Date post: | 15-Dec-2015 |
Category: |
Documents |
Upload: | julian-aiup |
View: | 21 times |
Download: | 3 times |
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS
Lic. Fabiana María Riva Junio de 2011 1
UNIDAD NRO. 2
SEGURIDAD DE LA INFORMACIÓN Y AUDITORIA
El objetivo de esta unidad es introducir al alumno en el manejo de los conceptos del Seguridad
de la Información y adquirir conocimientos, metodologías y herramientas para la implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales.
Objetivos específicos:
• Comprender los riesgos a los que están afectados los recursos a gestionar en áreas de sistemas y tecnologías de información
• Conocer marcos metodológicos actuales referentes a la Gestión de Riesgos de TI • Conocer normas actuales referidas a la Seguridad de la Información • Comprender la necesidad de los procesos de auditoría en áreas de Sistemas y Tecnologías de la
Información
Bibliografía utilizada:
• Guía de los Fundamentos de la Dirección de Proyectos (PMBOK). Cuarta Edición. Project Management Institute. Año 2009. Capítulo 11.
• MAGERIT V.2: Metodología Automatizada de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas. Ministerio de Administración Pública de España. Junio de 2006 disponible en: http://administracionelectronica.gob.es
• SERIE ISO 27000. Portal de ISO 27001 disponible en http://www.iso27000.es/ • COBIT V.4.1.: IT Governance Institute Information Systems Audit and Control Association
(ISACA) y el IT Governance Institute (ITGI). Estados Unidos. Año 2007. Disponible en: http://www.isaca.org/spanish/Pages/default.aspx
• Recursos de Control - Seguridad Informática. Apunte para la Cátedra de Administración de Recursos. Ing. Jorge Sessa. Año 2005.
• Publicaciones de diversos autores disponibles en: http://www.segu-info.com.ar/ • Plataforma educativa de ESSET Latinoamérica: http://edu.eset-la.com/ • Informes del Ing. Carlos Ormella Meyer disponibles en:
http://www.angelfire.com/la2/revistalanandwan/ • Capability Maturity Model Integration, Versión 1.3. Software Engineering Institute. Carnegie
Mellon University. Noviembre de 2010. Disponible en http://www.sei.cmu.edu/cmmi/tools/cmmiv1-3/
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría
Lic. Fabiana María Riva Junio de 2011 2
CAPÍTULO 1:
SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 3
INDICE
SEGURIDAD DE LA INFORMACIÓN ........................................................... 5
SEGURIDAD INFORMÁTICA .................................................................................. 6
MARCO CONCEPTUAL DE LA GESTIÓN DE RIESGOS ....................................... 7
DEFINICIONES Y REFERENCIAS A RIESGOS ............................................................... 7
EL PROCESO DE GESTIÓN DE RIESGOS .................................................... 9
PLANIFICACIÓN DE LA GESTIÓN DE RIESGOS ............................................................. 9
IDENTIFICACIÓN DE RIESGOS .............................................................................. 9
ANÁLISIS DE RIESGOS .................................................................................... 10
ANÁLISIS CUALITATIVO DE RIESGOS ........................................................................... 10
ANÁLISIS CUALITATIVO DEL IMPACTO Y LA PROBABILIDAD .......................................................... 11
PRIORIZACIÓN DE RIESGOS ............................................................................................. 11
ANÁLISIS CUANTITATIVO DE RIESGOS ......................................................................... 12
PLANIFICACIÓN DE LA RESPUESTA A LOS RIESGOS .................................................... 12
ESTRATEGIAS DE RESPUESTA A RIESGOS NEGATIVOS (AMENAZAS) ....................................... 12
ESTRATEGIAS DE RESPUESTA A RIESGOS POSITIVOS (OPORTUNIDADES) ................................. 13
COSTO DE LA GESTIÓN DE RIESGOS ............................................................................ 13
SEGUIMIENTO Y CONTROL DE RIESGOS ................................................................. 14
GESTIÓN DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN ........................... 15
AMENAZAS Y VULNERABILIDADES EN SEGURIDAD INFORMÁTICA .......................................... 18
CLASIFICACIÓN DE ACTIVOS, DIMENSIONES Y CRITERIOS DE VALORACIÓN .......................... 21
REQUERIMIENTOS DE SEGURIDAD Y CONTROLES ...................................................... 23
SEGURIDAD FÍSICA ........................................................................................ 23
PROTECCIÓN CONTRA AMENAZAS CLIMATOLÓGICAS ......................................................... 23
PROTECCIÓN CONTRA INCENDIOS............................................................................... 24
CONTROL DE ACCESOS ........................................................................................... 24
SEGURIDAD LÓGICA ....................................................................................... 26
CONTROL DE ACCESOS ........................................................................................... 26
IDENTIFICACIÓN Y AUTENTIFICACIÓN .................................................................................. 26
EFICIENCIA EN LA AUTENTICACIÓN ..................................................................................... 27
CONTRASEÑAS SEGURAS ................................................................................................. 28
LÍMITES SOBRE LA INTERFAZ DE USUARIO ............................................................................ 28
TRANSMISIÓN Y ALMACENAMIENTO SEGURO DE INFORMACIÓN ............................................ 28
TÉCNICAS CRIPTOGRÁFICAS ............................................................................................. 29
APLICACIONES DE LA CRIPTOGRAFÍA ................................................................................... 30
SEGURIDAD PERIMETRAL ......................................................................................... 31
FIREWALLS ................................................................................................................. 32
DETECCIÓN DE INTRUSIONES ........................................................................................... 32
PRUEBAS DE PENETRACIÓN .............................................................................................. 33
CONFIGURACIONES DE LA INFRAESTRUCTURA TECNOLÓGICA .............................................. 33
ADMINISTRACIÓN DEL PERSONAL Y USUARIOS ............................................................... 34
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ............. 35
CICLO DE CALIDAD PARA EL SGSI ...................................................................... 38
ESTABLECER EL SGSI ............................................................................................ 38
POLÍTICA Y OBJETIVOS DE SEGURIDAD ................................................................................ 38
METODOLOGÍA DE EVALUACIÓN DEL RIESGO .......................................................................... 39
SELECCIÓN DE LOS OBJETIVOS DE CONTROL Y CONTROLES ........................................................ 39
DECLARACIÓN DE APLICABILIDAD ...................................................................................... 40
IMPLANTAR Y UTILIZAR EL SGSI ................................................................................ 40
MONITORIZAR Y REVISAR EL SGSI ............................................................................. 41
MANTENER Y MEJORAR EL SGSI ................................................................................ 41
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 4
DOCUMENTOS DE UN SGSI ............................................................................... 42
MANUAL DE SEGURIDAD DE LA INFORMACIÓN ................................................................ 43
PROCEDIMIENTOS ................................................................................................. 45
INSTRUCCIONES, FORMULARIOS Y CHECKLISTS .............................................................. 45
REGISTROS ......................................................................................................... 45
ANEXO I: MARCO NORMATIVO ............................................................ 46
SERIE ISO 27000 ........................................................................................ 46
MAGERIT V.2 ............................................................................................ 49
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 5
SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información es el proceso de planear, organizar, coordinar, dirigir y
controlar las actividades relacionadas a asegurar la integridad, confidencialidad y
disponibilidad de la información de un sistema y sus usuarios y resguardar los activos de
la organización.
En esta definición se hace referencia a:
Información: conjunto de datos organizados en poder de una entidad que posean valor para
la misma, independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de
fuentes externas) o de la fecha de elaboración.
Integridad de la Información: que la misma solo pueda ser modificada por las entidades
autorizadas y minimizando las posibilidades de corrupción por fallas físicas o lógicas, de hardware o
software, malware o alteraciones causadas por usuarios internos o intrusos con el fin de causar daño
o sin intención. Es decir, mantenimiento de la exactitud y completitud de la información y
sus métodos de proceso.
Confidencialidad de la Información: es la característica en cuanto a su almacenamiento y
transmisión que posibilita que la misma sea conocida sólo por personas autorizadas. Una falla
en la confidencialidad de la información puede dar lugar a graves daños para la organización, tales
como: pérdidas de clientes, usurpación de diseños de nuevos productos, etc.
Asegurar la confidencialidad de la información implica:
• Control de accesos requiere que el acceso a los recursos (información, capacidad de cálculo,
nodos de comunicación, etc.) sea controlado y limitado, protegiéndolos frente a usos no
autorizados o manipulación.
• Autenticación de origen característica de un proceso de transmisión que posibilita tener una
certeza razonable del origen de la información.
• No Repudio ofrece protección a una persona frente a que otra persona niegue posteriormente
que en realidad se realizó cierta comunicación. Esta protección se efectúa por medio de una
colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. El no
repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje,
mientras que el no repudio de recepción protege al emisor de que el receptor niegue haber
recibido el mensaje. Las firmas digitales constituyen el mecanismo más empleado para este fin.
Disponibilidad de la información, capacidad de estar siempre operativa para ser utilizada.
Requiere que los recursos (información y sistemas de tratamiento o almacenamiento de la misma)
sean accesibles y utilizables por individuos, entidades o procesos autorizados cuando los
requieran.
Se debe proponer un proceso que apunte a mantener la Continuidad Segura del Negocio
definiendo una estructura que mantenga presente los conceptos anteriores. Hablar de Continuidad
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 6
Segura significa prepararse formalmente a atender a las contingencias que pueden ocurrir
en un grado acorde a la criticidad del negocio.
SEGURIDAD INFORMÁTICA
Cuando hablamos de seguridad informática muchas veces creemos que es lo mismo que
seguridad de la información debido a que los términos se usan muchas veces de forma indistinta.
Sin embargo vale aclarar sus diferencias.
La seguridad informática (si) se encarga de la protección de los sistemas informáticos,
entendiéndose esto como la conjunción de la información almacenada en medios magnéticos, las
aplicaciones (software), los equipos que soportan la información (hardware) y las personas que
hacen uso de la misma (usuarios).
La seguridad de la información (SI) es un proceso mucho más amplio que implica la
protección no solo de la información almacenada en los sistemas informáticos sino que también
asegure la información sin discriminar donde se encuentra.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 7
MARCO CONCEPTUAL DE LA GESTIÓN DE RIESGOS
Para atender a las contingencias que puedan presentarse en cuanto a la seguridad de la
información, es imprescindible conocer los riesgos a los que nos enfrentamos para poder
gestionarlos.
Las Organizaciones interactúan en un ambiente donde clientes, regulaciones gubernamentales,
competencia y tecnología cambian constantemente, hecho éste que las obliga a estar preparadas
para adaptarse a estos cambios. En este contexto el análisis de riesgos se considera una
herramienta básica para la toma de decisiones y para la elaboración del plan de auditoría de la
empresa, en el cual se determina la cantidad y extensión de los exámenes o procedimientos de
auditoría a ser aplicados a los efectos de contar con un adecuado sistema de Control Interno.
DEFINICIONES Y REFERENCIAS A RIESGOS
Según el diccionario de la Real Academia Española
(Del italiano risico o rischio, y este del árabe clásico rizq, lo que depara la providencia).
1. m. Contingencia o proximidad de un daño.
2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro
Un riesgo pude verse también como una variación de los resultados esperados, donde esa
variación es de carácter aleatorio y en muchas ocasiones fuera del control del tomador de decisiones
generándose el problema de la incertidumbre.
En el contexto de Proyectos, y según el PMI, el riesgo está relacionado con las Oportunidades
(resultados positivos) y las Amenazas (resultados negativos). Los objetivos de la Gestión de los
Riesgos del Proyecto son aumentar la probabilidad y el impacto de los eventos positivos, y
disminuir la probabilidad y el impacto de los eventos adversos para el proyecto.
El SEI (Software Engineering Institute), además de incluir la Gestión de Riesgos en su
Modelo de Madurez de capacidades (CMMi) como hemos visto en la Unidad Nro. 1, ha desarrollado
un método de evaluación de riesgos denominado OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) cuya última versión es OCTAVE Allegro y además provee un método
sistemático de identificación de riesgos basados en taxonomías. En el contexto del SEI un riesgo se
define como la posibilidad de pérdida y como el precursor de un problema, en función de:
• Probabilidad de que ocurra un evento adverso.
• Impacto, manifestado en una combinación de pérdida económica, retraso temporal y pérdida de
rendimiento
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 8
En MAGERIT V2. (del Ministerio de Administración Pública de España) se tiene en cuenta que:
Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más
activos causando daños o perjuicios a la organización.
Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una organización.
Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados.
Tipos de Activo: La metodología tiene en cuenta la tipificación de los siguientes activos: Datos e
Información, aplicaciones (software), soportes de Información, equipos Informáticos (hardware),
redes de comunicaciones, personal, instalaciones, equipamiento auxiliar y servicios
Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que encuadran en la
actividad continua de Gestión de la Seguridad. El análisis de riesgos permite determinar cómo es,
cuánto vale y cómo de protegidos se encuentran los activos. En coordinación con los objetivos,
estrategia y política de la organización, las actividades de gestión de riesgos permiten elaborar un
Plan de Seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de
riesgo que acepta la Dirección.
La Serie ISO/IEC 27000 provee por un lado una Norma certificable1 de Seguridad de la
Información y por otro una Guía de Buenas prácticas2 donde presenta una lista de controles de
seguridad recomendados y que, en la práctica, se seleccionan en base a una valorización de
riesgos.
COBIT es un estándar que combina la investigación el desarrollo y la promoción de un conjunto
actualizado de objetivos de control para las tecnologías de la información para el uso por parte de
gerentes y auditores. Asegura que las tecnologías de la información estén alineadas con los
objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de
forma apropiada. Organiza los objetivos de control en Dominios que responden a procesos dentro
de la organización. Para cada dominio define los requerimientos del negocio que satisface, los
estados del control que facilitan la satisfacción de los objetivos y los elementos que se pueden
considerar al evaluar. En cuanto a la Gestión de Riesgos de TI, la misma está especificada en el
Dominio: Planear y Organizar y Proceso: P09. Evaluar y Administrar los Riesgos de TI.
ITIL V.3. contempla el proceso de Gestión de la Continuidad del Servicio enunciando actividades
y funciones relacionadas directamente con la Gestión de Riesgos como hemos visto en el capitulo
anterior.
1 Ver anexo: Normas Serie ISO/IEC 27000 2 Ver anexo: SOA - Declaración de Aplicabilidad
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 9
EL PROCESO DE GESTIÓN DE RIESGOS
La Gestión de Riesgos es un proceso interactivo e iterativo basado en el conocimiento,
evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de
decisiones organizacionales. Aplicable a cualquier situación donde un resultado no deseado o
inesperado pueda ser significativo o donde se identifiquen oportunidades.
Se pueden resumir, de los marcos mencionados anteriormente, los siguientes procesos
involucrados en la gestión de riesgos:
1. Planificación de la Gestión de Riesgos: decidir cómo enfocar, planificar y ejecutar las
actividades de gestión de riesgos.
2. Identificación de Riesgos: determinar los riesgos existentes y documentar sus características.
3. Análisis Cualitativo de Riesgos: priorizar los riesgos para realizar otros análisis o acciones
posteriores, evaluando y combinando su probabilidad de ocurrencia y su impacto.
4. Análisis Cuantitativo de Riesgos: analizar numéricamente el efecto de los riesgos
5. Planificación de la Respuesta a los Riesgos: desarrollar opciones y acciones para mejorar las
oportunidades y reducir las amenazas.
6. Seguimiento y Control de Riesgos: realizar el seguimiento de los riesgos identificados,
supervisar los riesgos residuales, identificar nuevos riesgos, ejecutar planes de respuesta a los
riesgos y evaluar su efectividad.
PLANIFICACIÓN DE LA GESTIÓN DE RIESGOS
Objetivo: Cómo serán abordadas y planeadas las actividades de referidas a riesgos.
Resultado a obtener: El Plan de Gestión de Riesgos, que documente cómo serán
estructurados y realizados los procesos de identificación, análisis cualitativo, cuantitativo, planeación
de respuesta, monitoreo y control de riesgos. La empresa debe tener estandarizado el proceso para
acumular experiencia. El Plan de Gestión de Riesgos deberá incluir: Enfoque, herramientas y
fuentes de datos, los roles y las responsabilidades, el presupuesto, el calendario de manejo de
riesgos, métodos de evaluación e interpretación, los criterios de umbrales de riesgos sobre los
cuales se actúa y el formatos de los reportes.
IDENTIFICACIÓN DE RIESGOS
El tratar de identificar riesgos es un criterio proactivo que busca identificar posibles factores de
riesgo y tomar medidas de aseguramiento o planes de contingencia para contrarrestarlos a ellos y a
sus efectos.
Objetivo: Determinar los riesgos y documentar sus características.
Resultados a obtener:
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 10
Relación de Riesgos: Definiciones de eventos o condiciones inciertas que si ocurriesen tendrían
efectos negativos (o positivos).
Disparadores: Las señales de advertencia indicativas de que el riesgo se ha materializado o
está a próximo a ocurrir.
Las siguientes herramientas pueden ser utilizadas para identificar o analizar los riesgos:
• Revisiones de Documentación: en caso de proyectos: acta de proyecto, cronograma, técnicas
utilizadas para estimación de tiempos y costos, recursos asignados, en caso de adquisición: el
plan de compras y procesos asociados, en caso de servicios: los modelos de rendimiento de
procesos y productos.
• Técnicas de Recopilación de Información: Brainstorming, Técnica Delphi, discusiones de grupo,
entrevistas estructuradas y cuestionarios, análisis FODA, etc.
• Análisis mediante Check Lists: por ej. de inspecciones físicas y auditorias anteriores
• Análisis de asunciones o escenarios
• Técnicas de Diagramación: Diagramas Causa-Efecto, de sistemas, de influencias
• Experiencia personal de los involucrados
• Taxonomías de Riesgos
ANÁLISIS DE RIESGOS
Los diferentes estándares formulan que la Gestión de Riesgos tiene 2 dimensiones, la primera se
refiere a la incertidumbre, ya que un riesgo es algo que todavía no ha ocurrido y que bien puede
ocurrir o no (PROBABILIDAD), la segunda es acerca de lo que sucedería si el riesgo ocurriese, ya
que los riesgos se definen en términos de su efecto en los objetivos o las pérdidas (IMPACTO).
Cuando se evalúa el significado de un riesgo en particular, es necesario considerar ambas
dimensiones. Los procesos de gestión de riesgos incluyen técnicas para determinar la importancia de
un riesgo, basado tanto en la probabilidad como en su impacto.
Estableceremos el estado de riesgo, exposición o SEVERIDAD como PROBABILIDAD de
ocurrencia del riesgo por el IMPACTO que causa si sucede.
Aunque se puede desarrollar un marco que permita la evaluación del impacto, sin lugar a
ambigüedades, el cálculo de la probabilidad es mucho más confuso ya que muchas veces se
identifican riesgos cuyos detalles son desconocidos (dependen de influencias externas), no existen
registros anteriores y esto lleva a que solo es posible realizar una estimación de la misma.
ANÁLISIS CUALITATIVO DE RIESGOS
Realizar el Análisis Cualitativo de Riesgos es por lo general un medio rápido y económico de
establecer prioridades para la planificación de la respuesta a los riesgos y sienta las bases para
realizar el análisis cuantitativo de riesgos, si se requiere.
Objetivo: Realizar un análisis cualitativo y condiciones de los riesgos para priorizar sus efectos
sobre los activos de la organización o los objetivos del proyecto.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 11
Resultado a obtener: Actualizar el registro de riesgos, realizado en la etapa de identificación,
determinando una lista priorizada de riesgos en función del impacto y probabilidad estimados,
riesgos agrupados en categorías, causas de riesgos o áreas que requieran mayor atención.
ANÁLISIS CUALITATIVO DEL IMPACTO Y LA PROBABILIDAD
Se deben dar valores a los riesgos listados existiendo para ello escalas lineales y no lineales. Para
un preciso análisis cualitativo de riesgos se requiere obtener información precisa y sin tendencia y
utilizar técnicas para evaluar la precisión de la información.
Se propone para la evaluación del impacto una escala de cinco niveles: 1-Muy bajo, 2-Bajo, 3-
Medio, 4-Alto, 5-Muy alto (establecida en función del más alto impacto detectado).
Para evaluar la probabilidad también se define una escala: 1-muy improbable (< 3%), 2-poco
probable (<10%), 3-probable (<30%), 4-altamente probable (<60%), 5-casi cierto (>60%)
La posibilidad de un evento frecuentemente no sólo depende de la estadística sino también de la
intervención humana.
• Probabilidad de ocurrencia: la probabilidad que ocurra si no tomamos ninguna acción; y
• Dificultad de intervención: el nivel de dificultad que experimentaríamos en prevenir que
ocurra el riesgo
En función a estas escalas se puede establecer una matriz para medir la magnitud del riesgo:
PRIORIZACIÓN DE RIESGOS
Clasificaremos los riesgos utilizando una lista con el siguiente formato: Nro. Categoría Riesgo Probabilidad Impacto Riesgo Total
Una vez obtenida la lista, la ordenamos en forma decreciente por Riesgo Total.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 12
Dependiendo del análisis, es probable que puedan identificarse una gran cantidad de riesgos y,
por lo tanto, el Plan de gestión de riesgo puede convertirse en un proyecto en sí mismo. Por este
motivo, adaptamos la regla de Pareto 80-20 al riesgo del proyecto.
La experiencia dice que el 80 por ciento del riesgo total se debe solamente al 20 por ciento de los
riesgos identificados.
La lista Priorizada de riesgos ayudará a determinar qué riesgos pertenecen a ese 20 por ciento.
ANÁLISIS CUANTITATIVO DE RIESGOS
Objetivo: Establecer la probabilidad y consecuencias de riesgos y estimar sus implicaciones para los
objetivos del proyecto.
Resultados a Obtener: Lista priorizada de riesgos cuantificada.
Utilizando técnicas de recopilación y representación de datos, técnicas de análisis cuantitativo y
Modelado y juicio de expertos se debe:
• Cuantificar la exposición al riesgo y determinar, para un proyecto, el valor de reservas de
contingencias de costo y cronograma que puedan ser necesarias.
• Identificar los riesgos que requieren mayor atención cuantificando su relativa contribución al
riesgo total.
PLANIFICACIÓN DE LA RESPUESTA A LOS RIESGOS
Objetivo: Desarrollar opciones y determinar acciones que reduzcan las amenazas y aumenten las
oportunidades.
Resultados a Obtener: Plan de Respuestas a Riesgos, determinación de reservas de contingencia,
riesgos residuales y secundarios.
El Plan de Respuesta a Riesgos incluye la identificación y asignación de personas o grupos
responsables de las respuestas a cada riesgo. Debe ser apropiado a la severidad en cada riesgo,
efectivo en costos, oportuno, realista en función de los activos involucrados o en el contexto del
proyecto, acordado por las partes involucradas y asignado a la persona responsable de ejecutar la
respuesta.
ESTRATEGIAS DE RESPUESTA A RIESGOS NEGATIVOS (AMENAZAS)
Evitar: No se acepta de esa forma
Transferir: Estoy dispuesto a transferir a un tercero el riesgo y la gestión del mismo, soy
consciente de que no puedo eliminar todo el riesgo (Subcontratar, Asegurar)
Mitigar: Estoy consciente del riesgo y haré lo posible para minimizar su ocurrencia (probabilidad) y
consecuencias (impacto)
Aceptar: Estoy consciente del riesgo y estoy dispuesto a aceptar las consecuencias de su posible
ocurrencia
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 13
Contingencia: Tendré respuestas preparadas por si ocurre el evento (necesidad de señales
tempranas de advertencia)
Riesgo Nro.
Desarrollo de Estrategias de respuesta a amenazas
Evitar
Aceptar
Contingencia
o Reserva
Mitigación
Transferir Minimizar
Probabilidad
Minimizar
Impacto
Estrategia
Ventajas
Desventajas
ESTRATEGIAS DE RESPUESTA A RIESGOS POSITIVOS (OPORTUNIDADES)
Explotar: Haré lo posible para asegurarme que la oportunidad sea una realidad
Compartir: Estoy dispuesto a transferir a un tercero que está mejor capacitado para capturar la
oportunidad
Mejorar: Haré lo posible por maximizar su ocurrencia (probabilidad) y consecuencias (impacto)
Aceptar: Estoy dispuesto a aceptar las consecuencias de su posible ocurrencia
Contingencia: Tendré respuestas preparadas por si ocurre el evento (necesidad de señales
tempranas de advertencia)
De la misma forma que en las estrategias de respuestas a riesgos negativos podremos armar una
planilla para su descripción.
COSTO DE LA GESTIÓN DE RIESGOS
Deberemos balancear el costo de implementación de la Gestión de Riesgos contra los
beneficios derivados para obtener la mejor opción.
Costo de Gestión
Implementar medidas de reducción
Usar Juicio
Antieconómico
Nivel Total de Riesgos
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 14
Los imprevistos y los riesgos residuales más los planes de contingencia deben gestionarse a
través de reservas, que pueden ser:
Gerenciales: Atiende a los imprevistos
De Contingencia: Riesgos residuales más planes de contingencia
Cómo afectan las reservas a cualquier contrato puede verse en el siguiente cuadro
SEGUIMIENTO Y CONTROL DE RIESGOS
Objetivo: Definir un enfoque de seguimiento para monitorear los riesgos
Resultados a Obtener: Documentación de los resultados de las actividades de gestión de riesgos.
Procedimiento:
• Ejecutar el Plan de Gestión de Riesgos
o Riesgos con probabilidad moderada a alta: Continuar con el plan de EVITAR Y MITIGAR.
o Riesgos que se hayan materializado: Iniciar el PLAN DE CONTINGENCIAS
o Riesgos que se hayan evitado: Retirar de plan (pero documentar).
• Ejecutar las estrategias de respuesta a medida que los riesgos ocurran
• Documentar
• Evaluar los resultados
Precio total del contrato
Presupuesto total del Proyecto Honorarios o Ganancias
Presupuesto de realización del proyecto
Presupuesto de Reservas
Costo del Proyecto
Costo de respuesta a riesgos
Reservas Gerenciales
Reservas de Contingencias
CCoossttoo sseegguurroo CCoossttoo pprroobbaabbllee
UNIVERSIDAD TECNOLOGICA NACIONAL ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y AuditSeguridad de la Información
Lic. Fabiana María Riva
GESTIÓN DE R
Las amenazas en Seguridad de la Información
la integridad, confidencialidad y disponibilidad de la información y que muchas veces están
posibilitadas por vulnerabilidades en la infraestructura
recursos humanos afectados, el software, etc
Las listas de clasificación o categorías de riesgos, denominadas también taxonomías de riesgos,
permiten que el equipo encargado de identificar riesgos
mismos porque ya dispone de una lista de áreas
procedentes de diferentes situaciones.
taxonomía con preguntas orientadas a grupos de riesgos ya que trabajar con listas muy extensas
puede resultar complejo. También pueden emp
que el equipo puede utilizar para supervisar y notificar el estado de los
proyecto o en los momentos del control.
Existen clasificaciones o taxonomías
desarrollo de software entre las que
desarrollada por el SEI denominada
En este capítulo nos centraremos en algunas clasificaciones ge
identificación de riesgos en Proyectos o Áreas de
3 Reporte disponible en: http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN
Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Junio de 2011
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN
en Seguridad de la Información son todos aquellos factores que p
confidencialidad y disponibilidad de la información y que muchas veces están
vulnerabilidades en la infraestructura, los procedimientos administrativos
, el software, etc.
o categorías de riesgos, denominadas también taxonomías de riesgos,
equipo encargado de identificar riesgos pueda pensar con mayor amplitud sobre los
porque ya dispone de una lista de áreas o activos susceptibles
de diferentes situaciones. En ocasiones se utiliza una lista de chequeo basada en una
taxonomía con preguntas orientadas a grupos de riesgos ya que trabajar con listas muy extensas
También pueden emplearse para proporcionar una terminología unificada
que el equipo puede utilizar para supervisar y notificar el estado de los
proyecto o en los momentos del control.
o taxonomías que describen las fuentes de
entre las que se incluyen las realizadas por Barry Boehm, Caper Jones
denominada Software Development Risk Taxonomy
En este capítulo nos centraremos en algunas clasificaciones generales que afectan a la
Proyectos o Áreas de Sistemas y Tecnologías de Información.
http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm
EN SISTEMAS DE INFORMACION
15
NFORMACIÓN
son todos aquellos factores que ponen en peligro
confidencialidad y disponibilidad de la información y que muchas veces están
, los procedimientos administrativos, los
o categorías de riesgos, denominadas también taxonomías de riesgos,
pueda pensar con mayor amplitud sobre los
susceptibles de esconder riesgos
En ocasiones se utiliza una lista de chequeo basada en una
taxonomía con preguntas orientadas a grupos de riesgos ya que trabajar con listas muy extensas
learse para proporcionar una terminología unificada
que el equipo puede utilizar para supervisar y notificar el estado de los riesgos a lo largo de un
riesgo de proyectos de
as por Barry Boehm, Caper Jones y la
Risk Taxonomy3.
nerales que afectan a la
ologías de Información.
http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 16
Una clasificación para la identificación de riesgos de un Proyecto, puede ser:
o Riegos Genéricos: Son todos los riesgos que afectan a cualquier Proyecto.
o Riesgos Específicos: Son riesgos asociados a un Proyecto de Tecnología de Información en
particular o al producto de dicho proyecto. Dependerán en mayor medida de la tecnología que se
está utilizando, los procesos dentro del proyecto y las características de la organización.
El PMI propone la siguiente estructura de desglose de riesgos que pueden darse en Proyectos:
Los 9 procesos de la Gestión de Proyectos del PMI pueden ser utilizados para identificar riesgos
referidos a:
Integración
Alcance Tiempos
Costos
Calidad
RRHH
Comunicaciones
Gestión de Riesgos del Proyecto
Adquisiciones
Expectativas. Factibilidad Objetivos de Tiempo.
Restricciones
Requerimientos. Estándares
Disponibilidad. Productividad
Objetivos de Costos. Restricciones
Servicios. Materiales, performance
Variables del ciclo de vida y ambientales
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 17
El SEI propone una clasificación para riesgos de la operación de tecnologías de información
denominada Taxonomy of Operational Cyber Security Risks4. La clasificación identifica y
organiza la fuente de estos riesgos en cuatro clases:
1. Acciones (o inacción) de las personas: realizadas tanto deliberada como accidentalmente
2. Fallas de los sistemas y tecnología: fallas del hardware, software y sistemas de información
3. Fallas de los procesos internos: problemas en los procesos internos del negocio que impactan
en la habilidad para implementar, gestionar y sostener a la seguridad.
4. Eventos externos: cuestiones fuera del control de la organización.
Cada clase se descompone en subclases que se describen por los elementos que la componen:
1. Acciones de las Personas
2. Fallas de Sistemas y Tecnología
3. Fallas de Procesos Internos
4. Eventos externos
1.1 Involuntarias 2.1 Hardware 3.1. Diseño de Procesos y Ejecución
4.1 Desastres
1.1.1 Equivocación (acción incorrecta)
2.1.1 Capacidad 3.1.1 Flujo de Procesos 4.1.1 Climatológicos
1.1.2 Error (por desconocimiento)
2.1.2 Rendimiento 3.1.2 Documentación de Procesos
4.1.2 Incendios
1.1.3 Omisión (por apresuramiento)
2.1.3 Mantenimiento 3.1.3 Roles y responsabilidades
4.1.3 Inundaciones
1.2 Deliberadas 2.1.4 Obsolescencia 3.1.4 Notificaciones y alertas
4.1.4 Terremotos
1.2.1 Fraude 2.2 Software 3.1.5 Flujo de Información
4.1.5 Disturbios
1.2.2 Sabotaje 2.2.1 Compatibilidad 3.1.6 Escalado de problemas
4.1.6 Pandemias
1.2.3 Robo 2.2.2 Configuración 3.1.7 Acuerdo de Nivel de Servicio
4.2 Cuestiones Legales
1.2.4 Vandalismo 2.2.3 Control de Cambios 3.1.8 Tarea fuera de control
4.2.1 Regulaciones
1.3 Inacción 2.2.4 Parámetros de Seguridad
3.2 Control de Procesos
4.2.2 Legislación
1.3.1 Habilidad 2.2.5 Prácticas de Codificación
3.2.1 Monitorización del estado
4.2.3 Litigios
1.3.2 Conocimiento 2.2.6 Testing 3.2.2 Métricas 4.3 Cuestiones del Negocio
1.3.3 Guía 2.3 Sistemas 3.2.3 Revisiones Periódicas
4.3.1 Fallas del Suministro
1.3.4 Disponibilidad 2.3.1 Diseño 3.2.4 Dueño del Proceso 4.3.2 Condiciones del Mercado
2.3.2 Especificaciones 3.3 Procesos de Soporte
4.3.3 Condiciones Económicas
2.3.3 Integración 3.3.1 Dotación del Personal
4.4 Dependencias con Servicios
2.3.4 Complejidad 3.3.2 Recursos 4.4.1 Servicios Públicos
3.3.3 Entrenamiento y desarrollo
4.4.2 Servicios de Emergencia
3.3.4 Adquisición 4.4.3 Combustible
4.4.4 Transporte
4 Reporte Disponible en: http://www.sei.cmu.edu/library/abstracts/reports/10tn028.cfm
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 18
AMENAZAS Y VULNERABILIDADES EN SEGURIDAD INFORMÁTICA
Para explicar las amenazas y vulnerabilidades en Seguridad Informática desarrollaremos un
esquema para comprender en qué consiste un ataque informático.
1-RECONOCIMIENTO
2-EXPLORACIÓN
3-CONSOLIDACION
4-MANTENER ACCESO
5-BORRAR HUELLAS
Fase 1: Reconocimiento. Esta etapa involucra la obtención de información con respecto a una
potencial víctima que puede ser una persona u organización. Por lo general, durante esta fase se
recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del
objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster
Diving, el sniffing, el DNS snooping, etc.
Fase 2: Exploración. En esta segunda etapa se utiliza la información obtenida en la fase 1
para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP,
nombres de host, datos de autenticación, entre otros. Las herramientas que se utilizan se basan en
el escaneo de puertos y análisis de las redes para detectar servicios activos y vulnerabilidades
(network mappers, port mappers, network scanners, port scanners, y vulnerability scanners)
Fase 3: Consolidación. En esta instancia comienza a materializarse el ataque a través de la
explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante
las fases de reconocimiento y exploración. Algunas de las técnicas que el atacante puede utilizar son
ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos),
Password filtering y Session hijacking.
Fase 4: Mantener el acceso. Una vez que el atacante ha conseguido acceder al sistema,
buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar
donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.
Fase 5: Borrar huellas. Una vez que el atacante logró obtener y mantener el acceso al
sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser
detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará
eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 19
Estas son algunas de las debilidades, recursos o técnicas en las que se basa un ataque
informático5:
Ingeniería Social: Consiste en la obtención de información sensible y/o confidencial de un
usuario cercano a un sistema u organización. Son estrategias de ataque que se basan en el engaño
y que están netamente orientadas a explotar las debilidades del factor humano. Ya sea por
ignorancia, negligencia o coacción, las personas pueden romper las reglas de seguridad de la
organización y permitir a un atacante obtener acceso no autorizado.
Dumpster Diving: es un recurso basado en la ingeniería social. Consiste en “husmear entre la
basura” para localizar notas y/o papeles de los que el usuario se ha deshecho: extractos bancarios,
claves personales, datos comprometidos, anotaciones personales. Muchos de estos datos pueden ser
utilizados para crear un perfil en un sitio web y actuar en su nombre, usurpar su identidad, abrir o
realizar movimientos en sus cuentas bancarias, utilizar servicios, pagar con su tarjeta de crédito o
incluso aparecer con su fotografía ante terceros en un foro de Internet.
Phishing: está basado en la ingeniería social. En general son falsos mensajes de correo
electrónico haciéndose pasar por entidades reales (generalmente financieras) pidiéndonos en
muchos casos confirmación de estos datos, en oportunidades también se utilizan llamados
telefónicos. Las características de un correo de phishing son las siguientes:
• Uso de nombres de reconocidas organizaciones.
• El correo electrónico del remitente simula ser de la compañía en cuestión.
• El cuerpo del correo, presenta el logotipo de la compañía u organización que firma el mensaje.
• El mensaje insta al usuario a reingresar algún tipo de información que, en realidad, el supuesto
remitente ya posee.
• El mensaje incluye un enlace que, aunque indique una dirección web válida, redirecciona al sitio
falsificado.
Como técnica de Ingeniería Social, el phishing utiliza el factor miedo, para inducir al usuario a
ingresar la información en el sitio del atacante. Un aviso legítimo de caducidad de información (como
contraseñas, cuentas de correo o registros personales), nunca alertará al usuario sin el suficiente
tiempo para que este, gestione las operaciones necesarias en tiempos prudenciales. Mensajes del
tipo "su cuenta caducará en 24hs." o "si no ingresa la información en las próximas horas..." son
frecuentemente utilizados en este tipo de ataques.
El sitio web falso es creado utilizando, no solo el logotipo, sino también la estructura, las
imágenes, las tipografías y los colores de la página original. El atacante intenta crear la página web
de forma idéntica a la original, para aumentar la eficacia del engaño.
Prácticamente todos los componentes, del mensaje enviado al usuario, son idénticos a un
mensaje legítimo del mismo tipo. Reconocer un mensaje de phishing no es una tarea simple para el
usuario. Cualquier usuario de correo, es una potencial víctima de estos ataques.
5 Ingresar a la plataforma : http://edu.eset-la.com y realizar el curso: Guía básica de utilización de medios informáticos en forma segura
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 20
Sniffing: es el mecanismo que permite monitorizar y analizar el tráfico en una red de
computadoras, detectando los cuellos de botella y problemas que existan pero también puede ser
utilizado para "captar", lícitamente o no, los datos que son transmitidos en la red.
Análisis de redes y escaneo de puertos: son aplicaciones que permiten verificar la seguridad
en una red mediante el análisis de los puertos abiertos en uno de los equipos o en toda la red a
partir de una serie o lista de direcciones de IP. El proceso de análisis utiliza solicitudes que permiten
determinar los servicios que se están ejecutando en un host remoto e identificar los riesgos de
seguridad. Mediante un análisis exhaustivo de la estructura de los paquetes TCP/IP recibidos pueden
identificar, por ejemplo, qué sistema operativo está utilizando el equipo remoto.
Configuraciones predeterminadas o por defecto: generalmente las configuraciones
predeterminadas hacen del ataque una tarea sencilla para quien lo ejecuta ya que es muy común
que las vulnerabilidades de un equipo sean explotadas a través de códigos exploit donde el
escenario que asume dicho código se basa en que el objetivo se encuentra configurado con los
parámetros por defecto. Muchas aplicaciones automatizadas están diseñadas para aprovechar estas
vulnerabilidades, incluso existen sitios web que almacenan bases de datos con información
relacionada a los nombres de usuario y sus contraseñas asociadas, códigos de acceso,
configuraciones, entre otras, de los valores por defecto de sistemas operativos, aplicaciones y
dispositivos físicos.
Ataques de Contraseña: consiste en la prueba metódica de contraseñas para lograr el acceso
a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo.
En un esquema de autenticación de factor simple (nombre de usuario + contraseña) la
seguridad radica inevitablemente en la fortaleza de la contraseña y en mantenerla en completo
secreto, siendo potencialmente vulnerable a técnicas de Ingeniería Social cuando los propietarios de
la contraseña no poseen un adecuado nivel de capacitación que permita prevenir este tipo de
ataques. Se suma a esto la existencia de herramientas automatizadas diseñadas para “romper” las
contraseñas a través de diferentes técnicas como ataques por fuerza bruta, por diccionarios o
híbridos en un plazo sumamente corto.
Código malicioso o malware: programas que causan algún tipo de daño o anomalía en el
sistema informático. Dentro de esta categoría se incluyen virus, gusanos, troyanos, adware,
spyware, ransomware, entre otros.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 21
CLASIFICACIÓN DE ACTIVOS, DIMENSIONES Y CRITERIOS DE VALORACIÓN
La identificación de activos y componentes críticos es esencial para conocer qué debe protegerse
y así clasificarlos mediante criterios basados en su confidencialidad, integridad y disponibilidad.
La tipificación de los activos es tanto una información documental de interés como un criterio de
identificación de amenazas potenciales y controles apropiados a la naturaleza del activo.
A partir de esta tipificación se podrá generar el Inventario o Catálogo de Activos.
Sin ser una lista exhaustiva (ya que la misma puede variar significativamente con los avances
tecnológicos), los activos pueden agruparse en las siguientes categorías:
• Activos de información: archivos y bases de datos, documentación del sistema, manuales de
usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad,
configuración del soporte de recuperación, documentación histórica archivada.
• Activos de software: de aplicación, del sistema, herramientas y programas de desarrollo
• Activos físicos: equipos de tratamiento (procesadores, monitores, portátiles, módems), equipo
de comunicaciones (routers, centrales digitales, máquinas de fax), medios magnéticos (discos y
cintas), otro equipamiento técnico (suministro de energía, unidades de aire acondicionado), etc.
• Servicios: servicios de tratamiento y comunicaciones, servicios generales (calefacción,
alumbrado, energía, aire acondicionado).
• Otros activos: imagen de la organización, objetivos, servicios producidos, credibilidad, etc.
Dentro de la clasificación de activos, se podrá recurrir además a una sub-clasificación
dependiendo del acceso que pueda realizarse. Se podrán contemplarán los siguientes niveles:
• Desclasificado, considerado público y sin requisitos de control de acceso y confidencialidad
• Compartido, activos compartidos entre grupos o personas no pertenecientes a la organización
• Sólo para la organización, acceso restringido a los empleados de la organización
• Confidencial, acceso restringido a una lista específica de personas
La responsabilidad de cada activo deberá estar asignada sobre cada propietario por lo que se
procederá a designar un responsable para cada recurso o grupos de recursos el cual asumirá en un
futuro la tarea de mantener los controles apropiados.
Las características o atributos que hacen valioso un activo se denominan dimensiones de
valoración. Una dimensión es una faceta o aspecto de un activo que se podrá utilizar para valorar
las consecuencias de la materialización de una amenaza.
La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la
organización si el activo se ve dañado en dicha dimensión.
Las dimensiones de valoración que se siguen generalmente hacen mención a:
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 22
• Necesidad de disponibilidad del activo en función del número de personas afectadas por la
falta de disponibilidad, funcionamiento irregular y en la que estarán involucrados además los
tiempos de recuperación y la pérdida de imagen.
• Nivel de pérdida de integridad del activo los datos reciben una alta valoración desde el
punto de vista de integridad cuando su alteración, voluntaria o intencionada, causaría graves
daños a la organización
• Nivel de confidencialidad asociado a la información y derivado del marco regulador externo o
criterios internos. Los datos reciben una alta valoración desde este punto de vista cuando su
revelación causaría graves daños a la organización. En este sentido será necesario establecer:
o Aseguramiento de la identidad del origen: de los usuarios del servicio y de los datos
o Aseguramiento de que se podrá determinar quién hizo qué y en qué momento: trazabilidad
del Servicio y trazabilidad de Datos.
Para definir el criterio de valoración (o impacto) se podrá recurrir a una valoración económica
derivada de la inversión económica de reposición ante la pérdida o a escalas cualitativas como
las mencionadas anteriormente.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 23
REQUERIMIENTOS DE SEGURIDAD Y CONTROLES
Los controles (o salvaguardas) permiten hacer frente a las amenazas. Hay diferentes aspectos
sobre los cuales puede actuar un control:
Seguridad física, de los locales y áreas de trabajo
Procedimientos, tanto para la operación de los controles preventivos como para la gestión de
incidentes y la recuperación tras los mismos. Los procedimientos deben cubrir aspectos tan diversos
como van del desarrollo de sistemas a la configuración del equipamiento.
Política de personal, necesaria cuando se consideran sistemas atendidos por personal. Debe
cubrir desde las fases de especificación del puesto y selección, hasta la formación continua.
Soluciones técnicas, que pueden ser aplicaciones (software), dispositivos físicos (hardware),
protección de las comunicaciones
La protección integral de un sistema de información requerirá una combinación de controles,
debiendo la solución final estar equilibrada en los diferentes aspectos, tener en cuenta los controles
adecuadas a cada tipo de activos, tener en cuenta los controles adecuados a la dimensión de valor
del activo y tener en cuenta los controles adecuados a la amenaza
Los controles, especialmente los técnicos, varían con el avance tecnológico.
SEGURIDAD FÍSICA
Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a los recursos informáticos y a la información. Estos
mecanismos de seguridad deberán ser implementados para proteger el hardware y medios de
almacenamiento de datos dentro y alrededor de las áreas de sistemas así como a los medios de
acceso remoto al y desde el mismo. Se deberán identificar características que se deben respetar en
las áreas destinadas a la sala de servidores, al almacenamiento de los medios magnéticos, puestos
de usuarios, cableado y todos los recursos relacionados con el desempeño de las tecnologías de la
información y comunicación.
PROTECCIÓN CONTRA AMENAZAS CLIMATOLÓGICAS
En cuanto a prevención de inundaciones: construir un techo impermeable para evitar el paso de
agua desde un nivel superior al área de servidores y de almacenamiento de medios magnéticos.
Acondicionar las puertas para contener el agua que pudiera acceder al área.
En cuanto a la prevención de condiciones de temperatura y humedad no aconsejables: se debe
proveer un sistema de calefacción, ventilación y aire acondicionado separado con sensores para el
control de la temperatura adecuada y que se dedique al área de servidores en forma exclusiva.
Como estos aparatos son causa potencial de incendios e inundaciones, es recomendable instalar
redes de protección en todo el sistema de cañería al interior y al exterior, detectores y extinguidores
de incendio, monitores y alarmas efectivas.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 24
PROTECCIÓN CONTRA INCENDIOS
• El área de servidores debe estar en un local que no sea combustible o inflamable
• El local no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o
almacenen materiales inflamables, explosivos, gases tóxicos o sustancias radioactivas.
• Las paredes y el techo deben hacerse de materiales incombustibles
• Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y
resistentes al fuego.
• No debe estar permitido fumar.
• Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los
materiales plásticos e inflamables.
• El piso y el techo en el recinto deben ser impermeables.
• Deben colocarse sensores de temperatura y de humo que detecten anomalías en las instalaciones
• Deben estar provistas de equipos para la extinción de incendios en relación al grado de riesgo y la
clase de fuego que sea posible en ese ámbito.
• Deben instalarse extintores manuales (portátiles) y/o automáticos (rociadores).
En cuanto a los procedimientos que debe respetar el personal:
• El personal designado para usar extinguidores de fuego debe ser entrenado en su uso.
• Si hay sistemas de detección de fuego que activan el sistema de extinción, todo el personal de
esa área debe estar entrenado para no interferir con este proceso automático.
• Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel.
• Suministrar información, del centro de cómputos, al departamento local de bomberos, antes de
que ellos sean llamados en una emergencia. Hacer que este departamento esté consciente de las
particularidades y vulnerabilidades del sistema, por excesivas cantidades de agua y la
conveniencia de una salida para el humo, es importante. Además, ellos pueden ofrecer excelentes
consejos como precauciones para prevenir incendios.
CONTROL DE ACCESOS
El control de acceso requiere de identificación y autenticación y está asociado, en el caso del acceso
físico, a implementar un mecanismo manual o electrónico mecánico que permita o no el acceso a
áreas o archivos físicos donde se encuentra documentación en papel, copias de seguridad o
recursos destinados a proveer servicios.
El proceso de identificación y autenticación implica la existencia de uno o más de los siguientes
indicadores:
1. Conocimiento: la persona tiene conocimiento (por ejemplo: un código),
2. Posesión: la persona posee un objeto (por ejemplo: una tarjeta), y
3. Característica: la persona tiene una característica que puede ser verificada (por ejemplo: una
de sus huellas dactilares).
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 25
Entre las ventajas y desventajas de estos indicadores podemos decir que es frecuente que las
claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los
controles que utilizan características de las personas (autenticación biométrica) serían los más
apropiados y fáciles de administrar, resultando ser también los más costosos por lo dificultoso de su
implementación eficiente.
En función del grado de seguridad que se desee establecer, la protección de accesos puede ser
provista mediante:
• Guardias de seguridad
• Sistemas basados en la lectura de tarjetas (de códigos de barra, bandas magnéticas o de
proximidad) o la introducción de claves de acceso mediante teclado
• Sistemas Biométricos: La Biometría (del griego “bios” vida y “metron” medida) es el estudio de
los métodos automáticos para identificación de personas basados en características físicas
estáticas o dinámicas (conductuales). La forma de identificación consiste en la comparación de
características físicas de cada persona con un patrón conocido y almacenado en una base de
datos.
o Entre las características físicas que se miden en forma estática se encuentran: imagen facial,
termograma del rostro, geometría de la mano, venas de la mano, huellas dactilares y
patrones oculares: retina o iris.
o Entre las características conductuales: la dinámica del teclado y la voz
o La firma es una característica que puede medirse tanto en forma estática (se suelen utilizar
una máquina de video o un scanner para capturar la imagen de la firma, con posterioridad a
la realización de la misma) y métodos dinámicos (que tienen en cuenta la velocidad con la
que se realizan los trazos y donde el dispositivo utilizado para capturar la firma es una
tableta digitalizadora).
Además, se puede acompañar el control de accesos con medidas de seguridad como:
• Utilización de Detectores de Metales
• Protección Electrónica como barreras infrarrojas o de microondas, detectores ultrasónicos de
movimiento, detectores pasivos sin alimentación (apertura de puertas, rotura de vidrios, detector
de vibraciones), sonorización y dispositivos lumínicos y circuitos cerrados de televisión.
• Control de apertura y cierre de cajas de seguridad por horarios
• Control de acceso por horarios y perfiles de acceso.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 26
SEGURIDAD LÓGICA
Consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y
sólo lo permitan a las personas autorizadas.
CONTROL DE ACCESOS
Estos controles pueden implementarse a nivel Sistema Operativo, sobre los sistemas de
aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de
aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la
integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido)
y para resguardar la información confidencial de accesos no autorizados.
La Seguridad Informática se basa, en gran medida, en la efectiva administración de los
permisos de acceso a los recursos informáticos. Esta administración abarca:
• Procesos de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios.
• Políticas de identificación homogénea para toda la organización.
• Revisiones periódicas sobre la administración de las cuentas y los permisos de acceso
establecidos.
• Detección de actividades no autorizadas.
• Nuevas consideraciones relacionadas con cambios en la asignación de funciones del empleado.
• Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organización.
Para el control de accesos se deberán tener en cuenta:
IDENTIFICACIÓN Y AUTENTIFICACIÓN
La identificación y autenticación es la base para la mayor parte de los controles de acceso y
para el seguimiento de las actividades de los usuarios. Se denomina Identificación al momento en
que el usuario se da a conocer en el sistema y Autenticación a la verificación que realiza el sistema
sobre esta identificación. Las técnicas basadas en tarjetas, códigos o identificación biométrica que se
mencionaron en seguridad física pueden ser utilizadas individualmente o combinadas para el control
de acceso lógico.
La identificación puede variar en función de la criticidad del negocio y pueden utilizarse además
identificaciones por:
• Funciones y Roles En este caso los derechos de acceso pueden agruparse de acuerdo con el rol
de los usuarios.
• Transacciones: se pueden implementar controles, por ejemplo, solicitando una clave al requerir
el procesamiento de una transacción determinada.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 27
• Limitaciones a los Servicios: se refieren a las restricciones que dependen de parámetros
propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un
ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea
de un determinado producto de software para cinco personas, en donde exista un control a nivel
sistema que no permita la utilización del producto a un sexto usuario.
• Modalidad de Acceso: definida por el tipo de acción que realizará el usuario
o Lectura: el usuario puede únicamente leer o visualizar la información pero no puede
alterarla. Debe considerarse que la información puede ser copiada o impresa.
o Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.
o Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
o Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de
datos o archivos). El borrado es considerado una forma de modificación.
o Todas las anteriores.
o Acceso especiales: que generalmente se incluyen en los sistemas de aplicación:
• Creación: permite al usuario crear nuevos archivos, registros o campos.
• Búsqueda: permite listar los archivos de un directorio determinado.
• Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la
ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles
permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la
semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de
ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de
alguno de los controles anteriormente mencionados.
EFICIENCIA EN LA AUTENTICACIÓN
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y
autenticados solamente una vez pudiendo acceder, a partir de allí, a todas las aplicaciones y datos a
los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en
forma remota. Esto se denomina "single login" o sincronización de passwords.
Podría pensarse que esta es una característica negativa para la seguridad de un sistema, ya que
una vez descubierta la clave de un usuario, se podría tener acceso a los múltiples sistemas a los que
tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente
suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los
fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas o a seleccionar
claves fácilmente deducibles, lo cual significa un riesgo aún mayor. Para implementar la
sincronización de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de
seguridad.
Una de las posibles técnicas para implementar esta única identificación de usuarios sería la
utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se
encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 28
Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener
sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de
carga de tareas.
CONTRASEÑAS SEGURAS
Para el control de contraseñas seguras se deberá tener en cuenta:
• Educar a los usuarios e implementar controles para la definición de contraseñas más robustas
que no sean fácilmente deducibles mediante ataques de contraseñas.
• Si los usuarios tienen la posibilidad de acceder a recursos que necesitan autenticación desde
lugares públicos, se debe implementar la posibilidad de ingresar las contraseñas desde teclados
virtuales ya que los atacantes pueden haber implantado programas o dispositivos físicos como
keyloggers que capturen la información ingresada.
• Implementar la ejecución de mecanismos de caducidad y control. Este mecanismo deberá
controlar cuándo pueden y/o deben cambiar sus passwords los usuarios. Se define el período
mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período
máximo que puede transcurrir para que éstas caduquen.
• Implementar mecanismos de autenticación más robustos como “autenticación fuerte de doble
factor”, donde no sólo se necesita contar con algo que se conoce (la contraseña) sino que
también es necesario contar con algo que “se tiene”, como por ejemplo una llave electrónica USB
o una tarjeta que almacene certificados digitales para que a través de ellos se pueda validar o no
el acceso de los usuarios a los recursos de la organización.
LÍMITES SOBRE LA INTERFAZ DE USUARIO
Estos límites son utilizados generalmente en conjunto con las listas de control de accesos (listas
de usuarios y modalidades de acceso a determinados recursos del sistema) y restringen a los
usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base
de datos y límites físicos sobre la interfaz de usuario.
TRANSMISIÓN Y ALMACENAMIENTO SEGURO DE INFORMACIÓN
Si la información original es transmitida o almacenada como texto claro o texto plano
cualquiera que consiga acceso al lugar donde están almacenados los datos o intercepte la red en un
punto podrá obtener la información y hacer uso de ella.
Las técnicas de criptografía que realizan el cifrado y descifrado de información (generalmente
conocidos por sus anglicismo: encriptado – encrypt – y desencriptado - decrypt) permiten proteger
la información almacenada o transmitida.
Las técnicas criptográficas aplican algoritmos de cifrado que se basan en la existencia de claves
para obtener un criptograma a partir del texto plano.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 29
El conjunto de protocolos, algoritmos de cifrado, procesos de gestión de claves y actuaciones de
los usuarios, es lo que constituyen en conjunto un criptosistema, que es con lo que el usuario final
trabaja e interactúa.
TÉCNICAS CRIPTOGRÁFICAS
Existen los siguientes grupos de técnicas criptográficas:
• Criptografía simétrica, de clave simétrica o de clave privada: se refiere al conjunto de
métodos que permiten tener comunicación segura entre las partes siempre y cuando
anteriormente se hayan intercambiado la clave correspondiente que se denomina clave
simétrica. La simetría se refiere a que las partes tienen la misma clave tanto para cifrar como
para descifrar. Son la base de los algoritmos de cifrado clásico:
o Sustitución: supone el cambio de significado de los elementos básicos del mensaje: las
letras, los dígitos o los símbolos. La clave consiste en una tabla de equivalencias de
caracteres (o libro de códigos)
o Permutación o Transposición: Consiste en alterar el orden de las letras siguiendo una
regla determinada. Normalmente se utiliza una tabla de tamaño determinado en la que se
inserta el texto original que es transformado mediante la sustitución de las columnas por las
filas.
o Confusión intercalada: consiste en introducir, con una periodicidad determinada,
caracteres adicionales aleatorios. La esteganografía es un caso especial de confusión
intercalada. Consiste simplemente en camuflar el texto intercalándolo dentro de otro
mensaje. Podemos elaborar un mensaje de contenido irrelevante pero de forma que
siguiendo cierta pauta de eliminación podamos reconstruir el texto original.
Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el algoritmo. En
otras palabras, no debería ser de ninguna ayuda para un atacante conocer el algoritmo que se está
usando. Sólo si el atacante obtuviera la clave, le serviría conocer el algoritmo. Por lo tanto es
importante que sea difícil de adivinar el tipo de clave, para lo mismo el espacio de posibilidades de
clave debe ser amplio y esta es la razón por la que el tamaño de la misma es primordial.
El principal problema está ligado al intercambio de claves. Una vez que el remitente y el
destinatario hayan intercambiado la clave, pueden utilizarla para comunicarse con seguridad.
Entonces el problema radica en la seguridad del canal de comunicaciones utilizado para intercambiar
la clave. Sería mucho más fácil para un atacante intentar interceptar la clave que probar las posibles
combinaciones del espacio de claves.
• Criptografía asimétrica, de clave asimétrica o de clave pública: Resuelve el problema de
autenticación y de no repudio. Sus algoritmos utilizan dos claves, una pública y una privada. Las
dos claves pertenecen a la persona que ha enviado el mensaje. Los métodos criptográficos
garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 30
asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de
claves.
Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo
la clave privada del destinatario podrá descifrar este mensaje, ya que es el único que la conoce.
Se logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo.
Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede
descifrarlo utilizando su clave pública. En este caso se consigue por tanto la identificación y
autentificación del remitente, ya que se sabe que sólo pudo haber sido él quien empleó su clave
privada (salvo que alguien se la hubiese podido robar).
No es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear.
Todo lo que se requiere es que, antes de iniciar la comunicación secreta, el remitente consiga
una copia de la clave pública del destinatario.
• Criptografía Híbrida: Es un método criptográfico que usa tanto un cifrado simétrico como un
asimétrico. Emplea el cifrado de clave pública para compartir una clave para el cifrado simétrico.
El mensaje que se esté enviando en el momento, se cifra usando la clave y enviándolo al
destinatario. Ya que compartir una clave simétrica no es seguro, la clave usada es diferente para
cada sesión
APLICACIONES DE LA CRIPTOGRAFÍA
Debemos tener en cuenta que el usuario final no conoce la existencia de técnicas criptográficas
por lo que deberemos seleccionar las aplicaciones que específicamente utilicen la seguridad
necesaria para la organización en función de los niveles de seguridad requeridos, teniendo en
cuenta que las técnicas deben ser utilizadas para la seguridad en:
• Cifrado de discos rígidos y particiones: para asegurar la información almacenada sobre todo
en equipos que pueden estar a disposición de muchos usuarios o que se trasladan.
• Protocolos para comunicaciones seguras: para asegurar las comunicaciones tanto de la red
interna como de internet. Estos protocolos pueden ser utilizados para tunelizar una red completa
y crear una red privada virtual (VPN)
• Transacciones electrónicas seguras: son protocolos estándar para proporcionar seguridad a
transacciones con tarjeta de crédito en redes de computadoras inseguras
• Firma digital: Es una tecnología que posibilita la equiparación de los documentos digitales con
los documentos en papel y, por ende, la realización, vía digital, de actos jurídicos plenamente
válidos. La firma digital cumple las funciones de autenticación, integridad y no repudio, pero no
implica avalar la confidencialidad del mensaje.
Nuestra normativa reconoce dos tipos de firma digital, y la diferencia entre ambos no radica en
lo tecnológico, sino, más bien, en lo jurídico
La firma digital, definida como el resultado de aplicar a un documento digital un procedimiento
matemático, requiere información de exclusivo conocimiento del firmante, encontrándose ésta
bajo su absoluto control. Pero, dado que la misma ley estipula que para asegurarse de que el
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 31
firmante es el único que conoce y controla el procedimiento matemático, se debe cumplir con
una serie de recaudos legales; la firma digital puede ser caracterizada por medio de la siguiente
fórmula: firma digital = documento digital + procedimiento matemático + requisitos legales.
La firma electrónica, en cambio, es definida en términos negativos como el conjunto de datos
electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos,
utilizado por el signatario como su medio de identificación, que carezca de alguno de los
requisitos legales para ser considerada firma digital. La fórmula, en este caso, es la siguiente
firma electrónica = firma digital – requisitos legales.
Esta diferencia en cuanto a los requisitos repercute en los efectos asignados a cada una:
Firma digital:
a) Equivale a la firma manuscrita,
b) Se presume que la firma pertenece al titular del certificado digital,
c) Se presume que el documento no ha sido modificado luego de la firma.
Firma electrónica:
a) En caso de ser desconocida corresponde a quien la invoca acreditar su validez
Ejemplo de Aplicaciones: transacciones bancarias, transacciones comerciales, declaraciones
impositivas, documento de identidad electrónico (e-DNI), voto electrónico, certificación de los
actos de gobierno (leyes, resoluciones, dictámenes, sentencias, etcétera), contrataciones
públicas (envío y recepción de ofertas, adjudicaciones, etc.), documentos relativos a operaciones
de seguro, historias clínicas, obtención del CUIL, solicitud de empleo público.
Ventajas y desventajas:
Las ventajas derivadas de la utilización del sistema de firma digital van desde el aumento de la
seguridad en las transacciones hasta la no necesidad de presencia o traslado físico, ventajas
éstas que se traducen en celeridad y ahorro de costos.
Entre las desventajas podemos mencionar la necesidad de contar con una autoridad certificadora
de confianza (tercera parte de confianza) y la responsabilidad que pesa sobre los propios
usuarios de generar un entorno adecuado que les permita mantener bajo su exclusivo control los
datos de creación de la firma y contar con un dispositivo de creación técnicamente confiable
SEGURIDAD PERIMETRAL
La seguridad perimetral es uno de los métodos posibles de defensa de una red, basado en el
establecimiento de recursos de segurización en el perímetro externo de la red y a diferentes niveles.
Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios
internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 32
FIREWALLS
Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa.
Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que
previenen la intromisión de atacantes o malware a los sistemas de la organización.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una
política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una
que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
En una arquitectura personal puede ser útil la utilización de firewalls por software, en la
arquitectura de una organización lo más conveniente es la implementación de firewalls por hardware
donde la política de seguridad de la organización sea implementada por el administrador de red
quien definirá una serie de reglas para permitir el acceso y detener los intentos de conexión no
permitidos.
La clasificación más clara de firewalls es la que los define en función al nivel de la capa OSI en
la que se implementa la política de seguridad:
o Firewalls a nivel de red o nivel de IP en redes TCP/IP (nivel 3 de la capa OSI). Pueden ser
considerados como filtros de paquetes ya que lo que realizan es un filtrado de los intentos de
conexión atendiendo a direcciones IP origen y destino y puerto de destino de los paquetes IP.
Esto quiere decir que en la política de seguridad de la empresa podremos indicar que sólo
dejaremos pasar paquetes destinados al puerto 25 (puerto de SMTP para correo electrónico) de
nuestro servidor corporativo. También podremos especificar desde qué direcciones IP origen
dejaremos acceso a nuestros servidores públicos. Este tipo de firewalls vienen implementados en
la mayoría de routers comerciales.
o Firewall a nivel de transporte o de TCP en redes TCP/IP (nivel 4 de OSI). En este nivel ya se
puede atender a aspectos de si los paquetes son de inicio de conexión o se corresponden con
paquetes cuyas conexiones están ya establecidas. A grandes rasgos tratan con números de
secuencias de paquetes TCP/IP.
o Firewall a nivel de aplicación (nivel 7 de la capa OSI). Actúan a modo de proxy para las
distintas aplicaciones que van a controlar.
DETECCIÓN DE INTRUSIONES
Un Sistema de detección de intrusiones (IDS) hace referencia a un mecanismo que, escucha el
tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el
riesgo de intrusión. Existen dos claras familias importantes de IDS:
o El grupo N-IDS (Sistema de detección de intrusiones de red)
o El grupo H-IDS (Sistema de detección de intrusiones en el host)
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 33
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes
de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna
actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del
sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no tienen dirección
IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en
diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los
posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan
pasado a través del firewall o que se han realizado desde dentro.
PRUEBAS DE PENETRACIÓN
Puede recurrirse a este tipo de tests para reconocer los riesgos principales a los que está
sometida la organización. Entre las pruebas de penetración que pueden ejecutarse exiten:
o Pruebas externas: también denominadas de “caja negra”. Simulan un ataque sobre sistemas y
seguridad por medio de la información disponible desde Internet. Se concentran en pruebas de
seguridad del perímetro, análisis externo de nodos y topología; recolección de información
sensitiva y su explotación mediante ingeniería social; así como en revisión de la efectividad y
vulnerabilidades de aplicaciones Web, routers y firewalls; “war driving” para identificar y
penetrar redes inalámbricas, y “war dialing” para localizar módems abiertos.
o Pruebas internas o de “caja blanca”. Revisan las vulnerabilidades frente a un atacante interno,
mediante: análisis endógeno de nodos y topología; identificación de sistemas y equipo
vulnerable; búsqueda y explotación de vulnerabilidades en aplicaciones, servidores, dispositivos
de red, redes inalámbricas, directorios compartidos, relaciones de confianza, arquitectura de
redes y niveles de seguridad en servidores.
o Pruebas de carga especializada: Hacen énfasis en: arquitectura de red, revisión de
aplicaciones (auditoría de código), dispositivos inalámbricos, ingeniería social, acceso remoto,
redes privadas virtuales y relaciones de confianza.
CONFIGURACIONES DE LA INFRAESTRUCTURA TECNOLÓGICA
La práctica de fortalecer el ambiente informático configurando de manera segura la tecnología
para contrarrestar los vectores de ataque se denomina hardening.
La responsabilidad de realizar todo lo que se encuentre a su alcance para modificar los valores
predeterminados recae en quienes se encargan de la administración de los equipos. Es importante
que durante el proceso de hardening se verifiquen aspectos como las opciones que se configuran de
manera predeterminada al instalar sistemas operativos y demás recursos, como los nombres de
rutas, nombres de carpetas, componentes, servicios, configuraciones y otros ajustes necesarios, o
innecesarios, que brinden un adecuado nivel de protección.
En este sentido, es importante no sacrificar la disponibilidad de los recursos por ganar
seguridad. Se debe encontrar un equilibrio justo entre usabilidad y seguridad.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 34
ADMINISTRACIÓN DEL PERSONAL Y USUARIOS
Este proceso lleva generalmente cuatro pasos:
Definición de puestos: debe contemplarse la máxima separación de funciones posibles y el
otorgamiento del mínimo permiso de acceso requerido por cada puesto para la ejecución de las
tareas asignadas.
Determinación de la sensibilidad del puesto: para esto es necesario determinar si la función
requiere permisos riesgosos que le permitan alterar procesos, perpetrar fraudes o visualizar
información confidencial.
Elección de la persona para cada puesto: requiere considerar los requerimientos de
experiencia y conocimientos técnicos necesarios para cada puesto. Asimismo, para los puestos
definidos como críticos puede requerirse una verificación de los antecedentes personales
Entrenamiento inicial y continuo del empleado: cuando la persona seleccionada ingresa a
la organización, además de sus responsabilidades individuales para la ejecución de las tares que se
asignen, deben comunicárseles las políticas organizacionales, haciendo hincapié en la política de
seguridad. El individuo debe conocer las disposiciones organizacionales, su responsabilidad en
cuanto a la seguridad informática y lo que se espera de él.
Esta capacitación debe orientarse a incrementar la conciencia de la necesidad de proteger los
recursos informáticos y a entrenar a los usuarios en la utilización de los sistemas y equipos para que
ellos puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores
(principal riesgo relativo a la tecnología informática).
Sólo cuando los usuarios están capacitados y tienen una conciencia formada respecto de la
seguridad pueden asumir su responsabilidad individual. Para esto, el ejemplo de la gerencia
constituye la base fundamental para que el entrenamiento sea efectivo: el personal debe sentir que
la seguridad es un elemento prioritario dentro de la organización.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 35
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)
La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser
esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios
económicos.
Las organizaciones y sus sistemas de información están expuestos a un número cada vez más
elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden
someter a activos críticos a diversas formas de fraude, espionaje, sabotaje o vandalismo. La
inseguridad de la información es un riesgo y como tal debe ser tratado, trabajando en las etapas de
análisis de la situación, implementación de medidas, definición de mecanismos de control de la
seguridad y monitoreo para evaluar los resultados y sus posibles mejoras y así, recomenzar el ciclo.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de
un presupuesto ilimitado.
Para que una organización pueda implementar un plan exitoso de seguridad de la información,
debe comprenderse a la misma como un proceso dinámico y debe considerarse la implementación
de un Sistema de Gestión de la Seguridad de la Información (SGSI).
El propósito de un SGSI será el de garantizar que los riesgos a la seguridad de la información
sean asumidos, gestionados y minimizados por la organización de una forma sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el
entorno y las tecnologías.
Este proceso debe ser conocido por toda la organización y por lo tanto debe ser documentado.
Para formalizar un SGSI debemos estar actualizados en las leyes y regulaciones que, en
materia de seguridad, rijan para la empresa donde se desea implementar, además de las normas
que puedan utilizarse como estándares de referencia.
En cuanto a las leyes y regulaciones argentinas6 en la materia deberemos referirnos a:
• Ley 25.326 de Protección de datos personales (conocida como Ley de Habeas Data), modificada
por Ley 26343 (incorpora artículo 47) y artículo 43 de la Constitución Nacional
• Ley 11.723 sobre Propiedad Intelectual y reglamentaciones relacionadas
• Comunicación “A” 4609 del BCRA para entidades Financieras. Requisitos mínimos de gestión,
implementación y control de los riesgos relacionados con tecnología informática y sistemas de
información.
• Ley 25506 de Firma Digital
En cuanto a las leyes y regulaciones en la materia que rigen para empresas internacionales o
de capitales extranjeros:
• Nuevo Acuerdo de Capital de Basilea (Basilea II) para entidades bancarias 6 Se puede acceder a Decretos, Regulaciones y Proyectos de Ley en: http://www.protecciondedatos.com.ar/legislacion.htm#legis7
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 36
• Ley Sarbanes-Oxley (SOX). Ley de Estados Unidos con el fin de monitorear a las empresas que
cotizan en bolsa
En cuanto a las normas7, es conveniente utilizar como referencia estándares aceptados para la
práctica de seguridad de la información y los procesos relacionados mencionados en el capítulo de
Riesgos y de los cuales haremos referencia en este capítulo a:
• Normas de la serie ISO 27000
• MAGERIT V.2 Metodología Automatizada de Análisis y Gestión de Riesgos de los Sistemas de
Información de las Administraciones Públicas. Ministerio de Administraciones Públicas de España.
La dirección debe asumir que un SGSI afecta fundamentalmente a la gestión del negocio y
requiere, por tanto, de decisiones y acciones que sólo puede tomar la gerencia de la organización.
No se debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada
a niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son
responsabilidad y decisión de la dirección.
Algunas de las tareas fundamentales del SGSI que la norma ISO 27001 asigna a la dirección:
Compromiso de la dirección: La dirección de la organización debe comprometerse con el
establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora
del SGSI. Para ello, debe tomar las siguientes iniciativas:
• Establecer una política de seguridad de la información.
• Asegurarse de que se establecen objetivos y planes del SGSI.
• Establecer roles y responsabilidades de seguridad de la información.
• Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la
información y de cumplir con la política de seguridad, como sus responsabilidades legales y la
necesidad de mejora continua.
• Asignar suficientes recursos al SGSI en todas sus fases.
• Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.
• Asegurar que se realizan auditorías internas.
• Realizar revisiones del SGSI
Asignación de recursos: Para el correcto desarrollo de todas las actividades relacionadas con
el SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la dirección
garantizar que se asignan los suficientes para:
• Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.
• Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de
negocio.
7 Ver Anexo: Marco Normativo.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 37
• Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones
contractuales de seguridad.
• Aplicar correctamente todos los controles implementados, manteniendo de esa forma la
seguridad adecuada.
• Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de las
mismas.
• Mejorar la eficacia del SGSI donde sea necesario.
Formación y concientización: son elementos básicos para el éxito de un SGSI. Por ello, la
dirección debe asegurar que todo el personal de la organización al que se le asignen
responsabilidades definidas en el SGSI esté suficientemente capacitado. Se deberá:
• Determinar las competencias para el personal que realiza tareas para aplicar el SGSI.
• Satisfacer las necesidades de personal por medio de formación o de otras acciones como, p. ej.,
contratación de personal ya formado.
• Evaluar la eficacia de las acciones realizadas.
• Mantener registros de estudios, formación, habilidades, experiencia y calificación.
Además, la dirección debe asegurar que todo el personal relevante esté concientizado de la
importancia de sus actividades de seguridad de la información y de cómo contribuye a la
consecución de los objetivos del SGSI.
Revisión del SGSI: A la dirección de la organización se le asigna también la tarea de revisar el
SGSI para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de
informes que le ayuden a tomar decisiones, entre las que se pueden enumerar:
• Resultados de auditorías y revisiones del SGSI.
• Observaciones de todas las partes interesadas.
• Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y
eficacia del SGSI.
• Información sobre el estado de acciones preventivas y correctivas.
• Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos
anteriores.
• Resultados de las mediciones de eficacia.
• Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.
• Cualquier cambio que pueda afectar al SGSI.
• Recomendaciones de mejora.
Basándose en todas estas informaciones, la dirección debe revisar el SGSI y tomar decisiones
y acciones relativas a:
• Mejora de la eficacia del SGSI.
• Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 38
• Modificación de los procedimientos y controles que afecten a la seguridad de la información, en
respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de
seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y
criterios de aceptación de riesgos.
• Necesidades de recursos.
• Mejora de la forma de medir la efectividad de los controles.
CICLO DE CALIDAD PARA EL SGSI
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a
ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.
• Plan (planificar): establecer el SGSI.
• Do (hacer): implantar y utilizar el SGSI.
• Check (verificar): monitorizar y revisar el SGSI.
• Act (actuar): mantener y mejorar el SGSI.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de mantener y mejorar el
SGSI lleva de nuevo a la fase de Planificar para iniciar un nuevo ciclo de las cuatro fases. Téngase
en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber
actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han
finalizado; o que se monitoricen controles que aún no están implantados en su totalidad.
ESTABLECER EL SGSI
Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y
tecnologías, incluyendo detalles y justificación de cualquier exclusión.
• Definir una política de seguridad
• Definir una metodología de evaluación del riesgo
• Seleccionar los objetivos de control y los controles para el tratamiento del riesgo que
cumplan con los requerimientos identificados en el proceso de evaluación del riesgo.
• Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del
SGSI.
• Definir una Declaración de Aplicabilidad (SOA).
POLÍTICA Y OBJETIVOS DE SEGURIDAD
Se define una política de seguridad como “una declaración de intenciones de alto nivel que
cubre la seguridad de los sistemas de información y que proporciona las bases para definir y
delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se
requerirán”. Una buena definición de la política de seguridad de la información deberá:
• incluir el marco general y los objetivos de seguridad de la información de la organización
determinando la clasificación de los activos
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 39
• considerar requerimientos legales o contractuales relativos a la seguridad de la información
• estar alineada con el contexto estratégico de gestión de riesgos de la organización en el
que se establecerá y mantendrá el SGSI
• establecer los criterios con los que se va a evaluar el riesgo
• estar aprobada por la dirección
Para ser completa, una política de seguridad debe detallar medidas para tres momentos de un
ataque: antes, durante y después.
El antes refiere a la prevención, que debe ser el eje de cualquier estrategia de seguridad, es
decir a cualquier medida dedicada a evitar que un incidente ocurra. En esta categoría se incluyen
medidas para el control de accesos autorizados como también instalación de software o hardware de
seguridad.
El después refiere a las herramientas y mecanismos existentes para recuperar la información
y el estado de los recursos en caso que ocurra un incidente. Por ejemplo, una copia de seguridad
no evita el incidente, pero en el caso que cierta información sea comprometida, ésta podrá
recuperarse en un estado razonable.
El durante refiere a aquellos controles dedicados a la detección de incidentes. En el caso que
cierta información sufra algún ataque, es importante poder detectarlo, y para ello es necesario
contar con controles de este tipo. En esta categoría se incluyen, por ejemplo, detectores de intrusos
o herramientas de auditoría y control de cambios sobre un sistema.
METODOLOGÍA DE EVALUACIÓN DEL RIESGO
La metodología de evaluación del riesgo debe ser apropiada para el SGSI y los requerimientos
del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de
riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean
comparables y repetibles.
SELECCIÓN DE LOS OBJETIVOS DE CONTROL Y CONTROLES
Se podrán seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 (norma
certificable) o de la lista más completa existente en la ISO 270028 (código de buenas prácticas) para
el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de
evaluación del riesgo.
En relación a los controles de seguridad, el estándar ISO 27002 proporciona una completa guía
de implantación que contiene 133 controles, según 39 objetivos de control agrupados en 11
dominios. Esta norma es referenciada en ISO 27001, en su segunda cláusula, en términos de
“documento indispensable para la aplicación de este documento” y deja abierta la posibilidad de
incluir controles adicionales en el caso de que la guía no contemplase todas las necesidades
particulares.
8 La lista completa de los Dominios-Objetivos y Controles del código de buenas prácticas ISO 27002:2005 se incluye en el Anexo de este capítulo.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 40
DECLARACIÓN DE APLICABILIDAD
La Declaración de Aplicabilidad9 o SOA (por sus siglas en inglés: Statement of Aplicability) es un
documento que describe los objetivos de control y los controles que son relevantes para el SGSI de
la organización y aplicables al mismo.
Los objetivos de control y los controles se basan en los resultados y conclusiones de la
evaluación de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o
reglamentos, en las obligaciones contractuales y en las necesidades empresariales de la
organización en materia de seguridad de la información.
Debe incluir:
• los objetivos de control y controles seleccionados y los motivos para su elección
• los objetivos de control y controles que actualmente ya están implantados
• los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este
es un mecanismo que permite, además, detectar posibles omisiones involuntarias.
IMPLANTAR Y UTILIZAR EL SGSI
Para implantar y utilizar un SGSI será necesario:
• Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.
• Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control
identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.
• Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.
• Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para
medir la eficacia de los controles o grupos de controles.
• Procurar programas de formación y concienciación en relación a la seguridad de la información a
todo el personal.
• Gestionar las operaciones del SGSI.
• Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la
información.
• Implantar procedimientos y controles que permitan una rápida detección y respuesta a los
incidentes de seguridad.
9 Se incluye un ejemplo de SOA basado en la lista que propone ISO 2007:2005 en el Anexo de este capítulo
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 41
MONITORIZAR Y REVISAR EL SGSI
La organización deberá:
• Ejecutar procedimientos de monitorización y revisión para:
– detectar a tiempo los errores en los resultados generados por el procesamiento de la
información;
– identificar brechas e incidentes de seguridad;
– ayudar a la dirección a determinar si las actividades desarrolladas por las personas y
dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en
relación a lo previsto;
– detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;
– determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.
• Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y
objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las
mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.
• Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.
• Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales
y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse
en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas
identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos
legales, obligaciones contractuales, etc.-.
• Realizar periódicamente auditorías internas del SGSI en intervalos planificados.
• Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido
sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.
• Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados
durante las actividades de monitorización y revisión.
• Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento
del SGSI.
MANTENER Y MEJORAR EL SGSI
La organización deberá regularmente:
• Implantar en el SGSI las mejoras identificadas.
• Realizar las acciones preventivas y correctivas adecuadas en relación a la claúsula 8 de ISO
27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.
• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado
y acordar, si es pertinente, la forma de proceder.
• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 42
DOCUMENTOS DE UN SGSI
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio):
• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una
identificación clara de las dependencias, relaciones y límites que existen entre el alcance y
aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de
influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones,
áreas, procesos, sistemas o tareas concretas).
• Política y objetivos de seguridad: documento de contenido genérico que establece el
compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la
información.
• Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos
que regulan el propio funcionamiento del SGSI.
• Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se
realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e
impactos en relación a los activos de información contenidos dentro del alcance seleccionado),
desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.
• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación
anteriormente mencionada a los activos de información de la organización.
• Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los
recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la
información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los
objetivos de control identificados, de los recursos disponibles, etc.
• Procedimientos documentados: todos los necesarios para asegurar la planificación, operación
y control de los procesos de seguridad de la información, así como para la medida de la eficacia
de los controles implantados.
• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del
funcionamiento eficaz del SGSI.
• Declaración de aplicabilidad10: (SOA -Statement of Applicability-, en sus siglas inglesas);
documento que contiene los objetivos de control y los controles contemplados por el SGSI,
basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando
inclusiones y exclusiones.
Basados en el estándar ISO 27001 un SGSI puede organizar los documentos mencionados de la
siguiente forma:
10 Puede utilizarse un formato de SOA como el que se incluye en el Anexo de este capítulo
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 43
Manual de Seguridad: documento que inspira y dirige todo el sistema. Expone y determina las
intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma
eficaz la planificación, operación y control de los procesos de seguridad de la información.
Instrucciones, checklists y formularios: documentos que describen los estándares técnicos
de cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la
información.
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los
requisitos del SGSI; están asociados a los documentos anteriores y demuestran que se ha cumplido
lo indicado en los mismos.
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
La redacción de un manual de seguridad tiene el objetivo de identificar un conjunto de reglas
básicas que rijan el comportamiento de las personas que tengan acceso al uso de la información de
la organización y de responsabilidades en la salvaguarda y el control de las herramientas y
mecanismos para la detección de incidentes y para recuperación en caso de que el problema ocurra.
Las buenas prácticas indican que el mismo debe contener al menos las siguientes secciones:
1. Introducción
1.1. Objetivo del Manual de Seguridad de la Información
1.2. Medios de comunicación del Manual de Seguridad de la Información
1.3. Responsables del Cumplimiento
1.4. Incumplimientos
1.5. Marco Legal
1.6. Glosario
2. Sistema de Gestión de Seguridad de la Información
2.1. Objetivo
2.2. Alcance del SGSI
2.3. Control de cambios y aprobación
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 44
3. Política de Seguridad
3.1. Compromiso de la dirección
3.2. Política de seguridad de la organización
3.3. Revisión de la política
3.4. Conformidad con la política de seguridad y los estándares de control
3.5. Objetivos de la Gestión de Seguridad de Información
4. Aspectos Organizativos
4.1. Organización Interna
4.1.1. Grupo de Sistemas/IT
4.1.2. Usuario
4.1.3. Propietario de Información
4.1.4. Auditoría Interna
4.2. Relaciones con Terceros
4.2.1. Autoridades y entidades externas relevantes al Negocio
4.2.2. Compañías consultoras en SGSI
5. Determinación de requerimientos de seguridad de la información
5.1. Gestión de Activos
5.1.1. Directrices para la identificación de Activos
5.1.2. Inventario de Activos - Responsables
5.2. Descripción de la metodología de evaluación del riesgo
5.2.1. Descripción de Amenazas e Incidentes
5.2.2. Reporte de evaluación del riesgo
5.2.3. Plan de tratamiento del riesgo
6. Declaración de Aplicabilidad11
7. Normas y políticas del Sistema de Gestión de Seguridad de la Información12
(como mínimo las siguientes)
7.1. Recursos Humanos
7.2. Seguridad Física y Ambiental
7.3. Comunicaciones y Operaciones
7.4. Control de Acceso
7.5. Desarrollo de Software
7.6. Gestión Incidentes
7.7. Gestión de la Continuidad del Negocio
7.8. Cumplimiento
8. Bibliografía
11 Se adjunta como Anexo: SOA-Declaración de Aplicabilidad 12 Se realizarán ejemplos de práctica para alguna de las Normas indicadas
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 45
Debido a que este manual puede sufrir actualizaciones periódicas, ya sea por cambios
Normativos y Legales o modificaciones que deriven de los controles de cambio y aprobación surgidas
de la gestión de riesgos o modificaciones en la operatoria del negocio, es conveniente mantener los
distintos capítulos versionados.
En cuanto a las Normas y Políticas, el manual puede hacer referencia a Anexos.
Es conveniente que cada Norma (citada en el punto 7) detalle además: Objetivo, responsables
del cumplimiento, sanciones por incumplimiento, definiciones específicas de la Norma y
procedimientos relacionados
PROCEDIMIENTOS
Detalle de cursos de acción y tareas que deben realizar los responsables para hacer cumplir las
definiciones de las normas citadas en el Manual de Seguridad de la Información.
Cada procedimiento detallado deberá contener:
• Definiciones específicas del procedimiento
• Relación con las Normas y Políticas del Manual de Seguridad de la Información
• Relación con los dominios – objetivos de control y controles especificados en la Declaración de
Aplicabilidad para permitir luego su auditoría
• Activos y Responsables implicados (según la clasificación realizada en el Inventario de Activos)
• Amenazas e Incidentes relacionados (según el análisis de Riesgos realizado)
• Definición de los Procedimientos de auditoría relacionados
• Referencia a instrucciones, formularios y checklists utilizados para el procedimiento
• Referencia a los registros de información que derivan del procedimiento
Una buena especificación de procedimientos avalará que la información se encuentre
efectivamente clasificada, que cualquier cambio o creación de un activo de información reciba la
tipificación adecuada y que el tratamiento y la posterior destrucción de cualquier recurso sea
gestionado de forma acorde al nivel definido.
INSTRUCCIONES, FORMULARIOS Y CHECKLISTS
Conjunto de documentos que servirán para dar marco a los procedimientos. Pueden ser
especificaciones del fabricante o parámetros específicos de seguridad para cada una de las
tecnologías utilizadas.
REGISTROS
Para el registro de la información se deberán tener en cuenta:
• Registro de incidentes ocasionados, individualizados o no en el Manual de Seguridad o en la
Gestión de Riesgos
• Registro de Controles de auditoría relacionados con los estándares de control de la norma y los
procedimientos que deben efectuarse para el tratamiento de los riesgos.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 46
ANEXO I: MARCO NORMATIVO
SERIE ISO 27000
En cuanto a las Normas de la serie ISO 27000 caben destacar los siguientes aspectos:
La Norma ISO 27001 establece los requisitos para construir un SGSI (Sistema de Gestión de
Seguridad de la Información o ISMS por sus siglas en inglés).
Esta norma se liberó en el año 2005 y fue tomada en su mayor parte de la BS 7799-2:2002
desarrollada por la entidad de normalización británica British Standards Institution pero con las
modificaciones introducidas en la ISO 27002:2005. Es una norma certificable ya que expresa
mandatos u obligaciones a cumplir lo que permite su auditoría y certificación.
La Norma ISO 27002 es una guía de buenas prácticas de seguridad de la información
que presenta una extensa serie de controles de seguridad recomendados (11 dominos – 39
objetivos de control y 133 controles) y que en la práctica se seleccionan en base a una valorización
de riesgos. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace
una aproximación holística a la seguridad de la información corporativa, abarcando todas las
funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este
concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino
convirtiendo en equivalente de seguridad de sistemas TI, mientras que la norma considera también
los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.
Esta norma tiene su origen en la norma ISO 17799:2000 prácticamente igual a la Primera Parte
de la norma BS 7799-1.
En resumen, la ISO 27001 muestra cómo aplicar los controles seleccionados de la ISO 27002,
estableciendo los requisitos para construir un Sistema de Gestión de Seguridad de la
Información (SGSI, o ISMS por sus siglas en inglés) que efectivamente se puede auditar y
certificar.
El SGSI de la ISO 27001 responde a la aplicación del ciclo Deming o modelo PDCA (Plan-Do-
Check-Act) de mejora continua también presente en otras normas. La aplicación del proceso PDCA
en el SGSI conforma el paradigma de gestión de riesgos que guía la estrategia del Corporate
Governance, incluyendo la gestión de riesgos de negocios.
De hecho, bajo el esquema común del modelo PDCA, la ISO 27001 ofrece un interesante
alineamiento con otras normas también de sistemas de gestión como la ISO 9001 de Calidad y la
ISO 14001 de Medio Ambiente, con el consiguiente beneficio de reducción de esfuerzos y costos en
una implementación semi-integrada.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 47
La Serie ISO 27000 se completa con una serie de Normas que buscan dar un carácter
autoconsistente a la misma:
ISO 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra
en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de
acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la concepción
hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de
aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma
BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con
recomendaciones y guías de implantación.
ISO 27004: Publicada el 7 de Diciembre de 2009. No certificable. Es una guía para el
desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia
de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001
ISO 27005: Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la
gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados
en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad
de la información basada en un enfoque de gestión de riesgos. Su publicación revisa y retira las
normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.
ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación
de entidades de auditoría y certificación de SGSIs. Es una versión revisada de EA-7/03
(Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade
a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión)
los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los
criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO
27001, pero no es una norma de acreditación por sí misma
ISO 27007: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía
de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
ISO 27008: En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía
de auditoría de los controles seleccionados en el marco de implantación de un SGSI.
ISO/IEC 27010: En fase de desarrollo, con publicación prevista en 2012. Es una norma en 2
partes, que consistirá en una guía para la gestión de la seguridad de la información en
comunicaciones inter-sectoriales.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 48
ISO 27011: Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la
implementación y gestión de la seguridad de la información en organizaciones del sector
de telecomunicaciones basada en ISO/IEC 27002.
ISO/IEC 27033: Norma dedicada a la seguridad en redes, consistente en 7 partes:
• 27033-1, conceptos generales (publicada el 10 de Diciembre de 2009);
Se encuentran en fase de desarrollo:
• 27033-2, directrices de diseño e implementación de seguridad en redes (prevista para
2011);
• 27033-3, escenarios de redes de referencia (prevista para 2011);
• 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de
seguridad (prevista para 2012);
• 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012);
• 27033-6, convergencia IP (prevista para 2012);
• 27033-7, redes inalámbricas (prevista para 2012).
ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para
apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la
seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que
las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215.
También se encuentran en fase de desarrollo:
ISO 27012: con publicación prevista en 2011. Consistirá en un conjunto de requisitos
(complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestión de
seguridad de la información en organizaciones que proporcionen servicios de e-Administración.
ISO 27013: con publicación prevista en 2012. Consistirá en una guía de implementación
integrada de ISO 27001 (gestión de seguridad de la información) y de ISO 20000-1
(gestión de servicios TI).
ISO 27014: con publicación prevista en 2012. Consistirá en una guía de gobierno
corporativo de la seguridad de la información.
ISO 27015: con publicación prevista en 2012. Consistirá en una guía de SGSI para
organizaciones del sector financiero y de seguros.
ISO 27031: con publicación prevista en 2011. Consistirá en una guía de continuidad de
negocio en cuanto a tecnologías de la información y comunicaciones.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 49
ISO 27032: con publicación prevista en 2011. Consistirá en una guía relativa a la
ciberseguridad.
ISO 27034: con publicación prevista en 2010. Consistirá en una guía de seguridad en
aplicaciones informáticas.
ISO 27035: con publicación prevista en 2011. Consistirá en una guía de gestión de
incidentes de seguridad de la información.
ISO 27036: con publicación prevista en 2012. Consistirá en una guía de seguridad de
outsourcing (tercerización de servicios).
ISO 27037: con publicación prevista en 2012. Consistirá en una guía de identificación,
recopilación y preservación de evidencias digitales.
MAGERIT V.2
El Consejo Superior de Administración Electrónica del Ministerio de Administraciones Públicas
de España ha elaborado MAGERIT (Metodología Automatizada de Análisis y Gestión de Riesgos de
los Sistemas de Información) y promueve su utilización como respuesta a la percepción de que la
Administración (y en general toda la sociedad) depende de forma creciente de las tecnologías de la
información para el cumplimiento de su misión. La razón de ser de MAGERIT está directamente
relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que
supone beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que generen confianza
MAGERIT persigue los siguientes objetivos:
Directos:
1. concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la
necesidad de atacarlos a tiempo
2. ofrecer un método sistemático para analizar tales riesgos
3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
Indirectos:
4. preparar a la Organización para procesos de evaluación, auditoria, certificación o acreditación,
según corresponda en cada caso
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – INGENIERIA EN SISTEMAS DE INFORMACION ADMINISTRACIÓN DE RECURSOS Unidad 2: Seguridad de la Información y Auditoría Seguridad de la Información
Lic. Fabiana María Riva Junio de 2011 50
Libro I: Método: pasos para realizar un análisis del estado de riesgo y para gestionar su
mitigación; tareas básicas para realizar un proyecto de análisis y gestión de riesgos (roles,
actividades, hitos y documentación) y aplicación de la metodología al caso del desarrollo de sistemas
de información
Libro II: Catálogo de Elementos: tipos de activos, dimensiones de valoración de los activos,
criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y
salvaguardas a considerar para proteger sistemas de información
Libro III: Guía de Técnicas: empleadas para llevar a cabo proyectos de análisis y gestión de
riesgos: técnicas específicas para el análisis de riesgos, análisis mediante tablas, análisis
algorítmico, árboles de ataque, técnicas generales, análisis costo-beneficio, diagramas de flujo de
datos, diagramas de procesos, técnicas gráficas, planificación de proyectos, sesiones de trabajo
(entrevistas, reuniones y presentaciones) y valoración Delphi
Estos libros se pueden descargar de: http://www.csi.map.es/csi/pg5m20.htm
Busca, además, la uniformidad de los informes que recogen las evidencias y las conclusiones de un
proyecto de análisis y gestión de riesgos:
Modelo de valor: Caracterización del valor que representan los activos para la Organización así
como de las dependencias entre los diferentes activos.
Mapa de riesgos: Relación de las amenazas a que están expuestos los activos.
Evaluación de salvaguardas (controles): Evaluación de la eficacia de las salvaguardas existentes
en relación al riesgo que afrontan.
Estado de riesgo: Caracterización de los activos por su riesgo residual; es decir, por lo que puede
pasar tomando en consideración las salvaguardas desplegadas.
Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen como
oportunas para reducir los riesgos sobre el sistema.
Plan de seguridad: Conjunto de programas de seguridad que permiten materializar las decisiones
de gestión de riesgos