutadas de

acuerdo a las polticas establecidas.
b) Identificar cmo manejar los incumplimientos.
c) Aprobar metodologas y procedimientos para la seguridad informtica, por
ejemplo, de evaluacin de riesgos, respaldo de la informacin y
tratamiento de incidentes.
d) Identificar cambios significativos en las amenazas y la exposicin de la
informacin y de las instalaciones de procesamiento de la informacin a
las amenazas.
e) Evaluar la adecuacin y coordinacin de la implementacin de los
controles de seguridad informtica.
f) Promover en forma efectiva la educacin, la formacin y la concienciacin
en seguridad informtica a travs de la organizacin.
g) Evaluar la informacin resultante del tratamiento y anlisis de los
incidentes de seguridad informtica y las acciones recomendadas en
respuesta a los mismos.
1.5.3. Asignacin de responsabilidades sobre Seguridad Informtica
Se definirn las responsabilidades de seguridad informtica del personal
vinculado con el sistema informtico de acuerdo con su participacin en el
mismo. La asignacin de las responsabilidades de seguridad informtica se har
en correspondencia con las polticas de seguridad informtica, definindose
claramente las responsabilidades asociadas con la proteccin de los bienes
informticos y para la ejecucin de procesos especficos de seguridad, como por
ejemplo, la gestin de incidentes. Estas responsabilidades sern
complementadas, de ser necesario, con medidas y procedimientos especficos.
Las personas con responsabilidades de seguridad asignadas pueden delegar
tareas de seguridad a otras, sin embargo, siguen manteniendo la
responsabilidad y debern poder garantizar que cualquier tarea delegada se ha
cumplido correctamente. Se establecern claramente las reas de las cuales los
individuos son responsables. En particular se considerar lo siguiente:
a) Definir y documentar los niveles de autorizacin.
b) Identificar y definir los bienes informticos y los procesos de seguridad
asociados con cada sistema especfico.
c) Asignar el responsable de cada bien informtico o proceso de seguridad y
documentar los detalles de dicha responsabilidad.
Se asegurar que cada cual conozca su responsabilidad con relacin al
mantenimiento de la seguridad y que cada clase de problema tenga alguien
asignado para tratarlo, involucrando a todo el personal relacionado con los
bienes informticos. Por ejemplo, los usuarios sern responsables del uso
adecuado de sus identificadores y contraseas y los administradores de redes y
sistemas estn obligados a cubrir las brechas de seguridad y corregir los
Pgina 30
errores. Para alcanzar una seguridad efectiva es conveniente lograr una

participacin lo ms amplia posible de todo el personal (o al menos la ausencia
de una oposicin activa).
Se establecern niveles de responsabilidad asociados con las polticas de
seguridad. Por ejemplo, en una red se puede definir un nivel con los usuarios de
la misma, donde cada uno tendr la responsabilidad de proteger su cuenta. Un
usuario que permita que su cuenta sea comprometida incrementa la posibilidad
de comprometer otras cuentas o recursos. Los administradores de redes y
sistemas forman otro nivel de responsabilidad, implementando los mecanismos
de seguridad que se requieran.
Debe quedar claro que los usuarios son individualmente responsables de la
comprensin y aplicacin de las polticas de seguridad de los sistemas que ellos
emplean y del uso apropiado de los recursos que les han sido asignados.
1.6. Elaboracin del Plan de Seguridad Informtica
Una vez cumplidas las actividades anteriores, el siguiente paso es la elaboracin
del Plan de Seguridad Informtica, como constancia documentada del Sistema
de Seguridad Informtica diseado y constituye el documento bsico que recoge
claramente las responsabilidades de cada uno de los participantes en el proceso
informtico y establece los controles que permiten prevenir, detectar y responder
a las amenazas que gravitan sobre el sistema informtico de cada entidad.
El objetivo del PSI es establecer los requisitos de seguridad del sistema y en l
se especifican los controles previstos en cada rea o lugar para cumplirlos. El
PSI tambin describe las responsabilidades y el comportamiento esperado de
todos los individuos que acceden al sistema y debe reflejar las contribuciones de
los distintos actores con responsabilidades sobre el SGSI.
En el PSI se refiere cmo se implementan, en las reas a proteger, las polticas
generales que han sido definidas para toda la entidad, en correspondencia con
las necesidades de proteccin en cada una de ellas, atendiendo a sus formas
de ejecucin, periodicidad, personal participante y medios.
Se particularizarn en el PSI los controles de seguridad implementados en
correspondencia con su naturaleza, de acuerdo al empleo que se haga de los
medios humanos, de los medios tcnicos o de las medidas y procedimientos que
debe cumplir el personal. En la Segunda Parte: Estructura y contenido del
Plan de Seguridad Informtica se refieren con mayor detalle los elementos
necesarios para la elaboracin del PSI.
Pgina 31
2. Proceso de Implementacin del SGSI

Objetivo principal: Garantizar una adecuada implementacin de los
controles seleccionados y la correcta aplicacin de los mismos.
Durante el proceso de implementacin del SGSI se comienzan a gestionar los
riesgos identificados mediante la aplicacin de los controles seleccionados y las
acciones apropiadas por parte del personal definido (medios humanos), los
recursos tcnicos disponibles en funcin de la seguridad (medios tcnicos) y las
medidas administrativas, que garanticen la implantacin de controles efectivos
para lograr el nivel de seguridad necesario en correspondencia con los objetivos
de la organizacin, de manera que se mantenga siempre el riesgo por debajo del
nivel asumido por la propia entidad.
Se garantizar que el personal al que se asignen responsabilidades definidas en
el SGSI est en capacidad de realizar las tareas exigidas, mediante la formacin
y el entrenamiento que les permita adquirir el conocimiento y las habilidades que
requieran en correspondencia con su papel dentro del sistema, para lo cual se
implementarn programas de capacitacin.
La organizacin tambin asegurar que el personal tiene conciencia de la
necesidad e importancia de las actividades de seguridad informtica que le
corresponde realizar y cmo ellas contribuyen al logro de los objetivos del SGSI.
Las actividades de formacin y sensibilizacin incluyen:
1. Concienciar al personal de la importancia que el SGSI tiene para la
organizacin.
2. Garantizar la divulgacin, el conocimiento y comprensin de las polticas
de seguridad que se implementan.
3. Capacitar a los usuarios en las medidas y procedimientos que se van a
implantar.
4. Lograr que el personal est consciente de los roles a cumplir dentro del
SGSI.
Se requiere adems precisar el procedimiento de medicin de la eficacia de los
controles o grupos de controles seleccionados, y especificar cmo se van a
emplear estas mediciones con el fin de evaluar su eficacia para producir
resultados comparables y reproducibles y de esta forma determinar si las
actividades de seguridad implementadas satisfacen las expectativas concebidas.
Finalmente se implementarn los procedimientos y controles que se requieran
para detectar y dar respuesta oportuna a los incidentes de seguridad que se
presenten, incluyendo su reporte a las instancias pertinentes.
Pgina 32
El proceso de implementacin es una etapa crucial del SGSI y tal vez la ms

difcil. De nada vale haber realizado una buena determinacin de las
necesidades de proteccin e incluso haber hecho una excelente seleccin de los
controles de seguridad a aplicar si no se logra implantarlos en cada lugar,
ajustndolos a las particularidades de los bienes a proteger y a las exigencias
especficas de cada rea.
Se puede haber definido, por ejemplo, una refinada poltica de respaldo de la
informacin en previsin de cualquier tipo de contingencia que pudiera
presentarse, y no implementar los procedimientos que determinen con exactitud
qu informacin debe ser preservada; con que frecuencia debe salvarse, en que
soporte y en cuantas copias; quienes estn encargados de ejecutar esas
acciones y como se garantizar su proteccin y conservacin de manera que
exista la certeza de su integridad cuando requieran ser utilizadas.
Puede haberse confeccionado un Plan de Seguridad Informtica que cumpla a
cabalidad los requisitos metodolgicos, pero en sus partes esenciales se queda
en el papel y no se conoce ni se aplica por los que tienen que instrumentar los
controles que fueron definidos. Por ejemplo, en ocasiones se especifica en el
plan la estructura y fortaleza de las contraseas de acceso a la red y sin
embargo no se configuran en el servidor las reglas que en correspondencia con
lo establecido obliguen a los usuarios a su cumplimiento.
De igual forma, pueden haberse concebido los procedimientos para otorgar o
cancelar el acceso a sistemas y servicios pero stos no se conocen o se
incumplen por los que tienen que ejecutarlos regularmente. Ejemplos
semejantes pueden referirse en relacin con la gestin de parches de seguridad,
la seguridad de las redes inalmbricas, el control de los medios removibles, la
gestin de incidentes y el anlisis y conservacin de los registros generados por
los sistemas y servicios, por solo citar algunos de los ms comunes.
De modo que el proceso de implementacin del SGSI para que sea exitoso debe
garantizar la implantacin de todos los controles que fueron concebidos y su
conocimiento y comprensin por los encargados de ejecutarlos y cumplirlos.
2.1. Programa de Desarrollo de la Seguridad Informtica
Puede ser que la implementacin de algunos controles requiera de un tiempo
adicional, ya sea porque necesitan algn tipo de recursos con que no se cuenta,
la realizacin de gestiones complementarias u otras causas. Las acciones que
sean necesarias para lograr la implementacin de estos controles se incluirn en
un programa sealando los plazos para su cumplimiento y el personal
responsabilizado con su ejecucin. Los aseguramientos que se deriven de estas
acciones sern considerados dentro del Plan de Inversiones de la entidad
cuando se requiera. El cumplimiento de este programa contribuir al proceso de
mejora continua del SGSI y ser actualizado segn se vaya ejecutando. Algunos
Pgina 33
aspectos a considerar al elaborar el Programa de Desarrollo de la Seguridad

Informtica pudieran ser los siguientes:
1. La implementacin a mediano y largo plazo de aquellos aspectos que as
lo exijan para alcanzar un mayor nivel de seguridad, como por ejemplo la
introduccin de medios tcnicos de seguridad, modificacin de locales,
etc.
2. La preparacin y capacitacin del personal en materia de seguridad
informtica, segn su participacin en el sistema diseado, ya sea a
travs de cursos especficos, mediante la imparticin de materias
relacionadas con el tema y con acciones de divulgacin.
3. La organizacin y ejecucin de controles, inspecciones y auditoras
(internas y externas), mencionando con que frecuencia se realizan,
quienes participan y el contenido de las mismas.
2.2 Factores Crticos de xito
La implementacin exitosa de los controles seleccionados y la correcta
aplicacin de los mismos en una organizacin presupone adems la
consideracin de los factores siguientes:
a) La poltica de seguridad, objetivos y actividades que reflejen los intereses
de la organizacin.
b) El enfoque para implantar la seguridad que sea consistente con la cultura
de la organizacin.
c) El apoyo visible y el compromiso de la alta direccin.
d) La buena comprensin de los requisitos de la seguridad, de la evaluacin
del riesgo y de la gestin del riesgo.
e) La comunicacin eficaz de la necesidad de la seguridad a todos los
directivos y trabajadores.
f) La distribucin a todos los trabajadores de directrices y normas sobre la
poltica de seguridad informtica de la organizacin.
g) El suministrar recursos para las actividades de gestin de la seguridad
informtica.
h) El proporcionar concienciacin, formacin y educacin apropiadas.
i) El proceso efectivo de gestin de incidentes de seguridad informtica.
j) La implementacin de un sistema de medicin para evaluar el desempeo
en la gestin de seguridad informtica y las sugerencias de mejoras.
Durante el proceso de implementacin del SGSI es necesario ir precisando la
aplicacin de cada uno de los controles seleccionados en las reas que los
requieren y que los mismos cubran los riesgos que para ellas fueron
identificados. En este sentido, la participacin de los jefes de reas es
determinante, pues corresponde a ellos refrendar que los controles que se
establezcan dan plena respuesta a los requerimientos de proteccin de cada
rea en particular.
Pgina 34
Para cumplir con lo expresado en el prrafo anterior se elaborar un cronograma

de implementacin por reas, mediante el cual los jefes de las mismas
garanticen:
1. La concienciacin del personal sobre la necesidad e importancia de sus
actividades de Seguridad Informtica y cmo ellas contribuyen al logro de
los objetivos del SGSI.
2. La preparacin del personal para el cumplimiento de sus obligaciones en
cuanto a la Seguridad Informtica.
3. La implantacin de los controles de seguridad, tanto los comunes para
toda la entidad como los especficos para el rea.
4. La verificacin de que los controles aplicados garantizan el cumplimiento
de las polticas de seguridad establecidas en la organizacin.
5. La precisin de los mtodos de evaluacin de la eficacia de los controles
que se implementen.
6. La identificacin de los controles que no es posible implantar y deban ser
incluidos en el Programa de Desarrollo de la Seguridad Informtica.
No se puede dar por terminado el proceso de implementacin del SGSI por el
dirigente mximo de la entidad hasta que en todas las reas sus Jefes acrediten
el cumplimiento de estos requisitos.
3. Proceso de Verificacin del SGSI
Objetivo principal: Revisar y evaluar el desempeo (eficiencia y eficacia)
del SGSI.
Uno de los aspectos ms importantes en el proceso de diseo e implementacin
de un SGSI es el establecimiento de los indicadores y mtricas de gestin. Esto
permite a la Direccin valorar si los esfuerzos realizados estn o no cumpliendo
con los objetivos planteados. Para ello se utiliza la medicin como instrumento
de control. Es necesario lograr diagnosticar correctamente qu est pasando y
qu es necesario corregir para poder gestionar.
Mediante el proceso de revisin se comprobar la conformidad con los patrones
establecidos y como parte de ello se medir el rendimiento y la eficacia del
SGSI, para lo cual se precisa considerar las acciones siguientes:
1.
2.
3.
4.
Revisiones peridicas de los indicadores seleccionados.

Revisiones de los riesgos residuales y riesgos aceptables.
Realizacin de auditoras internas/externas del SGSI.
Comunicacin de los resultados de las auditoras a las partes interesadas.
La ejecucin de procedimientos de revisin mediante instrumentos de medicin

posibilita detectar errores de proceso, identificar fallos de seguridad de forma
rpida y determinar las acciones a realizar. Se utilizan para ello los indicadores
Pgina 35
seleccionados sobre la base de los criterios en relacin a qu aspectos se deben

controlar y medir para lograr el cumplimiento de las metas planteadas.
Los objetivos de estos procedimientos de revisin son:
1. Evaluar la efectividad de la implementacin de los controles de seguridad.
2. Evaluar la eficiencia del SGSI, incluyendo mejoras continuas.
3. Proveer estados de seguridad que guen las revisiones del SGSI,
facilitando mejoras a la seguridad y nuevas entradas para auditar.
4. Comunicar valores de seguridad a la organizacin.
5. Servir como entradas al anlisis y tratamiento de riesgos.
La gestin del Sistema de Seguridad Informtica se basa en un ciclo de mejora
continua, por lo que es vital medir para poder observar cmo las cosas mejoran
a medida que el sistema va madurando. Si no se mide, se trabaja en base a
sensaciones, y las decisiones tomadas sin la informacin necesaria pueden
conducir a equivocaciones.
Pasado un periodo de tiempo previsto de antemano, hay que volver a recopilar
datos de control y analizarlos, comparndolos con los objetivos y
especificaciones iniciales, para evaluar si se han producido cambios que afecten
los resultados esperados. Donde sea aplicable, se debe medir el desempeo del
SGSI contra las polticas y los objetivos de seguridad y la experiencia prctica, y
reportar los resultados a la Direccin, para su revisin.
3.1. Mtodos de Medicin
Los mtodos de medicin pueden abarcar varios tipos de actividades y un
mismo mtodo puede aplicarse a mltiples aspectos. Por su naturaleza los
mtodos de medicin pueden ser subjetivos u objetivos. Los mtodos subjetivos
implican el criterio humano, mientras que los objetivos se basan en una regla
numrica, que puede ser aplicada por personas o recursos automatizados.
Algunos ejemplos de mtodos de medicin son:
1.
2.
3.
4.
5.
6.
7.
8.
9.
Encuestas/indagaciones.
Observacin.
Entrevistas
Cuestionarios.
Evaluacin de conocimientos.
Inspecciones.
Consulta a sistemas.
Supervisin
Muestreo.
Pgina 36
Para la implementacin de estos mtodos en cualquier entidad hay disponibles

diferentes procedimientos y herramientas que facilitan esta tarea, entre ellas:
1. Utilizacin de listas de verificacin de la conformidad del SGSI con
aspectos normados que requieren cumplirse. Por ejemplo una lista de
verificacin de lo establecido por el Acuerdo No. 6058/07 del CECM y la
Resolucin No. 127/07 del Ministro de la Informtica y las
Comunicaciones.
2. La aplicacin de programas diseados con este objetivo, como por
ejemplo el sistema de evaluacin Digenes elaborado por la Oficina de
Seguridad para las Redes Informticas.
3. La realizacin de diagnsticos de seguridad presenciales y remotos por
especialistas de la propia organizacin o contratados a terceros.
4. La evaluacin de los resultados obtenidos del anlisis de los registros de
auditora generados por sistemas y servicios.
5. El anlisis de los resultados de la supervisin del empleo de los sistemas
y servicios por parte de los usuarios autorizados para ello.
6. Los reportes y alarmas generados por los sistemas de seguridad, como
por ejemplo un Sistema de Deteccin de Intrusos (IDS por sus siglas en
ingles).
7. El anlisis de los incidentes de seguridad ocurridos a partir de la
informacin registrada sobre los mismos.
8. El anlisis de los reportes de las violaciones de los controles de
seguridad.
9. El anlisis de las no conformidades detectadas en controles realizados y
su erradicacin.
La medicin debe servir para cuestionar continuamente en base a datos y
registros si los controles de seguridad estn funcionando bien. Se establecer
un conjunto de indicadores que sirvan para evidenciar que lo implementado
funciona correctamente.
3.2. Indicadores de medicin
En esta etapa adquieren especial importancia los registros (evidencias) que
dejan los diferentes controles, as como los indicadores que permiten verificar el
correcto funcionamiento del SGSI.
Cada indicador debe tener asociado valores que representen las metas a
cumplir. En este sentido, cada organizacin definir su criterio respecto a qu
aspectos quiere controlar y medir para lograr el cumplimiento de los objetivos.
Para ello se pueden definir distintos grupos de indicadores que recojan los
diferentes mbitos que se quieren gestionar. Por tanto, se podran tener:
1. Indicadores del grado de efectividad de los controles de seguridad:
Su sentido es valorar si los controles implantados estn funcionando bien
o es necesario ajustarlos.
Pgina 37
2. Indicadores de medicin del entorno y la hostilidad: Su misin es

detectar cambios en el entorno y contexto que rodea al SGSI para realizar
ajustes respecto al anlisis de riesgos por aparicin de nuevas amenazas
o cambios en sus frecuencias de ocurrencia. Por ejemplo, la aparicin de
nuevas amenazas internas, cambios en el clima laboral de la
organizacin, frecuencia de publicacin de vulnerabilidades, deteccin de
nuevas aplicaciones malware, etc.
3. Indicadores de gestin interna: stos se establecen para evaluar el
funcionamiento propio del propio SGSI y tiene que ver con la
monitorizacin de las tareas propias de gestin. Por ejemplo, las
relacionadas con la eliminacin en plazo de no conformidades, el
porcentaje de cumplimiento de los objetivos planteados, el nmero de no
conformidades detectadas por auditora, etc.
Al definir y valorar el comportamiento de los indicadores se tendr muy en
cuenta el dao derivado de la ocurrencia de un incidente y su posible impacto en
los objetivos de la organizacin.
La informacin referente a estos indicadores, desde la perspectiva de la gestin,
es la ms crtica dado que es la base de la retroalimentacin del sistema. Por
tanto, hay que disponer de sensores de diferente naturaleza y con diferentes
objetivos: medir la evolucin de la ejecucin del plan, valorar el rendimiento y
funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve
ms hostil, etc.
Mtodos:
subjetivos y
objetivos
Procesos
Productos
Proyectos
Recursos
Medicin
Indicadores
Informaci
n
Toma de
decisiones
y ajustes al
SGSI
Al final lo importante es no perder el sentido del por qu se hacen las cosas.

Para ello, toda esta informacin debe transformarse en unas sencillas grficas
que la Direccin pueda entender y que sirvan como el autntico "termmetro de
Pgina 38
la situacin". Estos datos, adecuadamente procesados y visualmente

representados, sin disponer de excesivos detalles y conocimientos tcnicos,
permiten a la Direccin realizar su principal labor dentro del SGSI: tomar
decisiones y realizar los ajustes necesarios para el logro de los objetivos. A
modo de ejemplo se muestra a continuacin una tabla y un grfico con datos de
tres indicadores seleccionados:
Control de eventos
cantidad
10
ene
feb
incidentes
violaciones
no conform.
mar
abr
may
jun
4
3
jul
ago
sep
2
2
oct
nov
dic
1
2
meses
Registro anual de eventos

25
20
20
17
incidentes
15
11
violaciones
10
no conformidades
5
0
1
Otro aspecto a tener en cuenta es el de la frecuencia. Se deben definir y

programar claramente los intervalos en los cuales se llevar a cabo cada
medicin (semanal, mensual, trimestral, anual, etc.), considerando una relacin
entre la necesidad de contar con esta informacin y el esfuerzo para obtenerla
(costo/beneficio).
Pgina 39
Se puede definir un total de factores a evaluar (que nombraremos como K) y ver

cuantos de ellos se cumplen (que nombraremos como k).
Por ejemplo: De 10 factores predeterminados se cumplen 7
K = 10 y k = 7
7/10 = 0.7 => 70 %
Algunas posibles relaciones para indicadores pudieran ser:
a) Tiempo sin interrupciones / Tiempo total de servicio
b) Tiempo sin violaciones reportadas / Tiempo total de servicio
c) 1 / cantidad de incidentes computacionales
d) Velocidad real / velocidad contratada
e) No conformidades detectadas / total de aspectos verificados
3.3. Reglas que debe cumplir una buena mtrica:
1. Ser objetivas: Debe aportar un criterio de recogida de datos medible y
objetivo, que no dependa de valoraciones subjetivas.
2. Ser fciles de obtener: Los datos sencillos, simples de calcular y poco
costosos de recoger son buenos candidatos a ser mtricas. Al respecto, lo
ms sencillo es recurrir a datos proporcionados por herramientas o
procesados de forma automatizada.
3. Expresables de forma numrica o porcentual. No deben estar basados
en etiquetas cualitativas tales como "alto", "medio" o "bajo".
4. Expresable usando algn tipo de unidad de medida: Siempre deben
estar vinculadas a algo tangible basado en escalas como el tiempo,
nmero de defectos, o cuantas econmicas.
5. Significativas: Toda buena mtrica debe ser significativa, debe ser
relevante para el hecho o circunstancia que se desea medir y debe
aportar criterio. Una mtrica que no aporta informacin no es una buena
mtrica y debe ser desechada.
4. Proceso de Actualizacin del SGSI
Mantenimiento, mejora y correccin del SGSI
Objetivo principal: Realizar los cambios que sean necesarios para
mantener el mximo rendimiento del SGSI
Pgina 40
El proceso de actualizacin del SGSI comprende la aplicacin de acciones

correctivas y preventivas, basadas en los resultados del proceso de verificacin
descrito en el apartado anterior, para lograr la mejora continua.
En esta etapa se llevarn a cabo las labores de mantenimiento del sistema, as
como las acciones de mejora y de correccin identificadas si, tras la verificacin,
se ha detectado algn punto dbil. Este proceso se suele llevar en paralelo con
la verificacin y se acta al detectarse la deficiencia, no esperndose a tener la
fase de verificacin completada para comenzar con las tareas de mejora y
correccin.
El SGSI debe mantenerse eficiente durante todo el tiempo adaptndose a los
cambios internos de la organizacin, as como los externos del entorno. Para
lograr el perfeccionamiento constante del SGSI se deben aplicar las lecciones
aprendidas de las experiencias de seguridad de otras organizaciones, las de la
propia entidad y la de los incidentes ocurridos.
Durante la Implementacin de los resultados derivados de la verificacin se
requiere generalmente modificar controles e implantar las mejoras identificadas
en las revisiones del SGSI a partir de las decisiones sobre los cambios
requeridos para mejorar el proceso y en consecuencia se debe:
1.
2.
3.
4.
5.
6.
Estandarizar los cambios de procesos.

Comunicar los cambios a todos los implicados.
Proporcionar entrenamiento al personal sobre los nuevos mtodos.
Evaluar los nuevos riesgos.
Modificar el SGSI.
Actualizar el PSI.
Se comunicarn las acciones y mejoras a todas las partes interesadas, con un

nivel de detalle apropiado a las circunstancias, precisando sobre cmo proceder
ante el nuevo escenario y se entrenar al personal con el fin de asegurar que las
mejoras logren los objetivos previstos.
Algunos ejemplos de circunstancias que implican la necesidad de un nuevo
anlisis de riesgos pudieran ser las siguientes:
1. Instalacin de nuevos tipos de redes (por ejemplo una red inalmbrica)
en reas de la entidad o de algn nuevo enlace para la comunicacin
con otras instancias.
2. Cambios en la topologa de las redes o en la arquitectura de seguridad.
3. Introduccin de tecnologas que no se haban empleado con
anterioridad.
4. Incremento del empleo de medios removibles como soportes de
informacin por parte del personal.
5. Ocurrencia de algn incidente de seguridad.
Pgina 41
6. Puesta en marcha de una nueva aplicacin o introduccin de un nuevo

servicio de red.
7. Nuevos requerimientos informativos para la organizacin.
8. Incorporacin de personal con poca experiencia y conocimientos.
9. Cambios en la plantilla de personal, en su composicin o
completamiento.
10. Conversin de locales de uso interno en reas de acceso pblico.
11. Modificaciones estructurales de los inmuebles o cambios en su
distribucin.
Una vez realizados los cambios necesarios para mantener el mximo
rendimiento del SGSI, se actualiza el PSI en las partes que corresponda
informando de ello a todos los que requieran conocerlo.
Pgina 42
Segunda Parte: Estructura y contenido del Plan de Seguridad

Consideraciones Generales
Para la elaboracin del Plan de Seguridad Informtica se tendrn en cuenta las
consideraciones siguientes:
1. El PSI es un documento de trabajo y como tal ser accesible a todo el
personal que requiera su utilizacin por lo que la informacin que en l
se incluye debe ser ordinaria. No se incluir en el mismo, informacin
limitada o clasificada, la cual, de ser necesario, formar parte de un
documento independiente que ser categorizado conforme a lo que
expresa el Decreto-Ley No. 199 de 1999 sobre la Seguridad y
Proteccin de la Informacin Oficial y ser protegido segn lo
establecido.
2. El PSI se ajustar en todo momento al sistema de seguridad diseado e
implementado, evitando formalismos y definiciones conceptuales y
utilizndolo como una herramienta de trabajo para la gestin de la
seguridad.
3. Su redaccin ser simple, clara y libre de ambigedades para que sea
comprensible por todos los involucrados en su cumplimiento.
4. Tiene un carcter impositivo por lo que se evitarn trminos tales como
se recomienda, se debe y otros similares que no implican
obligatoriedad.
5. Contendr las tablas, grficos y otros complementos que contribuyan a
su mejor interpretacin.
6. Se mantendr permanentemente actualizado sobre la base de los
cambios que se produzcan en las condiciones consideradas durante su
elaboracin.
Presentacin del Plan de Seguridad Informtica

La pgina inicial (portada) contendr el ttulo siguiente: PLAN DE SEGURIDAD
INFORMATICA seguido de la denominacin de la entidad. En la segunda
pgina se consignarn los datos referidos a la elaboracin, revisin y aprobacin
del Plan de Seguridad Informtica, de acuerdo al formato siguiente:
Elaborado
Revisado
Aprobado
Nombre
Cargo
Firma
Fecha
Pgina 43
En la columna elaborado se consignan los datos de la persona que dirigi el

equipo que confeccion el Plan de Seguridad Informtica, en la columna
revisado los de la persona designada para su revisin antes de presentarlo a
aprobacin y en la columna aprobado se reflejan los datos del jefe de la
entidad en la que el Plan tendr vigencia.
Estructura del Plan de Seguridad Informtica
Los componentes del PSI se estructuran de la forma siguiente:
1.
2.
3.
4.
5.
6.
Alcance del PSI.

Caracterizacin del Sistema Informtico.
Resultados del Anlisis de Riesgos.
Polticas de Seguridad Informtica.
Responsabilidades
Medidas y Procedimientos de Seguridad Informtica
6.1. Clasificacin y control de los bienes informticos
6.2. Del Personal
6.3. Seguridad Fsica y Ambiental
6.4. Seguridad de Operaciones
6.5. Identificacin, Autenticacin y Control de Acceso.
6.6. Seguridad ante Programas Malignos.
6.7. Respaldo de la Informacin
6.8. Seguridad en Redes
6.9. Gestin de Incidentes de Seguridad
7. Anexos del Plan de Seguridad informtica.
7.1. Listado nominal de usuarios.
7.2. Registros.
7.3. Control de cambios
1. Alcance del Plan de Seguridad Informtica

El primer asunto que se define en el PSI es cual es su espacio de aplicacin, o
sea su alcance. El alcance expresar el radio de accin que abarca el Plan, de
acuerdo al Sistema Informtico objeto de proteccin, para el cual fueron
determinados los riesgos y diseado el Sistema de Seguridad. La importancia de
dejar definido claramente el alcance del Plan (y de ah su inclusin al comienzo
del mismo) consiste en que permite tener a priori una idea precisa de la
extensin y los lmites en que el mismo tiene vigencia.
A modo de ejemplo, la definicin del alcance del PSI en una entidad
hipottica (Empresa X) podra ser:
El presente Plan de Seguridad Informtica es aplicable en su totalidad en las reas de la
Oficina Central de la Empresa X que se encuentran en el edificio situado en la calle Mart No.
610, entre Cspedes y Agramonte, La Habana.
Pgina 44
Las polticas expresadas en este plan son de obligatorio cumplimiento para todo el personal de la
Empresa X, incluyendo los de sus dependencias que se encuentran en los municipios Plaza,
Playa y Cerro.
2. Caracterizacin del Sistema Informtico

Se describir de manera detallada el sistema informtico de la entidad,
precisando los elementos que permitan identificar sus particularidades y las de
sus principales componentes: la informacin, las tecnologas de informacin,
las personas y los inmuebles, considerando entre otros:
1.
2.
3.
4.
5.
Bienes informticos, su destinacin e importancia.

Redes instaladas, estructura, tipo y plataformas que utilizan.
Aplicaciones en explotacin.
Servicios informticos y de comunicaciones disponibles.
Caractersticas del procesamiento, transmisin y conservacin de la
informacin, teniendo en cuenta el flujo interno y externo y los niveles de
clasificacin de la misma.
6. Caractersticas del personal vinculado con las tecnologas y sus
servicios, en particular su preparacin, profesionalidad y experiencia.
7. Condiciones de las edificaciones, su ubicacin, estructura, disposicin
de los locales y condiciones constructivas.
Al describir el sistema informtico se emplearn los esquemas, tablas, grficos
y otros medios auxiliares que se requieran; a fin de facilitar una mejor
comprensin. Estos medios auxiliares pueden ser insertados, dentro de esta
propia seccin o al final del plan, como anexos a los cuales se har obligada
referencia.
La caracterizacin del sistema informtico permite conocerlo con plenitud, facilita
una mejor determinacin de las necesidades de proteccin y evita prdida de
tiempo e imprecisiones. Su descripcin en detalle posibilitar al que la lea tener
un conocimiento lo ms exacto posible del mismo aunque sea la primera vez
que se enfrente a l, cuestin que es de gran utilidad cuando se producen
cambios en el personal, lo que suele ocurrir con relativa frecuencia.
Un ejemplo de caracterizacin del sistema informtico de la Empresa X
podra ser:
El sistema informtico de la Empresa X est soportado en los medios informticos que se
describen en el Anexo No. 1, que incluyen servidores, computadoras de mesa y porttiles, gran
parte de ellas conectadas en red.
En la Oficina Central existe una red local que abarca las reas situadas en la planta baja y los
pisos 4 y 5 del edificio de la calle Mart No. 610.
Para la gestin de la red se cuenta con 5 servidores que utilizan como sistema operativo
Windows 2003 Enterprise y Linux Debian; en las estaciones de trabajo se emplea Windows XP y
Linux Ubuntu.
Pgina 45
Los servidores tienen la funcin de: controlador de dominio, aplicaciones, base de datos, correo
electrnico y Proxy.
Los servicios implementados en la red son navegacin Internet, correo electrnico y
transferencia de ficheros. La navegacin y el correo tienen alcance nacional o internacional en
dependencia de lo aprobado para cada usuario a partir de sus necesidades.
Las aplicaciones y bases de datos en explotacin son:
Sistema de Representacin Geoespacial (SIRGE)
Sistema Contable (CONTAB)
Sistema de Control de Informacin Clasificada (SCIC)
Sistema de Control de Componentes (Everest).
Sistema de Control de Actualizaciones (WSUS)
Adems se utilizan los paquetes de Office y Open Office para la elaboracin de informes y otros
documentos, en las mquinas previstas para el trabajo interno.
El cableado de la red est soportado por cable UTP categora 5, 100 Mbits, con topologa estrella
(Anexo No.2), protegido con canaletas. Las estaciones de trabajo se agrupan por reas y pisos a
partir de conmutadores (switchs) capa 2.
Adems se cuenta con un punto de acceso inalmbrico (Access Point) a la red de Internet en el
saln de reuniones del quinto piso.
La conexin con el exterior se realiza disponiendo de una lnea arrendada de 1 Mbit conectada
directamente al proveedor de servicios de Internet.
El intercambio de informacin tanto interna como externa se realiza bsicamente a travs del
correo electrnico.
La informacin ordinaria de la Oficina Central se procesa en las estaciones de trabajo de la red y
la informacin clasificada en mquinas independientes, ubicadas en la Direccin de la Empresa,
en el Departamento de Cuadros y en el de Seguridad y Defensa. La informacin recibida desde
las dependencias de la empresa y la que se enva al Organismo superior se tramita por medio
del correo electrnico y de la Intranet. La informacin que se expone en la Intranet es en todos
los casos de uso pblico.
El edificio de Mart 610 se encuentra cerca del litoral habanero, tiene buenas condiciones
constructivas, adecuadas tanto para la proteccin como para la preservacin de los equipos y la
posibilidad de visibilidad de las pantallas desde el exterior es prcticamente nula.
El personal que opera los equipos posee los conocimientos y la preparacin necesaria para su
empleo y en la mayor parte de los casos tiene nivel medio o superior.
3. Resultados del Anlisis de Riesgos

Una vez definido el alcance del PSI y realizada una detallada descripcin del
sistema informtico, corresponde finalizar esta primera parte con la formulacin
de las conclusiones obtenidas durante la determinacin de las necesidades de
proteccin mediante la evaluacin de los riesgos. Estas conclusiones incluyen:
a) Cuales son los bienes informticos ms importantes para la gestin de la
entidad y por lo tanto requieren de una atencin especial desde el punto de
vista de la proteccin, especificando aquellos considerados de importancia
crtica por el peso que tienen dentro del sistema.
Pgina 46
b) Qu amenazas pudieran tener un mayor impacto sobre la entidad en caso

de materializarse sobre los bienes a proteger.
c) Cuales son las reas con un mayor peso de riesgo y qu amenazas lo
motivan.
Un ejemplo de los resultados del anlisis de riesgos en la Empresa X
podra ser:
Los bienes informticos ms importantes a proteger son:
La red de trabajo interno de la Oficina

El servidor de aplicaciones.
Las bases de datos del sistema SIRGE (de importancia crtica)
Las bases de datos de la intranet
El servicio de correo electrnico
El sistema contable CONTAB
Las amenazas ms importantes a considerar de acuerdo al impacto que pudieran tener sobre la
empresa son:
El acceso no autorizado a la red, tanto producto de un ataque externo como interno.
Prdida de disponibilidad.
La sustraccin, alteracin o prdida de datos.
Fuga de informacin clasificada
La introduccin de programas malignos.
El empleo inadecuado de las tecnologas y sus servicios.
Las penetraciones del mar.
Las reas sometidas a un mayor peso riesgo y las amenazas que lo motivan son:
El local de los servidores de la red (acceso no autorizado y prdida de disponibilidad).
El local de Economa (alteracin o prdida de datos, prdida de disponibilidad y la
introduccin de programas malignos)
El Departamento de Investigacin y Desarrollo (alteracin o prdida de datos, prdida de
disponibilidad y la introduccin de programas malignos)
Las oficinas de la Direccin, del Departamento de Cuadros y del Departamento de
Seguridad y Defensa (fuga de informacin clasificada)
El almacn situado en la planta baja del edificio (penetraciones del mar)
En la medida en que las conclusiones del anlisis de riesgos sean ms precisas

se lograr una visin ms acertada de hacia dnde deben ser dirigidos los
mayores esfuerzos de seguridad y por supuesto los recursos disponibles para
ello, logrndose que la misma sea ms rentable.
4. Polticas de Seguridad Informtica
En esta seccin se definen los aspectos que conforman la estrategia a seguir
por la Entidad sobre la base de sus caractersticas, en conformidad con la
poltica vigente en el pas en esta materia y el sistema de seguridad diseado.
Pgina 47
Establecen las normas generales que debe cumplir el personal que participa en
el sistema informtico y se derivan de los resultados obtenidos en el anlisis de
riesgos y de las definidas por las instancias superiores en las leyes,
resoluciones, reglamentos, y otros documentos rectores.
Al definir las polticas de Seguridad Informtica que sern establecidas en la
entidad se considerarn los elementos expuestos en el punto No. 1.4.1. de la
Primera Parte de esta Metodologa.
Las polticas que se describan comprenden toda la organizacin, ya que es
obligatorio su cumplimiento en las reas que las requieran, razn por la cual
sern lo suficientemente generales y flexibles para poder implementarse en cada
caso mediante las medidas y procedimientos que demanden las caractersticas
especficas de cada lugar.
A modo de ejemplo se muestran algunas de las polticas definidas en la
Empresa X:
1. Las propuestas de iniciativas encaminadas a mejorar el sistema de seguridad
informtica se aprobarn por el Consejo de Direccin.
2. El acceso a las tecnologas de la entidad ser expresamente aprobado en cada caso y el
personal tiene que estar previamente preparado en los aspectos relativos a la seguridad
informtica.
3. Los usuarios de las tecnologas informticas y de comunicaciones responden por su
proteccin y estn en la obligacin de informar cualquier incidente o violacin que se
produzca a su Jefe inmediato superior.
4. Todos los bienes informticos sern identificados y controlados fsicamente hasta nivel
de componentes.
5. Se establecern procedimientos que especifiquen quin y cmo se asignan y suspenden
los derechos y privilegios de acceso a los sistemas de informacin.
6. Se prohbe vincular cuentas de correo electrnico de la entidad a un servidor en el
exterior del pas con el fin de redireccionar y acceder a los mensajes a travs del mismo.
7. En caso de violacin de la seguridad informtica, se comunicar al Jefe inmediato
superior y a la Oficina de Seguridad para las Redes Informticas y se crear una
comisin encargada de analizar lo ocurrido y proponer la medida correspondiente.
5. Responsabilidades
Se describir la estructura concebida en la Entidad para la gestin de la
Seguridad Informtica, especificando las atribuciones, funciones y obligaciones
de las distintas categoras de personal, que incluyen: dirigentes a los distintos
niveles (jefe de la entidad, jefes de departamentos, reas y grupos de trabajo o
estructuras equivalentes); jefes y especialistas de informtica; administradores
de redes, sistemas y aplicaciones; especialistas de seguridad informtica y de
seguridad y proteccin y usuarios comunes de las tecnologas de Informacin.
Al especificar las atribuciones, funciones y obligaciones del personal en funcin
de sus cargos se tendr en cuenta lo establecido al respecto en el Reglamento
de Seguridad para las Tecnologas de la Informacin.
Pgina 48
Un ejemplo de la estructura concebida para la gestin de la seguridad

informtica y de las funciones y obligaciones de los administradores de
sistemas, aplicaciones y bases de datos en la Empresa X podra ser:
Estructura de gestin de la seguridad informtica de la Empresa X
Director
Jefes Dptos
funcionales
Jefe de
Informtica
Especialistas
Seguridad y
Defensa
Administradores
Sistemas,
Aplicaciones y BD
Administrador
de la red
Dependencias
municipales
Funciones y Obligaciones de los Administradores de Sistemas, Aplicaciones y Bases de Datos

de la Empresa X.
a) Informar a los usuarios de los controles de seguridad que hayan sido establecidos y
verificar su utilizacin apropiada.
b) Controlar el acceso a los sistemas, aplicaciones y bases de datos en correspondencia
con la poltica establecida para los mismos.
c) Garantizar la ejecucin de los procedimientos de salva de programas y datos as como
su conservacin.
d) Detectar posibles vulnerabilidades en los sistemas y aplicaciones bajo su
responsabilidad y proponer acciones para su solucin.
e) Garantizar su mantenimiento y actualizacin y el registro de los sistemas y aplicaciones
que lo requieran.
Aplicaciones, Sistemas y Bases de Datos
Administrador
Jess Ramos Lpez
Sistema de Control de Componentes (Everest)
Julio Martnez Corts
Sistema contable CONTAB
Anaibis Daz Carmona
Sistema de control informacin clasificada (SCIC)
Diana Santos Martnez
Sistema de Control de Actualizaciones (WSUS)
Humberto Prez Nez
Pgina 49
6. Medidas y Procedimientos de Seguridad Informtica

En este segmento del PSI se describe cmo se implementan, en las reas a
proteger, las polticas que han sido definidas para la entidad, en
correspondencia con las necesidades de proteccin en cada una de ellas,
atendiendo a sus formas de ejecucin, periodicidad, personal participante y
medios. Se describirn por separado los controles de seguridad implementados
en correspondencia con su naturaleza, combinando el empleo de los medios
humanos y de los medios tcnicos con las acciones que deben ser realizadas.
Las medidas y procedimientos no deben confundirse con una declaracin de
intencin o lnea de deseos, por lo que con su descripcin se especifican los
controles implementados, no los que se quisieran implementar.
El PSI se sustenta sobre la base de los recursos disponibles y en dependencia
de los niveles de seguridad alcanzados y de los aspectos que queden por cubrir
se elabora un Programa de Desarrollo de la Seguridad Informtica, que incluya
las acciones a realizar por etapas para lograr niveles superiores (ver punto No.
2.1. de la Primera Parte).
Hay que concentrarse en las acciones que garantizan la instrumentacin de las
polticas definidas y su aplicacin apropiada en cada rea que lo requiere.
6.1. Clasificacin y control de los bienes informticos
Estas medidas y procedimientos persiguen identificar los bienes informticos de
acuerdo a su importancia, controlar y supervisar que sean utilizados en
funciones propias del trabajo y garantizar su proteccin. En este apartado se
incluyen las medidas y los procedimientos que se requieran para:
1. Precisar los mtodos de supervisin y control que se utilicen, el personal
encargado de ejecutarlos y los medios empleados para ello.
2. Establecer los mecanismos que se requieran para identificar y controlar
los bienes informticos y la conformacin de un inventario de los mismos
permanentemente actualizado.
3. Precisar la persona encargada de cada bien informtico y responsable por
su proteccin.
4. Garantizar la autorizacin y el control sobre el movimiento de los bienes
informticos.
A modo de ejemplo de medidas y procedimientos de control de los medios
informticos se muestran los siguientes:
Medida.
La administradora del sistema CONTAB responde por la integridad de los medios destinados
para la explotacin de esta aplicacin.
Pgina 50
Procedimiento No. 1. Control de medios informticos.

1. Acceder la ltima semana de cada mes al Sistema de Control de Componentes (Everest) a
travs del servidor de la red aplicndolo a los medios informticos que forman parte del
dominio de la red.
2. Comprobar cambios existentes desde el ltimo control realizado.
3. Informar a la Direccin de la Empresa los resultados de la comprobacin.
4. Generar un resumen de los resultados de cada control y conservarlo por un ao.
5. Esclarecer en caso de existir diferencia las causas y responsabilidades.
Responsable: Director de la empresa
6.2. Del Personal

Las medidas y procedimientos asociadas con el personal tienen como objetivo
garantizar el cumplimiento de las funciones y responsabilidades de seguridad
generales y especficas de las personas vinculadas con las tecnologas de la
informacin y sus servicios, as como la documentacin de las mismas y deben
asegurar:
1. La seleccin adecuada del personal previsto para ocupar cargos en la
actividad informtica o con acceso a sistemas crticos, a informacin de
valor o a la supervisin y seguridad de los sistemas.
2. La obligacin de la entidad en cuanto a la preparacin del personal y la
responsabilidad del trabajador hacia la Seguridad Informtica, as como la
inclusin de estos aspectos en los trminos y condiciones del contrato de
empleo.
3. La forma en que ser autorizada por la direccin de la entidad la
utilizacin de las tecnologas y sus servicios por parte de los usuarios que
lo necesiten.
4. La obligacin de los jefes a cada nivel en cuanto a garantizar la Seguridad
Informtica en su rea de responsabilidad.
5. Las acciones a realizar en caso de empleo no autorizado de las
tecnologas y sus servicios por parte de los usuarios.
6. La responsabilidad de los jefes a cada nivel en cuanto a la preparacin de
su personal y del conocimiento de sus deberes y derechos, incluyendo la
inclusin en el contrato de trabajo de la constancia del compromiso de
cada trabajador.
7. Los requerimientos de seguridad para la autorizacin del acceso a las
tecnologas y servicios por parte de personal externo.
8. Las formas y medios mediante los cuales los usuarios deben informar
acerca de cualquier incidente de seguridad, debilidad o amenaza.
9. Evitar la realizacin de acciones de comprobacin de vulnerabilidades
contra sistemas informticos nacionales o extranjeros, as como la
introduccin, ejecucin, distribucin o conservacin de programas para
esos fines o informacin contraria al inters social, la moral y las buenas
costumbres.
Pgina 51
Los controles de seguridad con relacin al personal considerarn no solo los

requisitos a cumplir por los trabajadores durante el tiempo de vigencia de su
contrato de empleo, sino tambin antes de ser contratado y con posterioridad al
cese de su relacin laboral.
Un ejemplo de procedimiento relacionado con el personal en la Empresa X
podra ser:
Procedimiento No 2. Aprobacin de acceso a las tecnologas y servicios por parte de personal
externo.
1. Elaborar y presentar la solicitud de autorizacin de acceso a las TI al Director de la
Empresa, donde se incluya el nombre y apellidos de la persona que necesita el acceso y su
nmero de carn de identidad; las razones que justifican este acceso, el acceso que se
requiere y el tiempo que se requerir mantenerlo.
Responsable: Jefe del rea asociada con el acceso
2. Aprobar (denegar) la solicitud en caso que corresponda, y darlo a conocer por escrito al
administrador de la red, al Jefe del rea que realiz la solicitud y al Jefe del Departamento de
Seguridad y Defensa, especificando el alcance del acceso y el tiempo de vigencia del
mismo.
Responsable: Director de la Empresa
3. Asignar (en caso de autorizacin de acceso), un identificador personal y nico para el acceso a
los sistemas y servicios determinados en la aprobacin y definir en el servidor de la red los
atributos en correspondencia con la autorizacin otorgada.
4. Imponer a la persona a que se otorga el acceso de sus obligaciones y atribuciones con relacin
al empleo de las tecnologas y sus servicios.
Responsable: Jefe del rea que solicita el acceso
5. Solicitar al director la cancelacin del acceso concedido e informar las razones de la solicitud.
Responsable: Jefe del rea que solicita el acceso
6. Cancelar la cuenta y los permisos de acceso una vez concluido el plazo previsto.
Responsable: Administrador de la red.
6.3. Seguridad Fsica y Ambiental

Las medidas y procedimientos de seguridad fsica y ambiental tienen como
objetivo evitar accesos fsicos no autorizados, daos e interferencias contra las
instalaciones, las tecnologas y la informacin de la organizacin.
Se aplican a los locales donde se encuentran las tecnologas de la informacin y
directamente a estas mismas tecnologas y a los soportes de informacin e
incluyen: medios fsicos, medios tcnicos de deteccin y alarma y el personal
que forma parte de las fuerzas especializadas.
La proteccin fsica se alcanza creando una o ms barreras fsicas alrededor de
las reas de procesamiento de la informacin. El uso de mltiples barreras
brinda proteccin adicional, de modo que la falta de una barrera no significa que
la seguridad se vea comprometida inmediatamente.
Pgina 52
La proteccin del equipamiento (incluyendo aquel utilizado fuera de la entidad)

es necesaria para reducir el riesgo de accesos no autorizados a la informacin y
para protegerlo contra prdidas o daos. Se pueden requerir controles
especiales para proteger contra amenazas fsicas, y para preservar los equipos,
tales como la garanta del suministro elctrico y la infraestructura adecuada del
cableado.
La seguridad ambiental incluye la aplicacin de medios contra daos que
puedan ser ocasionados por incendios, inundaciones, terremotos, explosiones,
perturbacin del orden, y otras formas de desastre natural o artificial.
Las medidas y procedimientos de seguridad fsica y ambiental van dirigidas a:
1. La proteccin de las tecnologas contra la sustraccin o alteracin,
incluyendo sus componentes y la informacin que contienen.
2. Impedir su empleo para cometer acciones malintencionadas o delictivas.
3. Disminuir el impacto producido por fuego, inundacin, explosin,
perturbacin del orden y otras formas de desastre natural o artificial.
4. La proteccin contra fallas de alimentacin u otras anomalas elctricas.
5. La proteccin de los cables que transporten datos o apoyen los servicios
contra la intercepcin o el dao.
6. Garantizar que el equipamiento reciba un mantenimiento adecuado en
correspondencia con las especificaciones del fabricante.
7. El control del movimiento de las tecnologas.
8. La preservacin de la informacin del equipamiento que cause baja o se
destine a otras funciones.
Corresponde a esta parte del PSI la determinacin de los locales considerados
como reas o zonas controladas en correspondencia con la caracterizacin del
sistema informtico realizada y los resultados del anlisis de riesgos y que por lo
tanto tienen requerimientos especficos de seguridad, en base a lo cual se
declaran reas limitadas, restringidas o estratgicas y se describen las
medidas que se aplican en cada una de ellas, por ejemplo: restricciones para
limitar el acceso a los locales, procedimientos para el empleo de cierres de
seguridad y dispositivos tcnicos de deteccin de intrusos, etc.
Al referir las medidas y procedimientos que se establecen para lograr una
seguridad fsica y ambiental adecuada a las necesidades de las tecnologas de
la informacin no es necesario describir las condiciones constructivas de los
inmuebles, pues ya eso debe haber sido realizado durante la caracterizacin del
sistema informtico y expuesto en el punto No. 2 de la estructura del PSI.
Un ejemplo de la clasificacin y medidas especficas en las reas
controladas en la Empresa X es la siguiente:
Pgina 53
rea controlada
Categora
Medidas especficas
Direccin, Cuadros,
Seguridad y Defensa
Limitada
Acceso fsico limitado; cierres seguros en puertas y

ventanas; alarma contra intrusos.
Economa
Limitada
Servidores de la red
Restringida
Acceso fsico limitado; control de soportes

removibles; alarma contra intrusos; separacin de
funciones; proteccin de las copias de programas y
datos.
Acceso solo a administradores; cierre magntico en
la puerta de acceso y alarma contra intrusos:
redundancia de HW, SW, climatizacin y datos.
Acceso fsico limitado; cierres seguros en puertas y
ventanas; alarma contra intrusos; redundancia de
datos.
Investigacin
Desarrollo
y Limitada
Se describirn en detalle las medidas especficas de la tercera columna de la

tabla anterior: a quien se autoriza el acceso, tipo de alarma, en que consiste el
cierre seguro, como se controlan los soportes removibles, que funciones deben
estar separadas en usuarios diferentes, como se logra la redundancia y la
proteccin de la informacin de respaldo; etc.
Obsrvese que las reas declaradas como controladas coinciden con las que se
determin en el anlisis de riesgos que estaban sometidas a un mayor peso de
riesgo (ver punto No. 3 de la estructura del PSI, Resultados del Anlisis de
Riesgos).
En el prximo ejemplo se muestra una medida con el procedimiento
correspondiente para el control del movimiento de las tecnologas:
Medida:
La entrada, salida y traslado de las tecnologas de informacin en la Empresa X se realizar con
autorizacin del Director en correspondencia con el Procedimiento No. 3, dejndose constancia
de ello en el Registro No.1, movimiento de tecnologas de informacin.
Procedimiento No. 3. Movimiento de Tecnologas de la Informacin.
1. Solicitar autorizacin por escrito al Director de la Empresa X para el movimiento de las
tecnologas que lo requieran, fundamentando en que consiste el movimiento, los motivos y si
es temporal el tiempo requerido.
Responsable: Jefe del rea a que pertenece el medio a trasladar
2. Autorizar si es procedente el movimiento de las tecnologas y darlo a conocer por escrito al
Jefe del rea que realiz la solicitud, al Jefe del rea de Contabilidad y al Jefe del
Departamento de Seguridad y Defensa, especificando el tiempo de vigencia de la
autorizacin.
Responsable: Director de la Empresa X
3. Registrar en el sistema CONTAB el movimiento del medio bsico autorizado a trasladar.
Responsable: Jefe del rea de Contabilidad.
4. Revisar antes de su salida (entrada) de la entidad las tecnologas autorizadas a trasladar,
precisando la existencia y estado de sus partes y componentes, si contienen informacin y
de qu tipo, as como lo relacionado con el control antivirus.
Pgina 54
5. Consignar el movimiento en el Registro No. 1, especificando la fecha en que se produce, los

datos del equipo objeto del movimiento, de qu lugar se extrae o proviene y a qu lugar se
lleva y motivo por el que se realiza el movimiento (evento, exposicin, reparacin, etc.).
6. Controlar el cumplimiento de las autorizaciones sobre el movimiento de las tecnologas y su
registro adecuado.
Responsable: Jefe del Departamento de Seguridad y Defensa
6.4. Seguridad de Operaciones

Las medidas y procedimientos de Seguridad de Operaciones estn dirigidas a
lograr una eficiente gestin de la seguridad y deben garantizar el cumplimiento
de las regulaciones vigentes en el pas, as como las establecidas por la propia
entidad.
La gestin del sistema de seguridad implica el control de las acciones que se
realizan dentro del sistema informtico y su garanta de que se ajustan a las
polticas de seguridad establecidas para el empleo de las tecnologas y sus
servicios y para ello las medidas y procedimientos de seguridad de operaciones
deben considerar entre otros los aspectos siguientes:
1. La aplicacin del principio de separacin de funciones evitando que se
asignen a una misma persona tareas que en su conjunto pueden propiciar
la modificacin no autorizada de datos o el mal uso de los sistemas.
2. La aprobacin para la introduccin en la entidad de nuevos sistemas
informticos, actualizaciones y nuevas versiones, previa verificacin de su
correspondencia con el sistema de seguridad establecido y el
cumplimiento de los criterios de seguridad apropiados.
3. El control por el personal autorizado de las acciones necesarias para
cubrir las brechas de seguridad y la correccin de los errores de los
sistemas, su documentacin y reporte a quienes corresponda.
En esta parte del PSI se incluye la ejecucin de los procedimientos de revisin
mediante los mtodos de medicin que posibiliten detectar errores de proceso,
identificar fallos de seguridad de forma rpida y determinar las acciones a
realizar para lograr el ciclo de mejora continua. Se utilizan para ello los
indicadores seleccionados sobre la base de los criterios respecto a qu aspectos
se deben controlar y medir para lograr el cumplimiento de los objetivos
planteados en el SGSI implementado en la entidad. Existen diversos mtodos
de medicin y hay disponibles diferentes procedimientos y herramientas que
facilitan su implementacin en cualquier entidad (ver punto No. 3 de la Primera
Parte, Proceso de Verificacin del SGSI)
Se incluirn adems las medidas y procedimientos implementados para el
registro y anlisis de las trazas de auditora generadas por los sistemas
operativos y servicios de redes, y por los sistemas instalados segn lo
reglamentado, con el fin de monitorear las acciones que se realicen (acceso a
ficheros, dispositivos, empleo de los servicios, etc.), y detectar indicios de
Pgina 55
hechos relevantes a los efectos de la seguridad que puedan afectar la

estabilidad o el funcionamiento del sistema informtico.
En caso de empleo de software especializado que permita la deteccin de
posibles errores de configuracin u otras vulnerabilidades, as como su
correccin se describirn los procedimientos requeridos.
Se referirn adems las medidas que garanticen la integridad de los
mecanismos y registros de auditora limitando su acceso solo a las personas
autorizadas para ello.
A modo de ejemplo de procedimiento de las acciones necesarias para
cubrir las brechas de seguridad y la correccin de los errores en la
Empresa X se muestra el siguiente:
Procedimiento No. 4 Correccin de errores y brechas de seguridad.
1. Instalar y configurar las aplicaciones Wsus, destinada para distribuir parches de seguridad
de Microsoft para la eliminacin de vulnerabilidades conocidas cuando su solucin sea
publicada por el fabricante y LANguard y Nmap, para detectar brechas de seguridad, puertos
abiertos y otras vulnerabilidades similares.
2. Ejecutar las aplicaciones LANguard y Nmap una vez al mes y controlar cada lunes la
ejecucin de Wsus.
3. Informar los resultados de las acciones de correccin de errores y brechas de seguridad al
Jefe del Departamento de Informtica cada vez que se realicen y preservar los registros en
los soportes habilitados al efecto por un tiempo no menor de un ao.
4. Analizar los resultados de las acciones de correccin de errores y brechas de seguridad y su
correspondencia con lo previsto en el Sistema de Seguridad Informtica de la Empresa y en
caso de detectarse nuevas vulnerabilidades proponer las acciones necesarias para su
evaluacin y determinacin de las modificaciones requeridas para su eliminacin.
Responsable: Jefe del Departamento de Informtica
5. Actualizar los cambios en el PSI.
6.5. Identificacin, Autenticacin y Control de Acceso

Las medidas y procedimientos de identificacin, autenticacin y control de
acceso responden a las polticas que previamente fueron definidas en la entidad
sobre estos aspectos y tienen como objetivo gestionar el acceso a la informacin
de forma segura, garantizando el acceso de usuarios autorizados e impidiendo
el acceso no autorizado a los sistemas de informacin. Los accesos a la
informacin y a las instalaciones de procesamiento de la informacin sern
controlados sobre la base de requisitos de seguridad. Los controles
considerarn:
Pgina 56
a) Las polticas para la autorizacin y distribucin de la informacin.

b) La consistencia entre los controles de acceso y las polticas de
clasificacin de la informacin.
c) La legislacin vigente y las obligaciones contractuales con respecto a la
proteccin del acceso a los datos o servicios.
d) El establecimiento de perfiles estndar de acceso de usuarios para roles
comunes.
e) La gestin de derechos de acceso en un ambiente distribuido y de redes
que reconozca todos los tipos de conexin posibles.
f) La separacin de roles de control de acceso, por ejemplo, solicitud de
acceso, autorizacin de acceso y administracin de acceso.
g) Los requisitos para autorizaciones formales de solicitudes de acceso.
h) La cancelacin de derechos de acceso.
Esos controles debern cubrir todas las etapas del ciclo de vida del acceso del
usuario, desde el registro inicial de nuevos usuarios hasta la cancelacin final
del registro de usuarios que no requieren ms acceso a los sistemas de
informacin y a los servicios.
Identificacin de usuarios
Los procedimientos de identificacin de usuarios garantizarn:
a) La utilizacin de un identificador nico (ID) para cada usuario para permitir
que queden vinculados y sean responsables de sus acciones.
b) La verificacin de que el usuario tenga autorizacin para el uso del
servicio o el sistema de informacin.
c) La verificacin de que el nivel de acceso otorgado se corresponda con la
necesidad de uso y que es consistente con la poltica de seguridad, por
ejemplo que no compromete la segregacin de tareas.
d) Que los usuarios firmen declaraciones indicando que ellos comprenden y
asumen las condiciones de acceso.
e) Mantener un registro impreso de todas las personas a las que se les
otorga acceso.
f) Eliminar inmediatamente o bloquear los derechos de acceso de los
usuarios que hayan cambiado roles o tareas o dejado la organizacin.
g) Realizar peridicamente una verificacin para eliminar o bloquear las
cuentas e identificadores de usuarios (IDs) redundantes.
Se explicar el mtodo empleado para la identificacin de los usuarios ante los
sistemas, servicios y aplicaciones existentes, especificando:
1. Cmo se asignan los identificadores de usuarios.
2. Si existe una estructura estndar para la conformacin de los
identificadores de usuarios.
3. Quin asigna los identificadores de usuarios.
Pgina 57
4. Cmo se eliminan los identificadores de usuarios una vez que concluya la

necesidad de su uso y cmo se garantiza que estos no sean utilizados
nuevamente.
5. El proceso de revisin de utilizacin y vigencia de los identificadores de
usuarios asignados.
Autenticacin de usuarios
Se explicar el mtodo de autenticacin empleado para comprobar la
identificacin de los usuarios ante los sistemas, servicios y aplicaciones
existentes.
Cuando se utilice algn dispositivo especfico de autenticacin se describir su
forma de empleo. En el caso de empleo de autenticacin simple por medio de
contraseas se especificar:
1. Cmo son establecidas las contraseas.
2. Tipos de contraseas utilizadas (configuracin de arranque, protector de
pantalla, aplicaciones, etc.)
3. Estructura y periodicidad de cambio que se establezca para garantizar la
fortaleza de las contraseas utilizadas en los sistemas, servicios y
aplicaciones, en correspondencia con el peso de riesgo estimado para los
mismos.
4. Causas que motivan el cambio de contraseas antes de que concluya el
plazo establecido.
La estructura y periodicidad de cambio de las contraseas de acceso sern
seleccionadas en correspondencia con la importancia de los bienes cuyo acceso
se protege y los riesgos a que estn sometidos, as como la existencia de otros
tipos de controles complementarios que contribuyan a su proteccin, por lo que
no necesariamente deben ser iguales en todos los casos. Por ejemplo, para un
sistema que no est catalogado como de importancia crtica para la entidad y
que adems est ubicado en un rea a la que no acceden muchas personas, tal
vez una contrasea de pocos caracteres que se modifique en intervalos
largos sera suficiente, por el contrario un sistema de importancia crtica para la
entidad debera contar con contraseas de mayor fortaleza, obligando a su
cambio con mayor frecuencia.
En una red, con este objetivo podran crearse grupos con necesidades de
seguridad comunes a los cuales se les impondran requerimientos diferenciados
en cuanto a la estructura y cambio de las contraseas de acceso.
La instauracin de contraseas se controla a travs de un proceso formal de
gestin. El proceso incluir los requisitos siguientes:
Pgina 58
a) Exigir a los usuarios que firmen una declaracin de que se comprometen

a mantener confidencialidad sobre las contraseas personales; esta
declaracin firmada se incluir dentro de los trminos de empleo como
parte de sus responsabilidades hacia la Seguridad Informtica (ver punto
6.2 Del Personal).
b) Establecer procedimientos para verificar la identidad del usuario antes de
la utilizacin de cualquier contrasea.
c) Cuando se asigne inicialmente una contrasea temporal los usuarios
deben ser forzados a cambiarla inmediatamente despus del primer
acceso.
d) Las contraseas temporales sern proporcionadas a los usuarios de un
modo seguro y se evitar el uso de mensajes de correo electrnico de
terceras partes o no protegidos (en texto claro).
e) Las contraseas por defecto de los vendedores se cambiarn
inmediatamente luego de la instalacin del software o sistemas.
f) Las contraseas sern nicas para cada persona y no deben ser
descifrables.
Las contraseas son un medio comn de verificacin de la identidad del usuario
antes de acceder a los sistemas de informacin o a los servicios de acuerdo a la
autorizacin que tenga el usuario, pero es un mtodo que puede ser violado con
relativa facilidad. En los casos que se requiera una mayor seguridad, se
considerarn otras tecnologas disponibles para la identificacin y autenticacin
del usuario, tales como biometra, por ejemplo, verificacin de huella digital,
verificacin de firma, y uso de medios fsicos de autenticacin como tarjetas
inteligentes.
Se exigir a los usuarios el cumplimiento de buenas prcticas de seguridad en la
seleccin y el uso de contraseas. Todos los usuarios sern advertidos en
cuanto a:
a) Mantener confidencialidad sobre la contrasea.
b) Evitar mantener un registro de contraseas en texto claro en cualquier
medio (por ejemplo, papel, archivo de software o dispositivo de mano).
c) Cambiar las contraseas cuando haya una indicacin de riesgo en el
sistema o en la contrasea.
d) Seleccionar contraseas de calidad con suficiente longitud mnima que
sean:
1. Fciles de recordar.
2. No se basen en algo que alguien pueda adivinar fcilmente o usando
informacin relacionada con la persona, por ejemplo, nombres,
nmeros telefnicos, fechas de nacimiento, etc.
3. No vulnerables a ataques tipo diccionario (es decir, que no consistan
en palabras incluidas en diccionarios).
4. Libres de caracteres idnticos sucesivos ya sean numricos o
alfabticos.
Pgina 59
e) Cambiar las contraseas a intervalos regulares o basados en el nmero

de accesos (las contraseas de cuentas privilegiadas deben ser
cambiadas ms frecuentemente que las contraseas normales), y evitar la
reutilizacin o reciclaje de contraseas.
f) Cambiar las contraseas temporales en la primera conexin.
g) No incluir contraseas en ningn proceso automatizado de conexin.
h) No compartir las contraseas de usuario individuales.
i) No utilizar la misma contrasea para propsitos de trabajo y particulares.
Control de acceso a los bienes informticos
Se describirn las medidas y procedimientos que aseguran el acceso autorizado
a los bienes informticos que requieren la imposicin de restricciones a su
empleo, especificando:
1. A qu bienes informticos se le implementan medidas de control de
acceso.
2. Mtodos de control de acceso utilizados.
3. Quin otorga los derechos y privilegios de acceso.
4. A quin se otorgan los derechos y privilegios de acceso.
5. Cmo se otorgan y suspenden los derechos y privilegios de acceso.
El control de acceso a los bienes informticos estar basado en una poltica de
mnimo privilegio, en el sentido de otorgar a cada usuario solo los derechos y
privilegios que requiera para el cumplimiento de las funciones que tenga
asignadas.
La asignacin de derechos y privilegios ser controlada a travs de
procedimientos formales de autorizacin que determinarn el perfil de cada
usuario. Se considerarn los elementos siguientes:
a) Asociar el derecho de acceso con cada componente, por ejemplo sistema
operativo, sistema de gestin de base de datos y de cada aplicacin,
identificando los usuarios a los que es necesario asignar tales privilegios.
b) Los privilegios sern asignados sobre la base de necesidad de uso y
considerando recurso por recurso.
c) Se implementar un proceso de autorizacin y se mantendr un registro
de todos los privilegios asignados. Los privilegios no se otorgarn hasta
que el procedimiento de autorizacin no concluya.
Hay que tener en cuenta que el uso inapropiado de los privilegios de
administracin puede ser un factor importante de surgimiento de fallas o brechas
de seguridad (cualquier caracterstica o recurso de un sistema informtico que
habilite al usuario a hacer caso omiso de los controles del mismo o de la
aplicacin).
Pgina 60
La direccin de la entidad instrumentar la revisin de los derechos de acceso

de los usuarios a intervalos regulares para mantener un control efectivo sobre el
acceso a los datos y servicios informticos, utilizando un proceso formal que
considere los siguientes aspectos:
a) Los derechos de acceso de usuarios sern revisados despus de
cualquier cambio, tal como el traslado de un cargo a otro dentro de la
misma organizacin o el cese de las relaciones laborales.
b) Verificar que con la asignacin de derechos no se obtienen privilegios no
autorizados.
Como parte del control de acceso a los bienes informticos se incluirn las
medidas y procedimientos establecidos con el fin de evitar la modificacin no
autorizada, destruccin y prdida de los ficheros y datos, as como para impedir
que sean accedidos pblicamente, especificando:
1. Medidas de seguridad implementadas a nivel de sistemas operativos,
aplicacin o ambos para restringir y controlar el acceso a las bases de
datos.
2. Medidas para garantizar la integridad del software y la configuracin de
los medios tcnicos.
3. Empleo de medios criptogrficos para la proteccin de ficheros y datos.
Ejemplo de procedimiento en la Empresa X

Procedimiento No 5. Aprobacin y cancelacin de acceso a las TI
1. Elaborar y presentar la solicitud de autorizacin (cancelacin) de acceso a las TI al Director
de la Empresa, donde se incluya el nombre y apellidos del trabajador que necesita el acceso;
las razones que justifican este acceso y los activos a que solicita acceder. De ser una
necesidad temporal especificar el tiempo que se requerir mantenerlo. En el caso de retiro
del acceso presentar breve informe refiriendo los motivos de la propuesta y si es definitiva o
temporal.
Responsable: Jefe del rea a que pertenece el trabajador
2. Aprobar (denegar) la solicitud en caso que corresponda, y darlo a conocer por escrito al
administrador de la red y al Jefe del rea que realiz la solicitud, especificando el alcance del
acceso.
Responsable: Director de la Empresa
3. Preparar al trabajador en el uso adecuado de las tecnologas de la informacin y en sus
obligaciones como usuario de las mismas y firma por el trabajador del compromiso de
empleo de las tecnologas de la informacin. El documento original se entregar al
administrador de la red y la copia se incluir en el contrato de trabajo.
Responsable: Jefe del rea a que pertenece el trabajador
4. Asignar (en caso de autorizacin de acceso), un identificador personal y nico para el acceso a
los sistemas y servicios determinados en la aprobacin y definir en el servidor los atributos en
correspondencia con la autorizacin otorgada.
5. Otorgar al usuario una contrasea temporal para ser utilizada en su primera conexin,
obligndolo a cambiarla una vez que acceda al sistema o servicio asignado.
Pgina 61
6. Configurar en el servidor los atributos que se determinen o se agregan en correspondencia

con la autorizacin otorgada.
7. Cancelar, en caso de revocacin de acceso, la cuenta y los permisos de acceso otorgados.
8. Conservar las autorizaciones de acceso a las TI en el rea de informtica por un periodo no
menor de 1 ao.
9. Realizar un control trimestral de este procedimiento e informar de sus resultados al Director
de la Empresa.
Responsable: Jefe del Departamento de Organizacin y Supervisin
6.6. Seguridad ante programas malignos

Se establecern las medidas y procedimientos que se requieran para la
proteccin contra virus y otros programas dainos que puedan afectar los
sistemas en explotacin, as como para evitar su generalizacin, especificando
los programas antivirus utilizados y su rgimen de instalacin y actualizacin.
La proteccin contra cdigos maliciosos se basar en el empleo de medidas de
prevencin, deteccin y recuperacin, en la necesidad de la seguridad, y en
controles apropiados de acceso al sistema. Las siguientes pautas sern
consideradas:
1. Establecimiento de polticas que instituyan la prohibicin del uso de
software no autorizado y la proteccin contra los riesgos asociados a la
obtencin de archivos y software por redes externas o cualquier otro
medio, indicando las medidas protectoras a adoptar.
2. Revisiones regulares del contenido de datos y software que soportan los
procesos de gestin de la entidad y de la presencia de archivos no
aprobados o modificaciones no autorizadas.
3. La instalacin y actualizacin regular de programas antivirus que exploren
las computadoras y los soportes de forma rutinaria o como un control
preventivo para la deteccin y eliminacin de cdigo malicioso; las
verificaciones incluirn:
a) Comprobacin de archivos en medios electrnicos u pticos, y
archivos recibidos a travs de redes, para verificar la existencia de
cdigo malicioso, antes de su uso.
b) Comprobacin de todo archivo adjunto a un correo electrnico o de
cualquier descarga antes de su uso. Realizar esta comprobacin en
distintos lugares, por ejemplo, en los servidores de correo, en las
computadoras terminales o a la entrada de la red de la organizacin.
c) Comprobacin de pginas Web para saber si existe en ellas cdigo
malicioso.
4. La definicin de procedimientos y responsabilidades de gestin para la
proteccin de los sistemas contra cdigo malicioso, la capacitacin para
Pgina 62
su uso, la informacin de los ataques de los virus y las acciones de

recuperacin.
5. La implementacin de medidas para la recuperacin ante ataques de
cdigo malicioso, incluyendo los datos y software necesarios de respaldo
y las disposiciones para la recuperacin.
6. La implementacin de procedimientos para obtener informacin sobre
nuevos cdigos maliciosos a travs de listas de correo y comprobacin de
los sitios Web que brindan esa informacin.
7. La implementacin de procedimientos para verificar la informacin relativa
al software malicioso y asegurarse que es real. Los encargados de esta
actividad deben poder diferenciar los cdigos maliciosos reales de los
falsos avisos de cdigo malicioso, usando fuentes calificadas. Se
advertir al personal sobre el problema de los falsos avisos de cdigo
malicioso y qu hacer en caso de recibirlos.
Ejemplo de procedimiento en la Empresa X

Procedimiento No 6. Descontaminacin de programas malignos
1.
2.
3.
4.
5.
6.
7.
8.
Al detectar en una estacin de trabajo indicios de contaminacin detener la actividad que se

est realizando, desconectarla de la red e informar al Jefe inmediato y al Administrador de
la red.
Responsable: Usuario de la estacin de trabajo
Identificar de qu tipo de programa maligno se trata.
Verificar que en el medio contaminado se est ejecutando una versin actualizada del
programa antivirus instalado y de no cumplirse, proceder a la actualizacin del programa
antivirus y llevar a cabo la descontaminacin. De ser exitosa la descontaminacin, poner en
operacin el medio afectado.
Revisar los soportes y el resto de las tecnologas que pudieran haber sido afectadas.
Investigar las causas de aparicin del cdigo malicioso.
Realizar las anotaciones pertinentes en el Registro de Incidencias (Registro No. 3).
Reportar el incidente a su instancia superior y a la OSRI.
Si es un programa maligno desconocido, proceder al aislamiento del fichero contaminado y
remitirlo a la empresa Segurmtica.
6.7. Respaldo de la Informacin

Las medidas y procedimiento de respaldo que se implementen garantizarn
mantener la integridad y disponibilidad de la informacin y de las instalaciones
de procesamiento de la informacin frente a cualquier eventualidad.
Para alcanzar un nivel de respaldo adecuado se harn las copias de seguridad
de la informacin y del software que se determinen en cada caso y se
comprobarn regularmente.
Se dispondr de procedimientos de respaldo para asegurar que toda la
informacin esencial y el software puedan recuperarse tras un desastre o fallo,
considerando para ello los elementos siguientes:
Pgina 63
a) Definir el nivel necesario de informacin de respaldo.

b) Realizar copias seguras y completas de la informacin, y establecer los
procedimientos de restauracin.
c) Determinar el grado (completo o parcial) y la frecuencia de los respaldos
en correspondencia con los requisitos de la entidad, los requisitos de
seguridad de la informacin implicada, y la importancia de la informacin
que permita la operacin contina de la organizacin.
d) Precisar las copias que deben ser almacenadas en un rea apartada del
lugar habitual de procesamiento de la informacin que se preserva, a una
suficiente distancia para la salvaguarda de cualquier dao producto de un
desastre en el sitio principal.
e) Establecer un nivel apropiado de proteccin ambiental y fsico (ver punto
6.3. Seguridad Fsica y Ambiental) de la informacin de respaldo
consistente con las normas aplicadas en el sitio principal. Los controles
aplicados a los soportes en el sitio principal se extendern para cubrir el
sitio de respaldo.
f) Probar regularmente los soportes de respaldo para verificar que puede
confiarse en ellos para el uso cuando sean necesarios.
g) Comprobar regularmente los procedimientos de restauracin para
asegurar que son eficaces y que pueden ser utilizados dentro del tiempo
asignado en los procedimientos de recuperacin.
h) Proteger los respaldos por medio del cifrado en los casos que se requiera.
Para los sistemas crticos, las disposiciones de respaldo cubrirn la informacin
y datos para recuperar el sistema completo en caso de un desastre.
Los procedimientos de respaldo, cuando sea posible, se automatizarn para
facilitar el respaldo y los procesos de restauracin. Tales soluciones
automatizadas se probarn suficientemente antes de la puesta en prctica y en
intervalos regulares.
Ejemplo de un procedimiento de respaldo en la Empresa X
Procedimiento No. 7. Respaldo de Aplicaciones.
1.
Realizar diariamente la salva de:

Sistema Contable (CONTAB)
Sistema de Control de Informacin Clasificada (SCIC)
Sistema de Control de componentes (Everest).
Sistema de Control de Actualizaciones (WSUS).
al finalizar la jornada de trabajo en discos compactos en dos versiones. Una copia ser
guardada en el local del administrador de la red y la otra en la oficina de la secretaria del
director.
Responsable: Administradores de sistemas
2. Verificar la integridad de la salva.
3. Consignar en el registro de salvas de aplicaciones (Registro No. 4) las acciones de respaldo
Pgina 64
realizadas
4. Realizar un control trimestral (incluyendo revisin del registro), del cumplimiento de este
procedimiento.
Responsable: Jefe Departamento de Organizacin y Supervisin
6.8. Seguridad en Redes

En esta parte del plan se incluyen las acciones a realizar para garantizar la
seguridad de las redes y sus servicios, mediante la habilitacin de las opciones
de seguridad con que cuentan los sistemas operativos y de otras iniciativas
dirigidas a lograr la seguridad de los servidores y terminales, el acceso a la
informacin solamente por el personal autorizado y los elementos que permitan
el monitoreo y auditora de los principales eventos.
Se describir la configuracin de los componentes de seguridad de las redes y
servicios implementados y la instalacin de los medios tcnicos destinados a
establecer una barrera de proteccin entre las tecnologas de la entidad y las
redes externas. Para lo cual se tendr en cuenta:
1.
2.
3.
4.
5.
6.
7.
8.
9.
Barreras de proteccin y su arquitectura,

Empleo de Cortafuegos, Sistemas Proxy, etc.
Filtrado de paquetes,
Herramientas de administracin y monitoreo,
Habilitacin de trazas y subsistemas de auditora,
Establecimiento de alarmas del sistema,
Dispositivos de identificacin y autenticacin de usuarios,
Software especiales de seguridad,
Medios tcnicos de prevencin y deteccin de intrusos (IPS/IDS).
Se especificarn los procedimientos requeridos para el cumplimiento de las

obligaciones de los administradores de redes con relacin a la seguridad, en
particular los relacionados con:
1. La aplicacin de los mecanismos que implementan las polticas de
seguridad aprobadas.
2. El anlisis sistemtico de los registros de auditora que proporciona el
sistema operativo de la red.
3. El anlisis del empleo de los servicios de red implementados.
4. Las acciones de respuesta en caso de la ocurrencia de incidentes o
actividades nocivas.
Se incluirn los procedimientos instrumentados para la verificacin de la
seguridad de las redes y la deteccin de vulnerabilidades.
Ejemplo de un procedimiento de auditora de eventos del sistema operativo
en la Empresa X
Pgina 65
Procedimiento No. 8. Auditoria de eventos del sistema operativo.

1.
2.
3.
4.
5.
6.
Realizar diariamente la revisin y anlisis de los registros de los eventos generados por el
sistema operativo de la red.
Investigar las causas de cualquier anomala detectada y determinar si se est en presencia
de un incidente de seguridad, actuando segn lo establecido para esos casos.
Emplear, cuando se requiera, el software SAWMILL para la revisin de las trazas de
auditora.
Anotar las acciones realizadas y sus resultados en el registro de auditoras de eventos del
S.O. (Registro No. 5)
Mantener la disponibilidad y actualizacin de las herramientas que garantizan la auditoria
de los eventos del sistema operativo.
Realizar una verificacin trimestral del cumplimiento de este procedimiento.
Responsable: Jefe Departamento de Informtica
6.9. Gestin de Incidentes de Seguridad

Se describirn las medidas y procedimientos de deteccin, neutralizacin y
recuperacin ante cualquier eventualidad que pueda paralizar total o
parcialmente la actividad informtica o degraden su funcionamiento,
minimizando el impacto negativo de stas sobre la entidad.
Se define como incidente de seguridad a cualquier evento que se produzca, de
forma accidental o intencional, que afecte o ponga en peligro las tecnologas de
informacin o los procesos que con ellas se realizan. Incluyen entre otros:
1. Acceso (intentos de acceso) no autorizado a un sistema o sus datos.
2. Interrupcin no deseada o negacin de servicio.
3. Uso no autorizado de un sistema para el procesamiento o
almacenamiento de informacin.
4. Suplantacin de identidad.
5. Cambios a las caractersticas del equipamiento, las aplicaciones o datos
del sistema sin el conocimiento o consentimiento del responsable de
dicho sistema.
Al producirse los incidentes es fundamental que existan los mecanismos para:
1.
2.
3.
4.
5.
Detectar e identificar eficazmente el incidente.

Crear estrategias de mitigacin y respuesta.
Establecer canales confiables de comunicacin.
Proporcionar alertas tempranas a quien lo requiera.
Ofrecer una respuesta coordinada a los incidentes.
A partir de los resultados obtenidos en el anlisis de riesgos, se determinarn las

acciones a realizar para neutralizar aquellas amenazas que tengan mayor
probabilidad de ocurrencia en caso de materializarse, as como para la
Pgina 66
recuperacin de los procesos, servicios o sistemas afectados, precisando en

cada caso:
1.
2.
3.
4.
Qu acciones se deben realizar.

Quin las realiza.
Cmo deben realizarse.
De qu recursos se debe disponer.
Los procedimientos para la gestin de incidentes especificarn los pasos a

seguir para garantizar:
1. La correcta evaluacin de lo ocurrido.
2. A quin, cmo y cundo debe ser reportado.
3. Los aspectos relacionados con su documentacin, la preservacin de las
evidencias y las acciones a seguir una vez restablecida la situacin inicial.
Se habilitar un registro donde se consignarn los incidentes que se produzcan
en la entidad, el cual ser conservado por un periodo no menor de cinco (5)
aos y ser utilizado como criterio de medicin para la gestin del sistema de
Ejemplo de un procedimiento de gestin de incidentes en la Empresa X
Procedimiento No. 9. Interrupcin en las comunicaciones
1.
2.
3.
4.
5.
6.
Informar a la Direccin de la Empresa la situacin que se ha presentado.

Identificar si la interrupcin es causada por factores externos o internos.
Reportar la interrupcin al proveedor del servicio si el problema radica en la lnea de
comunicacin.
Restablecer la operacin y establecer las causas de la interrupcin y determinar posibles
acciones para evitar su reiteracin una vez solucionado el problema.
Anotar las acciones realizadas y sus resultados en el registro de incidencias.(Registro
No. 6)
Reportar el incidente a la OSRI.
7. Anexos del Plan de Seguridad Informtica

7.1 Listado nominal de Usuarios con acceso a los servicios de red
Se habilitar un listado de usuarios autorizados por cada servicio, especificando
nombre, apellidos y cargo que ocupa en la entidad, as como los servicios para
los que est autorizado.
7.2 Registros
Se definirn los documentos de registro que se determinen a partir de los
eventos y procedimientos que demanden dejar constancia ya sea por
requerimientos legales y de supervisin; con fines de anlisis para elaborar
Pgina 67
tendencias o simplemente para el control de las actividades que se realizan, en

correspondencia con las necesidades del SGSI implementado.
7.3 Control de Cambios
Se dispondr de un modelo donde se registren aquellos cambios que motivan
variaciones en el PSI y que por su magnitud no ameritan editar el plan en su
totalidad nuevamente. Se incluirn los cambios que se realicen, la fecha, la parte
del plan que se modifica, el nombre de la persona que autoriza la modificacin y
el de la persona que la realiza.
Pgina 68

Metodologia PSI NUEVAProyecto

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Metodologia PSI NUEVAProyecto

Încărcat de

Drepturi de autor:

Formate disponibile

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Segunda Parte: Estructura y contenido del Plan de Seguridad Informtica

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

La implementacin de un SGSI en una entidad ayuda a establecer la forma ms

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Los primeros destinatarios de esta metodologa son los dirigentes y funcionarios

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Determinar qu se trata de proteger.

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Primera Parte: Sistema de Gestin de la Seguridad Informtica

Modelo PHVA aplicado a los procesos del SGSI

Establecer las polticas, los objetivos, procesos y

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

1. Proceso de Planificacin del SGSI

1. Asegurar el compromiso de la direccin.

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

b) Formula, revisa y aprueba las polticas de seguridad informtica.

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

informticos e implica la identificacin de los bienes a proteger, las amenazas

La gestin de riesgos implica la clasificacin de las alternativas para manejar los

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

2. Reducir: Cuando el riesgo no puede evitarse por dificultades de tipo

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Al estimar la repercusin que ocasionara la prdida de un bien informtico se

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

el prembulo o paso anterior obligado para el funcionamiento de otro bien

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

aproximacin al problema, que puede ser ajustada en sucesivas versiones, en

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

1.3 Establecimiento de los requisitos de Seguridad Informtica

Los requisitos de seguridad se identifican mediante la evaluacin de los riesgos.

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

d) Transferir los riesgos a otras partes, por ejemplo, aseguradores o

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

organizativas y funciones de hardware y software. Nos referiremos a

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

1. Tener en cuenta el objeto social de la entidad y sus caractersticas. Por

Qu estrategia se adoptar para la gestin de la seguridad informtica?

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

a) El tratamiento que requiere la informacin oficial que se procese,

Oficina de Seguridad para las Redes Informticas

Metodologa para la Gestin de la Seguridad Informtica (Proyecto)

Obsrvese que en el primer ejemplo la poltica expresada limita explcitamente al

1.4.2. Medidas y procedimientos de Seguridad Informtica

Oficina de Seguridad para las Redes Informticas