Documente Academic
Documente Profesional
Documente Cultură
Seguridad
Estimado Estudiante
Estoy seguro que estas muy contento con lo aprendido hasta el momento, te comento que el avance
logrado también me emociona, ahora que has entendido la importancia de gestionar las tecnologías te
quiero comentar que también existen riesgos; como en todo lo que el ser humano ha inventado, en el
mundo de la informática es más peligroso porque al enemigo nunca lo vez. Ahora que existen millones
moviéndose en las redes como en la bolsa de valores, banca por internet, compras y ventas online, etc, se
podrá dormir tranquilo?. Para esto existe una norma ISO que su certificación ayuda al Director de TI estar
tranquilo, así que empecemos esta nueva pero cuidadosa aventura.
Introducción
BIENVENIDOS AL TEMA
La práctica de gestionar las TI originó nuevos retos y nuevas complicaciones, entre ellas, proteger de
programas mal intencionados que debido a sus efectos letales en la información tomaron conceptos de
virus, troyanos, malware, etc. Estas infiltraciones estaban fundamentadas en “huecos” de los sistemas
operativos o navegadores web, también en habilidades superiores de personas que buscaban la fama y el
estrellato informático que se extendió como práctica de las grandes empresas; ganando como recompensa
buenos sueldos o reconocimientos.
A medida que el tiempo y las tecnologías se inmiscuían, estas tenían que solucionar problemas que antes no
existían; como bien diría Bill Gates; así es cómo la seguridad en internet tomó una gran relevancia
originando que la mayoría de los países hayan legislado y tipificar a la información, comunicación y el
secreto como propiedad y que la infiltración, robo o inmiscuirse sea considerado delito. En este contexto se
detuvieron y condenaron a expertos informáticos, pero debido a que la red también permitió el anonimato
para preservar la libertad ocasionó que se formaran redes y comunidades. Una de las más peligrosas y de
gran presencia mediática ha sido Anonymous que con mensajes intimidantes como “somos legión”, “no
olvidamos”, “no perdonamos”, han logrado poner en jaque a gobiernos, organizaciones y empresas. Así
también, los últimos escándalos como el de Julian Assange y el robo de la información confidencial de los
sistemas clasificados de EE.UU a los que se les llamo WikiLeaks y el de Edward Snowden que reveló los
sistemas de escucha y grabación de todas las empresas tecnológicas que estaban replicados en la NSA.
Frente a este escenario resulta obvio que todas las empresas y estados estén preocupados por la seguridad
de la información.
Las empresas han requerido optar normas estandarizadas a nivel internacional como el ISO 27000
encargada de delimitar políticas de seguridad que estén difundidas en toda la organización, como el uso y
precaución con los usb, gestión de las copias de seguridad, control de acceso a servidores, etc. Hoy en día
es factible hasta robar información por un puerto usb de manera remota como lo manifestaría la BBC para
concientizar el nivel de seguridad que deben prever las organizaciones.
Aprendizajes Esperados
Capacidad
Actitudes
Las normas están basadas en la gestión de los procesos y su enfoque en la calidad por lo que se
requiere añadir procesos a los existentes.
Evita especificar, aplicar y revisar por separado el sistema.
Permite a la organización concentrar sus esfuerzos y recursos en identificar y satisfacer requisitos
por encima de los básicos de control.
Generalmente aceptadas y bien establecidas con un incremento en la concienciación y aceptación a
nivel mundial.
Buenas prácticas reconocidas y aceptadas en seguridad de la información.
Ahorra tiempo y dinero mediante la adopción directa de buenas prácticas.
Proporciona una terminología común para discutir, especificar, desarrollar y evaluar las necesidades
en seguridad de la información y los controles.
Revisar los sistemas, datos y flujos de información con el potencial para reducir la sobrecarga de
duplicidades y otros sistemas/datos/procesos innecesarios.
Satisfacer las peticiones de partners, auditores tributarios y proveedores para justificar los
controles de seguridad de la información, así como una ventaja competitiva para imprimir el
cumplimiento de norma de seguridad en el área de marketing y ventas.
1.1.2. Costes
La norma ISO/IEC 27000 tiene un inicio común a muchas de las normas más
representativas a nivel mundial, es decir que ha nacido de la BSI (British
Standards Institution) la Organización Británica de Estándares. Es así como
en 1995 aparece la norma BS 7799 como un conjunto de buenas prácticas
para la gestión y la seguridad de la información. La primera parte de esta
norma salió bajo el rótulo de la BS 7799-1 denominada Guía de Buenas
Prácticas sin considerar ningún esquema de certificación, sino más bien,
consideraciones independientes del tamaño o tipo de empresa. Es en 1998
que se publica la segunda parte bajo el código BS 7799-2 en la que
consideraba la estructura y requisitos para la formulación de un Sistema de
Gestión de Seguridad de la Información (SGSI), con especificaciones
orientadas a la certificación por empresas independientes y acreditadoras.
ISO 27000: Es un vocabulario claramente definido para toda la norma, no es certificable y sirve como base
para toda la familia del ISO 27000.
ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad
de la información. Esta norma puede ser adaptada por las acreditadoras de cada país, para el caso del Perú la
norma se ha publicado mediante el Comité Técnico Permanente de Codificación e Intercambio Electrónico de
Datos (EDI), bajo la Norma Técnica Peruana NTP-ISO/IEC 27001:2008 basada en la versión 2005, aunque
presenta la aclaración que se debe adaptar de manera independiente a las nuevas versiones actualizadas.
Existen condiciones de transición para las versiones futuras. Su aplicación no requiere de la totalidad de los
controles manifestados, si no el sustento del porqué obviar el control de manera sólida.
ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información, en este caso no es certificable sólo sirve como
referencia para realizar el SGSI (Sistema de Gestión de Seguridad Informática), además de las
recomendaciones y prácticas que se evaluarán para certificar el ISO 27001, contiene 39 objetivos de control y
133 controles agrupados en 11 dominios, en el Perú está vigente su adaptación aún bajo su nombre anterior
NTP-ISO/IEC 17799:2007.
ISO 27003: Son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001.
No está certificable actualmente.
ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un
SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los
componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los
conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación
satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.
ISO 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los
sistemas de gestión de la seguridad de la información. Esta norma específica requisitos específicos para la
certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación.
ISO 27007: Es la guía de auditoría de un SGSI.
ISO 27011: Es una guía de gestión de seguridad de la información especificada para telecomunicaciones.
ISO 27031: Es una guía de continuidad de negocio en cuanto a tecnologías de la información y
comunicaciones.
ISO 27032: Es una guía relativa de ciberseguridad.
ISO 27034: Es una guía de seguridad en aplicaciones.
ISO 27799: Es un estándar de gestión de seguridad de la información en el sector sanitario.
1.2.2. Detalles de la NTP-ISO/IEC 27001:2008
La norma inicia con un prefacio que fundamenta y define la autoría intelectual, delimita una introducción
general basada en los objetivos de la norma y la presenta como un modelo para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información
(SGSI). También se incluye en la introducción la concepción del enfoque basado en procesos. “Una
organización necesita identificar y manejar muchas actividades para poder funcionar de manera efectiva.
Cualquier actividad que usa recursos y es manejada para permitir la transformación de insumos en outputs,
se puede considerar un proceso. Con frecuencia el output de un proceso forma directamente el insumo del
siguiente proceso. La aplicación de un sistema de procesos dentro de una organización, junto con la
identificación y las interacciones de estos procesos, y su gestión, puede considerarse un enfoque del
proceso”, (NTP 2009, pp05). El modelo PDCA está vinculado a toda la estructura de la norma y cada una de
las partes de la misma tiene su vinculación con el Plan, Hacer (do en inglés), Chequear, Actuar.
El enfoque de procesos de la norma es compatible y alineada con la ISO 9001:2000 y la ISO 14001:2004,
siendo una de las fortalezas para su gestión en la empresa.
El alcance de la norma está especificada en los aspectos generales, manifestando que está orientada a
todos los tipos de organización (empresas comerciales, agencias gubernamentales, organizaciones sin fines
de lucro). Por otra parte la aplicación de la norma está especificada para toda organización, por lo que la
exclusión de los controles debe estar justificada y aceptar la evidencia de la aceptación de los riesgos de su
exclusión.
La norma específica un marco conceptual por lo que incluye el área de término y definiciones para una
interpretación común:
La norma está centrada en el SGSI o en sus siglas del inglés como el ISMS y lo delimita en sus procesos de
establecer el ISMS, implementar y operar el ISMS, monitorear y revisar el ISMS, así como mantener y
mejorar el ISMS.
La documentación del ISMS para presentar a la certificación, así como su respectivo control de versiones y
trazabilidad deberá incluir lo siguiente:
Las acciones preventivas que se determinan en base a los resultados de la evaluación del riesgo, presentan
los siguientes procedimientos documentados:
La norma ISO/IEC 27001:2013 incorpora cambios importantes de su antecesora versión 2005, entre ellas
están la visión del liderazgo y responsabilidad, así también distribuye el SGSI en áreas funcionales; más
que un documento o un apartado de la norma. Por otro lado la filosofía PDCA se encuentra activa en toda el
área funcional de la norma cumpliendo su rol cíclico. El cambio en la estructura está en concordancia con el
anexo SL de ISO/IEC del Suplemento Consolidado de las Directivas ISO/IEC; este anexo pretende
estandarizar la estructura en forma y enfoque de las normas ISO con la finalidad de ser compatibles entre
ellas y sea menos complicada la convivencia, implementación y auditoria de varias familias de normas ISO
relacionadas en una misma empresa.
Las nuevas adaptaciones de las TI a la empresa está basada en que cada vez más la gestión TI es
externalizada, tercerizada a empresas externas o delegadas ciertas partes a sistemas que no son propiedad
de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar
de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los
propios departamentos de la Organización).
Los cambios significativos detallados por partes podrían resumirse en los siguientes detalles según Gonzáles
Trejo 2013.
Introducción: elimina la adaptación del enfoque del proceso y la vincula con la alineación con el
anexo SL de la ISO/IEC sección 1.
Alcance: detalla la obligatoriedad de los requisitos especificados en los capítulos 4 al 10 para
obtener la conformidad de cumplimiento al momento de certificar.
Referencias normativas: incluye a la norma ISO 27000:2013 en una referencia normativa
obligatoria y única, ya que contiene todos los nuevos términos y definiciones.
Términos y definiciones: la terminología será manejada por la ISO 27000:2013 – Fundamentos y
vocabulario: La sección 3 agrupa y aporta al objetivo de contar con una sola guía de términos y
definiciones.
Contexto de la organización: Esta cláusula hace hincapié en identificar los problemas externos e
internos que rodean a la organización.
1. Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de
organización y su alcance.
2. Introduce una nueva figura (las partes interesadas) como un elemento primordial para la
definición del alcance del SGSI.
3. Establece la prioridad de identificar y definir formalmente las necesidades de las partes
interesadas con relación a la seguridad de la información y sus expectativas con relación al
SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir
para el proceso de gestión de riesgos.
1. Garantizando que los objetivos del SGSI y “La política de seguridad de la información”,
anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.
2. Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos,
tecnológicos, etcétera).
3. Garantizando que los roles y responsabilidades claves para la seguridad de la información se
asignen y se comuniquen adecuadamente.
Planeación: Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como
un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos.
1. El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y
las amenazas.
2. Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la
confidencialidad, integridad y disponibilidad de la información.
3. El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las
consecuencias generadas (impacto), si el riesgo se materializa.
4. Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.
5. Los requerimientos del SOA no sufrieron transformaciones significativas.
Soporte: Marca los requerimientos de soporte para el establecimiento, implementación y mejora del
SGSI, que incluye:
1. Recursos
2. Personal competente
3. Conciencia y comunicación de las partes interesadas
Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y
“registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación
correspondiente al SGSI.
Operación: Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas
de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar.
Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de
seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de
la información de manera periódica por medio de un programa previamente elegido.
Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere
para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.
Evaluación del desempeño: La base para identificar y medir la efectividad y desempeño del SGSI
continúan siendo las auditorías internas y las revisiones del SGSI.
Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades
anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así
como quién debe analizar la información recolectada.
Mejora: El principal elemento del proceso de mejora son las no-conformidades identificadas, las
cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se
repitan y que las acciones correctivas sean efectivas.
Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la
evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las
oportunidades con base en cuándo estos se identifican y cómo se tratan. Además, se distingue entre las
correcciones que se ejecutan como una respuesta directa a una “no conformidad”, en oposición a las
acciones correctoras que se realizan para eliminar la causa de la no conformidad.
Sin ser intención de este artículo brindar una descripción completa de los cambios efectuados, se detallan
algunos de los principales:
El número de dominios del anexo aumenta de 11 a 14, de esta manera, donde algunos controles se incluían
de forma “artificial” en ciertas áreas donde no encajaban perfectamente, ahora se organizan mejor.
La norma en su versión 2013 ha sido actualizada en la manera que se adecua también al anexo SL de la
ISO/IEC sección 1. Incluye nuevos controles la fusión, actualización y eliminación de muchos de estos, sigue
el objetivo de trabajar con los proveedores de servicios para seguir la tendencia de tercerizar los servicios
de informática en la empresa pero asegurando la calidad y la seguridad. Así también añade el control de la
seguridad en los proyectos que pueden ser parte de la infraestructura tecnológica.
La continuidad del negocio respecto a la seguridad ha padecido una variación y ahora se habla en realidad
de Continuidad de la Seguridad de la Información incluida en el Sistema de Gestión.
También se ha reducido en la versión 2013 la cantidad de controles a 114 contra los 133 de la versión
2005. De los respectivos listados de controles se deduce que de los 133 controles de la versión 2005. Esta
información es de vital importancia al momento con comprender la evaluación de las normas, así como la
adecuación que se debe realizar en las empresas que ya tienen instalada esta norma y se debe realizar la
adecuación para mantener la certificación que tiene controles periódicos para la validación.
Bibliografía
Fernández, S. C., Piattini V. M. (2012). Modelo para el gobierno de las TIC basado en las
normas ISO. España. Editorial AENOR.
Este libro contiene toda la literatura necesaria para comprender la Gobernanza de las TI en base a las
normas ISO, incluye la gestión de las TI.
Moyano, F., S. & Bruque, C., S. & Martínez, J., P. (2011). Gestión de la Calidad en empresas
tecnológicas de TQM a ITIL. Colombia. Editorial. StarBook.
Este libro contiene la historia de los estándares de las buenas prácticas de gestión de TI y su adecuación a
la gestión empresarial desde las que habían aplicado la calidad total hasta la gestión de las tecnologías
como servicio.
Collazos, B., M. La nueva versión ISO 27001-2013 Un cambio en la integración de los sistemas de
gestión. CIP - Perú.
Ormella, M., C. Las Nuevas Versiones de la Norma ISO 27001 y 27002- Argentina.
Breve descripción
http://site.ebrary.com/lib/bibsipansp/docDetail.action?docID=10316459&p00=seguridad%20informacion
Breve descripción
Realiza un análisis de la importancia de la información, hace un recuento histórico de los ataques que han
sufrido las principales organizaciones y países, así como la cuantificación de los costos por pérdidas y
rentabilidad de la seguridad.
Conclusiones