INTRODUCCION A ESTANDARES Y NORMAS PARA LA IMPLEMENTACION DE UN GOBIERNO DE SEGURIDAD DE LA INFORMACION LEYDI JOHANNA TRULLO ECHEVERRY JOHN BARRERA VALENCIA FUNDACION UNIVERSITARIA CATOLICA LUMEN GENTIUM FACULTAD DE INGENIERIA SANTIAGO DE CALI 2011
INTRODUCCION A ESTANDARES Y NORMAS PARA LA IMPLEMENTACION DE
UN GOBIERNO DE SEGURIDAD DE LA INFORMACION
LEYDI JOHANNA TRULLO ECHEVERRY
JOHN BARRERA VALENCIA
FUNDACION UNIVERSITARIA CATOLICA LUMEN GENTIUM
FACULTAD DE INGENIERIA
SANTIAGO DE CALI
2011
INTRODUCCIÓN
El uso constante de diferentes tecnologías para manejo de la información hace que
ésta cada día se encuentre más expuesta a amenazas que generan perdida en la
misma o en muchos casos que no se encuentre disponible al momento de ser
requerida. La información y la infraestructura que la soporta son fundamentales en el
andamiaje de las empresas, por tanto la seguridad debe estar dada por directivos de
la compañía y encargados del área informática, los cuales deben adoptar modelos
para la implementación de políticas de seguridad practicas, mediante procesos de
mejora continua para que sean eficaces a largo plazo y mantenerse actualizado
frente a todos los tipo de ataques existentes.
RESUMEN
El presente artículo muestra la importancia del establecimiento de un Gobierno de la
seguridad de la información en las organizaciones, este debe estar conformado por
directivos responsables de emitir las diferentes políticas de seguridad y por oficiales
de seguridad los cuales son los responsables de implementar cada una de las
políticas emitidas por el comité directivo. Otros aspectos que trata este articulo son
los estándares internacionales, RFC2196, IT BASELINE, SSE-CMM y, ISO 27001,
ISO-IEC BS7799-IT y el conjunto de mejores prácticas COBIT, los cuales entregan a
directivos de las organizaciones una guía para desarrollar un plan de seguridad que
se ajuste a sus requerimientos y ayude a mitigar el riesgo al que se encuentra
expuesta la información.
Palabras claves: Gobierno de seguridad de la información, plan estratégico de
seguridad de la información, sistema de seguridad de gestión de la información.
COBIT, estándares.
ABSTRACT
This article shows how important is to establish a government of information safety in
the organizations. This government should be conformed by CEOS who are
responsible of issuing the different safety policies and by security officers who are
responsible of implementing each one of the policies issued by the main board.
Another aspects described in this article are the international standards RFC2196, IT
BASELINE, SSE-CMM y, ISO 27001, ISO-IEC BS7799-IT and the framework COBIT
which is a supporting toolset that allows managers to bridge the gap between control
requirements, technical issues and business risks.
Key words: Government of information safety, Strategic plan for information security,
Security system of information management, COBIT, Standards.
El objetivo de este artículo es el de dar conocer las normas que ayudan a
implementar un Gobierno de Seguridad de la Información, realizando una
introducción al modelo de proceso COBIT (Objetivos de Control para la Información
y la Tecnología relacionada), sus 4 dominios,32 procesos y relacionar los estándares
de Seguridad de la Información: ISO-IEC BS7799-IT, RFC2196,IT BASELINE, SSE-
CMM,ISO 27001 que ayudan a la elaboración de un plan de seguridad informática
adecuado para cada organización.
Un mundo globalizado como el actual, ha traído consigo una revolución informática
donde los datos que en ella se manejan son susceptibles a perdida, daño o robo.
Un estudio realizado por KASPERSKY LABS 1sobre ataques informáticos en
América Latina en 2010, nos muestra cuales fueron los países más afectados (figura
1) por estos ataques y cuáles son los sistemas operativos y aplicaciones más
vulnerables, (figura 2).
1Ataques informáticos en América Latina en el 2010 Disponible en http:///identidadesenpeligro.wordpress.com/2011/02/07/
Figura 1-Estadistica de Ataques Informáticos en América Latina
En esta grafica las estadísticas muestran como Brasil y México son los países que
presentan la más alta cantidad de ataques informáticos lo cual tiene relación directa
con la cantidad de población con acceso a internet, en el tercer lugar aparece
Colombia, que según los datos recogidos se debe a que es una economía muy
estable en la región por lo cual la mayoría de ataques son enfocados hacia este
objetivo.
Figura 2-Sistemas Operativos y Aplicaciones más vulnerables
Las estadísticas muestran que las aplicaciones de Microsoft son las más afectadas
debido a la gran cantidad de usuarios que utilizan un software ilegal por lo cual las
actualizaciones están deshabilitadas o incompletas.
Las vulnerabilidades de Adobe y Sun Java también son muy populares, ya que la
mayoría de los usuarios no buscan las actualizaciones periódicamente. En la
actualidad uno de los troyanos más poderosos en términos de robo de información
bancaria es, Zeus (Trojan-Spy.Win32.Zbot), se utiliza para la propagación de
vulnerabilidades en Java.
Los incidentes informáticos que ocurrieron con más frecuencia en el año 2010 según
datos suministrados por la Compañía Global de Soluciones de Software de
Seguridad ESET2, a través de su sistema de alerta temprana ThreatSense.net
provisto en su antivirus ESET NOD32 que le permite recopilar información de todos
los usuarios de su antivirus en el mundo, fueron los siguientes:
Ataques dirigidos:
Operación Aurora.
El ataque masivo contra varias corporaciones como Google, Adobe, Juniper, a
través de un exploit diseñado para la versión 6,7 y 8 de Internet Explorer.
Stuxnet.
Es un gusano informático que afecta a los equipos con Windows.
Botnet.
2 http://www.enter.co/seguridad/eset-anuncia-las-10-amenazas-mas-importantes-de-2010/
Red de equipos infectados por códigos maliciosos, controlados por un atacante.
Zeus.
Es la botnet más utilizada en todo el mundo, esta vinculado al robo de información
de credenciales bancarias.
Mariposa y Waledac.
Utilizados para dar de baja redes, esto se conoce como “takedown”. En este caso
fueron dos de las más importantes Mariposa y Waledac, las cuales estuvieron
asociadas al negocio delictivo.
Ataques regionales.
Mariachi Botnet.
Computadores zombis enfocadas específicamente en la región, como Mariachi, que
fue detectada en México y Argentina.
Técnicas de Ingeniería Social.
Noticias trágicas o de mucho interés ocurridas en América Latina, se utilizaron como
técnicas de ingeniería social para propagar malware.
Otras amenazas destacadas.
Conficker.
Gusano Conficker, infecta a cientos de organizaciones en todo el mundo.
Dispositivos móviles.
Malware para dispositivos móviles, en especial para sistemas operativos en
crecimiento como Android.
Las debilidades en las políticas de seguridad de la información y el creciente número
de ataques hacen que los datos y los sistemas se encuentren en constante riesgo,
teniendo en cuenta esto, es importante la implementación de un Gobierno de
seguridad de la Información (GSI), cuyo objetivo principal es reducir impactos
adversos sobre la organización a un nivel aceptable de riesgos y que se encargue
de definir las políticas de seguridad macro, los objetivos de alto nivel a alcanzar, las
reglas para clasificar la información, su asociación con los niveles de riesgo y las
acciones globales a implementar, con la finalidad de preservar la confidencialidad,
integridad y disponibilidad de los recursos objeto de riesgo.
Alrededor del Gobierno debe plantearse la existencia de un Comité de Seguridad,
donde participen la Gerencia y Directivas de las empresas; este comité es el
gobierno como tal, quien define políticas y normas, además debe contar con la
presencia de un Oficial de Seguridad, quien es el responsable de implementar las
políticas definidas por el Comité (Gobierno de Seguridad) y reportar el estado de la
seguridad de la información al mismo.
Estas políticas se desarrollaran considerando las características de la organización,
su actividad comercial, su infraestructura informática y mediante un Plan Estratégico
de Seguridad de la Información el cual debe estar basado en un conjunto de
políticas analizadas previamente, las cuales indicaran el nivel de riesgo en el que se
encuentre la empresa.
El Plan Estratégico de Seguridad debe ser implementado por el Oficial de Seguridad
y apoyado por las áreas de negocio que conozcan la información. Un componente
importante del Plan es el Sistema de Gestión de la Seguridad de la Información
(SGSI), que se basa en implementar, operar, monitorear, mantener y mejorar la
seguridad de los datos, este contiene procesos y controles cuyo fin es lograr cumplir
con los objetivos e indicadores, mantener y reducir los niveles de riesgos
planteados. En el Plan Estratégico de Seguridad los controles pueden ser
tecnológicos ó no. Los tecnológicos son implementados por expertos en seguridad
informática y son dirigidos por un centro de operaciones, que debe retroalimentar al
oficial de seguridad entregando los indicadores que se hayan establecido y que
obtengan de los elementos tecnológicos.
Los pasos a tener en cuenta en el desarrollo de un plan de seguridad de la
información son los siguientes:
1. Evaluación de los riesgos
A través de esta evaluación se identifican causas y se valoran los riesgos por los
cuales está expuesta la organización para que el gobierno de seguridad de la
Información pueda tener datos suficientes y opte por el diseño e implementación de
los controles adecuados.
Para realizar una valoración de riesgos se debe iniciar con:
Identificar los riesgos: En este paso se busca identificar cuál o cuáles son los
agentes que generan amenazas a la organización basándose en información
suministrada por el área de sistemas y de recursos humanos.
Determinar los controles: Una vez identificados los agentes o causas que
generan los riesgos, es necesario saber cuales están siendo controlados y
cuáles no, para determinar controles que ayuden a disminuir el campo de
acción y la probabilidad de estos.
Analizar los riesgos: Con los riesgos identificados el siguiente paso es
analizarlos y conocer el impacto que trae cada uno de ellos para poder
clasificarlos y determinar si son riesgos altos, medios o bajos.
2. Políticas de seguridad
Las políticas de seguridad deben ser fijadas mediante mecanismos y normas que
adopta la empresa para salvaguardar su infraestructura informática y la información
que contienen.
El diseño de las políticas de seguridad puede realizarse aplicando modelos de
procesos como COBIT3, (Objetivos de Control para la Información y la Tecnología
relacionada).
El marco de trabajo COBIT se basa en el siguiente principio (figura 3): Proporcionar
la información que la empresa requiere para lograr sus objetivos, la empresa
3 IT Governance Institute, 2005, COBIT 4.0, Rolling Meadows EE. UU.
Disponible en: http :// www.isaca.org
necesita administrar y controlar los recursos de TI usando un conjunto estructurado
de procesos que ofrezcan los servicios requeridos de información.
Figura 3-Principio Básico de COBIT
COBIT brinda buenas prácticas a través de un marco de trabajo de dominios y
procesos, y presenta las actividades en una estructura manejable y lógica, es una
herramienta para que el Gobierno de TI pueda administrar los riesgos asociados con
las tecnologías de información, por tanto su objetivo principal es desarrollar políticas
adecuadas para la seguridad y el control de las tecnologías de información.
Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección
debe implantar un sistema de control interno o un marco de trabajo. El marco de
trabajo de control COBIT (figura 4) contribuye a estas necesidades de la siguiente
manera:
Figura 4- Áreas Principales de Gobierno de TI
Alineación estratégica: Se enfoca en garantizar el vínculo entre los planes de
negocio y de TI; para definir, mantener, validar la propuesta de valor de TI; y alinear
las operaciones de TI con las operaciones de la empresa.
Entrega de valor: Se enfoca en ejecutar la propuesta de valor a todo lo largo del
ciclo de entrega, concentrándose en optimizar los costos y en brindar el valor de la
TI.
Administración de recursos: se encarga de la administración apropiada de los
recursos críticos de TI: Personas; aplicaciones, información, infraestructura.
Administración de riesgos: Requiere un claro entendimiento de los riesgos que
tiene la empresa y determina las responsabilidades de administración de riesgos
dentro de la organización.
Medición del desempeño: Monitorea la estrategia de implementación, terminación
del proyecto, uso de los recursos, desempeño de los procesos y la entrega del
servicio.
El enfoque de COBIT se ilustra con un modelo de 4 dominios, el cual subdivide TI en
34 procesos de acuerdo a las áreas de responsabilidad de planear, construir,
ejecutar y monitorear, ofreciendo una visión completa de la TI, ayudando a
identificar aquellos recursos esenciales para el éxito de los procesos, es decir,
aplicaciones, información, infraestructura y personas.
Para que un gobierno de TI sea eficiente, es prioritario determinar las actividades y
los riesgos que requieren ser administrados. Éstos se pueden resumir en los
siguientes dominios:
MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben
evaluarse de forma regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos de control. Este dominio abarca la
administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del gobierno.
PLANEAR Y ORGANIZAR (PO) Este dominio cubre las estrategias y las
tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir
de la mejor manera al logro de los objetivos del negocio.
ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en sí de
los servicios requeridos, lo que incluye la prestación del servicio, la
administración de la seguridad y de la continuidad, el soporte del servicio a
los usuarios, la administración de los datos y de las instalaciones
operacionales.
ADQUIRIR E IMPLEMENTAR (AI) Para llevar a cabo la estrategia de TI, las
soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así
como la implementación e integración en los procesos del negocio. Además,
el cambio y el mantenimiento de los sistemas existentes está cubierto por
este dominio para garantizar que las soluciones sigan satisfaciendo los
objetivos del negocio.
PROCESOS DE COBIT
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
PLANEAR Y ORGANIZAR
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
INFORMACIÓN
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
RECURSOS
Aplicaciones
Información
Infraestructura
Personas
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios
En detalle, el marco de trabajo general COBIT se muestra gráficamente en la figura
5, con el modelo de procesos de COBIT compuesto de cuatro dominios que
contienen 34 procesos genéricos, administrando los recursos de TI para
proporcionar información al negocio de acuerdo con los requerimientos del negocio y
de gobierno.
Figura5-Marco de Trabajo General de COBIT
3. Plan de seguridad informática.
Debe ser elaborado por la organización basándose en las políticas creadas cuando
se realicen los análisis de riesgos y se debe apoyar en los siguientes estándares.4
ISO-IEC BS7799-IT:
RFC2196:
IT BASELINE:
SSE-CMM:
ISO 27001:
Estándar ISO-IEC BS7799-IT
Este estándar define los requerimientos para el establecimiento de un Sistema de
Administración de la Seguridad de la Información (ISMS) en las organizaciones para
prevenir amenazas a la seguridad de la información que manejan. Aplica un método
de cuatro fases para implementar una solución de sistemas de administración de
seguridad de la información.
• Fase 1: Evaluación:
Determinar la situación de la seguridad actual y definir los requisitos para la
seguridad de la información basada en un riesgo de negocio deseado.
• Fase 2: Diseño:
Desarrollar un diseño de solución de sistemas de administración de seguridad de la
información con recomendaciones específicas y un plan detallado para su
implementación.
4 Díaz F (2008).2, Principales estándares para la seguridad de la información IT. EOS 2, 77-109. Disponible en http://www.escuelaing.edu.co/editorial/revistas/eos/revista_eos.htm
• Fase 3: Implementación:
Pruebas y desarrollo del diseño.
• Fase 4: Administración:
Establecer una arquitectura básica que sea dinámica para que pueda proporcionar
una plataforma de administración con todas las características.
Estándar RFC2196
El Estándar RFC2196 es una guía práctica para asegurar servicios e información,
debe poder poner en práctica mediante procedimientos descritos de administración
de sistemas, publicación de guías u otros métodos el uso aceptable de los recursos
informáticos, debe implantarse y obligar al cumplimiento de las acciones
relacionadas mediante herramientas de seguridad como también detectar errores y
fugas y determinar responsabilidades de cada uno de los usuarios.
El RFC-2196 establece una serie de componentes incluidos en las políticas de
seguridad:
• Guías de compras de tecnología de la información.
• Política de privacidad sobre temas relacionados con el control de correos
electrónicos, acceso a sitios web.
• Política de acceso: Define derechos o privilegios de acceso a activos o información.
• Política de responsabilidad: Define las responsabilidades de usuarios.
• Política de autenticación: Establecer el uso de una política de contraseñas.
• Declaración de disponibilidad: Determina las expectativas de disponibilidad de los
recursos de los sistemas e información.
• Política de informes de incidentes o violaciones de seguridad: Establece qué tipo
de incidentes o violaciones de seguridad deben reportarse.
• Información de apoyo. Proveer a los usuarios, empleados y directivos con
información de contacto y de referencia para usarla ante incidentes de seguridad.
Estándar IT Baseline
Este estándar plantea en forma detallada aspectos de seguridad en ámbitos
relacionados con aspectos generales como organizacionales, gestión humana,
criptografía, manejo de virus; infraestructura, sistemas operativos, redes y
aplicaciones.
Estándar SSE-CMM
Presentación una serie de actividades para desarrollar productos de software
confiables y alcanzar un ciclo de vida para sistemas seguros. Este estándar divide la
ingeniería de seguridad en tres áreas básicas: riesgo, ingeniería y aseguramiento.
• Riesgo: busca identificar y priorizar los peligros asociados al desarrollo de
sistemas.
• Ingeniería: Implanta soluciones sobre los peligros identificados.
• Aseguramiento: Certifica que las soluciones implementadas sean confiables.
Estándar ISO 270015
5 ISO27000 Disponible en http://www.ISO27000.ES
Es la norma principal de la serie ISO 27000 y contiene los requisitos del sistema de
gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones.
Conclusiones:
La implementación de un Gobierno de Seguridad de la Información, basado en los
estándares y el modelo de mejores prácticas COBIT, ayuda a al comité a tomar las
decisiones adecuadas cuando se presenten las amenazas, ya que previamente se
han definido políticas, responsabilidades en las áreas críticas de manejo de
información, ayudando a reducir el impacto de un ataque generado por agentes
internos y/o externos.
se debe considerar a las personas que son el eslabón más débil en la cadena de la
seguridad, los procesos, la protección de los activos o recursos para que toda la
empresa impulse, gestione y se beneficie de las normas y políticas que implante el
gobierno de seguridad, ya que generan conciencia en usuarios de los recursos
informáticos de la compañía, para que den la importancia real a este activo y no
permitan la fuga de información a través de diferentes practicas como son la
ingeniería social, el mal manejo de contraseñas y otros métodos que día a día son
utilizados con el propósito de causar daño.
Referencias Bibliográficas
1Ataques informáticos en América Latina en el 2010
Disponible en http:///identidadesenpeligro.wordpress.com/2011/02/07/
2 http://www.enter.co/seguridad/eset-anuncia-las-10-amenazas-mas-importantes-de-
2010/
3 IT Governance Institute, 2005, COBIT 4.0, Rolling Meadows EE. UU.
Disponible en: http :// www.isaca.org
4 Díaz F (2008).2, Principales estándares para la seguridad de la información IT.
EOS 2, 77-109.
Disponible en http://www.escuelaing.edu.co/editorial/revistas/eos/revista_eos.htm
5 ISO27000
Disponible en http://www.ISO27000.ES
Las10amenazasmasimportantesde2010
Disponible en: http:///identidadesenpeligro.wordpress.com/2011/02/07
Disponible en: http://www.enter.co/seguridad/eset-anuncia- /
IT Governance Institute, 2007, COBIT 4.1, Rolling Meadows EE. UU.
Díaz F (2008).2, Principales estándares para la seguridad de la información
IT. EOS 2, 77-109. ISO27000
Ontoria S, (2011), Gobierno y Modelado de la Seguridad de la Información en
las Organizaciones: http://e archivo.uc3m.es
Citel (2007). Impactos de fraude para la prestación de los servicios de
telecomunicaciones para usuarios, operadores y estados.
Cano J, (2009), Computación Forense-Descubriendo Los Rastos
Informáticos, Alfaomega, Bogotá.
Cobit, estándar para el buen gobierno de los Sistemas de Información
Disponible en: http://www.marblestation.com/?p=645
Senén J. Pájaro Novoa, 2009, Gestión de riesgos en COBIT
Disponible en: http://www.revista-ays.com/DocsNum32/SISA/SISA32.pdf
Auditoria de Sistemas
Disponible en:http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/
COBIT: modelo para auditoría y control de sistemas de información, 10 de
Mayo 2007, Boletin 54. Universidad EAFIT.
Disponible en: http://www.eafit.edu.co/escuelas/administracion/consultorio-
contable/Documents/boletines/auditoria-control/b13.pdf
Manuel Arauz Montero, 2010, COBIT un estándar en gobierno de TI
Disponible en: http://tiaudiseg.com/download/Usando%20Cobit.pdf