ISO 27001

Para el fin de preservar la información, se ha demostrado que no es suficiente la

implantación de controles y procedimientos de seguridad realizados frecuentemente
sin un criterio común establecido, en torno a la compra de productos técnicos y sin
considerar toda la información esencial que se debe proteger.

La Organización Internacional de Estandarización (ISO), a través de las normas

recogidas en ISO / IEC 27000, establece una implementación efectiva de la
seguridad de la información empresarial desarrolladas en las normas ISO 27001 /
ISO 27002.

Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema de Gestión
de la Seguridad de la Información (SGSI), consistente en medidas orientadas a
proteger la información, indistintamente del formato de la misma, contra cualquier
amenaza, de forma que garanticemos en todo momento la continuidad de las
actividades de la empresa.

Los Objetivos del SGSI son preservar la:

 Confidencialidad
 Integridad
 y Disponibilidad de la Información

Elementos o fases para la implementación de un SGSI

El Sistema de Gestión de La Seguridad de la Información que propone la Norma

ISO 27001 se puede resumir en las siguientes fases que se detallan en la figura:
¿En qué consiste la evaluación de riesgos?

Implantando la norma ISO 27001

A la hora de implantar un Sistema de Gestión de la Seguridad de la Información

(SGSI) según la norma ISO 27001, debemos considerar como eje central de este
sistema la Evaluación de Riesgos. Este capítulo de la Norma permitirá a la dirección
de la empresa tener la visión necesaria para definir el alcance y ámbito de aplicación
de la norma, así como las políticas y medidas a implantar, integrando este sistema
en la metodología de mejora continua, común para todas las normas ISO.

Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los
requerimientos del negocio. Existen numerosas metodologías estandarizadas de
evaluación de riesgos. Aquí explicaremos la metodología sugerida en la Norma.
Las fases de esta metodología son los siguientes:

Método de Evaluación y Tratamiento del Riesgo

1.- Identificar los Activos de Información y sus responsables, entendiendo por activo
todo aquello que tiene valor para la organización, incluyendo soportes físicos
(edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones,
proyectos ...) así como la marca, la reputación etc.

2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del
activo que lo hacen susceptible de sufrir ataques o daños.

3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo
de la información, tales como desastres naturales, incendios o ataques de virus,
espionaje etc.

4.- Identificar los requisitos legales y contractuales que la organización está obligada
a cumplir con sus clientes, socios o proveedores.

5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las
amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información, en relación a su disponibilidad, confidencialidad
e integridad de este.

6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del
riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento determinamos los riesgos que
deben ser controlados con prioridad.

7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la
política de tratamiento de los riesgos en función de los puntos anteriores y de la
política definida por la dirección. En este punto, es donde seleccionaremos los
controles adecuados para cada riesgo, los cuales irán orientados a:

• Asumir el riesgo
• Reducir el riesgo
• Eliminar el riesgo
• Transferir el riesgo

¿Qué nos aporta la ISO 27001?

Beneficios de la norma ISO 27001

Los riesgos de seguridad de la información representan una amenaza considerable

para las empresas debido a la posibilidad de pérdida financiera o daño, la pérdida
de los servicios esenciales de red, o de la reputación y confianza de los clientes.
La gestión de riesgos es uno de los elementos clave en la prevención del fraude
online, robo de identidad, daños a los sitios Web, la pérdida de los datos personales
y muchos otros incidentes de seguridad de la información. Sin un marco de gestión
de riesgos sólida, las organizaciones se exponen a muchos tipos de amenazas
informáticas.

La nueva norma internacional ISO / IEC 27001 - seguridad de la información,

ayudará a las organizaciones de todo tipo para mejorar la gestión de sus riesgos de
seguridad de la información.

Hoy en día, seguridad de la información está constantemente en las noticias con el

robo de identidad, las infracciones en las empresas los registros financieros y las
amenazas de terrorismo cibernético. Un sistema de gestión de seguridad de la
información (SGSI) es un enfoque sistemático para la gestión de la información
confidencial de la empresa para que siga siendo seguro. Abarca las personas,
procesos y sistemas de TI.
El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza a
clientes y proveedores que la seguridad de la información se toma en serio dentro
de la organización, estando a la vanguardia en la aplicación de la técnica de
procesos para hacer frente a las amenazas de la información y a y los problemas
de la seguridad.

¿ISO 27001 es algo más que seguridad informática?

¿Qué entendemos por información en ISO 27001?

Sin duda, gran parte de la Información de una empresa se encuentra en los sistemas
informáticos, sin embargo, la Norma ISO 27001 define la información como:
La información es un activo que, como otros activos importantes del negocio, tiene
valor para la organización y requiere en consecuencia una protección adecuada ...
... a información adopta diversas formas. Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por correo o por medios electrónicos,
mostrada en video o hablada en conversación. Debería protegerse adecuadamente
cualquiera que sea la forma que tome o los medios por los que se comparta o
almacene.

Atendiendo a este concepto, ISO 27001 propone un marco de gestión de la

seguridad de toda la información de la empresa, incluso si es información
perteneciente al propio conocimiento y experiencia de las personas o sea tratada
en reuniones etc. En este sentido las propias personas pueden ser tratadas en el
SGSI como activos de información si así se cree conveniente.

Por tanto, no debemos centrar la atención solamente en los sistemas informáticos

por mucho que tengan hoy en día una importancia más que relevante en el
tratamiento de la información ya que de otra forma, podríamos dejar sin proteger
información que puede ser esencial para la actividad de la empresa.

ISO 27011

ISO 27011 aborda las directrices de gestión de seguridad para las organizaciones
de telecomunicaciones basadas en la norma ISO 27002.

La norma facilita modernos controles, además de una orientación para la

implementación en las empresas de telecomunicaciones. Consolida la privacidad,
disponibilidad e integridad de las infraestructuras y servicios de estas empresas.
La información para las organizaciones de telecomunicaciones es un activo esencial
y por ello le resuelta necesario conservarlo debido a que es también objeto de
muchas amenazas.

Por todo ello, los objetivos que proporciona están norma son:

• Seguridad de la información a través de prácticas que den confianza en

las actividades realizadas por las organizaciones.

• Retos globales de la seguridad de la información acondicionados

exclusivamente para estas empresas.

La norma ISO27011 nos garantiza la seguridad de la información de las empresas

a través de unos controles apropiados. Estos controles han de ser implementados,
controlados, especificados y deben de ir evolucionando a lo largo del tiempo para
que se lleve a cabo el cumplimento de los objetivos de seguridad fijados
previamente por estas entidades.

Previo a la selección de controles, las organizaciones de telecomunicaciones deben

identificar los requisitos y la evaluación continua de los posibles riesgos de
seguridad.

La elección de estos controles va a depender de la aceptación del riesgo que tenga

esta organización con el requisito, además, de estar sujetas a la normativa legales
internacionales o no pertinentes.

Con la implementación de la norma ISO-27011, las organizaciones dedicadas a las

telecomunicaciones tendrán que llevar a cabo las siguientes pautas:

• Proteger la integridad, confidencialidad y disponibilidad de las

infraestructuras y servicios.

• Asegurar la disminución de los riesgos de los servicios que las empresas

de telecomunicaciones prestan mediante procesos de cooperación
fiables.

• Han de saber reordenar los recursos para que las actividades llevadas a
cabo sean más eficientes.

• Acoger un principio global relacionado con la seguridad de la información.

 • Tener la capacidad de hacer que la moralidad de las personas y la
confianza de estas mejoren.

I love you

Virus informático I love you. Conocido por los usuarios como el “Virus del amor”,
pertenece a la categoría de gusano, capaz de reproducirse a través de las redes
electrónicas, modifica los ficheros del ordenador infectado y se transmite a través
del correo electrónico cuando el internauta abre el fichero donde se aloja.

Surgimiento

Primeramente, fue una tesis que realizó Onel de Guzmán, un joven filipino de 24
años que estudió en la Facultad de Informática del colegio universitario AMA, en la
capital de Filipinas. Su tutor en la facultad esperaba con ansiedad la tesis de su
alumno más aventajado.

El texto final, entregado el 1 de febrero del 2000, tenía faltas de ortografía y estaba
peor escrito, pero era toda una guía sobre cómo robar códigos secretos a través de
Internet o cómo introducirse en un ordenador ajeno y tomar su control. Era, en
definitiva, una copia del virus "I love you", que tres meses después iba a dejar en
evidencia la vulnerabilidad del nuevo orden mundial de Internet y las tecnologías
informáticas.

«A los profesores no les gustó mi trabajo, rechazaron la tesis, decían que iba contra
la política de la Facultad y todo porque utilizaba la palabra robar en lugar de acceder.
Fue una simple cuestión de gramática», recuerda todavía algo ofendido el
Barbanegra de la piratería electrónica y autor del mayor caos informático de la
historia. El 4 de mayo de 2000Onel de Guzmán decidió probar por su cuenta el
proyecto que había preparado para su tesis y que finalmente fue rechazada por su
profesor.

El resultado final fue un virus capaz de infectar aproximadamente 50 millones de

computadores en todo el mundo bajo el nombre de “I Love You”, causando pérdidas
de más de 5500 millones de dólares en daños. A través de un título bastante
sugerente como: “Te quiero” o “Te amo”, acompañado de un archivo adjunto,
Guzmán consiguió crear el pánico, incluso entre los expertos de seguridad
informática.
Características

El virus sobrescribe con su código los archivos con extensiones .VBS y .VBE.
Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea
otros con el mismo nombre y extensión .VBS en el que introduce su código. También
localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea
otros donde el nuevo nombre está formado por el nombre y la extensión anterior
más VBS como nueva extensión real.

Proceso de Infección

La infección comienza cuando un usuario recibe un correo electrónico titulado I Love

You (Te quiero), que lleva asociado un fichero llamado LOVE-LETTER-FOR-
YOU.TXT.vbs. (Carta de amor para ti). Este último archivo contiene el código del
virus, supuestamente firmado con el apodo spyder (araña), fechado en Manila
(Filipinas) e incluye una expeditiva frase I hate go to school (Odio ir al colegio).A
diferencia de su predecesor, el Virus Melissa, que elegía las primeras 50 direcciones
de la agenda del usuario para enviar una copia del virus, I love you toma todas las
direcciones, lo cual aumenta su capacidad de reproducción. Aquellas personas cuya
dirección de correo electrónico figuren en la agenda del ordenador infectado
recibirán en su buzón electrónico una copia del virus I love you, y si alguno de estos
destinatarios decide abrir el mensaje, el proceso se repetirá provocando que la
expansión del virus siga una progresión geométrica.

I love you se instala en el ordenador y borra ficheros de gráficos y de sonido -

extensiones JPG, JPEG, MP3 y MP2-, sustituyéndolos por otros con el mismo
nombre y la extensión VBS e introduciendo el código malicioso. Según la empresa
Panda Software, el gusano intenta bajarse de Internet el fichero WIN-
BUGSFIX.EXE.

Se trata de un troyano, un archivo que busca información confidencial del usuario

(como las contraseñas de Windows y que también entra en la información del RAS
(acceso telefónico a redes) y roba los datos de la agenda del usuario (nombre,
número de teléfono...). Acto seguido, los envía a un correo electrónico de Filipinas.

Mutación

Existe un detalle preocupante en este virus que lo diferencia de su predecesor

Melissa. A diferencia de éste, que se incluía en un documento elaborado con el
procesador de textos Microsoft Word, el código del virus del amor es perfectamente
legible y puede ser modificado sin dificultades por un usuario. De este modo,
cualquiera que tenga unos conocimientos mínimos de programación, podría
modificar el código y alterar la firma del virus, de modo que no fuera reconocido por
la vacuna.

Daños que Ocasionó

Muchas empresas del FTSE-100 (índice de los 100 primeros valores de la Bolsa de
Londres) nos han comunicado que sus sistemas informáticos estaban bloqueados
por el virus», indicó una portavoz de la empresa antivirus Sophos. Vodafone,
compañía dedicada a telefonía móvil, echó el cierre a su correo electrónico por el
brote vírico: 50 ordenadores de la compañía fueron tocados con amor. «Tenemos
el virus I love you», dijo un portavoz. «Pensamos que se ha extendido por todas
partes». En Alemania, la editorial Axel Springer -que publica el diario Bild, el más
vendido del país- se llevó la peor parte. Pero tampoco olvidó a la empresa Siemens,
que desconectaron sus servidores. En Dinamarca y Noruega, el Parlamento danés
se vio inundados de Email con el virus, e incluso llegó hasta la poderosa banca
suiza.

«Es un ataque masivo, que afecta a todas las empresas», dijo un analista de la
banca. En Irlanda, una de las fábricas de DELL Computers en Limerick estuvo 11
horas paradas por el virus, según testimonios de sus trabajadores. En España, Los
cariños llegaron a varios medios de comunicación españoles como el diario El País,
interrumpiendo durante varias horas su actividad, la Cadena Ser y los periódicos La
Razón y Abc, entre otros, que registraron anomalías en los correos electrónicos, sin
repercusiones en su trabajo. Iberia informó de que también registraron la entrada
del virus antes de que produjera problemas, mientras que fuentes del Ministerio de
Ciencia y Tecnología aseguraron no tener constancia de que se hubieran producido
anomalías en los sistemas informáticos de la Administración. En Estados Unidos,
El día avanzó y EE. UU. recibió el I Love You con el desayuno. Una portavoz del
Pentágono informó de que había llegado a sus instalaciones, sin precisar la
gravedad.

Una oficina del Pentágono que ofrece un servicio de noticias vía e-mail incluyó el
mensaje vírico en su envío masivo, que incluía agencias de seguridad como la
Agencia Central de Inteligencia o los comandos militares. La Casa Blanca también
tuvo Email, aunque no fueron abiertos. «Hemos comunicado al Gobierno la
situación. Nuestros agentes de ciberseguridad están sobre aviso», dijo una
portavoz. Bill Pollack, del Equipo de Emergencia de Computadores (CERT),
aseguraba: «Tenemos más de 150 contagios en empresas, lo que es muy
significativo». Dicho en dólares: 100 millones en daños, según los expertos.
Vacuna contra el virus

Pocas horas después de que se detectaran los primeros casos de infección, las
grandes compañías del sector empezaron a trabajar con el código del virus para
elaborar una vacuna que pudiera evitar su propagación, así como limpiar los
ordenadores infectados por el código malicioso. En los sitios web de estas empresas
puede encontrarse el programa capaz de eliminar el virus del amor del ordenador,
así como el parche que debe instalarse en los servidores de correo para impedir
que el virus se introduzca en la Red o se propague a otros sitios de Internet.

En Libertad

A pesar de los problemas causados por este virus, su creador nunca fue condenado
por un tribunal, ya que en el momento de probar su “experimento” todavía no
existían leyes específicas para estos ataques en Filipinas.

Los hermanos del I Love You

Si le van con el cuento, a través del correo electrónico, de que los 7 Enanitos de
Blancanieves son pequeñitos en todo menos en «algo», no se deje llevar por la
curiosidad. Envíe el mensaje a la basura. Es un virus. Como él o como I love you se
calcula que hay otros 40.000 programas infecciosos que entran y salen
constantemente en los más de 400 millones de ordenadores conectados a Internet
en todo el mundo.

Las empresas Icsa Labs y Panda Software se dedicaron a calibrarlo con mayor
precisión en un total de 300 empresas estadounidenses. El resultado: el número de
virus se duplicó en 2000. Cada dos días, uno de cada 1.000 ordenadores sufrió
algún ataque, en el 87% de los casos a través del Email. Exactamente como operó
I love you en mayo.

I love you bloqueó 3 millones de ordenadores en menos de 24 horas y, desde

entonces, pocos son los usuarios y casi ninguna empresa que no ha mostrado
interés en adquirir programas antivirus. Lo cual no es sinónimo de garantía
adaeternum. Un antivirus no sirve de nada sin actualizarlo continuamente. Cada día
nacen cuatro o cinco nuevos virus.

Enseñanza

Este virus marco un antes y un después en la seguridad informática de todo el

mundo. Mostró cómo combinar técnicas de gusano con un poco de ingeniería social
para distribuir 'Programa maligno' a gran cantidad de ordenadores en Internet.
Ahora el cibercrimen es un lucrativo negocio.

"El virus del amor mostró como iban a ser los problemas de seguridad", comenta
Paul Fletcher, de MessageLabs.