INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN
ESTRATEGIAS DE DIFUSIÓN Y CONCIENTIZACIÓN EN SISTEMAS DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Trabajo que para obtener el grado de
Especialista en Seguridad Informática y
Tecnologías de la Información que
P R E S E N T A
Ing. Javier Alfredo Reyes Domínguez
Directores de Tesina:
Dr. José de Jesús Vázquez Gómez
Ciudad de México, Junio 2009
II
III
IV
Al Dr. José de Jesús Vázquez Gómez:
Por su tiempo y dedicación para la
materialización de este trabajo de
investigación.
A mi Esposa e Hijos:
Por apoyarme en todo momento,
sacrificando su tiempo y permitirme
alcanzar la materialización de este trabajo.
ÍNDICE GENERAL
ACTA DE REVISIÓN DE TESINA. II
CARTA DE CESIÓN DE DERECHOS. III
RESUMEN VII
ABSTRACT VIII
1. INTRODUCCIÓN. 1
1.1 Objetivo General. 1
1.2 Objetivos Particulares. 1
1.3 Alcance General. 2
1.4 Justificación. 2
1.5 Los Estándares como forma de trabajo. 6
1.6 Conclusiones. 10
2. MARCO TEÓRICO CONCEPTUAL. 11
2.1 Instituto Federal de Acceso a la Información. 12
2.2 Sistema de Gestión de Seguridad de la Información. 14
2.3 Organización Internacional de Estándares (ISO) 27002-2005 17
2.4 National Institute of Standars and Technology. 27
2.5 Department of Defense .(DoD) of United State of America (Departamento de Defensa de los Estados Unidos de América)
47
2.6 Conclusiones. 50
3. CONCIENTIZACIÓN Y ENTRENAMIENTO DE SEGURIDAD DE LA INFORMACIÓN, BASADO EN LAS MEJORES PRÁCTICAS.
53
3.1 Correlación de concientización y entrenamiento en seguridad de la Información, desde el punto de vista de estándares revisados.
54
3.2 Conclusiones. 60
4. CONCLUSIONES Y RECOMENDACIONES. 61
V
INDICE DE TABLAS Y FIGURAS.
No. FIG./
TABLA
NOMBRE PAG.
F1 El aprendizaje continuo de seguridad de IT 30
T1 Temas para programas de concientización. 36
T2 Controles de Seguridad organizado en familias 40
T3 Comparativa del control AT1 del NIST contra equivalentes de ISO 54
T4 Comparativa del control AT2 del NIST contra equivalentes de ISO 54
T5 Comparativa del Control AT-3 del NIST contra sus equivalentes en ISO 55
T6 Control AT-4 del NIST 55
T7 Comparativa del Control AT-5 del NIST contra sus equivalentes en ISO 55
T8 Control AT-6 del NIST 56
VI
RESUMEN:
El rápido crecimiento de las tecnologías de la información ha requerido, por parte
de sus administradores, de conocimientos cada vez más detallados sobre la
forma de implementar tecnologías, hardware, software y aún más, tener
mecanismos de control que garanticen la adecuada gestión de la información de
las organizaciones en donde se desempeñan, sin importar su giro (privado,
gobierno, seguridad nacional, etc.). Este crecimiento origina cada vez, sistemas
de tecnologías de información más complejos de administrar y por consiguiente
un aumento en las vulnerabilidades y riesgos a los que se enfrenta una
organización en conjunto con sus usuarios finales y administradores. Las
vulnerabilidades pueden tener una cantidad indeterminada de factores que las
causan y, de igual forma, soluciones para mitigar el riesgo de que alguna persona
malintencionada las aproveche o, según el caso, reducir este riesgo o aceptarlo.
Uno de los principales actores que propicia vulnerabilidades, lo representa el
personal que labora en las organizaciones (a veces referido como el eslabón más
débil en la cadena de la seguridad), que por diversos motivos puede ser el
causante de incrementar las amenazas y las vulnerabilidades, y aumentar los
riesgos en la organización; esto debido principalmente a la falta de conocimiento
en el manejo de la información que utilizan todos los días. El presente trabajo,
realiza una selección de algunas de las principales organizaciones a nivel
internacional que desarrollan estándares, guías y/o controles para la elaboración
de los programas y/o planes de concientización y entrenamiento para la difusión
de la seguridad informática en las organizaciones, con el propósito de analizar
cuáles son los puntos en común, estableciendo un comparativo que pueda
resultar de utilidad al responsable del establecimiento de un programa de cultura
de seguridad en una organización. Asimismo, se pretende identificar cómo se
inscribe este programa en un esquema gestionado de seguridad de la
información.
VII
ABSTRACT
The rapid growth of information technology has required from their administrators,
increasingly detailed knowledge on how to implement technologies, hardware,
software and more, to have control mechanisms that ensure proper information
management in the organizations where they play, regardless of the main purpose
(private, government, defense, etc.). This growth increases the complexity of
information technology systems to administer and therefore also increase
vulnerabilities and risks faced by an organization along with their finals users and
administrators. The vulnerabilities can have an undetermined amount of
originating factors and also of solutions to mitigate risk that the advantage some
malicious person or, as appropriate, reduce this risk or accept it. One of the key
players conducive vulnerabilities, which represents staff working in organizations
(sometimes referred to as the weakest link in security chain), which for various
reasons may be the cause of increasing threats and vulnerabilities and increase
the risks in the organization, this mainly due to lack of knowledge in handling the
information they use every day. This work performed a selection of some
international organizations that develop standards, guidelines and/or controls for
the development of programs and/or awareness and training plans for the
dissemination of information security in organizations, in order to analyze what are
the common points, establishing a comparison that may be of use to an outlet of a
program of safety culture in an organization. It also seeks to identify how this
program fits into a scheme managed information security.
VIII
Pag. No. 1
CAPITULO 1
1. INTRODUCCIÓN.
1.1. Objetivo General.
Realizar un estudio de algunos Estándares Internacionales que manejan
Estrategias de concientización y entrenamiento para la Difusión de la
Seguridad Informática basándose en los Sistemas de Gestión de
Seguridad de la Información (SGSI).
1.2. Objetivos Particulares.
Llevar a cabo la investigación de algunos estándares que manejen
concientización y entrenamiento, para la difusión de la seguridad
de las tecnologías de la información (TI) en los SGSI.
Investigación. Llevar a cabo una investigación de los estándares
internacionales que existen en materia de estrategias de difusión y
concientización de seguridad de tecnologías de la información que
se emplean en los sistemas de gestión de seguridad de la
información.
Pag. No. 2
Realizar una selección de los estándares investigados en materia de
estrategias de concientización y entrenamiento que se emplean
para la difusión de seguridad de las TI.
Realizar un análisis de los estándares internacionales
seleccionados, a fin de determinar cuáles contienen información
relacionada con estrategias de concientización y difusión de
seguridad de tecnologías de la información que se emplean para la
reducción de los incidentes donde se involucra el factor humano.
Comparar los estándares seleccionados.
1.3. Alcance General.
Realizar un estudio de los principales estándares que contemplan
estrategias de concientización y entrenamiento que se emplean para la
difusión de la seguridad de tecnologías de la información en los SGSI, con
la finalidad de conocerlas y tener una perspectiva de cómo se aplican en
las organizaciones.
1.4. Justificación.
El planteamiento sobre la forma en que debe planearse e implementarse
la seguridad, la concientización y la gestión de la seguridad, varían de
acuerdo a los autores, el método que se describe a continuación, ilustra
uno de los enfoques, en este caso de una de las organizaciones en el
área de las Tecnologías de la Información de origen europeo.
De acuerdo a la Agencia de Redes y Seguridad de la Información
Europea (ENISA, por sus siglas en ingles), en su publicación
Pag. No. 3
“Administración del Riesgo: Principios de Implementación y Herramientas
y Métodos de Evaluación y Gestión de Riesgos para Inventarios”;
“…Dicen los expertos en seguridad y las estadísticas confirman que:
Los administradores de tecnologías de la información dedican
aproximadamente un tercio de su tiempo a abordar aspectos técnicos. Los
dos tercios restantes se destinarán al desarrollo de políticas y
procedimientos, la realización de revisiones de seguridad y análisis de
riesgo, la planificación para abordar la promoción y la conciencia de la
seguridad;
La seguridad depende de personas más que en la tecnología;
Los empleados son una mayor amenaza para la seguridad de la
información que el personal externo;
La seguridad es como una cadena. Es tan fuerte como su eslabón más
débil;
El grado de seguridad depende de tres factores: el riesgo que está
dispuesto a tomar, la funcionalidad del sistema y los costos que está
dispuesto a pagar;
La seguridad no es un estado o un evento instantáneo, sino un
proceso en ejecución…”[1].
El crecimiento exponencial en el uso de las Tecnologías de la Información
(TI), ocasionado por su continua especialización, y que es demandada por
el surgimiento de nuevas áreas de interés en los diferentes sectores en
Pag. No. 4
que aplica, requiere de un conocimiento cada vez más complejo y difícil
de abarcar en su totalidad, por parte de los administradores de estas
tecnologías.
La gran demanda que existe actualmente en el mercado, obliga a las
organizaciones a ofrecer sus servicios a cada vez más clientes en
prácticamente todo el mundo, empleando a las TI como instrumento para
optimizar el trabajo y para estar así en el ámbito competitivo.
Este fenómeno obliga al personal de administradores de TI a crear redes
e infraestructura tecnológica cada vez más complejas y difíciles de
administrar, para dar soporte y servicio a más personas para lograr los
objetivos organizacionales.
Si bien algunas organizaciones incluyen el área de tecnologías de la
información como parte medular de su estructura, es común que no
existan suficientes recursos materiales y de capital humano asignados a
esta área de trabajo que garantice un nivel de seguridad adecuado.
La implementación de un Sistema de Gestión de Seguridad de la
Información, existe como una herramienta para garantizar un adecuado
control de los riesgos que se introducen por los nuevos horizontes
tecnológicos a los que se enfrentan las organizaciones con el fin de
continuar en la competitividad y vanguardia de servicios prestados a sus
clientes.
Actualmente en México, la seguridad informática está cobrando
importancia al identificarse como una necesidad de las organizaciones
preocupadas del manejo de sus activos informáticos, en las cuales, a
pesar de existir estándares y mejores prácticas en el ámbito internacional,
las limitaciones presupuestales hacen presa del área de tecnologías de la
Pag. No. 5
información, particularmente del área de seguridad informática en la que
no se tiene un producto tangible que demuestre un retorno de la inversión.
Al respecto, grandes organizaciones gubernamentales y civiles a nivel
internacional que cuentan con esquemas maduros de tecnologías de la
información, se han preocupado no solo del ámbito tecnológico, sino de
todo lo que se encuentra relacionado con éste. Dentro de este contexto,
existen guías, recomendaciones, planes, programas, entre otros, para la
creación de concientización y entrenamiento para la difusión de seguridad
de la información, que pretenden hacer frente a los retos de administrar el
capital humano, a fin de que conozcan su implicación y responsabilidades
a las que se hacen acreedores al momento de entrar a trabajar en una
organización.
El adecuado posicionamiento del personal en las organizaciones de
acuerdo a su perfil de competencia, considerando la información que
administrarán, puede representar un factor crítico de éxito de la
organización. Si se suman las mejores prácticas empleadas en materia de
concientización y entrenamiento para la difusión de la cultura de
seguridad de la información y de los sistemas de gestión de seguridad de
la información, alineadas a las políticas corporativas y se lleva a cabo una
correcta selección de controles, para adecuarla a las organizaciones
nacionales, es posible crear una conciencia y cultura informática y de
seguridad relacionadas con la prevención de los incidentes y mitigación
de riesgos que conllevan una pérdida de información, imagen,
posicionamiento, dinero, e incluso que conduzcan a la desaparición del
negocio.
Pag. No. 6
1.5. Los Estándares como Forma de Trabajo.
Los estándares definen el término control como: “Políticas,
procedimientos, prácticas y estructuras organizaciones diseñadas para
proveer aseguramiento razonable de que se lograrán los objetivos del
negocio y se prevendrán, detectarán y corregirán los eventos no
deseables”[6].
Una definición de los estándares, deberá abarcar desde aspectos
organizativos, (por ejemplo, flujo para pedir autorización a determinada
información, procedimiento para reportar incidencias, etc.) hasta aspectos
más tecnológicos y automáticos (por ejemplo, control de acceso a los
sistemas, monitorización de los sistemas mediante herramientas
automatizadas, etc.).
Las organizaciones que implementan controles bajo estándares
nacionales e internacionales garantizan un nivel de competencia
empleando las mejores prácticas para el control de sus activos. La
madurez de estos controles les permite garantizar prestigio, confianza y
reconocimiento hacia sus clientes.
La generación de estándares, puede tener fines muy diversos,
dependiendo del área de negocio al que se pretende dirigir los esfuerzos,
siendo posible encontrar generalmente, una gran diversidad de
estándares que manejan desde recomendaciones, controles, guías,
metodologías y toda una serie de documentos destinados a
organizaciones privadas, gubernamentales e inclusive de defensa
nacional; sólo por mencionar algunos estándares, se listan los siguientes:
Pag. No. 7
A. ISO 17799. Es la Organización Internacional para la
Estandarización, creada en febrero de 1947 y con sede en Ginebra,
que cuenta con la representación de 153 países con el objetivo de
lograr la coordinación internacional y la unificación de estándares
en la industria.
ISO/IEC 2000, es el primer estándar internacional certificable para
la Gestión de Servicios de TI. Proviene del estándar británico BS
15000. [5]
B. ITIL (Biblioteca de Infraestructura de Tecnologías de la Información).
Es un conjunto de publicaciones para las mejores prácticas en la
gestión de servicios de TI e incluye opciones que pueden ser
adoptadas y adaptadas según necesidades, circunstancias y
experiencia de cada proveedor de servicios.
ITIL sirve de base para el estándar ISO 20000 y consta de 6
bloques principales: Conjunto de Herramientas de Gestión, Soporte
de Servicio, Prestación de Servicios, Soporte de Software, Redes,
Entorno y Operaciones de Cómputo.[13]
C. NIST Serie SP 800 (Instituto Nacional de Estándares y Tecnología)
(Publicaciones Especiales 800), fundado en 1901, es un organismo
federal no regulador que forma parte de la Administración de
Tecnología del Departamento de Comercio de los EE.UU.
La misión del NIST consiste en elaborar y promover patrones de
medición, normas y tecnología con el fin de incrementar la
productividad, facilitar el comercio y mejorar la calidad de vida.
Pag. No. 8
Distintos principios y prácticas en seguridad comunes y de
aplicación, tanto en agencias gubernamentales como en
corporaciones privadas, están agrupados en una larga lista de
publicaciones identificadas bajo la Serie 800 y disponibles para su
libre descarga.
Estas guías y directrices son documentos muy elaborados y de
reconocido prestigio, que cubren múltiples aspectos relacionados
con la seguridad de la información y que pueden servir de apoyo a
la hora de desarrollar políticas, procedimientos y controles[8].
D. COBIT. (Objetivos de Control para Tecnologías de la Información y
relacionadas) fue establecido por ISACA (Asociación de Control y
Auditoria de Sistemas de Información) en 1996 para aclarar y
orientar en cuestiones actuales y futuras relativas a la
administración, seguridad y aseguramiento de TI. Como
consecuencia de su rápida difusión internacional, ambas
instituciones disponen de una amplia gama de publicaciones y
productos diseñados para apoyar una gestión efectiva de las TI en
el ámbito de la empresa.
Uno de sus documentos más conocidos, referencia a nivel mundial,
es CobiT (Objetivos de control para tecnologías de la información y
similares).
Se trata de un marco compatible con ISO 27002 (anterior ISO
17799:2005) y COSO, que incorpora aspectos fundamentales de
otros estándares relacionados. CobiT se estructura en cuatro
partes; la principal de ellas se divide de acuerdo con 34 procesos
de TI. Cada proceso se cubre en cuatro secciones (objetivo de
control de alto nivel para el proceso, los objetivos de control
Pag. No. 9
detallados, directrices de gestión y el modelo de madurez para el
objetivo) que dan una visión completa de cómo controlar, gestionar
y medir el proceso. Utiliza un ciclo de mejora continua de tipo “Plan;
Do; Chek; Act (PDCA)” que lo integra en los procesos de
negocio[6].
E. BS 7799-3. BSI (Instituto de Estándares Británico) publicó en 2006 la
tercera parte de BS 7799, dedicada a la gestión de riesgos de
seguridad de la información (actualmente ISO 27005).
ISO 27001 (evolucionada a partir de BS 7799-2) indica que las
organizaciones deben identificar, evaluar, tratar y gestionar los
riesgos de seguridad de la información, pero no da indicaciones
más detalladas de cómo realizar dicho proceso ni de cómo situar
dichos riesgos en el marco de los riesgos generales de la empresa.
BS7799-3 profundiza en estos aspectos y da directrices sobre
evaluación de riesgos, tratamiento de riesgos, toma de decisiones
por parte de la Dirección, re-evaluación de riesgos, monitorización
y revisión del perfil de riesgo, riesgos de seguridad de la
información en el contexto del gobierno corporativo y conformidad
con otros estándares y regulaciones sobre el riesgo [1].
F. COSO (Comité de Organizaciones Patrocinadoras) es una iniciativa
del sector privado estadounidense formada en 1985. Su objetivo
principal es identificar los factores que causan informes financieros
fraudulentos y hacer recomendaciones para reducir su incidencia.
COSO ha establecido una definición común de controles internos,
normas y criterios contra los cuales las empresas y organizaciones
pueden evaluar sus sistemas de control.
Pag. No. 10
COSO está patrocinado y financiado por cinco de las principales
asociaciones e institutos profesionales de contabilidad: Instituto
Americano de Contadores Públicos Certificados (AICPA),
Asociación Americana de Contadores (AAA), Instituto Ejecutivo de
Finanzas (FEI), Instituto de Auditores Internos (IIA) y El Instituto de
Gestión de Contabilidad (IMA).
1.6. Conclusiones.
La información descrita en la lista de estándares presentada en este
capítulo, es una muestra representativa de los estándares en el área de
seguridad en TI, que abordan la seguridad desde puntos de vista
diferentes. Para el presente trabajo de investigación, se describirán tres
de estos estándares, así como la forma en que algunos promueven la
seguridad en Tecnologías de la Información en organizaciones privadas
(ISO), gubernamentales (NIST) y de seguridad nacional (DoD), con la
finalidad de presentar los puntos de vista dedicados a estas de áreas de
negocio, presentando sus características y las posibles afinidades que
existan entre ellos.
Pag. No. 11
CAPITULO 2
2. MARCO TEÓRICO CONCEPTURAL.
El presente capítulo, describe la importancia de la información, la forma en que
ésta se clasifica y cómo se involucra como parte fundamental de los Sistemas
de Gestión de Seguridad de la Información. Esto es importante para iniciar con
la forma en que el personal interactúa con este activo informático, que puede
representar según la postura de algunos especialistas en el ramo, como uno
de los activos más críticos para las organizaciones. El manejo de la
información no siempre es seguro y en ocasiones es complejo, por lo que se
requiere un entrenamiento y capacitación del personal que interactúa con ella.
A. Información. “Se entiende por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente,
proyectada, enviada por correo, fax o e-mail, transmitida en
conversaciones, etc.), de su origen (de la propia organización o de fuentes
externas) o de la fecha de elaboración”[6].
B. Clasificación de la información. La clasificación de la información es aquel
proceso por el que se caracteriza los diferentes tipos, estructuras y valores
de la información para que las organizaciones puedan extraer valor de
ella. Una vez que la información ha sido clasificada es cuando ésta puede
Pag. No. 12
ser llevada al nivel de la infraestructura adecuado, en el momento y la
forma para optimizar su valor y minimizar el coste de su gestión y
almacenamiento.
La clasificación de la información consiste en saber con qué información
se cuenta, cómo tratarla, de cuál deshacerse, dónde guardarla y cómo
recuperarla de nuevo para trabajar con ella, dependiendo de su
importancia.
Actualmente, existen leyes nacionales que ya describen una clasificación
de la información y los criterios que se tienen para asignarle un valor a
ésta. Una Institución nacional que describe esta clasificación se plantea a
continuación.
2.1. Instituto Federal de Acceso a la Información (IFAI).
De acuerdo a las Leyes Nacionales, el artículo 37 fracción III de la Ley
de Acceso a la Información faculta al IFAI para establecer lineamientos
en materia de clasificación y desclasificación de información.
Las clasificaciones y controles de protección asociados de la
información, deben tomar en cuenta las necesidades de la organización
con respecto a la distribución (uso compartido) o restricción de la
información, y de la incidencia de dichas necesidades en las actividades
de la organización. En general, la clasificación asignada a la información
es una forma sencilla de señalar cómo ha de ser tratada y protegida. La
información y las salidas de los sistemas que administran datos
clasificados deben ser rotuladas según su valor y grado de sensibilidad
para la organización. Asimismo, podría resultar conveniente rotular la
información según su grado de criticidad.
Pag. No. 13
Frecuentemente, la información deja de ser sensible o crítica después de
un cierto período de tiempo. Estos aspectos deben tenerse en cuenta,
puesto que la clasificación por exceso puede traducirse en gastos
adicionales innecesarios para la organización. Las pautas de
clasificación deben prever y contemplar el hecho de que la clasificación
de un rubro de información determinado, debe mantenerse invariable por
siempre, y que ésta puede cambiar de acuerdo con una política
determinada. Se debe considerar el número de categorías de
clasificación y los beneficios que se obtendrán con su uso. Los
esquemas demasiado complejos pueden tornarse engorrosos y
antieconómicos o resultar poco prácticos.
La responsabilidad por la definición de la clasificación de un rubro de
información, debe ser asignada al creador o propietario designado de la
información.
De acuerdo al Artículo 13 de la misma Ley de Acceso a la Información,
la información se reserva si su divulgación pudiera causar un
menoscabo, poner en riesgo o causar un serio perjuicio a:
A. La seguridad nacional, seguridad pública o defensa nacional;
B. La conducción de las negociaciones internacionales; La estabilidad
financiera, económica o monetaria del país;
C. La vida, seguridad o salud de cualquier persona, y
D. Las actividades de verificación del cumplimiento de las leyes,
prevención o persecución de delitos, etc.
Pag. No. 14
De igual manera, el artículo 14, también considera información
reservada:
A. La que determinen otras leyes;
B. Los secretos industrial, fiscal, bancario, fiduciario, u otro;
C. Las averiguaciones previas;
D. Los expedientes judiciales o de los procedimientos administrativos
seguidos en forma de juicio;
E. Los procedimientos de responsabilidad de los servidores públicos, y
F. Los procesos deliberativos de los servidores públicos. [4]
Para que este tipo de lineamientos puedan ser observados, es necesario
que los empleados conozcan las clasificaciones de la información que
manejan o generan cotidianamente, así como qué procesos están
permitidos sobre los diferentes tipos de información en su organización.
Esta cultura organizacional debe ser difundida de forma ordenada en los
diferentes niveles de la estructura organizacional, conforme a un
programa preestablecido..
2.2. Sistema de Gestión de Seguridad de la Información (SGSI)
Los sistemas de gestión de seguridad de la información presentan a la
información como uno de los cimientos para la descripción y forma de
operar de estos sistemas. La descripción de estos Sistemas de acuerdo
Pag. No. 15
a la Organización Internacional para la Estandarización, se presenta a
continuación:
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión
de Seguridad de la Información. ISMS es el concepto equivalente en
idioma inglés, siglas de “Information Security Management System”.
La seguridad de la información, según ISO 27001, consiste en la
preservación de su confidencialidad, integridad y disponibilidad, así
como de los sistemas implicados en su tratamiento, dentro de una
organización. Los términos descritos, constituyen la base sobre la que se
cimienta todo el esquema de seguridad de la información:
A. Confidencialidad: La información no se pone a disposición ni se
revela a individuos, entidades o procesos no autorizados.
B. Integridad: Mantener exacta y completa la información y sus
métodos de proceso.
C. Disponibilidad: Acceso y empleo de la información y los sistemas de
tratamiento por parte de los usuarios, entidades o procesos
autorizados cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada
correctamente, se debe hacer uso de un proceso sistemático,
documentado y conocido por toda la organización, desde un enfoque de
riesgo empresarial. Este proceso es el que constituye un SGSI.
Como en otros estándares, la información, junto a los procesos y
sistemas que hacen uso de ella, son activos muy importantes de una
organización. La confidencialidad, integridad y disponibilidad de la
información sensible pueden llegar a ser esenciales para mantener los
Pag. No. 16
niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial, necesarios para lograr los objetivos de la organización y
asegurar beneficios económicos.
En el contexto de un estándar de gestión de la seguridad, se debe
considerar que las organizaciones y sus sistemas de información se
encuentran expuestos a un número cada vez más elevado de amenazas
que, aprovechando cualquiera de las vulnerabilidades existentes,
pueden someter a activos críticos de información a diversas formas de
fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el
“hacking” o los ataques de denegación de servicio son algunos ejemplos
comunes y conocidos, pero también se deben considerar los riesgos de
sufrir incidentes de seguridad causados, voluntaria o involuntariamente
desde dentro de la propia organización o aquellos provocados
accidentalmente por catástrofes naturales y fallos técnicos. Estas
amenazas en el entorno cambian en periodos de tiempo muy cortos, lo
que obliga a mantener procesos de vigilancia continua de los activos que
manejan la información.
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las
condiciones variables del entorno, la protección adecuada de los
objetivos de negocio para asegurar el máximo beneficio o el
aprovechamiento de nuevas oportunidades de negocio, son algunos de
los aspectos fundamentales en los que un SGSI es una herramienta de
gran utilidad y de importante ayuda para la gestión de las
organizaciones.
El nivel de seguridad alcanzado a través de medios técnicos es limitado
e insuficiente por sí mismo. Por ello, en la gestión efectiva de la
seguridad toda la organización debe tomar parte activa, con la gerencia
al frente, tomando en consideración también a clientes y proveedores de
Pag. No. 17
bienes y servicios. El modelo de gestión de la seguridad debe
contemplar unos procedimientos adecuados y la planificación e
implantación de controles de seguridad basados en una evaluación de
riesgos y en una medición de su eficacia [6].
Los procesos implicados en la gestión los controles que dicta este
estándar requieren de personal capacitado y entrenado para vigilar,
monitorear, analizar, procesar, transmitir, desarrollar, etc. los sistemas
que manejan información sensible.
2.3. Organización Internacional de Estándares (ISO) 27002-
2005.
Por mucho tiempo, los gerentes de seguridad de la información han
esperado a que alguien tomara el liderazgo para producir un conjunto de
normas de seguridad de la información que estuviera sujeto a auditoría y
fuera reconocido globalmente. Se cree que un código de normas de la
seguridad apoyaría los esfuerzos de los gerentes de tecnología de la
información en el sentido de que facilitaría la toma de decisiones,
incrementaría la cooperación entre los múltiples departamentos por ser
la seguridad el interés común y ayudaría a consolidar la seguridad como
una de las prioridades empresariales.
Desde su publicación por parte de la Organización Internacional de
Estándares en diciembre de 2000, ISO 17799 surge como la norma
técnica de seguridad de la información reconocida a nivel mundial. ISO
17799 se define como "un conjunto completo de controles que incluye
las prácticas exitosas de seguridad de la información”.
Pag. No. 18
El origen de ISO 17799 se remonta por una parte al Instituto Británico
de Normas Técnicas (BSI), de hace más de un siglo, y por otra parte a
la ISO que ha brindado parámetros globales a las normas técnicas de
operación, fabricación y desempeño. Sólo faltaba que BSI e ISO
propusieran una norma técnica para la seguridad de la información.
Finalmente en 1995, el BSI publicó la primera norma técnica de
seguridad, BS 7799, la cual fue redactada con el fin de abarcar los
asuntos de seguridad relacionados con el e-commerce.
Desafortunadamente, en 1995, se presentaron otros problemas como la
Unidad Monetaria Europea (EMU por sus siglas en inglés) que
prevalecieron sobre otros asuntos. Para empeorar las cosas, la norma
BS 7799 se consideraba inflexible y no tuvo gran aceptación por parte de
las organizaciones. No se presentó la norma técnica en un momento
oportuno y los problemas de seguridad no despertaron mucho interés en
ese entonces.
Cuatro años después en mayo de 1999, el BSI intentó de nuevo publicar
su segunda versión de la norma BS 7799, la que fue una revisión más
amplia de la primera publicación. Esta edición sufrió muchas mejoras
con respecto a la versión de 1995. En este momento la ISO se percató
de estos cambios y comenzó a trabajar en la revisión de la norma
técnica BS 7799.
En diciembre de 2000, la ISO adoptó y publicó la primera parte de su
norma BS 7799 bajo el nombre de ISO 17799 (también conocida como
ISO 27002-2005, denominación que se dio a su última publicación).
Alrededor de la misma época, se adoptó un medio formal de acreditación
y certificación para cumplir con la norma técnica. Los problemas de EMU
y otros similares se habían solucionado o reducido a 2000 y la calidad de
la norma técnica había mejorado considerablemente. La adopción por
Pag. No. 19
parte de ISO -los criterios de la norma técnica- de BS 7799 recibió gran
aceptación por parte del sector internacional y fue en este momento que
un grupo de normas técnicas de seguridad tuvo amplio reconocimiento.
Las diez áreas de control de ISO 17799 (ISO 27002-2005):
A. Política de seguridad: Se necesita una política que refleje las
expectativas de la organización en materia de seguridad a fin de
suministrar administración con dirección y soporte. La política
también se puede utilizar como base para el estudio y evaluación en
curso.
B. Organización de la seguridad: Sugiere diseñar una estructura de
administración dentro de la organización que establezca la
responsabilidad de los grupos en ciertas áreas de la seguridad y un
proceso para el manejo de respuesta a incidentes.
C. Control y clasificación de los recursos de información: Necesita un
inventario de los recursos de información de la organización y con
base en este conocimiento, debe asegurar que se brinde un nivel
adecuado de protección.
D. Seguridad del personal: Establece la necesidad de educar e informar
a los empleados actuales y potenciales sobre lo que se espera de
ellos en materia de seguridad y asuntos de confidencialidad.
También determina cómo incide el papel que desempeñan los
empleados en materia de seguridad en el funcionamiento general de
la compañía. Se debe tener implementado un plan para reportar los
incidentes.
Pag. No. 20
Siendo este control, el rubro principal bajo el que descansan las
organizaciones. Determina como índice el papel que desempeñan
los empleados en materia de seguridad en el funcionamiento de un
plan para reportar los incidentes.
a. Seguridad en la definición de puestos de trabajo y la asignación de recursos.
Su objetivo es reducir los riesgos de error humano, robo, fraude
o uso inadecuado de instalaciones.
Las responsabilidades en materia de seguridad deben ser
explicitas en la etapa de reclutamiento, incluidas en los contratos
y monitoreadas durante el desempeño del individuo como
empleado.
Los candidatos a ocupar los puestos de trabajo deben ser
adecuadamente seleccionados, especialmente si se trata de
tareas críticas. Todos los empleados y usuarios externos de las
instalaciones de procesamiento de información deben firmar un
acuerdo de confidencialidad.
b. Inclusión de la seguridad en las responsabilidades de los puestos de trabajo.
Las funciones y responsabilidades en materia de seguridad,
según consta en la política de seguridad de la información de la
organización, deben ser documentadas según corresponda.
Éstas deben incluir las responsabilidades generales por la
implementación o el mantenimiento de la política de seguridad,
así como las responsabilidades específicas por la protección de
Pag. No. 21
cada uno de los activos, o por la ejecución de procesos o
actividades de seguridad específicos.
c. Selección y política de personal.
Se deben llevar a cabo controles de verificación del personal de
forma permanente en el momento en que se solicita el puesto.
Éstos deben incluir los siguientes:
i. Disponibilidad de certificados de buena conducta
satisfactorios, por ej. uno laboral y uno personal.
ii. Una comprobación (de integridad y veracidad) del curriculum
vitae del aspirante.
iii. Constancia de las aptitudes académicas y profesionales
alegadas.
iv. Verificación de la identidad (pasaporte o documento similar).
d. Acuerdos de Confidencialidad.
Los acuerdos de confidencialidad o no divulgación se utilizan
para reseñar que la información es confidencial o secreta. Los
empleados deben firmar habitualmente un acuerdo de esta
índole como parte de sus términos y condiciones de ingreso al
empleo.
El personal ocasional y los usuarios externos, aún no siendo
contemplados en un contrato formalizado (que contenga el
acuerdo de confidencialidad), deberán firmar el acuerdo
Pag. No. 22
mencionado antes de que se les otorgue acceso a las
instalaciones de procesamiento de información.
Los acuerdos de confidencialidad deben ser revisados cuando
se producen cambios en los términos y condiciones de empleo o
del contrato, en particular cuando el empleado está próximo a
desvincularse de la organización o el plazo del contrato está por
finalizar.
e. Términos y condiciones de empleo.
Los términos y condiciones de empleo deben establecer la
responsabilidad del empleado por la seguridad de la información.
Cuando corresponda, estas responsabilidades deben continuar
por un período definido una vez finalizada la relación laboral. Se
deben especificar las acciones que se emprenderán si el
empleado hace caso omiso de los requerimientos de seguridad.
Las responsabilidades y derechos legales del empleado, por
ejemplo: en relación con las leyes de derecho de propiedad
intelectual o la legislación de protección de datos, deben ser
clarificados e incluidos en los términos y condiciones de empleo.
También se debe incluir la responsabilidad por la clasificación y
administración de los datos del empleado. Cuando corresponda,
los términos y condiciones de empleo deben establecer que
estas responsabilidades se extienden más allá de los límites de
la sede de la organización y del horario normal de trabajo, por
ejemplo: cuando el empleado desempeña tareas en su domicilio.
Pag. No. 23
f. Capacitación del usuario.
Garantizar que los usuarios están al corriente de las amenazas e
incumbencias en materia de seguridad de la información, y están
capacitados para respaldar la política de seguridad de la
organización en el transcurso de sus tareas normales.
g. Formación y Capacitación en materia de seguridad de la información.
Todos los empleados de la organización y, cuando sea
pertinente, los usuarios externos, deben recibir una adecuada
capacitación y actualizaciones periódicas en materia de políticas
y procedimientos de la organización. Esto comprende los
requerimientos de seguridad, las responsabilidades legales y
controles del negocio, así como la capacitación referida al uso
correcto de las instalaciones de procesamiento de información,
por ejemplo: el procedimiento de entrada al sistema ("log-on") y
el uso de paquetes de software, antes de que se les otorgue
acceso a la información o a los servicios.
h. Respuesta a incidentes y anomalías en materia de seguridad.
Los incidentes que afectan la seguridad deben ser comunicados
mediante canales gerenciales adecuados tan pronto como sea
posible.
Se debe concientizar a todos los empleados y contratistas
acerca de los procedimientos de comunicación de los diferentes
tipos de incidentes que podrían producir un impacto en la
seguridad de los activos de la organización.
Pag. No. 24
i. Comunicación de incidentes relativos a la seguridad.
Los incidentes relativos a la seguridad deben comunicarse a
través de canales gerenciales apropiados tan pronto como sea
posible.
Se debe establecer un procedimiento formal de comunicación,
junto con un procedimiento de respuesta a incidentes, que
establezca la acción que ha de emprenderse al recibir un
informe sobre incidentes. Todos los empleados y contratistas
deben estar al corriente del procedimiento de comunicación de
incidentes de seguridad, y deben informar de los mismos tan
pronto como sea posible.
j. Comunicación de debilidades en materia de seguridad.
Los usuarios de servicios de información deben advertir,
registrar y comunicar las debilidades o amenazas supuestas u
observadas en materia de seguridad, con relación a los sistemas
o servicios.
Deberán comunicar estos asuntos a su gerencia, o directamente
a su proveedor de servicios, tan pronto como sea posible. Se
debe informar a los usuarios que ellos no deben, bajo ninguna
circunstancia, intentar probar una supuesta debilidad. Esto se
lleva a cabo para su propia protección, debido a que el intentar
probar debilidades puede ser interpretado como un potencial mal
manejo del sistema.
Pag. No. 25
k. Comunicación de anomalías de software.
Los usuarios no deben desinstalar el software que
supuestamente tiene una anomalía, a menos que estén
autorizados a hacerlo. La recuperación debe ser realizada por
personal adecuadamente capacitado y experimentado.
l. Aprendiendo de incidentes.
Deben haberse implementado mecanismos que permitan
cuantificar y monitorear los tipos, volúmenes y costos de los
incidentes y anomalías. Esta información debe utilizarse para
identificar incidentes o anomalías recurrentes o de alto impacto.
Esto puede señalar la necesidad de mejorar o agregar controles
para limitar la frecuencia, daño y costo de casos futuros, o de
tomarlos en cuenta en el proceso de revisión de la política de
seguridad.
m. Proceso disciplinario.
Debe existir un proceso disciplinario formal para los empleados
que violen las políticas y procedimientos de seguridad de la
organización. Dicho proceso puede servir de factor disuasivo de
los empleados que, de no mediar el mismo, podrían ser proclives
a pasar por alto los procedimientos de seguridad.
Asimismo, este proceso debe garantizar un trato imparcial y
correcto hacia los empleados sospechosos de haber cometido
violaciones graves o persistentes.
Pag. No. 26
E. Seguridad física y ambiental: Responde a la necesidad de proteger
las áreas, el equipo y los controles generales.
F. Manejo de las comunicaciones y las operaciones: Los objetivos de
esta sección son:
a. Asegurar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la información.
b. Minimizar el riesgo de falla de los sistemas.
c. Proteger la integridad del software y la información.
d. Conservar la integridad y disponibilidad del procesamiento y la
comunicación de la información.
e. Garantizar la protección de la información en las redes y de la
infraestructura de soporte.
f. Evitar daños a los recursos de información e interrupciones en
las actividades de la compañía.
g. Evitar la pérdida, modificación o uso indebido de la información
que intercambian las organizaciones.
G. Desarrollo y mantenimiento de los sistemas: Recomienda que en
toda labor de la tecnología de la información, se debe implementar y
mantener la seguridad mediante el uso de controles de seguridad en
todas las etapas del proceso.
Pag. No. 27
H. Manejo de la continuidad de negocio: Aconseja estar preparado para
contrarrestar las interrupciones en las actividades de la empresa y
para proteger los procesos importantes de la empresa en caso de
una falla grave o desastre.
I. Conformidad: Imparte instrucciones a las organizaciones para que
verifiquen si el cumplimiento con la norma técnica ISO 17799
concuerda con otros requisitos jurídicos. Esta sección también
requiere una revisión a las políticas de seguridad, al cumplimiento y
consideraciones técnicas que se deben hacer en relación con el
proceso de auditoría del sistema a fin de garantizar que las
empresas obtengan el máximo beneficio.[5]
2.4. National Institute of Standars and Technology (NIST).
NIST, fundado en 1901, es una agencia federal no regulada que forma
parte del Departamento de Comercio (Department of Commerce) de los
EE.UU. La misión del NIST consiste en elaborar y promover patrones de
la medición, los estándares y la tecnología con el fin de realzar la
productividad, facilitar el comercio y mejorar la calidad de vida. NIST
lleva a cabo su misión a través de cuatro programas cooperativos:
A. Los laboratorios del NIST (NIST Laboratories), que realizan
investigaciones para mejorar la infraestructura del país en materia
de la tecnología y que la industria estadounidense necesita para
seguir mejorando los productos y los servicios.
B. El Programa de Calidad Nacional Baldrige (Baldrige National Quality
Program), que promueve la excelencia en el desempeño entre los
Pag. No. 28
proveedores de atención de la salud, los centros docentes, las
sociedades prestatarias de servicios, las organizaciones sin ánimo
de lucro, y los fabricantes estadounidenses.
C. La Asociación de Extensión Manufacturera (Manufacturing Extension
Partnership - MEP), que es una red nacional de centros locales que
ofrecen asistencia técnica y comercial a los fabricantes más
pequeños.
D. El Programa de la Tecnología e Innovación (TIP) está planeado para
proporcionar concesiones de costo compartido a la industria, las
universidades, y los consorcios para conducir investigaciones en
las tecnologías que son potencialmente revolucionarias que se
dirigen a las necesidades nacionales y sociales.
Asimismo, las Publicaciones Especiales en la serie 800 presentan los
documentos de interés general a la comunidad de seguridad de la
información. La Publicación Especial serie 800 fue establecida en 1990
para proporcionar una identidad separada para publicaciones de
seguridad de tecnologías de la información. Esta Publicación Especial
serie 800 presenta informes sobre la investigación del Laboratorio de
Tecnologías de la Información (ITL por sus siglas en inglés), directrices,
y excede esfuerzos en la seguridad informática, y sus actividades de
colaboración con la industria, el gobierno y organizaciones académicas.
La diversidad de Publicaciones Especiales de la Serie 800 realizadas por
el NIST, presenta manuales, guías técnicas, recomendaciones, buenas
prácticas, entre otros, en el área de tecnologías de la información,
clasificándolas en lo que el NIST denomina familias, dentro de las que se
Pag. No. 29
encuentra concientización y entrenamiento. Para efectos del presente
trabajo de investigación, se mencionarán algunas inherentes al tema de
tesina.
A. SP 800-50. Construcción de un Programa de Concientización y
Entrenamiento de Seguridad de Tecnologías de la Información.
Proporciona la guía para la construcción de programas de seguridad
de tecnologías de la información y soporte efectivos, con
requerimientos especificados en la Administración de Seguridad de
la Información Federal (FISMA) de 2002 y la Oficina de
Administración y Presupuesto (OMB).
Un programa de seguridad de IT robusto, no puede implantarse sin
obtener la atención significativa para el entrenamiento de los
usuarios de áreas de IT en políticas de seguridad, procedimientos, y
técnicas, así como la variación en la administración, operación, y
controles técnicos necesarios y disponibles para la seguridad de los
recursos de IT. Además, aquéllos en áreas que administran
infraestructuras de IT necesitan tener las habilidades necesarias
para realizar las actividades asignadas de manera efectiva.
Un programa completo de seguridad de IT consiste de: Desarrollo de
políticas de seguridad de IT tal que reflejen las necesidades del
negocio conforme a los riesgos conocidos; Informes de los usuarios
responsables de la seguridad de IT, tal como documentación de
políticas y procedimientos de seguridad de las agencias y; Procesos
establecidos para el monitoreo y revisión de los programas.
Pag. No. 30
El personal involucrado del área de IT en los programas de
concientización y entrenamiento juegan un papel importante en el
éxito, tales como: gerentes, jefe de oficiales de información,
programadores y administrador de los programas de seguridad,
todos ellos tienen responsabilidades clave para garantizar la
efectividad de los programas elaborados.
Es importante que el alcance y contenido de los programas se
encuentren relacionados a las directivas y políticas de seguridad
existentes en los programas de las agencias de seguridad. Dentro
de las políticas de los programas de seguridad de IT, deben existir
claramente los requerimientos para los programas de
concientización y entrenamiento.
Un programa efectivo de concientización y entrenamiento de
seguridad de IT explica las propias reglas de comportamiento para
los usuarios de las áreas de Información y Sistemas de IT. Los
programas comunican los procedimientos y políticas de seguridad de
IT que necesitan seguirse. Esto debe preceder y poner la base para
cualquier sanción impuesta debido al incumplimiento. Los usuarios
primero deberían ser informados de las expectativas. Las
responsabilidades deberían tener origen en base a personal
totalmente informado, entrenado y consiente.
Pag. No. 31
a. Concientización. La conciencia no se entrena. El objetivo de
presentaciones de concientización es simplemente concentrar la
atención en la seguridad. Las presentaciones de concientización
son requeridas, para permitir al personal conocer los intereses
de seguridad y responder a éstos.
b. Entrenamiento. Se esfuerza en producir habilidades de
seguridad relevantes y capacidades necesarias para la
organización.
c. Educación. Integra todas las habilidades de seguridad y las
capacidades de varias especialidades funcionales en un cuerpo
común de conocimiento y se esfuerza en producir especialistas
de seguridad y profesionales capaces de visión y respuesta
activa.
El aprendizaje es continuo; inicia con concientización, construyendo
entrenamiento y desarrollando educación, como lo demuestra la
figura siguiente:
Pag. No. 32
Figura 1. El aprendizaje continuo de seguridad de IT.
Esta publicación identifica cuatro pasos críticos en el ciclo de vida de
un programa de concientización y entrenamiento de seguridad de IT:
a. Diseño del Programa de Concientización y Entrenamiento. En
este paso, el área de seguridad de IT necesita evaluar la
conducción y la estrategia de entrenamiento que será
desarrollada y aprobada. Este documento de planeación
estratégica identifica las tareas de implementación que deberán
desempeñar en apoyo de las metas de entrenamiento
establecidas por el área de seguridad.
Pag. No. 33
Es importante que el programa de concientización y
entrenamiento apoyen las necesidades de negocio de la
organización y ser relevantes a la cultura de la organización. El
diseño de un programa de concientización y entrenamiento, se
encuentra compuesto de los siguientes puntos:
i. Estructuración de un área de sensibilización y programas de
capacitación.
1. Políticas, estrategias e implementación centralizadas.
En este modelo, la responsabilidad y el presupuesto para
toda la organización de IT en materia de concientización y
programas de capacitación se otorgan en una autoridad
central. Todas las directivas, la estrategia de desarrollo, la
planificación se da a una autoridad central. Todas las
directivas, la estrategia de desarrollo, la planificación y la
programación se coordinan a través de la autoridad de
concientización y entrenamiento sobre seguridad de IT.
2. Políticas y estrategias centralizadas e implementación
distribuida.
En este modelo, la seguridad de la concientización y
entrenamiento se definen por una autoridad central, pero
la ejecución se delega a la línea de gestión de los
funcionarios de la organización. La asignación de
presupuesto, el desarrollo del material y la programación
para el área de Concientización y entrenamiento son
responsabilidad de estos funcionarios. Sobre la base de la
Pag. No. 34
estrategia, las unidades de organización desarrollan sus
propios planes de formación. Las unidades de
organización desarrollan su conocimiento y material de
formación, y determinan los métodos para difundir el
material dentro de sus propias unidades.
3. Política centralizada y estrategia y ejecución distribuida.
En este modelo, la autoridad central del área de seguridad
de concientización y entrenamiento difunde las
expectativas generales de políticas de concientización en
materia de seguridad y requisitos de entrenamiento, pero
otorga la responsabilidad de la ejecución del programa en
su totalidad a otras dependencias orgánicas.
Normalmente, este modelo utiliza una serie de directivas
distribuidas de autoridad, impulsada desde la autoridad
central.
ii. Evaluación de necesidades.
La evaluación de las necesidades es un proceso que puede
ser empleado para determinar las necesidades de
concientización y entrenamiento para la organización. Los
resultados de la evaluación pueden proporcionar la
justificación necesaria para convencer a la administración
para que proporcione los recursos necesarios para satisfacer
las necesidades detectadas.
Es importante que dentro de la evaluación de necesidades se
encuentre involucrado como mínimo el siguiente personal:
Dirección ejecutiva, Personal de seguridad, Personal de
Pag. No. 35
soporte de IT y Administradores de sistemas operativos y los
usuarios.
iii. Desarrollo de las estrategias y planes de concientización y
entrenamiento.
La culminación de los trabajos de evaluación de las
necesidades, permite desarrollar las estrategias de desarrollo,
implementación y mantenimiento de los programas de
seguridad de concientización y entrenamiento. El plan es el
documento de trabajo que debe contener los elementos que
componen la estrategia. El plan debe examinar los siguientes
elementos:
iv. Establecimiento de prioridades.
La finalidad, es desarrollar un calendario de aplicación, sobre
todo si existen limitaciones presupuestarias y disponibilidad
de recursos, este calendario permitirá determinar la
secuencia y prioridad para cuando se tengan que definir
prioridades.
v. Elección del material en función del personal.
Este apartado manifiesta que es necesario tomar una
decisión en cuanto a la complejidad del material que será
desarrollado en función del personal. La complejidad debe ser
acorde con la función de la persona que vaya a someterse al
esfuerzo del aprendizaje. El material debe basarse en el
objetivo de la posición del asistente en la organización y el
conocimiento de las habilidades necesarias de seguridad
Pag. No. 36
para esa posición. La complejidad del material, debe ser
determinada antes del desarrollo, esta decisión aplica a los
tres tipos de aprendizaje (concientización, entrenamiento y
educación).
vi. El financiamiento del programa de seguridad de
concientización y entrenamiento.
La concientización sobre la seguridad y el plan de formación,
debe considerarse como un conjunto de requisitos mínimos
que deben cumplirse y los requisitos deben ser factibles a
partir de un presupuesto o una perspectiva contractual. Los
requisitos de formación deben estar especificados en la
documentación y considerarse como obligatorios.
b. Desarrollo del Material de Concientización y Entrenamiento. Este
paso se enfoca en fuentes de educación disponibles, alcance,
contenido y desarrollo del material para el entrenamiento,
incluyendo la contratación de externos en caso de ser
necesarios.
El desarrollo del material de concientización y entrenamiento,
debe garantizar el comportamiento que se quiere reforzar
(conciencia) y por otro lado, las habilidades o destrezas que se
quiere que la audiencia aprenda y aplique (entrenamiento).
Mientras que el mensaje en el material de entrenamiento debe
garantizar que incluirá todo lo necesario para que los
participantes puedan realizar su trabajo de manera satisfactoria,
el material de concientización busca hacer del conocimiento de
la audiencia, las implicaciones legales y responsabilidades en
Pag. No. 37
materia de seguridad informática a las que se hacen acreedores,
mientras se encuentran laborando en la organización. Esta
diferencia plantea, los diferentes materiales que deben
desarrollarse, para cada plan de educación continua
(concientización, entrenamiento y educación) que se pretenda
implementar en la organización.
i. Desarrollo de material de concientización.
Una de las cuestiones que se plantea cuando se comienza a
desarrollar material para un programa o campaña de
concientización en una organización es ¿Qué requiere
conocer el personal de la organización en materia de
seguridad de TI? El plan de concientización y entrenamiento
debe incluir una lista de temas. Avisos de E-mail, Las noticias
diarias en los sitios webs relacionadas con seguridad de TI,
revistas, suelen ser buena fuente de ideas y aportar material.
El área de generación de políticas, revisión de programas,
auditorías internas, revisión de programas de control interno,
auto-evaluaciones y sondeos, pueden servir para identificar
otros temas que pueden tratarse.
La cantidad de temas que pueden incluirse en el plan de
concientización y entrenamiento, puede ser muy extensa, la
siguiente es una lista de los temas que pueden incluirse como
parte de este plan:
Pag. No. 38
Tabla 1. Temas para programas de concientización.
ii. Desarrollo de material de entrenamiento.
Como se vio en la introducción de este apartado, uno de los
planteamientos cuando se inicia el desarrollo del material
para un curso de entrenamiento específico es ¿Qué
habilidades o destrezas se necesitan hacer llegar a la
audiencia? Al respecto el NIST SP 800-16 “Requerimientos
para entrenamiento en Seguridad de Tecnologías de la
Información: Modelo basado en rendimiento y roles”, plantea
Pag. No. 39
un metodología para la creación de cursos de formación para
una serie de audiencias.
La metodología mencionada en el párrafo anterior, no es
tratada como parte del presente documento de investigación,
sin embargo es importante mencionar que de acuerdo a lo
que menciona el NIST como organismo, es un valioso
instrumento para el desarrollo de material para cursos de
entrenamiento (capacitación) en materia de seguridad.
c. Implementación del Programa. Este paso direcciona la
comunicación eficaz y los roles de los programas de
concientización y entrenamiento. Esto también incluye las
opciones para la entrega del material para los programas
(basado en web, educación a distancia, video, en sitio, etc.).
De acuerdo a como lo establece el NIST en la publicación
SP800 en comento, la implementación de un programa de
concientización y entrenamiento debería aplicarse sólo después
de que:
Se ha llevado a cabo una evaluación de necesidades.
Se ha desarrollado una estrategia.
Se ha completado un programa de concientización y
entrenamiento, y
Se ha desarrollado el material de concientización y
capacitación.
El programa de aplicación, debe ser explicado a la organización
para conseguir el apoyo para su aplicación y garantizar los
Pag. No. 40
recursos que serán necesarios. Debe incluirse dentro de las
expectativas del área de gestión y el personal de apoyo, así
como los resultados que se pretenden alcanzar del programa y
cuáles serán los beneficios para la organización.
d. Mantenimiento. Este paso de la guía se orienta al cuidado y
monitoreo del programa. Los métodos de retroalimentación
eficaces pueden incluir revisiones, grupos de interés, pruebas de
referencia, por citar algunos.
Es necesario asegurar que el programa, como estructura, sigue
siendo actual aún con la nueva tecnología y las cuestiones de
seguridad que aparezcan. Se deberá centrar en las necesidades
de formación con nuevas habilidades y capacidades de ser
necesario, para responder a los nuevos cambios tecnológicos y
arquitectónicos. Un cambio en la misión de la organización o en
los objetivos, puede influir en ideas sobre la mejor manera de
diseñar espacios de capacitación y su contenido. Las nuevas
cuestiones, como la seguridad nacional, también afectan a la
naturaleza y el alcance de las actividades de concientización de
seguridad necesarias para mantener informado y educado al
usuario con respecto a las últimas vulnerabilidades y
contramedidas que debe adoptar. Las nuevas leyes y decisiones
judiciales también pueden ser de impacto para el área que
desarrolla políticas que, a su vez, pueden afectar el desarrollo
y/o aplicación de materiales de concientización y entrenamiento.
Por último las directivas de seguridad como son el cambio o
actualización, la concientización y el material de entrenamiento
deberán reflejar estos cambios.
Pag. No. 41
•ESTRUCTURACIÓN DEL AREA DE CONCIENTIZACIÓN Y ENTRENAMIENTO (CYE).
•EVALUACIÓN DE NECESIDADES.
•DESARROLLO DE ESTRATEGIAS Y PLANES DE CYE.
•ESTABLECIMIENTO DE PRIORIDADES
•FINANCIAMIENTO.
DISEÑO DEL PROGRAMA DE CYE
•MATERIAL DE CONCIENTIZACIÓN.
•Seleccionando los temas de concientización.
•Fuentes para material de concientización.
•MATERIAL DE ENTRENAMIENTO.•Modelo para construcción de un programa de entrenamiento.
•Fuentes de material y curso de entrenamiento
DESARROLLO DEL MATERIAL DE CYE.
•DIFUSIÓN DEL PROGRAMA.
•TÉCNICAS PARA LA ENTREGA DE MATERIAL DE CONCIENTIZACIÓN.
•TÉCNICAS PARA LA ENTREGA DE MATERIAL DE ENTRENAMIENTO.
•DESARROLLO DEL MATERIAL
IMPLEMENTACIÓN DEL PROGRAMA.
•MONITOREO DEL PROGRAMA.
•MÉTODOS DE RETROALIMENTACIÓN.
•GESTIÓN DEL CAMBIO.
•MEJORA CONTINUA.•INDICADORES DE ÉXITO DEL PROGRAMA
MANTENIMIENTO.
Verificar el cumplimiento implica la evaluación de la situación del
programa como lo indica la información existente y relacionada
con las normas establecidas en la organización. Los informes
pueden ser generados y empleados para identificar debilidades
o problemas y tomar decisiones para aplicar las medidas
correctivas y de seguimiento necesarias. [8]
La Siguiente tabla, representa un resumen de las fases que se
encuentran contempladas en la publicación especial del NIST SP
800-50 para el desarrollo de los planes de concientización y
entrenamiento en seguridad de la información, las actividades para
cada una de las fases, se describen en la columna de la derecha:
Tabla 2. Fases para el desarrollo de planes de
concientización y entrenamiento.
Pag. No. 42
B. SP 800-53. Recomendaciones de Controles de Seguridad para
sistemas de información federal.
La selección y aplicación de los controles de seguridad de un
sistema de información, son tareas importantes que pueden tener
importantes repercusiones sobre las operaciones y los activos de
una organización, así como el bienestar de los individuos y la
Nación. Los controles para la seguridad son: la gestión, los
operativos, los técnicos y los empleados para la seguridad o
contramedidas de una organización dentro de un sistema de
información para proteger la confidencialidad, integridad y
disponibilidad del sistema y su información.
El propósito de esta publicación especial es ofrecer las guías para la
selección y especificación de los controles de seguridad para los
sistemas de información en apoyo de las agencias del gobierno,
muestra los requisitos mínimos de seguridad para la información y
para sistemas de información federal. Las guías se aplican a todos
los componentes de un sistema de información que procesan,
almacenan o transmiten información federal. Las guías han sido
desarrolladas para ayudar a lograr sistemas de información más
seguros y una mejor gestión de riesgos dentro del gobierno federal
Los controles de seguridad se organizan en dieciocho familias, cada
familia contiene controles de seguridad relacionados con la
funcionalidad de seguridad de su área de control (familia). Contienen
un identificador de dos caracteres asignado al control. Existen tres
clases generales de controles de seguridad: gestión, operativos y
técnicos.
Pag. No. 43
IDENTIFICAD
ORES
FAMILIA CLASE
AC Control de Acceso Técnico
AT Concientización y entrenamiento Operativo
AU Auditoría y Registro de Actividades Técnico
CA Autorización y Evaluación de la Seguridad
Gestión
CM Administración de la Configuración Operativo
CP Planes de Contingencia Operativo
IA Identificación y Autenticación Técnico
IR Responsabilidad de Incidentes Operativo
MA Mantenimiento Operativo
MP Medidas de Protección Operativo
PE Protección Física y del Entorno Operativo
PL Planeación Gestión
PS Seguridad del Personal Operativo
RA Evaluación del Riesgo Gestión
SA Adquisición de Servicios y Sistemas Gestión
SC Protección de Sistemas y Comunicaciones
Técnico
SI Integridad de Sistemas e Información
Operativo
PM Gestión de Programas Gestión
Tabla 2. Controles de Seguridad organizado en familias.
Los controles establecen una declaración concisa de la capacidad
de seguridad necesaria para proteger a un aspecto particular de una
organización o de sistemas de información. La declaración describe
el control de seguridad específico relacionado con las actividades o
acciones que se llevarán a cabo por la organización o por el sistema
de información.
Para ayudar a las organizaciones a seleccionar adecuadamente los
controles de seguridad de un sistema de información, existen
controles de referencia como punto de partida.
Pag. No. 44
De acuerdo a como lo maneja el NIST en este documento, para
poder realizar la sección de controles, describe el empleo de gestión
de riesgos para organizar y guiar el proceso de selección, la
categorización de la información, la selección de los controles de
seguridad incluyendo la adaptación de los controles iniciales de
referencia a partir de una evaluación de riesgo y la actualización de
los controles como parte de un proceso de seguimiento continuo.
Como la finalidad de esta investigación no se centra en la
implantación de todos los controles, sólo se abordará la familia de
controles relacionadas con concientización y entrenamiento.
a. AT-1. Políticas y Procedimientos de Concientización y
Entrenamiento de Seguridad.
Este control está destinado a producir políticas y procedimientos
requeridos para una implementación adecuada de los controles
de seguridad y realizar mejoras en la familia de controles de
concientización y entrenamiento. La política y los
procedimientos son coherentes con las leyes federales, órdenes
ejecutivas, directivas, políticas, reglamentos, normas y
directivas. Las políticas de concientización y entrenamiento
pueden inclusive ser incluidas como parte de la política de
seguridad de la información general para la organización. Los
procedimientos de seguridad de concientización y
entrenamiento pueden ser desarrollados para los programas de
seguridad en general y para sistemas de información en
particular cuando sean requeridos. La estrategia de gestión de
riesgo organización es un factor clave en el desarrollo de
políticas de concientización y entrenamiento de seguridad.
Pag. No. 45
b. AT-2. Concientización en Seguridad.
Para este control, la organización determina el contenido
apropiado de concientización sobre la seguridad y las técnicas
basadas en los requerimientos específicos de la organización y
los sistemas de información a los cuales el personal tiene
autorizado el acceso. El contenido incluye una comprensión
básica de la necesidad de seguridad de la información y las
acciones del usuario para mantener la seguridad y responder a
incidentes de seguridad. El contenido también direcciona la
necesidad de concientización en operaciones de seguridad
relacionados con los programas de seguridad de la información
en la organización.
Un ejercicio práctico puede incluir sin previo aviso ejercicios de
ingeniería social para tratar de recabar información, obtener
accesos no autorizados, simulación de los efectos negativos por
la apertura de archivos adjuntos en el correo electrónico.
c. AT-3. Entrenamiento en Seguridad.
Para este caso, la organización determina el contenido
adecuado para el entrenamiento en materia de seguridad
basándose en los roles y responsabilidades asignados y los
requerimientos específicos de la organización y sus sistemas,
relacionados con la adecuada formación técnica en seguridad
para que el personal pueda realizar las funciones que tengan
Pag. No. 46
asignadas. La gestión direcciona el entrenamiento en seguridad
organizacional, operativa y técnica basada en roles y
responsabilidades abarcando temas de seguridad física,
personal y técnicas así como las contramedidas. La
organización también proporciona el entrenamiento necesario
para el personal que tiene responsabilidades relacionadas con
operaciones de seguridad en el contexto de los programas de
seguridad de la información organizacional.
d. AT-4. Registro de Entrenamiento en Seguridad.
Mientras que para una organización se puede considerar como
obligados los programas de formación individual y el desarrollo
de planes de formación, el control de registros de entrenamiento
en seguridad no los considera como obligados en el NIST. La
documentación para el entrenamiento especializado puede ser
realizada por los supervisores si es que así lo determina la
organización.
Aún cuando no considera como necesario el control de
registros, esta información permite llevar seguimiento de las
actividades de concientización y entrenamiento, para tener
registros del proceso de entrenamiento del personal de la
organización.
e. AT-5. Contacto con Grupos y Asociaciones de Seguridad.
El contacto permanente con asociaciones y grupos de
seguridad es de suma importancia en un entorno de rápidos
cambios tecnológicos y dinámica de las amenazas. Los grupos
Pag. No. 47
de seguridad y las asociaciones pueden incluir: grupos de
intereses específicos, foros especializados, asociaciones
profesionales, grupos de noticias así como personal especialista
de organizaciones similares. Se debe tomar en cuenta que los
grupos y asociaciones seleccionadas sean compatibles con la
misión de la organización, así como con sus requerimientos de
negocio. Las actividades de intercambio de información sobre
amenazas, vulnerabilidades e incidentes relacionados con los
sistemas de información deben estar coherentes con las leyes
federales, órdenes ejecutivas, directivas, políticas, reglamentos,
normas y procedimientos.
f. AT-6. Entrenamiento de Asesores.
La seguridad relacionada con el entrenamiento, está destinada
a los evaluadores independientemente de control de la
seguridad. La profundidad y la amplitud del entrenamiento están
en relación con la complejidad del sistema de información y el
grado necesario en la evaluación [9].
2.5. Department of Defense (DoD) of United States of America.
(Departamento de Defensa de los Estados Unidos de América).
Si bien el Departamento de Defensa de los Estados Unidos de América
no publica a manera de estándares documentación de seguridad de
tecnologías de la información, sirve como marco de referencia al
representar al sector de defensa nacional y establecer prioridades para
la clasificación de la información, asignándole en ocasiones clasificación
de información de seguridad nacional. Este departamento cuenta con
una serie de documentos relacionados con el área de tecnologías de la
Pag. No. 48
información. El presente trabajo de investigación sólo hace mención a
una muestra de la información publicada que se relaciona con las
tecnologías de la información y relacionadas con el área de
concientización y entrenamiento.
A. US Code Title 10 Armed Forces (Código de los Estados Unidos,
Título 10 Fuerzas Armadas).
Dentro del código de los Estados Unidos de América, se encuentra
en el título 10 un apartado para las “fuerzas armadas”, dentro de
este título se encuentra en el subtítulo A “Leyes Militares
Generales”, el numeral 2224 le otorga al Secretario de Defensa de
ese País, la facultad para la creación de un “Programa de
Aseguramiento de Información de Defensa”, para la protección y
defensa de los sistemas y redes de información que son
fundamentales para el Departamento de Defensa y las Fuerzas
Armadas para la continuidad de sus operaciones, delegando la
responsabilidad al Departamento de Información de Defensa.
Esta ley, desencadena una serie de documentos a fin de hacer
cumplir las políticas establecidas en el documento, como la que se
presenta a continuación.[10]
B. Directiva No. 8500.01 Aseguramiento de la Información.
Este documento estable las políticas y la asignación de
responsabilidades en términos de aseguramiento de la información
bajo el marco normativo del programa de aseguramiento de la
información descrito en el título 10 del código de los estados unidos,
a través de una defensa con un enfoque en profundidad que integra
Pag. No. 49
las capacidades del personal, operaciones y tecnología, y apoyado
en la evolución de las redes garantizando la integridad del personal,
operaciones y tecnologías.
Manifiesta que todos los sistemas de información del Departamento
de Defensa deberán mantener un nivel apropiado de
confidencialidad, integridad, autenticación, no repudio, y la
disponibilidad que reflejen un equilibrio entre la importancia y la
sensibilidad de la información, documentar las amenazas y
vulnerabilidades, la confianza del personal de usuarios y la
interconexión de sistemas, el impacto del deterioro o destrucción de
los sistemas de información y su rentabilidad.
Establece que todo el personal del Departamento de Defensa con
autorización para ingresar a los sistemas de información deberá
estar adecuadamente capacitado y entrenado de acuerdo con las
políticas del Departamento así como contar con los componentes,
requisitos y certificados necesarios para llevar a cabo las tareas
relacionadas con sus responsabilidades.
Asigna responsabilidades al Director de la Agencia de Sistemas de
Información de Seguridad, para desarrollar en coordinación con el
Director de la Agencia de Inteligencia de Defensa y su homólogo de
la Agencia de Seguridad Nacional, entre otros, programas de
concientización y entrenamiento en seguridad de la información.
El mecanismo para la materialización de los programas de
concientización y entrenamiento en seguridad de la información, es
establecer contacto con un organismo llamado “DoD Shared Service
Center for Security Awareness Training”, quienes se encuentran
alineados a las políticas del gobierno federal.[11]
Pag. No. 50
“Information System Security Line of Business Program Office” es el
organismo responsable del Gobierno de los Estados Unidos de América
de desarrollar a través del “Shared Service Center for Security
Awareness Training” los programas de acción en materia de
concientización y entrenamiento en seguridad para el gobierno federal
incluyendo al Departamento de Defensa (DoD), Departamento de Estado
(USAID) y Oficina de Gestión de Personal, alineados con las políticas de
seguridad nacional.[12]
2.6. Conclusiones.
Después de la revisión de los documentos abordados en el presente
capítulo, es posible concluir que:
A. ISO 27002-2005. Hablando exclusivamente de concientización y
entrenamiento, así como los mecanismos que se emplean para la
difusión de seguridad de la información. Es un estándar que se
encuentra enfocado al negocio, pero centrado en las diferentes
etapas en que un trabajador forma parte de una organización (antes,
durante y después).
El antes, permite a la organización seleccionar al personal acorde a
sus necesidades, buscando que cuente con el perfil más adecuado
para las actividades que desempeñará, resaltando la importancia de
sus actividades, así como sus responsabilidades y derechos a los
que se hará acreedor al momento de entrar a laborar a la
organización.
Durante el desempeño del personal como trabajador de la
organización, se le debe mantener informado sobre las políticas en
Pag. No. 51
materia de seguridad, esto implica la capacitación que deba tener el
personal para las diferentes áreas de negocio a las que se dedique
durante su estancia en la organización.
También marca importancia al concluir el trabajador sus actividades
dentro de la organización, ya que se le debe resaltar nuevamente las
responsabilidades a las que puede incurrir si no mantiene los
acuerdos de confidencialidad que firmó durante su etapa como
trabajador.
B. NIST. Esta serie de documentos, representa una gama muy
detallada de las áreas relacionadas con la seguridad de las TI,
generando documentos que sirven como guías para un adecuado
desarrollo de las actividades que se encuentren relacionadas con la
seguridad de las TI.
Este organismo, genera una serie de controles y guías que al
momento de la implementación y aplicando los controles adecuados
se puede tener una mejor gestión de la organización en materia de
seguridad de la información.
El nivel de detalle en ocasiones puede ocasionar confusión, ya que
muchos de los documentos se encuentran relacionados, teniendo
que implementar grupos de controles para una adecuada gestión de
la seguridad.
C. DoD. Es un organismo que se encuentra comprendido dentro del
gobierno federal y responsable de la seguridad nacional de los
Estados Unidos de América, considerando dentro de su política de
seguridad nacional la protección de la información.
Pag. No. 52
Las políticas que genera en materia de seguridad, se encuentran
comprendidas y alineadas a las políticas generales de la nación.
Al momento de llevar a cabo la revisión de los documentos, se
observa que toda la documentación se encuentra alineada a una
línea de acción, no duplicando las funciones de los organismos,
alineándose mejor a las políticas emitidas por el gobierno federal y
trabajando en colaboración con otras organizaciones del mismo
sector, para la obtención de un bien común.
El nivel de gestión de la seguridad de las tecnologías de la
información, garantiza el correcto funcionamiento de los organismos
del gobierno federal, ya que se encuentran definidas las funciones
que cada organismo realiza.
Pag. No. 53
CAPITULO 3
3. CONCIENTIZACIÓN Y ENTRENAMIENTO EN SEGURIDAD DE
LA INFORMACIÓN, BASADO EN LAS MEJORES PRÁCTICAS.
Después de la revisión de algunos de los estándares y guías que abordan el
tema de concientización y entrenamiento para la difusión de la seguridad de la
información, se determina su importancia dentro de las funciones de la
organización, teniendo como finalidad, hacer del conocimiento del personal,
las obligaciones y derechos, asimismo, proporciona los elementos de juicio
necesarios para que el personal esté consciente de las responsabilidades que
tiene asignadas como parte de sus actividades laborales.
La selección de los controles en concientización y entrenamiento en seguridad
de la información, deben estar alienados con las políticas de la organización,
independientemente del estándar o guía que se utilice como herramienta de
trabajo, esta visión, permitirá la adecuada gestión en el área de TI.
Teniendo en cuenta que los estándares y guías revisados en el presente
documento, representan guías para la implementación de controles, es
necesario tener en cuenta que al momento de materializar los controles que se
hayan seleccionado, se requerirá una adecuación para la organización de que
se trate. De acuerdo a lo anterior, hay que tomar en cuenta que no existe
ningún estándar que satisfaga las necesidades completas que requiere una
organización, es por ello que dependiendo en gran medida del presupuesto
Pag. No. 54
que se tenga asignado para la implementación de controles, es posible
complementar los trabajos para los planes de concientización y entrenamiento
a partir de más de un estándar o guía que se decida seguir para su
materialización.
El presente capítulo, establece una comparativa de esos puntos de vista y la
visión en que los estándares abordan los controles para la implementación de
los programas de concientización y entrenamiento para la difusión de la
seguridad de la información.
3.1. Correlación de concientización y entrenamiento en seguridad de la
información.
De acuerdo a la investigación realizada durante el presente trabajo, se
decidió buscar estándares que se encuentren orientados al sector
privado, gubernamental y de seguridad nacional, como lo son ISO, NIST
y DoD, respectivamente.
A. ISO 27001-2005. Por lo que respecta al ISO, estos se encuentran
agrupados en diez dominios de control de los que se derivan 36
objetivos de control y 127 controles (prácticas, procedimientos y
mecanismos) cuya finalidad es disminuir el riesgo en una
organización, alineando los controles a las políticas de la
organización. Este estándar destaca factores críticos para el éxito
del proyecto como la definición de políticas organizacionales y el
apoyo de la alta gerencia para la materialización del plan. También
es importante mencionar que describe un Sistema de Gestión de
Seguridad de la Información con la implementación de los controles
que se mencionan con antelación. El presente trabajo sólo abarcó la
investigación relacionada con los controles en materia de
concientización y entrenamiento.
Pag. No. 55
ISO, permite la gestión de los controles implementados, con la
integración de un mecanismo de mejora continua que permite
garantizar la actualización de los programas de acuerdo a las
necesidades cambiantes de la organización.
B. NIST. Describe la selección y especificación de controles de
seguridad de los componentes estructurales y cómo los controles se
organizan en familias, define los controles de seguridad básicos y
mínimos que se deben implementar para la creación de un programa
efectivo de seguridad de la información, establece la importancia del
uso de los controles de seguridad en apoyo a los programas de
seguridad de la información, proporciona guías para el
aseguramiento efectivo de los controles de seguridad, además de
describir los procesos de selección y especificación de los controles
de seguridad para un sistema de información, define en términos
generales los que pueden emplearse para la gestión del riesgo.
Es importante hacer notar, que pese a que el NIST no menciona el
término “Sistema de Gestión de Seguridad de la Información” adopta
el término “Marco de Gestión del Riesgo” como su símil.
El NIST mediante sus publicaciones, proporciona las directrices para
asegurar los sistemas de información para el gobierno federal, así
como los requisitos mínimos de seguridad de la información y
sistemas de información federal, contando con una importante
colección de documentos específicos para cada área de interés,
considerándolo como uno de sus puntos fuertes, después de la
investigación realizada, ya que permite la elección de los controles
relacionados con las diferentes áreas de tecnologías de la
información, garantizando de que éstos llevarán de la mano su
implementación.
Pag. No. 56
C. DoD. Dentro de los objetivos que se encuentran planteados en su
misión, se encuentra: asegurar la información del Departamento, los
sistemas de información e infraestructura de información para
apoyar al Departamento. Si bien, se trata de una organización
destinada a garantizar la seguridad nacional de ese país, resulta
importante señalar el empleo de las tecnologías de la información
como herramienta de trabajo a fin de cumplir de manera satisfactoria
alguna de las funciones que tiene encomendadas.
Los mecanismos y recursos que emplea para la materialización de
los programas de concientización, entrenamiento y educación para
la seguridad de la información, son mediante el trabajo en conjunto
de más de una organización del gobierno federal, lo que habla del
nivel de madurez que tienen en sus sistemas de gestión de
seguridad de la información, además, todos los esfuerzos que
realiza, son tomados en cuenta a fin de no duplicar el trabajo que se
requiera para satisfacer alguna de las necesidades especificas de
las organizaciones que lo integran.
Se resalta a las organizaciones responsables de aplicar el programa
nacional de concientización y entrenamiento, lo que es muy
importante al momento ce justificar un programa de este tipo en una
organización.
Las tablas que se presentan a continuación, presentan una comparación
de los controles relacionados con concientización y entrenamiento en
seguridad de la información, entre el NIST y el ISO, teniendo como base
el control del NIST y sus equivalentes en el ISO.
Pag. No. 57
ES T Á N D A R /
O R G A N IZA C IÓ ND O C U M EN T O D E R EF ER EN C IA C O N T R O L N O M B R E D EL C O N T R O L
N IS TS P 800-53 R E C O M E N D A C IO N E S
D E C O N TR O LE S P A R A S IS TE M A S
D E IN F O R M A C IÓ N F E D E R A L A T-1
P roc ed im ien tos y po lít ic as de
c onc ien t iz ac ión y en t renam ien to en
s eguridad
IS O 27001-2005 A .5 .1 .1
D oc um en tos de po lít ic as de
s eguridad de la in fo rm ac ión
A .5 .1 .2
R evis ión de po lít ic as de s eguridad
de la in fo rm ac ión
A .6 .1 .1 .
G es t ión ob ligada para s eguridad de
la in fo rm ac ión
A .6 .1 .3
A s ignac ión de res pons ab ilidad de
s eguridad de la in fo rm ac ión
A .8 .1 .1 R o les y res pons ab ilidades
A .10 .1 .1
D oc um en tac ión de proc ed im ien tos
de ope rac ión
A .15 .1 .1
Iden t ific ac ión de leg is lac ión
ap lic ab le
A .15 .2 .1
C um p lim ien to c on es tanda res y
po lít ic as de s egu ridad
8500 .01E D IR E C TIV A D E
A S E G U R A M IE N TO D E LA
IN F O R M A C IÓ N (IA ) 5 .1 .8
R E S P O N S A B IL ID A D E S D E L
D IR E C TO R D E LA A G E N C IA D E
S IS TE M A S D E IN F O R M A C IÓ N D E
D E F E N S A
5.1 .9
R E S P O N S A B IL ID A D E S P A R A E L
D IR E C TO R D E LA A G E N C IA D E
IN TE L IG E N C IA D E D E F E N S A
5.8
R E S P O N S A B IL ID A D E S D E L
D IR E C TO R D E LA A G E N C IA D E
S E G U R ID A D N A C IO N A L
DO
CU
ME
NT
AC
IÓ
N R
EL
AC
IO
NA
DA
C
ON
P
OL
ÍT
IC
AS
Y
P
RO
CE
DIM
IE
NT
OS
E
N C
ON
CIE
NT
IZ
AC
IÓ
N Y
E
NT
RE
NA
MIE
NT
O
D oD
IS O
Tabla 3. Comparativa1 de controles ISO, NIST y DoD.
Pag. No. 58
ES TÁNDAR/
O RG ANIZACIÓ NDO CUM ENTO DE REFERENCIA CO NTRO L NO M BRE DEL CO NTRO L
NIS T
S P 800-53 RE CO M E NDA CIO NE S
DE CO NTRO LE S P A RA S IS TE M A S
DE INFO RM A CIÓ N FE DE RA L
AT-2 C onc ientiz ac ión en S eguridad
A.6.2.2D irec c ionam iento de s eguridad
al tratar c on c lientes
A.8.1.1 R oles y res pons abilidades
A.8.2.2C onc ientiz ac ión, educ ac ión y
entrenam iento
A.9.1.5 trabajando en áreas s eguras
A.10.4.1C ontroles c ontra c ódigo
m alic ios o
5.1RESP O N SA BILIDA DES P A RA EL CIO
DEL DEP A RTA M EN TO DE DEFEN SA
5.4.
RESP O N SA BILIDA DES P A RA EL
DIRECTO R DE LA A GEN C IA DE
SISTEM A S DE IN FO RM A C IÓ N DE
DEFEN SA
8500-02 IM P LEM EN TA CIÓ N DE
A SEGURA M IEN TO DE LA
IN FO RM A CIÓ N
DoD
PO
LÍT
ICA
S,
RO
LE
S,
AC
TIV
IDA
DE
S Y
RE
SP
ON
SA
BIL
IDA
DE
S E
N C
ON
CIE
NT
IZA
CIÓ
N
IS O IS O 27001-2005
Tabla 4. Comparativa 2 de controles NIST, ISO y DoD.
E S T Á N D A R /
O R G A N I Z A C I Ó ND O C U M E N T O D E R E F E R E N C I A C O N T R O L N O M B R E D E L C O N T R O L
N IS T A T - 3 E n t r e n a m ie n to e n S e g u r id a d
A .8 .1 .1 R o le s y r e s p o n s a b ilid a d e s
A .8 .2 .2C o n c ie n t iz a c ió n , e d u c a c ió n y
e n t r e n a m ie n to
A .9 .1 .5 t r a b a ja n d o e n á r e a s s e g u r a s
PO
LÍT
IC
AS
, R
OL
ES
, A
CT
IV
ID
AD
ES
Y
RE
SP
ON
SA
BIL
ID
AD
ES
E
N
EN
TR
EN
AM
IE
NT
O E
N S
EG
UR
ID
AD
IS O
Tabla 5. Comparativa 3 de Controles NIST e ISO.
Pag. No. 59
ES T Á N D A R /
O R G A N IZA C IÓ ND O C U M EN T O D E R EF ER EN C IA C O N T R O L N O M B R E D EL C O N T R O L
N IS T AT-4 R egis tro de entrenam iento en
s eguridad
D oD
8500-02 IM P LEM EN TA C IÓ N D E
A S EG UR A M IEN TO D E LA
IN F O R M A C IÓ N
E3.3
ELEM EN TO S D E UN P R O G R A M A
D E A S EG UR A M IEN TO D E LA
IN F O R M A C IÓ N P A R A EL
D EP A R TA M EN TO D E D EF EN S AP
OL
ÍT
IC
AS
, A
CT
IV
ID
AD
ES
Y
R
ES
PO
NS
AB
IL
ID
AD
ES
P
AR
A
EL
R
EG
IS
TR
O D
E C
ON
CIE
NT
IZ
AC
IÓ
N Y
E
NT
RE
NA
MIE
NT
O
Tabla 6. Comparativa 4 NIST y DoD.
ES T ÁNDAR/
O RG ANIZACIÓ NDO CUM ENT O DE REF ERENCIA CO NT RO L NO M BRE DEL CO NT RO L
NIS T AT-5C ontac to c on as oc iac iones y
grupos de s eguridad
IS O A.6.1.7C ontac to c on grupos de interés
es pec ífic osCO
NT
AC
TO
CO
N
GR
UP
OS
DE
INT
ER
ÉS
Tabla 7. Comparativa 5 del Control AT-5 del NIST contra sus equivalentes en ISO.
CÓDIGO
IDENTIFICADOR DE
CONTROL ISO
27001
DESCRIPCIÓN DEL
CONTROLOBJETIVO CONTROL
OBJETIVO CONTROLLa seguridad relacionada con el entrenamiento, está destinada a los evaluadores
independientes de control de la seguridad
EQUIVALENTES EN EL INTERNATIONAL ORGANIZATION FOR STANDARDIZATION ISO 27002-2005
NO EXISTEN CONTROLES EQUIVALENTES EN EL ISO, PARA ESTE CONTROL
NATIONAL INSTITUTE OF STANDARS AND TECHNOLOGY
IDENTIFICADOR AT-6
DESCRIPCIÓN Entrenamiento de Asesores
Tabla 8. Control AT-6 del NIST.
Pag. No. 60
3.2. Conclusiones.
Después de la revisión de los estándares y guías revisados, es posible
determinar, que dependiendo de las necesidades de la organización
(generalmente derivadas de un análisis de riesgos e impactos), del
presupuesto destinado, es posible determinar los controles que podrían
incluirse en el plan de concientización y entrenamiento para la difusión
de la seguridad de la información.
Después de evaluar los diferentes documentos que formaron parte del
presente trabajo de investigación, se puede concluir que es posible la
integración de controles de varios estándares, dependiendo el nivel de
seguridad y las necesidades específicas de la organización, está
integración, permitirá la elaboración de un plan de concientización y
entrenamiento para la difusión de la seguridad informática más completo
y robusto, pero de igual forma más complejo.
Sería importante considerar el enfoque que tiene el Departamento de
Defensa de Estados Unidos (DoD), ya que para la materialización de los
planes de concientización y entrenamiento para su personal, establece
coordinación con diferentes Departamentos del Gobierno Federal, esto
permite concentrar los esfuerzos en la materia, hacia un organismo en
común, destinando presupuestos mayores que al momento de
materializar los planes, permitan entregar material de mayor calidad,
más completos y enfocados a los diferentes sectores del Gobierno.
Pag. No. 61
CAPITULO 4
4. CONCLUSIONES Y RECOMENDACIONES.
Los planes de concientización y entrenamiento para la difusión de la seguridad
de la información, actualmente representan un papel importante en los
sistemas de gestión de seguridad de la información que implementan las
organizaciones.
Dependiendo del giro de la organización y acorde a sus lineamientos y
políticas, es posible asignar un nivel adecuado a los planes y programas de
concientización y entrenamiento para la difusión de la seguridad de la
información, es necesario convencer a la Alta Gerencia sobre la importancia
de contar con personal debidamente informado y con los conocimientos
necesarios para el desarrollo adecuado de sus actividades en la organización.
Convencer a la Alta Gerencia de la importancia de implementar estos planes
de concientización y entrenamiento, puede representar cambios importantes
en beneficio de las organizaciones que decidan implementarlos. También,
contar con el apoyo de los Directivos, permitirá que la implementación se lleve
a cabo de manera natural y con mínima resistencia al cambio.
El emplear estándares y guías a nivel internacional, permite obtener una
garantía de que la información que se encuentra contenida, ha sido probada, y
opera en otras organizaciones similares, reduciendo los tiempos en la curva de
Pag. No. 62
aprendizaje de las organizaciones para obtener un nivel de seguridad
adecuado, dependiendo de las necesidades específicas de su organización.
Se debe tomar en cuenta, que a pesar de que existen estándares y guías para
la implementación de planes y programas de concientización y entrenamiento
para la difusión de la seguridad de la información como parte de los sistemas
de gestión de seguridad de la información, éstos deberán adecuarse a las
necesidades específicas de la organización, aún cuando representen las
mejores prácticas implementadas a nivel mundial, ya que existen controles
que no son aplicables a todas las organizaciones. El nivel de madurez que
alcanzan algunas organizaciones en la materia, puede ocasionar que se
detecten inconsistencias en los estándares, tomando lo mejor de ellos y
adecuarlos para hablar de sistemas de gestión propios, teniendo como pilares,
la experiencia de la organización trabajando con los diferentes estándares que
se consideren.
La finalidad de implementar planes y programas de concientización y
entrenamiento para la difusión de la seguridad de la información, puede
representar cambios en el comportamiento del personal que labora en la
organización, estos cambios de comportamiento, permite al trabajador
desempeñar sus actividades de manera más eficiente, al contar con los
conocimientos técnicos necesarios. La mejora continua contemplada como
parte de los planes y programas, permitirá identificar las necesidades
cambiantes existentes en la organización, para evitar que caigan en la
obsolescencia.
La madurez que puedan alcanzar los planes y programas de concientización y
entrenamiento para la difusión de la seguridad de la información, gestionada
de manera adecuada, puede en un futuro robustecer lo que el personal de
investigadores de TI, representa el eslabón más débil dentro de la cadena de
seguridad de la información: “El factor humano”.
Pag. No. 63
REFERENCIAS BIBLIOGRAFICAS
[1]. Gestión del Riesgo: Principios de Implementación herramientas y métodos
para la Evaluación y Gestión del Riesgo para inventarios, Agencia de
Redes y Seguridad de la Información Europea (ENISA), 2006, Comunidad
Europea.
[2]. Information Security Management System – Specification with guidance for
use, BS-7799, versión 3, British Standars Institute, 2005, Inglaterra.
[3]. Enterprise Risk Management Integrated Framework, El Committee of
Sponsoring Organizations of Treadway Commission, 2004, USA.
[4]. Control Objectives for Information and Related Technology (COBIT), 2007,
Information System Audit and Control Association (ISACA) y IT
Governance Institute, USA.
[5]. Ley Federal de Transparencia y Acceso a la Información Pública
Gubernamental, version 2006, Instituto Federal de Acceso a la Información
(IFAI), 2002, México.
[6]. Técnicas de Seguridad Código para la práctica de la gestión de la
seguridad de la información, ISO 17799-2005 (ISO 27002-2005), Segunda
Edición, Institute of Standars Organization, 2005, USA.
[7]. Sistema de Gestión de Seguridad de la Información, ISO serie 27000,
Institute Standars Organization España, 2005, España.
[8]. Building an Information Technology Security Awareness and Training
Program, NIST SP 800-50, National Institute of Standars and Technology,
2003, USA.
Pag. No. 64
[9]. Recommended Security Controls for Federal Information Systems and
Organizations, NIST SP 800-53 rev.3, National Institute of Standars and
Technology, 2009, USA.
[10]. Title 10 Armed Forces, US CODE, USE Code Collection, 2007, USA.
[11]. Directiva No. 8500.01 Information Assurance, Department of Defense of
United State of America, 2002, USA.
[12]. DoD’s Model for the Security Awareness SSC, DoD Shared Service Center
for Security Awareness Training, Department of Defense of United State of
America, 2007, USA.
[13]. http://www.itil-officialsite.com/home/home.asp.