SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN

1. Introduccin En la actualidad el desarrollo de cualquier tipo de negocio va asociado a la tecnologa de la informacin, a lo largo de los ltimos aos el uso de la tecnologa se ha convertido en un factor dinamizador del crecimiento econmico, esto basado en el aumento de la competitividad y la productividad. En un entorno globalizado y competitivo, las compaas dependen cada vez mas de sus sistemas de informacin, pues est demostrado que tiene una gran influencia en el aumento del nivel de la competitividad, por ello las compaas empiezan a tomar mayor importancia en contar con sistema de gestin de la seguridad de la informacin, aun existen compaas que asumen el riesgo de prescindir de ellas, pero otras han comprendido que los sistemas de gestin de la seguridad y las medidas de proteccin asociadas a ellas son importantes. Uno de los errores ms comunesen las organizaciones en materia de seguridad es actuar de manera reactiva, correctiva y netamente operativa esto conduce a la desperdiciar recursos, esfuerzo, por ello es sumamente importante que los programas de seguridad sean cuidadosamente diseados y organizados para asegurar que se sigue el camino ms eficiente y efectivo. La primera tarea en realizar en materia de seguridad es que no se puede asegurar todo, se debe de tomar en cuenta un nivel de riesgo aceptable con el que la organizacin puede convivir. El ISO27002 hace hincapi en un enfoque integral de la seguridad de la informacin, pero una existe una gran brecha entre su implementacin del mundo real y los ideales establecido por este estndar. En las organizaciones se ha buscado solucionar los problemas de seguridad desde dos enfoques diferentes, uno orientado hacia el cumplimiento estricto de las mejores prcticas, modelos de las industrias, estndares internacionales especializados y recomendaciones de proveedores. El segundo considera la implantacin de herramientas y soluciones tecnolgicas.

El problema de seguridad es variable en cada organizacin, esto a conjunto de factores como el tipo y forma de realizar las funciones sustantivas, su operacin, cultura organizacional y el entendimiento de los problemas. Por ello es importante los problemas en las organizaciones debe basarse en un reconocimiento de la propia seguridad de la informacin como un factor crtico en el logro de la misin y los objetivos de la organizacin. De esta forma, la seguridad de la informacin debe iniciarse en la identificacin y jerarquizacin de los riesgos de seguridad a los que est expuesto el negocio, y a la creacin de una estrategia de seguridad. No se puede entender la necesidad de una buena gestin de la seguridad de la informacin si no se conoce todos los problemas que acarrea ignorarlo. 1.1 Participacin de la alta direccin La alta direccin no le da mucha importancia a la seguridad de la informacin, solo se limita a cumplir las normas regulatorias que exige la ley, buscan obtener un beneficio tangible de la aplicacin en temas de seguridad, al no obtener un beneficio tangible su aplicacin no es tomando en su real dimensin, es as que la gestin de la seguridad de la informacin es encargada a las reas de sistemas, soporte tcnico. Es un reto que tendrn que superar las organizaciones en materia de seguridad, con la finalidad de cumplir con la difcil tarea de brindar una proteccin adecuada a la informacin y a los activos de informacin. Por ello es fundamental que la alta direccin comprenda perfectamente el alcance y la severidad de los riesgos a los cuales est expuesta la informacin, el cual es un activo importante de la organizacin. 1.2 Consecuencias de la prdida Identificar las consecuencias de las perdidas es cuantificarlo para ver su incidencia en la organizacin. importante ms aun poder

Econmico: es el factor ms evidente en las prdidas, las organizaciones de menor tamao no capaces de asociar las incidencias de seguridad sufridas con prdidas econmicas directas o indirectas. Prdidas de tiempo: Es el tiempo empleado en tratar de restaurar o regenerar la informacin perdida. Perjuicios: ocasionado por la imposibilidad de acceder a los datos debido a su prdida o problemas de conexin. Impacto en la imagen de la empresa:esto afecta la imagen de la empresa ante terceros, una prdida de confianza de sus clientes o proveedores o la reputacin del negocio.

2. Seguridad de la informacin Para comprender que es la seguridad de la informacin, debemos conocer que es la informacin: la informacin es un conjunto organizado de datos procesados, que constituyen un mensaje sobre un determinado ente o fenmeno. La seguridad de la informacin se define como la proteccin de la confidenciabilidad, integridad y disponibilidad de la informacin. Estos tres parmetros se definen como: Confidenciabilidad: A la informacin solo puede acceder las personas autorizadas Integridad: La informacin deber correcta y completa en todo momentos Disponibilidad: la informacin debe estar lista para acceder a ella o utilizar cuando se necesite. La seguridad de la informacin se refiere a la proteccin de los activos de informacin fundamentales para el xito de toda organizacin. Ejemplo de informacin que podemos encontrar estn los correos electrnicos, pgina web, base de datos, documentos, etc. Los activos de informacin de la empresa puede proceder de diversas fuentes de informacin dentro de la organizacin, los cuales se pueden encontrar en diferentes soportes, como medio de papel o medios digitales, adems de ello hay que considerar el ciclo de vida de la informacin, ya que lo que puede ser crtico hoy para nuestro negocio, con el tiempo puede dejar de tener importancia para el negocio. La mayor parte de la informacin reside en equipos informticos, soportes de almacenamiento y redes de datos, englobados dentro de lo que se conoce como sistemas de informacin. Estos sistemas de informacin estn sujetos a riesgos y amenazas que pueden generarse desde dentro de la propia organizacin o desde el exterior.

Los riegos pueden ser fsicos como incendios, inundaciones, terremotos, vandalismo que pueden afectar la disponibilidad de la informacin y recursos, haciendo inviable la continuidad del negocio. Tambin hay que mencionar los riesgos lgicos relacionados con la propia tecnologa, el cual aumenta da a da, hackers, robos de identidad, spam, virus, robos de informacin y espionaje industrial. 2.1 Beneficios Existen muchas razones importantes para la implantacin de un sistema de gestin de la seguridad: Reduccin de costos: La implementacin de un SGSI ndice directamente sobre el rendimiento econmico de la organizacin. Optimizar Recursos:con un SGSI las decisiones se tomaran en base a la informacin fiable de los sistemas de informacin. Proteccin del negocio:Con un SGSI se evita interrupciones Mejora de la competitividad: cualquiera mejora de la gestin de la organizacin redunda en beneficio de la eficiencia y eficacia. Mejora la imagen corporativa: los clientes perciben la organizacin como una empresa responsable, comprometida con la mejora de los procesos, productos y servicios.

3. Modelos y metodologas La implementacin de los sistemas de seguridad de la informacin es complementada con modelos y/o metodologas con la finalidad de mejorar los procesos. 3.1 ISO/IEC 27000 Esta norma fue creada para la implantacin de sistemas de gestin de seguridad de la informacin; la ISO/IEC 27000 en ella se recoge los trminos y definiciones empleados en las diferentes series, incluye una visin general de las normas de esta rea, una introduccin a los sistemas de gestin de la seguridad y una descripcin del ciclo de mejora continua. La norma principal de la serie ISO/IEC 27001 es aplicable a cualquier tipo de organizacin, independientemente de su tamao y tipo de actividad, esta norma considera los requisitos para establecer, implementar, operar, supervisar, mantener y mejorar un sistema de seguridad de gestin dela informacin. Recoge los componentes del sistema, los documentos mnimos que debe formar parte de l y los registros que permitirn evidenciar el buen funcionamiento del sistema, adems de ellos especifica los requisitos para implantar controles y medidas de seguridad adaptados a las necesidades de cada organizacin. La norma ISO/IEC 27002 es una gua de buenas prcticas que recoge las recomendaciones sobre las medidas a tomar en cuenta para asegurar los sistemas de informacin en una organizacin, para ello describe 11 dominios, con 39 objetivos de control o aspectos a asegurar dentro de cada rea y 133 controles para asegurar los distintos objetivos de control. 3.2 Itil La metodologa Itil gestiona los servicios informticos en una organizacin, esta tecnologa es una recopilacin de las mejores prcticasdel sector pblico y privado, Estas mejores prcticas, son soportadas bajo esquemas organizacionales

complejos, pero a su vez bien definidos, y que se apoyan en herramientas de evaluacin e implementacin. ITIL como metodologa propone el establecimiento de estndares que nos ayuden en el control, operacin y administracin de los recursos. Plantea hacer una revisin y reestructuracin de los procesos existentes en caso de que estos lo necesiten, lo lleva a una mejora continua. Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentacin pertinente, ya que esta puede ser de gran utilidad para otros miembros del rea. 3.3 ISM3 ISM3 es un modelo de gestin de madurez de la seguridad de la informacin alineado con los principios de gestin de calidad de la ISO 9.001 y aplicados a los sistemas de gestin de seguridad de la informacin (SGSI). En l se establecen diferentes niveles de seguridad, donde partiendo desde un nivel inicial en el que se identifica el posicionamiento de la empresa, sta puede plantearse como meta alcanzar determinado nivel que considere conveniente para sus necesidades de seguridad y adecuado para su disponibilidad de recursos. Es un modelo basado en procesos con foco en las necesidades de seguridad del negocio, de forma de establecer la seguridad requerida en forma top down basado en las funciones de negocio. Para ello sigue un criterio de efectividad de las medidas de seguridad tomadas y su impacto en el mismo, estableciendo la necesidad de mtricas y apoyndose en el paradigma: lo que no se puede medir no se puede gestionar. 3.4 Cobit CObIT define una metodologa y un marco de trabajo adecuado para la gestin de Tecnologa de la Informacin (IT), orientado en el negocio y en procesos, y basado en controles. Para ello considera tres dimensiones: a) Los dominios, procesos y actividades de IT b) Los requerimientos de la informacin del negocio
7

c) Los recursos de IT. Define cuatro dominios, con sus procesos (34) que a su vez describen actividades concretas y especifican una serie de objetivos de control. Estos dominios son: Planificacin y Organizacin (PO), Adquisicin e Implementacin (AI), Entrega y Soporte (ES), y Monitoreo y Evaluacin (ME). En el dominio PO, se centra la atencin en la alineacin de IT con los objetivos y estrategia del negocio, y en la gestin de riesgos. As como en ES, se especifica un proceso de aseguramiento de continuidad del servicio / operaciones. A los efectos de satisfacer los objetivos de negocio se definen siete criterios en trminos de requerimientos de la informacin, ellos son: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento (marco legal y

reglamentario, normas, contratos, etc.), y confiabilidad. En cuanto a los recursos, y para el fin propuesto, se consideran los siguientes: aplicaciones, infraestructura, informacin y recursos humanos.

4. Implantacin de un SGSI, adoptando la ISO 27001 Desarrollar un sistema de gestin de la seguridad de la informacin (SGSI), depende en gran parte del objetivo que se haya marcado la empresa. La implantacin de un sistema de gestin de la seguridad de la informacin es una decisin que debe involucrar a toda la organizacin y que debe ser apoyada y dirigida desde la alta direccin. El diseo depender de los objetivos y necesidades de la empresa, as como de su estructura. Estos elementos son los que van a definir el alcance de la implantacin del sistema, las reas que van a verse involucradas en el cambio. En ocasiones, no es necesario un sistema que abarque a toda la organizacin. Para llevar un proceso de implantacin, es necesario contar con la asesora de una empresa especializada que nos asesore durante todo el proceso, principalmente durante el inicio. El tiempo de implantacin del sistema de gestin de seguridad de la informacin vara en funcin del tamao de la organizacin. Para el proceso de implantacin la empresa debe contar con una estructura organizativa as como de recursos necesarios para llevar a cabo el proceso de implantacin del SGSI. Para el proceso de implantacin del sistema de gestin de la seguridad de la informacin se emplea la modelo PDCA, un modelo dividido en cuatro fases, el cual finalizada la ltima fase y analizados se vuelve a comenzar por la primera fase. La continua evolucin del sistema de gestin dela seguridad de la informacin debe estar documentada, para ello utilizaremos cuatro tipos distintos de documentacin: La implantacin de un SGSI comienza con el diseo definida en cuatros aspectos: el alcance del sistema, la poltica de seguridad a seguir, la organizacin de la seguridad y los programas de concienciacin y formacin del personal.

4.1 Activos de Seguridad de la Informacin Las organizaciones posee informacin que deben proteger frente a riesgos y amenazas para asegurar su correcto funcionamiento de su negocio, los activos pueden dividirse en diferentes grupos segn su naturaleza, de acuerdo a la metodologa de Magerit para agrupar activos, encontraremos los siguientes: Servicio: son los procesos del negocio de la organizacin que ofrecen al exterior o al interior, como son la gestin de nminas. Datos e informacin: es la informacin que se manipula dentro de la organizacin, suele ser el ncleo del sistema, mientras que el resto de los activos suelen darle soporte de almacenamiento, manipulacin, etc. Software: son las aplicaciones al interior de la organizacin. Equipos informticos El personal: este el activo principal, incluye personal interno, subcontratado, de los clientes, etc. Redes de comunicacin: son los medios que dan soporte a la organizacin para el movimiento de la informacin, pueden ser redes propias o subcontratadas. Soportes informticos: son los soportes fsicos que permiten el almacenamiento de la informacin durante un largo periodo de tiempo. Equipamiento auxiliar: son los elementos que dan soporte a los sistemas de informacin. Instalaciones: se refiere donde se alojan los sistemas de informacin.

Paraproteger los activos de la organizacin es necesario conocerlos e identifica cuales son dentro de la organizacin, para ello se elabora un inventario que los identifique y clasifique. Cada activo del inventario debe incluir su descripcin, localizacin y propietario. El propietario es quien define el grado de seguridad que requiere su activo. 4.2 Anlisis y Valoracin de los riesgos Definiremos algunos conceptos bsicos:
10

Riesgo: se considera riesgo la estimacin del grado de exposicin de un activo, a que una amenaza se materialice sobre el causando daos a la organizacin. El riesgo indica lo que le podra pasar a los activos si no se protegen adecuadamente.

Amenazas: son los eventos que pueden desencadenar un incidente, produciendo daos materiales o inmateriales en los activos de la organizacin.

Vulnerabilidades: son las debilidades que tienen los activos o grupos de activos que pueden ser aprovechados por una amenaza.

El impacto es la consecuencia de la materializacin de una amenaza sobre un activo. Los riesgos intrnsecos es la posibilidad de que se produzca un impacto determinado en un activo o grupo de activos. Las salvaguardas son las prcticas, procedimientos o mecanismos que reducen el riesgo. Estas pueden actuar disminuyendo el impacto. Riesgo residual. Es el riesgo que queda tras la aplicacin de salvaguardas.

Conocer estos trminos facilita la comprensin del tema de anlisis de riesgo, permitindonos identificar los riesgos de seguridad de la empresa, determinar su magnitud e identificar los riesgos de seguridad en nuestra empresa.

11