Documente Academic
Documente Profesional
Documente Cultură
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los
rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
Aunque la norma ISO 27001 es perfectamente válida como guía o base para la
implementación de un SGSI en cualquier empresa u organización, con independencia de
su tamaño o sector, resulta especialmente interesante, y casi necesaria, en los siguientes
sectores:
Salud.
Sector público.
Sector financiero.
Una certificación es importante para que una organización pueda mostrar al mercado
que cuenta con un adecuado sistema de gestión de la seguridad de información. Una
empresa certificada no implica que ya no tenga riesgos de seguridad de la información,
sino que tienen un adecuado sistema de gestión de dichos riesgos y proceso de mejora
continua.
ISO/ IEC 27001 exige que el SGSI contemple los siguientes puntos:
Implicación de la Dirección.
Alcance del SGSI y política de seguridad.
Inventario de todos los activos de información.
Metodología de evaluación del riesgo.
Identificación de amenazas, vulnerabilidades e impactos.
Análisis y evaluación de riesgos.
Selección de controles para el tratamiento de riesgos.
Aprobación por parte de la dirección del riesgo residual.
Declaración de aplicabilidad.
Plan de tratamiento de riesgos.
Implementación de controles, documentación de políticas, procedimientos e
instrucciones de trabajo.
Definición de un método de medida de la eficacia de los controles y puesta en
marcha del mismo.
Formación y concienciación en lo relativo a seguridad de la información a todo
el personal.
Monitorización constante y registro de todas las incidencias.
Realización de auditorías internas.
Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio
SGSI y de su alcance.
Mejora continua del SGSI.
En el Perú solo hay 5 empresas que están certificadas en esta norma a través de IRCA, las cuales
se muestran en la Tabla siguiente. Adicionalmente, la Oficina de Normalización Previsional ONP
también ha obtenido recientemente la certificación, constituyéndose en la primera institución
del Estatal Peruana en alcanzarla.
1.5. Metodologías
Conocido como círculo, rueda o ciclo de Deming o círculo o ciclo PDCA, por sus siglas en
ingles Plan, Do, Check y Act. Se llama así debido a que nace a raíz de una conferencia
que dio el Dr. W. Edwards Deming en Japón el año 1950.
1.5.1.1. Plan = Establecer con planificación
identificar todos aquellos activos de información que tienen algún valor para la
organización que están dentro del alcance del SGSI y a sus responsables
directos, denominados propietarios;
identificar las amenazas relevantes asociadas a los activos identificados;
identificar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas;
identificar el impacto que podría suponer una pérdida de confidencialidad,
integridad y disponibilidad para cada activo
Lo interesante de esta metodología, es que presenta una guía completa y paso a paso
de cómo llevar a cabo el análisis de riesgos.
La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy
importantes de una organización. La confidencialidad, integridad y disponibilidad de
información sensible pueden llegar a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para
lograr los objetivos de la organización y asegurar beneficios económicos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas
políticas y procedimientos en relación a los objetivos de negocio de la organización, con
objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la
propia organización ha decidido asumir.
Con un SGSI, la organización conoce los riesgos a los que está sometida su información
y los asume, minimiza, transfiere o controla mediante una sistemática definida,
documentada y conocida por todos, que se revisa y mejora constantemente
El propósito de un Sistema de Gestión dela Seguridad dela Información es, por tanto,
garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada, sistemática
y estructurada
Una amenaza se puede definir como cualquier evento que puede afectar los activos de
información y se relaciona, principalmente, con recursos humanos, eventos naturales o
fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos,
infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico.
Identificar todos aquellos activos de información que tienen algún valor para la
organización.
Asociar las amenazas relevantes con los activos identificados.
Determinar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas.
Identificar el impacto que podría suponer una pérdida de confidencialidad,
integridad y disponibilidad para cada activo.
Criticidad del riesgo: Por este motivo, se deben evaluar las consecuencias potenciales
para poder evaluar su criticidad: riesgo aceptable y riesgo residual.
Riesgo aceptable
Riesgo residual
Se trata del riesgo que permanece y subsiste después de haber implementado los
debidos controles, es decir, una vez que la organización haya desarrollado
completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente,
pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar
el riesgo inherente.
Cada empresa, según su parecer, puede añadir más puntos de control si lo considera
conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control
Operacional, pero siempre debe estar alineados a lo que pide la norma.
Eliminar el riego: Si el riesgo es muy crítico, hasta el punto de que pueda poner en
peligro la propia continuidad de la organización, ésta debe poner todos los medios para
tratar de eliminarlo, de manera que haya un posibilidad cero de que la amenaza se llegue
realmente a producir.
Mitigarlo: En la gran mayoría de ocasiones no es posible llegar a la eliminación total del
riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que
no es un riesgo suficientemente crítico. En estos casos la organización puede aceptar el
riego, ser consciente de que la amenaza para la información existe y dedicarse a
monitorearlo con el fin de controlarlo.
Trasladarlo: Esta opción está relacionada con la contratación de algún tipo de seguro
que compense las consecuencias económicas de una pérdida o deterioro de la
información.
Por lo general, las primeras áreas que se deben considerar son aquellas que, por sus
funciones y responsabilidades, ayudan en primera instancia a dar cumplimiento a la
misión institucional.
Otro aspecto básico es que estos objetivos deben ser eficientemente comunicados al
conjunto de los empleados de la empresa, puesto que todos los profesionales deben ser
conscientes de que participan en un objetivo común, y que un descuido o una mala
actitud pueden acarrear consecuencias muy negativas.
Por otro lado, cada objetivo definido tiene que estar asociado a unos indicadores que
permitan realizar un seguimiento del cumplimiento de las actividades.
Revisión por la Dirección: Es fundamental realizar revisiones periódicas del SGSI por
parte de la Alta Dirección con el objetivo de comprobar el buen funcionamiento del
sistema, si se están cumpliendo los objetivos y también si se está produciendo un
Retorno de la Inversión (ROI).
Para poder definir el alcance de un SGSI se deben identificar dentro de los procesos con
los que cuenta la empresa aquellos considerados como “core” para el negocio y
delimitar así el SGSI en base a ellos. Una vez identificados, deben definirse los servicios
de TI y activos de información involucrados en el soporte a dichos procesos para luego
realizar el correspondiente análisis de riesgos.
Los procesos críticos son aquellos que proporcionan el mayor valor a la empresa; es
decir, son la parte principal del negocio. Son procesos que de no existir o no funcionar
con una regularidad controlada, la empresa no podría alcanzar sus metas y sus objetivos.
Por ende, la protección y continuidad de estos procesos es fundamental para cualquier
organización.
Ventajas Inconvenientes
Escalabilidad. La infraestructura es compartida.
Ahorro de tiempo y costes. Hay poca transparencia para el
Mayor eficiencia de los recursos. cliente de cloud ya que no se sabe el
resto de recursos que se puede estar
compartiendo.
Ventajas Inconvenientes
Cumple con las políticas internas Elevado coste.
ofreciendo mayor seguridad que las Dependencia de la infraestructura
publicas contratada.
Control total de los recursos.
Ventajas Inconvenientes
Maximiza el valor al utilizar recursos Riesgo al combinar dos modelos de
privados y compartidos. implementación diferente.
Reducción de costes. Control de la seguridad entre ambas
nubes.
2.4. Tipos de servicios
Para conocer el funcionamiento del Cloud Computing es fundamental conocer las tres
opciones o tipos de servicio en Cloud: Software como Servicio (SaaS), Plataforma como
Servicio (PaaS) e Infraestructura como Servicio (IaaS); como se muestra en la Figura,
estos modelos de entrega pueden ser vistos en un contexto jerárquico. Para el usuario
final sólo SaaS es visible, mientras que los desarrolladores utilizan PaaS y IaaS para
desplegar sus aplicaciones.
Permite el acceso a la aplicación utilizando un navegador web o una app, sin necesidad
de instalar programas adicionales en el ordenador o teléfono móvil. Es adecuado para
usuarios que solamente necesitan utilizar las aplicaciones. Los usuarios aportan sus
datos y pueden personalizar la aplicación dentro de los límites que marca el proveedor.
No existen costes tecnológicos de hardware, software o soporte técnico.
Ventajas Inconvenientes
Reducción drástica de costes. Integración con aplicaciones
Reducción de tiempos debido a que existentes en la organización.
el software ya está instalado. Incertidumbre en relación al
Escalabilidad. dueño de las aplicaciones.
Facilidad de uso. Gran dependencia del
proveedor.
El servidor web preinstalado y el alojamiento para crear una página web que
mantenemos nosotros, instalando el gestor de contenidos o CMS.
El servicio contratado para crear o subir BBDD cuando el cliente instala su propio
gestor de base de datos en la plataforma alquilada.
Los servicios que se contratan para poder instalar una aplicación que sirva
contenidos como por ejemplo videos en streaming.
Las plataformas para la creación de aplicaciones como cuadros de mando,
sistemas de reporting (BI Business Intelligence) o analítica Big Data.
Ventajas Inconvenientes
Facilidad para administrar la Dependencia del proveedor
plataforma. Dudas sobre la
Sencillez a la hora de permitir un confidencialidad de los datos
desarrollo propio.
Facilidad de integración con el resto
de plataforma.
Algunos ejemplos son los centros virtuales de datos o los sistemas de respaldo. El
proveedor utiliza entornos de virtualización para entregar al usuario el espacio en disco
o la capacidad de proceso o los routers solicitados por el cliente como si fueran un
servicio.
Ventajas Inconvenientes
Flexibilidad en relación a la Soporte ofrecido ya que al
infraestructura necesaria por el estar externalizado el
cliente. servicio es más complicado
Rapidez de instalación. solucionar el problema de
Facilidad a desplegar las una forma rápida.
instalaciones del cliente.
En cuanto a la seguridad en este caso también está repartida. El proveedor gestiona la
infraestructura y debe garantizar su seguridad que será principalmente física, pero el
cliente es responsable de los sistemas y aplicaciones que despliega en ella.
Una parte importante de cualquier servicio Cloud recae sobre la empresa proveedora
pues será la encargada de garantizar la seguridad física en sus centros de procesos de
datos. Del mismo modo, deberá mantener sus equipos actualizados tanto a nivel de
hardware como software para hacer frente a las amenazas existentes en internet.
Esto no significa que el proveedor del servicio se encargue de todo y que ya no sean
necesarios los administradores del sistema en nuestra organización. Tanto si se utiliza
un servidor en la nube (IaaS) como si se utiliza un entorno de desarrollo (PaaS) la
empresa es responsable de mantener el sistema operativo y las aplicaciones que instala
correctamente configuradas, actualizadas a las últimas versiones y con todos los parches
de seguridad que van apareciendo.
2.8. Riesgos
Las amenazas pueden transformarse en incidentes si se dan las circunstancias para ello,
provocando daños en la reputación y pérdidas económicas. Para ser consiente de estas
circunstancias es necesario realizar una evaluación de los riesgos que afectan al servicio
que vamos a contratar para así poder poner las medidas adecuadas para tratarlos.
De todas las tendencias que constituyen el proceso de transformación digital que se vive
en las empresas a nivel global, la computación en la nube es la que goza de mayor
popularidad, la más adoptada por organizaciones de todos los tamaños y la que genera
mayores expectativas. Big Data, el Internet de la Cosas y otras tendencias paralelas están
todavía en pañales, mientras que la mayoría de organizaciones ya adoptaron o planean
hacerlo el modelo de computación en la nube. Un estudio de IDC y Cisco encontró que
al menos 50% de las empresas utilizan alguna de las modalidades de computación en la
nube: infraestructura, software o plataformas que se pagan como un servicio.
Según Gartner, América Latina está sorprendentemente atrás del resto del mundo en la
adopción de servicios cloud. Apenas 16% de los CIOs de la región indican que ya
adoptaron alguna forma de Cloud Services frente a una media mundial de 23% y más
del 59% no tiene intención de adoptar Cloud en los próximos tres años frente a un
promedio mundial de 31%.
Según el último estudio elaborado por IDC para Cisco Siete de cada diez organizaciones
en Perú ya ha adoptado algún producto o servicio en la nube (cloud computing), pero la
inmensa mayoría todavía no le saca el máximo provecho a esta tecnología.
“En el Perú, el uso empresarial del cloud computing se encuentra en una etapa
incipiente, principalmente por la escasez de conocimiento. Si una empresa utiliza de
manera eficiente estas aplicaciones aumentaría en 30% su productividad”, aseguró el
Ing. Carlos Andrés López, gerente general de Digital Way, empresa del Grupo Romero
especializada en internet dedicado para empresas.